Principer för att tillåta gäståtkomst och åtkomst för externa B2B-användare
I den här artikeln beskrivs hur du justerar rekommenderade principer för noll förtroende-identitet och enhetsåtkomst för att ge åtkomst för gäster och externa användare som har ett B2B-konto (företag till företag) i Azure Active Directory (Azure AD). Den här vägledningen bygger på de gemensamma principerna för identitet och enhetsåtkomst.
Dessa rekommendationer är utformade för att gälla startnivån för skyddet. Men du kan också justera rekommendationerna utifrån dina specifika behov för företags- och specialsäkerhetsskydd.
Att ange en sökväg för B2B-konton att autentisera med Din Azure AD-klientorganisation ger inte dessa konton åtkomst till hela miljön. B2B-användare och deras konton har åtkomst till tjänster och resurser, som filer, som delas med dem genom villkorsstyrd åtkomstprincip.
Uppdatera vanliga principer för att tillåta och skydda gäster och extern användaråtkomst
Det här diagrammet visar vilka principer som ska läggas till eller uppdateras bland vanliga identitets- och enhetsåtkomstprinciper, för B2B-gäståtkomst och extern användaråtkomst.
I följande tabell finns de principer som du antingen behöver skapa och uppdatera. De gemensamma principerna länkar till de associerade konfigurationsanvisningarna i artikeln Principer för enhetsåtkomst och identiteter.
| Skyddsnivå | Policyer | Mer information |
|---|---|---|
| Startpunkt | Kräv MFA alltid för gäster och externa användare | Skapa den här nya principen och konfigurera:
|
| Kräv MFA när inloggningsrisken är medium eller hög | Ändra den här principen så att gäster och externa användare utesluts. |
Om du vill inkludera eller exkludera gäster och externa användare i villkorsstyrda åtkomstprinciper markerar du, för Uppgifter > Användare och grupper > Inkludera eller Exkludera , markera Alla gästanvändare och externa användare.
Mer information
Gäster och extern användaråtkomst med Microsoft Teams
Microsoft Teams definierar följande användare:
Gäståtkomst använder ett Azure AD B2B-konto som kan läggas till som medlem i ett team och har åtkomst till teamets kommunikation och resurser.
Extern åtkomst är för en extern användare som inte har ett B2B-konto. Extern användaråtkomst omfattar inbjudningar, samtal, chattar och möten, men omfattar inte teammedlemskap och åtkomst till teamets resurser.
Mer information finns i jämförelsen mellan gäster och extern användaråtkomst för team.
Mer information om hur du skyddar identitets- och enhetsåtkomstprinciper för Teams finns i Principrekommendationer för att skydda Teams, chattar,grupper och filer.
Kräv MFA alltid för gäst och externa användare
Med den här principen uppmanas gäster att registrera sig för MFA i klientorganisationen, oavsett om de är registrerade för MFA i sin hemklientorganisation. När du ska få åtkomst till resurser i klientorganisationen måste gäster och externa användare använda MFA för varje begäran.
Utesluta gäster och externa användare från riskbaserade MFA
Organisationer kan tillämpa riskbaserade principer för B2B-användare med Azure AD-identitetsskydd, men det finns begränsningar i implementeringen av Azure AD Identity Protection för användare av B2B-samarbete i en resurskatalog på grund av deras identitet som finns i deras hemkatalog. På grund av dessa begränsningar rekommenderar Microsoft att du exkluderar gäster från riskbaserade MFA-principer och kräver att dessa användare alltid använder MFA.
Mer information finns i Begränsningar av identitetsskydd för användare av B2B-samarbete.
Utesluta gäster och externa användare från enhetshantering
Det är bara en organisation som kan hantera en enhet. Om du inte exkluderar gäster och externa användare från principer som kräver enhetsefterlevnad blockeras dessa användare av de här principerna.
Nästa steg
Konfigurera principer för villkorsstyrd åtkomst för: