Поделиться через


Рекомендации по Microsoft Entra B2B

Область применения: Зеленый круг с символом белой галочки. клиенты рабочей силы внешниеБелый круг с серым символом X. клиенты (дополнительные сведения)

В этой статье содержатся рекомендации и рекомендации по совместной работе с бизнесом (B2B) в Внешняя идентификация Microsoft Entra.

Внимание

Функция отправки одноразового секретного кода по электронной почте теперь включена по умолчанию для всех новых арендаторов и для всех существующих арендаторов, для которых вы не отключили ее явным образом. Если эта функция отключена, в рамках резервного способа проверки подлинности будет отправляться приглашение на создание учетной записи Майкрософт.

Рекомендации B2B

Рекомендация Комментарии
Ознакомьтесь с рекомендациями майкрософт по защите совместной работы с внешними партнерами Узнайте, как использовать целостный подход к управлению сотрудничеством вашей организации с внешними партнерами, следуя рекомендациям по защите внешней совместной работы в идентификаторе Microsoft Entra и Microsoft 365.
Тщательно спланируйте доступ между клиентами и параметры внешней совместной работы Внешняя идентификация Microsoft Entra предоставляет гибкий набор элементов управления для управления совместной работой с внешними пользователями и организациями. Вы можете разрешить или запретить любую совместную работу, а также настроить эти возможности для конкретных организаций, пользователей и приложений. Перед настройкой параметров доступа между клиентами и внешнего взаимодействия следует тщательно составить список всех организаций, с которыми вы сотрудничаете и взаимодействуете. Затем определите, нужно ли включить прямое подключение B2B или совместную работу B2B с другими клиентами Microsoft Entra.
Ограничение доступа гостевых пользователей к каталогу По умолчанию гостевые пользователи имеют ограниченный доступ к каталогу Microsoft Entra. Они могут управлять собственным профилем и просматривать некоторые сведения о других пользователях, группах и приложениях. Вы можете дополнительно ограничить доступ, чтобы гости могли просматривать только собственные сведения о профиле. Дополнительные сведения о разрешениях гостя по умолчанию и настройке параметров внешней совместной работы.
Определение того, кто может приглашать гостей По умолчанию все пользователи в организации, в том числе гостевые пользователи службы "Совместная работа B2B", могут приглашать внешних пользователей в службу "Совместная работа B2B". Если вы хотите ограничить возможность отправки приглашений, можно включить или отключить приглашения для всех пользователей или ограничить приглашения определенными ролями, настроив параметры внешней совместной работы.
Используйте ограничения клиента для управления использованием внешних учетных записей в сетях и управляемых устройствах. С помощью ограничений клиента пользователи могут запретить пользователям использовать учетные записи, созданные в неизвестных клиентах или учетных записях, полученных от внешних организаций. Вместо этого рекомендуется запретить эти учетные записи и использовать совместную работу B2B.
Для оптимизации процесса входа в федерацию с поставщиками удостоверений Каждый раз, когда это возможно, федеративный напрямую с поставщиками удостоверений, чтобы разрешить пользователям входить в общие приложения и ресурсы без необходимости создавать учетные записи Майкрософт (MSAs) или учетные записи Microsoft Entra. Вы можете использовать функцию Федерации Google, чтобы разрешить гостевым пользователям по совместной работе B2B входить в систему с использованием учетных записей Google. Также можно использовать функцию поставщика удостоверений SAML/WS-Fed (предварительная версия), чтобы настроить федерацию с любой организацией, чей поставщик удостоверений (IDP) поддерживает протокол SAML 2.0 или WS-Fed.
Использование функции отправки одноразового секретного кода по электронной почте для гостевых пользователей по совместной работе B2B, которые не могут проходить проверку подлинности другими способами Функция однократного секретного кода электронной почты проверяет подлинность гостевых пользователей B2B, если они не могут пройти проверку подлинности с помощью других средств, таких как Идентификатор Microsoft Entra, учетная запись Майкрософт (MSA) или федерация Google. Если гостевой пользователь активирует приглашение или обращается к общему ресурсу, он может запросить временный код, который будет отправлен на адрес электронной почты этого пользователя. Этот код нужно ввести, чтобы войти в систему.
Добавление фирменной символики организации на страницу входа Вы можете настроить страницу входа так, чтобы она была более интуитивно понятной для гостевых пользователей по совместной работе B2B. См. статью Добавление фирменной символики на страницу входа и Панели доступа.
Добавление заявления о конфиденциальности в процесс активации гостевых пользователей по совместной работе B2B В первый процесс активации приглашения можно добавить URL-адрес заявления о конфиденциальности вашей организации, чтобы приглашенный пользователь согласился с условиями конфиденциальности для продолжения. См. практическое руководство. Добавление сведений о конфиденциальности организации в идентификатор Microsoft Entra.
Использование функции массового приглашения (предварительная версия) для одновременного приглашения нескольких гостевых пользователей по совместной работе B2B Одновременное приглашение нескольких гостевых пользователей в организации с помощью функции предварительной версии массового приглашения на портале Azure. Эта функция позволяет отправлять CSV-файл для создания гостевых пользователей B2B, а также отправлять массовые приглашения. См. учебник по массовому приглашению пользователей B2B.
Принудительное применение политик условного доступа для многофакторной проверки подлинности Microsoft Entra Рекомендуется применять политики MFA к приложениям, которые вы хотите использовать совместно с пользователями B2B партнера. Таким образом, проверка MFA будет систематически применяться к приложениям в клиенте независимо от того, использует ли проверку MFA партнерская организация. См. Условный доступ для пользователей совместной работы B2B. Если у вас есть тесные деловые отношения с организацией и вы проверили свои методики MFA, можно настроить параметры доступа между клиентами для принятия утверждений MFA (подробнее).
Использование политик условного доступа проверки подлинности для гостей Уровень проверки подлинности — это элемент управления условным доступом, который позволяет определить определенное сочетание методов многофакторной проверки подлинности (MFA), которые внешний пользователь Microsoft Entra должен завершить для доступа к ресурсам. Он работает вместе с параметрами доверия MFA в параметрах доступа между клиентами, чтобы определить, где и как внешний пользователь должен выполнять MFA. См. политики надежности проверки подлинности для внешних пользователей
Если вы применяете политики условного доступа на основе устройств, используйте списки исключений, чтобы разрешить доступ пользователям B2B Если в вашей организации включены политики условного доступа на основе устройств, то устройства гостевых пользователей B2B будут заблокированы, так как они не управляются вашей организацией. Но вы можете создать списки исключений, включающие пользователей конкретного партнера, чтобы для них не действовали политики условного доступа на основе устройств. См. Условный доступ для пользователей совместной работы B2B.
Использование URL-адреса, зависящего от клиента, при предоставлении прямых ссылок гостевым пользователям B2B В качестве альтернативы электронному письму с приглашением вы можете предоставить гостю прямую ссылку на ваше приложение или портал. Эта ссылка должна быть привязана к определенному пользователю и содержать идентификатор клиента или проверенный домен, чтобы гость мог пройти проверку подлинности в клиенте, где находится общее приложение. См. статью Активация для гостевого пользователя.
Использование свойства UserType при разработке приложения для определения интерфейса гостевого пользователя Если вы разрабатываете приложение и хотите предоставить различные возможности для пользователей клиента и гостевых пользователей, используйте свойство UserType. Утверждение UserType сейчас не включено в токен. В приложениях необходимо использовать Microsoft API Graph, чтобы выполнить запрос к каталогу для пользователя и получить свойство UserType.
Изменение свойства UserType только в случае изменения связи пользователя с организацией Несмотря на то, что PowerShell можно использовать, чтобы преобразовать свойство UserType для пользователя из Члена в Гостя (и наоборот), необходимо изменить это свойство только в том случае, если изменяется связь пользователя с организацией. См. статью Свойства гостевого пользователя B2B.
Узнайте, влияет ли ваша среда на ограничения каталога Microsoft Entra Microsoft Entra B2B распространяется на ограничения каталога службы Microsoft Entra. Дополнительные сведения о количестве каталогов, которые может создавать пользователь, и количество каталогов, к которым может принадлежать пользователь или гостевой пользователь, см . в ограничениях и ограничениях службы Microsoft Entra.
Управление жизненным циклом учетной записи B2B с помощью функции спонсора Спонсор является пользователем или группой, ответственной за своих гостевых пользователей. Дополнительные сведения об этой новой функции см. в поле "Спонсор" для пользователей B2B.

Следующие шаги

Управление общим доступом B2B