Zásady pro povolení přístupu hostů a přístupu externího uživatele B2B
Tento článek popisuje úpravu doporučených zásad nulové důvěry pro identitu a přístupu zařízení, aby umožňovaly přístup hostům a externím uživatelům, kteří mají účet Microsoft Entra Business-to-Business (B2B). Tyto pokyny vycházejí z běžných zásad přístupu k identitám a zařízením.
Tato doporučení jsou navržená tak, aby platila pro výchozí bod vrstvy ochrany. Doporučení ale můžete také upravit na základě konkrétních potřeb podniku a specializované ochrany zabezpečení.
Poskytnutí cesty pro účty B2B k ověření ve vaší organizaci Microsoft Entra neposkytuje těmto účtům přístup k celému prostředí. Uživatelé B2B a jejich účty mají přístup ke službám a prostředkům (například souborům) určeným zásadami podmíněného přístupu.
Aktualizace běžných zásad pro povolení a ochranu hostů a přístupu externích uživatelů
Tento diagram znázorňuje, které zásady se mají přidat nebo aktualizovat mezi běžné zásady identit a přístupu zařízení pro hosta B2B a externího uživatele:
Následující tabulka uvádí zásady, které potřebujete vytvořit a aktualizovat. Společné zásady odkazují na přidružené pokyny ke konfiguraci v Společné zásady identity a přístupu zařízení.
| Úroveň ochrany | Zásady | Další informace |
|---|---|---|
| výchozí bod | Vyžadovat vícefaktorové ověřování vždy pro hosty a externí uživatele | Vytvořte tuto novou zásadu a nakonfigurujte následující nastavení:
|
| Vyžadovat vícefaktorové ověřování pokud je riziko přihlášení střední nebo vysoké | Upravte tuto zásadu tak, aby se vyloučili hosté a externí uživatelé. |
Pokud chcete vyloučit hosty a externí uživatele ze zásad podmíněného přístupu, přejděte na Přiřazení>Uživatelé>Vyloučit>Vybrat uživatele a skupiny: Vyberte Host nebo externí uživateléa pak vyberte všechny dostupné typy uživatelů:
- hostujících uživatelů pro spolupráci B2B
- uživatelé členové spolupráce B2B
- uživatelé přímého B2B připojení
- místní uživatelé typu host
- uživatelé poskytovatele služeb
- jiní externí uživatelé
Další informace
Přístup hostů a externích uživatelů v Microsoft Teams
Microsoft Teams definuje následující uživatele:
- přístup hostů používá účet Microsoft Entra B2B, který je možné přidat jako člen týmu a mít přístup ke komunikaci a prostředkům týmu.
- externí přístup je pro externího uživatele, který nemá účet B2B. Přístup externího uživatele zahrnuje pozvánky, hovory, chaty a schůzky, ale nezahrnuje členství v týmu a přístup k prostředkům týmu.
Další informace najdete v tématu Porovnání externího přístupu a přístupu hostů v Teams.
Další informace o zabezpečení zásad přístupu k identitám a zařízením pro Teams najdete v tématu Doporučení zásad pro zabezpečení chatů, skupin a souborů Teams.
Vyžadovat vícefaktorové ověřování vždy pro hosta a externí uživatele
Tato zásada vyžaduje, aby se hosté ve vaší organizaci registrovali k vícefaktorové autentizaci, bez ohledu na to, zda jsou registrováni pro vícefaktorovou autentizaci ve své domovské organizaci. Hosté a externí uživatelé ve vaší organizaci musí používat vícefaktorové ověřování pro každou žádost o přístup k prostředkům.
Vyloučení hostů a externích uživatelů z vícefaktorového ověřování založeného na riziku
Organizace sice můžou vynucovat zásady založené na rizicích pro uživatele B2B pomocí služby Microsoft Entra ID Protection, ale v adresáři prostředků existují omezení, protože jejich identita existuje ve svém domovském adresáři. Vzhledem k těmto omezením doporučujeme vyloučit hosty ze zásad vícefaktorového ověřování na základě rizik a vyžadovat, aby tito uživatelé vždy používali vícefaktorové ověřování.
Další informace najdete v tématu Omezení ochrany ID pro uživatele spolupráce B2B.
Vyloučení hostů a externích uživatelů ze správy zařízení
Zařízení může spravovat jenom jedna organizace. Pokud z zásad, které vyžadují dodržování předpisů zařízením, nevyloučíte hosty a externí uživatele, tyto zásady tyto uživatele zablokují.
Další krok
Konfigurace zásad podmíněného přístupu pro: