组织通常与外部合作伙伴(如供应商和承包商)协作。 用于授予外部用户内部资源访问权限的传统解决方案通常缺乏可见性和精细的安全控制。 Global Secure Access 内置于 Microsoft Entra 中,通过使用现有的 B2B 来宾标识并提供高级安全功能(如条件访问、持续访问评估和跨租户信任)来解决这些难题。 此方法可安全高效地管理外部用户访问,而无需复制帐户或需要复杂的联合身份验证。
全局安全访问中的来宾访问功能允许合作伙伴使用自己的设备和标识安全地访问公司资源。 它支持自带设备(BYOD)方案,强制实施每应用多重身份验证,并为合作伙伴用户提供无缝的多租户切换。 管理员受益于标识、访问和网络策略的单窗格管理,从而降低运营开销,同时改进治理。 跨标识和网络层的集成日志记录和遥测功能可全面了解来宾活动,确保外部协作的安全且简化的体验。
重要
来宾访问功能目前以预览版提供。 此信息与可能在发布前进行实质性修改的预发行版产品相关。 Microsoft 不对此处提供的信息作任何明示或默示的担保。
使用全局安全访问客户端启用 B2B 来宾访问
合作伙伴可以使用全局安全访问客户端启用来宾访问功能,并登录到其主组织的 Microsoft Entra ID 帐户。 Global Secure Access 客户端会自动发现用户作为来宾身份的合作伙伴租户,并提供切换到客户租户上下文的选项。 来宾用户只能访问分配的资源,而且仅在他们被包含在资源租户的专用访问流量转发配置文件中时。 客户端仅通过客户的全局安全访问服务路由客户的专用应用程序的流量。
先决条件
若要使用全局安全访问客户端启用 B2B 来宾访问,必须具备:
在资源租户中配置的来宾用户。 如需了解更多信息,请参阅以下文章:
Global Secure Access 客户端版本 2.24.117 或更高版本,安装在连接到主租户的设备上运行。 若要安装全局安全访问客户端,请参阅 安装适用于 Microsoft Windows 的全局安全访问客户端。
小窍门
家庭租户不需要具有全局安全访问许可证。
在资源租户上启用 Global Secure Access 和 Private Access。 在资源租户上配置私有访问流量转发配置文件,并将该配置文件分配给来宾账户。
至少有一个专用应用程序被配置并分配给来宾帐户。
在客户端上通过设置以下注册表项启用来宾访问功能:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client价值 类型 Data Description GuestAccessEnabled REG_DWORD 0x1 此设备上启用了来宾访问。 访客访问已启用 REG_DWORD 0x0 此设备上已禁用来宾访问。
管理员可以使用移动设备管理(MDM)解决方案(如 Microsoft Intune 或组策略)设置注册表值。
连接到来宾资源租户
若要使用全局安全访问客户端启用 B2B 来宾访问,请执行以下步骤:
- 启动全局安全访问客户端。
- 将客户端切换到访客资源租户:
- 在系统托盘中选择全局安全访问客户端图标。
- 选择“用户”菜单(个人资料图片),然后从列表中选择来宾资源租户。
小窍门
本地租户不需要配置全局安全访问即可使此步骤正常运作。
- 请确认您已连接到访客资源租户。 如果为 true,则全局安全访问 组织 显示资源租户的名称。
到主租户的所有全局安全访问隧道(如专用访问、Internet 访问或Microsoft 365 隧道)断开连接,并将新的专用访问隧道创建给资源租户。 应该能够访问资源租户上配置的专用应用程序。
切换回默认租户
- 在系统托盘中选择全局安全访问客户端图标。
- 选择“用户”菜单(个人资料图片)。
- 若要切换回,请从列表中选择主租户。
切换回会断开与资源租户的专用访问隧道的连接,并将配置的隧道连接到主租户。
常见问题 (FAQ)
问:是否支持跨租户信号,例如多因素认证(MFA)和设备合规性?
答:是的,跨租户信号支持全局安全访问中的来宾访问功能。
问:家庭租户的许可证要求是什么?
答:主租户不需要全局安全访问许可证。 该功能至少需要 Microsoft Entra 的免费租户。
问:是否同时支持用户类型、来宾和成员?
答:是的。 跨租户同步默认将来宾用户创建为 userType = Member,并且支持此用户类型。
问:设备是否需要注册到资源租户?
答:否,资源租户上不需要设备注册来使来宾访问功能正常。
问:是否可以在资源租户上配置 MFA?
答:可以,可以在用户和应用程序上配置 MFA。
已知的限制
- B2B 来宾访问不支持将 Internet 访问、Microsoft 365 和 Microsoft Entra 隧道保留到主租户。
- 尝试将帐户切换到配置了所需 MFA 的资源租户时,如果主租户在身份验证应用中配置了无密码登录(PSI),则会失败。
- 在全局安全访问的跨租户设置中,即便允许访问控制,访问也不会被允许,因为这些应用程序受到全局安全访问的管理。
- 当用户切换租户时,现有的活动应用程序连接(如远程桌面协议(RDP)仍连接到上一租户。
为 Azure 虚拟桌面和 Windows 365 启用 B2B 来宾访问
可以在支持外部标识的 Windows 365 和 Azure 虚拟桌面实例上启用全局安全访问,以提供 B2B 来宾访问。 借助此功能,来自其他组织的外部用户(如来宾、合作伙伴和承包商)可以安全地访问租户(资源租户)中的资源。 作为资源租户管理员,可以为这些第三方用户配置专用访问、Internet 访问和Microsoft 365 流量策略,帮助确保对组织资源的安全和受控访问。
若要为具有全局安全访问的 Windows 365 或 Azure 虚拟桌面(AVD)虚拟机(VM)启用 B2B 来宾访问,请执行以下步骤:
将 Windows 365 或 Azure 虚拟桌面 VM 实例配置为使用外部 ID 链接。 有关详细信息,请参阅 “配置外部 ID 链接”。
将您的组织接入全局安全访问。 有关详细信息,请参阅 载入说明。
设置一个或多个全局安全访问流量转发配置文件,并将其分配给具有外部 ID 的用户。 有关更多信息,请参阅 配置流量转发配置文件 和 将用户分配到配置文件。
在虚拟机上安装并配置全局安全访问客户端。 有关详细信息,请参阅 全局安全访问客户端的安装指南。
配置后,全局安全访问客户端将使用外部 ID 自动连接到与 VM 实例关联的租户。
相关内容
- 适用于 Windows 的全局安全访问客户端
- 适用于 Android 的全局安全访问客户端
- 适用于 macOS 的全球安全访问客户端
- 适用于 iOS 的
全局安全访问客户端 - 适用于 Windows 的客户端发行说明
- 已知的限制