Přehled přímého připojení B2B

  • Článek

Microsoft Entra přímé připojení B2B je funkce externích identit, která umožňuje nastavit vztah vzájemné důvěry s jinou Microsoft Entra organizací pro bezproblémovou spolupráci. Tato funkce v současné době funguje se sdílenými kanály Microsoft Teams. Díky přímému připojení B2B můžou uživatelé z obou organizací spolupracovat pomocí svých přihlašovacích údajů pro domácnosti a sdíleného kanálu v Teams, aniž by je museli přidávat do ostatních organizací jako hosty. Pomocí přímého připojení B2B můžete sdílet prostředky s externími Microsoft Entra organizacemi. Nebo ho můžete použít ke sdílení prostředků mezi několika tenanty Microsoft Entra v rámci vaší organizace.

Diagram znázorňující přímé připojení B2B

Přímé připojení B2B vyžaduje vztah vzájemné důvěry mezi dvěma Microsoft Entra organizacemi, aby bylo možné vzájemně přistupovat k prostředkům ostatních. Organizace prostředků i externí organizace musí v nastavení přístupu mezi tenanty vzájemně povolit přímé připojení B2B. Po vytvoření vztahu důvěryhodnosti má uživatel S přímým připojením B2B přístup k prostředkům mimo svoji organizaci pomocí přihlašovacích údajů z domovské Microsoft Entra organizace.

Funkce přímého připojení B2B v současné době fungují se sdílenými kanály Teams. Když se přímé připojení B2B vytvoří mezi dvěma organizacemi, uživatelé v jedné organizaci můžou vytvořit sdílený kanál v Teams a pozvat externího uživatele S přímým připojením B2B. Uživatel s přímým připojením B2B pak z teams může bezproblémově přistupovat ke sdílenému kanálu v instanci Teams svého domovského tenanta, aniž by se musel ručně přihlašovat k organizaci, která sdílený kanál hostuje.

Informace o licencování a cenách souvisejících s uživateli S přímým připojením B2B najdete v tématu ceny Microsoft Entra Externí ID.

Správa přístupu mezi tenanty pro přímé připojení B2B

Microsoft Entra organizace můžou spravovat vztahy důvěryhodnosti s jinými Microsoft Entra organizacemi definováním nastavení příchozího a odchozího přístupu mezi tenanty. Nastavení přístupu mezi tenanty vám poskytuje podrobnou kontrolu nad tím, jak s vámi spolupracují ostatní organizace (příchozí přístup) a jak vaši uživatelé spolupracují s jinými organizacemi (odchozí přístup).

  • Nastavení příchozího přístupu určuje, jestli uživatelé z externích organizací můžou přistupovat k prostředkům ve vaší organizaci. Tato nastavení můžete použít pro všechny nebo můžete zadat jednotlivé uživatele, skupiny a aplikace.

  • Nastavení odchozího přístupu určuje, jestli uživatelé mají přístup k prostředkům v externí organizaci. Tato nastavení můžete použít pro všechny nebo můžete zadat jednotlivé uživatele, skupiny a aplikace.

  • Omezení tenanta určují, jak můžou uživatelé přistupovat k externí organizaci, když používají vaše zařízení a síť, ale jsou přihlášení pomocí účtu, který jim externí organizace vydala.

  • Nastavení důvěryhodnosti určuje, jestli zásady podmíněného přístupu budou důvěřovat vícefaktorovému ověřování (MFA), kompatibilnímu zařízení a Microsoft Entra deklaracím hybridních zařízení od externí organizace, když jejich uživatelé přistupují k vašim prostředkům.

Důležité

Přímé připojení B2B je možné pouze tehdy, když obě organizace povolují přístup do a z druhé organizace. Contoso může například povolit příchozí přímé připojení B2B ze společnosti Fabrikam, ale sdílení není možné, dokud společnost Fabrikam také nepovolí přímé odchozí připojení B2B se společností Contoso. Proto se budete muset domluvit se správcem externí organizace, abyste zajistili, že nastavení přístupu mezi tenanty umožňuje sdílení s vámi. Tato vzájemná dohoda je důležitá, protože přímé připojení B2B umožňuje omezené sdílení dat pro uživatele, které povolíte pro přímé připojení B2B.

Výchozí nastavení

Výchozí nastavení přístupu mezi tenanty platí pro všechny externí organizace Microsoft Entra s výjimkou organizací, pro které jste nakonfigurovali jednotlivá nastavení. Microsoft Entra ID zpočátku blokuje všechny možnosti přímého a odchozího připojení B2B ve výchozím nastavení pro všechny externí tenanty Microsoft Entra. Tato výchozí nastavení můžete změnit, ale obvykle je můžete ponechat tak, jak jsou, a povolit přímý přístup B2B k jednotlivým organizacím.

Nastavení specifická pro organizaci

Nastavení specifická pro organizaci můžete nakonfigurovat přidáním organizace a úpravou nastavení přístupu mezi tenanty. Tato nastavení pak budou mít přednost před výchozími nastaveními pro tuto organizaci.

Příklad 1: Povolení přímého připojení B2B ke službě Fabrikam a blokování všech ostatních

V tomto příkladu chce contoso ve výchozím nastavení blokovat přímé připojení B2B se všemi externími organizacemi, ale povolit přímé připojení B2B pro všechny uživatele, skupiny a aplikace ve společnosti Fabrikam.

Příklad blokování přímého připojení B2B ve výchozím nastavení, ale povolení organizace

Společnost Contoso nastaví následující výchozí nastavení pro přístup mezi tenanty:

  • Blokování příchozího přístupu k přímému připojení B2B pro všechny externí uživatele a skupiny
  • Zablokujte odchozí přístup k přímému připojení B2B pro všechny uživatele a skupiny Contoso.

Pak contoso přidá organizaci Fabrikam a nakonfiguruje pro Fabrikam následující organizační nastavení :

  • Povolte příchozí přístup k přímému připojení B2B pro všechny uživatele a skupiny Fabrikam.
  • Uživatelům s přímým připojením Fabrikam B2B povolte příchozí přístup ke všem interním aplikacím Contoso.
  • Povolte všem uživatelům Společnosti Contoso nebo vyberte uživatele a skupiny, aby měli odchozí přístup k Fabrikamu pomocí přímého připojení B2B.
  • Umožněte uživatelům přímého připojení Contoso B2B, aby měli odchozí přístup ke všem aplikacím Fabrikam.

Aby tento scénář fungoval, musí společnost Fabrikam také povolit přímé připojení B2B ke společnosti Contoso tím, že nakonfiguruje stejná nastavení přístupu mezi tenanty pro společnost Contoso a pro její vlastní uživatele a aplikace. Po dokončení konfigurace budou moct uživatelé společnosti Contoso, kteří spravují sdílené kanály Teams, přidat uživatele Fabrikam vyhledáním jejich úplných e-mailových adres Fabrikam.

Příklad 2: Povolení přímého připojení B2B pouze se skupinou Marketing společnosti Fabrikam

Od výše uvedeného příkladu se společnost Contoso může také rozhodnout povolit spolupráci s uživateli společnosti Contoso prostřednictvím přímého připojení B2B pouze skupině Marketing společnosti Fabrikam. V tomto případě společnost Contoso potřebuje získat ID objektu marketingové skupiny od společnosti Fabrikam. Místo povolení příchozího přístupu všem uživatelům společnosti Fabrikam nakonfigurují nastavení přístupu specifické pro Fabrikam následujícím způsobem:

  • Povolit příchozí přístup k přímému připojení B2B pouze pro skupinu Marketing společnosti Fabrikam. Společnost Contoso zadá ID objektu marketingové skupiny společnosti Fabrikam v seznamu povolených uživatelů a skupin.
  • Uživatelům s přímým připojením Fabrikam B2B povolte příchozí přístup ke všem interním aplikacím Contoso.
  • Povolte všem uživatelům a skupinám Contoso odchozí přístup k Fabrikamu pomocí přímého připojení B2B.
  • Umožněte uživatelům přímého připojení Contoso B2B, aby měli odchozí přístup ke všem aplikacím Fabrikam.

Společnost Fabrikam bude také muset nakonfigurovat nastavení odchozího přístupu mezi tenanty, aby její marketingová skupina mohla spolupracovat se společností Contoso prostřednictvím přímého připojení B2B. Po dokončení konfigurace budou moct uživatelé společnosti Contoso, kteří spravují sdílené kanály Teams, přidávat pouze uživatele skupiny Fabrikam Marketing vyhledáním jejich úplných e-mailových adres Fabrikam.

Authentication

Ve scénáři přímého připojení B2B ověřování zahrnuje, že se uživatel z Microsoft Entra organizace (domovský tenant uživatele) pokusí přihlásit k souboru nebo aplikaci v jiné Microsoft Entra organizaci (tenant prostředků). Uživatel se přihlásí pomocí Microsoft Entra přihlašovacích údajů ze svého domovského tenanta. Pokus o přihlášení se vyhodnocuje podle nastavení přístupu mezi tenanty v domovském tenantovi uživatele i v tenantovi prostředků. Pokud jsou splněny všechny požadavky na přístup, uživateli se vydá token, který uživateli umožní přístup k prostředku. Tento token je platný po dobu 1 hodiny.

Podrobnosti o tom, jak funguje ověřování ve scénáři mezi tenanty se zásadami podmíněného přístupu, najdete v tématu Ověřování a podmíněný přístup ve scénářích mezi tenanty.

Multi-Factor Authentication (MFA)

Pokud chcete povolit přímé připojení B2B k externí organizaci a zásady podmíněného přístupu vyžadují vícefaktorové ověřování, musíte nakonfigurovat nastavení příchozí důvěryhodnosti tak, aby zásady podmíněného přístupu přijímaly deklarace vícefaktorového ověřování od externí organizace. Tato konfigurace zajišťuje, aby uživatelé s přímým připojením B2B z externí organizace dodržovali zásady podmíněného přístupu, a poskytuje plynulejší uživatelské prostředí.

Řekněme například, že Contoso (tenant prostředků) důvěřuje deklaracím vícefaktorového ověřování od společnosti Fabrikam. Společnost Contoso má zásady podmíněného přístupu, které vyžadují vícefaktorové ověřování. Tato zásada je omezená na všechny hosty, externí uživatele a SharePoint Online. Jako předpoklad pro přímé připojení B2B musí společnost Contoso nakonfigurovat nastavení důvěryhodnosti v nastavení přístupu mezi tenanty tak, aby přijímala deklarace vícefaktorového ověřování od společnosti Fabrikam. Když uživatel Fabrikam přistupuje k aplikaci s přímým připojením B2B (například k Propojení Teams sdíleném kanálu), vztahuje se na uživatele požadavek na vícefaktorové ověřování vynucené společností Contoso:

  • Pokud uživatel Fabrikam už ve svém domovském tenantovi provedl vícefaktorové ověřování, bude mít přístup k prostředku v rámci sdíleného kanálu.
  • Pokud uživatel Fabrikam nedokončil vícefaktorové ověřování, bude mu zablokován přístup k prostředku.

Informace o podmíněném přístupu a Teams najdete v tématu Přehled zabezpečení a dodržování předpisů v dokumentaci k Microsoft Teams.

Nastavení důvěryhodnosti pro dodržování předpisů zařízením

V nastavení přístupu mezi tenanty můžete pomocí nastavení důvěryhodnosti důvěřovat deklaracím z domovského tenanta externího uživatele o tom, jestli zařízení uživatele splňuje zásady dodržování předpisů zařízením nebo je Microsoft Entra hybridním připojení. Když je nastavení důvěryhodnosti zařízení povolené, Microsoft Entra ID zkontroluje v relaci ověřování uživatele, jestli zařízení deklaruje. Pokud relace obsahuje deklaraci identity zařízení, která značí, že se zásady už v domovském tenantovi uživatele splnily, externímu uživateli se udělí bezproblémové přihlášení k vašemu sdílenému prostředku. Nastavení důvěryhodnosti zařízení můžete povolit pro všechny Microsoft Entra organizace nebo jednotlivé organizace. (Další informace)

Uživatelské prostředí přímého připojení B2B

Přímé připojení B2B v současné době umožňuje funkci Propojení Teams sdílených kanálů. Uživatelé S přímým připojením B2B mají přístup ke sdílenému kanálu Teams externí organizace, aniž by museli přepínat tenanty nebo se přihlašovat pomocí jiného účtu. Přístup uživatele S přímým připojením B2B je určen zásadami sdíleného kanálu.

V organizaci prostředků může vlastník sdíleného kanálu Teams vyhledat v Teams uživatele z externí organizace a přidat je do sdíleného kanálu. Po přidání můžou uživatelé S přímým připojením B2B přistupovat ke sdílenému kanálu ze své domovské instance Teams, kde spolupracují pomocí funkcí, jako je chat, hovory, sdílení souborů a sdílení aplikací. Podrobnosti najdete v tématu Přehled týmů a kanálů v Microsoft Teams. Podrobnosti o prostředcích, souborech a aplikacích, které jsou dostupné uživateli přímého připojení B2B prostřednictvím sdíleného kanálu Teams, najdete v tématu Chat, týmy, kanály a & aplikace v Microsoft Teams.

Přímé připojení B2B vs. spolupráce B2B

Spolupráce B2B a přímé připojení B2B jsou dva různé přístupy ke sdílení s uživateli mimo vaši organizaci. Porovnání mezi funkcemi najdete v přehledu externích identit, kde probereme některé klíčové rozdíly v tom, jak jsou uživatelé spravováni a jak přistupují k prostředkům.

Uživatelský přístup a správa

Uživatelé S přímým připojením B2B spolupracují prostřednictvím vzájemného propojení mezi dvěma organizacemi, zatímco uživatelé B2B spolupráce jsou zváni do organizace a spravováni prostřednictvím objektu uživatele.

  • Přímé připojení B2B nabízí způsob spolupráce s uživateli z jiné Microsoft Entra organizace prostřednictvím vzájemného obousměrného připojení nakonfigurovaného správci z obou organizací. Uživatelé mají přístup k aplikacím Microsoftu s přímým připojením B2B s jednotným přihlašováním. V současné době podporuje přímé připojení B2B Propojení Teams sdílené kanály.

  • Spolupráce B2B umožňuje pozvat externí partnery, aby měli přístup k aplikacím vyvinutým v Microsoftu, SaaS nebo na míru. Spolupráce B2B je zvlášť užitečná, když externí partner nepoužívá id Microsoft Entra nebo není praktické nebo možné nastavit přímé připojení B2B. Spolupráce B2B umožňuje externím uživatelům přihlásit se pomocí své preferované identity, včetně jejich Microsoft Entra účtu, spotřebitelského účtu Microsoft nebo sociální identity, kterou povolíte, jako je Google. Díky spolupráci B2B můžete externím uživatelům umožnit přihlášení k vašim aplikacím Microsoftu, aplikacím SaaS, vlastním aplikacím atd.

Používání Teams s přímým připojením B2B vs. spolupráce B2B

V kontextu Teams existují rozdíly ve způsobu sdílení prostředků v závislosti na tom, jestli spolupracujete s někým, kdo používá přímé připojení B2B, nebo spolupráci B2B.

  • S přímým připojením B2B přidáte externího uživatele do sdíleného kanálu v rámci týmu. Tento uživatel má přístup k prostředkům v rámci sdíleného kanálu, ale nemá přístup k celému týmu ani k žádným jiným prostředkům mimo sdílený kanál. Například nemají přístup k Azure Portal. Mají ale přístup k portálu Moje aplikace. Uživatelé S přímým připojením B2B nejsou ve vaší Microsoft Entra organizaci, takže je vlastník sdíleného kanálu spravuje v klientovi Teams. Podrobnosti najdete v tématu Přiřazení vlastníků a členů týmu v Microsoft Teams.

  • Díky spolupráci B2B můžete uživatele typu host pozvat do týmu. Uživatel typu host pro spolupráci B2B se přihlásí do tenanta prostředků pomocí e-mailové adresy, která byla použita k pozvání uživatele. Jejich přístup se určuje podle oprávnění přiřazených uživatelům typu host v tenantovi prostředků. Uživatelé typu host nemůžou zobrazit žádné sdílené kanály v týmu ani se do toho nemůžou zapojit.

Další informace o rozdílech mezi B2B spolupráce a přímým připojením B2B v Teams najdete v tématu Přístup hostů v Microsoft Teams.

Monitorování a auditování

Vytváření sestav pro monitorování a auditování aktivity přímého připojení B2B je k dispozici v Azure Portal i v Centru pro správu Microsoft Teams.

Monitorování a protokoly auditu Microsoft Entra ID

Microsoft Entra ID obsahuje informace o přístupu mezi tenanty a přímém připojení B2B v protokolech auditu organizace a protokolech přihlášení. Tyto protokoly můžete zobrazit v Azure Portal v části Monitorování.

  • Microsoft Entra protokoly auditu: Microsoft Entra protokoly auditu zobrazují, kdy se vytvoří, aktualizují nebo odstraní zásady příchozích a odchozích přenosů.

    Snímek obrazovky s protokolem auditu

  • Microsoft Entra protokoly přihlášení Microsoft Entra protokoly přihlášení jsou k dispozici v domovské organizaci i v organizaci prostředků. Po povolení přímého připojení B2B začnou protokoly přihlašování včetně ID objektů uživatele pro uživatele s přímým připojením B2B z jiných tenantů. Informace hlášené v jednotlivých organizacích se liší, například:

    • V obou organizacích jsou přihlášení přes přímé připojení B2B označená typem přístupu mezi tenanty jako přímé připojení B2B. Událost přihlášení se zaznamená, když uživatel s přímým připojením B2B poprvé přistupuje k organizaci prostředků, a znovu při vydání obnovovacího tokenu pro uživatele. Uživatelé mají přístup ke svým vlastním protokolům přihlašování. Správci můžou zobrazit přihlášení pro celou organizaci a zjistit, jak uživatelé s přímým připojením B2B přistupují k prostředkům ve svém tenantovi.

    • V domovské organizaci protokoly obsahují informace o klientské aplikaci.

    • V organizaci prostředků obsahují protokoly conditionalAccessPolicies na kartě Podmíněný přístup.

    Snímek obrazovky s protokolem přihlášení

  • Microsoft Entra kontroly přístupu: Pomocí Microsoft Entra kontrol přístupu může správce tenanta zajistit, aby externí uživatelé typu host neměli přístup k vašim aplikacím a prostředkům déle, než je nutné, tím, že nakonfiguruje jednorázovou nebo opakovanou kontrolu přístupu externích uživatelů. Přečtěte si další informace o kontrolách přístupu.

Protokoly monitorování a auditu v Microsoft Teams

Centrum pro správu Microsoft Teams zobrazuje sestavy pro sdílené kanály, včetně externích členů přímého připojení B2B pro jednotlivé týmy.

  • Protokoly auditu Teams: Teams podporuje následující události auditování v tenantovi, který je hostitelem sdíleného kanálu: životní cyklus sdíleného kanálu (vytvoření nebo odstranění kanálu), životní cyklus v rámci tenanta nebo člena mezi tenanty (přidání, odebrání, zvýšení úrovně nebo snížení úrovně člena). Tyto protokoly auditu jsou k dispozici v tenantovi prostředků, aby správci mohli určit, kdo má přístup ke sdílenému kanálu Teams. V domovském tenantovi externího uživatele nejsou žádné protokoly auditu související s jeho aktivitou v externím sdíleném kanálu.

  • Kontroly přístupu k Teams: Kontroly přístupu skupin, které jsou ve službě Teams teď můžou rozpoznat uživatele S přímým připojením B2B, kteří používají sdílené kanály Teams. Při vytváření kontroly přístupu můžete nastavit obor kontroly na všechny interní uživatele, uživatele typu host a externí uživatele S přímým připojením B2B, kteří byli přidáni přímo do sdíleného kanálu. Revidujícímu se pak zobrazí uživatelé, kteří mají přímý přístup ke sdílenému kanálu.

  • Aktuální omezení: Kontrola přístupu dokáže rozpoznat interní uživatele a externí uživatele S přímým připojením B2B, ale ne jiné týmy přidané do sdíleného kanálu. Pokud chcete zobrazit a odebrat týmy přidané do sdíleného kanálu, může vlastník sdíleného kanálu spravovat členství v teams.

Další informace o protokolech auditu Microsoft Teams najdete v dokumentaci k auditování Microsoft Teams.

Ochrana osobních údajů a zpracování dat

Přímé připojení B2B umožňuje uživatelům a skupinám přístup k aplikacím a prostředkům hostovaným externí organizací. Aby bylo možné navázat připojení, musí správce z externí organizace také povolit přímé připojení B2B.

Když povolíte připojení B2B k externí organizaci, umožníte externím organizacím, kterým jste povolili nastavení odchozích přenosů, přístup k omezeným kontaktním datům vašich uživatelů. Microsoft sdílí tato data s těmito organizacemi, aby jim pomohl odeslat žádost o spojení s vašimi uživateli. Data shromažďovaná externími organizacemi, včetně omezených kontaktních údajů, podléhají zásadám a postupům ochrany osobních údajů těchto organizací.

Odchozí přístup

Když je přímé připojení B2B povolené u externí organizace, uživatelé v externí organizaci budou moct vyhledávat vaše uživatele podle úplné e-mailové adresy. Odpovídající výsledky hledání vrátí omezená data o uživatelích, včetně jména a příjmení. Uživatelé budou muset odsouhlasit zásady ochrany osobních údajů externí organizace, než se budou sdílet další data. Doporučujeme, abyste si prostudovali informace o ochraně osobních údajů, které bude organizace poskytovat a které budou prezentovány vašim uživatelům.

Příchozí přístup

Důrazně doporučujeme přidat globální kontakt pro ochranu osobních údajů i prohlášení vaší organizace o zásadách ochrany osobních údajů, aby si vaši interní zaměstnanci a externí hosté mohli vaše zásady prohlédnout. Postupujte podle pokynů pro přidání informací o ochraně osobních údajů vaší organizace.

Omezení přístupu k uživatelům a skupinám

Můžete zvážit použití nastavení přístupu mezi tenanty a omezit přímé připojení B2B na konkrétní uživatele a skupiny v rámci vaší organizace a externí organizace.

Další kroky