Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Organizacje często współpracują z partnerami zewnętrznymi, takimi jak dostawcy i wykonawcy. Tradycyjne rozwiązania do udzielania dostępu do zasobów wewnętrznych dla użytkowników zewnętrznych zwykle nie mają widoczności i szczegółowych mechanizmów kontroli zabezpieczeń. Globalny bezpieczny dostęp, wbudowany w firmę Microsoft Entra, rozwiązuje te problemy przy użyciu istniejących tożsamości gości B2B i zapewnia zaawansowane funkcje zabezpieczeń, takie jak dostęp warunkowy, ocena ciągłego dostępu i zaufanie między dzierżawami. Takie podejście umożliwia bezpieczne, wydajne zarządzanie dostępem użytkowników zewnętrznych bez duplikowania kont lub wymagania złożonej federacji.
Funkcja dostępu gościa w globalnym bezpiecznym dostępie umożliwia partnerom bezpieczne korzystanie z własnych urządzeń i tożsamości w celu bezpiecznego uzyskiwania dostępu do zasobów firmy. Obsługuje scenariusze "przynieś własne urządzenie" (BYOD), wymusza uwierzytelnianie wieloskładnikowe dla aplikacji i oferuje bezproblemowe przełączanie wielodostępne dla użytkowników partnerów. Administratorzy korzystają z zarządzania z poziomu jednego panelu w zakresie zarządzania tożsamościami, dostępem i politykami sieciowymi, co zmniejsza związane z tym nakłady operacyjne przy jednoczesnym ulepszaniu zarządzania. Zintegrowane rejestrowanie i telemetria w warstwach tożsamości i sieci zapewniają pełny wgląd w aktywność gościa, zapewniając bezpieczne i usprawnione środowisko współpracy zewnętrznej.
Ważne
Funkcja dostępu gościa jest obecnie dostępna w wersji zapoznawczej. Te informacje odnoszą się do produktu w wersji wstępnej, który może zostać znacząco zmodyfikowany przed jego wydaniem. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani domniemanych, w odniesieniu do podanych tutaj informacji.
Włącz dostęp gościa B2B za pomocą klienta Global Secure Access
Partnerzy mogą włączyć funkcję dostępu gościa za pomocą klienta globalnego bezpiecznego dostępu, będąc zalogowanymi do konta Microsoft Entra ID swojej organizacji macierzystej. Klient Global Secure Access automatycznie odnajduje dzierżawy partnerskie, w których użytkownik jest gościem, i oferuje opcję przełączenia się na kontekst dzierżawy klienta. Użytkownicy-goście mogą uzyskiwać dostęp tylko do przypisanych zasobów i tylko wtedy, gdy są one zawarte w profilu przekazywania ruchu Private Access dzierżawcy zasobu. Program kliencki kieruje tylko ruch dla prywatnych aplikacji klienta za pośrednictwem Globalnej Usługi Bezpiecznego Dostępu klienta.
Wymagania wstępne
Aby włączyć dostęp gościa B2B za pomocą klienta Global Secure Access, musisz mieć:
Użytkownicy-goście skonfigurowani w dzierżawie zasobów. Aby uzyskać więcej informacji, zobacz następujące artykuły:
Klient Global Secure Access w wersji 2.24.117 lub nowszej został zainstalowany i uruchomiony na urządzeniu połączonym z lokalnym dzierżawcą. Aby zainstalować klienta globalnego bezpiecznego dostępu, zobacz Instalowanie klienta globalnego bezpiecznego dostępu dla systemu Microsoft Windows.
Wskazówka
Najemca domu nie musi mieć licencji na Global Secure Access.
Globalny bezpieczny dostęp i dostęp prywatny włączone w zasobach dzierżawcy. Skonfiguruj profil przekazywania ruchu w ramach dostępu prywatnego w dzierżawcy zasobów i przypisz profil do kontom gości.
Co najmniej jedna aplikacja prywatna skonfigurowana i przypisana do kont gości.
Funkcja dostępu gościa włączona na kliencie przez ustawienie następującego klucza rejestru:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access ClientWartość Typ Dane Description WłączonyDostępGości REG_DWORD 0x1 Dostęp gościa jest włączony na tym urządzeniu. WłączonyDostępGości REG_DWORD 0x0 Dostęp gościa jest wyłączony na tym urządzeniu.
Administratorzy mogą używać rozwiązania do zarządzania urządzeniami przenośnymi (MDM), takiego jak usługa Microsoft Intune lub zasady grupy, aby ustawić wartości rejestru.
Nawiązywanie połączenia z dzierżawą zasobów gościa
Aby włączyć dostęp gościa B2B za pomocą klienta Global Secure Access, wykonaj następujące kroki:
- Uruchom klienta globalnego bezpiecznego dostępu.
- Przełącz klienta na dzierżawcę zasobów gościa:
- Wybierz ikonę klienta Global Secure Access na pasku zadań.
- Wybierz menu użytkownika (zdjęcie profilowe) i wybierz dzierżawę zasobów gościa z listy.
Wskazówka
Lokator domu nie musi mieć skonfigurowanego Global Secure Access, aby ten krok działał.
- Sprawdź, czy masz połączenie z dzierżawą zasobów gościa. Jeśli to prawda, Globalna Organizacja Bezpiecznego Dostępu wyświetla nazwę tenant zasobów.
Wszystkie tunele globalnego bezpiecznego dostępu do głównego najemcy (takie jak dostęp prywatny, dostęp do Internetu lub tunele Microsoft 365) rozłączą się oraz zostanie utworzony nowy tunel dostępu prywatnego do najemcy zasobów. Powinieneś mieć możliwość dostępu do aplikacji prywatnych skonfigurowanych w dzierżawie zasobów.
Przełącz się z powrotem do dzierżawy głównej
- Wybierz ikonę klienta Global Secure Access na pasku zadań.
- Wybierz menu Użytkownik (obraz profilu).
- Aby przełączyć się z powrotem, wybierz macierzystą dzierżawę z listy.
Przełączenie z powrotem rozłącza tunel dostępu prywatnego z dzierżawy zasobów i łączy skonfigurowane tunele z dzierżawą główną.
Najczęściej zadawane pytania (FAQ)
Czy sygnały między najemcami, takie jak uwierzytelnianie wieloskładnikowe i zgodność urządzeń, są obsługiwane?
Tak, sygnały między instancjami działają z funkcją dostępu gościa Global Secure Access.
.: Jakie jest wymaganie dotyczące licencji dla lokatora domowego?
Najemca domowy nie potrzebuje licencji na Global Secure Access. Ta funkcja wymaga co najmniej bezpłatnej dzierżawy Microsoft Entra.
.: Czy obsługiwane są zarówno typy użytkowników, gość, jak i członek?
Odpowiedź: Tak. Synchronizacja między dzierżawami tworzy użytkowników gości jako userType = Member domyślnie, a ten typ użytkownika jest obsługiwany.
Czy urządzenie musi być zarejestrowane w zasobach najemcy?
1: Nie, rejestracja urządzenia nie jest wymagana w dzierżawie zasobów w celu uzyskania dostępu gościa do pracy.
Czy mogę skonfigurować uwierzytelnianie wieloskładnikowe w dzierżawie zasobów?
Tak, uwierzytelnianie wieloskładnikowe (MFA) można skonfigurować na użytkowniku i na aplikacjach.
.: Jak użytkownik dzierżawy domowej (dzierżawy zewnętrznej) uzyskuje dostęp do zasobu lokalnego w dzierżawie zasobów, gdy zasób korzysta z usług AD DS i Kerberos (takich jak udział plików lub zintegrowana aplikacja Kerberos)?
1: Ten scenariusz nie jest obsługiwany. Microsoft Entra B2B nie udostępnia biletów Kerberos, a Global Secure Access Private Access nie wykorzystuje proxy Kerberos ani nie obsługuje ograniczonego delegowania Kerberos (KCD). W związku z tym użytkownicy-goście nie mogą bezpośrednio uzyskać dostępu do zasobów lokalnych wymagających protokołu Kerberos (na przykład udziałów plików SMB lub aplikacji przy użyciu zintegrowanego uwierzytelniania systemu Windows).
W przypadku aplikacji internetowych jedyną obsługiwaną metodą dostępu użytkowników B2B do uzyskiwania dostępu do aplikacji lokalnych opartych na protokole Kerberos jest opublikowanie aplikacji za pośrednictwem serwera proxy aplikacji za pomocą KCD. Aby uzyskać więcej informacji, zobacz Konfigurowanie logowania jednokrotnego przy użyciu ograniczonego delegowania Protokołu Kerberos.
Znane ograniczenia
- Dostęp gościa B2B nie obsługuje utrzymywania połączenia z Internetem, Microsoft 365 ani tuneli Microsoft Entra do dzierżawcy macierzystego.
- Przełączenie konta do dzierżawy zasobów kończy się niepowodzeniem, gdy dzierżawa zasobów jest skonfigurowana do wymagającego uwierzytelniania wieloskładnikowego w konfiguracji między dzierżawami, a dzierżawa domowa jest skonfigurowana z logowaniem bez hasła (PSI) za pośrednictwem aplikacji uwierzytelniającej.
- Jeśli zezwolono na kontrolę dostępu w ustawieniach międzydzierżawczych dla Globalnego Bezpiecznego Dostępu, dostęp nie jest dozwolony, ponieważ Globalne Bezpieczne Dostęp kontroluje te aplikacje.
- Gdy użytkownik przełącza dzierżawy, istniejące aktywne połączenia aplikacji, takie jak Protokół RDP (Remote Desktop Protocol) pozostają połączone z poprzednią dzierżawą.
Włącz dostęp gościa B2B dla usługi Azure Virtual Desktop i Windows 365
Możesz włączyć Global Secure Access w wystąpieniach systemu Windows 365 i usługi Azure Virtual Desktop, które obsługują tożsamości zewnętrzne, w celu zapewnienia dostępu gości B2B. Dzięki tej funkcjonalności użytkownicy zewnętrzni, tacy jak goście, partnerzy i wykonawcy z innych organizacji, mogą bezpiecznie uzyskiwać dostęp do zasobów w dzierżawcy (dzierżawcy zasobów). Jako administrator dzierżawy zasobów można skonfigurować zasady ruchu Prywatny dostęp, Internet Access i Microsoft 365 dla użytkowników zewnętrznych, co pomaga w zapewnieniu bezpiecznego i kontrolowanego dostępu do zasobów organizacji.
Aby włączyć dostęp gościa B2B dla maszyn wirtualnych Windows 365 lub Azure Virtual Desktop (AVD) z użyciem Global Secure Access, wykonaj następujące kroki:
Skonfiguruj wystąpienie maszyny wirtualnej w usługach Windows 365 lub Azure Virtual Desktop, aby korzystać z łączenia zewnętrznego identyfikatora. Aby uzyskać więcej informacji, zobacz Konfigurowanie łączenia identyfikatorów zewnętrznych.
Dołącz organizację do globalnego bezpiecznego dostępu. Aby uzyskać więcej informacji, zobacz instrukcje wprowadzenia.
Skonfiguruj jeden lub więcej profili trasowania ruchu dla globalnego systemu Secure Access i przypisz je użytkownikom z zewnętrznymi identyfikatorami. Aby uzyskać więcej informacji, zobacz Konfigurowanie profilów przekazywania ruchu i Przypisywanie użytkowników do profilów.
Zainstaluj i skonfiguruj klienta globalnego bezpiecznego dostępu na maszynach wirtualnych. Aby uzyskać więcej informacji, zobacz Przewodnik instalacji klienta globalnego bezpiecznego dostępu.
Po skonfigurowaniu klient Global Secure Access automatycznie łączy się z dzierżawcą skojarzoną z wystąpieniem maszyny wirtualnej przy użyciu identyfikatora zewnętrznego.