Osvědčené postupy pro Microsoft Entra B2B
Tento článek obsahuje doporučení a osvědčené postupy pro spolupráci B2B (Business-to-Business) ve Microsoft Entra ID.
Důležité
Funkce jednorázového hesla e-mailu je teď ve výchozím nastavení zapnutá pro všechny nové tenanty a pro všechny stávající tenanty, u kterých jste ji explicitně nevypínali. Když je tato funkce vypnutá, náhradní metodou ověřování je vyzvat pozvané uživatele k vytvoření účtu Microsoft.
Doporučení B2B
| Doporučení | Komentáře |
|---|---|
| Projděte si Microsoft Entra pokyny k zabezpečení vaší spolupráce s externími partnery. | Zjistěte, jak využít holistický přístup k zásadám správného řízení při spolupráci vaší organizace s externími partnery podle doporučení v tématu Zabezpečení externí spolupráce v Microsoft Entra ID a Microsoftu 365. |
| Pečlivě naplánujte nastavení přístupu mezi tenanty a externí spolupráce. | Microsoft Entra ID poskytuje flexibilní sadu ovládacích prvků pro správu spolupráce s externími uživateli a organizacemi. Můžete povolit nebo zablokovat veškerou spolupráci nebo nakonfigurovat spolupráci jenom pro konkrétní organizace, uživatele a aplikace. Před konfigurací nastavení pro přístup mezi tenanty a externí spolupráci si pečlivě inventarizaci organizací, se kterými spolupracujete a se kterými spolupracujete. Pak určete, jestli chcete povolit přímé připojení B2B nebo spolupráci B2B s ostatními tenanty Microsoft Entra a jak chcete spravovat pozvánky ke spolupráci B2B. |
| Omezení tenanta použijte k řízení způsobu použití externích účtů ve vašich sítích a spravovaných zařízeních. | Pomocí omezení tenanta můžete uživatelům zabránit v používání účtů, které vytvořili v neznámých tenantech, nebo v účtech, které obdrželi od externích organizací. Doporučujeme zakázat tyto účty a místo toho použít spolupráci B2B. |
| Pokud chcete zajistit optimální přihlašování, federujte je pomocí zprostředkovatelů identity. | Kdykoli je to možné, federujte je přímo se zprostředkovateli identity, aby se pozvaní uživatelé mohli přihlašovat k vašim sdíleným aplikacím a prostředkům, aniž by museli vytvářet účty Microsoft (MSA) nebo Microsoft Entra účty. Pomocí funkce Federace Google můžete uživatelům typu host B2B povolit přihlašování pomocí svých účtů Google. Nebo můžete použít funkci zprostředkovatele identity SAML/WS-Fed (Preview) k nastavení federace s libovolnou organizací, jejíž zprostředkovatel identity (IdP) podporuje protokol SAML 2.0 nebo WS-Fed. |
| Použití funkce Email jednorázového hesla pro hosty B2B, kteří se nemůžou ověřit jiným způsobem | Funkce Email jednorázového hesla ověřuje uživatele typu host B2B, když je není možné ověřit jiným způsobem, jako je Microsoft Entra ID, účet Microsoft (MSA) nebo federace Google. Uživatel typu host při uplatnění pozvánky nebo přístupu ke sdílenému prostředku může požádat o dočasný kód, který se odešle na jeho e-mailovou adresu. Zadáním tohoto kódu pak může pokračovat v přihlášení. |
| Přidání firemního brandingu na přihlašovací stránku | Přihlašovací stránku si můžete přizpůsobit, aby byla pro uživatele typu host B2B intuitivnější. Podívejte se, jak přidat firemní branding pro přihlášení a Přístupový panel stránky. |
| Přidání vašeho prohlášení o zásadách ochrany osobních údajů do prostředí pro uplatnění informací pro uživatele typu host B2B | Do procesu prvního uplatnění pozvánky můžete přidat adresu URL prohlášení vaší organizace o zásadách ochrany osobních údajů, aby pozvaný uživatel musel vyjádřit souhlas s vašimi podmínkami ochrany osobních údajů, aby mohl pokračovat. Viz Postupy: Přidání informací o ochraně osobních údajů vaší organizace v Microsoft Entra ID. |
| Použití funkce hromadného pozvání (Preview) k pozvání více uživatelů typu host B2B najednou | Pozvěte do organizace více uživatelů typu host najednou pomocí funkce hromadné pozvánky ve verzi Preview v Azure Portal. Tato funkce umožňuje nahrát soubor CSV pro vytvoření uživatelů typu host B2B a hromadné odesílání pozvánek. Projděte si kurz hromadného zvaní uživatelů B2B. |
| Vynucení zásad podmíněného přístupu pro vícefaktorové ověřování Microsoft Entra | Doporučujeme vynucovat zásady MFA u aplikací, které chcete sdílet s partnerskými uživateli B2B. Tímto způsobem bude vícefaktorové ověřování konzistentně vynucováno u aplikací ve vašem tenantovi bez ohledu na to, jestli partnerské organizace vícefaktorové ověřování používá. Viz Podmíněný přístup pro uživatele spolupráce B2B. |
| Pokud vynucujete zásady podmíněného přístupu na základě zařízení, pomocí seznamů vyloučení povolte přístup uživatelům B2B. | Pokud jsou ve vaší organizaci povolené zásady podmíněného přístupu na základě zařízení, zařízení uživatelů typu host B2B se zablokují, protože je vaše organizace nespravuje. Můžete vytvořit seznamy vyloučení obsahující konkrétní partnerské uživatele a vyloučit je ze zásad podmíněného přístupu na základě zařízení. Viz Podmíněný přístup pro uživatele spolupráce B2B. |
| Při poskytování přímých odkazů na uživatele typu host B2B použijte adresu URL specifickou pro tenanta. | Jako alternativu k e-mailu s pozvánkou můžete hostovi dát přímý odkaz na vaši aplikaci nebo portál. Tento přímý odkaz musí být specifický pro tenanta, což znamená, že musí obsahovat ID tenanta nebo ověřenou doménu, aby bylo možné hosta ověřit ve vašem tenantovi, kde se sdílená aplikace nachází. Podívejte se na možnosti uplatnění pro uživatele typu host. |
| Při vývoji aplikace použijte userType k určení uživatelského prostředí typu host. | Pokud vyvíjíte aplikaci a chcete uživatelům tenanta a uživatelům typu host poskytnout různá prostředí, použijte vlastnost UserType. Deklarace identity UserType není v současné době součástí tokenu. Aplikace by měly použít microsoft Graph API k dotazování adresáře, aby uživatel získal typ uživatele. |
| Vlastnost UserType změňte pouze v případě, že se změní vztah uživatele k organizaci. | I když je možné pomocí PowerShellu převést vlastnost UserType uživatele z člena na hosta (a naopak), měli byste tuto vlastnost změnit pouze v případě, že se změní vztah uživatele k vaší organizaci. Viz Vlastnosti uživatele typu host B2B. |
| Zjistěte, jestli na vaše prostředí nebudou mít vliv limity Microsoft Entra adresářů. | Microsoft Entra B2B platí omezení adresáře služby Microsoft Entra. Podrobnosti o počtu adresářů, které může uživatel vytvořit, a počtu adresářů, do kterých může uživatel nebo uživatel typu host patřit, najdete v tématu omezení a omezení služby Microsoft Entra. |
| Správa životního cyklu účtu B2B pomocí funkce Sponzor (Preview) | Sponzor je uživatel nebo skupina zodpovědná za uživatele typu host. Další podrobnosti o této nové funkci najdete v poli Sponzor pro uživatele B2B (Preview). |