允許來賓存取和 B2B 外部使用者存取的原則
本文討論調整建議的零信任身分識別和裝置存取原則,以允許具有 Microsoft Entra Business-to-Business 帳戶之來賓和外部使用者的存取權。 此指南以 通用身分識別和裝置存取原則為基礎。
這些建議的設計目的是要套用至保護 起點 層。 但您也可以根據特定需求調整建議,以 企業 和 特殊安全性 保護。
為 B2B 帳戶提供向您的 Microsoft Entra 組織進行驗證的路徑,並不會授與這些帳戶對您整個環境的存取權。 B2B 使用者及其帳戶可以存取條件式存取原則所指定的服務和資源(例如檔案)。
更新通用原則以允許和保護來賓和外部使用者存取
此圖表顯示在 B2B 來賓和外部使用者存取的情境下,應新增或更新的通用身分識別和裝置存取原則是哪些。
下表列出您需要建立和更新的原則。 通用原則連結至 通用身分識別和裝置存取原則的相關組態指示。
| 保護層級 | 政策 | 詳細資訊 |
|---|---|---|
| 起點 | 來賓和外部使用者必須一律啟用多因素驗證 | 建立此新原則並設定下列設定:
|
| 當登入風險為 中等 或 高時,需要 MFA。 | 修改此原則以排除來賓和外部使用者。 |
若要從條件式存取原則中排除來賓和外部使用者,請移至 [指派>使用者>排除>選取使用者和群組:選取 來賓或外部使用者,然後選取所有可用的用戶類型:
- B2B 共同作業來賓使用者
- B2B 共同作業成員使用者
- B2B 直接連線使用者
- 本機來賓使用者
- 服務提供商用戶
- 其他外部使用者
詳細資訊
Microsoft Teams 提供來賓與外部使用者的存取權限
Microsoft Teams 會定義下列使用者:
- 來賓存取 會使用 Microsoft Entra B2B 帳戶,此帳戶可新增為小組成員,並且能存取小組的通訊和資源。
- 外部存取 適用於沒有 B2B 帳戶的外部使用者。 外部使用者存取包括邀請、通話、聊天和會議,但不包含小組成員資格和小組資源的存取權。
如需詳細資訊,請參閱 團隊中外部存取與來賓存取的比較。
如需保護 Teams 身分識別和裝置存取原則的詳細資訊,請參閱 保護 Teams 聊天、群組和檔案的原則建議。
來賓和外部使用者一律需要 MFA
此原則要求來賓在組織中註冊 MFA,不論他們是否在主組織中註冊 MFA。 貴組織中的來賓和外部用戶必須針對每個存取資源的要求使用 MFA。
將來賓和外部使用者排除在風險型 MFA 之外
雖然組織可以使用 Microsoft Entra ID Protection 為 B2B 使用者強制執行風險型原則,但資源目錄中有限制,因為它們的身分識別存在於主目錄中。 由於這些限制,我們建議您將來賓排除在風險型 MFA 原則中,並要求這些使用者一律使用 MFA。
如需詳細資訊,請參閱 B2B 共同作業使用者識別碼保護的限制。
從裝置管理中排除來賓和外部使用者
只有一個組織可以管理裝置。 如果您未從需要裝置合規性的原則中排除來賓和外部使用者,這些原則會封鎖這些使用者。
下一步
針對下列項目設定條件式存取原則:
- Microsoft Teams
- Exchange Online
- SharePoint
- 適用於 Cloud Apps 的 Microsoft Defender