发现组织中外部协作的当前状态

在了解外部协作的当前状态之前，请确定安全状况。 考虑集中控制与委派控制，以及治理、法规和合规性目标。

了解详细信息：使用 Microsoft Entra ID 确定外部访问的安全态势

组织中的用户可能会与其他组织中的用户协作。 使用 Microsoft 365 等高效办公应用程序、电子邮件或与外部用户共享资源时，协作会发生。 这些方案包括用户：

• 发起外部协作
• 与外部用户和组织协作
• 向外部用户授予访问权限

准备阶段

本文是 10 篇系列文章中的第 2 篇。 建议按顺序查看文章。 转到后续步骤部分可查看整个系列。

确定发起外部协作的人员

通常，寻求外部协作的用户知道要使用的应用程序以及访问结束的时间。 因此，请确定具有邀请外部用户、创建访问包和完成访问评审的委托的权限的用户。

若要查找协作用户：

• Microsoft 365 审核日志活动 - 搜索事件并发现在 Microsoft 365 中审核的活动
• 审核和报告 B2B 协作用户 - 验证来宾用户访问权限，并查看系统和用户活动的记录

枚举来宾用户和组织

外部用户可以是具有合作伙伴管理的凭据的 Microsoft Entra B2B 用户，也可以是具有本地预配凭据的外部用户。 通常，这些用户的 UserType 属于 Guest。 若要了解如何邀请来宾用户和共享资源，请参阅 B2B 协作概述。

可以使用以下方法枚举来宾用户：

• Microsoft 图形 API
• PowerShell
• Azure 门户

使用以下工具发现 Microsoft Entra B2B 协作、外部 Microsoft Entra 租户以及正在访问应用程序的用户：

• PowerShell 模块：Get MsIdCrossTenantAccessActivity
• 跨租户访问活动工作簿

发现电子邮件域和 companyName 属性

你可以通过外部用户电子邮件地址的域名来确定外部组织。 对于使用者标识提供者，这种发现可能不可行。 建议写入 companyName 属性来标识外部组织。

使用允许列表、阻止列表和权利管理

使用允许列表或阻止列表使组织能够在租户级别与组织协作或阻止组织。 控制 B2B 邀请和兑换，而不考虑源（例如 Microsoft Teams、SharePoint 或 Azure 门户）。

请参阅允许或阻止向特定组织中的 B2B 用户发送邀请

如果使用权利管理，则可以使用“标识管理”中“新建访问包”下的“特定连接的组织”选项，将访问包限制为一部分合作伙伴。

确定外部用户访问权限

拥有外部用户和组织清单后，确定要授予这些用户的访问权限。 可以使用 Microsoft Graph API 来确定 Microsoft Entra 组成员身份或应用程序分配。

• 使用 Microsoft Graph 中的组
• 应用程序 API 概述

枚举应用程序权限

调查对敏感应用的访问，了解外部访问。 请参阅以编程方式授予或撤销 API 权限。

检测非正式共享

如果启用了电子邮件和网络计划，则可以通过电子邮件或未经授权的软件即服务 (SaaS) 应用来调查共享的内容。

• 识别、防止和监视意外共享
  • 了解数据丢失防护 (DLP)
• 识别未经授权的应用
  • Microsoft Defender for Cloud Apps 概述

后续步骤

请参阅以下系列文章，了解如何保护对资源的外部访问。 建议遵循列出的顺序。

1. 使用 Microsoft Entra ID 确定外部访问的安全态势

2. 发现组织中外部协作的当前状态（你所在的位置）

3. 为外部资源访问创建安全性计划

4. 使用 Microsoft Entra ID 和 Microsoft 365 中的组来保护外部访问

5. 通过 Microsoft Entra B2B 协作过渡到受监管协作

6. 使用 Microsoft Entra 权利管理来管理外部访问

7. 使用条件访问策略管理对资源的外部访问

8. 在 Microsoft Entra ID 中使用敏感度标签来控制对资源的外部访问

9. 使用 Microsoft Entra ID 安全地从外部访问 Microsoft Teams、SharePoint 和 OneDrive for Business

10. 将本地来宾帐户转换为 Microsoft Entra B2B 来宾帐户