Policies for allowing guest access and B2B external user access

Questo articolo illustra la modifica dei criteri di identità Zero Trust e di accesso ai dispositivi consigliati per consentire l'accesso per utenti guest ed esterni che dispongono di un account Microsoft Entra Business to Business (B2B). Queste linee guida si basa sui criteri comuni di identità e accesso ai dispositivi .

These recommendations are designed to apply to the starting point tier of protection. But you can also adjust the recommendations based on your specific needs for enterprise and specialized security protection.

Fornire un modo per gli account B2B di autenticarsi nella tua organizzazione Microsoft Entra non concede a questi account l'accesso all'intero ambiente. Gli utenti B2B e i relativi account hanno accesso a servizi e risorse (ad esempio file) designati dai criteri di accesso condizionale.

Aggiornamento delle politiche comuni per consentire e proteggere l'accesso degli utenti ospiti e degli utenti esterni

Nella tabella seguente sono elencati i criteri da creare e aggiornare. I criteri comuni sono collegati alle istruzioni di configurazione associate in Criteri di accesso comuni alle identità e ai dispositivi.

Per escludere utenti guest ed esterni dai criteri di accesso condizionale, passare a Assegnazioni>Utenti>Escludi>Selezionare utenti e gruppi: selezionare Guest o utenti esternie quindi selezionare tutti i tipi di utente disponibili:

• B2B collaboration guest users
• utenti membri di Collaborazione B2B
• B2B direct connect users
• Local guest users
• Service provider users
• Altri utenti esterni

Altre informazioni

Accesso degli utenti ospiti ed esterni con Microsoft Teams

Microsoft Teams definisce gli utenti seguenti:

• Guest access uses a Microsoft Entra B2B account that can be added as a member of a team and have access to the communications and resources of the team.
• l'accesso esterno è per un utente esterno che non ha un account B2B. L'accesso utente esterno include inviti, chiamate, chat e riunioni, ma non include l'appartenenza al team e l'accesso alle risorse del team.

For more information, see Compare external access and guest access in Teams.

For more information on securing identity and device access policies for Teams, see Zero Trust considerations for Microsoft Teams.

Richiedere sempre l'autenticazione a più fattori per gli utenti guest ed esterni

Questo criterio richiede agli ospiti di registrarsi per l'autenticazione a più fattori nella tua organizzazione, indipendentemente dal fatto che siano registrati per l'autenticazione a più fattori nella loro organizzazione di origine. Gli utenti guest ed esterni dell'organizzazione devono usare l'autenticazione a più fattori per ogni richiesta di accesso alle risorse.

Esclusione di utenti guest ed esterni da MFA basata sul rischio

Sebbene le organizzazioni possano applicare criteri basati sul rischio per gli utenti B2B che utilizzano Microsoft Entra ID Protection, ci sono delle limitazioni in una directory di risorse perché la loro identità esiste nella home directory (directory personale). A causa di queste limitazioni, è consigliabile escludere gli utenti guest dai criteri di autenticazione a più fattori basati sul rischio e richiedere a questi utenti di usare sempre l'autenticazione a più fattori.

Per ulteriori informazioni, vedere Limitazioni della protezione ID per gli utenti di collaborazione B2B.

Esclusione di utenti guest ed esterni dalla gestione dei dispositivi

Solo un'organizzazione può gestire un dispositivo. Se non si escludono utenti guest ed esterni da criteri che richiedono la conformità dei dispositivi, questi criteri bloccano questi utenti.

Passaggio successivo

Configure additional policies for:

• Exchange Online
• SharePoint
• Microsoft Teams
• Microsoft Defender for Cloud Apps