Compartir a través de

Directivas para permitir el acceso B2B de invitados y usuarios externos

  • Artículo

En este artículo se describe el ajuste de las directivas recomendadas de acceso de identidades y dispositivos de Confianza cero para permitir el acceso a usuarios invitados y externos que tengan una cuenta de Microsoft Entra Business-to-Business (B2B). Esta guía se basa en la directivas comunes de identidad y acceso a dispositivos.

Estas recomendaciones están diseñadas para aplicarse nivel de protección de punto inicial. Pero también puede ajustar las recomendaciones según sus necesidades específicas para protección empresarial y seguridad especializada .

Proporcionar una ruta de acceso para que las cuentas B2B se autentiquen con su organización de Microsoft Entra no concede a estas cuentas acceso a todo el entorno. Los usuarios B2B y sus cuentas tienen acceso a servicios y recursos (por ejemplo, archivos) designados por la directiva de acceso condicional.

Actualización de las directivas comunes para permitir y proteger el acceso de invitados y usuarios externos

En este diagrama se muestran las directivas que se van a agregar o actualizar entre las directivas comunes de acceso a identidades y dispositivos, para el acceso de usuario invitado b2B y externo:

Diagrama que muestra el resumen de las actualizaciones de directivas para proteger el acceso de invitado.

En la tabla siguiente se enumeran las directivas que necesita para crear y actualizar. Las directivas comunes están vinculadas a las instrucciones de configuración asociadas en directivas comunes de identidad y acceso a dispositivos.

Nivel de protección Políticas Más información
punto de partida Requerir MFA siempre para invitados y usuarios externos Cree esta nueva directiva y configure las siguientes opciones:
  • Asignaciones>Usuarios>Incluir>Seleccionar usuarios y grupos: Seleccione Usuarios invitados o externosy, a continuación, seleccione todos los tipos de usuario disponibles:
    • usuarios invitados de colaboración en el ámbito B2B
    • Usuarios miembros de colaboración B2B
    • Usuarios de conexión directa B2B
    • usuarios invitados locales
    • usuarios del proveedor de servicios
    • otros usuarios externos
  • Asignaciones>Condiciones>Riesgo de inicio de sesión: seleccione todos los valores de riesgo disponibles:
    • sin riesgo
    • Bajo
    • Medio
    • Alto
Exigir la MFA cuando el riesgo de inicio de sesión sea medio o alto Modifique esta directiva para excluir invitados y usuarios externos.

Para excluir invitados y usuarios externos de las directivas de acceso condicional, vaya a Asignaciones>Usuarios>Excluir>Seleccionar usuarios y grupos: seleccione usuarios invitados o externosy, a continuación, seleccione todos los tipos de usuario disponibles:

  • usuarios invitados para colaboración B2B
  • Usuarios miembros de colaboración B2B
  • Usuarios de conexión directa B2B
  • usuarios invitados locales
  • usuarios del proveedor de servicios
  • otros usuarios externos

Captura de pantalla de los controles para excluir invitados y usuarios externos.

Más información

Acceso de invitados y usuarios externos con Microsoft Teams

Microsoft Teams define los siguientes usuarios:

  • Acceso de Invitado usa una cuenta de Microsoft Entra B2B que se puede agregar como miembro de un equipo y tener acceso a las comunicaciones y a los recursos del equipo.
  • El acceso externo es para un usuario externo que no tiene una cuenta B2B. El acceso de usuario externo incluye invitaciones, llamadas, chats y reuniones, pero no incluye pertenencia al equipo ni acceso a los recursos del equipo.

Para obtener más información, consulte Comparación del acceso externo y el acceso de invitado en Teams.

Para obtener más información sobre cómo proteger las directivas de acceso de identidades y dispositivos para Teams, consulte Recomendaciones de directivas para proteger chats, grupos y archivos de Teams.

Requerir MFA siempre para usuarios invitados y externos

Esta directiva requiere que los invitados se registren en MFA en su organización, independientemente de si están registrados para MFA en su organización principal. Los invitados y los usuarios externos de su organización deben usar MFA para cada solicitud de acceso a los recursos.

Exclusión de invitados y usuarios externos de MFA basado en riesgos

Aunque las organizaciones pueden aplicar directivas basadas en riesgos para los usuarios de B2B mediante la Protección de Identidades de Microsoft Entra, hay limitaciones en un directorio de recursos porque su identidad existe en su directorio principal. Debido a estas limitaciones, se recomienda excluir a los invitados de las directivas de MFA basadas en riesgos y exigir que estos usuarios usen siempre MFA.

Para obtener más información, consulte Limitaciones de la protección de identificadores para usuarios de colaboración B2B.

Exclusión de invitados y usuarios externos de la administración de dispositivos

Solo una organización puede administrar un dispositivo. Si no excluye invitados y usuarios externos de directivas que requieren cumplimiento de dispositivos, estas directivas bloquean a estos usuarios.

Paso siguiente

Captura de pantalla de las directivas para aplicaciones en la nube de Microsoft 365 y Microsoft Defender for Cloud Apps.

Configure directivas de acceso condicional para: