Введение в Microsoft Entra External ID
Внешняя идентификация Microsoft Entra объединяет мощные решения для работы с людьми за пределами вашей организации. С помощью возможностей внешнего идентификатора можно разрешить внешним идентификаторам безопасно получать доступ к вашим приложениям и ресурсам. Независимо от того, работаете ли вы с внешними партнерами, потребителями или бизнес-клиентами, пользователи могут использовать свои собственные идентичности. Эти идентификации могут варьироваться от корпоративных или государственных учетных записей до поставщиков социальных идентификаций, таких как Google или Facebook.
Эти сценарии относятся к области Microsoft Entra External ID.
Если вы являетесь организацией или разработчиком, создавая потребительские приложения, используйте внешний идентификатор для быстрого добавления проверки подлинности и идентификации клиента и управления доступом (CIAM) в приложение. Зарегистрируйте приложение, создайте настраиваемые возможности входа и управляйте пользователями приложения в клиенте Microsoft Entra во внешней конфигурации. Этот арендатор отдельный от ваших сотрудников и ресурсов организации.
Если вы хотите разрешить сотрудникам сотрудничать с бизнес-партнерами и гостями, используйте внешний идентификатор для совместной работы B2B. Разрешить безопасный доступ к корпоративным приложениям с помощью приглашения или самостоятельной регистрации. Определите уровень доступа, который имеют гости к клиенту Microsoft Entra, содержащему ваших сотрудников и организационные ресурсы и находящемуся в конфигурации рабочей силы.
Внешняя идентификация Microsoft Entra — это гибкое решение для разработчиков приложений, ориентированных на потребителей, нуждающихся в проверке подлинности и CIAM, а также для предприятий, стремящихся обеспечить безопасную совместную работу B2B.
Защита приложений для потребителей и бизнес-клиентов
Организации и разработчики могут использовать внешний идентификатор во внешнем клиенте в качестве решения CIAM при публикации приложений потребителям и бизнес-клиентам. Вы можете создать отдельный клиент Microsoft Entra во внешней конфигурации, что позволяет управлять приложениями и учетными записями пользователей отдельно от рабочей силы. В этом клиенте можно легко настроить пользовательские возможности регистрации с фирменной символией и функции управления пользователями:
Настройте потоки самостоятельной регистрации, определяющие ряд шагов регистрации клиентов и методы входа, которые они могут использовать, такие как электронная почта и пароль, одноразовые секретные коды или учетные записи социальных сетей из Google или Facebook.
Создайте настраиваемый внешний вид для пользователей при входе в ваши приложения, настроив параметры фирменного оформления для вашего арендатора. С помощью этих параметров вы можете добавить собственные фоновые изображения, цвета, логотипы компании и текст для настройки возможностей входа в приложениях.
Сбор сведений от клиентов во время регистрации путем выбора из ряда встроенных пользовательских атрибутов или добавления собственных пользовательских атрибутов.
Анализ данных о действиях пользователей и взаимодействии с целью выявления ценных аналитических сведений, которые могут помочь стратегическим решениям и стимулировать рост бизнеса.
С помощью внешнего идентификатора клиенты могут войти с помощью удостоверения, который у них уже есть. Вы можете настроить и контролировать способ регистрации и входа клиентов при использовании приложений. Поскольку эти возможности CIAM встроены во внешний идентификатор, вы также можете воспользоваться функциями платформы Microsoft Entra, такими как улучшенная безопасность, соответствие и масштабируемость.
Дополнительные сведения см. в разделе "Обзор Внешней идентификации Microsoft Entra" во внешних арендаторах.
Совместная работа с бизнес-гостями
Внешняя ID B2B кооперация позволяет вашим сотрудникам сотрудничать с внешними бизнес-партнерами. Вы можете пригласить всех пользователей для входа в организацию Microsoft Entra с помощью собственных учетных данных, чтобы они могли получить доступ к приложениям и ресурсам, которым вы хотите поделиться с ними. Используйте совместную работу B2B, если вам нужно предоставить бизнес-гостям доступ к приложениям Office 365, программному обеспечению как услуга (SaaS) и бизнес-приложениям. У бизнес-гостей отсутствуют учетные данные. Вместо этого они проходят проверку подлинности с помощью домашней организации или поставщика удостоверений, а затем ваша организация проверяет право пользователя на совместную работу с гостями.
Существуют различные способы добавления бизнес-гостей в вашу организацию для совместной работы:
Пригласите пользователей для совместной работы с помощью учетных записей Microsoft Entra, учетных записей Microsoft или учетных данных социальных сетей, которые вы разрешаете, например Google. Администратор может использовать Центр администрирования Microsoft Entra или PowerShell, чтобы пригласить пользователей к совместной работе. Пользователь выполняет вход в систему для доступа к общим ресурсам, используя простой процесс активации с помощью рабочей или учебной учетной записи или любой учетной записи электронной почты.
Используйте потоки самостоятельной регистрации, чтобы позволить гостям самостоятельно подписываться на приложения. Взаимодействие можно настроить таким образом, чтобы разрешить регистрацию с помощью рабочего, учебного или социального идентификаторов (например, Google или Facebook). Вы также можете собирать сведения о пользователе во время регистрации.
Используйте функцию управления правами Microsoft Entra, функцию управления удостоверениями, которая позволяет управлять удостоверениями и доступом для внешних пользователей в масштабе путем автоматизации рабочих процессов запросов на доступ, назначений доступа, проверок и истечения срока действия.
Объект пользователя создается для бизнес-гостя в том же каталоге, что и для сотрудников. Этим объектом пользователя можно управлять, как и другими объектами пользователей в каталоге, добавлять в группы и т. д. Вы можете назначить разрешения объекту пользователя (для авторизации), разрешив им использовать существующие учетные данные (для проверки подлинности).
Параметры доступа между клиентами можно использовать для управления совместной работой с другими организациями Microsoft Entra и в облаках Microsoft Azure. Для совместной работы с внешними пользователями и организациями, отличными от Azure AD, используйте параметры внешней совместной работы.
Что такое "сотрудники" и "внешние" арендаторы?
Клиент — это выделенный и доверенный экземпляр идентификатора Microsoft Entra, который содержит ресурсы организации, включая зарегистрированные приложения и каталог пользователей. Существует два способа настройки клиента в зависимости от того, как организация намерена использовать клиент и ресурсы, которыми они хотят управлять:
- Конфигурация клиента рабочей силы — это стандартный клиент Microsoft Entra, содержащий ваших сотрудников, внутренние бизнес-приложения и другие организационные ресурсы. В среде трудового коллектива внутренние пользователи могут сотрудничать с внешними деловыми партнерами и гостями, используя возможности B2B сотрудничества.
- Конфигурация внешнего клиента используется исключительно для приложений, которые вы хотите опубликовать для потребителей или бизнес-клиентов. Этот отдельный клиент следует стандартной модели клиента Microsoft Entra, но настроен для сценариев потребителей. Он содержит регистрации приложений и каталог учетных записей потребителей или клиентов.
Дополнительные сведения см. в разделе "Рабочие ресурсы и конфигурации внешних арендаторов" в Microsoft Entra External ID.
Сравнение наборов функций внешнего идентификатора
В следующей таблице сравниваются сценарии, которые можно включить с внешним идентификатором.
| Внешний идентификатор во временных сотрудниках | Внешний идентификатор во внешних клиентах | |
|---|---|---|
| Основной сценарий | Разрешить сотрудникам сотрудничать с бизнес-гостями. Позвольте гостям использовать предпочитаемые удостоверения для входа в ресурсы в организации Microsoft Entra. Предоставляет доступ к приложениям Майкрософт или собственным приложениям (приложениям SaaS, пользовательским приложениям и т. д.). Пример. Пригласите гостя войти в приложения Майкрософт или стать гостем в Teams. |
Публикация приложений для внешних потребителей и бизнес-клиентов с использованием внешнего ID для управления идентификацией. Предоставляет возможность управления идентификацией и доступом для современных приложений SaaS или приложений собственной разработки (не созданных корпорацией Майкрософт как первой стороной). Пример. Создание настраиваемого интерфейса входа для пользователей мобильного приложения потребителя и мониторинг использования приложений. |
| Предназначено для | Совместная работа с деловыми партнерами из внешних организаций, например с поставщиками, партнерами, продавцами. Эти пользователи могут иметь или не иметь Microsoft Entra ID или управляемое ИТ. | Потребители и бизнес-клиенты вашего приложения. Эти пользователи управляются в клиенте Microsoft Entra, настроенном для внешних приложений и пользователей. |
| Управление пользователями | Пользователи B2B-сотрудничества управляются в том же сообществе сотрудников, что и работники, но обычно обозначаются как гостевые пользователи. Гостевыми пользователями можно управлять так же, как и сотрудниками, их можно добавить в те же группы и так далее. Параметры доступа между клиентами можно использовать для определения доступа пользователей к совместной работе B2B. | Пользователи приложений управляются во внешнем клиентском аккаунте, который вы создаете для потребителей вашего приложения. Пользователи во внешнем клиенте имеют разные разрешения по умолчанию, чем пользователи в клиенте рабочей силы. Они управляются во внешнем клиенте отдельно от каталога сотрудников организации. |
| Единый вход (SSO) | Поддерживается единый вход во все подключенные приложения Microsoft Entra. Например, можно предоставить доступ к приложениям Microsoft 365 или локальным приложениям, а также к другим приложениям SaaS, таким как Salesforce или Workday. | Единый вход в приложения, зарегистрированные во внешнем клиенте, поддерживается. Единый вход в Microsoft 365 или другие приложения SaaS корпорации Майкрософт не поддерживается. |
| Фирменная символика компании | Состояние проверки подлинности по умолчанию — это внешний вид и интерфейс Майкрософт. Администраторы могут настраивать возможности входа гостей с фирменной символикой компании. | Фирменная символика по умолчанию для внешнего клиента не является нейтральной и не включает в себя существующие фирменные символики Майкрософт. Администраторы могут настроить фирменную символику для организации или каждого приложения. Подробнее. |
| Параметры облака Майкрософт | Поддерживается. | Неприменимо. |
| Управление правами | Поддерживается. | Неприменимо. |
Связанные технологии
Существует несколько технологий Microsoft Entra, связанных с сотрудничеством с внешними пользователями и организациями. При разработке модели совместной работы с внешним идентификатором рассмотрите эти другие функции.
Прямое соединение B2B (Бизнес для бизнеса)
Прямое подключение B2B позволяет создавать взаимные доверительные отношения с другими организациями Microsoft Entra для включения функции общего использования каналов Teams Connect. Эта функция позволяет пользователям легко входить в общие каналы Teams для чата, звонков, обмена файлами и общего доступа к приложениям. Когда две организации взаимно включают прямое соединение B2B, пользователи проходят проверку подлинности в своей домашней организации и получают маркер из организации, содержащей ресурсы, для доступа. В отличие от совместной работы B2B, пользователи прямого подключения B2B не добавляются в качестве гостей в каталог рабочей силы. Узнайте больше о прямом подключении B2B в Microsoft Entra External ID.
После того как вы настроите прямое подключение B2B с внешней организацией, становятся доступны следующие возможности общих каналов Teams:
Владелец общего канала может выполнять поиск в Teams для разрешенных пользователей из внешней организации и добавлять их в общий канал.
Внешние пользователи могут получить доступ к общему каналу Teams без необходимости переключать организации или выполнять вход с другой учетной записью. Из Teams внешний пользователь может получить доступ к файлам и приложениям на вкладке "Файлы". Политики общего канала определяют доступ пользователя.
Параметры доступа между клиентами используются для управления отношениями доверия с другими организациями Microsoft Entra и для определения входящих и исходящих политик для прямого подключения B2B.
Дополнительные сведения о ресурсах, файлах и приложениях, доступных пользователю прямого подключения B2B через общий канал Teams, относятся к чату, командам, каналам и приложениям в Microsoft Teams.
Лицензирование и выставление счетов основаны на ежемесячных активных пользователях (MAU). Дополнительные сведения о модели выставления счетов для внешней идентификации Microsoft Entra.
Azure Active Directory B2C
Azure Active Directory B2C (Azure AD B2C) — это устаревшее решение Майкрософт для управления удостоверениями клиентов и доступом. Azure AD B2C включает отдельный каталог для потребителей, которым вы управляете в портале Azure через службу Azure AD B2C. Каждый клиент Azure AD B2C отличается от других клиентов Microsoft Entra ID и Azure AD B2C. Интерфейс портала Azure AD B2C похож на Microsoft Entra ID, но есть ключевые отличия, например, возможность настраивать пути взаимодействия пользователей с помощью Identity Experience Framework.
Дополнительные сведения о том, как клиент Azure AD B2C отличается от клиента Microsoft Entra, см. в статье "Поддерживаемые функции Microsoft Entra" в Azure AD B2C. Дополнительные сведения о настройке и управлении Azure AD B2C см. в документации по Azure AD B2C.
Управление правами Microsoft Entra для регистрации гостей бизнеса
Ваша приглашающая организация не может знать наперед, каким отдельным внешним сотрудникам необходимо получить доступ к вашим ресурсам. Вам нужно, чтобы пользователи из партнерских компаний могли сами регистрироваться с применением управляемых вами политик. Чтобы разрешить пользователям из других организаций запрашивать доступ, можно использовать управление правами Microsoft Entra для настройки политик, которые управляют доступом для внешних пользователей. После утверждения эти пользователи получат гостевые учетные записи и будут назначены группам, приложениям и сайтам SharePoint Online.
Условный доступ
Организации могут использовать политики условного доступа для повышения безопасности, применяя соответствующие элементы управления доступом, такие как MFA, к внешним пользователям.
Условный доступ и MFA во внешних клиентах
Во внешних арендаторах организации могут применять MFA для пользователей, создавая политику условного доступа Microsoft Entra и добавляя MFA для регистрации и входа пользователей. Внешние клиенты поддерживают два метода проверки подлинности в качестве второго фактора:
- Одноразовый секретный код электронной почты: после входа пользователя с помощью электронной почты и пароля он запрашивает секретный код, отправляемый в сообщение электронной почты.
- Проверка подлинности на основе SMS: SMS доступен в качестве второго метода проверки подлинности для MFA для пользователей во внешних клиентах. Пользователям, которые входят в систему с помощью электронной почты и пароля, электронной почты и однократного секретного кода или социальных удостоверений, таких как Google или Facebook, предлагается ввести вторую проверку с помощью SMS.
Дополнительные сведения о методах проверки подлинности во внешних арендаторах.
Условный доступ для совместной работы B2B и прямого подключения B2B
В разделе системы управления кадрами организации могут применять политики условного доступа для внешней B2B совместной работы и прямого подключения B2B пользователей таким же образом, как и для штатных сотрудников и членов организации. В сценариях межарендаторских взаимодействий Microsoft Entra, если ваша политика условного доступа требует многофакторной аутентификации (МФА) или соответствия требованиям для устройств, теперь можно доверять утверждениям о многофакторной аутентификации и соответствии устройств из домашней организации внешнего пользователя. Если параметры доверия включены, во время проверки подлинности идентификатор Microsoft Entra проверяет учетные данные пользователя для утверждения MFA или идентификатора устройства, чтобы определить, выполнены ли политики. В этом случае внешнему пользователю предоставляется беспрепятственный доступ к общему ресурсу. В противном случае запрос на многофакторную аутентификацию (MFA) или проверку устройства инициируется в домашнем тенанте пользователя. Дополнительные сведения о потоке проверки подлинности и условном доступе для внешних пользователей в организациях работников.
Мультитенантные приложения
Если вы предлагаете приложение Software as a Service (SaaS) для многих организаций, вы можете настроить приложение для принятия входов из любого клиента Microsoft Entra. Эта конфигурация называется деланием вашего приложения мультитенантным. Пользователи в любом клиенте Microsoft Entra смогут войти в ваше приложение после того, как дадут согласие на использование своей учетной записи с ним. См. сведения о том как включить вход в систему из нескольких клиентов.
Мультитенантные организации
Мультитенантная организация — это организация с несколькими экземплярами идентификатора Microsoft Entra. Существуют различные причины многотенантности. Например, ваша организация может охватывать несколько облаков или географических границ.
Возможности мультитенантной организации позволяют эффективно сотрудничать в Microsoft 365. Это улучшает опыт взаимодействия сотрудников в вашей организации с несколькими арендаторами в таких приложениях, как Microsoft Teams и Microsoft Viva Engage.
Возможность синхронизации между клиентами — это односторонняя служба синхронизации , которая гарантирует пользователям доступ к ресурсам без получения приглашения электронной почты и принятия запроса согласия в каждом клиенте.
Дополнительные сведения о мультитенантных организациях и межорганизационной синхронизации см. в документации по мультитенантным организациям и сравнении функций.
API-интерфейсы Microsoft Graph
Все функции внешнего идентификатора также поддерживаются для автоматизации через API Microsoft Graph, кроме перечисленных в следующем разделе. Дополнительные сведения см. в статье "Управление удостоверением Microsoft Entra и сетевым доступом с помощью Microsoft Graph".
Возможности, не поддерживаемые в Microsoft Graph
| Функция внешнего идентификатора | Поддерживается в | Обходные пути автоматизации |
|---|---|---|
| Определение организаций, принадлежащих вам | Арендаторы рабочего фонда | Арендаторы — список API Azure Resource Manager. Для общих каналов Teams и прямого подключения B2B используйте Microsoft Graph API Get tenantReferences. |
API Microsoft Entra Microsoft Graph для совместной работы B2B
API-интерфейсы доступа между клиентами: интерфейсы API доступа между клиентами в Microsoft Graph позволяют программно создавать те же политики совместной работы B2B и прямые подключения B2B, которые настраиваются в портал Azure. С помощью этих API можно настроить политики для входящего и исходящего взаимодействия. Например, можно разрешить или заблокировать функции для всех по умолчанию и ограничить доступ к определенным организациям, группам, пользователям и приложениям. API также позволяют принимать многофакторную проверку подлинности (MFA) и утверждения устройств (соответствующие утверждения и гибридные утверждения Microsoft Entra) из других организаций Microsoft Entra.
Менеджер приглашений для сотрудничества B2B: API менеджера приглашений в Microsoft Graph доступен для создания собственных онбординговых процессов для бизнес-гостей. Вы можете использовать API создания приглашения для автоматической отправки настраиваемого электронного письма с приглашением непосредственно пользователю B2B, например. Или ваше приложение может использовать inviteRedeemUrl, возвращённый в ответе при создании, чтобы составить собственное приглашение и отправить его приглашенному пользователю через выбранный вами механизм связи.