Azure AD: Cross-tenant Access Settings Clarity - Eric om identitet (2023)

Table of Contents
Terminologi Hva det ikke er Paritet med en Active Directory-tillit Hva det er En mekanisme for å gi granulær B2B gjestekontroll En måte å stole på ekstern MFA og enhetsoverholdelse Noen dvelende spørsmål Hvor behandles betinget tilgang? Hvor behandles identitetsbeskyttelse? Ett nytt triks – av mulig mange PIM i hjemmet leietaker for utgående gjest tilgang Sluttnotater

Med utgivelsen av Azure AD cross-tenant tilgangsinnstillinger, har jeg merket noe forvirring blant folk om hva deter, og ikke minst hva deter det ikke.

Jeg kommer også til å dekke B2B Direct Connect, for selv om det er en egen funksjon, med utgivelse sammenfallende samtidig med tilgangsinnstillinger på tvers av leietakere, ser jeg at alt blir samlet "i det samme" settet med forhåndsvisningsfunksjoner.

Microsoft Docs-artikkelen om dette er en utmerket kilde til informasjon, som kan finnes her,Oversikt over tilgang på tvers av leietakere – Azure AD | Microsoft Docs. Sammen med det vil vi dykke ned i bakgrunnen og bruke tilfeller for denne nye pakken med knotter og skiver for våre eksterne identiteter.

Innstillinger for tilgang på tvers av leietakere og direkte B2B-tilkobling er for øyeblikket i offentlig forhåndsvisning.

Terminologi

Gjest -For klarhetens skyld, når vi snakker om gjestebrukere i sammenheng med dette innlegget, snakker vi om brukere som er invitert inn i Azure AD-leietakeren din.

See Also
Azure AD Connect: Oppgrader fra en tidligere versjon - Microsoft EntraMestring av AKS-feilsøking #1: Løse tilkoblings- og DNS-feil

Resource Azure AD-leietaker [Ressursleietaker] –Hvis du inviterer gjesterinn idin Azure AD-leietaker,dinleietaker er ressursleier. Den representerer din organisasjon. Hvis du er engjest, så er ressursleieren leietakeren du har blitt invitert inn i.

Home Azure AD Tenant [Home Tenant] –Dette er leietakeren der brukerobjektene bor. Hvis brukerobjektet ditt finnes i organisasjonens Azure AD-leietaker, er leierenbådehjemmeleietaker og ressursleietaker – dine brukere og applikasjoner "bor" på samme sted. Gjester til leietakeren din vil ha enannerledeshusleietaker.

Hva det ikke er

Før vi går inn på hva vi kan gjøre med tilgangsinnstillinger på tvers av leietakere, la oss dekke hva dette ikke er (i hvert fall når dette skrives).

Paritet med en Active Directory-tillit

Innstillinger for tilgang på tvers av leietakere kan fremkalle en følelse av å konfigurere en tillit i Active Directory, som mange Microsoft-identitetsutøvere kan være kjent med.

Det er nærmeremotsatteav en trust, i den forstand at Active Directory som standard ikke har noen implisitte truster, og du må eksplisitt konfigurere trusts. Azure AD er historisk motsatt, enhver organisasjon, med mindre innstillingene er justert, kan invitere brukere fra enhver Azure AD-leietaker inn i organisasjonen. Disse innstillingene lar oss være mer detaljerte i hvordan vibegrensegjestetilgang inngående og utgående til vår Azure AD-leietaker.

Videre, når vi undersøker B2B Direct Connect, innser vi at den eneste brukssaken for øyeblikket er Teams delte kanaler.

Når vi tenker på en Active Directory-tillit, tenker vi på det faktum at brukerobjekter bare eksisterer i kildebrukerskogen. Med tilgangsinnstillinger på tvers av leietakere, og begrensningene med B2B Direct Connect, må vi fortsatt invitere brukerobjekter inn i ressursleieren vår – alle de andre «tingene» knyttet til Azure AD-leietakeren vår trenger objekt-IDen i ressursleieren vår å referere til.

Hva det er

En mekanisme for å gi granulær B2B gjestekontroll

Når man snakker om B2B-gjester og eksterne identiteter, har mange organisasjoner en tendens til å fokusere på aspektet av gjester som blir invitertinn ideres leietaker. Det er den andre siden av den B2B-mynten, som begrenser hvilke organisasjoner du kanskje vil at brukerne skal ha tilgang til.

Enkelte organisasjoner, spesielt de i de regulerte bransjene, har bekymring for hvilke eksterne leietakere brukerne deres kan koble seg til. Inntil nå har organisasjoner måttet bruke begrensninger for leietakere,Bruk leietakerrestriksjoner for å administrere tilgang til SaaS-apper – Azure AD | Microsoft Docs, som har et høyere kompleksitetsnivå – implementeringen krever en proxy for å utføre trafikkinspeksjon og HTTP-headerinnsetting.

Nå kan organisasjoner som har strenge krav til utgående gjestetilgang, som standard begrense utgående tilgang, og deretter opprette en mer detaljert tillatelsesliste.

Vi kan også nå være detaljerte ned til bruker-/gruppenivå for hvem som har tilgang til bestemte organisasjoner. Si at du bare vil tillate ansatte fra lønn å få tilgang til leietakeren leverandøren bruker og begrense utgående tilgang til alle andre – nå kan du gjøre det.

På samme måte er det granularitet på inngående side. La oss si at du er den leverandøren som behandler en organisasjons lønn og ønsker å sikre at bare de kjente brukerne for selskapet du betjener kan komme inn i organisasjonen din. Du kan også begrense innkommende, og begrense hva gjester tillates inn.

En måte å stole på ekstern MFA og enhetsoverholdelse

Mange organisasjoner som er kjent med betinget tilgang og gjestepolicyer har støtt på behovet for å registrere seg i Azure AD MFA to ganger eller mer – én gang for hjemmeleietaker og én gang for annen ressursleietaker de får tilgang til. Denne opplevelsen, fra et brukerperspektiv, er mindre enn ideell.

Med tilgangsinnstillinger på tvers av leietakere kan vi nå velge å stole på MFA fra gjestebrukernes hjemmeleietaker. Vi kan også være detaljerte – hvis vi ønsker å stole på MFA fra enkelte leietakere, men krever MFA-registrering fra andre, kan vi gjøre det.

Mer interessant er det at vi nå kan stole på enhetsoverholdelse og hybrid join-status fra gjesteboligen. Selv om jeg fortsatt har visse forbehold med hensyn til kvaliteten på å stole på hybrid sammenføyning alene, med fokus på enhetsoverholdelse, åpner det virkelig for mye samarbeid på tvers av leietakere, og gir en innovativ tilnærming til å utnytte Zero Trust-modellering når du jobber med gjester. Selv om dette fortsatt har kravet om at gjesteboligen må utnytte Intune eller en tredjeparts MDM som kan rapportere i enhetsoverholdelse, gjør det dette til en mulighet.

I min egen testing var jeg i stand til å utnytte enhetsoverholdelse i betinget tilgang for en enhet i en gjesteleier, og det fungerte med letthet.

Noen dvelende spørsmål

Hvor behandles betinget tilgang?

Dette har ikke endret seg med de nye tilgangsinnstillingene på tvers av leietakere, men det er et godt tidspunkt å gå gjennom.

Betinget tilgang eralltidevaluert iressursleietaker.

Ressursleieren må sikre at deres retningslinjer for betinget tilgang oppfyller behovene for å beskytte applikasjonene deres.

Likeså boligleierenkan ikkebegrense utgående tilgang til en annen leietaker med betinget tilgang. Fordi gjesten ikke får tilgang til ressurser i leietakeren sin, vil selv en CA-policy for blokkering av alle applikasjoner ikke hindre brukeren i å få tilgang til en ressursleier som gjest – noe som virkelig bringer oss tilbake til hva disse nye innstillingene løser.

Hvor behandles identitetsbeskyttelse?

Brukerrisiko vurderes ihjemleietaker, og påloggingsrisiko vurderes iressursleietaker for B2B-brukere. Ved oppstart av Tor og tilgang til O365 med en gjest, ble testbrukeren min blokkert av Identity Protection i hjemmeleietakeren fordi den ble flagget som en høy brukerrisiko. Så avhengig av hva slags trussel Identity Protection oppdager, kan du oppleve at brukere blir begrenset av både hjemmet og ressursleietakeren når Identity Protection er i bruk.

Detaljene om dette er ytterligere utdypet i Microsoft Docs-artikkelen,Identitetsbeskyttelse og B2B-brukere – Azure Active Directory | Microsoft Docs.

Ett nytt triks – av mulig mange

PIM i hjemmet leietaker for utgående gjest tilgang

Muligheten til å bruke PIM på gjestebrukerkontoer er ikke ny. Men hvis vi kombinerer forhåndsvisningsfunksjonen til PIM for gruppemedlemskap, og bruker utgående begrensninger for en bestemt gruppe,hjemleietaker kan bygge en forespørselsprosess for utgående tilgang.

I og med at dette er ganske restriktivt, vil jeg se et smalt spekter av brukstilfeller, da det virkelig hemmer samarbeid mellom leietakere. For de organisasjonene som tidligere helt har slått av muligheten til å samarbeide med andre organisasjoner på grunn av ting som datasensitivitet, kan døren nå åpnes litt.

Sluttnotater

Eksterne identiteter og B2B er i kontinuerlig utvikling. Selv om det fortsatt er et stort gap å bygge bro over for mange situasjoner, bringer dette oss definitivt et skritt nærmere. Spesielt B2B Direct Access vil være interessant å se hvordan Microsoft utvikler det – vil det komme nærmere hvordan en AD-trust opererer, eller vil det være forbedringer på hvordan gjester inviteres inn i leietakere.

Som vanlig, alle spørsmål/bekymringer/kommentarer vennligst kontakt meg, og hvis du finner noen nye unike brukstilfeller for tilgangsinnstillinger på tvers av leietakere, vil du gjerne høre dem.

Om dette innlegget fremhevet bilde

Det valgte bildet er arbeidet tilcharleseluvium, brukt underUnsplash-lisens.

Gitt naturen til B2B, virker bilder av et håndtrykk som en naturlig passform. I stedet for et bilde selv om et håndtrykk, bestemte jeg meg for at neonskiltet, som er elektrisk, føles nærmere to datasystemer som kobles sammen, i tillegg til at det lar seerens fantasi mer åpen når det gjelder hvordan de to hendene kan se ut, begge som mennesker, men også som bedrifter som kobler sammen.

Top Articles
Latest Posts
Article information

Author: Fredrick Kertzmann

Last Updated: 06/13/2023

Views: 5277

Rating: 4.6 / 5 (66 voted)

Reviews: 89% of readers found this page helpful

Author information

Name: Fredrick Kertzmann

Birthday: 2000-04-29

Address: Apt. 203 613 Huels Gateway, Ralphtown, LA 40204

Phone: +2135150832870

Job: Regional Design Producer

Hobby: Nordic skating, Lacemaking, Mountain biking, Rowing, Gardening, Water sports, role-playing games

Introduction: My name is Fredrick Kertzmann, I am a gleaming, encouraging, inexpensive, thankful, tender, quaint, precious person who loves writing and wants to share my knowledge and understanding with you.