规划 Microsoft Entra B2B 协作部署
与外部合作伙伴的安全协作可确保他们在预期持续时间内拥有内部资源的正确访问。 了解用于降低安全风险、满足合规性目标并确保准确访问的治理做法。
治理优势
受管控的协作可提高访问所有权明确性,减少暴露敏感资源,并使你能够证明访问策略。
- 管理外部组织及其访问资源的用户
- 确保访问正确、经过评审且有时间限制
- 使业务所有者能够使用委派管理协作
协作方法
传统上,组织使用以下两种方法之一进行协作:
- 为外部用户创建本地托管的凭据,或
- 与合作伙伴标识提供者 (IdP) 建立联合关系
这两种方法都有缺点。 有关详细信息,请参阅下表。
| 关注区域 | 本地凭据 | 联合 |
|---|---|---|
| 安全性 | - 外部用户终止后访问将继续 - 默认情况下,用户类型为“成员”,这会授予过多默认访问权限 |
- 无用户级别可见性 - 合作伙伴安全状况未知 |
| 费用 | - 密码和多重身份验证 (MFA) 管理 - 载入过程 - 标识清理 - 运行单独目录的开销 |
小型合作伙伴负担不起基础结构的费用,缺乏专业知识,因而可能使用的是消费者电子邮件 |
| 复杂性 | 合作伙伴用户管理着更多凭据 | 每新增一位合作伙伴都会增加复杂性,对合作伙伴的复杂程度也随之增加 |
Microsoft Entra B2B 集成了 Microsoft Entra ID 中的其他工具以及 Microsoft 365 服务。 Microsoft Entra B2B 简化了协作、降低了费用并提高了安全性。
Microsoft Entra B2B 优势
- 如果禁用或删除主标识,外部用户将无法访问资源
- 用户主页 IdP 会处理身份验证和凭据管理
- 资源租户控制来宾用户访问和授权
- 与具有电子邮件地址但没有基础结构的用户协作
- IT 部门不会通过带外连接来设置访问或联合
- 来宾用户访问受到与内部用户相同的安全流程保护
- 无需额外的凭据即可清除最终用户体验
- 用户无需 IT 部门参与即可与合作伙伴协作
- Microsoft Entra 目录中的来宾默认权限不受限或高度受限