Управление внешним доступом с помощью управления правами Microsoft Entra

Используйте функцию управления правами для управления жизненным циклом идентификации и доступа. Вы можете автоматизировать рабочие процессы запросов на доступ, назначения доступа, проверки и истечение срока действия. Делегированные неадминистры используют управление правами для создания пакетов доступа, к которым внешние пользователи, из других организаций, могут запрашивать доступ. Одно- и многоэтапные процессы согласования настраиваются для оценки запросов и предоставления пользователям временного доступа с периодическими обзорами. Используйте управление доступом для предоставления и удаления внешних учетных записей на основе политик.

Подробнее:

Перед тем как начать

Эта статья является номером 6 в серии из 10 статей. Мы рекомендуем ознакомиться с статьями по порядку. Перейдите к разделу "Дальнейшие действия ", чтобы просмотреть всю серию.

Включение управления правами

Для управления правами важно понимать следующие ключевые понятия.

Пакеты доступа

Пакет доступа является основой управления правами: группировки ресурсов, управляемых политикой, для пользователей для совместной работы над проектом или выполнения других задач. Например, пакет доступа может включать:

  • Доступ к сайтам SharePoint
  • Корпоративные приложения, в том числе пользовательские собственные и программные приложения как услуга (SaaS), такие как Salesforce
  • Microsoft Teams
  • Группы Microsoft 365

Каталоги

Пакеты доступа находятся в каталогах. Если вы хотите группировать связанные ресурсы и получать доступ к пакетам и делегировать управление ими, создайте каталог. Сначала вы добавляете ресурсы в каталог, а затем можете добавлять ресурсы для доступа к пакетам. Например, можно создать финансовый каталог и делегировать его управлению членом финансовой группы. Этот пользователь может добавлять ресурсы, создавать пакеты доступа и управлять утверждением доступа.

Подробнее:

На следующей схеме показан типичный жизненный цикл управления внешнего пользователя, получающего доступ к пакету доступа, с истечением срока действия.

Схема цикла управления внешними пользователями.

Самостоятельный внешний доступ

Пакеты доступа можно сделать доступными на портале Microsoft Entra My Access, чтобы разрешить внешним пользователям запрашивать доступ. Политики определяют, кто может запрашивать пакет доступа. Смотрите: Запрос доступа к пакету доступа в управлении правами доступа.

Укажите, кому разрешено запрашивать пакет доступа:

Утверждения

Пакеты доступа могут включать обязательное утверждение для доступа. Утверждения могут быть одноэтапными или многоэтапными и определяются политиками. Если внутренние и внешние пользователи должны получить доступ к одному пакету, можно настроить политики доступа для категорий подключенных организаций и внутренних пользователей.

Это важно

Реализуйте процессы утверждения для внешних пользователей.

Истечение срока действия

Пакеты доступа могут включать дату окончания срока действия или несколько дней, установленных для доступа. После истечения срока действия пакета доступа и окончания доступа объект гостевого пользователя B2B, представляющий пользователя, можно удалить или заблокировать вход. Рекомендуется применить срок действия пакетов доступа для внешних пользователей. Не все пакеты доступа имеют срок действия.

Это важно

Для пакетов без истечения срока действия выполните регулярные проверки доступа.

Проверки доступа

Пакеты доступа могут требовать периодических проверок доступа, которые предполагают обязательство владельца пакета или назначенного лица подтвердить постоянную необходимость в доступе пользователей. См. статью "Управление гостевым доступом с помощью проверок доступа".

Перед настройкой проверки определите следующие критерии:

  • Кто
    • Критерии непрерывного доступа
    • Рецензенты
  • Как часто
    • Встроенные варианты — ежемесячно, ежеквартально, раз в полгода или ежегодно
    • Мы рекомендуем ежеквартально или более частые проверки для пакетов, поддерживающих внешний доступ.

Это важно

Проверка пакетов доступа проверяет доступ, предоставленный с помощью управления правами. Настройте другие процессы для просмотра доступа к внешним пользователям, вне управления правами.

Дополнительные сведения. Планирование развертывания проверок доступа Microsoft Entra.

Использование автоматизации управления правами

Рекомендации по управлению внешним доступом

Лучшие практики

Мы рекомендуем использовать следующие методики для управления внешним доступом с помощью управления правами.

Управление удостоверениями — конфигурации управления

Выберите жизненный цикл внешних пользователей в конфигурациях управления, чтобы удалить пользователей из каталога после истечения срока действия пакетов доступа. Следующие параметры применяются к пользователям, подключенным к управлению правами.

Снимок экрана: параметры и записи для управления жизненным циклом внешних пользователей.

Делегирование каталога и управления пакетами

Вы можете делегировать управление каталогом и пакетами владельцам бизнеса, у которых есть дополнительные сведения о том, кто должен получить доступ. См., делегирование и роли в управлении правами

Снимок экрана: параметры и записи в разделе

Принудительное истечение срока действия пакета доступа

Вы можете ввести срок действия доступа для внешних пользователей. См. раздел "Изменение параметров жизненного цикла" пакета доступа в управлении правами.

Снимок экрана: параметры и записи для истечения срока действия.

  • Для даты окончания пакета доступа на основе проекта используйте "Дата ", чтобы задать дату.
    • В противном случае мы рекомендуем устанавливать срок действия не более 365 дней, если это не многолетний проект.
  • Разрешить пользователям расширить доступ
    • Требовать утверждения для предоставления расширения

Принудительное применение проверок пакетов гостевого доступа

Вы можете применить проверки пакетов гостевого доступа, чтобы избежать недопустимого доступа для гостей. См. статью "Управление гостевым доступом с помощью проверок доступа".

Снимок экрана: параметры и записи в новом пакете доступа.

  • Применение квартальных проверок
  • Для проектов, связанных с соответствием требованиям, назначьте рецензентов, чтобы внешние пользователи не просматривали самостоятельно.
    • Можно использовать диспетчеры пакетов доступа в качестве рецензентов
  • Для менее конфиденциальных проектов самостоятельная проверка доступа пользователями снижает нагрузку по удалению доступа тех, кто больше не работает в организации.

Дополнительные сведения. Управление доступом для внешних пользователей в управлении правами

Дальнейшие шаги

Используйте следующую серию статей, чтобы узнать о защите внешнего доступа к ресурсам. Рекомендуется следовать указанному заказу.

  1. Определите свою позицию в отношении безопасности для внешнего доступа с помощью Microsoft Entra ID

  2. Обнаружение текущего состояния внешней совместной работы в организации

  3. Создание плана безопасности для внешнего доступа к ресурсам

  4. Безопасный внешний доступ с помощью групп в идентификаторе Microsoft Entra и Microsoft 365

  5. Переход к управляемой совместной работе с Microsoft Entra B2B

  6. Управление внешним доступом с помощью управления правами Microsoft Entra (здесь)

  7. Управление внешним доступом к ресурсам с помощью политик условного доступа

  8. Управление внешним доступом к ресурсам в идентификаторе Microsoft Entra с помощью меток конфиденциальности

  9. Защита внешнего доступа к Microsoft Teams, SharePoint и OneDrive для бизнеса с помощью идентификатора Microsoft Entra

  10. Преобразование локальных гостевых учетных записей в гостевые учетные записи Microsoft Entra B2B

  • Last updated on