Přehled spolupráce B2B
Spolupráce B2B v Azure Active Directory (Azure AD) je funkce v rámci externích identit, která umožňuje pozvat uživatele typu host ke spolupráci s vaší organizací. Díky spolupráci B2B můžete bezpečně sdílet aplikace a služby vaší společnosti s externími uživateli a zároveň si zachovat kontrolu nad vlastními podnikovými daty. Spolupracujte bezpečně s velkými i malými externími partnery, i když nemají Azure AD ani oddělení IT.
Díky jednoduchému postupu založenému na pozvánce a jejím uplatnění můžou partneři, kteří přistupují k vašim firemním prostředkům, používat vlastní přihlašovací údaje. Můžete také povolit toky uživatelů samoobslužné registrace, aby se externí uživatelé mohli zaregistrovat k aplikacím nebo prostředkům sami. Jakmile externí uživatel uplatní pozvánku nebo dokončí registraci, bude ve vašem adresáři reprezentován jako objekt uživatele. Typ uživatele pro tyto uživatele spolupráce B2B je obvykle nastavený na host a hlavní název uživatele obsahuje identifikátor #EXT#.
Vývojáři můžou v rozhraní API pro spolupráci B2B v Azure AD přizpůsobit postup pozvání nebo napsat aplikace, jako jsou portály pro samoobslužnou registraci. Informace o licencování a cenách souvisejících s uživateli typu host najdete v tématu Ceny externích identit Azure Active Directory.
Důležité
Funkce jednorázového hesla e-mailu je teď ve výchozím nastavení zapnutá pro všechny nové tenanty a pro všechny stávající tenanty, u kterých jste ji explicitně nevypínali. Když je tato funkce vypnutá, náhradní metodou ověřování je vyzvat pozvané uživatele k vytvoření účtu Microsoft.
Spolupráce s partnery s využitím jejich vlastních identit
S Azure AD B2B používá partner vlastní řešení správy identit, takže vaše organizace nemá žádné externí administrativní náklady. Uživatelé typu host používají při přihlášení k vašim aplikacím a službám vlastní pracovní, školní nebo sociální identitu.
- Partner používá vlastní identity a přihlašovací údaje bez ohledu na to, jestli má Azure AD účet.
- Nemusíte spravovat externí účty ani hesla.
- Nemusíte synchronizovat účty ani spravovat jejich životní cyklus.
Správa spolupráce s jinými organizacemi a cloudy
Spolupráce B2B je ve výchozím nastavení povolená, ale komplexní nastavení správce umožňuje řídit příchozí a odchozí spolupráci B2B s externími partnery a organizacemi:
Pro spolupráci B2B s jinými Azure AD organizacemi použijte nastavení přístupu mezi tenanty. Správa příchozí a odchozí spolupráce B2B a obor přístupu pro konkrétní uživatele, skupiny a aplikace Nastavte výchozí konfiguraci, která platí pro všechny externí organizace, a pak podle potřeby vytvořte individuální nastavení specifická pro organizaci. Pomocí nastavení přístupu mezi tenanty můžete také důvěřovat vícefaktorovým (MFA) a deklaracím deklaracím zařízení (vyhovujícím deklaracím a hybridním Azure AD připojeným deklaracím) z jiných Azure AD organizací.
Pomocí nastavení externí spolupráce můžete definovat, kdo může zvát externí uživatele, povolit nebo blokovat domény specifické pro B2B a nastavit omezení přístupu uživatelů typu host k vašemu adresáři.
Nastavení cloudu Microsoftu použijte k navázání vzájemné spolupráce B2B mezi globálním cloudem Microsoft Azure a Microsoft Azure Government nebo Microsoft Azure China 21Vianet.
Snadné pozvání uživatelů typu host z Azure Portal
Jako správce můžete do své organizace na webu Azure Portal jednoduše přidat uživatele typu host.
- Vytvořte nového uživatele typu host v Azure AD, podobně jako byste přidali nového uživatele.
- Přiřaďte uživatele typu host k aplikacím nebo skupinám.
- Pošlete e-mail s pozvánkou , který obsahuje odkaz pro uplatnění, nebo pošlete přímý odkaz na aplikaci, kterou chcete sdílet.
- Uživatelé typu host při přihlášení pomocí několika jednoduchých kroků uplatnění .
Povolit samoobslužnou registraci
Pomocí toku uživatelů samoobslužné registrace můžete vytvořit prostředí pro registraci pro externí uživatele, kteří chtějí získat přístup k vašim aplikacím. V rámci toku registrace můžete poskytnout možnosti pro různé zprostředkovatele sociálních nebo podnikových identit a shromažďovat informace o uživateli. Přečtěte si o samoobslužné registraci a o tom, jak ji nastavit.
Konektory rozhraní API můžete také použít k integraci toků uživatelů samoobslužné registrace s externími cloudovými systémy. Můžete se připojit pomocí vlastních pracovních postupů schvalování, provádět ověření identity, ověřovat informace poskytnuté uživatelem a provádět další možnosti.
Použití zásad při bezpečném sdílení aplikací a služeb
Zásady ověřování a autorizace můžete použít k ochraně firemního obsahu. Zásady podmíněného přístupu, jako je vícefaktorové ověřování, je možné vynutit:
- Na úrovni tenanta
- Na úrovni aplikace
- Pro konkrétní uživatele typu host, abyste chránili firemní aplikace a data
Nechte vlastníky aplikací a skupin spravovat vlastní uživatele typu host
Správu uživatelů typu host můžete delegovat na vlastníky aplikací, aby do libovolné aplikace, kterou chtějí sdílet, mohli přímo přidávat uživatele typu host. Přitom nezáleží, jestli je aplikace od Microsoftu.
- Správci nastaví samoobslužnou správu aplikace a skupiny.
- Uživatelé, kteří nejsou správci, použijí k přidání uživatelů typu host do aplikací nebo skupin přístupový panel.
Přizpůsobení prostředí onboardingu pro uživatele typu host B2B
Zapojte své externí partnery způsobem přizpůsobeným potřebám vaší organizace.
- Pomocí Azure AD správy nároků můžete nakonfigurovat zásady, které spravují přístup pro externí uživatele.
- Pomocí rozhraní API pro pozvánky ke spolupráci B2B si můžete přizpůsobit možnosti připojování.
Integrace se zprostředkovateli identit
Azure AD podporuje externí zprostředkovatele identit, jako jsou Facebook, účty Microsoft, Google nebo zprostředkovatele podnikových identit. Federaci můžete nastavit pomocí zprostředkovatelů identity. Externí uživatelé se tak budou moct přihlašovat pomocí stávajících sociálních nebo podnikových účtů, a ne vytvářet nový účet jenom pro vaši aplikaci. Přečtěte si další informace o zprostředkovatelích identit pro externí identity.
Integrace se SharePointem a OneDrivem
Můžete povolit integraci se SharePointem a OneDrivem a sdílet soubory, složky, položky seznamů, knihovny dokumentů a weby s lidmi mimo vaši organizaci a současně používat Azure B2B pro ověřování a správu. Uživatelé, se kterými sdílíte prostředky, jsou obvykle uživatelé typu host ve vašem adresáři a oprávnění a skupiny pro tyto hosty fungují stejně jako pro interní uživatele. Když povolíte integraci se SharePointem a OneDrivem, povolíte také funkci jednorázového hesla e-mailu v Azure AD B2B, která bude sloužit jako záložní metoda ověřování.
