Tworzenie planu zabezpieczeń na potrzeby dostępu zewnętrznego do zasobów

Przed utworzeniem planu zabezpieczeń dostępu zewnętrznego zapoznaj się z następującymi dwoma artykułami, które dodają kontekst i informacje dotyczące planu zabezpieczeń.

• Określanie stanu zabezpieczeń na potrzeby dostępu zewnętrznego za pomocą identyfikatora Entra firmy Microsoft
• Odnajdywanie bieżącego stanu współpracy zewnętrznej w organizacji

Zanim rozpoczniesz

Ten artykuł jest numerem 3 w serii 10 artykułów. Zalecamy przejrzenie artykułów w kolejności. Przejdź do sekcji Następne kroki , aby wyświetlić całą serię.

Dokumentacja planu zabezpieczeń

W przypadku planu zabezpieczeń należy udokumentować następujące informacje:

• Aplikacje i zasoby pogrupowane pod kątem dostępu
• Warunki logowania dla użytkowników zewnętrznych
  • Stan urządzenia, lokalizacja logowania, wymagania aplikacji klienckiej, ryzyko użytkownika itd.
• Zasady określania chronometrażu przeglądów i usuwania dostępu
• Populacje użytkowników pogrupowane pod kątem podobnych środowisk

Aby zaimplementować plan zabezpieczeń, możesz użyć zasad zarządzania tożsamościami i dostępem firmy Microsoft lub innego dostawcy tożsamości.

Dowiedz się więcej: Omówienie zarządzania tożsamościami i dostępem

Używanie grup na potrzeby dostępu

Zobacz następujące linki do artykułów dotyczących strategii grupowania zasobów:

• Usługa Microsoft Teams grupuje pliki, wątki konwersacji i inne zasoby
  • Formułowanie strategii dostępu zewnętrznego dla usługi Teams
  • Zobacz Zabezpieczanie dostępu zewnętrznego do aplikacji Microsoft Teams, SharePoint i OneDrive dla Firm przy użyciu identyfikatora Entra firmy Microsoft
• Użyj pakietów dostępu do zarządzania upoważnieniami, aby tworzyć i delegować zarządzanie pakietami aplikacji, grup, zespołów, witryn programu SharePoint itd.
  • Tworzenie nowego pakietu dostępu w zarządzaniu upoważnieniami
• Stosowanie zasad dostępu warunkowego do maksymalnie 250 aplikacji z tymi samymi wymaganiami dostępu
  • Co to jest dostęp warunkowy?
• Definiowanie dostępu dla zewnętrznych grup aplikacji użytkowników
  • Omówienie: dostęp między dzierżawami za pomocą Tożsamość zewnętrzna Microsoft Entra

Dokumentowanie pogrupowanych aplikacji. Zagadnienia obejmują:

• Profil ryzyka — ocenianie ryzyka, jeśli zły aktor uzyska dostęp do aplikacji
  • Zidentyfikuj aplikację jako Wysoki, Średni lub Niski poziom ryzyka. Zalecamy, aby nie grupować wysokiego ryzyka z niskim ryzykiem.
  • Dokumentowanie aplikacji, które nie mogą być udostępniane użytkownikom zewnętrznym
• Struktury zgodności — określanie struktur zgodności dla aplikacji
  • Identyfikowanie wymagań dotyczących dostępu i przeglądu
• Aplikacje dla ról lub działów — ocenianie aplikacji pogrupowanych pod kątem roli lub działu, dostępu
• Aplikacje współpracy — identyfikowanie aplikacji współpracy, do których mogą uzyskiwać dostęp zewnętrzni użytkownicy, tacy jak Teams lub SharePoint
  • W przypadku aplikacji zwiększających produktywność użytkownicy zewnętrzni mogą mieć licencje lub możesz zapewnić dostęp

Dokumentuj następujące informacje dotyczące dostępu do aplikacji i grupy zasobów przez użytkowników zewnętrznych.

• Nazwa grupy opisowej, na przykład High_Risk_External_Access_Finance
• Aplikacje i zasoby w grupie
• Właściciele aplikacji i zasobów oraz ich informacje kontaktowe
• Zespół IT kontroluje dostęp lub kontrolę jest delegowany do właściciela firmy
• Wymagania wstępne dotyczące dostępu: sprawdzanie w tle, szkolenie itd.
• Wymagania dotyczące zgodności dotyczące uzyskiwania dostępu do zasobów
• Wyzwania, na przykład uwierzytelnianie wieloskładnikowe dla niektórych zasobów
• Cykl przeglądów, przez kogo i gdzie są udokumentowane wyniki

Napiwek

Użyj tego typu planu ładu na potrzeby dostępu wewnętrznego.

Warunki logowania dokumentów dla użytkowników zewnętrznych

Określ wymagania dotyczące logowania dla użytkowników zewnętrznych, którzy żądają dostępu. Podstawowe wymagania dotyczące profilu ryzyka zasobu i oceny ryzyka użytkownika podczas logowania. Konfigurowanie warunków logowania przy użyciu dostępu warunkowego: warunku i wyniku. Na przykład można wymagać uwierzytelniania wieloskładnikowego.

Dowiedz się więcej: Co to jest dostęp warunkowy?

Warunki logowania profilu ryzyka zasobów

Rozważ następujące zasady oparte na ryzyku, aby wyzwolić uwierzytelnianie wieloskładnikowe.

• Niski — uwierzytelnianie wieloskładnikowe dla niektórych zestawów aplikacji
• Średni — uwierzytelnianie wieloskładnikowe, gdy występują inne zagrożenia
• Wysoki — użytkownicy zewnętrzni zawsze używają uwierzytelniania wieloskładnikowego

Więcej informacji:

• Samouczek: wymuszanie uwierzytelniania wieloskładnikowego dla użytkowników-gości B2B
• Ufaj uwierzytelnianiu wieloskładnikowemu z dzierżaw zewnętrznych
  • Zobacz Konfigurowanie ustawień dostępu między dzierżawami na potrzeby współpracy B2B, Modyfikowanie ustawień dostępu przychodzącego

Warunki logowania użytkowników i urządzeń

Skorzystaj z poniższej tabeli, aby ocenić zasady w celu rozwiązania ryzyka.

Ryzyko związane z logowaniem lub użytkownikiem	Proponowane zasady
Urządzenie	Wymaganie zgodnych urządzeń
Aplikacje mobilne	Wymagaj zatwierdzonych aplikacji
Ochrona tożsamości Microsoft Entra ryzyko związane z użytkownikiem jest wysokie	Wymagaj od użytkownika zmiany hasła
Lokalizacja sieciowa	Aby uzyskać dostęp do poufnych projektów, wymagaj logowania z zakresu adresów IP

Aby użyć stanu urządzenia jako danych wejściowych zasad, zarejestruj lub dołącz urządzenie do dzierżawy. Aby ufać oświadczeniam urządzenia z dzierżawy głównej, skonfiguruj ustawienia dostępu między dzierżawami. Zobacz Modyfikowanie ustawień dostępu przychodzącego.

Można użyć zasad ryzyka ochrony tożsamości. Należy jednak rozwiązać problemy z dzierżawą główną użytkownika. Zobacz Typowe zasady dostępu warunkowego: uwierzytelnianie wieloskładnikowe oparte na ryzyku logowania.

W przypadku lokalizacji sieciowych można ograniczyć dostęp do zakresów adresów IP, których jesteś właścicielem. Użyj tej metody, jeśli partnerzy zewnętrzni uzyskują dostęp do aplikacji w lokalizacji. Zobacz: Dostęp warunkowy: blokowanie dostępu według lokalizacji

Zasady przeglądu dostępu do dokumentów

Zasady dokumentów, które określają, kiedy przeglądać dostęp do zasobów i usuwać dostęp do kont dla użytkowników zewnętrznych. Dane wejściowe mogą obejmować:

• Wymagania dotyczące platform zgodności
• Wewnętrzne zasady biznesowe i procesy
• Zachowanie użytkownika

Ogólnie rzecz biorąc, organizacje dostosowują zasady, jednak należy wziąć pod uwagę następujące parametry:

• Przeglądy dostępu do zarządzania upoważnieniami:
  • Zmienianie ustawień cyklu życia pakietu dostępu w zarządzaniu upoważnieniami
  • Tworzenie przeglądu dostępu pakietu dostępu w zarządzaniu upoważnieniami
  • Dodawanie połączonej organizacji w zarządzaniu upoważnieniami: grupuj użytkowników od partnera i zaplanuj przeglądy
• Grupy platformy Microsoft 365
  • Zasady wygasania grup platformy Microsoft 365
• Opcje:
  • Jeśli użytkownicy zewnętrzni nie korzystają z pakietów dostępu ani grup platformy Microsoft 365, określ, kiedy konta stają się nieaktywne lub usunięte
  • Usuwanie logowania dla kont, które nie logują się przez 90 dni
  • Regularne ocenianie dostępu dla użytkowników zewnętrznych

Metody kontroli dostępu

Niektóre funkcje, na przykład zarządzanie upoważnieniami, są dostępne z licencją Microsoft Entra ID P1 lub P2. Licencje platform Microsoft 365 E5 i Office 365 E5 obejmują licencje microsoft Entra ID P2. Dowiedz się więcej w poniższej sekcji zarządzania upoważnieniami.

Uwaga

Licencje są przeznaczone dla jednego użytkownika. W związku z tym użytkownicy, administratorzy i właściciele biznesowi mogą mieć delegowana kontrola dostępu. Ten scenariusz może wystąpić w przypadku usługi Microsoft Entra ID P2 lub Microsoft 365 E5 i nie musisz włączać licencji dla wszystkich użytkowników. Pierwsze 50 000 użytkowników zewnętrznych jest bezpłatnych. Jeśli nie włączysz licencji P2 dla innych użytkowników wewnętrznych, nie będą mogli korzystać z zarządzania upoważnieniami.

Inne kombinacje platform Microsoft 365, Office 365 i Microsoft Entra ID mają funkcje zarządzania użytkownikami zewnętrznymi. Zobacz Wskazówki dotyczące zabezpieczeń i zgodności platformy Microsoft 365.

Zarządzanie dostępem za pomocą identyfikatora P2 firmy Microsoft i rozwiązania Microsoft 365 lub Office 365 E5

Microsoft Entra ID P2, zawarty w rozwiązaniu Microsoft 365 E5, ma dodatkowe możliwości zabezpieczeń i ładu.

Aprowizuj, loguj się, przejrzyj dostęp i anuluj aprowizację

Wpisy pogrubione są zalecanymi akcjami.

Funkcja	Aprowizuj użytkowników zewnętrznych	Wymuszanie wymagań dotyczących logowania	Przegląd dostępu	Anulowanie aprowizacji dostępu
Microsoft Entra B2B collaboration	Zaproś za pośrednictwem poczty e-mail, jednorazowego hasła (OTP), samoobsługi	Nie dotyczy	Przegląd okresowy partnera	Usuwanie konta Ograniczanie logowania
Zarządzanie upoważnieniami	Dodawanie użytkownika przez przypisanie lub dostęp samoobsługowy	Nie dotyczy	Przeglądy dostępu	Wygaśnięcie lub usunięcie pakietu dostępu
Grupy usługi Office 365	Brak	Brak	Przeglądanie członkostwa w grupach	Wygaśnięcie lub usunięcie grupy Usuwanie z grupy
Grupy zabezpieczeń firmy Microsoft Entra	Nie dotyczy	Zasady dostępu warunkowego: dodaj użytkowników zewnętrznych do grup zabezpieczeń zgodnie z potrzebami	Brak	Brak

Dostęp do zasobów

Wpisy pogrubione są zalecanymi akcjami.

Funkcja	Dostęp do aplikacji i zasobów	Dostęp do programu SharePoint i usługi OneDrive	Dostęp do aplikacji Teams	Zabezpieczenia poczty e-mail i dokumentów
Zarządzanie upoważnieniami	Dodawanie użytkownika przez przypisanie lub dostęp samoobsługowy	Pakiety dostępu	Pakiety dostępu	Nie dotyczy
Grupa usługi Office 365	Nie dotyczy	Dostęp do witryn i zawartości grupy	Dostęp do zespołów i zawartości grupowej	Nie dotyczy
Etykiety wrażliwości	Nie dotyczy	Ręczne i automatyczne klasyfikowanie i ograniczanie dostępu	Ręczne i automatyczne klasyfikowanie i ograniczanie dostępu	Ręczne i automatyczne klasyfikowanie i ograniczanie dostępu
Grupy zabezpieczeń firmy Microsoft Entra	Zasady dostępu warunkowego dla dostępu nieuwzględniane w pakietach dostępu	Brak	NIE DOTYCZY	Brak

Zarządzanie upoważnieniami

Zarządzanie upoważnieniami umożliwia aprowizację i anulowanie aprowizacji dostępu do grup i zespołów, aplikacji i witryn programu SharePoint. Zdefiniuj połączone organizacje, którym udzielono dostępu, żądań samoobsługi i przepływów pracy zatwierdzania. Aby zapewnić prawidłowe zakończenie dostępu, zdefiniuj zasady wygasania i przeglądy dostępu dla pakietów.

Dowiedz się więcej: Tworzenie nowego pakietu dostępu w zarządzaniu upoważnieniami

Zarządzanie dostępem za pomocą usługi Microsoft Entra ID P1, Microsoft 365, Office 365 E3

Aprowizuj, loguj się, przejrzyj dostęp i anuluj aprowizację

Elementy pogrubione są zalecanymi akcjami.

Funkcja	Aprowizuj użytkowników zewnętrznych	Wymuszanie wymagań dotyczących logowania	Przegląd dostępu	Anulowanie aprowizacji dostępu
Microsoft Entra B2B collaboration	Zaproś pocztą e-mail, OTP, samoobsługę	Bezpośrednia federacja B2B	Przegląd okresowy partnera	Usuwanie konta Ograniczanie logowania
Grupy usługi Microsoft 365 lub Office 365	Brak	NIE DOTYCZY	Brak	Wygaśnięcie lub usunięcie grupy Usuwanie z grupy
Grupy zabezpieczeń	Nie dotyczy	Dodawanie użytkowników zewnętrznych do grup zabezpieczeń (organizacji, zespołu, projektu itd.)	Brak	Brak
Zasady dostępu warunkowego	Nie dotyczy	Zasady dostępu warunkowego logowania dla użytkowników zewnętrznych	Brak	Brak

Dostęp do zasobów

Funkcja	Dostęp do aplikacji i zasobów	Dostęp do programu SharePoint i usługi OneDrive	Dostęp do aplikacji Teams	Zabezpieczenia poczty e-mail i dokumentów
Grupy usługi Microsoft 365 lub Office 365	Nie dotyczy	Dostęp do witryn grupy i skojarzonej zawartości	Dostęp do zespołów grup platformy Microsoft 365 i skojarzonej zawartości	Nie dotyczy
Etykiety wrażliwości	Nie dotyczy	Ręczne klasyfikowanie i ograniczanie dostępu	Ręczne klasyfikowanie i ograniczanie dostępu	Ręczne klasyfikowanie w celu ograniczenia i zaszyfrowania
Zasady dostępu warunkowego	Zasady dostępu warunkowego na potrzeby kontroli dostępu	Brak	NIE DOTYCZY	Brak
Inne metody	Nie dotyczy	Ograniczanie dostępu do witryny programu SharePoint przy użyciu grup zabezpieczeń Nie zezwalaj na bezpośrednie udostępnianie	Ograniczanie zaproszeń zewnętrznych od zespołu	Nie dotyczy

Następne kroki

Skorzystaj z poniższej serii artykułów, aby dowiedzieć się więcej na temat zabezpieczania dostępu zewnętrznego do zasobów. Zalecamy przestrzeganie wymienionej kolejności.

1. Określanie stanu zabezpieczeń na potrzeby dostępu zewnętrznego za pomocą identyfikatora Entra firmy Microsoft

2. Odnajdywanie bieżącego stanu współpracy zewnętrznej w organizacji

3. Utwórz plan zabezpieczeń na potrzeby dostępu zewnętrznego do zasobów (jesteś tutaj)

4. Zabezpieczanie dostępu zewnętrznego za pomocą grup w usłudze Microsoft Entra ID i Microsoft 365

5. Przejście do zarządzanej współpracy z firmą Microsoft Entra B2B

6. Zarządzanie dostępem zewnętrznym za pomocą zarządzania upoważnieniami firmy Microsoft

7. Zarządzanie dostępem zewnętrznym do zasobów przy użyciu zasad dostępu warunkowego

8. Kontrolowanie dostępu zewnętrznego do zasobów w identyfikatorze Entra firmy Microsoft przy użyciu etykiet poufności

9. Zabezpieczanie dostępu zewnętrznego do aplikacji Microsoft Teams, SharePoint i OneDrive dla Firm przy użyciu identyfikatora Entra firmy Microsoft

10. Konwertowanie lokalnych kont gości na konta gości Microsoft Entra B2B