Přehled externího ID Microsoft Entra
Externí Microsoft Entra ID odkazuje na všechny způsoby, jak můžete bezpečně komunikovat s uživateli mimo vaši organizaci. Pokud chcete spolupracovat s partnery, distributory nebo dodavateli, můžete sdílet své prostředky a definovat, jakým způsobem můžou interní uživatelé přistupovat k externím organizacím. Pokud jste vývojář vytvářející zákaznické aplikace, můžete spravovat prostředí identit zákazníků.
S externím ID můžou externí uživatelé "přinést vlastní identity". Ať už mají firemní nebo vládní digitální identitu, nebo nespravovanou sociální identitu, jako je Google nebo Facebook, můžou k přihlášení použít své vlastní přihlašovací údaje. Zprostředkovatel identity externího uživatele spravuje svou identitu a vy spravujete přístup k vašim aplikacím pomocí Microsoft Entra ID nebo Azure AD B2C, aby vaše prostředky zůstaly chráněné.
Externí ID tvoří následující možnosti:
Spolupráce B2B – Spolupracujte s externími uživateli tím, že jim umožníte použít jejich upřednostňovanou identitu k přihlášení k aplikacím Microsoftu nebo jiným podnikovým aplikacím (aplikace SaaS, vlastní vyvinuté aplikace atd.). Uživatelé spolupráce B2B jsou ve vašem adresáři reprezentováni, obvykle jako uživatelé typu host.
Přímé propojení B2B – Navázání vzájemné obousměrné důvěry s jinou organizací Microsoft Entra pro bezproblémovou spolupráci Přímé připojení B2B aktuálně podporuje sdílené kanály Teams a umožňuje externím uživatelům přístup k vašim prostředkům z jejich domovských instancí Teams. Uživatelé přímého připojení B2B nejsou ve vašem adresáři reprezentováni, ale jsou viditelné ze sdíleného kanálu Teams a dají se monitorovat v sestavách Centra pro správu Teams.
Azure AD B2C – Publikování moderních aplikací SaaS nebo vlastních aplikací (s výjimkou aplikací Microsoftu) pro uživatele a zákazníky při používání Azure AD B2C pro správu identit a přístupu
Organizace Microsoft Entra s více tenanty – Spolupráce s více tenanty v jedné organizaci Microsoft Entra prostřednictvím synchronizace mezi tenanty
V závislosti na tom, jak chcete pracovat s externími organizacemi a typy prostředků, které potřebujete sdílet, můžete použít kombinaci těchto možností.
Spolupráce B2B
Díky spolupráci B2B můžete pozvat všechny uživatele, aby se přihlásili k vaší organizaci Microsoft Entra pomocí vlastních přihlašovacích údajů, aby měli přístup k aplikacím a prostředkům, které s nimi chcete sdílet. Spolupráci B2B použijte, když potřebujete externím uživatelům umožnit přístup k vašim aplikacím Office 365, aplikacím typu software jako služba (SaaS) a obchodním aplikacím, zejména pokud partner nepoužívá Microsoft Entra ID nebo je pro správce nepraktické nastavit vzájemné připojení prostřednictvím přímého připojení B2B. Uživatelé spolupráce B2B nepřidružují žádné přihlašovací údaje. Místo toho se ověří u své domovské organizace nebo poskytovatele identity a pak vaše organizace zkontroluje oprávněnost uživatele typu host pro spolupráci B2B.
Existují různé způsoby přidání externích uživatelů do vaší organizace pro spolupráci B2B:
Pozvěte uživatele ke spolupráci B2B pomocí svých účtů Microsoft Entra, účtů Microsoft nebo sociálních identit, které povolíte, jako je Google. Správce může pomocí webu Azure Portal nebo PowerShellu pozvat uživatele ke spolupráci B2B. Uživatel se ke sdíleným prostředkům přihlásí pomocí jednoduchého procesu uplatnění pomocí pracovního, školního nebo jiného e-mailového účtu.
Pomocí toků uživatelů samoobslužné registrace můžete umožnit externím uživatelům, aby se zaregistrovali k vlastním aplikacím. Prostředí je možné přizpůsobit tak, aby umožňovalo registraci pomocí pracovní, školní nebo sociální identity (například Google nebo Facebook). Během procesu registrace můžete také shromažďovat informace o uživateli.
Použijte správu nároků Microsoft Entra, funkci zásad správného řízení identit, která umožňuje spravovat identitu a přístup externích uživatelů ve velkém měřítku pomocí automatizace pracovních postupů žádostí o přístup, přiřazení přístupu, kontrol a vypršení platnosti.
Objekt uživatele se vytvoří pro uživatele spolupráce B2B ve stejném adresáři jako vaši zaměstnanci. Tento uživatelský objekt je možné spravovat stejně jako jiné objekty uživatele v adresáři, přidávat do skupin atd. K objektu uživatele (pro autorizaci) můžete přiřadit oprávnění a zároveň jim umožnit používat jejich stávající přihlašovací údaje (pro ověřování).
Nastavení přístupu mezi tenanty můžete použít ke správě spolupráce B2B s jinými organizacemi Microsoft Entra a napříč cloudy Microsoft Azure. Pro spolupráci B2B s externími uživateli a organizacemi mimo Azure AD použijte nastavení externí spolupráce.
Přímé připojení B2B
Přímé připojení B2B je nový způsob spolupráce s jinými organizacemi Microsoft Entra. Tato funkce aktuálně funguje se sdílenými kanály Microsoft Teams. S přímým připojením B2B vytvoříte obousměrné vztahy důvěryhodnosti s jinými organizacemi Microsoft Entra, které uživatelům umožní bezproblémově se přihlásit ke sdíleným prostředkům a naopak. Uživatelé přímého připojení B2B se nepřidávají jako hosté do vašeho adresáře Microsoft Entra. Když dvě organizace vzájemně umožňují přímé připojení B2B, uživatelé se ve své domovské organizaci ověřují a z organizace prostředků dostanou token pro přístup. Přečtěte si další informace o přímém připojení B2B v Microsoft Entra Externí ID.
Přímé připojení B2B v současné době umožňuje funkci Propojení Teams sdílených kanálů, která umožňuje uživatelům spolupracovat s externími uživateli z více organizací se sdíleným kanálem Teams pro chat, hovory, sdílení souborů a sdílení aplikací. Jakmile nastavíte přímé připojení B2B s externí organizací, budou k dispozici následující možnosti sdílených kanálů Teams:
V Aplikaci Teams může vlastník sdíleného kanálu hledat povolené uživatele z externí organizace a přidávat je do sdíleného kanálu.
Externí uživatelé mají přístup ke sdílenému kanálu Teams, aniž by museli přepínat organizace nebo se přihlašovat pomocí jiného účtu. Z Teams může externí uživatel přistupovat k souborům a aplikacím prostřednictvím karty Soubory. Přístup uživatele určuje zásady sdíleného kanálu.
Nastavení přístupu mezi tenanty slouží ke správě vztahů důvěryhodnosti s jinými organizacemi Microsoft Entra a definování příchozích a odchozích zásad pro přímé připojení B2B.
Podrobnosti o prostředcích, souborech a aplikacích, které jsou k dispozici uživateli přímého připojení B2B prostřednictvím sdíleného kanálu Teams, najdete v tématu Chat, týmy, kanály a aplikace v Microsoft Teams.
Azure AD B2C
Azure AD B2C je řešení pro správu identit a přístupu zákazníků (CIAM), které umožňuje vytvářet cesty uživatelů pro aplikace určené pro spotřebitele a zákazníky. Pokud jste firemní nebo individuální vývojář vytvářející aplikace pro zákazníky, můžete škálovat na miliony spotřebitelů, zákazníků nebo občanů pomocí Azure AD B2C. Vývojáři můžou azure AD B2C použít jako plnohodnotný systém CIAM pro své aplikace.
S Azure AD B2C se zákazníci můžou přihlásit pomocí identity, kterou už vytvořili (třeba Facebook nebo Gmail). Při používání aplikací můžete zcela přizpůsobit a řídit, jak se zákazníci zaregistrují, přihlásí a spravují své profily.
I když je Azure AD B2C postavená na stejné technologii jako Microsoft Entra Externí ID, jedná se o samostatnou službu s některými rozdíly mezi funkcemi. Další informace o tom, jak se tenant Azure AD B2C liší od tenanta Microsoft Entra, najdete v dokumentaci k Azure AD B2C podporované funkce Microsoft Entra.
Porovnání sad funkcí externího ID
Následující tabulka obsahuje podrobné porovnání scénářů, které můžete povolit pomocí Microsoft Entra Externí ID. Ve scénářích B2B je externí uživatel kdokoli, kdo není v organizaci Microsoft Entra domovem.
| Spolupráce B2B | Přímé připojení B2B | Azure AD B2C | |
|---|---|---|---|
| Primární scénář | Spolupracujte s externími uživateli tím, že jim umožníte používat jejich upřednostňovanou identitu k přihlášení k prostředkům ve vaší organizaci Microsoft Entra. Poskytuje přístup k aplikacím Microsoftu nebo k vašim vlastním aplikacím (aplikace SaaS, vlastní vyvinuté aplikace atd.). Příklad: Pozvěte externího uživatele, aby se přihlásil k aplikacím Microsoftu nebo se stal členem hosta v Teams. |
Spolupracujte s uživateli z jiných organizací Microsoft Entra vytvořením vzájemného propojení. V současné době je možné používat se sdílenými kanály Teams, ke kterým mají externí uživatelé přístup v rámci svých domovských instancí Teams. Příklad: Přidejte externího uživatele do sdíleného kanálu Teams, který poskytuje prostor pro chat, volání a sdílení obsahu. |
Publikujte aplikace pro uživatele a zákazníky pomocí Azure AD B2C pro prostředí identit. Poskytuje správu identit a přístupu pro moderní saaS nebo vlastní vyvinuté aplikace (ne aplikace Microsoftu první strany). |
| Určeno pro | Spolupráce s obchodními partnery z externích organizací, jako jsou dodavatelé, partneři, dodavatelé. Tito uživatelé můžou nebo nemusí mít ID Microsoft Entra nebo spravované IT. | Spolupráce s obchodními partnery z externích organizací, které používají ID Microsoft Entra, jako jsou dodavatelé, partneři, dodavatelé. | Zákazníci vašeho produktu. Tito uživatelé se spravují v samostatném adresáři Microsoft Entra. |
| Správa uživatelů | Uživatelé spolupráce B2B se spravují ve stejném adresáři jako zaměstnanci, ale obvykle jsou označeni jako uživatelé typu host. Uživatelé typu host se dají spravovat stejným způsobem jako zaměstnanci, přidávat do stejných skupin atd. Nastavení přístupu mezi tenanty se dá použít k určení, kteří uživatelé mají přístup ke spolupráci B2B. | V adresáři Microsoft Entra se nevytvořil žádný objekt uživatele. Nastavení přístupu mezi tenanty určují, kteří uživatelé mají přístup ke spolupráci B2B. přímé připojení. Uživatelé sdíleného kanálu se dají spravovat v Teams a přístup uživatelů je určený zásadami sdíleného kanálu Teams. | Uživatelské objekty se vytvářejí pro uživatele v adresáři Azure AD B2C. Spravují se odděleně od zaměstnance a partnerského adresáře organizace (pokud existuje). |
| Podporovaní zprostředkovatelé identity | Externí uživatelé můžou spolupracovat pomocí pracovních účtů, školních účtů, libovolné e-mailové adresy, zprostředkovatelů identit založených na SAML a WS-Fedu a zprostředkovatelů sociálních identit, jako je Gmail a Facebook. | Externí uživatelé spolupracují pomocí pracovních účtů Microsoft Entra ID nebo školních účtů. | Uživatelé uživatelů s místními účty aplikací (libovolná e-mailová adresa, uživatelské jméno nebo telefonní číslo), Id Microsoft Entra, různé podporované sociální identity a uživatelé s firemními a vládními identitami prostřednictvím federace zprostředkovatele identity založeného na SAML/WS-Fed. |
| Jednotné přihlašování (SSO) | Jednotné přihlašování ke všem připojeným aplikacím Microsoft Entra se podporuje. Můžete například poskytnout přístup k Microsoftu 365 nebo místním aplikacím a dalším aplikacím SaaS, jako je Salesforce nebo Workday. | Jednotné přihlašování ke sdílenému kanálu Teams | V rámci tenantů Azure AD B2C je podporované jednotné přihlašování k aplikacím patřícím zákazníkům. Jednotné přihlašování k Microsoftu 365 nebo jiným aplikacím Microsoft SaaS se nepodporuje. |
| Licencování a fakturace | Na základě měsíčních aktivních uživatelů (MAU) včetně spolupráce B2B a uživatelů Azure AD B2C. Přečtěte si další informace o cenách externích ID a nastavení fakturace pro B2B. | Na základě měsíčních aktivních uživatelů (MAU), včetně spolupráce B2B, přímého připojení B2B a uživatelů Azure AD B2C. Přečtěte si další informace o cenách externích ID a nastavení fakturace pro B2B. | Na základě měsíčních aktivních uživatelů (MAU) včetně spolupráce B2B a uživatelů Azure AD B2C. Přečtěte si další informace o cenách externích ID a nastavení fakturace pro Azure AD B2C. |
| Zásady zabezpečení a dodržování předpisů | Spravuje ji hostitel/pozvaná organizace (například pomocí zásad podmíněného přístupu a nastavení přístupu mezi tenanty). | Spravuje ji hostitel/pozvaná organizace (například pomocí zásad podmíněného přístupu a nastavení přístupu mezi tenanty). Viz také dokumentace k Teams. | Spravuje ji organizace prostřednictvím podmíněného přístupu a identity Protection. |
| Vícefaktorové ověřování | Pokud jsou nakonfigurovaná nastavení příchozí důvěryhodnosti pro příjem deklarací vícefaktorového ověřování z domovského tenanta uživatele a zásady vícefaktorového ověřování už byly splněny v domovském tenantovi uživatele, může se externí uživatel přihlásit. Pokud není povolený vztah důvěryhodnosti vícefaktorového ověřování, zobrazí se uživateli výzva vícefaktorového ověřování z organizace prostředků. Přečtěte si další informace o MFA pro externí uživatele Microsoft Entra. | Pokud jsou nakonfigurovaná nastavení příchozí důvěryhodnosti pro příjem deklarací vícefaktorového ověřování z domovského tenanta uživatele a zásady vícefaktorového ověřování už byly splněny v domovském tenantovi uživatele, může se externí uživatel přihlásit. Pokud není povolený vztah důvěryhodnosti vícefaktorového ověřování a zásady podmíněného přístupu vyžadují vícefaktorové ověřování, uživateli se zablokuje přístup k prostředkům. Nastavení příchozí důvěryhodnosti musíte nakonfigurovat tak, aby přijímala deklarace identity vícefaktorového ověřování z organizace. Přečtěte si další informace o MFA pro externí uživatele Microsoft Entra. | Integruje se přímo s vícefaktorovým ověřováním Microsoft Entra. |
| Nastavení cloudu Microsoftu | Podporovány. | Nepodporuje se. | Nevztahuje se. |
| Správa nároků | Podporovány. | Nepodporováno | Nevztahuje se. |
| Obchodní aplikace | Podporovan. | Nepodporováno Sdílené aplikace s přímým připojením B2B se dají sdílet (aktuálně Propojení Teams sdílené kanály). | Funguje s rozhraním RESTful API. |
| Podmíněný přístup | Spravuje ji hostitel/pozvaná organizace. Přečtěte si další informace o zásadách podmíněného přístupu. | Spravuje ji hostitel/pozvaná organizace. Přečtěte si další informace o zásadách podmíněného přístupu. | Spravuje ji organizace prostřednictvím podmíněného přístupu a identity Protection. |
| Značky | Používá se značka organizace pro hostování a pozvání. | Pro přihlašovací obrazovky se používá značka domovské organizace uživatele. Ve sdíleném kanálu se používá značka organizace prostředků. | Plně přizpůsobitelné branding pro každou aplikaci nebo organizaci |
| Další informace | Dokumentace | Dokumentace | Stránka produktu, dokumentace |
Na základě požadavků vaší organizace můžete použít synchronizaci mezi tenanty ve víceklientských organizacích. Další informace o této nové funkci najdete v dokumentaci k víceklientských organizacích a porovnání funkcí.
Správa funkcí externího ID
Spolupráce Microsoft Entra B2B a přímé připojení B2B jsou funkce Microsoft Entra Externí ID a spravují se na webu Azure Portal prostřednictvím služby Microsoft Entra. Pokud chcete řídit příchozí a odchozí spolupráci, můžete použít kombinaci nastavení přístupu mezi tenanty a nastavení externí spolupráce.
Nastavení přístupu mezi tenanty
Nastavení přístupu mezi tenanty umožňují spravovat spolupráci B2B a přímé spojení B2B s jinými organizacemi Microsoft Entra. Můžete určit, jak ostatní organizace Microsoft Entra spolupracují s vámi (příchozí přístup) a jak vaši uživatelé spolupracují s jinými organizacemi Microsoft Entra (odchozí přístup). Podrobné ovládací prvky umožňují určit lidi, skupiny a aplikace, a to jak ve vaší organizaci, tak i v externích organizacích Microsoft Entra, které se můžou účastnit spolupráce B2B a přímého připojení B2B. Můžete také důvěřovat vícefaktorovým ověřováním a deklaracím zařízení (kompatibilní deklarace identity a deklarace identity hybridního připojení Microsoft Entra) z jiných organizací Microsoft Entra.
Výchozí nastavení přístupu mezi tenanty určují výchozí příchozí i odchozí nastavení pro spolupráci B2B i přímé připojení B2B. Výchozí nastavení jsou zpočátku nakonfigurovaná tak, aby umožňovala veškerou příchozí a odchozí spolupráci B2B s ostatními organizacemi Microsoft Entra a blokovat přímé spojení B2B se všemi organizacemi Microsoft Entra. Tato počáteční nastavení můžete změnit a vytvořit tak vlastní výchozí konfiguraci.
Nastavení přístupu specifické pro organizaci umožňují nakonfigurovat přizpůsobená nastavení pro jednotlivé organizace Microsoft Entra. Po přidání organizace a přizpůsobení nastavení přístupu mezi tenanty v této organizaci budou mít tato nastavení přednost před výchozími nastaveními. Můžete například ve výchozím nastavení zakázat spolupráci B2B a přímé připojení B2B se všemi externími organizacemi, ale povolit tyto funkce jenom pro Fabrikam.
Další informace najdete v tématu Přístup mezi tenanty v Microsoft Entra Externí ID.
Microsoft Entra ID má funkci pro víceklientských organizací označovaných jako synchronizace mezi tenanty, což umožňuje bezproblémovou spolupráci napříč tenanty Microsoft Entra. Nastavení synchronizace mezi tenanty se konfiguruje v nastavení přístupu specifické pro organizaci. Další informace o víceklientských organizacích a synchronizaci mezi tenanty najdete v dokumentaci k víceklientských organizacím.
Nastavení cloudu Microsoftu pro spolupráci B2B
Cloudové služby Microsoft Azure jsou dostupné v samostatných národních cloudech, které jsou fyzicky izolované instance Azure. Organizace stále častěji hledají potřebu spolupracovat s organizacemi a uživateli na globálních cloudových a národních hranicích cloudu. Pomocí nastavení cloudu Microsoftu můžete vytvořit vzájemnou spolupráci B2B mezi následujícími cloudy Microsoft Azure:
- Globální cloud Microsoft Azure a Microsoft Azure Government
- Globální cloud Microsoft Azure a Microsoft Azure provozované společností 21Vianet
Aby bylo možné nastavit spolupráci B2B mezi tenanty v různých cloudech, musí oba tenanti nakonfigurovat nastavení cloudu Microsoftu tak, aby umožňovaly spolupráci s druhým cloudem. Každý tenant pak musí nakonfigurovat příchozí a odchozí přístup mezi tenanty s tenantem v druhém cloudu. Podrobnosti najdete v nastavení cloudu Microsoftu.
Nastavení externí spolupráce
Nastavení externí spolupráce určuje, jestli uživatelé můžou externím uživatelům posílat pozvánky ke spolupráci B2B a úroveň přístupu uživatelů typu host musí do vašeho adresáře. S těmito nastaveními můžete:
Určete oprávnění uživatele typu host. Určete, co můžou externí uživatelé typu host zobrazit v adresáři Microsoft Entra. Můžete například omezit zobrazení členství ve skupinách uživatelů typu host nebo povolit hostům zobrazení pouze jejich vlastních profilových informací.
Určete, kdo může pozvat hosty. Ve výchozím nastavení můžou všichni uživatelé ve vaší organizaci, včetně uživatelů typu host pro spolupráci B2B, pozvat externí uživatele do spolupráce B2B. Pokud chcete omezit možnost odesílání pozvánek, můžete zapnout nebo vypnout pozvánky pro všechny nebo omezit pozvánky na určité role.
Povolit nebo blokovat domény Zvolte, jestli chcete povolit nebo odepřít pozvánky na zadané domény. Podrobnosti najdete v tématu Povolení nebo blokování domén.
Další informace najdete v tématu konfigurace nastavení externí spolupráce B2B.
Spolupráce externí spolupráce a nastavení přístupu mezi tenanty
Nastavení externí spolupráce funguje na úrovni pozvánky, zatímco nastavení přístupu mezi tenanty fungují na úrovni ověřování.
Nastavení přístupu mezi tenanty a nastavení externí spolupráce se používají ke správě dvou různých aspektů spolupráce B2B. Nastavení přístupu mezi tenanty řídí, jestli se uživatelé můžou ověřovat pomocí externích tenantů Microsoft Entra a vztahují se na příchozí i odchozí spolupráci B2B. Naproti tomu nastavení externí spolupráce určuje, kteří z vašich uživatelů můžou posílat pozvánky na spolupráci B2B externím uživatelům z libovolné organizace.
Při zvažování spolupráce B2B s konkrétní externí organizací Microsoft Entra budete chtít posoudit, jestli nastavení přístupu mezi tenanty umožňuje spolupráci B2B s danou organizací a jestli vaše nastavení externí spolupráce umožňuje uživatelům posílat pozvánky do domény této organizace. Několik příkladů:
Příklad 1: Do seznamu blokovaných domén v nastavení externí spolupráce jste přidali
adatum.com(organizaci Microsoft Entra), ale nastavení přístupu mezi tenanty umožňuje spolupráci B2B pro všechny organizace Microsoft Entra. V tomto případě platí nejvíce omezující nastavení. Nastavení externí spolupráce zabrání uživatelům v odesílání pozvánek uživatelům na adreseadatum.com.Příklad 2: Povolíte spolupráci B2B s Fabrikamem v nastavení přístupu mezi tenanty, ale pak přidáte
fabrikam.comdo blokovaných domén v nastavení externí spolupráce. Vaši uživatelé nebudou moct pozvat nové uživatele typu host Fabrikam, ale stávající hosté Fabrikam budou moct dál používat spolupráci B2B.
U koncových uživatelů spolupráce B2B, kteří provádějí přihlášení mezi tenanty, se zobrazí branding jejich domovského tenanta, i když není zadaný vlastní branding. V následujícím příkladu se na levé straně zobrazí branding společnosti Woodgrove Potraviny. V příkladu napravo se zobrazí výchozí branding pro domácího tenanta uživatele.
Správa Azure Active Directory B2C
Azure AD B2C je samostatný adresář založený na spotřebiteli, který spravujete na webu Azure Portal prostřednictvím služby Azure AD B2C. Každý tenant Azure AD B2C je oddělený a liší se od ostatních tenantů Microsoft Entra ID a Azure AD B2C. Prostředí portálu Azure AD B2C se podobá ID Microsoft Entra, ale existují klíčové rozdíly, jako je možnost přizpůsobení cest uživatelů pomocí architektury Identity Experience Framework.
Podrobnosti o konfiguraci a správě Azure AD B2C najdete v dokumentaci k Azure AD B2C.
Související technologie Microsoft Entra
Existuje několik technologií Microsoft Entra, které souvisejí se spolupráci s externími uživateli a organizacemi. Při návrhu modelu spolupráce s externím ID zvažte tyto další funkce.
Správa nároků Microsoft Entra pro registraci uživatele typu host B2B
Jako zvaná organizace nemusíte předem vědět, kdo jednotliví externí spolupracovníci potřebují přístup k vašim prostředkům. Potřebujete způsob, jak se uživatelé z partnerských společností zaregistrovat pomocí zásad, které řídíte. Pokud chcete uživatelům z jiných organizací povolit přístup a po schválení se zřizují účty hostů a přiřazují se ke skupinám, aplikacím a webům SharePointu Online, můžete pomocí správy nároků Microsoft Entra nakonfigurovat zásady, které spravují přístup pro externí uživatele.
Microsoft Entra Microsoft Graph API pro spolupráci B2B
Rozhraní Microsoft Graph API jsou k dispozici pro vytváření a správu funkcí externího ID.
Rozhraní API pro nastavení přístupu mezi tenanty: Rozhraní API pro přístup mezi tenanty v Microsoft Graphu umožňuje programově vytvořit stejné zásady spolupráce B2B a zásady přímého připojení B2B, které je možné konfigurovat na webu Azure Portal. Pomocí rozhraní API můžete nastavit zásady pro příchozí a odchozí spolupráci tak, aby ve výchozím nastavení povolovaly nebo blokovaly funkce pro všechny a omezovaly přístup ke konkrétním organizacím, skupinám, uživatelům a aplikacím. Rozhraní API také umožňuje přijímat deklarace identity vícefaktorového ověřování a zařízení (kompatibilní deklarace identity a deklarace identity hybridního připojení Microsoft Entra) z jiných organizací Microsoft Entra.
Správce pozvánek na spolupráci B2B: Rozhraní API správce pozvánek Microsoft Graphu je k dispozici pro vytváření vlastních možností onboardingu pro uživatele typu host B2B. Rozhraní API pro vytvoření pozvánky můžete použít k automatickému odeslání přizpůsobeného e-mailu s pozvánkou přímo uživateli B2B, například. Nebo vaše aplikace může použít adresu inviteRedeemUrl vrácenou v odpovědi na vytvoření vlastní pozvánky (prostřednictvím zvoleného komunikačního mechanismu) pozvaného uživatele.
Podmíněný přístup
Organizace můžou vynucovat zásady podmíněného přístupu pro externí spolupráci B2B a uživatele přímého propojení B2B stejným způsobem, jakým jsou povoleni pro zaměstnance a členy organizace na plný úvazek. Pokud vaše zásady podmíněného přístupu vyžadují vícefaktorové ověřování nebo dodržování předpisů zařízením, můžete v případě, že zásady podmíněného přístupu vyžadují vícefaktorové ověřování nebo dodržování předpisů zařízením, důvěřovat deklarace identity vícefaktorového ověřování a dodržování předpisů zařízením z domovské organizace externího uživatele. Pokud jsou nastavení důvěryhodnosti povolená, při ověřování zkontroluje ID Microsoft Entra přihlašovací údaje uživatele pro deklaraci identity MFA nebo ID zařízení a určí, jestli už zásady byly splněny. Pokud ano, externímu uživateli se udělí bezproblémové přihlášení ke sdílenému prostředku. Jinak se v domovském tenantovi uživatele zahájí výzva vícefaktorového ověřování nebo zařízení. Přečtěte si další informace o toku ověřování a podmíněném přístupu pro externí uživatele.
Víceklientských aplikací
Pokud nabízíte aplikaci SaaS (Software jako služba) mnoha organizacím, můžete aplikaci nakonfigurovat tak, aby přijímala přihlášení z libovolného tenanta Microsoft Entra. Tato konfigurace se nazývá vytvoření víceklientských aplikací. Uživatelé v libovolném tenantovi Microsoft Entra se budou moct přihlásit k vaší aplikaci po vyjádření souhlasu s používáním svého účtu s vaší aplikací. Podívejte se, jak povolit přihlášení s více tenanty.
Víceklientských organizací
Organizace s více tenanty je organizace, která má více instancí Microsoft Entra ID. Existují různé důvody pro víceklientské architektury, jako je použití více cloudů nebo více geografických hranic. Organizace s více tenanty používají jednosměrnou synchronizační službu v MICROSOFT Entra ID označovanou jako synchronizace mezi tenanty. Synchronizace mezi tenanty umožňuje bezproblémovou spolupráci pro víceklientských organizací. Vylepšuje uživatelské prostředí a zajišťuje, aby uživatelé měli přístup k prostředkům, aniž by dostali e-mail s pozvánkou a museli přijmout výzvu k vyjádření souhlasu v každém tenantovi.