Styrning av Microsoft Teams-gästanvändare

Det här exempelscenariot hjälper användare att samarbeta med andra organisationer genom att tillhandahålla identitets- och styrningskontroller för externa användare när de använder Microsoft Entra B2B-samarbete.

Arkitektur

Ladda ned en Visio-fil med den här arkitekturen.

Workflow

1. Resurskatalog – Det här är Microsoft Entra-katalogen som innehåller resurser, som är Microsoft 365-grupper och -team. I det här exemplet är resursen ett projektteam som läggs till i åtkomstpaketet, så att användare utanför organisationen kan begära åtkomst till det.

2. Extern katalog (Anslut organisation) – Det här är den externa Microsoft Entra-katalogen som innehåller externa användare från den anslutna organisationen. Dessa användare kan tillåtas av en princip för att begära åtkomst till projektteamet.

3. Katalog 1 – En katalog är en container för relaterade resurser och åtkomstpaket. Katalog 1 innehåller projektteamet och dess åtkomstpaket.

   Kataloger tillåter delegering, så att icke-administratörer kan skapa åtkomstpaket. Katalogägare kan lägga till resurser som de äger i en katalog.

4. Resurser – det här är de resurser som visas i åtkomstpaketen. De kan innehålla säkerhetsgrupper, program och SharePoint Online-webbplatser. I det här exemplet är det projektteamet.

5. Åtkomst 1 – Ett åtkomstpaket är en samling resurser med åtkomsttyper för var och en. Åtkomstpaket används för att styra åtkomsten för interna och externa användare. I det här exemplet är projektteamet resursen med en enda princip som gör att externa användare kan begära åtkomst. Interna användare i det här exemplet behöver inte använda Microsoft Entra-berättigandehantering. De läggs till i projektteamet med hjälp av Microsoft Teams.

6. Resursroll för grupp 1 – Resursroller är behörigheter som är associerade med och definieras av en resurs. En grupp har två roller – medlem och ägare. SharePoint-webbplatser har vanligtvis tre roller, men kan ha ytterligare anpassade roller. Program kan ha anpassade roller.

7. Extern åtkomstprincip – Det här är principen som definierar reglerna för tilldelning till ett åtkomstpaket. En princip används i det här exemplet för att säkerställa att användare från anslutna organisationer kan begära åtkomst till projektteamet. När en begäran har gjorts krävs godkännande från godkännare enligt definitionen i principen. Principen anger också tidsgränser och förnyelseinställningar.

8. Godkännare – En godkännare godkänner åtkomstbegäran. Detta kan vara en intern eller extern användare.

9. Requester – Det här är den externa användare som begär åtkomst via portalen Min åtkomst. Portalen visar endast de åtkomstpaket som beställaren får begära.

Begära åtkomst till en resurs för användare utanför organisationsflödet

Här är ett arbetsflöde på hög nivå som visar hur åtkomst till Microsoft 365-gruppen eller -teamet beviljas externa användare. Den omfattar borttagning av ett gästkonto när åtkomst inte längre krävs eller en tidsgräns nås.

Komponenter

• Microsoft Entra ID erbjuder molnbaserade identitets- och åtkomsthanteringstjänster som ger användarna ett sätt att logga in och komma åt resurser. Den har följande funktioner:
  • Microsoft Entra-berättigandehantering är en funktion för identitetsstyrning som gör det möjligt för organisationer att hantera identitets- och åtkomstlivscykler i stor skala genom att automatisera arbetsflöden för åtkomstbegäran, åtkomsttilldelningar, granskningar och upphörande.
  • Microsoft Entra business-to-business-samarbete (B2B) används av Microsoft Entra-berättigandehantering för att dela åtkomst, så att interna användare kan samarbeta med externa användare.
  • Microsoft Entra-åtkomstgranskningar gör det möjligt för organisationer att effektivt hantera gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Användaråtkomst kan granskas regelbundet för att se till att endast rätt personer har fortsatt åtkomst.
  • Med gäståtkomst i Microsoft Teams kan externa användare komma åt team, kanaler, resurser, chattar och program, samtidigt som du behåller kontrollen över företagets resurser.
  • Villkorsstyrd åtkomst i Microsoft Entra samlar signaler för att fatta beslut och framtvinga organisationsprinciper. Villkorsstyrd åtkomst i den här lösningen användes för att framtvinga användningsvillkor och multifaktorautentisering och för att ange tidsgränser för sessioner för gästkonton.

Alternativ

En alternativ lösning för Microsoft Entra-berättigandehantering är att låta interna användare bjuda in externa användare till ett team. En inbjuden användare kan sedan skapa ett gästkonto i resurskatalogen.

Det här alternativet tillhandahåller inte de identitets- och styrningskontroller som kunden behövde. Bristerna jämfört med AD-berättigandehantering är:

• Externa användare kan inte begära åtkomst – det måste finnas en inbjudan. Den externa användaren måste veta hur man begär en inbjudan, en process som kan variera beroende på team och ändras över tid.
• Det finns inga affärsmotiveringar, e-postaviseringar, granskningsprocesser eller godkännandeprocesser, vilket är ett granskningsproblem.
• Åtkomst till specifika resurser kan inte hanteras, tas bort eller uppdateras på ett enkelt sätt. Eftersom projektresurser sannolikt kommer att ändras är detta ett effektivitetsproblem.
• Om en extern användare bjuds in men användarens organisation inte tillåts nekas användaren åtkomst, vilket orsakar förvirring.
• Gästkonton tas inte bort automatiskt och det finns ingen förfallouppsättning. En manuell process för att hantera förfallodatum är felbenägen och mindre effektiv än en automatisk process som kräver att gränser anges när kontot skapas. Det här är ett säkerhetsproblem och ett effektivitetsproblem.

Att skapa en anpassad lösning för att hantera dessa problem är sannolikt inte kostnadskonkurrerad eller funktionskonkurrerad med AD-berättigandehantering.

Information om scenario

Det här exempelscenariot skapades under covid-19-pandemin, då en kund hade ett omedelbart krav på att samarbeta med andra organisationer. Detta innebar att tillhandahålla identitets- och styrningskontroller för externa användare.

Microsoft Teams var kundens främsta verktyg för företagskommunikation. Användare samarbetade med hjälp av Teams chatt, möten och samtal. Teams-kanaler gav dem åtkomst till filer och konversationer.

Teams-möten var ett effektivt sätt att träffa externa användare. Externa användare kunde dock inte komma åt teamen och kanalerna, så det var klumpigt att samarbeta med dem och produktiviteten hindrades. Kunden behövde något bättre.

Teams har två alternativ för att kommunicera och samarbeta med externa användare:

• Extern åtkomst – en typ av federation som gör att interna användare kan hitta, anropa och chatta med externa användare. Externa åtkomstanvändare kan inte läggas till i team om de inte bjuds in som gäster med hjälp av gäståtkomst.
• Gäståtkomst – Tillåter interna användare att bjuda in externa användare att gå med i ett team. De inbjudna användarna får ett gästkonto i Microsoft Entra-ID. Gäståtkomst gör att externa användare kan bjudas in till team och ger åtkomst till dokument i kanaler och till resurser, chattar och program. Kunden har kontroll över företagsdata efter behov.

Gäståtkomsten uppfyllde kundens samarbetskrav, men gav upphov till säkerhets- och styrningsproblem:

• Gäster får endast ha åtkomst till specifika team efter behov och endast så länge som det behövs. När ett projekt är klart måste gästkontot tas bort.
• Det måste finnas en godkännandeprocess för att skapa gästkonton som uppfyller granskningskraven. Interna användare måste granska begäranden och godkänna dem efter behov.
• Du måste kunna skapa och automatisera lösningen snabbt. Inga gästkonton kan skapas förrän lämpliga säkerhets- och styrningskontroller har införts.

Microsoft Entra-berättigandehantering var det primära verktyget för att uppfylla säkerhets- och styrningskraven:

• Det hjälper till att effektivt hantera åtkomst till Microsoft 365-grupper, inklusive team, program och SharePoint-onlinewebbplatser, för både interna och externa användare.
• Det ger möjlighet att automatisera arbetsflöden för åtkomstbegäran, åtkomsttilldelningar, granskningar och förfallodatum.

Gäståtkomst och Microsoft Entra-berättigande uppfyllde tillsammans kundens samarbetskrav. Externa användare kan ansluta till valda team och åtkomsten hanteras. Dessutom erbjuder Microsoft Entra berättigandehantering funktioner för eventuell framtida användning, till exempel hantering av åtkomst till andra resurser än team.

Potentiella användningsfall

Den här lösningen gäller för alla situationer som kräver hantering av åtkomst – för de interna och externa användare som behöver den, för grupper, program och SharePoint Online-webbplatser. Microsoft Entra-berättigandehantering har följande funktioner och fördelar:

• Det finns förenklad registrering och hantering för anställdas åtkomst till resurser som:
  • Microsoft Entra-säkerhetsgrupper.
  • Microsoft 365-grupper.
  • Microsoft 365-team.
  • Program, inklusive SaaS-program.
  • Anpassade program som implementerar lämpliga säkerhetsåtgärder.
  • SharePoint Online-webbplatser.
• Det finns förenklade procedurer för externa användare för att få åtkomst till de resurser som de behöver.
• Du kan ange vilka anslutna organisationer som ska kunna tillhandahålla externa användare som kan begära åtkomst.
• En användare som begär åtkomst och godkänns bjuds automatiskt in till teamkatalogen och tilldelas åtkomst till resurser.
• En tidsgräns kan anges för en användares åtkomst till resurser, med automatisk borttagning när gränsen nås.
• När åtkomsten upphör att gälla för en extern användare som inte har några andra tilldelningar av åtkomstpaket kan användarens konto tas bort automatiskt.
• Du kan se till att användarna inte har mer åtkomst än de behöver.
• Det finns en godkännandeprocess för åtkomstbegäranden som inkluderar godkännande av utsedda personer, till exempel chefer.
• Du kan hantera åtkomst till andra resurser som förlitar sig på Microsoft Entra-säkerhetsgrupper eller Microsoft 365-grupper. Ett exempel är att bevilja licenser till användare med hjälp av gruppbaserad licensiering.
• Du kan delegera möjligheten att skapa åtkomstpaket som innehåller resurser som användarna kan begära till icke-administratörer.

Överväganden

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som kan användas för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.

Ett viktigt implementeringssteg är att konfigurera klientinställningar för att tillåta externa användare.

1. Aktivera katalog för externa användare – Kontrollera att katalogen har Aktiverat för externa användare inställt på Ja. När du skapar en ny katalog i Microsoft Entra-berättigandehantering aktiveras som standard att externa användare kan begära åtkomst till paket i katalogen.
2. Inställningar för externt samarbete i Microsoft Entra B2B – Inställningarna för externt samarbete i Azure B2B kan påverka om du kan använda Microsoft Entra-berättigandehantering för att bjuda in externa användare till resurser. Kontrollera följande inställningar:
   • Kontrollera om gäster får bjuda in andra gäster till din katalog. Vi rekommenderar att du ställer in Gäster kan bjuda in till Nej för att endast tillåta styrda inbjudningar.
   • Kontrollera att du tillåter eller blockerar inbjudningar på rätt sätt. Mer information finns i Tillåt eller blockera inbjudningar till B2B-användare från specifika organisationer.
3. Granska dina principer för villkorsstyrd åtkomst – Kontrollera villkorlig åtkomst för att se till att gästanvändare undantas från alla principer för villkorsstyrd åtkomst som de inte kan uppfylla. Annars kan de inte logga in på din katalog och har inte åtkomst till resursen.
4. Granska inställningarna för extern delning i SharePoint Online – Om du inkluderar SharePoint Online-webbplatser i ett åtkomstpaket för externa användare kontrollerar du att du konfigurerar inställningen för extern delning på organisationsnivå. Ange som Alla om inloggning inte krävs eller Befintliga gäster för inbjudna användare. Mer information finns i Ändra inställningen för extern delning på organisationsnivå.
5. Granska inställningarna för gruppdelning i Microsoft 365 – Om du inkluderar Microsoft 365-grupper eller -team i ett åtkomstpaket för externa användare kontrollerar du att Låt användare lägga till nya gäster i organisationen är inställt på På för att tillåta gäståtkomst.
6. Granska delningsinställningen för Teams – Om du inkluderar team i ett åtkomstpaket för externa användare kontrollerar du att Tillåt gäståtkomst i Microsoft Teams är inställt på På för att tillåta gäståtkomst. Kontrollera också att inställningarna för Teams gäståtkomst är konfigurerade.
7. Hantera livscykeln för externa användare – Du kan välja vad som händer när en extern användare inte längre har några åtkomstpakettilldelningar. Detta inträffar när alla tilldelningar antingen avstyckas av användaren eller har upphört att gälla. Som standard blockeras användaren från att logga in i din katalog. Efter 30 dagar tas gästanvändarkontot bort från din katalog.

Fler saker att ha i åtanke:

• Åtkomsttilldelning – Åtkomstpaket ersätter inte andra mekanismer för åtkomsttilldelning. De är lämpligast i situationer som:
  • Anställda behöver tidsbegränsad åtkomst för en viss uppgift.
  • Åtkomst kräver godkännande av en chef eller annan utsedd person.
  • Avdelningar vill hantera sina resurser utan IT-inblandning.
  • Två eller flera organisationer samarbetar i ett projekt, så flera användare från en organisation måste uppmanas att komma åt en annan organisations resurser.
• Uppdaterar resurser – Med Microsoft Entra-berättigandehantering kan du när som helst ändra resurserna i ett åtkomstpaket. Användarna av paketet har sin resursåtkomst automatiskt justerad för att matcha det ändrade paketet.

Kostnadsoptimering

Kostnadsoptimering handlar om att titta på sätt att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i Översikt över kostnadsoptimeringspelare.

• Användning av Microsoft Entra-berättigandehantering kräver en Microsoft Entra ID P2-licens.
• Gäståtkomst kan användas med alla Microsoft 365 Business Standard-, Microsoft 365 Business Premium- och Microsoft 365 Education-prenumerationer. Ingen ytterligare Microsoft 365-licens krävs.
• Faktureringsmodellen för microsoft entra externt ID gäller för gäster i Microsoft 365. Endast externa användare kan bjudas in som gäster.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

• Martin Boam | Associera arkitekt

Nästa steg

• Översikt över team och kanaler i Microsoft Teams
• Förstå team och kanaler i Microsoft Teams
• Använd gäståtkomst och extern åtkomst för samarbete med personer utanför organisationen
• Skapa ett nytt åtkomstpaket i Microsoft Entra-berättigandehantering
• Självstudie: Hantera åtkomst till resurser i Microsoft Entra-berättigandehantering
• Vad är Microsoft Entra-berättigandehantering?
• Vad är Styrning av Microsoft Entra-ID?
• Vad är Microsoft Entra-åtkomstgranskningar?
• Vanliga scenarier i Microsoft Entra-berättigandehantering
• Styra åtkomst för externa användare i Microsoft Entra-berättigandehantering
• Styra åtkomsten för användare utanför organisationen
• Samarbeta med gäster i ett team
• Använda gäståtkomst och extern åtkomst för att samarbeta med personer utanför organisationen
• Samarbeta med personer utanför organisationen
• Vad är villkorlig åtkomst?

Relaterade resurser

• Skapa en AD DS-resursskog i Azure
• Distribuera AD DS i ett virtuellt Azure-nätverk
• Hybrididentitet
• Integrera lokala AD-domäner med Microsoft Entra-ID
• Microsoft Entra-identitetshantering och åtkomsthantering för AWS