Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
This article discusses adjusting the recommended Zero Trust identity and device access policies to allow access for guests and external users that have a Microsoft Entra Business-to-Business (B2B) account. This guidance builds on the common identity and device access policies.
These recommendations are designed to apply to the starting point tier of protection. But you can also adjust the recommendations based on your specific needs for enterprise and specialized security protection.
Udostępnienie ścieżki dla kont B2B do uwierzytelniania w organizacji Microsoft Entra nie daje tym kontom dostępu do całego Twojego środowiska. Użytkownicy B2B i ich konta mają dostęp do usług i zasobów (na przykład plików) wyznaczonych przez zasady dostępu warunkowego.
Aktualizowanie typowych zasad w celu zezwolenia na dostęp gości i użytkowników zewnętrznych oraz ich ochrony
W poniższej tabeli wymieniono zasady, które należy utworzyć i zaktualizować. The common policies link to the associated configuration instructions in Common identity and device access policies.
| Poziom ochrony | Polityki | Więcej informacji |
|---|---|---|
| punkt początkowy | Wymagaj uwierzytelniania wieloskładnikowego zawsze dla gości i użytkowników zewnętrznych | Utwórz nowe zasady i skonfiguruj następujące ustawienia:
|
| Require MFA when sign-in risk is medium or high | Zmodyfikuj te zasady, aby wykluczyć gości i użytkowników zewnętrznych. |
To exclude guests and external users from Conditional Access policies, go to Assignments>Users>Exclude>Select users and groups: Select Guest or external users, and then select all of the available user types:
- B2B collaboration guest users
- B2B collaboration member users
- B2B direct connect users
- lokalnych użytkowników-gości
- Service provider users
- inni użytkownicy zewnętrzni
Więcej informacji
Goście i dostęp użytkowników zewnętrznych za pomocą usługi Microsoft Teams
Usługa Microsoft Teams definiuje następujących użytkowników:
- Guest access uses a Microsoft Entra B2B account that can be added as a member of a team and have access to the communications and resources of the team.
- dostęp zewnętrzny jest przeznaczony dla użytkownika zewnętrznego, który nie ma konta B2B. Dostęp użytkowników zewnętrznych obejmuje zaproszenia, połączenia, czaty i spotkania, ale nie obejmuje członkostwa w zespole i dostępu do zasobów zespołu.
For more information, see Compare external access and guest access in Teams.
For more information on securing identity and device access policies for Teams, see Zero Trust considerations for Microsoft Teams.
Wymagaj uwierzytelniania wieloskładnikowego zawsze dla użytkowników-gości i użytkowników zewnętrznych
Te zasady wymagają od gości zarejestrowania się w usłudze MFA w organizacji niezależnie od tego, czy są zarejestrowani w usłudze MFA w swojej organizacji domowej. Goście i użytkownicy zewnętrzni w organizacji muszą używać uwierzytelniania wieloskładnikowego dla każdego żądania dostępu do zasobów.
Excluding guests and external users from risk-based MFA
Chociaż organizacje mogą wymuszać zasady oparte na ryzyku dla użytkowników B2B przy użyciu usługi Microsoft Entra ID Protection, istnieją ograniczenia w katalogu zasobów, ponieważ ich tożsamość istnieje w katalogu macierzysnym. Ze względu na te ograniczenia zalecamy wykluczenie gości z zasad uwierzytelniania wieloskładnikowego opartego na ryzyku i wymaganie, aby ci użytkownicy zawsze używali uwierzytelniania wieloskładnikowego.
Aby uzyskać więcej informacji, zobacz Ograniczenia ochrony identyfikatorów dla użytkowników współpracy B2B.
Wykluczanie gości i użytkowników zewnętrznych z zarządzania urządzeniami
Tylko jedna organizacja może zarządzać urządzeniem. Jeśli nie wykluczysz gości i użytkowników zewnętrznych z zasad, które wymagają zgodności urządzeń, te zasady blokują tych użytkowników.
Następny krok
Configure additional policies for: