探索您目前組織中外部共同作業的狀態
在您了解外部共同作業目前的狀態之前,請先判斷安全性態勢。 請考慮集中式與委派控制的不同,以及治理、法規和合規性目標。
深入了解:使用 Microsoft Entra ID 判斷外部存取的安全性態勢
貴組織中的使用者可能會與其他組織的使用者共同作業。 使用例如 Microsoft 365 的生產力應用程式,透過電子郵件,或與外部使用者共用資源來進行共同作業。 這些案例包括使用者:
- 起始外部共同作業
- 與外部使用者和組織共同作業
- 授與外部使用者存取權
開始之前
本文是 10 篇文章系列中的第 2 篇。 建議您依序檢閱文章。 移至 [後續步驟] 一節,以查看整個系列。
判斷誰起始外部共同作業
一般而言,尋求外部共同作業的使用者會知道要使用的應用程式,以及存取結束的時間。 因此,判斷誰是有委派權限的使用者,以邀請外部使用者、建立存取套件,以及完成存取檢閱。
若要尋找共同作業的使用者:
- Microsoft 365 稽核記錄活動 - 搜尋事件,並探索在 Microsoft 365 中稽核的活動
- 稽核和報告 B2B 共同作業使用者 - 確認來賓使用者存取,並查看系統和用戶活動的記錄
列舉來賓使用者和組織
外部使用者可能是具有合作夥伴管理認證的Microsoft Entra B2B 使用者,或具有本機佈建認證的外部使用者。 這些使用者通常的 UserType 是 [來賓]。 若要了解如何邀請來賓使用者和共享資源,請參閱 B2B 共同作業概觀。
您可以使用下列方式列舉來賓使用者:
使用下列工具來識別 Microsoft Entra B2B 共同作業、外部 Microsoft Entra 租用戶,以及存取應用程式的使用者:
- PowerShell 模組, Get MsIdCrossTenantAccessActivity
- 跨租用戶存取活動活頁簿
使用電子郵件網域和 companyName 屬性
您可以根據外部使用者電子郵件地址的網域名稱來決定外部組織。 取用者識別提供者可能無法進行此探索。 建議您撰寫 companyName 屬性來識別外部組織。
使用允許清單、封鎖清單和權利管理
使用允許清單或封鎖清單,讓您的組織能夠與租用戶層級的組織共同作業或封鎖組織。 不論來源為何,控制 B2B 邀請和兌換 (例如Microsoft Teams、SharePoint 或 Azure 入口網站)。
如果您使用權利管理,您可以在 [身分識別治理] 的 [新存取套件] 下,將存取套件限制為具有 [特定連線組織] 選項的合作夥伴子集。
判斷外部使用者存取
透過外部使用者和組織清查,判斷授與使用者的存取權。 您可以使用 Microsoft Graph API 來判斷 Microsoft Entra 群組成員資格或應用程式指派。
列舉應用程式權限
調查敏感性應用程式的存取權,以了解外部存取。 查看,以程式設計方式授與或撤銷 API 權限。
偵測非正式共用
如果您的電子郵件和網路方案已啟用,您便可透過電子郵件,或透過未經授權軟體即服務 (SaaS) 應用程式來調查共用的內容。
- 識別、防止及監視意外共用
- 深入了解資料外洩防護 (DLP)
- 識別未經授權的應用程式
下一步
使用以下一系列文章來了解如何保護資源的外部存取。 建議您遵循列出的順序。