來賓帳戶必要條件
Microsoft受控桌面需要 Microsoft Entra 組織中的下列設定來存取來賓帳戶。 您可以在 [外部身分識別/ 外部共同作業] 底下的 Azure 入口網站 中調整這些設定:
- 具有來賓邀請者角色的系統管理員和使用者可以將邀請設定為 [是]。
- 針對 [共同作業限制],選擇下列任一選項:
- 如果您選取 [ 允許將邀請傳送至任何網域 (最包含) ,則不需要其他設定。
- 如果您選取 [拒絕邀請至指定的網域],請確定目標網域中未列出 Microsoft.com。
- 如果您選取 [僅允許對指定網域的邀請 (限制性最高)],請確定 Microsoft.com 列在目標網域中。
註冊期間的角色和群組建立
當您的租用戶註冊到服務時,Microsoft在您的 Microsoft Entra 組織中為每個角色建立一個群組。
來賓帳戶存取程式的範例
- MICROSOFT受控桌面安全營運中心 (SOC) 小組會收到警示通知。
- SOC 工程師會提交安全性系統管理員角色的一次性存取要求。
- 根據工作需求,小組可能需要透過核准或自動核准來要求一次性存取權。
- 角色特定要求完成後,SOC 服務工程師會登入租使用者的 Microsoft Defender 入口網站,並調查警示。 一般警示調查期間的主要調查動作可能包括下列專案:
- 檢閱Defender所填入的警示特定詳細數據。
- 分類、設定狀態,或對事件或警示加上批注。
- 檢閱裝置時程表和事件頁面詳細數據。
- 核准或拒絕補救動作。
- 開始自動化調查。
- 使用 進階搜捕 功能。
- 角色特定要求完成後,SOC 服務工程師會登入租使用者的 Microsoft Defender 入口網站,並調查警示。 一般警示調查期間的主要調查動作可能包括下列專案:
- 當這些動作完成時,SOC 工程師會註銷租使用者並關閉要求。
外部共同作業設定
Microsoft受控桌面會在您的 Microsoft Entra 組織中針對來賓帳戶存取建議下列設定。 您可以在 [外部身分識別/ 外部共同作業設定] 底下的 Azure 入口網站調整這些設定:
| 設定 | 描述 |
|---|---|
| 來賓存取 | 來賓對目錄物件的屬性和成員資格的存取權有限。 |
| 來賓邀請設定 | 成員使用者和獲指派特定系統管理員角色的使用者可以邀請來賓,包括具成員權限的來賓。 |
Microsoft受控桌面需要 Microsoft Entra 組織中的下列設定,才能存取來賓帳戶。 您可以在 [外部身分識別/ 外部共同作業設定] 底下的 Azure 入口網站調整此設定:
| 設定 | 選項 |
|---|---|
| 共同作業限制 | 選取下列任一選項:
|
如果您設定與這些設定互動的限制,請務必排除 Microsoft Entra ID 新式工作場所服務帳戶。 例如,如果您有條件式存取原則可防止來賓帳戶存取 Intune 入口網站,請從此原則中排除現代化工作場所服務帳戶群組。
如需詳細資訊,請參閱 啟用 B2B 外部共同作業和管理誰可邀請來賓。
未授權的 Intune 系統管理員
必須啟用 [允許存取未授權的系統管理員] 設定。 若未啟用此設定,當我們嘗試存取您的服務 Microsoft Entra 組織時,可能會發生錯誤。 您可以安全地啟用此設定,而不必擔心安全性影響。 存取範圍是由指派給使用者的角色所定義,包括我們的作業人員。
若要啟用此設定:
- 移至 Microsoft Intune 系統管理中心。
- 瀏覽至 [租用戶系統管理],選取 [角色]。 然後,選取 [系統管理員授權]。
- 在 [允許存取未授權的系統管理員] 區段中,選取 [是]。
重要事項
選取 [是] 之後,就無法復原此設定。
如需詳細資訊,請參閱 Microsoft Intune 中未授權的系統管理員。