发现组织中外部协作的当前状态

在了解外部协作的当前状态之前,请确定安全状况。 考虑集中控制与委托的控制,以及治理、法规和合规性目标。

了解详细信息: 使用 Microsoft Entra ID 确定外部访问的安全状况

组织中的用户可能会与其他组织中的用户协作。 协作通过Microsoft 365、通过电子邮件或与外部用户共享资源等生产力应用程序进行。 这些方案包括用户:

  • 启动外部协作
  • 与外部用户和组织协作
  • 授予对外部用户的访问权限

在您开始之前

本文是一系列 10 篇文章中的第 2 个。 建议按顺序查看文章。 转到“后续步骤”部分查看整个系列。

确定谁启动外部协作

通常,寻求外部协作的用户知道要使用的应用程序,以及访问结束时。 因此,确定具有委派权限的用户以邀请外部用户、创建访问包和完成访问评审。

若要查找协作用户,请执行以下作:

枚举来宾用户和组织

外部用户可能Microsoft具有合作伙伴管理的凭据的 Entra B2B 用户,或者具有本地预配凭据的外部用户。 通常,这些用户是 Guest UserType。 若要了解如何邀请来宾用户和共享资源,请参阅 B2B 协作概述

可以使用以下方法枚举来宾用户:

使用以下工具来识别 Microsoft Entra B2B 协作、外部Microsoft Entra 租户和访问应用程序的用户:

发现电子邮件域和 companyName 属性

可以使用外部用户电子邮件地址的域名确定外部组织。 使用者标识提供者可能无法发现此发现。 建议编写 companyName 属性来标识外部组织。

使用允许列表、阻止列表和权利管理

使用允许列表或阻止列表,使组织能够在租户级别与组织协作或阻止组织。 控制 B2B 邀请和兑换,而不考虑源(如 Microsoft Teams、SharePoint 或 Azure 门户)。

请参阅、 允许或阻止来自特定组织的 B2B 用户的邀请

如果使用权利管理,可以在 Identity Governance 中的“新建访问包”下将访问包限制为具有 “特定连接组织 ”选项的一部分合作伙伴。

标识治理“新建访问包”下的设置和选项的屏幕截图。

确定外部用户访问

使用外部用户和组织清单,确定授予用户访问权限。 可以使用Microsoft图形 API 来确定Microsoft Entra 组成员身份或应用程序分配。

枚举应用程序权限

调查对敏感应用的访问权限,了解外部访问。 以 编程方式查看、授予或撤销 API 权限

检测非正式共享

如果已启用电子邮件和网络计划,可以通过电子邮件或未经授权的软件即服务(SaaS)应用调查内容共享。

后续步骤

请参阅以下系列文章,了解如何保护对资源的外部访问。 建议遵循列出的顺序。

  1. 使用 Microsoft Entra ID 确定外部访问的安全态势

  2. 了解组织中外部协作的当前状态 (你在这里)

  3. 为外部资源访问创建安全性计划

  4. 使用 Microsoft Entra ID 和 Microsoft 365 中的组来保护外部访问

  5. 通过 Microsoft Entra B2B 协作过渡到受监管协作

  6. 使用 Microsoft Entra 权利管理来管理外部访问

  7. 使用条件访问策略管理对资源的外部访问

  8. 在 Microsoft Entra ID 中使用敏感度标签来控制对资源的外部访问

  9. 使用 Microsoft Entra ID 安全地从外部访问 Microsoft Teams、SharePoint 和 OneDrive for Business

  10. 将本地来宾帐户转换为 Microsoft Entra B2B 来宾帐户