允许来宾访问和 B2B 外部用户访问的策略

本文讨论调整建议的零信任标识和设备访问策略,以允许具有 Microsoft Entra 企业到企业 (B2B) 帐户的来宾和外部用户进行访问。 本指南以通用标识和设备访问策略为基础。

这些建议旨在应用于保护起点层。 但是,还可以根据企业的特定需求和专用安全保护来调整建议。

提供用于向 Microsoft Entra 租户进行身份验证的 B2B 帐户的路径不会授予这些帐户对整个环境的访问权限。 B2B 用户及其帐户有权访问条件访问策略与其共享的服务和资源(如文件)。

更新通用策略以允许和保护来宾和外部用户访问

此图显示了可以在公共标识和设备访问策略之间添加或更新哪些策略,用于 B2B 来宾和外部用户访问。

显示用于保护来宾访问的策略更新摘要的关系图。

下表列出了需要创建和更新的策略。 通用策略链接到通用标识和设备访问策略一文中的相关配置说明。

保护级别 策略 详细信息
起点 来宾和外部用户始终需要进行 MFA 创建此新策略并配置:
  • 对于“分配 > 用户和组 > 包括”,请选择“选择用户和组”,然后选择“所有来宾和外部用户”。
  • 对于“分配 > 条件 > 登录风险”,请选择所有登录风险级别。
登录风险为时需要 MFA 修改此策略以排除来宾和外部用户。

若要在条件访问策略中包含或排除来宾和外部用户,对于“分配 > 用户和组, > 包括”或“排除”,请勾选“所有来宾和外部用户”。

用于排除来宾和外部用户的控件的屏幕截图。

详细信息

来宾和外部用户对 Microsoft Teams 的访问

Microsoft Teams 定义了以下用户:

  • 来宾访问会使用 Microsoft Entra B2B 帐户,该帐户可以添加为团队成员,并有权访问团队的通信和资源。

  • 外部访问适用于没有 B2B 帐户的外部用户。 外部用户访问包括邀请、呼叫、聊天和会议,但不包括团队成员身份和对团队资源的访问权限。

有关详细信息,请参阅 Teams 来宾与外部用户访问之间的比较

有关保护 Teams 的标识和设备访问策略的详细信息,请参阅“用于保护 Teams 聊天、组和文件的策略建议

始终要求来宾和外部用户进行 MFA

此策略会提示来宾在你的租户中注册 MFA,而不考虑其是否在主租户中注册了 MFA。 需要来宾和外部用户访问租户中的资源,才能对每个请求使用 MFA。

从基于风险的 MFA 中排除来宾和外部用户

虽然组织可以使用 Microsoft Entra ID Protection 为 B2B 用户强制实施基于风险的策略,但在资源目录中为 B2B 协作用户实施 Microsoft Entra ID 保护存在限制,因为它们的标识存在于其主目录中。 由于这些限制,Microsoft 建议将来宾排除在基于风险的 MFA 策略中,并要求这些用户始终使用 MFA。

有关详细信息,请参阅“B2B 协作用户 ID 保护的限制”。

从设备管理中排除来宾和外部用户

一个设备只能由一个组织进行管理。 如果不将来宾和外部用户从要求设备合规性的策略中排除在外,则这些策略会阻止这些用户。

下一步

Microsoft 365 云应用和 Microsoft Defender for Cloud Apps 的策略的屏幕截图。

为以下项配置条件访问策略: