Azure AD External Identities Cross-tenant access settings är ett begrepp för hur du kan interagera säkert med externa användare på olika sätt. Med den här introduktionen går det att vara mer specifik och man erbjuds utökad kontroll jämfört med tidigare funktionalitet när det kommer till externt samarbete. Du kan till exempel välja hur du vill dela dina egna resurser och till vilka, samt i motsatt riktning definiera hur dina interna användare kan komma åt externa organisationer och deras resurser (inbound- och outbound-kontroller).
Tillsammans med Azure AD Identity Governance, som är en allmänt känd governance-funktion sedan tidigare, och external collaboration settings i Azure AD kan man därtill hantera livscykelhanteringen respektive inställningar för externa användare utan en organisatorisk tillhörighet.
I Azure AD under External Identities hittas Cross-tenant access settings som består av B2B och Direct connect. Inte alltför länge sedan släpptes den ur sin preview och introduktionen har öppnat upp för Direct connect och i sin tur delade kanaler i Teams. De kan användas både internt och externt och det senare kräver en ömsesidig trust där bägge parter lägger till respektive organisation i sina Cross-tenant access-inställningar, alternativt på individ eller gruppnivå med objekt-id som identifierare. Med Microsoft Cloud settings (i preview) kan man nu dessutom samarbeta med olika Microsoft-moln, som Government och Kina.
Något väldigt välkommet är att man kan konfigurera sina conditional access policies och lita på ett urval av sin partnerorganisations olika claims, vilket innebär att användarna får en mer sömlös upplevelse. Det här gäller både för B2B och Direct connect.
- Trust multi-factor authentication from Azure AD tenants
- Trust compliant devices
- Trust hybrid Azure AD joined devices
Låt mig ge två vardagsexempel när det kommer till att lita på en extern MFA-claim.
- Många organisationer kräver MFA med conditional access, tilldelat alla användare och för alla molnapplikationer. För att kunna öppna ett RMS-skyddat (krypterat) dokument i en sådan konfiguration från en extern avsändare i en Outlook-skrivbordsklient har man behövt exkludera applikationen Microsoft Azure Information Protection i sin policy. När man lägger till den externa organisationen under cross-tenant access settings och väljer att lita på deras MFA-claims behöver man inte göra det och det går att öppna meddelandet.
- Föreställ dig att du loggar in i Teams som vanligt, du blir ombedd att verifiera vem du är med multifaktorautentisering och kommer därefter in i applikationen. Du är en gäst i en annan organisation och behöver byta till den för att arbeta med ett projekt. Normalt blir du då, så länge den andra organisationen också kräver MFA, ombedd att utföra MFA ytterligare en gång. Med den här konfigurationen på plats räcker det med den första autentiseringen.
För gästkonton generellt (B2B) kan man förstås tilldela många fler conditional access policies eftersom de får ett gästobjekt i din organisations Azure AD. Men när det kommer till Direct connect så handlar det om en organisation som är betrodd så det skapas inte något objekt i Azure AD, däremot kan man konfigurera ovan policies för den här typen av användare och välja att lita på dem. Direct connect är på ett sätt mer likt traditionell federering, fast med betydligt förbättrad funktionalitet för externt samarbete i Teams eftersom federering egentligen bara innebär att man kan hitta varandra i Teams och starta ett videosamtal eller chatt.
Vad är delade kanaler?
Det är en kanaltyp i Teams som påminner mycket om en privat kanal vad gäller den separata underliggande SharePoint-siten som skapas. Delade kanaler är aktiverat som standard för intern användning, men för extern användning behöver man konfigurera det.
Varför ska jag använda det?
Det är perfekt för samarbete där man inte vill lägga till någon i ett helt team utan bara i en specifik kanal. Om det är en extern person som läggs till så används inte gästbehörighet där man byter till den andra organisationen inne i Teams, utan den delade kanalen dyker upp i din egen Teams-vy där du har dina nuvarande team. Inget hoppande fram och tillbaka mellan organisationer.
Är det säkert?
Ja, förutom de tre conditional access-kontrollerna kan man använda sig av legal hold, retention policies, sensitivity labels och data loss prevention (DLP) med mera.
Mer läsning
Behöver du hjälp med något kring Teams och Microsoft 365 så är du välkommen att kontakta mig och mina kollegor på IT-Total.
Läs mer om allt vi bryr oss om på: