允许来宾访问和 B2B 外部用户访问的策略
本文讨论如何调整建议的零信任标识和设备访问策略,以允许具有Microsoft Entra企业到企业 (B2B) 帐户的来宾和外部用户访问。 本指南基于 通用标识和设备访问策略。
这些建议旨在应用于保护 的起点 层。 但你也可以根据 企业 和 专用安全 保护的特定需求来调整建议。
为 B2B 帐户提供向Microsoft Entra租户进行身份验证的路径不会授予这些帐户访问整个环境的访问权限。 B2B 用户及其帐户有权访问通过条件访问策略与他们共享的服务和资源,例如文件。
更新通用策略以允许和保护来宾和外部用户访问
此图显示了在通用标识和设备访问策略之间为 B2B 来宾和外部用户访问添加或更新的策略。
下表列出了需要创建和更新的策略。 常见策略链接到 通用标识和设备访问策略 一文中的关联配置说明。
| 保护级别 | 策略 | 更多信息 |
|---|---|---|
| 起点 | 要求始终对来宾和外部用户执行 MFA | Create此新策略并配置:
|
| 当登录风险中等或较高时需要 MFA | 修改此策略以排除来宾和外部用户。 |
若要在条件访问策略中包含或排除来宾和外部用户,对于“分配>用户和组>包括”或“排除”,检查“所有来宾和外部用户”。
更多信息
来宾和外部用户访问 Microsoft Teams
Microsoft Teams 定义以下用户:
来宾访问使用Microsoft Entra B2B 帐户,该帐户可以添加为团队成员并有权访问团队的通信和资源。
外部访问 适用于没有 B2B 帐户的外部用户。 外部用户访问包括邀请、通话、聊天和会议,但不包括团队成员身份和对团队资源的访问权限。
有关详细信息,请参阅 来宾与团队外部用户访问之间的比较。
有关保护 Teams 的标识和设备访问策略的详细信息,请参阅 保护 Teams 聊天、组和文件的策略建议。
要求始终对来宾和外部用户执行 MFA
此策略会提示来宾在租户中注册 MFA,无论他们是否已在其主租户中注册 MFA。 访问租户中资源的来宾和外部用户必须对每个请求使用 MFA。
从基于风险的 MFA 中排除来宾和外部用户
虽然组织可以使用 Microsoft Entra ID 保护 为 B2B 用户强制实施基于风险的策略,但资源目录中的 B2B 协作用户的Microsoft Entra ID 保护实现存在限制,因为他们的标识存在于其主目录中。 由于这些限制,Microsoft 建议你从基于风险的 MFA 策略中排除来宾,并要求这些用户始终使用 MFA。
有关详细信息,请参阅 B2B 协作用户的 ID 保护限制。
从设备管理中排除来宾和外部用户
只有一个组织可以管理设备。 如果不从需要设备合规性的策略中排除来宾和外部用户,这些策略会阻止这些用户。
后续步骤
为以下项配置条件访问策略:
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈