Osvědčené postupy Microsoft Entra B2B
Tento článek obsahuje doporučení a osvědčené postupy pro spolupráci B2B (business-to-business) v Microsoft Entra Externí ID.
Důležité
Funkce jednorázového hesla e-mailu je teď ve výchozím nastavení zapnutá pro všechny nové tenanty a pro všechny stávající tenanty, u kterých jste ho explicitně nevypínali. Když je tato funkce vypnutá, je metodou náhradního ověřování výzva pozvat k vytvoření účtu Microsoft.
Doporučení B2B
| Doporučení | Komentáře |
|---|---|
| Informace o zabezpečení spolupráce s externími partnery najdete v doprovodných materiálech microsoft Entra. | Zjistěte, jak využít holistický přístup k zásadám správného řízení ve spolupráci vaší organizace s externími partnery podle doporučení v oblasti zabezpečení externí spolupráce v Microsoft Entra ID a Microsoftu 365. |
| Pečlivě naplánujte přístup mezi tenanty a nastavení externí spolupráce. | Microsoft Entra Externí ID poskytuje flexibilní sadu ovládacích prvků pro správu spolupráce s externími uživateli a organizacemi. Můžete povolit nebo blokovat veškerou spolupráci nebo nakonfigurovat spolupráci jenom pro konkrétní organizace, uživatele a aplikace. Než nakonfigurujete nastavení pro přístup mezi tenanty a externí spolupráci, pečlivě inventarizaci organizací, se kterými spolupracujete a spolupracujete. Pak určete, jestli chcete povolit přímé připojení B2B nebo spolupráci B2B s jinými tenanty Microsoft Entra a jak chcete spravovat pozvánky na spolupráci B2B. |
| Pomocí omezení tenanta můžete řídit, jak se na vašich sítích a spravovaných zařízeních používají externí účty. | S omezeními tenanta můžete uživatelům zabránit v používání účtů, které vytvořili v neznámých tenantech nebo účtech přijatých z externích organizací. Doporučujeme zakázat tyto účty a místo toho používat spolupráci B2B. |
| Pokud chcete zajistit optimální přihlašovací prostředí, federujte je pomocí zprostředkovatelů identity. | Kdykoli je to možné, federujte přímo s zprostředkovateli identity, aby se pozvaní uživatelé mohli přihlásit ke sdíleným aplikacím a prostředkům, aniž by museli vytvářet účty Microsoft (MSA) nebo účty Microsoft Entra. Pomocí funkce Federace Google můžete uživatelům typu host B2B povolit přihlášení pomocí svých účtů Google. Nebo můžete použít funkci zprostředkovatele identity SAML/WS-Fed (Preview) k nastavení federace s libovolnou organizací, jejíž zprostředkovatel identity (IdP) podporuje protokol SAML 2.0 nebo WS-Fed. |
| Použití funkce jednorázového hesla e-mailu pro hosty B2B, kteří se nemůžou ověřit jinými prostředky | Funkce jednorázového hesla e-mailu ověřuje uživatele typu host B2B, když se nedají ověřit jinými prostředky, jako je Microsoft Entra ID, účet Microsoft (MSA) nebo federace Google. Uživatel typu host při uplatnění pozvánky nebo přístupu ke sdílenému prostředku může požádat o dočasný kód, který se odešle na jeho e-mailovou adresu. Zadáním tohoto kódu pak může pokračovat v přihlášení. |
| Přidání firemního brandingu na přihlašovací stránku | Přihlašovací stránku si můžete přizpůsobit, aby byla pro uživatele typu host B2B intuitivnější. Podívejte se, jak přidat firemní branding pro přihlášení a Přístupový panel stránky. |
| Přidání prohlášení o zásadách ochrany osobních údajů do prostředí pro uplatnění uživatele typu host B2B | Do procesu prvního uplatnění pozvánky můžete přidat adresu URL prohlášení o zásadách ochrany osobních údajů vaší organizace, aby pozvaný uživatel musel souhlasit s vašimi podmínkami ochrany osobních údajů, aby mohl pokračovat. Viz Postupy: Přidání informací o ochraně osobních údajů vaší organizace do Microsoft Entra ID. |
| Použití funkce hromadného pozvání (Preview) k pozvání více uživatelů typu host B2B najednou | Pozvěte více uživatelů typu host do vaší organizace najednou pomocí funkce Hromadné pozvání ve verzi Preview na webu Azure Portal. Tato funkce umožňuje nahrát soubor CSV, který vytvoří uživatele typu host B2B a hromadně odešle pozvánky. Viz Kurz hromadného pozvání uživatelů B2B. |
| Vynucení zásad podmíněného přístupu pro vícefaktorové ověřování Microsoft Entra | Doporučujeme vynucovat zásady vícefaktorového ověřování u aplikací, které chcete sdílet s partnerskými uživateli B2B. MFA se tak vynucuje konzistentně u aplikací ve vašem tenantovi bez ohledu na to, jestli partnerová organizace používá vícefaktorové ověřování. Viz Podmíněný přístup pro uživatele spolupráce B2B. |
| Pokud vynucujete zásady podmíněného přístupu na základě zařízení, použijte seznamy vyloučení a povolte přístup uživatelům B2B. | Pokud jsou ve vaší organizaci povolené zásady podmíněného přístupu založené na zařízeních, zařízení uživatelů typu host B2B se zablokují, protože je vaše organizace nespravuje. Můžete vytvořit seznamy vyloučení obsahující konkrétní uživatele partnera, které je vyloučí ze zásad podmíněného přístupu založeného na zařízeních. Viz Podmíněný přístup pro uživatele spolupráce B2B. |
| Při poskytování přímých odkazů na uživatele typu host B2B použijte adresu URL specifickou pro tenanta. | Jako alternativu k e-mailu s pozvánkou můžete hostovi poskytnout přímý odkaz na vaši aplikaci nebo portál. Tento přímý odkaz musí být specifický pro tenanta, což znamená, že musí obsahovat ID tenanta nebo ověřenou doménu, aby se host mohl ověřit ve vašem tenantovi, kde se sdílená aplikace nachází. Podívejte se na možnosti uplatnění pro uživatele typu host. |
| Při vývoji aplikace použijte UserType k určení uživatelského prostředí typu host. | Pokud vyvíjíte aplikaci a chcete uživatelům tenanta a uživatelům typu host poskytnout různá prostředí, použijte vlastnost UserType. Deklarace identity UserType není aktuálně součástí tokenu. Aplikace by měly použít rozhraní Microsoft Graph API k dotazování adresáře, aby uživatel získal svůj typ UserType. |
| Změna vlastnosti UserType pouze v případě, že se změní vztah uživatele k organizaci | I když je možné pomocí PowerShellu převést vlastnost UserType pro uživatele z člena na hosta (a naopak), tuto vlastnost byste měli změnit pouze v případě, že se změní vztah uživatele s vaší organizací. Viz vlastnosti uživatele typu host B2B. |
| Zjistěte, jestli vaše prostředí ovlivní omezení adresáře Microsoft Entra. | Microsoft Entra B2B podléhá omezením adresářů služeb Microsoft Entra. Podrobnosti o počtu adresářů, které uživatel může vytvořit, a počet adresářů, do kterých může uživatel nebo uživatel typu host patřit, najdete v tématu Omezení a omezení služby Microsoft Entra. |
| Správa životního cyklu účtu B2B pomocí funkce Sponzor | Sponzorem je uživatel nebo skupina odpovědná za uživatele typu host. Další podrobnosti o této nové funkci naleznete v poli Sponzor pro uživatele B2B. |