Přehled spolupráce B2B

Spolupráce B2B v Azure Active Directory (Azure AD) je funkce v rámci externích identit, která umožňuje pozvat uživatele typu host ke spolupráci s vaší organizací. Díky spolupráci B2B můžete bezpečně sdílet aplikace a služby vaší společnosti s externími uživateli a zároveň si zachovat kontrolu nad vlastními podnikovými daty. Spolupracujte bezpečně s velkými i malými externími partnery, i když nemají Azure AD ani oddělení IT.

Diagram znázorňující spolupráci B2B

Díky jednoduchému postupu založenému na pozvánce a jejím uplatnění můžou partneři, kteří přistupují k vašim firemním prostředkům, používat vlastní přihlašovací údaje. Můžete také povolit toky uživatelů samoobslužné registrace, aby se externí uživatelé mohli zaregistrovat k aplikacím nebo prostředkům sami. Jakmile externí uživatel uplatní pozvánku nebo dokončí registraci, bude ve vašem adresáři reprezentován jako objekt uživatele. Objekty uživatelů pro spolupráci B2B mají obvykle typ uživatele "host" a dají se identifikovat rozšířením #EXT# v hlavním názvu uživatele.

Vývojáři můžou v rozhraní API pro spolupráci B2B v Azure AD přizpůsobit postup pozvání nebo napsat aplikace, jako jsou portály pro samoobslužnou registraci. Informace o licencování a cenách souvisejících s uživateli typu host najdete v tématu Ceny externích identit Azure Active Directory.

Důležité

Funkce jednorázového hesla e-mailu je teď ve výchozím nastavení zapnutá pro všechny nové tenanty a pro všechny stávající tenanty, u kterých jste ji explicitně nevypínali. Když je tato funkce vypnutá, náhradní metodou ověřování je vyzvat pozvané uživatele k vytvoření účtu Microsoft.

Spolupráce s partnery s využitím jejich vlastních identit

S Azure AD B2B používá partner vlastní řešení správy identit, takže vaše organizace nemá žádné externí administrativní náklady. Uživatelé typu host používají při přihlášení k vašim aplikacím a službám vlastní pracovní, školní nebo sociální identitu.

  • Partner používá vlastní identity a přihlašovací údaje bez ohledu na to, jestli má Azure AD účet.
  • Nemusíte spravovat externí účty ani hesla.
  • Nemusíte synchronizovat účty ani spravovat jejich životní cyklus.

Správa spolupráce s jinými organizacemi a cloudy

Spolupráce B2B je ve výchozím nastavení povolená, ale komplexní nastavení správce umožňuje řídit příchozí a odchozí spolupráci B2B s externími partnery a organizacemi:

  • Pro spolupráci B2B s jinými Azure AD organizacemi použijte nastavení přístupu mezi tenanty. Správa příchozí a odchozí spolupráce B2B a obor přístupu pro konkrétní uživatele, skupiny a aplikace Nastavte výchozí konfiguraci, která platí pro všechny externí organizace, a pak podle potřeby vytvořte individuální nastavení specifická pro organizaci. Pomocí nastavení přístupu mezi tenanty můžete také důvěřovat vícefaktorovým (MFA) a deklaracím deklaracím zařízení (vyhovujícím deklaracím a hybridním Azure AD připojeným deklaracím) z jiných Azure AD organizací.

  • Pomocí nastavení externí spolupráce můžete definovat, kdo může zvát externí uživatele, povolit nebo blokovat domény specifické pro B2B a nastavit omezení přístupu uživatelů typu host k vašemu adresáři.

  • Nastavení cloudu Microsoftu (Preview) použijte k navázání vzájemné spolupráce B2B mezi globálním cloudem Microsoft Azure a Microsoft Azure Government nebo Microsoft Azure China 21Vianet.

Snadné pozvání uživatelů typu host z portálu Azure AD

Jako správce můžete do své organizace na webu Azure Portal jednoduše přidat uživatele typu host.

Snímek obrazovky zobrazující stránku Pozvat nového uživatele typu host s pozvánkou

Snímek obrazovky se stránkou Zkontrolovat oprávnění

Povolit samoobslužnou registraci

Pomocí toku uživatelů samoobslužné registrace můžete vytvořit prostředí pro registraci pro externí uživatele, kteří chtějí získat přístup k vašim aplikacím. V rámci toku registrace můžete poskytnout možnosti pro různé zprostředkovatele sociálních nebo podnikových identit a shromažďovat informace o uživateli. Přečtěte si o samoobslužné registraci a o tom, jak ji nastavit.

Konektory rozhraní API můžete také použít k integraci toků uživatelů samoobslužné registrace s externími cloudovými systémy. Můžete se připojit pomocí vlastních pracovních postupů schvalování, provádět ověření identity, ověřovat informace poskytnuté uživatelem a provádět další možnosti.

Snímek obrazovky se stránkou toků uživatelů

Použití zásad při bezpečném sdílení aplikací a služeb

Zásady ověřování a autorizace můžete použít k ochraně firemního obsahu. Zásady podmíněného přístupu, jako je vícefaktorové ověřování, je možné vynutit:

  • Na úrovni tenanta
  • Na úrovni aplikace
  • Pro konkrétní uživatele typu host, abyste chránili firemní aplikace a data

Snímek obrazovky s možností podmíněného přístupu

Nechte vlastníky aplikací a skupin spravovat vlastní uživatele typu host

Správu uživatelů typu host můžete delegovat na vlastníky aplikací, aby do libovolné aplikace, kterou chtějí sdílet, mohli přímo přidávat uživatele typu host. Přitom nezáleží, jestli je aplikace od Microsoftu.

  • Správci nastaví samoobslužnou správu aplikace a skupiny.
  • Uživatelé, kteří nejsou správci, použijí k přidání uživatelů typu host do aplikací nebo skupin přístupový panel.

Snímek obrazovky s přístupovým panelem pro uživatele typu host

Přizpůsobení prostředí onboardingu pro uživatele typu host B2B

Zapojte své externí partnery způsobem přizpůsobeným potřebám vaší organizace.

Integrace se zprostředkovateli identit

Azure AD podporuje externí zprostředkovatele identit, jako jsou Facebook, účty Microsoft, Google nebo zprostředkovatele podnikových identit. Federaci můžete nastavit pomocí zprostředkovatelů identity. Externí uživatelé se tak budou moct přihlašovat pomocí stávajících sociálních nebo podnikových účtů, a ne vytvářet nový účet jenom pro vaši aplikaci. Přečtěte si další informace o zprostředkovatelích identit pro externí identity.

Snímek obrazovky se stránkou Zprostředkovatelé identit

Integrace se SharePointem a OneDrivem

Můžete povolit integraci se SharePointem a OneDrivem a sdílet soubory, složky, položky seznamů, knihovny dokumentů a weby s lidmi mimo vaši organizaci a současně používat Azure B2B pro ověřování a správu. Uživatelé, se kterými sdílíte prostředky, se obvykle přidávají do vašeho adresáře jako hosté a oprávnění a skupiny pro tyto hosty fungují stejně jako pro interní uživatele. Když povolíte integraci se SharePointem a OneDrivem, povolíte také funkci jednorázového hesla e-mailu v Azure AD B2B, která bude sloužit jako záložní metoda ověřování.

Snímek obrazovky s nastavením jednorázového hesla e-mailu

Další kroky