通过 Microsoft Entra B2B 协作过渡到受监管协作
了解协作有助于保护对资源的外部访问。 使用本文中的信息将外部协作转换到 Microsoft Entra B2B 协作。
开始之前
本文是 10 篇文章系列中的第 5 篇文章。 建议按顺序查看文章。 转到后续步骤部分可查看整个系列。
控制协作
你可以限制用户可与哪些组织协作(入站和出站)以及组织中的哪些用户可以邀请来宾。 大多数组织都允许业务部门做出协作决定,并委托审批和监督。 例如,教育和金融行业通常不允许开放式协作。 可以使用 Microsoft Entra 功能来控制协作。
若要控制对租户的访问,请部署以下一种或多种解决方案:
- 外部协作设置 - 限制邀请发送到的电子邮件域
- 跨租户访问设置 - 按用户、组或租户控制来宾的应用程序访问(入站)。 控制用户的外部 Microsoft Entra 租户和应用程序访问(出站)。
- 连接的组织 - 决定哪些组织可以在权利管理中请求访问包
确定协作伙伴
根据需要记录与你协作的组织以及组织用户的域。 基于域的限制可能不切实际。 一位协作伙伴可以有多个域,而合作伙伴可以添加域。 例如,合作伙伴有多个具有单独域的业务部门,在配置同步时添加更多域。
如果用户使用 Microsoft Entra B2B,你可以通过登录日志、PowerShell 或工作簿了解用户正在与哪些外部 Microsoft Entra 租户协作。 了解详细信息:
可以启用将来与以下组织的协作:
- 外部组织 - 最具包容性
- 外部组织(已拒绝的组织除外)
- 特定外部组织 - 最具限制性
注意
如果协作设置的限制性很强,则用户可能会超出协作框架。 建议启用安全要求允许的广泛协作。
限制为一个域会阻止与具有其他不相关域的组织进行已授权协作。 例如,Contoso 的初始联系点可能是一名位于美国的员工,其电子邮件包含 .com
域。 但是,如果仅允许 .com
域,可能会忽略包含 .ca
域的加拿大员工。
可以允许一部分用户拥有特定协作伙伴。 例如,大学可能希望限制学生帐户访问外部租户,但可允许教职员工与外部组织进行协作。
外部协作设置的允许列表和阻止列表
可以对组织使用允许列表或阻止列表。 可以使用允许列表或阻止列表,二者不能同时使用。
- 允许列表 - 将协作限制为相应列表中的域。 其他域都在阻止列表中。
- 阻止列表 - 允许与不在阻止列表上的域协作
重要
允许列表和阻止列表不适用于目录中的用户。 默认情况下,这些列表不适用于 OneDrive for Business 和 SharePoint 允许列表或阻止列表;它们是独立的。 但可以启用 SharePoint-OneDrive B2B 集成。
某些组织具有托管安全提供程序中的恶意行动者域的阻止列表。 例如,如果组织与 Contoso 开展业务并使用 .com
域,则不相关的组织可以使用 .org
域,尝试钓鱼攻击。
跨租户访问设置
可以使用跨租户访问设置控制入站和出站访问。 此外,还可信任来自外部 Microsoft Entra 租户的多重身份验证、合规设备和已建立 Microsoft Entra 混合联接的设备 (HAAJD) 声明。 配置组织策略时,该策略适用于 Microsoft Entra 租户,且适用于该租户中的用户,而不考虑域后缀。
可以启用跨 Azure 云的协作,例如由世纪互联运营的 Microsoft Azure。 确定是否有协作伙伴驻留在不同的 Microsoft Cloud 中。
了解详细信息:
可以允许对特定租户的入站访问(允许列表),并将默认策略设置为阻止访问。 然后,创建组织策略,允许按用户、组或应用程序进行访问。
可以阻止对租户的访问(阻止列表)。 将默认策略设置为“允许”,然后创建阻止访问某些租户的组织策略。
注意
跨租户访问设置,入站访问不会阻止用户发送邀请,也不会阻止他们兑换邀请。 但这却会控制应用程序访问,以及令牌是否颁发给来宾用户。 如果来宾可以兑换邀请,则策略会阻止应用程序访问。
若要控制用户访问外部组织,则需配置类似于入站访问的出站访问策略:允许列表和阻止列表。 配置默认策略和特定于组织的策略。
详细了解:为 B2B 协作配置跨租户访问设置
注意
跨租户访问设置适用于 Microsoft Entra 租户。 若要控制不使用 Microsoft Entra ID 的合作伙伴的访问,请使用外部协作设置。
权利管理和连接的组织
使用权利管理来确保自动进行来宾生命周期治理。 创建访问包并将其发布到外部用户或支持 Microsoft Entra 租户和其他域的连接的组织。 创建访问包时,请限制对连接的组织的访问。
详细了解:权利管理是什么?
控制外部用户访问
若要开始协作,请邀请合作伙伴或使其能够访问资源。 用户可通过以下方式获取访问权限:
启用 Microsoft Entra B2B 后,可以通过链接和电子邮件邀请来邀请来宾用户。 自助服务注册并将访问包发布到“我的访问权限”门户需要更多配置。
来宾用户邀请
确定谁可以邀请来宾用户访问资源。
- 限制最多:仅允许管理员和具有来宾邀请者角色的用户
- 请参阅配置外部协作设置
- 如果安全要求允许,则允许 UserType 为“Member”的所有用户邀请来宾
- 确定 UserType 为 Guest 的用户是否可以邀请来宾
来宾是默认的 Microsoft Entra B2B 用户帐户
外部用户信息
使用 Microsoft Entra 权利管理配置外部用户要回答的问题。 这些问题会向审批者显示,帮助其做出决定。 可以为每项访问包策略配置多组问题,这样审批者就可以获取其审批的访问权限的相关信息。 例如,让供应商提供供应商合同编号。
如果使用自助服务门户,请在注册时使用 API 连接器收集用户属性。 使用收集的属性来分配访问权限。 可以在 Azure 门户中创建自定义属性,并将它们用于自助注册用户流。 使用 Microsoft Graph API 来读取和写入这些属性。
了解详细信息:
排查 Microsoft Entra 用户的邀请兑换问题
来自协作伙伴的受邀来宾用户在兑换邀请时可能会遇到问题。 有关缓解措施,请参阅以下列表。
- 用户域不在允许列表中
- 合作伙伴的主租户限制会阻止外部协作
- 用户不在合作伙伴 Microsoft Entra 租户中。 例如,contoso.com 的用户在 Active Directory 中。
- 他们可以使用电子邮件一次性密码 (OTP) 兑换邀请
- 请参阅 Microsoft Entra B2B 协作邀请兑换
外部用户访问
通常,有些资源可以与外部用户共享,有些资源则不能共享。 可以控制外部用户访问的内容。
详细了解:通过权利管理来管理外部访问
默认情况下,来宾用户可以查看有关租户成员和其他合作伙伴的信息和属性,包括组成员身份。 请考虑限制外部用户对该信息的访问。
建议使用以下来宾用户限制:
- 限制来宾访问权限,使他们只能浏览目录中的组和其他属性
- 使用外部协作设置来限制来宾读取他们不属于的组
- 阻止访问仅限员工访问的应用
- 创建条件访问策略,阻止访问那些非来宾用户的 Microsoft Entra 集成应用程序
- 阻止访问 Azure 门户
- 可以根据需要设置例外
- 创建包含所有来宾和外部用户的条件访问策略。 实施某个策略来阻止访问。
详细了解:条件访问:云应用、操作和身份验证上下文
移除不需要访问权限的用户
建立一个流程来评审和移除不需要访问权限的用户。 包括租户中身份为来宾的外部用户,以及有成员帐户的用户。
详细了解:使用 Microsoft Entra ID Governance 来评审和移除不再具有资源访问权限的外部用户
某些组织将外部用户(如供应商、合作伙伴和承包商)添加为成员。 分配属性或用户名:
- 供应商 - v-alias@contoso.com
- 合作伙伴 - p-alias@contoso.com
- 承包商 - c-alias@contoso.com
评估具有成员帐户的外部用户,以确定访问权限。 你可能有未通过权利管理或 Microsoft Entra B2B 邀请的来宾用户。
若要查找这些用户,请执行以下操作:
- 使用 Microsoft Entra ID Governance 来评审和移除不再具有资源访问权限的外部用户
- 在 access-reviews-samples/ExternalIdentityUse/ 上使用示例 PowerShell 脚本
将当前外部用户转换为 Microsoft Entra B2B 用户
如果未使用 Microsoft Entra B2B,那么你的租户中可能有非员工用户。 建议将这些帐户转换为 Microsoft Entra B2B 外部用户帐户,然后将其 UserType 更改为“Guest”。 使用 Microsoft Entra ID 和 Microsoft 365 来处理外部用户。
包含或排除:
- 条件访问策略中的来宾用户
- 访问包和访问评审中的来宾用户
- 对 Microsoft Teams、SharePoint 等资源的外部访问
可以在维护当前访问权限、用户主体名称 (UPN) 和组成员身份的同时转换这些内部用户。
详细了解:邀请外部用户参与 B2B 协作
停用协作方法
若要完成转换到受管控协作,可停用不需要的协作方法。 停用取决于对协作施加的控制级别和安全状况。 请参阅确定外部访问的安全状况。
Microsoft Teams 邀请
默认情况下,Teams 允许外部访问。 组织可以与外部域通信。 若要限制或允许 Teams 的域,请使用 Teams 管理中心。
通过 SharePoint 和 OneDrive 进行共享
通过 SharePoint 和 OneDrive 共享可添加不在权利管理流程中的用户。
通过电子邮件发送的文档和敏感度标签
用户可通过电子邮件向外部用户发送文档。 可以使用敏感度标签来限制和加密对文档的访问权限。
未批准的协作工具
某些用户可能会使用 Google 文档、DropBox、Slack 或 Zoom。 对于组织管理的设备,可以在防火墙级别阻止在企业网络中使用这些工具,也可以通过移动应用程序管理进行设置。 但是,此操作会阻止批准的实例,并且不会阻止来自非托管设备的访问。 阻止不需要的工具,并创建策略禁止未批准的使用。
有关管理应用程序的详细信息,请参阅:
后续步骤
请参阅以下系列文章,了解如何保护对资源的外部访问。 建议遵循列出的顺序。