使用 Microsoft Entra 权利管理来管理外部访问

使用权利管理功能来管理标识和访问生命周期。 你可以自动化访问请求工作流、访问分配、评审和过期设置。 委派的非管理员使用权利管理创建访问包,来自其他组织的外部用户可以请求访问该包。 可配置单阶段和多阶段的审批工作流来评估请求,并通过定期评审为用户预配限时访问权限。 将权利管理用于基于策略的外部帐户预配和撤销预配。

了解详细信息:

准备阶段

本文是 10 篇系列文章中的第 6 篇。 建议按顺序查看文章。 转到后续步骤部分可查看整个系列。

启用权利管理

以下关键概念对于了解权利管理非常重要。

访问包

访问包是权利管理的基础:它是由策略管理的资源分组,供用户协作处理项目或执行其他任务。 例如,访问包可能包括:

  • 访问 SharePoint 网站
  • 企业应用程序,包括自定义的内部应用和服务型软件 (SaaS) 应用(如 Salesforce)
  • Microsoft Teams
  • Microsoft 365 组

目录

访问包位于目录中。 如果要对相关资源和访问包进行分组,并委托其管理,请创建一个目录。 首先将资源添加到目录,然后可将资源添加到访问包。 例如,你可以创建一个“财务”目录,并将其管理委派给财务团队的某个成员。 然后,此人可以添加资源、创建访问包并管理访问审批。

了解详细信息:

下图显示了一个典型的治理生命周期,其中外部用户获得了对访问包的访问权限,该权限附有过期时间。

外部用户治理周期的图示。

自助服务外部访问

可通过 Microsoft Entra“我的访问权限”门户使访问包可用,让外部用户能够请求访问。 策略确定谁可以请求访问包。 请参阅在权利管理中请求访问某个访问包

你指定允许谁请求访问包:

审批

访问包可以包含强制访问审批。 审批可以是单阶段或多阶段的,由策略决定。 如果内部用户和外部用户需要访问同一个包,可以为各个类别的已连接的组织以及内部用户设置不同的访问策略。

重要

实现外部用户的审批过程。

过期时间

访问包可以包含为访问设置的到期日期或天数。 当访问包过期并且访问结束时,可以删除代表用户的 B2B 来宾用户对象或阻止其登录。 对于外部用户,建议对访问包强制实施过期时间。 并非所有访问包都有过期时间。

重要

对于没有过期时间的包,请定期执行访问评审。

访问评审

访问包可能需要定期访问评审,这需要包所有者或受托人来证明用户的访问需求持续存在。 请参阅通过访问评审管理来宾访问权限

在安排评审之前,请确定以下各项条件:

    • 持续访问的条件
    • 审阅者
  • 频率
    • 内置选项包括每月、每季度、每年两次或每年一次
    • 对于支持外部访问的包,建议每季度一次或更频繁地进行评审

重要

访问包评审的目的是检查通过权利管理授予的访问权限。 设置其他流程,在权利管理之外评审外部用户的访问权限。

了解详细信息:规划 Microsoft Entra 访问评审部署

使用权利管理自动化

外部访问治理建议

最佳做法

建议采用以下做法,使用权利管理治理外部访问。

标识治理 - 设置

如果用户的访问包过期,请使用标识治理–设置从目录中删除他们。 以下设置适用于已通过权利管理加入的用户。

管理外部用户的生命周期的设置和条目的屏幕截图。

委托目录和包管理

可以将目录和包管理委托给业务所有者,他们掌握有关应能访问的人员的详细信息。 请参阅权利管理中的委托和角色

“角色和管理员”下的选项和条目的屏幕截图。

强制实施访问包过期时间

可以为外部用户强制实施访问过期。 请参阅在权利管理中更改访问包的生命周期设置

过期选项和条目的屏幕截图。

  • 对于基于项目的访问包的结束日期,请使用“过期日期”设置日期。
    • 否则,建议有效时长不超过 365 天,除非是多年期的项目
  • 允许用户延长访问权限期限
    • 需要审批才能授予延期

强制实施来宾访问包评审

可以强制评审来宾访问包,以避免来宾进行不当访问。 请参阅通过访问评审管理来宾访问权限

“新建访问包”下的选项和条目的屏幕截图。

  • 强制季度评审
  • 对于合规性相关的项目,请将评审者设置为评审,而不是让外部用户自行评审。
    • 可以使用访问包管理器作为评审者
  • 对于不那么敏感的项目,用户自行评审可减少移除不再与组织协作的用户的权限的负担。

了解详细信息:在权利管理中治理外部用户的访问权限

后续步骤

请参阅以下系列文章,了解如何保护对资源的外部访问。 建议遵循列出的顺序。

  1. 使用 Microsoft Entra ID 确定外部访问的安全态势

  2. 发现组织中外部协作的当前状态

  3. 为外部资源访问创建安全性计划

  4. 使用 Microsoft Entra ID 和 Microsoft 365 中的组来保护外部访问

  5. 通过 Microsoft Entra B2B 协作过渡到受治理的协作

  6. 使用 Microsoft Entra 权利管理来管理外部访问(本文)

  7. 使用条件访问策略管理对资源的外部访问

  8. 在 Microsoft Entra ID 中使用敏感度标签来控制对资源的外部访问

  9. 使用 Microsoft Entra ID 安全地从外部访问 Microsoft Teams、SharePoint 和 OneDrive for Business

  10. 将本地来宾帐户转换为 Microsoft Entra B2B 来宾帐户