Información general: colaboración con invitados mediante Id. externa en inquilinos de los empleados
Id. externa de Microsoft Entra incluye funcionalidades de colaboración que permiten a los empleados trabajar de forma segura con asociados comerciales e invitados. La colaboración B2B en inquilinos de los empleados le permite compartir de forma segura las aplicaciones y los servicios de la empresa con invitados, al tiempo que mantiene el control sobre sus propios datos corporativos. Trabaje de forma segura con asociados externos incluso si no tienen Microsoft Entra ID o un departamento de TI.
Un proceso de invitación y canje sencillo permite a los asociados usar sus propias credenciales para acceder a los recursos de su empresa. También puede habilitar los flujos de usuario de registro de autoservicio para permitir que los invitados se suscriban a aplicaciones o recursos por sí mismos. Una vez que el invitado ha canjeado su invitación o completado el registro, se representa en el directorio como un objeto de usuario. El tipo de usuario para estos usuarios de colaboración B2B normalmente se establece en "invitado" y su nombre principal de usuario contiene el identificador #EXT#.
Los desarrolladores pueden usar las API de negocio a negocio de Microsoft Entra para personalizar el proceso de invitación o escribir aplicaciones como los portales de suscripción de autoservicio. Para obtener información sobre las licencias y los precios relacionados con los usuarios invitados, consulte Precios de Microsoft Entra External ID.
Importante
La característica de código de acceso de un solo uso por correo electrónico ahora está activada de manera predeterminada para todos los inquilinos nuevos y para los existentes en los que no se haya desactivado explícitamente. Cuando esta característica está desactivada, el método de autenticación de reserva consiste en solicitar invitaciones para crear una cuenta Microsoft.
Colaboración con cualquier asociado mediante sus identidades
Con B2B de Microsoft Entra, el asociado utiliza su propia solución de administración de identidades, así que no hay ninguna sobrecarga administrativa externa para su organización. Los usuarios invitados inician sesión en las aplicaciones y los servicios con sus propias identidades profesionales, educativas o sociales.
- El asociado usa sus propias identidades y credenciales, independientemente de que tengan o no una cuenta de Microsoft Entra.
- No es necesario administrar las cuentas externas o las contraseñas.
- No es necesario sincronizar las cuentas o administrar los ciclos de vida de las cuentas.
Administración de la colaboración B2B con otras organizaciones
La colaboración B2B está habilitada de forma predeterminada, pero una configuración de administración completa le permite controlar la colaboración B2B entrante y saliente con asociados y organizaciones externos.
Configuración del acceso entre inquilinos. Para la colaboración B2B con otras organizaciones de Microsoft Entra, use la configuración del acceso entre inquilinos para controlar qué usuarios pueden autenticarse con qué recursos. Administre la colaboración B2B entrante y saliente, y limite el acceso a usuarios, grupos y aplicaciones específicos. Establezca una configuración predeterminada que se aplique a todas las organizaciones externas y, luego, cree configuraciones individuales específicas de la organización según sea necesario. Mediante la configuración de acceso entre inquilinos, también puede confiar en la autenticación multifactor (MFA) y las notificaciones de dispositivo (notificaciones de compatibilidad y notificaciones de unión a Microsoft Entra híbrido) de otras organizaciones de Microsoft Entra.
Configuración de colaboración externa. Use la configuración de colaboración externa para definir quién puede invitar a otros a su organización como invitados. También puede permitir o bloquear dominios específicos de B2B y establecer restricciones en el acceso de los usuarios invitados al directorio.
Esta configuración se usa para administrar dos aspectos diferentes de la colaboración B2B. La configuración de acceso entre inquilinos controla si los usuarios pueden autenticarse con inquilinos externos de Microsoft Entra. Se aplica a la colaboración B2B entrante y saliente. Por el contrario, la configuración de la colaboración externa controla qué usuarios de su organización pueden enviar invitaciones de colaboración B2B a invitados de cualquier organización.
Funcionamiento conjunto de la configuración de colaboración externa y la configuración del acceso entre inquilinos
Cuando considere la posibilidad de una colaboración B2B con una organización externa específica de Microsoft Entra, determine si la configuración del acceso entre inquilinos permite la colaboración B2B con esa organización. Considere también si la configuración de colaboración externa permite a los usuarios enviar invitaciones al dominio de esa organización. Estos son algunos ejemplos:
Ejemplo 1: Anteriormente ha agregado
adatum.com(una organización de Microsoft Entra) a la lista de dominios bloqueados en la configuración de colaboración externa, pero la configuración del acceso entre inquilinos permite la colaboración B2B para todas las organizaciones de Microsoft Entra. En este caso, se aplica la configuración más restrictiva. La configuración de colaboración externa impide que los usuarios envíen invitaciones a los usuarios enadatum.com.Ejemplo 2: Permite la colaboración B2B con Fabrikam en la configuración de acceso entre inquilinos, pero luego agrega
fabrikam.coma los dominios bloqueados en la configuración de colaboración externa. Los usuarios no pueden invitar a nuevos invitados empresariales de Fabrikam, pero los invitados existentes de Fabrikam pueden seguir usando la colaboración B2B.
En el caso de los usuarios finales de colaboración B2B que realizan inicios de sesión entre inquilinos, aparece su personalización de marca de inquilino principal, incluso si no se especifica la personalización de marca personalizada. En el ejemplo siguiente, la personalización de marca de la empresa para Woodgrove Groceries aparece a la izquierda. En el ejemplo de la derecha se muestra la personalización de marca predeterminada para el inquilino principal del usuario.
Administración de la colaboración B2B con otras nubes de Microsoft
Los servicios en la nube de Microsoft Azure están disponibles en nubes nacionales independientes, que son instancias físicamente aisladas de Azure. Cada vez más, las organizaciones se encuentran con la necesidad de colaborar con organizaciones y usuarios en los límites de la nube global y la nube nacional. Con la configuración de la nube de Microsoft, puede establecer una colaboración B2B mutua entre las siguientes nubes de Microsoft Azure:
- Nube global de Microsoft Azure y Microsoft Azure Government
- Nube global de Microsoft Azure y Microsoft Azure operado por 21Vianet
Para configurar la colaboración B2B entre inquilinos en nubes diferentes, ambos inquilinos deben configurar sus opciones de nube de Microsoft para permitir la colaboración con la otra nube. Después, cada inquilino debe configurar el acceso entre inquilinos entrante y saliente con el inquilino en la otra nube. Consulte Configuración de la nube de Microsoft para obtener más información.
Invite fácilmente a usuarios invitados del Centro de administración de Microsoft Entra
Como administrador, es posible agregar fácilmente a usuarios invitados a la organización en el centro de administración.
- Cree un usuario invitado en Microsoft Entra ID, de forma similar a cómo se agrega un nuevo usuario.
- Asigne los usuarios invitados a las aplicaciones o los grupos.
- Envíe una invitación por correo electrónico que contenga un vínculo de canje o envíe un vínculo directo a una aplicación que desee compartir.
- Los usuarios invitados siguen unos pasos de canje sencillos para iniciar sesión.
Concesión de permiso del registro de autoservicio
Con un flujo de usuario de registro de autoservicio, puede crear una experiencia de registro para los invitados que quieran tener acceso a sus aplicaciones. Como parte del flujo de registro, puede proporcionar opciones para diferentes proveedores de identidades sociales o empresariales y recopilar información sobre el usuario. Obtenga información sobre el registro de autoservicio y cómo configurarlo.
También puede usar conectores de API para integrar los flujos de usuarios de registro de autoservicio con sistemas en la nube externos. Puede conectarse con flujos de trabajo de aprobación personalizados, realizar la comprobación de identidades, validar la información proporcionada por el usuario, etc.
Uso de directivas para compartir de forma segura sus aplicaciones y servicios
Puede usar las directivas de autenticación y autorización para proteger el contenido corporativo. Las directivas de acceso condicional, como la autenticación multifactor, se pueden aplicar:
- En el nivel de inquilino
- En el nivel de aplicación
- A usuarios invitados específicos para proteger los datos y las aplicaciones empresariales
Permitir que los propietarios de aplicaciones y grupos administren sus propios usuarios invitados
Puede delegar la administración de usuarios invitados a los propietarios de aplicaciones para que puedan agregar usuarios invitados directamente a cualquier aplicación que deseen compartir, ya sea una aplicación de Microsoft o no.
- Los administradores configuran la administración de aplicaciones y grupos de autoservicio.
- Los usuarios no administradores usan su panel de acceso para agregar usuarios invitados a aplicaciones o grupos.
Personalización de la experiencia de incorporación de usuarios invitados de B2B
Incorpore a los asociados externos de manera personalizada según las necesidades de su organización.
- Use la administración de derechos de Microsoft Entra para configurar directivas que administren el acceso para los usuarios externos.
- Use la API de invitación de colaboración B2B para personalizar las experiencias de incorporación.
Integración con proveedores de identidades
Microsoft Entra External ID admite proveedores de identidades externos (como Facebook), cuentas de Microsoft, Google o proveedores de identidades empresariales. Puede configurar la federación con proveedores de identidades. De este modo, los invitados pueden iniciar sesión con sus cuentas empresariales o sociales existentes en lugar de crear una nueva cuenta solo para la aplicación. Más información sobre los proveedores de identidades para External ID.
Integración con SharePoint y OneDrive
Puede habilitar la integración con SharePoint y OneDrive para compartir archivos, carpetas, elementos de lista, bibliotecas de documentos y sitios con personas ajenas a la organización, mientras usa Azure B2B para la autenticación y administración. Los usuarios con los que comparte recursos suelen ser típicamente usuarios invitados en el directorio, y los permisos y grupos funcionan de la misma manera para estos invitados que como lo hacen para los usuarios internos. Al habilitar la integración con SharePoint y OneDrive, también habilitará la característica de código de acceso de un solo uso de correo electrónico en B2B de Microsoft Entra para que sirva como método de autenticación de reserva.
