Een beveiligingsplan maken voor externe toegang tot resources
Voordat u een beveiligingsplan voor externe toegang maakt, raadpleegt u de volgende twee artikelen, die context en informatie voor het beveiligingsplan toevoegen.
- Uw beveiligingspostuur bepalen voor externe toegang met Microsoft Entra-id
- De huidige status van externe samenwerking in uw organisatie ontdekken
Voordat u begint
Dit artikel is nummer 3 in een reeks van 10 artikelen. We raden u aan de artikelen op volgorde te bekijken. Ga naar de sectie Volgende stappen om de hele reeks weer te geven.
Documentatie voor beveiligingsplannen
Documenteer de volgende informatie voor uw beveiligingsplan:
- Toepassingen en resources gegroepeerd voor toegang
- Aanmeldingsvoorwaarden voor externe gebruikers
- Apparaatstatus, aanmeldingslocatie, vereisten voor clienttoepassingen, gebruikersrisico,enzovoort.
- Beleid voor het bepalen van de timing voor beoordelingen en het verwijderen van toegang
- Gebruikerspopulaties gegroepeerd voor vergelijkbare ervaringen
Als u het beveiligingsplan wilt implementeren, kunt u microsoft-beleid voor identiteits- en toegangsbeheer of een andere id-provider (IdP) gebruiken.
Meer informatie: Overzicht van identiteits- en toegangsbeheer
Groepen gebruiken voor toegang
Zie de volgende koppelingen naar artikelen over strategieën voor resourcegroepering:
- Microsoft Teams groepeert bestanden, gespreksthreads en andere resources
- Een strategie voor externe toegang formuleren voor Teams
- Zie, Externe toegang tot Microsoft Teams, SharePoint en OneDrive voor Bedrijven beveiligen met Microsoft Entra-id
- Gebruik rechtenbeheertoegangspakketten om pakketbeheer van toepassingen, groepen, teams, SharePoint-sites enzovoort te maken en delegeren.
- Beleid voor voorwaardelijke toegang toepassen op maximaal 250 toepassingen, met dezelfde toegangsvereisten
- Toegang definiëren voor toepassingsgroepen van externe gebruikers
Documenteer de gegroepeerde toepassingen. Overwegingen zijn onder andere:
- Risicoprofiel : het risico beoordelen als een slechte actor toegang krijgt tot een toepassing
- Identificeer de toepassing als hoog, gemiddeld of laag risico. U wordt aangeraden geen hoog risico met laag risico te groeperen.
- Toepassingen documentren die niet kunnen worden gedeeld met externe gebruikers
- Nalevingsframeworks - nalevingsframeworks voor apps bepalen
- Vereisten voor toegang identificeren en controleren
- Toepassingen voor rollen of afdelingen : toepassingen evalueren die zijn gegroepeerd voor rol of afdeling, toegang
- Samenwerkingstoepassingen : identificeer samenwerkingstoepassingen die externe gebruikers kunnen openen, zoals Teams of SharePoint
- Voor productiviteitstoepassingen hebben externe gebruikers mogelijk licenties of biedt u toegang
Documenteer de volgende informatie voor toegang tot toepassingen en resourcegroepen door externe gebruikers.
- Beschrijvende groepsnaam, bijvoorbeeld High_Risk_External_Access_Finance
- Toepassingen en resources in de groep
- Eigenaren van toepassingen en resources en hun contactgegevens
- Het IT-team beheert de toegang of het beheer wordt gedelegeerd aan een bedrijfseigenaar
- Vereisten voor toegang: achtergrondcontrole, training, enzovoort.
- Nalevingsvereisten voor toegang tot resources
- Uitdagingen, bijvoorbeeld meervoudige verificatie voor sommige resources
- Frequentie voor beoordelingen, door wie en waar de resultaten worden gedocumenteerd
Tip
Gebruik dit type governanceplan voor interne toegang.
Aanmeldingsvoorwaarden voor externe gebruikers vastleggen
Bepaal de aanmeldingsvereisten voor externe gebruikers die toegang aanvragen. Basisvereisten voor het resourcerisicoprofiel en de risicoanalyse van de gebruiker tijdens het aanmelden. Configureer aanmeldvoorwaarden met behulp van voorwaardelijke toegang: een voorwaarde en een resultaat. U kunt bijvoorbeeld meervoudige verificatie vereisen.
Meer informatie: Wat is voorwaardelijke toegang?
Aanmeldingsvoorwaarden voor resourcerisicoprofielen
Overweeg de volgende op risico's gebaseerde beleidsregels om meervoudige verificatie te activeren.
- Laag - meervoudige verificatie voor sommige toepassingssets
- Gemiddeld : meervoudige verificatie wanneer andere risico's aanwezig zijn
- Hoog : externe gebruikers gebruiken altijd meervoudige verificatie
Meer informatie:
- Zelfstudie: Meervoudige verificatie afdwingen voor B2B-gastgebruikers
- Meervoudige verificatie van externe tenants vertrouwen
Aanmeldingsvoorwaarden voor gebruikers en apparaten
Gebruik de volgende tabel om het beleid te evalueren om risico's aan te pakken.
| Gebruikers- of aanmeldingsrisico | Voorgesteld beleid |
|---|---|
| Apparaat | Compatibele apparaten vereisen |
| Mobiele apps | Goedgekeurde toepassingen vereisen |
| Gebruikersrisico van Microsoft Entra ID Protection is hoog | Vereisen dat de gebruiker het wachtwoord wijzigt |
| Netwerklocatie | Als u toegang wilt krijgen tot vertrouwelijke projecten, moet u zich aanmelden vanuit een IP-adresbereik |
Als u de apparaatstatus wilt gebruiken als beleidsinvoer, registreert of koppelt u het apparaat aan uw tenant. Als u de apparaatclaims van de thuistenant wilt vertrouwen, configureert u instellingen voor toegang tussen tenants. Zie instellingen voor binnenkomende toegang wijzigen.
U kunt risicobeleid voor identiteitsbeveiliging gebruiken. Beperk echter problemen in de tenant van de gebruiker thuis. Zie Common Conditional Access policy: Sign-in risk-based multifactor authentication.
Voor netwerklocaties kunt u de toegang beperken tot IP-adresbereiken die u bezit. Gebruik deze methode als externe partners toegang hebben tot toepassingen op uw locatie. Zie, Voorwaardelijke toegang: Toegang blokkeren op locatie
Beleid voor toegangsbeoordeling vastleggen
Documentbeleidsregels die bepalen wanneer de toegang tot resources moet worden gecontroleerd en accounttoegang voor externe gebruikers moeten worden verwijderd. Invoer kan het volgende omvatten:
- Vereisten voor nalevingsframeworks
- Intern bedrijfsbeleid en interne bedrijfsprocessen
- Gebruikersgedrag
Over het algemeen passen organisaties het beleid aan, maar houd rekening met de volgende parameters:
- Toegangsbeoordelingen voor rechtenbeheer:
- Levenscyclus-instellingen wijzigen voor een toegangspakket in rechtenbeheer
- Een toegangsbeoordeling van een toegangspakket maken in rechtenbeheer
- Een verbonden organisatie toevoegen aan rechtenbeheer: Groepsgebruikers van een partner en beoordelingen plannen
- Microsoft 365-groepen
- Opties:
- Als externe gebruikers geen toegangspakketten of Microsoft 365-groepen gebruiken, moet u bepalen wanneer accounts inactief of verwijderd worden
- Aanmelding verwijderen voor accounts die zich niet gedurende 90 dagen aanmelden
- Regelmatig toegang beoordelen voor externe gebruikers
Methoden voor toegangsbeheer
Sommige functies, zoals rechtenbeheer, zijn beschikbaar met een Microsoft Entra ID P1- of P2-licentie. Microsoft 365 E5- en Office 365 E5-licenties omvatten Microsoft Entra ID P2-licenties. Meer informatie vindt u in de volgende sectie rechtenbeheer.
Notitie
Licenties zijn voor één gebruiker. Daarom kunnen gebruikers, beheerders en bedrijfseigenaren gedelegeerd toegangsbeheer hebben. Dit scenario kan optreden met Microsoft Entra ID P2 of Microsoft 365 E5 en u hoeft geen licenties in te schakelen voor alle gebruikers. De eerste 50.000 externe gebruikers zijn gratis. Als u P2-licenties niet inschakelt voor andere interne gebruikers, kunnen ze geen rechtenbeheer gebruiken.
Andere combinaties van Microsoft 365, Office 365 en Microsoft Entra ID hebben functionaliteit voor het beheren van externe gebruikers. Zie de Richtlijnen voor Microsoft 365 voor beveiliging en naleving.
Toegang beheren met Microsoft Entra ID P2 en Microsoft 365 of Office 365 E5
Microsoft Entra ID P2, opgenomen in Microsoft 365 E5, heeft extra beveiligings- en governancemogelijkheden.
Toegang inrichten, aanmelden, controleren en de inrichting ongedaan maken
Vermeldingen vetgedrukt zijn aanbevolen acties.
| Functie | Externe gebruikers inrichten | Aanmeldingsvereisten afdwingen | Toegang beoordelen | De inrichting van toegang ongedaan maken |
|---|---|---|---|---|
| Microsoft Entra B2B-samenwerking | Uitnodigen via e-mail, eenmalig wachtwoord (OTP), selfservice | N.v.t. | Periodieke beoordeling van partners | Account verwijderen Aanmelding beperken |
| Rechtenbeheer | Gebruiker toevoegen op toewijzing of selfservicetoegang | N.v.t. | Toegangsbeoordelingen | Verloop van of verwijdering van toegangspakket |
| Office 365-groepen | N.v.t. | N.v.t. | Groepslidmaatschappen beoordelen | Verloop of verwijdering van groep Verwijderen uit groep |
| Microsoft Entra-beveiligingsgroepen | N.v.t. | Beleid voor voorwaardelijke toegang: voeg indien nodig externe gebruikers toe aan beveiligingsgroepen | N.v.t. | N.v.t. |
Resourcetoegang
Vermeldingen vetgedrukt zijn aanbevolen acties.
| Functie | Toegang tot apps en resources | Toegang tot SharePoint en OneDrive | Toegang tot Teams | E-mail- en documentbeveiliging |
|---|---|---|---|---|
| Rechtenbeheer | Gebruiker toevoegen op toewijzing of selfservicetoegang | Toegangspakketten | Toegangspakketten | N.v.t. |
| Office 365-groep | N.v.t. | Toegang tot sites en groepsinhoud | Toegang tot teams en groepsinhoud | N.v.t. |
| Vertrouwelijkheidslabels | N.v.t. | Toegang handmatig en automatisch classificeren en beperken | Toegang handmatig en automatisch classificeren en beperken | Toegang handmatig en automatisch classificeren en beperken |
| Microsoft Entra-beveiligingsgroepen | Beleid voor voorwaardelijke toegang is niet opgenomen in toegangspakketten | N.v.t. | N.v.t. | N.v.t. |
Rechtenbeheer
Gebruik rechtenbeheer om toegang tot groepen en teams, toepassingen en SharePoint-sites in te richten en de inrichting ervan ongedaan te maken. Definieer de verbonden organisaties die toegang hebben verleend, selfserviceaanvragen en goedkeuringswerkstromen. Om ervoor te zorgen dat de toegang correct wordt beëindigd, definieert u verloopbeleid en toegangsbeoordelingen voor pakketten.
Meer informatie: Een nieuw toegangspakket maken in rechtenbeheer
Toegang beheren met Microsoft Entra ID P1, Microsoft 365, Office 365 E3
Toegang inrichten, aanmelden, controleren en de inrichting ongedaan maken
Items vetgedrukt zijn aanbevolen acties.
| Functie | Externe gebruikers inrichten | Aanmeldingsvereisten afdwingen | Toegang beoordelen | De inrichting van toegang ongedaan maken |
|---|---|---|---|---|
| Microsoft Entra B2B-samenwerking | Uitnodigen per e-mail, OTP, selfservice | Directe B2B-federatie | Periodieke beoordeling van partners | Account verwijderen Aanmelding beperken |
| Microsoft 365- of Office 365-groepen | N.v.t. | N.v.t. | N.v.t. | Verloop of verwijdering van groep Verwijderen uit groep |
| Beveiligingsgroepen | N.v.t. | Externe gebruikers toevoegen aan beveiligingsgroepen (organisatie, team, project, enzovoort) | N.v.t. | N.v.t. |
| Beleid voor voorwaardelijke toegang | N.v.t. | Aanmeldbeleid voor voorwaardelijke toegang voor externe gebruikers | N.v.t. | N.v.t. |
Resourcetoegang
| Functie | Toegang tot apps en resources | Toegang tot SharePoint en OneDrive | Toegang tot Teams | E-mail- en documentbeveiliging |
|---|---|---|---|---|
| Microsoft 365- of Office 365-groepen | N.v.t. | Toegang tot groepssites en gekoppelde inhoud | Toegang tot Microsoft 365-groepsteams en bijbehorende inhoud | N.v.t. |
| Vertrouwelijkheidslabels | N.v.t. | Toegang handmatig classificeren en beperken | Toegang handmatig classificeren en beperken | Handmatig classificeren om te beperken en te versleutelen |
| Beleid voor voorwaardelijke toegang | Beleid voor voorwaardelijke toegang voor toegangsbeheer | N.v.t. | N.v.t. | N.v.t. |
| Andere methoden | N.v.t. | Toegang tot SharePoint-sites beperken met beveiligingsgroepen Direct delen niet toestaan |
Externe uitnodigingen van een team beperken | N.v.t. |
Volgende stappen
Gebruik de volgende reeks artikelen voor meer informatie over het beveiligen van externe toegang tot resources. U wordt aangeraden de vermelde bestelling te volgen.
Uw beveiligingspostuur bepalen voor externe toegang met Microsoft Entra-id
De huidige status van externe samenwerking in uw organisatie ontdekken
Een beveiligingsplan maken voor externe toegang tot resources (u bent hier)
Externe toegang beveiligen met groepen in Microsoft Entra ID en Microsoft 365
Overgang naar beheerde samenwerking met Microsoft Entra B2B-samenwerking
Externe toegang tot resources beheren met beleid voor voorwaardelijke toegang
Externe toegang tot resources in Microsoft Entra-id beheren met vertrouwelijkheidslabels
Lokale gastaccounts converteren naar Microsoft Entra B2B-gastaccounts