Создание плана безопасности для внешнего доступа к ресурсам
Перед созданием плана безопасности внешнего доступа ознакомьтесь со следующими двумя статьями, которые добавляют контекст и информацию для плана безопасности.
- Определение состояния безопасности для внешнего доступа с помощью идентификатора Microsoft Entra
- Обнаружение текущего состояния внешней совместной работы в организации
Подготовка к работе
Эта статья имеет номер 3 в серии из 10 статей. Мы рекомендуем ознакомиться с статьями по порядку. Перейдите к разделу "Дальнейшие действия ", чтобы просмотреть всю серию.
Документация по плану безопасности
Для плана безопасности задокументируйте следующие сведения:
- Приложения и ресурсы, сгруппированные для доступа
- Условия входа для внешних пользователей
- Состояние устройства, расположение входа, требования к клиентскому приложению, риск пользователя и т. д.
- Политики для определения времени для проверки и удаления доступа
- Группы пользователей, сгруппированные для аналогичных возможностей
Для реализации плана безопасности можно использовать политики управления удостоверениями и доступом Майкрософт или другого поставщика удостоверений (IdP).
Дополнительные сведения: Общие сведения об управлении удостоверениями и доступом
Использование групп для доступа
См. следующие ссылки на статьи о стратегиях группирования ресурсов:
- Файлы групп Microsoft Teams, потоки бесед и другие ресурсы
- Сформулировать стратегию внешнего доступа для Teams
- Просмотр, защита внешнего доступа к Microsoft Teams, SharePoint и OneDrive для бизнеса с помощью идентификатора Microsoft Entra
- Используйте пакеты управления правами для создания и делегирования управления пакетами приложений, групп, команд, сайтов SharePoint и т. д.
- Применение политик условного доступа к до 250 приложений с одинаковыми требованиями к доступу
- Определение доступа для групп приложений внешних пользователей
Задокументируйте группированные приложения. С этим связаны такие аспекты:
- Профиль риска — оценка риска, если плохой субъект получает доступ к приложению
- Определите приложение как высокий, средний или низкий риск. Рекомендуется не группировать высокий риск с низким риском.
- Документы приложений, которым не удается предоставить общий доступ внешним пользователям
- Платформы соответствия требованиям — определение платформ соответствия для приложений
- Определение требований к доступу и проверке
- Приложения для ролей или отделов — оценка приложений, сгруппированных по ролям или отделу, доступ
- Приложения для совместной работы— выявление внешних пользователей приложений совместной работы, например Teams или SharePoint
- Для приложений для повышения производительности внешние пользователи могут иметь лицензии или предоставить доступ
Задокументируйте следующие сведения о доступе к приложению и группе ресурсов внешними пользователями.
- Описательное имя группы, например High_Risk_External_Access_Finance
- Приложения и ресурсы в группе
- Владельцы приложений и ресурсов и контактные данные
- ИТ-команда управляет доступом или контролем делегируется владельцу бизнеса
- Необходимые условия для доступа: фоновая проверка, обучение и т. д.
- Требования к соответствию для доступа к ресурсам
- Проблемы, например многофакторная проверка подлинности для некоторых ресурсов
- Каденс для проверок, по которым и где результаты документируются
Совет
Используйте этот тип плана управления для внутреннего доступа.
Документирование условий входа для внешних пользователей
Определите требования к входу для внешних пользователей, запрашивающих доступ. Базовые требования к профилю риска ресурсов и оценке риска пользователя во время входа. Настройте условия входа с помощью условного доступа: условие и результат. Например, можно требовать многофакторную проверку подлинности.
Дополнительные сведения: Что такое условный доступ?
Условия входа в профиль ресурса
Рассмотрим следующие политики на основе рисков для активации многофакторной проверки подлинности.
- Низкая — многофакторная проверка подлинности для некоторых наборов приложений
- Средняя — многофакторная проверка подлинности при наличии других рисков
- Высокий уровень — внешние пользователи всегда используют многофакторную проверку подлинности
Подробнее:
- Руководство. Принудительное применение многофакторной проверки подлинности для гостевых пользователей B2B
- Доверять многофакторной проверке подлинности из внешних клиентов
Условия входа пользователей и устройств
Используйте следующую таблицу, чтобы оценить политику для решения рисков.
| Риск для пользователя или при входе | Предложенная политика |
|---|---|
| Устройство | Требовать соответствующие устройства |
| Мобильные приложения | Требовать утвержденные приложения |
| Защита идентификации Microsoft Entra риск пользователя высок | Требовать от пользователя смены пароля |
| Сетевое расположение | Для доступа к конфиденциальным проектам требуется вход из диапазона IP-адресов. |
Чтобы использовать состояние устройства в качестве входных данных политики, зарегистрируйте или присоедините устройство к клиенту. Чтобы доверять утверждениям устройства из домашнего клиента, настройте параметры доступа между клиентами. См. раздел " Изменение параметров входящего доступа".
Политики риска защиты идентификации можно использовать. Однако устранять проблемы в домашнем клиенте пользователя. См. политику общего условного доступа: многофакторная проверка подлинности на основе рисков.
Для сетевых расположений можно ограничить доступ к диапазонам IP-адресов, которыми вы владеете. Используйте этот метод, если внешние партнеры обращаются к приложениям, находясь в вашем расположении. См. условный доступ: блокировка доступа по расположению
Политики проверки доступа к документам
Политики документов, которые определяют, когда следует просматривать доступ к ресурсам и удалять доступ к учетной записи для внешних пользователей. Входные данные могут включать:
- Требования к платформам соответствия требованиям
- Внутренние бизнес-политики и процессы
- Действия пользователя
Как правило, организации настраивают политику, однако учитывайте следующие параметры:
- Проверки доступа к управлению правами:
- Изменение параметров жизненного цикла пакета доступа в управлении правами
- Создание проверки доступа пакета доступа в управлении правами
- Добавление подключенной организации в управление правами: группирование пользователей из партнера и планирование проверок
- Группы Microsoft 365
- Параметры:
- Если внешние пользователи не используют пакеты доступа или группы Microsoft 365, определите, когда учетные записи становятся неактивными или удаленными.
- Удаление входа для учетных записей, которые не входят в систему в течение 90 дней
- Регулярно оценивать доступ для внешних пользователей
Методы управления доступом
Некоторые функции, например управление правами, доступны с лицензией Microsoft Entra ID P1 или P2. Лицензии Microsoft 365 E5 и Office 365 E5 включают лицензии Microsoft Entra ID P2. Дополнительные сведения см. в следующем разделе управления правами.
Примечание.
Лицензии предназначены для одного пользователя. Таким образом, пользователи, администраторы и владельцы бизнеса могут делегировать управление доступом. Этот сценарий может произойти с идентификатором Microsoft Entra ID P2 или Microsoft 365 E5, и вам не нужно включать лицензии для всех пользователей. Первые 50 000 внешних пользователей бесплатны. Если вы не включаете лицензии P2 для других внутренних пользователей, они не могут использовать управление правами.
Другие сочетания Microsoft 365, Office 365 и идентификатора Microsoft Entra имеют функциональные возможности для управления внешними пользователями. См. рекомендации по безопасности и соответствию требованиям Microsoft 365.
Управление доступом с помощью идентификатора Microsoft Entra ID P2 и Microsoft 365 или Office 365 E5
Идентификатор Microsoft Entra ID P2, включенный в Microsoft 365 E5, имеет дополнительные возможности безопасности и управления.
Подготовка, вход, проверка доступа и отмена доступа
Записи в полужирном шрифте являются рекомендуемыми действиями.
| Функция | Подготовка внешних пользователей | Применение требований для входа | Проверка доступа | Отмена доступа |
|---|---|---|---|---|
| Совместная работа Microsoft Entra B2B | Приглашение по электронной почте, одноразовый пароль (OTP), самообслуживание | Н/П | Периодический обзор партнера | Удаление учетной записи Ограничение входа |
| Управление правами | Добавление пользователя по назначению или самостоятельному доступу | Н/П | Проверки доступа | Истечение срока действия или удаление из пакета доступа |
| Группы Office 365 | Неприменимо | Неприменимо | Проверка членства в группах | Срок действия группы или удаление Удаление из группы |
| Группы безопасности Microsoft Entra | Н/П | Политики условного доступа: добавление внешних пользователей в группы безопасности по мере необходимости | Неприменимо | Неприменимо |
Доступ к ресурсам
Записи в полужирном шрифте являются рекомендуемыми действиями.
| Функция | Доступ к приложениям и ресурсам | Доступ к SharePoint и OneDrive | Доступ к командам | Безопасность электронной почты и документов |
|---|---|---|---|---|
| Управление правами | Добавление пользователя по назначению или самостоятельному доступу | Доступ к пакетам | Доступ к пакетам | Н/П |
| Группа Office 365 | Н/П | Доступ к сайтам и содержимому группы | Доступ к командам и содержимому группы | Н/П |
| Метки конфиденциальности | Н/П | Классифицировать и ограничить доступ вручную и автоматически | Классифицировать и ограничить доступ вручную и автоматически | Классифицировать и ограничить доступ вручную и автоматически |
| Группы безопасности Microsoft Entra | Политики условного доступа для доступа не включаются в пакеты доступа | Неприменимо | Н/Д | Неприменимо |
Управление правами
Используйте управление правами для подготовки и отмены доступа к группам и командам, приложениям и сайтам SharePoint. Определите подключенные организации, которым предоставлен доступ, запросы самообслуживания и рабочие процессы утверждения. Чтобы убедиться, что доступ заканчивается правильно, определите политики окончания срока действия и проверки доступа для пакетов.
Дополнительные сведения. Создание нового пакета доступа в управлении правами
Управление доступом с помощью Microsoft Entra ID P1, Microsoft 365, Office 365 E3
Подготовка, вход, проверка доступа и отмена доступа
Элементы полужирного шрифта являются рекомендуемыми действиями.
| Функция | Подготовка внешних пользователей | Применение требований для входа | Проверка доступа | Отмена доступа |
|---|---|---|---|---|
| Совместная работа Microsoft Entra B2B | Приглашение по электронной почте, OTP, самообслуживание | Федерация Direct B2B | Периодический обзор партнера | Удаление учетной записи Ограничение входа |
| Группы Microsoft 365 или Office 365 | Неприменимо | Н/Д | Неприменимо | Срок действия группы или удаление Удаление из группы |
| Группы безопасности | Н/П | Добавление внешних пользователей в группы безопасности (организация, команда, проект и т. д.) | Неприменимо | Неприменимо |
| Политики условного доступа | Н/П | Политики условного доступа для входа для внешних пользователей | Неприменимо | Неприменимо |
Доступ к ресурсам
| Функция | Доступ к приложениям и ресурсам | Доступ к SharePoint и OneDrive | Доступ к командам | Безопасность электронной почты и документов |
|---|---|---|---|---|
| Группы Microsoft 365 или Office 365 | Н/П | Доступ к сайтам группы и связанному содержимому | Доступ к группам Microsoft 365 и связанному содержимому | Н/П |
| Метки конфиденциальности | Н/П | Классификация и ограничение доступа вручную | Классификация и ограничение доступа вручную | Классификация для ограничения доступа и шифрования вручную |
| Политики условного доступа | Политики условного доступа для управления доступом | Неприменимо | Н/Д | Неприменимо |
| Другие методы | Н/П | Ограничение доступа к сайту SharePoint с помощью групп безопасности Запрет прямого общего доступа |
Ограничение внешних приглашений от команды | Н/П |
Следующие шаги
Используйте следующую серию статей, чтобы узнать о защите внешнего доступа к ресурсам. Рекомендуется следовать указанному заказу.
Определение состояния безопасности для внешнего доступа с помощью идентификатора Microsoft Entra
Обнаружение текущего состояния внешней совместной работы в организации
Создание плана безопасности для внешнего доступа к ресурсам (здесь)
Безопасный внешний доступ с помощью групп в идентификаторе Microsoft Entra и Microsoft 365
Переход к управляемой совместной работе с Microsoft Entra B2B
Управление внешним доступом с помощью управления правами Microsoft Entra
Управление внешним доступом к ресурсам с помощью политик условного доступа
Преобразование локальных гостевых учетных записей в гостевые учетные записи Microsoft Entra B2B