为外部资源访问创建安全性计划

在创建外部访问安全性计划之前,请查看以下两篇文章,它们为安全性计划补充了上下文和信息。

准备阶段

本文是 10 篇系列文章中的第 3 篇。 建议按顺序查看文章。 转到后续步骤部分可查看整个系列。

安全性计划文档

对于安全计划,请记录以下信息:

  • 为访问而分组的应用程序和资源
  • 外部用户的登录条件
    • 设备状态、登录位置、客户端应用程序要求、用户风险等。
  • 用于确定评审和删除访问权限的时间的策略
  • 为类似体验分组的用户群体

若要实施性安全计划,可以使用 Microsoft 标识和访问管理策略,或使用另一个标识提供者 (IdP)。

了解详细信息:标识和访问管理概述

使用组处理访问

请参阅以下链接,它们包含了有关资源分组策略的文章:

记录分组的应用程序。 考虑因素包括:

  • 风险配置文件 - 如果不良参与者获得应用程序访问权限,则评估风险
    • 将应用程序标识为高、中或低风险。 建议不要将“高风险”与“低风险”分在一组。
    • 记录无法与外部用户共享的应用程序
  • 合规性框架 - 确定应用的符合性框架
    • 标识访问和评审要求
  • 针对角色或部门的应用程序 - 评估针对角色或部门访问进行分组的应用程序
  • 协作应用程序 - 识别外部用户可以访问的协作应用程序,例如 Teams 或 SharePoint
    • 对于生产力应用程序,外部用户可能具有许可证,你也可以提供访问权限

记录以下有关外部用户访问应用程序和资源组的信息。

  • 描述性组名称,例如 High_Risk_External_Access_Finance
  • 组中的应用程序和资源
  • 应用程序和资源所有者及其联系信息
  • IT 团队控制访问权限,或将控制权委派给业务所有者
  • 访问的先决条件:背景检查、培训等。
  • 访问资源的合规性要求
  • 挑战,例如某些资源的多重身份验证
  • 评审节奏、评审人员以及结果记录位置

提示

使用此类型的治理计划进行内部访问。

记录外部用户的登录条件

确定针对请求访问权限的外部用户的登录要求。 使要求基于资源风险配置文件和用户登录期间的风险评估。 使用条件访问配置登录条件:条件和结果。 例如,可要求进行多重身份验证。

详细了解:什么是条件访问?

资源风险配置文件登录条件

请考虑使用以下基于风险的策略来触发多重身份验证。

  • - 对某些应用程序集进行多重身份验证
  • 中等 - 存在其他风险时进行多重身份验证
  • - 外部用户始终进行多重身份验证

了解详细信息:

用户和设备登录条件

使用下表来帮助评估策略以解决风险。

用户或登录风险 建议的策略
设备 要求符合的设备
移动应用 要求已批准的应用
Microsoft Entra ID 保护检测到高用户风险 要求用户更改密码
网络位置 若要访问机密项目,需要从 IP 地址范围登录

若要将设备状态用作策略输入,请将设备注册或加入到你的租户。 若要信任来自主租户的设备声明,请配置跨租户访问设置。 请参阅修改入站访问设置

可以使用标识保护风险策略。 不过,请缓解用户主租户中的问题。 请参阅常见条件访问策略:基于登录风险的多重身份验证

对于网络位置,可以将访问限为你拥有的 IP 地址范围。 如果外部合作伙伴在你所在位置访问应用程序,请使用此方法。 请参阅条件访问:按位置阻止访问

记录访问评审策略

记录策略,规定何时评审资源访问权限,并移除外部用户的帐户访问权限。 输入可能包括:

  • 合规性框架要求
  • 内部业务策略和流程
  • 用户行为

通常,组织会自定义策略,但请考虑以下参数:

访问控制方法

某些功能(例如权利管理)可通过 Microsoft Entra ID P1 或 P2 许可证使用。 Microsoft 365 E5 和 Office 365 E5 许可证包括 Microsoft Entra ID P2 许可证。 有关详细信息,请参阅以下权利管理部分。

注意

许可证适用于一位用户。 因此,用户、管理员和企业所有者可以拥有委派访问控制。 Microsoft Entra ID P2 或 Microsoft 365 E5 可能会出现这种情况,你无需为所有用户启用许可证。 前 50,000 位外部用户免费。 如果未为其他内部用户启用 P2 许可证,则他们将无法使用权利管理。

Microsoft 365、Office 365 和 Microsoft Entra ID 的其他组合具备管理外部用户的功能。 请参阅 Microsoft 365 安全性与合规性指南

使用 Microsoft Entra ID P2 和 Microsoft 365 或 Office 365 E5 管理访问权限

Microsoft Entra ID P2 包含在 Microsoft 365 E5 中,具有额外的安全性和治理功能。

预配、登录、查看访问权限和取消预配访问权限

对条目使用粗体是建议操作。

功能 预配外部用户 强制执行登录要求 评审访问权限 取消预配访问权限
Microsoft Entra B2B 协作 通过电子邮件、一次性密码 (OTP)、自助服务进行邀请 不适用 定期合作伙伴评审 删除帐户
限制登录
权利管理 通过分配或自助服务访问添加用户 不适用 访问评审 访问包过期或从访问包中删除
Office 365 组 不适用 不适用 评审组成员身份 组过期或删除组
从组中移除
Microsoft Entra 安全组 不可用 条件访问策略:根据需要将外部用户添加到安全组 不适用 不适用

资源访问

对条目使用粗体是建议操作。

功能 应用和资源访问权限 SharePoint 和 OneDrive 访问权限 Teams 访问 电子邮件和文档安全性
权利管理 通过分配或自助服务访问添加用户 访问包 访问包 不适用
Office 365 组 空值 访问站点和组内容 团队和组内容访问 不适用
敏感度标签 不适用 手动和自动对访问进行分类和限制 手动和自动对访问进行分类和限制 手动和自动对访问进行分类和限制
Microsoft Entra 安全组 访问包中未包含用于访问的条件访问策略 不适用 不可用 不适用

权利管理

使用权利管理预配和取消预配对组和团队、应用程序以及 SharePoint 站点的访问。 定义连接的组织授予的访问、自助服务请求和审批工作流。 若要确保访问正确结束,请为包定义过期策略和访问评审。

详细了解:在权利管理中创建新访问包

使用 Microsoft Entra ID P1、Microsoft 365、Office 365 E3 管理访问权限

预配、登录、查看访问权限和取消预配访问权限

对项使用粗体是建议操作。

功能 预配外部用户 强制执行登录要求 评审访问权限 取消预配访问权限
Microsoft Entra B2B 协作 通过电子邮件、OTP、自助服务邀请 直接 B2B 联合 定期合作伙伴评审 删除帐户
限制登录
Microsoft 365 或 Office 365 组 不适用 不可用 不适用 组过期或删除组
从组中移除
安全组 空值 将外部用户添加到安全组(组织、团队、项目等) 空值 不适用
条件访问策略 不适用 登录用于外部用户的条件访问策略 不适用 不适用

资源访问

功能 应用和资源访问权限 SharePoint 和 OneDrive 访问权限 Teams 访问 电子邮件和文档安全性
Microsoft 365 或 Office 365 组 空值 访问组站点和相关内容 Microsoft 365 组团队和相关内容访问 不适用
敏感度标签 不适用 手动分类和限制访问 手动分类和限制访问 手动分类以限制和加密
条件访问策略 用于访问控住的条件访问策略 不适用 不可用 不适用
其他方法 不适用 使用安全组限制 SharePoint 站点访问
禁止直接共享
限制团队的外部邀请 不适用

后续步骤

请参阅以下系列文章,了解如何保护对资源的外部访问。 建议遵循列出的顺序。

  1. 使用 Microsoft Entra ID 确定外部访问的安全态势

  2. 发现组织中外部协作的当前状态

  3. 为外部资源访问创建安全性计划(你所在的位置)

  4. 使用 Microsoft Entra ID 和 Microsoft 365 中的组来保护外部访问

  5. 通过 Microsoft Entra B2B 协作过渡到受监管协作

  6. 使用 Microsoft Entra 权利管理来管理外部访问

  7. 使用条件访问策略管理对资源的外部访问

  8. 在 Microsoft Entra ID 中使用敏感度标签来控制对资源的外部访问

  9. 使用 Microsoft Entra ID 安全地从外部访问 Microsoft Teams、SharePoint 和 OneDrive for Business

  10. 将本地来宾帐户转换为 Microsoft Entra B2B 来宾帐户