Политики для предоставления гостевого доступа и доступа внешних пользователей B2B

В этой статье описывается настройка рекомендуемых политик "Никому не доверяй" для доступа к удостоверениям и устройствам, чтобы разрешить доступ гостям и внешним пользователям, имеющим учетную запись Microsoft Entra Бизнес для бизнеса (B2B). Это руководство основывается на общих политиках управления идентичностью и доступом к устройствам.

Эти рекомендации предназначены для применения к начальной точке уровня защиты. Но вы также можете настроить рекомендации на основе конкретных потребностей в защите корпоративной и специализированной безопасности.

Предоставление пути для учетных записей B2B для аутентификации в вашей организации Microsoft Entra не даёт этим учетным записям доступ ко всей вашей ИТ-среде. Пользователи B2B и их учетные записи имеют доступ к службам и ресурсам (например, файлам), назначенным политикой условного доступа.

Обновление общих политик для разрешения и защиты гостей и доступа внешних пользователей

В следующей таблице перечислены политики, которые необходимо создать и обновить. Общие политики ссылаются на ассоциированные инструкции по настройке в Общие политики идентификации и доступа к устройствам.

Чтобы исключить гостей и внешних пользователей из политик условного доступа, перейдите в раздел Назначения>пользователей>исключить>Выбрать пользователей и группы: выберите гостевых или внешних пользователей, а затем выберите все доступные типы пользователей:

• гостевые пользователи в контексте B2B-сотрудничества
• пользователи-члены B2B сотрудничества
• пользователи B2B с прямым подключением
• локальных гостевых пользователей
• пользователи поставщика услуг
• другие внешние пользователи

Дополнительные сведения

Гости и внешний доступ пользователей с Microsoft Teams

Microsoft Teams определяет следующих пользователей:

• Guest access использует учетную запись Microsoft Entra B2B, которую можно добавить в качестве члена команды и получить доступ к коммуникациям и ресурсам команды.
• внешний доступ предназначен для внешнего пользователя, у которого нет учетной записи B2B. Доступ к внешним пользователям включает приглашения, звонки, чаты и собрания, но не включает членство в команде и доступ к ресурсам команды.

Дополнительные сведения см. в статье Сравнение внешнего доступа и гостевого доступа в Teams.

Дополнительные сведения о защите политик доступа для идентификационных данных и устройств в Teams см. в статье Рекомендации по "Никому не доверяй" для Microsoft Teams.

Требовать MFA всегда для гостевых и внешних пользователей

Эта политика требует от гостей регистрации для MFA в вашей организации независимо от того, зарегистрированы ли они для MFA в своей домашней организации. Гости и внешние пользователи в организации должны использовать MFA для каждого запроса на доступ к ресурсам.

Исключение гостей и внешних пользователей из MFA на основе рисков

Хотя организации могут внедрять политики управления рисками для пользователей B2B с помощью Защита Microsoft Entra ID, существуют ограничения в каталоге ресурсов, поскольку их учетные данные находятся в домашнем каталоге. Из-за этих ограничений рекомендуется исключить гостей из политик MFA на основе рисков и требовать, чтобы эти пользователи всегда использовали MFA.

Дополнительные сведения см. в разделе Ограничения защиты идентификаторов для пользователей службы совместной работы B2B.

Исключение гостей и внешних пользователей из управления устройствами

Только одна организация может управлять устройством. Если вы не исключаете гостей и внешних пользователей из политик, требующих соответствия устройств, эти политики блокируют этих пользователей.

Следующий шаг

Настройка дополнительных политик для:

• Exchange Online
• SharePoint
• Microsoft Teams
• Microsoft Defender for Cloud Apps