Delen via

Beleid voor het toestaan van gasttoegang en B2B externe gebruikerstoegang

  • Artikel

In dit artikel wordt beschreven hoe u het aanbevolen beleid voor Zero Trust-identiteit en apparaattoegang aanpast om toegang toe te staan voor gasten en externe gebruikers met een Microsoft Entra Business-to-Business-account (B2B). Deze richtlijnen zijn gebaseerd op het gedeelde identiteits- en apparaattoegangsbeleid.

Deze aanbevelingen zijn ontworpen om van toepassing te zijn op het startpunt beveiligingslaag. Maar u kunt de aanbevelingen ook aanpassen op basis van uw specifieke behoeften voor enterprise en gespecialiseerde veiligheid.

Het opgeven van een pad voor B2B-accounts voor verificatie bij uw Microsoft Entra-organisatie geeft deze accounts geen toegang tot uw hele omgeving. B2B-gebruikers en hun accounts hebben toegang tot services en resources (bijvoorbeeld bestanden) die zijn aangewezen door beleid voor voorwaardelijke toegang.

Het algemene beleid bijwerken om gasten en externe gebruikerstoegang toe te staan en te beveiligen

In dit diagram ziet u welke beleidsregels moeten worden toegevoegd of bijgewerkt onder het algemene beleid voor identiteits- en apparaattoegang, voor B2B-gast- en externe gebruikerstoegang:

diagram met de samenvatting van beleidsupdates voor het beveiligen van gasttoegang.

De volgende tabel bevat de beleidsregels die u moet maken en bijwerken. De algemene beleidsregels zijn gekoppeld aan de bijbehorende configuratie-instructies in Algemene beleidsregels voor identiteit en apparaattoegang.

Beveiligingsniveau Beleid Meer informatie
beginpunt MFA altijd vereisen voor gasten en externe gebruikers Maak dit nieuwe beleid en configureer de volgende instellingen:
  • toewijzingen>Gebruikers>>Gebruikers en groepen selecteren: selecteer Gast- of externe gebruikersen selecteer vervolgens alle beschikbare gebruikerstypen:
    • gastgebruikers van B2B-samenwerking
    • B2B-samenwerkingslidgebruikers
    • B2B-gebruikers rechtstreeks verbinden
    • lokale gastgebruikers
    • Serviceprovider-gebruikers
    • Andere externe gebruikers
  • toewijzingen>voorwaarden>aanmeldingsrisico's: selecteer alle beschikbare risicowaarden:
    • Geen risico
    • laag
    • gemiddelde
    • Hoog
MFA vereisen wanneer het aanmeldrisico gemiddeld of hoog is Wijzig dit beleid om gasten en externe gebruikers uit te sluiten.

Als u gasten en externe gebruikers wilt uitsluiten van beleid voor voorwaardelijke toegang, gaat u naar Toewijzingen>Gebruikers>Uitsluiten>Gebruikers en groepen selecteren: selecteer Gast- of externe gebruikersen selecteer vervolgens alle beschikbare gebruikerstypen:

  • gastgebruikers van B2B-samenwerking
  • B2B-samenwerkingslidgebruikers
  • B2B-gebruikers van directe verbindingen
  • lokale gastgebruikers
  • serviceprovidergebruikers
  • Andere externe gebruikers

Schermopname van de besturingselementen voor het uitsluiten van gasten en externe gebruikers.

Meer informatie

Gasten en externe gebruikerstoegang met Microsoft Teams

Microsoft Teams definieert de volgende gebruikers:

  • gasttoegang een Microsoft Entra B2B-account gebruikt dat als lid van een team kan worden toegevoegd en toegang heeft tot de communicatie en bronnen van het team.
  • Externe toegang is bedoeld voor een externe gebruiker die geen B2B-account heeft. Externe gebruikerstoegang omvat uitnodigingen, oproepen, chats en vergaderingen, maar bevat geen teamlidmaatschap en toegang tot de resources van het team.

Zie Externe toegang en gasttoegang vergelijken in Teamsvoor meer informatie.

Zie Beleidsaanaanvelingen voor het beveiligen van Teams-chats, -groepen en -bestandenvoor meer informatie over het beveiligen van beleid voor identiteit en apparaattoegang voor Teams.

MFA altijd vereisen voor gast- en externe gebruikers

Voor dit beleid moeten gasten zich registreren voor MFA in uw organisatie, ongeacht of ze zijn geregistreerd voor MFA in hun thuisorganisatie. Gasten en externe gebruikers in uw organisatie moeten MFA gebruiken voor elke aanvraag voor toegang tot resources.

Gasten en externe gebruikers uitsluiten van MFA op basis van risico's

Hoewel organisaties risicogebaseerde beleidsregels kunnen afdwingen voor B2B-gebruikers die Microsoft Entra ID Protection gebruiken, gelden er beperkingen in een resourcemap omdat hun identiteit bestaat in hun basismap. Vanwege deze beperkingen wordt u aangeraden gasten uit te sluiten van MFA-beleid op basis van risico's en te vereisen dat deze gebruikers altijd MFA gebruiken.

Zie Beperkingen van id-beveiliging voor B2B-samenwerkingsgebruikersvoor meer informatie.

Gasten en externe gebruikers uitsluiten van apparaatbeheer

Slechts één organisatie kan een apparaat beheren. Als u gasten en externe gebruikers niet uitsluit van beleid waarvoor apparaatnaleving is vereist, blokkeren deze beleidsregels deze gebruikers.

Volgende stap

Schermopname van het beleid voor Microsoft 365-cloud-apps en Microsoft Defender voor Cloud Apps.

Beleid voor voorwaardelijke toegang configureren voor: