Introducción a Id. externa de Microsoft Entra
Id. externa de Microsoft Entra combina soluciones eficaces para trabajar con personas de fuera de su organización. Con las capacidades de Id. externa, puedes permitir que las identidades externas accedan de forma segura a tus aplicaciones y recursos. Tanto si trabajas con asociados externos, consumidores o clientes empresariales, los usuarios pueden traer sus propias identidades. Estas identidades pueden variar de cuentas corporativas o emitidas por el gobierno a proveedores de identidades de redes sociales como Google o Facebook.
Estos escenarios se encuentran en el ámbito de Id. externa de Microsoft Entra:
Si eres una organización o un desarrollador que crea aplicaciones de consumidor, usa Id. externa para agregar rápidamente la autenticación y la administración de identidades y acceso de clientes (CIAM) a la aplicación. Registra la aplicación, crea experiencias de inicio de sesión personalizadas y administra los usuarios de la aplicación en un inquilino de Microsoft Entra en una configuración externa. Este inquilino es independiente de los empleados y los recursos de la organización.
Si quieres permitir que los empleados colaboren con socios comerciales e invitados, usa Id. externa para la colaboración B2B. Permite el acceso seguro a las aplicaciones empresariales mediante invitación o registro de autoservicio. Determina el nivel de acceso que los invitados tienen en el inquilino de Microsoft Entra que contiene los empleados y los recursos de la organización, que es un inquilino de una configuración de personal.
Id. externa de Microsoft Entra es una solución flexible para los desarrolladores de aplicaciones orientadas al consumidor que necesitan autenticación y CIAM, y también para empresas que buscan una colaboración B2B segura.
Protección de las aplicaciones para consumidores y clientes empresariales
Las organizaciones y desarrolladores pueden usar Id. externa en un inquilino externo como su solución CIAM al publicar sus aplicaciones en consumidores y clientes empresariales. Puedes crear un inquilino de Microsoft Entra independiente en una configuración externa, lo que te permite administrar las aplicaciones y las cuentas de usuario de forma separada de los empleados. En este inquilino, puedes configurar fácilmente experiencias de registro de la imagen de marca personalizadas y características de administración de usuarios:
Configura los flujos de registro de autoservicio que definen la serie de pasos de registro que siguen los clientes y los métodos de inicio de sesión que pueden usar (como correo electrónico y contraseña, códigos de acceso de un solo uso o cuentas de redes sociales de Google o Facebook).
Cree una apariencia personalizada para los usuarios que inician sesión en las aplicaciones; para ello, configure las opciones de Personalización de marca de la empresa para el inquilino en cuestión. Con esta configuración, puede agregar sus propias imágenes de fondo, colores, logotipos de la empresa y texto a fin de personalizar las experiencias de inicio de sesión en todas las aplicaciones.
Recopila información de los clientes durante el registro seleccionando en una serie de atributos de usuario integrados o agregando sus propios atributos personalizados.
Analiza la actividad del usuario y los datos de involucración para descubrir información valiosa que puede servirte a fin de tomar decisiones estratégicas e impulsar el crecimiento empresarial.
Con Id. externa, los clientes pueden iniciar sesión con una identidad que ya tienen. Puedes personalizar y controlar el modo en que los clientes se registran e inician sesión al usar las aplicaciones. Dado que estas capacidades de CIAM están integradas en Id. externa, también te beneficias de características de la plataforma Microsoft Entra, como seguridad mejorada, cumplimiento y escalabilidad.
Para obtener más detalles, consulta Información general de Id. externa de Microsoft Entra en inquilinos externos.
Colaboración con invitados empresariales
Colaboración B2B de Id. externa permite a los empleados colaborar con asociados comerciales externos. Puedes invitar a cualquier persona a iniciar sesión en tu organización de Microsoft Entra con sus propias credenciales para que puedan acceder a las aplicaciones y los recursos que quieras compartir con ellas. Usa la colaboración B2B cuando necesites permitir que los invitados empresariales accedan a tus aplicaciones de Office 365, aplicaciones de software como servicio (SaaS) y aplicaciones de línea de negocio. No hay credenciales asociadas a invitados empresariales. Lo que hacen es autenticarse con su organización principal o proveedor de identidades y, luego, tu organización comprueba la idoneidad del usuario para la colaboración de invitado.
Hay varias maneras de agregar invitados empresariales a tu organización para la colaboración:
Invitar a los usuarios a colaborar mediante sus cuentas de Microsoft Entra, cuentas Microsoft o identidades sociales que habilites, como Google. Un administrador puede usar el Centro de administración de Microsoft Entra o PowerShell para invitar a los usuarios a colaborar. Los usuarios inician sesión en los recursos compartidos con un proceso sencillo de canje con su cuenta profesional o educativa o con cualquier cuenta de correo electrónico.
Usar flujos de usuario de autoservicio de registro para permitir que los invitados se suscriban ellos mismos a las aplicaciones. La experiencia se puede personalizar para permitir el registro con una identidad profesional, educativa o de redes sociales (como Google o Facebook). También puede recopilar información sobre el usuario durante el proceso de registro.
Usar la administración de derechos de Microsoft Entra, una característica de gobernanza de identidades que le permite administrar la identidad y el acceso de los usuarios externos a gran escala mediante la automatización de los flujos de trabajo de solicitud de acceso, las asignaciones de acceso, la revisiones y la expiración.
Se crea un objeto de usuario para el invitado empresarial en el mismo directorio que los empleados. Este objeto de usuario se puede administrar como otros objetos de usuario en el directorio, agregarse a grupos, etc. Puede asignar permisos al objeto de usuario (para la autorización) y permitirles usar sus credenciales existentes (para la autenticación).
Puedes usar la configuración de acceso entre inquilinos para administrar la colaboración con otras organizaciones de Microsoft Entra y en las nubes de Microsoft Azure. Para la colaboración con organizaciones y usuarios externos que no son de Azure AD, usa la configuración de colaboración externa.
¿Qué son los inquilinos de "personal" y "externos"?
Un inquilino es una instancia dedicada y de confianza de Microsoft Entra ID que contiene los recursos de una organización, incluidas las aplicaciones registradas y un directorio de usuarios. Hay dos maneras de configurar un inquilino, en función de cómo la organización pretende usar el inquilino y los recursos que quieren administrar:
- Una configuración de inquilino de personal es un inquilino estándar de Microsoft Entra que contiene los empleados, las aplicaciones empresariales internas y otros recursos de la organización. En un inquilino de personal, los usuarios internos pueden colaborar con asociados empresariales externos e invitados mediante la colaboración B2B.
- Una configuración de inquilino externa se usa exclusivamente para las aplicaciones que quieres publicar en consumidores o clientes empresariales. Este inquilino distintivo sigue el modelo de inquilino estándar de Microsoft Entra, pero está configurado para escenarios de consumidor. Contiene los registros de aplicaciones y un directorio de cuentas de cliente o consumidor.
Para obtener más información, consulta Configuraciones de personal e inquilino externo en Id. externa de Microsoft Entra.
Comparación de los conjuntos de características de id. externa
En la tabla siguiente se comparan los escenarios que puedes habilitar con Id. externa.
Id. externa en inquilinos de personal | Identificador externo en los inquilinos externos | |
---|---|---|
Escenario principal | Permitir que tus empleados colaboren con invitados empresariales. Permitir que los invitados usen sus identidades preferidas para iniciar sesión en los recursos de tu organización de Microsoft Entra. Proporciona acceso a las aplicaciones de Microsoft o a sus propias aplicaciones (aplicaciones SaaS, aplicaciones desarrolladas de forma personalizada, etc.). Ejemplo: Invitar a un usuario externo a iniciar sesión en las aplicaciones de Microsoft o convertirse en miembro invitado en Teams. |
Publicar aplicaciones en consumidores externos y clientes empresariales mediante Id. externa para experiencias de identidad. Proporciona administración de identidades y acceso para aplicaciones SaaS modernas o desarrolladas de forma personalizada (no aplicaciones propias de Microsoft). Ejemplo: Crear una experiencia de inicio de sesión personalizada para los usuarios de la aplicación móvil del consumidor y supervisar el uso de la aplicación. |
Destinado a | Colaborar con socios comerciales de organizaciones externas como proveedores o asociados. Estos usuarios podrían tener o no Microsoft Entra ID o TI administrado. | Consumidores y clientes empresariales de la aplicación. Estos usuarios se administran en un inquilino de Microsoft Entra que está configurado para aplicaciones y usuarios externos. |
Administración de usuarios | Los usuarios de colaboración B2B se administran en el mismo inquilino de personal que los empleados, pero normalmente se les etiqueta como usuarios invitados. Los usuarios invitados pueden administrarse del mismo modo que los empleados, pueden agregarse a los mismos grupos, etc. La configuración del acceso entre inquilinos se puede usar para determinar qué usuarios tienen acceso a la colaboración B2B. | Los usuarios de la aplicación se administran en un inquilino externo que se crea para los consumidores de la aplicación. Los usuarios de un inquilino externo tienen permisos predeterminados diferentes que los usuarios de un inquilino de personal. Se administran en el inquilino externo, aparte del directorio de empleados de la organización. |
Inicio de sesión único (SSO) | Se admite el inicio de sesión único para todas las aplicaciones conectadas a Microsoft Entra. Por ejemplo, puede proporcionar acceso a Microsoft 365, o bien a aplicaciones locales y a otras aplicaciones SaaS como Salesforce o Workday. | Se admite el inicio de sesión único en las aplicaciones registradas en el inquilino externo. No se admite el inicio de sesión único en Microsoft 365 ni en otras aplicaciones SaaS de Microsoft. |
Personalización de marca de empresa | El estado predeterminado de la experiencia de autenticación tiene el aspecto de Microsoft. Los administradores pueden personalizar la experiencia de inicio de sesión de invitado con su personalización de marca de empresa. | La marca predeterminada para el inquilino externo es neutra y no incluye ninguna personalización de marca de Microsoft. Los administradores pueden personalizar la marca para la organización o por aplicación. Más información. |
Configuración de la nube de Microsoft | Admitido. | No aplicable. |
Administración de derechos | Compatible. | No aplicable. |
Tecnologías relacionadas
Hay varias tecnologías de Microsoft Entra que están relacionadas con la colaboración con usuarios y organizaciones externos. A medida que diseñes tu modelo de colaboración de Id. externa, ten en cuenta estas otras características.
Conexión directa B2B
La conexión directa B2B permite crear relaciones de confianza bidireccionales con otras organizaciones de Microsoft Entra para habilitar la característica de canales compartidos de Teams Connect. Esta característica permite a los usuarios iniciar sesión sin problemas en canales compartidos de Teams para chat, llamadas, uso compartido de archivos y uso compartido de aplicaciones. Cuando dos organizaciones habilitan mutuamente la conexión directa B2B, los usuarios se autentican en su organización principal y reciben un token de la organización de recursos para el acceso. A diferencia de la colaboración B2B, los usuarios de conexión directa B2B no se agregan como invitados a tu directorio de personal. Obtén más información sobre la conexión directa B2B en Id. externa de Microsoft Entra.
Una vez que hayas configurado la conexión directa B2B con una organización externa, las siguientes capacidades de canales compartidos de Teams estarán disponibles:
Un propietario de canal compartido puede buscar en Teams los usuarios permitidos de la organización externa y agregarlos al canal compartido.
Los usuarios externos pueden acceder al canal compartido de Teams sin tener que cambiar de organización o iniciar sesión con una cuenta diferente. Desde Teams, el usuario externo puede acceder a archivos y aplicaciones mediante la pestaña Archivos. Las directivas del canal compartido determinan el acceso del usuario.
Usa la configuración de acceso entre inquilinos para administrar las relaciones de confianza con otras organizaciones de Microsoft Entra y define las directivas de entrada y salida para la conexión directa B2B.
Para obtener más información sobre los recursos, archivos y aplicaciones que están disponibles para el usuario de conexión directa B2B a través del canal compartido de Teams, consulta Chat, equipos, canales, aplicaciones en Microsoft Teams.
Las licencias y la facturación se basan en usuarios activos mensuales (MAU). Obtén más información sobre el modelo de facturación de Id. externa de Microsoft Entra.
Azure Active Directory B2C
Azure Active Directory B2C (Azure AD B2C) es la solución heredada de Microsoft para la administración de identidades y el acceso de los clientes. Azure AD B2C incluye un directorio independiente basado en el consumidor que se administra en Azure Portal mediante el servicio Azure AD B2C. Cada inquilino de Azure AD B2C es independiente y distinto de otros inquilinos de Microsoft Entra ID y Azure AD B2C. La experiencia del portal de Azure AD B2C es similar a Microsoft Entra ID, pero hay diferencias importantes, como la posibilidad de personalizar los recorridos del usuario mediante Identity Experience Framework.
Para obtener más información sobre las diferencias entre un inquilino Azure AD B2C y un inquilino Microsoft Entra, consulta Características admitidas de Microsoft Entra en Azure AD B2C. Para obtener más información sobre cómo configurar y administrar Azure AD B2C, consulta la documentación de Azure AD B2C.
Administración de derechos de Microsoft Entra para el registro de invitados empresariales
Como una organización que invita, puede que no sepas de antemano qué colaboradores externos individuales necesitan acceso a tus recursos. Necesitas contar con una forma de que los usuarios de empresas asociadas se registren ellos mismos con unas directivas que tú controles. Para permitir que los usuarios de otras organizaciones soliciten acceso, puedes usar Administración de derechos de Microsoft Entra a fin de configurar directivas que administren el acceso para usuarios externos. Tras la aprobación, estos usuarios se aprovisionarán con cuentas de invitado y se asignarán a grupos, aplicaciones y sitios de SharePoint Online.
Acceso condicional
Las organizaciones pueden usar directivas de acceso condicional para mejorar su seguridad aplicando los controles de acceso adecuados, como MFA, a los usuarios externos.
Acceso condicional y MFA en inquilinos externos
En los inquilinos externos, las organizaciones pueden aplicar MFA a los clientes mediante la creación de una directiva de acceso condicional de Microsoft Entra y la adición de MFA para registrar e iniciar sesión en flujos de usuario. Los inquilinos externos admiten dos métodos para la autenticación como segundo factor:
- Código de acceso de un solo uso por correo electrónico: después de que el usuario inicie sesión con su correo electrónico y contraseña, se le solicita un código de acceso que se envía a su correo electrónico.
- Autenticación basada en SMS: SMS está disponible como un segundo método de autenticación en una fase para MFA para los usuarios de inquilinos externos. A los usuarios que inician sesión con correo electrónico y contraseña, correo electrónico y código de acceso de un solo uso, o identidades sociales como Google o Facebook, se les solicita la segunda comprobación mediante SMS.
Obtén más información acerca de los métodos de autenticación en los inquilinos externos.
Acceso condicional para la colaboración B2B y conexión directa B2B
En un inquilino de personal, las organizaciones pueden aplicar directivas de acceso condicional para usuarios externos de colaboración B2B y conexión directa B2B de la misma manera que están habilitadas para empleados a tiempo completo y miembros de la organización. En escenarios entre inquilinos de Microsoft Entra, si las directivas de acceso condicional requieren MFA o cumplimiento del dispositivo, ahora puedes confiar en las notificaciones correspondientes que envía la organización principal de un usuario externo. Cuando se habilita la configuración de confianza, durante la autenticación, Microsoft Entra ID comprueba las credenciales de un usuario de una notificación de MFA o una identidad del dispositivo para determinar si las directivas ya se cumplieron. En caso afirmativo, se concede al usuario externo un inicio de sesión completo en el recurso compartido. De lo contrario, se inicia un desafío de MFA o dispositivo en el inquilino principal del usuario. Obtén más información sobre el flujo de autenticación y el acceso condicional para usuarios externos en inquilinos de personal.
Aplicaciones multiinquilino
Si ofreces una aplicación de software como servicio (SaaS) a muchas organizaciones, puedes configurar tu aplicación para aceptar inicios de sesión de cualquier inquilino de Microsoft Entra. Esta operación se conoce como convertir una aplicación en multiinquilino. Los usuarios de cualquier inquilino de Microsoft Entra podrán iniciar sesión en tu aplicación después de dar su consentimiento para usar su cuenta con tu aplicación. Mira cómo habilitar los inicios de sesión de varios usuarios.
Organizaciones multiinquilino
Una organización multiinquilino es una organización que tiene más de una instancia de Microsoft Entra ID. Hay varias razones para contar con servicios multiinquilino. Por ejemplo, tu organización podría abarcar varias nubes o límites geográficos.
La funcionalidad de organización multiinquilino permite una colaboración sin problemas en Microsoft 365. Mejora la colaboración entre empleados en toda la organización de varios inquilinos en aplicaciones como Microsoft Teams y Microsoft Viva Engage.
La funcionalidad sincronización entre inquilinos es un servicio de sincronización unidireccional que garantiza que los usuarios pueden acceder a los recursos, sin recibir un correo electrónico de invitación y tener que aceptar un mensaje de consentimiento en cada inquilino.
Para obtener más información sobre las organizaciones multiinquilino y la sincronización entre inquilinos, consulta la documentación sobre organizaciones multiinquilino y la comparación de características.
Microsoft Graph API
Todas las características de id. externo también se admiten para la automatización a través de las API de Microsoft Graph, excepto las enumeradas en la sección siguiente. Para obtener más información, consulte Administración del acceso de red e identidad de Microsoft Entra mediante Microsoft Graph.
Funcionalidades no admitidas en Microsoft Graph
Característica de identificador externo | Compatible con | Soluciones alternativas de Automation |
---|---|---|
Identificar las organizaciones a las que pertenece | Inquilinos de personal | Inquilinos: enumerar la API de Azure Resource Manager. Para los canales compartidos de Teams y la conexión directa B2B, use Get tenantReferences Microsoft Graph API. |
Microsoft Entra Microsoft Graph API para la colaboración B2B
API de configuración de acceso entre inquilinos: las API de acceso entre inquilinos de Microsoft Graph permiten crear mediante programación la misma colaboración B2B y directivas de conexión directa B2B que se pueden configurar en Azure Portal. Con estas API, puede configurar directivas para la colaboración entrante y saliente. Por ejemplo, puedes permitir o bloquear características para todos de manera predeterminada y limitar el acceso a organizaciones, grupos, usuarios y aplicaciones específicos. Las API también permiten aceptar notificaciones de autenticación multifactor (MFA) y de dispositivo (notificaciones compatibles y notificaciones unidas a híbridos de Microsoft Entra) de otras organizaciones de Microsoft Entra.
Administrador de invitaciones de colaboración B2B: la API del administrador de invitaciones de Microsoft Graph está disponible para crear sus propias experiencias de incorporación para invitados empresariales. Puedes usar la API de creación de invitaciones para enviar automáticamente un correo electrónico de invitación personalizado directamente al usuario B2B, por ejemplo. O bien, la aplicación puede usar el valor de inviteRedeemUrl devuelto en la respuesta de creación para elaborar tu propia invitación (a través del mecanismo de comunicación elegido) al usuario invitado.