使用 Microsoft Entra 权利管理来管理外部访问

使用权利管理功能来管理标识和访问生命周期。 你可以自动化访问请求工作流、访问分配、评审和过期设置。 委派的非管理员使用权利管理创建访问包,来自其他组织的外部用户可以请求访问该包。 可配置单阶段和多阶段的审批工作流来评估请求,并通过定期评审为用户预配限时访问权限。 将权利管理用于基于策略的外部帐户预配和撤销预配。

了解详细信息:

准备阶段

本文是 10 篇系列文章中的第 6 篇。 建议按顺序查看文章。 转到后续步骤部分可查看整个系列。

启用权利管理

以下关键概念对于了解权利管理非常重要。

访问包

访问包是权利管理的基础:它是由策略管理的资源分组,供用户协作处理项目或执行其他任务。 例如,访问包可能包括:

  • 访问 SharePoint 网站
  • 企业应用程序,包括自定义的内部应用和服务型软件 (SaaS) 应用(如 Salesforce)
  • Microsoft Teams
  • Microsoft 365 组

目录

访问包位于目录中。 如果要对相关资源和访问包进行分组,并委托其管理,请创建一个目录。 首先将资源添加到目录,然后可将资源添加到访问包。 例如,你可以创建一个“财务”目录,并将其管理委派给财务团队的某个成员。 然后,此人可以添加资源、创建访问包并管理访问审批。

了解详细信息:

下图显示了一个典型的治理生命周期,其中外部用户获得了对访问包的访问权限,该权限附有过期时间。

A diagram of the external user governance cycle.

自助服务外部访问

可通过 Microsoft Entra“我的访问权限”门户使访问包可用,让外部用户能够请求访问。 策略确定谁可以请求访问包。 请参阅在权利管理中请求访问某个访问包

你指定允许谁请求访问包:

审批

访问包可以包含强制访问审批。 审批可以是单阶段或多阶段的,由策略决定。 如果内部用户和外部用户需要访问同一个包,可以为各个类别的已连接的组织以及内部用户设置不同的访问策略。

重要

实现外部用户的审批过程。

过期时间

访问包可以包含为访问设置的到期日期或天数。 当访问包过期并且访问结束时,可以删除代表用户的 B2B 来宾用户对象或阻止其登录。 对于外部用户,建议对访问包强制实施过期时间。 并非所有访问包都有过期时间。

重要

对于没有过期时间的包,请定期执行访问评审。

访问评审

访问包可能需要定期访问评审,这需要包所有者或受托人来证明用户的访问需求持续存在。 请参阅通过访问评审管理来宾访问权限

在安排评审之前,请确定以下各项条件:

    • 持续访问的条件
    • 审阅者
  • 频率
    • 内置选项包括每月、每季度、每年两次或每年一次
    • 对于支持外部访问的包,建议每季度一次或更频繁地进行评审

重要

访问包评审的目的是检查通过权利管理授予的访问权限。 设置其他流程,在权利管理之外评审外部用户的访问权限。

了解详细信息:规划 Microsoft Entra 访问评审部署

使用权利管理自动化

外部访问治理建议

最佳做法

建议采用以下做法,使用权利管理治理外部访问。

标识治理 - 设置

如果用户的访问包过期,请使用标识治理–设置从目录中删除他们。 以下设置适用于已通过权利管理加入的用户。

Screenshot of settings and entries for Manage the lifecycle of external users.

委托目录和包管理

可以将目录和包管理委托给业务所有者,他们掌握有关应能访问的人员的详细信息。 请参阅权利管理中的委托和角色

Screenshot of options and entries under Roles and administrators.

强制实施访问包过期时间

可以为外部用户强制实施访问过期。 请参阅在权利管理中更改访问包的生命周期设置

Screenshot of options and entries for Expiration.

  • 对于基于项目的访问包的结束日期,请使用“过期日期”设置日期。
    • 否则,建议有效时长不超过 365 天,除非是多年期的项目
  • 允许用户延长访问权限期限
    • 需要审批才能授予延期

强制实施来宾访问包评审

可以强制评审来宾访问包,以避免来宾进行不当访问。 请参阅通过访问评审管理来宾访问权限

Screenshot of options and entries under New access package.

  • 强制季度评审
  • 对于合规性相关的项目,请将评审者设置为评审,而不是让外部用户自行评审。
    • 可以使用访问包管理器作为评审者
  • 对于不那么敏感的项目,用户自行评审可减少移除不再与组织协作的用户的权限的负担。

了解详细信息:在权利管理中治理外部用户的访问权限

后续步骤

请参阅以下系列文章,了解如何保护对资源的外部访问。 建议遵循列出的顺序。

  1. 使用 Microsoft Entra ID 确定外部访问的安全态势

  2. 发现组织中外部协作的当前状态

  3. 为外部资源访问创建安全性计划

  4. 使用 Microsoft Entra ID 和 Microsoft 365 中的组来保护外部访问

  5. 通过 Microsoft Entra B2B 协作过渡到受治理的协作

  6. 使用 Microsoft Entra 权利管理来管理外部访问(本文)

  7. 使用条件访问策略管理对资源的外部访问

  8. 在 Microsoft Entra ID 中使用敏感度标签来控制对资源的外部访问

  9. 使用 Microsoft Entra ID 安全地从外部访问 Microsoft Teams、SharePoint 和 OneDrive for Business

  10. 将本地来宾帐户转换为 Microsoft Entra B2B 来宾帐户