Skapa en säkerhetsplan för extern åtkomst till resurser
Innan du skapar en säkerhetsplan för extern åtkomst läser du följande två artiklar som lägger till kontext och information för säkerhetsplanen.
- Fastställa din säkerhetsstatus för extern åtkomst med Microsoft Entra-ID
- Identifiera det aktuella tillståndet för externt samarbete i din organisation
Innan du börjar
Den här artikeln är nummer 3 i en serie med 10 artiklar. Vi rekommenderar att du granskar artiklarna i ordning. Gå till avsnittet Nästa steg för att se hela serien.
Dokumentation om säkerhetsplan
Dokumentera följande information för din säkerhetsplan:
- Program och resurser grupperade för åtkomst
- Inloggningsvillkor för externa användare
- Enhetstillstånd, inloggningsplats, krav för klientprogram, användarrisk och så vidare.
- Principer för att fastställa tidpunkten för granskningar och borttagning av åtkomst
- Användarpopulationer grupperade för liknande upplevelser
Om du vill implementera säkerhetsplanen kan du använda Microsofts identitets- och åtkomsthanteringsprinciper eller en annan identitetsprovider (IdP).
Läs mer: Översikt över identitets- och åtkomsthantering
Använda grupper för åtkomst
Se följande länkar till artiklar om strategier för resursgruppering:
- Microsoft Teams grupperar filer, konversationstrådar och andra resurser
- Formulera en extern åtkomststrategi för Teams
- Se Skydda extern åtkomst till Microsoft Teams, SharePoint och OneDrive för företag med Microsoft Entra-ID
- Använd åtkomstpaket för berättigandehantering för att skapa och delegera pakethantering av program, grupper, team, SharePoint-webbplatser och så vidare.
- Tillämpa principer för villkorlig åtkomst på upp till 250 program med samma åtkomstkrav
- Definiera åtkomst för externa användarprogramgrupper
Dokumentera de grupperade programmen. Här är några saker att tänka på:
- Riskprofil – utvärdera risken om en dålig aktör får tillgång till ett program
- Identifiera programmet som hög, medel eller låg risk. Vi rekommenderar att du inte grupperar hög risk med låg risk.
- Dokumentprogram som inte kan delas med externa användare
- Efterlevnadsramverk – fastställa efterlevnadsramverk för appar
- Identifiera åtkomst- och granskningskrav
- Program för roller eller avdelningar – utvärdera program grupperade för roll- eller avdelningsåtkomst
- Samarbetsprogram – identifiera samarbetsprogram som externa användare kan komma åt, till exempel Teams eller SharePoint
- För produktivitetsprogram kan externa användare ha licenser, eller så kan du ge åtkomst
Dokumentera följande information för åtkomst till program och resursgrupper av externa användare.
- Beskrivande gruppnamn, till exempel High_Risk_External_Access_Finance
- Program och resurser i gruppen
- Program- och resursägare och deras kontaktinformation
- IT-teamet styr åtkomsten eller kontrollen delegeras till en företagsägare
- Förutsättningar för åtkomst: bakgrundskontroll, träning och så vidare.
- Efterlevnadskrav för åtkomst till resurser
- Utmaningar, till exempel multifaktorautentisering för vissa resurser
- Kadens för granskningar, av vem och var resultaten dokumenteras
Dricks
Använd den här typen av styrningsplan för intern åtkomst.
Villkor för dokumentinloggning för externa användare
Fastställa inloggningskraven för externa användare som begär åtkomst. Grundläggande krav på resursriskprofilen och användarens riskbedömning under inloggningen. Konfigurera inloggningsvillkor med villkorlig åtkomst: ett villkor och ett resultat. Du kan till exempel kräva multifaktorautentisering.
Läs mer: Vad är villkorlig åtkomst?
Inloggningsvillkor för resursriskprofil
Överväg följande riskbaserade principer för att utlösa multifaktorautentisering.
- Låg – multifaktorautentisering för vissa programuppsättningar
- Medel – multifaktorautentisering när det finns andra risker
- Hög – externa användare använder alltid multifaktorautentisering
Läs mer:
- Självstudie: Framtvinga multifaktorautentisering för B2B-gästanvändare
- Lita på multifaktorautentisering från externa klienter
Användar- och enhetsinloggningsvillkor
Använd följande tabell för att utvärdera principen för att hantera risker.
| Användar- eller inloggningsrisk | Föreslagen princip |
|---|---|
| Enhet | Kräv kompatibla enheter |
| Mobilappar | Kräv godkända appar |
| Användarrisken för Microsoft Entra ID Protection är hög | Kräv att användaren ändrar lösenord |
| Nätverksplats | För att få åtkomst till konfidentiella projekt måste du logga in från ett IP-adressintervall |
Om du vill använda enhetstillstånd som principindata registrerar du eller ansluter enheten till din klientorganisation. Om du vill lita på enhetsanspråken från hemklientorganisationen konfigurerar du inställningar för åtkomst mellan klientorganisationer. Se Ändra inställningar för inkommande åtkomst.
Du kan använda riskprinciper för identitetsskydd. Åtgärda dock problem i användarens hemklientorganisation. Se, Gemensam princip för villkorsstyrd åtkomst: Inloggningsriskbaserad multifaktorautentisering.
För nätverksplatser kan du begränsa åtkomsten till IP-adressintervall som du äger. Använd den här metoden om externa partner kommer åt program på din plats. Se Villkorsstyrd åtkomst: Blockera åtkomst efter plats
Granskningsprinciper för dokumentåtkomst
Dokumentprinciper som avgör när du ska granska resursåtkomst och ta bort kontoåtkomst för externa användare. Indata kan vara:
- Krav för efterlevnadsramverk
- Interna affärsprinciper och processer
- Användarbeteende
I allmänhet anpassar organisationer principer, men tänk på följande parametrar:
- Åtkomstgranskningar för berättigandehantering:
- Ändra livscykelinställningar för ett åtkomstpaket i berättigandehantering
- Skapa en åtkomstgranskning av ett åtkomstpaket i berättigandehantering
- Lägga till en ansluten organisation i berättigandehantering: Gruppera användare från en partner och schemalägga granskningar
- Microsoft 365-grupper
- Alternativ:
- Om externa användare inte använder åtkomstpaket eller Microsoft 365-grupper avgör du när konton blir inaktiva eller borttagna
- Ta bort inloggning för konton som inte loggar in på 90 dagar
- Utvärdera regelbundet åtkomst för externa användare
Åtkomstkontrollmetoder
Vissa funktioner, till exempel berättigandehantering, är tillgängliga med en Microsoft Entra ID P1- eller P2-licens. Microsoft 365 E5- och Office 365 E5-licenser inkluderar Microsoft Entra ID P2-licenser. Läs mer i följande avsnitt om berättigandehantering.
Kommentar
Licenser är för en användare. Därför kan användare, administratörer och företagsägare ha delegerad åtkomstkontroll. Det här scenariot kan inträffa med Microsoft Entra ID P2 eller Microsoft 365 E5 och du behöver inte aktivera licenser för alla användare. De första 50 000 externa användarna är kostnadsfria. Om du inte aktiverar P2-licenser för andra interna användare kan de inte använda berättigandehantering.
Andra kombinationer av Microsoft 365, Office 365 och Microsoft Entra ID har funktioner för att hantera externa användare. Se Microsoft 365-vägledning för säkerhet och efterlevnad.
Styra åtkomst med Microsoft Entra ID P2 och Microsoft 365 eller Office 365 E5
Microsoft Entra ID P2, som ingår i Microsoft 365 E5, har ytterligare säkerhets- och styrningsfunktioner.
Etablera, logga in, granska åtkomst och avetablera åtkomst
Poster i fetstil är rekommenderade åtgärder.
| Funktion | Etablera externa användare | Framtvinga inloggningskrav | Granska åtkomst | Avetablera åtkomst |
|---|---|---|---|---|
| Microsoft Entra B2B-samarbete | Bjud in via e-post, engångslösenord (OTP), självbetjäning | Ej tillämpligt | Periodisk partnergranskning | Ta bort konto Begränsa inloggning |
| Berättigandehantering | Lägga till användare efter tilldelning eller självbetjäningsåtkomst | Ej tillämpligt | Åtkomstgranskningar | Förfallodatum för eller borttagning från åtkomstpaketet |
| Office 365-grupper | Saknas | Saknas | Granska gruppmedlemskap | Gruppens förfallodatum eller borttagning Borttagning från grupp |
| Microsoft Entra-säkerhetsgrupper | Ej tillämpligt | Principer för villkorlig åtkomst: Lägg till externa användare i säkerhetsgrupper efter behov | Saknas | Saknas |
Resursåtkomst
Poster i fetstil är rekommenderade åtgärder.
| Funktion | Åtkomst till appar och resurser | SharePoint- och OneDrive-åtkomst | Teams-åtkomst | E-post- och dokumentsäkerhet |
|---|---|---|---|---|
| Berättigandehantering | Lägga till användare efter tilldelning eller självbetjäningsåtkomst | Åtkomstpaket | Åtkomstpaket | Ej tillämpligt |
| Office 365-grupp | Ej tillämpligt | Åtkomst till webbplatser och gruppinnehåll | Åtkomst till team och gruppinnehåll | Ej tillämpligt |
| Känslighetsetiketter | Ej tillämpligt | Klassificera och begränsa åtkomst manuellt och automatiskt | Klassificera och begränsa åtkomst manuellt och automatiskt | Klassificera och begränsa åtkomst manuellt och automatiskt |
| Microsoft Entra-säkerhetsgrupper | Principer för villkorlig åtkomst för åtkomst som inte ingår i åtkomstpaket | Saknas | Saknas | Saknas |
Berättigandehantering
Använd berättigandehantering för att etablera och avetablera åtkomst till grupper och team, program och SharePoint-webbplatser. Definiera de anslutna organisationer som beviljats åtkomst, självbetjäningsbegäranden och arbetsflöden för godkännande. För att säkerställa att åtkomsten upphör korrekt definierar du förfalloprinciper och åtkomstgranskningar för paket.
Läs mer: Skapa ett nytt åtkomstpaket i berättigandehantering
Hantera åtkomst med Microsoft Entra ID P1, Microsoft 365, Office 365 E3
Etablera, logga in, granska åtkomst och avetablera åtkomst
Objekt i fetstil är rekommenderade åtgärder.
| Funktion | Etablera externa användare | Framtvinga inloggningskrav | Granska åtkomst | Avetablera åtkomst |
|---|---|---|---|---|
| Microsoft Entra B2B-samarbete | Bjud in via e-post, OTP, självbetjäning | Direkt B2B-federation | Periodisk partnergranskning | Ta bort konto Begränsa inloggning |
| Microsoft 365- eller Office 365-grupper | Saknas | Saknas | Saknas | Gruppens förfallodatum eller borttagning Borttagning från grupp |
| Säkerhetsgrupper | Ej tillämpligt | Lägga till externa användare i säkerhetsgrupper (organisation, team, projekt och så vidare) | Saknas | Saknas |
| Principer för villkorlig åtkomst | Ej tillämpligt | Principer för villkorlig åtkomst för inloggning för externa användare | Saknas | Saknas |
Resursåtkomst
| Funktion | Åtkomst till appar och resurser | SharePoint- och OneDrive-åtkomst | Teams-åtkomst | E-post- och dokumentsäkerhet |
|---|---|---|---|---|
| Microsoft 365- eller Office 365-grupper | Ej tillämpligt | Åtkomst till gruppwebbplatser och tillhörande innehåll | Åtkomst till Microsoft 365-gruppteam och tillhörande innehåll | Ej tillämpligt |
| Känslighetsetiketter | Ej tillämpligt | Klassificera och begränsa åtkomst manuellt | Klassificera och begränsa åtkomst manuellt | Klassificera manuellt för att begränsa och kryptera |
| Principer för villkorlig åtkomst | Principer för villkorlig åtkomst för åtkomstkontroll | Saknas | Saknas | Saknas |
| Andra metoder | Ej tillämpligt | Begränsa Åtkomst till SharePoint-webbplatser med säkerhetsgrupper Tillåt inte direktdelning |
Begränsa externa inbjudningar från ett team | Ej tillämpligt |
Nästa steg
Använd följande artikelserie för att lära dig mer om hur du skyddar extern åtkomst till resurser. Vi rekommenderar att du följer den angivna ordningen.
Fastställa din säkerhetsstatus för extern åtkomst med Microsoft Entra-ID
Identifiera det aktuella tillståndet för externt samarbete i din organisation
Skapa en säkerhetsplan för extern åtkomst till resurser (du är här)
Skydda extern åtkomst med grupper i Microsoft Entra ID och Microsoft 365
Övergång till reglerat samarbete med Microsoft Entra B2B-samarbete
Hantera extern åtkomst med Microsoft Entra-berättigandehantering
Hantera extern åtkomst till resurser med principer för villkorlig åtkomst
Kontrollera extern åtkomst till resurser i Microsoft Entra-ID med känslighetsetiketter
Konvertera lokala gästkonton till Microsoft Entra B2B-gästkonton