Поделиться через


Политики для предоставления гостевого доступа и доступа внешних пользователей B2B

В этой статье рассматривается настройка рекомендуемых политик удостоверений и доступа к устройствам, чтобы разрешить доступ для гостей и внешних пользователей с учетной записью Microsoft Entra Business to-Business (B2B). Это руководство основывается на общих политиках доступа к удостоверениям и устройствам.

Эти рекомендации предназначены для применения к начальной точке защиты. Но вы также можете настроить рекомендации на основе конкретных потребностей для корпоративной и специализированной защиты безопасности .

Предоставление пути для учетных записей B2B для проверки подлинности с помощью клиента Microsoft Entra не предоставляет этим учетным записям доступ ко всей среде. Пользователи B2B и их учетные записи имеют доступ к службам и ресурсам, таким как файлы, к которым они используются политикой условного доступа.

Обновление общих политик для разрешения и защиты гостей и доступа внешних пользователей

На этой схеме показано, какие политики следует добавлять или обновлять среди общих политик доступа к удостоверениям и устройствам для гостевого и внешнего пользователя B2B.

На схеме показана сводка обновлений политики для защиты гостевого доступа.

В следующей таблице перечислены политики, которые необходимо создать и обновить. Общие политики ссылались на связанные инструкции по настройке в статье "Общие политики идентификации и доступа к устройствам".

Уровень защиты Политики Дополнительные сведения
Начальная точка Требовать MFA всегда для гостей и внешних пользователей Создайте эту политику и настройте следующее:
  • Для пользователей и групп назначения выберите "Включить", выберите "Выбрать пользователей и группы>", а затем выберите "Все гостевые > и внешние пользователи".
  • Для условий > назначения войдите в систему и выберите все уровни > риска входа.
Требовать многофакторную проверку подлинности, если риск входа является средним или высоким Измените эту политику, чтобы исключить гостей и внешних пользователей.

Чтобы включить или исключить гостей и внешних пользователей в политиках условного доступа, для пользователей и групп > "Включить или исключить", проверка все гостевые и внешние пользователи.>

Снимок экрана: элементы управления для исключения гостей и внешних пользователей.

Дополнительные сведения

Гости и внешний доступ пользователей с помощью Microsoft Teams

Microsoft Teams определяет следующих пользователей:

  • Гостевой доступ использует учетную запись Microsoft Entra B2B, которую можно добавить в качестве члена команды и получить доступ к обмену данными и ресурсами команды.

  • Внешний доступ предназначен для внешнего пользователя, у которых нет учетной записи B2B. Доступ к внешним пользователям включает приглашения, звонки, чаты и собрания, но не включает членство в команде и доступ к ресурсам команды.

Дополнительные сведения см. в сравнении между гостями и внешними пользователями для команд.

Дополнительные сведения о защите политик доступа к удостоверениям и устройствам для Teams см . в рекомендациях по политике для защиты чатов, групп и файлов Teams.

Требовать MFA всегда для гостевых и внешних пользователей

Эта политика предлагает гостям зарегистрировать MFA в клиенте независимо от того, зарегистрированы ли они для MFA в своем домашнем клиенте. Гости и внешние пользователи, обращающиеся к ресурсам в клиенте, должны использовать MFA для каждого запроса.

Исключение гостей и внешних пользователей из MFA на основе рисков

Хотя организации могут применять политики на основе рисков для пользователей B2B с помощью Защита идентификации Microsoft Entra, существуют ограничения в реализации Защита идентификации Microsoft Entra для пользователей совместной работы B2B в каталоге ресурсов, так как их удостоверение существует в их домашнем каталоге. Из-за этих ограничений корпорация Майкрософт рекомендует исключить гостей из политик MFA на основе рисков и требовать, чтобы эти пользователи всегда использовали MFA.

Дополнительные сведения см. в разделе "Ограничения защиты идентификаторов" для пользователей совместной работы B2B.

Исключение гостей и внешних пользователей из управления устройствами

Только одна организация может управлять устройством. Если вы не исключаете гостей и внешних пользователей из политик, требующих соответствия устройств, эти политики блокируют этих пользователей.

Следующий шаг

Снимок экрана: политики для облачных приложений Microsoft 365 и приложений Microsoft Defender для облака.

Настройка политик условного доступа для следующих условий: