Поделиться через

Обзор: совместная работа B2B с внешними гостями для вашей рабочей силы

Область применения: Зеленый круг с символом белой галочки. клиенты рабочей силы внешниеБелый круг с серым символом X.клиенты (дополнительные сведения)

Внешняя идентификация Microsoft Entra включает возможности совместной работы, позволяющие сотрудникам безопасно работать с деловыми партнерами и гостями. В клиенте рабочей силы вы можете использовать совместную работу B2B для совместного использования приложений и служб вашей компании гостями, сохраняя контроль над собственными корпоративными данными. Безопасная работа с внешними партнерами, даже если у них нет идентификатора Microsoft Entra или ИТ-отдела.

Диаграмма: совместная работа B2B.

Простой процесс приглашения и активации позволяет партнерам использовать собственные учетные данные для доступа к ресурсам вашей компании. Вы также можете включить потоки пользователей самостоятельной регистрации, чтобы позволить гостям самостоятельно зарегистрироваться для приложений или ресурсов. После активации приглашения или завершения регистрации гость представляется в каталоге как объект пользователя. Тип пользователя для этих пользователей совместной работы B2B обычно имеет значение "гостевой", а имя участника-пользователя содержит идентификатор #EXT#.

Разработчики могут использовать API Microsoft Entra для бизнеса для настройки процесса приглашения или написания приложений, таких как порталы самостоятельной регистрации. Сведения о лицензировании и ценах, связанных с гостевыми пользователями, см. в модели выставления счетов для Внешняя идентификация Microsoft Entra.

Внимание

Функция отправки одноразового секретного кода по электронной почте теперь включена по умолчанию для всех новых арендаторов и для всех существующих арендаторов, для которых вы не отключили ее явным образом. Если эта функция отключена, в рамках резервного способа проверки подлинности будет отправляться приглашение на создание учетной записи Майкрософт.

Совместная работа с любым партнером с помощью его удостоверений

При использовании Microsoft Entra B2B партнер использует собственное решение для управления удостоверениями, поэтому внешние административные расходы для вашей организации отсутствуют. Гостевые пользователи могут выполнять вход в ваши приложения и службы с использованием собственных рабочих, учебных учетных данных либо учетных данных из социальных сетей.

  • Партнер использует свои удостоверения и учетные данные, независимо от того, есть ли у них учетная запись Microsoft Entra.
  • А вам не нужно управлять внешними учетными записями или паролями.
  • Вам не нужно синхронизировать учетные записи или управлять их жизненным циклом.

Управление совместной работой B2B с другими организациями

Совместная работа B2B включена по умолчанию, но комплексные параметры администрирования позволяют контролировать входящие и исходящие возможности совместной работы B2B с внешними партнерами и организациями.

  • Параметры доступа между клиентами. Для совместной работы B2B с другими организациями Microsoft Entra используйте параметры доступа между клиентами, чтобы управлять проверкой подлинности пользователей с помощью каких ресурсов. Управляйте входящими и исходящими сеансами совместной работы B2B, ограничивая область доступа для конкретных пользователей, групп и приложений. Задайте конфигурацию по умолчанию, которая применяется ко всем внешним организациям, и по мере необходимости создавайте индивидуальные параметры для конкретных организаций. Используя параметры доступа между клиентами, можно также доверять многофакторным (MFA) и утверждениям устройств (совместимым утверждениям и гибридным утверждениям Microsoft Entra) из других организаций Microsoft Entra.

  • Параметры внешней совместной работы. Используйте параметры внешней совместной работы, чтобы определить, кто может приглашать внешних пользователей в организацию в качестве гостей. По умолчанию все пользователи в организации, в том числе гостевые пользователи службы "Совместная работа B2B", могут приглашать внешних пользователей в службу "Совместная работа B2B". Вы можете ограничить возможность отправки приглашений, включая или отключая приглашения для всех пользователей или для определенных ролей. Вы также можете разрешить или заблокировать определенные домены B2B и задать ограничения на доступ гостевых пользователей к каталогу.

Эти параметры используются для управления двумя разными аспектами совместной работы B2B. Параметры доступа между клиентами определяют, могут ли пользователи проходить проверку подлинности с помощью внешних клиентов Microsoft Entra. Они применяются как к входящие, так и исходящие службы совместной работы B2B. В отличие от этого, внешние параметры совместной работы определяют, какие пользователи в вашей организации могут отправлять приглашения на совместную работу B2B гостям из любой организации.

Как совместно работают параметры доступа между клиентами и внешними параметрами совместной работы

При рассмотрении совместной работы B2B с определенной внешней организацией Microsoft Entra определите, разрешают ли параметры доступа между клиентами разрешить совместную работу B2B с этой организацией. Кроме того, рассмотрите, позволяют ли пользователи отправлять приглашения в домен этой организации. Далее приводятся некоторые примеры.

  • Пример 1. Вы ранее добавили adatum.com (организацию Microsoft Entra) в список заблокированных доменов во внешних параметрах совместной работы, но параметры доступа между клиентами обеспечивают совместную работу B2B для всех организаций Microsoft Entra. В этом случае применяется та настройка, которая ограничивает доступ наибольшим образом. Параметры внешней совместной работы не позволяют пользователям отправлять приглашения пользователям adatum.com.

  • Пример 2. Вы разрешаете совместную работу B2B с Fabrikam в параметрах доступа между клиентами, но затем добавляете fabrikam.com в заблокированные домены в параметрах внешнего взаимодействия. Пользователи не могут приглашать новых бизнес-гостей Fabrikam, но существующие гости Fabrikam могут продолжать использовать совместную работу B2B.

Замечание

Начиная с июля 2025 года корпорация Майкрософт начинает развертывание обновления для взаимодействия с гостевым пользователем для совместной работы B2B. Развертывание продолжается до конца 2025 года. В этом обновлении гостевые пользователи будут перенаправлены на страницу входа в собственную организацию, чтобы предоставить свои учетные данные. Гостевые пользователи видят брендирование и конечную точку URL своего домашнего арендатора. Этот шаг обеспечивает большую ясность в отношении того, какие сведения о входе следует использовать. После успешной проверки подлинности в собственной организации гостевые пользователи возвращаются в вашу организацию, чтобы завершить процесс входа.

Управление совместной работой B2B с другими облаками Майкрософт

Облачные службы Microsoft Azure доступны в отдельных национальных облаках, которые являются физически изолированными экземплярами Azure. Все чаще организации обнаруживают необходимость совместной работы с организациями и пользователями в границах глобального и национального облака. С помощью параметров облака Майкрософт можно установить взаимную совместную работу B2B между следующими облаками Microsoft Azure:

Чтобы настроить совместную работу B2B между клиентами в разных облаках, оба клиента настраивают свои параметры облака Майкрософт, чтобы обеспечить совместную работу с другим облаком. Затем каждый клиент настраивает входящий и исходящий межтенантный доступ к клиенту в другом облаке. Дополнительные сведения см. в параметрах облака Майкрософт.

Легко приглашать гостевых пользователей из Центра администрирования Microsoft Entra

Администратор может легко добавить гостевых пользователей в организацию в Центре администрирования.

  • Создайте нового гостевого пользователя в идентификаторе Microsoft Entra, аналогично тому, как вы добавите нового пользователя.
  • Назначьте гостевых пользователей приложениям или группам.
  • Отправьте электронное письмо с приглашением, содержащее ссылку на активацию, или отправьте прямую ссылку на приложение, к которому вы хотите предоставить общий доступ.

Снимок экрана: страница приглашения нового гостевого пользователя.

  • Гостевые пользователи выполняют несколько простых шагов активации для входа.

Снимок экрана: страница

Разрешение самостоятельной регистрации

С помощью потока пользователей самостоятельной регистрации вы можете создать интерфейс регистрации для гостей, желающих получить доступ к вашим приложениям. В рамках процесса регистрации вы можете указывать параметры для разных поставщиков удостоверений социальных сетей или организаций и собирать сведения о пользователе. См. сведения о самостоятельной регистрации и способах ее настройки.

Вы также можете использовать соединители API, чтобы интегрировать потоки для самостоятельной регистрации пользователей с внешними облачными системами. Можете установить подключение с помощью пользовательских рабочих процессов утверждения, выполнить проверку личности, проверить предоставленные пользователем сведения и многое другое.

Снимок экрана: страница

Использование политик для безопасного совместного использования приложений и служб

Для защиты корпоративного содержимого можно использовать политики проверки подлинности и авторизации. Политики условного доступа, такие как многофакторная проверка подлинности, могут быть применены:

  • на уровне клиента;
  • на уровне приложения;
  • Для конкретных гостевых пользователей для защиты корпоративных приложений и данных

Снимок экрана с параметром

Разрешение владельцам приложений и групп управлять собственными гостевыми пользователями

Вы можете делегировать управление гостевыми пользователями владельцам приложений. Это позволяет добавлять гостевых пользователей непосредственно в любое приложение, к которому они хотят предоставить общий доступ, независимо от того, является ли это приложением Майкрософт.

  • Администраторы могут настроить самостоятельное управление приложениями и группами.
  • Неадминистраторы используют панель доступа для добавления гостевых пользователей в приложения или группы.

Снимок экрана: панель доступа для гостевого пользователя.

Настройка процесса подключения для гостевых пользователей B2B

Вы можете регистрировать внешних партнеров так, как требуется вашей организации.

Интеграция с поставщиками удостоверений

Внешняя идентификация Microsoft Entra поддерживает внешние поставщики удостоверений, такие как Facebook, учетные записи Майкрософт, Google или корпоративные поставщики удостоверений. Федерацию можно настроить с поставщиками удостоверений. Таким образом, гости могут войти с помощью существующих социальных или корпоративных учетных записей вместо создания новой учетной записи только для вашего приложения. Дополнительные сведения о поставщиках удостоверений для внешнего идентификатора.

Снимок экрана: страница поставщиков удостоверений.

Интеграция с SharePoint и OneDrive

Интеграция с SharePoint и OneDrive позволяет предоставлять общий доступ к файлам, папкам, элементам списка, библиотекам документов и сайтам с пользователями за пределами организации при использовании Microsoft Entra B2B для проверки подлинности и управления. Пользователи, которым вы предоставляете общий доступ к ресурсам, обычно являются гостевыми пользователями в каталоге, а разрешения и группы работают одинаково для этих гостей, как и для внутренних пользователей. При включении интеграции с SharePoint и OneDrive можно также включить функцию однократного секретного кода электронной почты в Microsoft Entra B2B для использования в качестве резервного метода проверки подлинности.

Снимок экрана: одноразовая настройка секретного кода с помощью электронной почты.

Связанный контент

Дополнительные сведения о пользователях совместной работы B2B см. в следующей статье: добавление гостевых пользователей службы совместной работы B2B в Центре администрирования. Дополнительные сведения о том, как установить отношения взаимного доверия между организациями для эффективной совместной работы с помощью общих каналов Microsoft Teams, см. в следующей статье: прямой подключение B2B.