Principer för att tillåta gäst-och extern B2B-åtkomstPolicies for allowing guest and external B2B access

I den här artikeln beskrivs hur du justerar de rekommenderade vanliga principer för identitets-och enhets åtkomst för att tillåta åtkomst för gäst och externa användare som har ett Azure Active Directory (Azure AD)-konto.This article describes how to adjust the recommended common identity and device access policies to allow access for guest and external users that have an Azure Active Directory (Azure AD) Business-to-Business (B2B) account. Den här vägledningen bygger på vanliga principer för identitets-och enhets åtkomst.This guidance builds on the common identity and device access policies.

Dessa rekommendationer är avsedda att tillämpas på den ursprungliga skydds nivån.These recommendations are designed to apply to the baseline tier of protection. Men du kan också justera rekommendationerna baserat på hur många olika behov du har för känsligt och starkt reglerat skydd.However, you can also adjust the recommendations based on the granularity of your needs for sensitive and highly regulated protection.

Om du tillhandahåller en sökväg för B2B-konton för att autentisera med din Azure AD-klient får inte dessa konton åtkomst till hela din miljö.Providing a path for B2B accounts to authenticate with your Azure AD tenant doesn't give these accounts access to your entire environment. B2B-användare och deras konton har till gång till resurser som delas med dem (till exempel filer) inom de tjänster som beviljats i principer för villkorsstyrd åtkomst.B2B users and their accounts only have access to resources that are shared with them (such as files) within the services granted in Conditional Access policies.

Uppdatera vanliga principer för att tillåta och skydda gäst och extern åtkomstUpdating the common policies to allow and protect guest and external access

För att skydda gäst-och extern åtkomst med Azure AD B2B-konton illustrerar följande diagram vilka principer du kan lägga till eller uppdatera från principer för åtkomst till gemensam identitet och enhet.To protect guest and external access with Azure AD B2B accounts, the following diagram illustrates which policies to add or update from the the common identity and device access policies.

Sammanfattning av princip uppdateringar för att skydda gäst åtkomstSummary of policy updates for protecting guest access

Visa en större version av bildenSee a larger version of this image

I följande tabell visas de principer som du måste skapa och uppdatera.The following table lists the policies you either need to create and update. Gemensamma principer-länken till de associerade konfigurations anvisningarna i artikeln om principer för åtkomst policys för identitet och enheter .The common policies link to the associated configuration instructions in the Common identity and device access policies article.

Skydds nivåProtection level PrincipernaPolicies Mer informationMore information
GrundläggandeBaseline Kräv MFA alltid för gäst-och externa användareRequire MFA always for guest and external users Skapa den här nya principen och konfigurera:Create this new policy and configure:
  • För uppgifter > användare och grupper > inkludera väljer du Välj användare och grupper och sedan alla gäst-och externa användare.For Assignments > Users and groups > Include, choose Select users and groups, and then select All guest and external users.
  • För tilldelningar > villkor > inloggning ska du låta alla alternativ vara avmarkerade så att multifaktorautentisering alltid används (MFA).For Assignments > Conditions > Sign-in, leave all options unchecked to always enforce multi-factor authentication (MFA).
Kräv MFA när en inloggnings risk är mellan eller högRequire MFA when sign-in risk is medium or high Ändra den här principen så att den exkluderar gäst-och externa användare.Modify this policy to exclude guest and external users.
Kräv kompatibla PC-datorerRequire compliant PCs Ändra den här principen så att den exkluderar gäst-och externa användare.Modify this policy to exclude guest and external users.

Om du vill inkludera eller exkludera gäst-och externa användare i principer för villkorsstyrd åtkomst för uppgifter > användare och grupper > inkludera eller exkludera markerar du alla gäst-och externa användare.To include or exclude guest and external users in Conditional Access policies, for Assignments > Users and groups > Include or Exclude, check All guest and external users.

skärm bild av kontroller för att exkludera gäst och externa användare

Mer informationMore information

Gäst och extern åtkomst med Microsoft TeamsGuest and external access with Microsoft Teams

Microsoft Teams definierar följande:Microsoft Teams defines the following:

  • Gäst åtkomst använder ett Azure AD B2B-konto som kan läggas till som medlem i ett team och få åtkomst till kommunikationen och resurserna i teamet.Guest access uses an Azure AD B2B account that can be added as a member of a team and have all permissioned access to the communications and resources of the team.

  • Extern åtkomst är för en extern användare som inte har ett B2B-konto.External access is for an external user that does not have a B2B account. Extern åtkomst kan inkludera inbjudningar och deltagande i samtal, chattar och möten, men inte grupp medlemskap och åtkomst till teamens resurser.External access can include invitations and participation in calls, chats, and meetings, but does not include team membership and access to the resources of the team.

Mer information finns i jämförelsen mellan gäst och extern åtkomst för Teams.For more information, see the comparison between guest and external access for teams.

Principer för villkorsstyrd åtkomst gäller endast för gäst åtkomst i Teams eftersom det finns ett motsvarande Azure AD B2B-konto.Conditional Access policies only apply to guest access in Teams because there is a corresponding Azure AD B2B account.

Se Policy rekommendationer för att skydda Teams, grupper och filer för att få mer information om att skydda identitets-och enhets åtkomst principer för Teams.See Policy recommendations for securing Teams chats, groups, and files for more information about securing identity and device access policies for Teams.

Kräv MFA alltid för gäst-och externa användareRequire MFA always for guest and external users

Den här principen ber dig registrera gäster för MFA i klient organisationen, oavsett om de är registrerade för MFA i sin hem klient organisation.This policy prompts guests to register for MFA in your tenant, regardless of whether they're registered for MFA in their home tenant. När du får åtkomst till resurser i klient organisationen måste gäst och externa användare använda MFA för varje begäran.When accessing resources in your tenant, guest and external users are required to use MFA for every request.

Exkluderar gäst och externa användare från riskfyllda MFAExcluding guest and external users from risk-based MFA

Trots att organisationer kan använda riskbaserade principer för B2B-användare som använder Azure AD Identity Protection finns det begränsningar i implementeringen av Azure AD Identity Protection för B2B-samarbets användare i en resurs katalog på grund av deras identitet i sin Hem Katalog.While organizations can enforce risk-based policies for B2B users using Azure AD Identity Protection, there are limitations in the implementation of Azure AD Identity Protection for B2B collaboration users in a resource directory due to their identity existing in their home directory. På grund av dessa begränsningar rekommenderar Microsoft att du exkluderar gäst användare från riskfyllda principer och kräver att dessa användare alltid använder MFA.Due to these limitations, Microsoft recommends you exclude guest users from risk-based MFA policies and require these users to always use MFA.

Mer information finns i begränsningar för identitets skydd för B2B-samarbets användare.For more information, see Limitations of Identity Protection for B2B collaboration users.

Exkludera gäst-och externa användare från enhets hanteringExcluding guest and external users from device management

Endast en organisation kan hantera en enhet.Only one organization can manage a device. Om du inte utesluter gäst-och externa användare från principer som kräver att enheter efterlevs blockerar dessa användare.If you don't exclude guest and external users from policies that require device compliance, these policies will block these users.

Nästa stegNext step

Steg 4: principer för Microsoft 365-molnappar

Konfigurera principer för villkorsstyrd åtkomst för:Configure Conditional Access policies for: