Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L'ID externe Microsoft Entra associe des solutions puissantes vous permettant de collaborer avec des personnes extérieures à votre organisation. Grâce aux fonctionnalités de l'ID externe, vous pouvez autoriser les identités externes à accéder de manière sécurisée à vos applications et ressources. Que vous collaboriez avec des partenaires externes, des consommateurs ou des clients professionnels, les utilisateurs peuvent apporter leur propre identité. Ces identités peuvent être associées à des comptes d'entreprise ou des comptes émis par une administration ou encore à des fournisseurs d'identité sociale tels que Google ou Facebook.
Ces scénarios entrent dans l'étendue de l'ID externe Microsoft Entra :
Si vous êtes une organisation ou un développeur qui crée des applications grand public, utilisez l'ID externe pour ajouter rapidement l'authentification ainsi que la gestion des identités et des accès client (CIAM) à votre application. Inscrivez votre application, créez des expériences de connexion personnalisées, et gérez les utilisateurs de votre application au sein d'un locataire Microsoft Entra dans une configuration externe. Ce locataire est distinct de vos employés et des ressources de votre organisation.
Si vous souhaitez permettre à vos employés de collaborer avec des partenaires commerciaux et des invités, utilisez l'ID externe pour une collaboration B2B. Autorisez un accès sécurisé à vos applications d'entreprise via une invitation ou une inscription en libre-service. Déterminez le niveau d'accès des invités au locataire Microsoft Entra, qui contient vos employés et les ressources de votre organisation, et qui est un locataire dans une configuration de personnel.
L'ID externe Microsoft Entra est une solution flexible pour les développeurs d'applications grand public, qui ont besoin de fonctionnalités d'authentification et de gestion des identités et des accès client, ainsi que pour les entreprises qui recherchent une collaboration B2B sécurisée.
Sécurisez vos applications pour les consommateurs et les clients professionnels
Les organisations et les développeurs peuvent utiliser l'ID externe dans un locataire externe comme solution CIAM quand ils publient leurs applications à destination des consommateurs et des clients professionnels. Vous pouvez créer un locataire Microsoft Entra distinct dans une configuration externe, ce qui vous permet de gérer vos applications et vos comptes d'utilisateur séparément de votre personnel. Au sein de ce locataire, vous pouvez facilement configurer des expériences d'inscription et des fonctionnalités de gestion des utilisateurs personnalisées :
Mettez en place des flux d'inscription en libre-service qui définit la série d'étapes d'inscription que les clients doivent suivre et les méthodes d'inscription qu'ils peuvent utiliser, comme un e-mail et un mot de passe, un code secret à usage unique, ou un compte social de Google ou de Facebook.
Créez une apparence personnalisée pour les utilisateurs qui se connectent à vos applications en configurant les paramètres de personnalisation de l'entreprise pour votre locataire. Ces paramètres vous permettent d'ajouter vos propres images d'arrière-plan, couleurs, logos d'entreprise et texte pour personnaliser les expériences de connexion dans vos applications.
Collectez des informations auprès des clients pendant l'inscription en sélectionnant des attributs utilisateur intégrés ou en ajoutant vos propres attributs personnalisés.
Analysez les données relatives à l'activité et à l'engagement des utilisateurs pour découvrir des informations précieuses, qui peuvent contribuer à la prise de décisions stratégiques et à la croissance de l'entreprise.
L'ID externe permet aux clients de se connecter avec une identité qu'ils ont déjà. Vous pouvez personnaliser et contrôler la façon dont les clients s'inscrivent et se connectent quand ils utilisent vos applications. Étant donné que ces fonctionnalités CIAM sont intégrées à l'ID externe, vous bénéficiez également des fonctionnalités de la plate-forme Microsoft Entra, telles qu'une sécurité, une conformité et une évolutivité améliorées.
Pour plus d'informations, consultez Vue d'ensemble de l'ID externe Microsoft Entra dans les locataires externes.
Collaborez avec des invités professionnels
La collaboration B2B de l'ID externe permet à votre personnel de collaborer avec des partenaires commerciaux externes. Vous pouvez inviter n'importe qui à se connecter à votre organisation Microsoft Entra à l'aide de ses propres informations d'identification afin que cette personne puisse accéder aux applications et aux ressources que vous souhaitez partager avec elle. Utilisez la collaboration B2B quand vous devez autoriser des invités professionnels à accéder à vos applications Office 365, à vos applications SaaS (Software as a Service) et à vos applications métier. Aucune information d'identification n'est associée aux invités professionnels. Au lieu de cela, ils s'authentifient auprès de leur organisation ou fournisseur d'identité, puis votre organisation vérifie l'éligibilité de l'utilisateur pour la collaboration d'utilisateurs invités.
Il existe plusieurs façons d'ajouter des invités professionnels à votre organisation pour la collaboration B2B :
Invitez les utilisateurs à collaborer à l'aide de leurs comptes Microsoft Entra, comptes Microsoft ou identités sociales que vous activez, comme Google. Un administrateur peut utiliser le centre d'administration Microsoft Entra ou PowerShell pour inviter des utilisateurs à collaborer. Les utilisateurs se connectent aux ressources partagées à l’aide d’un processus simple d’invitation et d’échange, en utilisant leur compte professionnel ou scolaire, ou n’importe quel autre compte de messagerie.
Utilisez des flux d'utilisateurs d'inscription en libre-service pour permettre aux invités de s'inscrire à des applications. Cette expérience peut être personnalisée pour permettre l’inscription à l’aide d’une identité professionnelle, scolaire ou sociale (comme Google ou Facebook). Vous pouvez également collecter des informations sur l’utilisateur lors du processus d’inscription.
Utilisez la gestion des droits d'utilisation Microsoft Entra, une fonction de gouvernance des identités qui vous permet de gérer l'identité et l'accès des utilisateurs externes à l'échelle en automatisant les flux de demandes d'accès, les attributions d'accès, les révisions et les expirations.
Un objet utilisateur est créé pour l'invité professionnel au sein du même annuaire que celui de vos employés. Cet objet utilisateur peut être géré comme les autres objets utilisateur de votre annuaire, ajoutés à des groupes, etc. Vous pouvez affecter des autorisations à l’objet utilisateur (pour l’autorisation) tout en lui permettant d’utiliser ses informations d’identification existantes (pour l’authentification).
Vous pouvez utiliser les paramètres d'accès inter-locataires pour gérer la collaboration avec d'autres organisations Microsoft Entra et sur l'ensemble des clouds Microsoft Azure. Pour la collaboration avec des utilisateurs et organisations externes non Azure AD, utilisez les paramètres de collaboration externe.
Qu'est-ce que les locataires de « personnel » et les locataires « externes » ?
Un locataire est une instance dédiée et approuvée de Microsoft Entra ID qui contient les ressources d'une organisation, notamment les applications inscrites et un annuaire d'utilisateurs. Il existe deux modes de configuration d'un locataire, selon la façon dont l'organisation compte l'utiliser, et les ressources qu'elle souhaite gérer :
- Une configuration de locataire de personnel correspond à un locataire Microsoft Entra standard qui contient vos employés, vos applications métier internes et d'autres ressources de votre organisation. Dans un locataire de personnel, vos utilisateurs internes peuvent collaborer avec des partenaires commerciaux et des invités externes grâce à la collaboration B2B.
- Une configuration de locataire externe est utilisée exclusivement pour les applications que vous souhaitez publier à l'intention des consommateurs ou des clients professionnels. Ce locataire distinct suit le modèle de locataire Microsoft Entra standard, mais il est configuré pour les scénarios grand public. Il contient vos inscriptions d'applications ainsi qu'un annuaire de comptes consommateur ou client.
Pour plus d'informations, consultez Configurations de locataires externes et de personnel dans l'ID externe Microsoft Entra.
Comparaison des ensembles de fonctionnalités de l'ID externe
Le tableau suivant compare les scénarios que vous pouvez activer avec l'ID externe.
| ID externe dans les locataires de personnel | ID externe dans les locataires externes | |
|---|---|---|
| Scénario principal | Autorisez votre personnel à collaborer avec des invités professionnels. Permettez aux invités d'utiliser leurs identités préférées pour se connecter aux ressources de votre organisation Microsoft Entra. Permet d'accéder aux applications Microsoft ou à vos propres applications (applications SaaS, applications développées sur mesure, etc.). Exemple : Invitez un utilisateur invité à se connecter à vos applications Microsoft ou à devenir membre invité dans Teams. |
Publiez des applications pour les consommateurs externes et les clients professionnels à l'aide de l'ID externe pour les expériences d'identité. Fournit la gestion des identités et des accès pour les applications personnalisées ou SaaS modernes (pas les applications Microsoft internes). Par exemple : Créez une expérience de connexion personnalisée pour les utilisateurs de votre application mobile grand public, et surveillez son utilisation. |
| Usage prévu | Collaboration avec des partenaires commerciaux d’organisations externes tels que des fournisseurs, des partenaires et des distributeurs. Ces utilisateurs peuvent disposer ou non de Microsoft Entra ID ou de services IT managés. | Les consommateurs et clients professionnels de votre application. Ces utilisateurs sont gérés dans un locataire Microsoft Entra configuré pour les applications et les utilisateurs externes. |
| Gestion des utilisateurs | Les utilisateurs de collaboration B2B sont gérés dans le même locataire de personnel que les employés, mais sont généralement annotés en tant qu'utilisateurs invités. Les utilisateurs invités peuvent être gérés de la même façon que les employés, ajoutés aux mêmes groupes, etc. Les paramètres d'accès inter-locataires peuvent être utilisés pour déterminer quels utilisateurs ont accès à la collaboration B2B. | Les utilisateurs d'application sont gérés dans un locataire externe que vous créez pour les consommateurs de votre application. Les utilisateurs d'un locataire externe disposent d'autorisations par défaut différentes de celles des utilisateurs d'un locataire de personnel. Ils sont gérés dans le locataire externe, indépendamment de l'annuaire des employés de l'organisation. |
| Authentification unique (SSO) | L'authentification unique pour toutes les applications connectées à Microsoft Entra est prise en charge. Par exemple, vous pouvez donner accès à des applications Microsoft 365 ou des applications locales, et à d’autres applications SaaS telles que Salesforce ou Workday. | L'authentification SSO pour les applications inscrites dans le locataire externe est prise en charge. L’authentification unique auprès de Microsoft 365 ou d’autres applications SaaS Microsoft n’est pas prise en charge. |
| Personnalisation de l'entreprise | L'état par défaut de l'expérience d'authentification est une apparence Microsoft. Les administrateurs peuvent personnaliser l'expérience de connexion des invités avec la marque de leur entreprise. | La personnalisation par défaut du locataire externe est neutre et n'inclut pas de personnalisation Microsoft. Les administrateurs peuvent effectuer cette personnalisation en fonction de l'organisation ou de l'application. En savoir plus. |
| Paramètres du cloud Microsoft | Pris en charge. | Non applicable. |
| Gestion des droits d'utilisation | Pris en charge. | Non applicable. |
Technologies associées
Plusieurs technologies de Microsoft Entra sont liées à la collaboration avec des utilisateurs et des organisations externes. Au fur et à mesure que vous concevez votre modèle de collaboration External ID, tenez compte de ces autres fonctionnalités.
Connexion directe B2B
La connexion directe B2B vous permet de créer des relations d'approbation bidirectionnelles avec d'autres organisations Microsoft Entra pour activer la fonctionnalité des canaux partagés Teams Connect. Cette fonctionnalité permet aux utilisateurs de se connecter en toute transparence aux canaux partagés Teams pour la conversation, les appels, le partage de fichiers et le partage d'applications. Lorsque deux organisations activent mutuellement la connexion directe B2B, les utilisateurs s’authentifient dans leur propre organisation et reçoivent un jeton de l’organisation de ressources pour y accéder. Contrairement à la collaboration B2B, les utilisateurs de la connexion directe B2B ne sont pas ajoutés en tant qu'invités à votre annuaire du personnel. En savoir plus sur la connexion directe B2B dans l'ID externe Microsoft Entra.
Une fois que vous avez configuré la connexion directe B2B avec une organisation externe, les fonctionnalités de canaux partagés Teams deviennent disponibles :
Le propriétaire d'un canal partagé peut rechercher dans Teams des utilisateurs autorisés de l'organisation externe et les ajouter au canal partagé.
Les utilisateurs externes peuvent accéder au canal partagé Teams sans avoir à basculer entre les organisations ou à se connecter avec un autre compte. À partir de Teams, l'utilisateur externe peut accéder aux fichiers et aux applications par le biais de l'onglet Fichiers. Les stratégies du canal partagé déterminent l'accès de l'utilisateur.
Vous utilisez les paramètres d'accès inter-locataires pour gérer les relations d'approbation avec d'autres organisations Microsoft Entra et définir des stratégies entrantes et sortantes pour la connexion directe B2B.
Pour plus d’informations sur les ressources, les fichiers et les applications disponibles pour l’utilisateur de la connexion directe B2B via le canal partagé Teams, consultez les applications Conversation, équipes, canaux, & dans Microsoft Teams.
Les licences et la facturation sont basées sur le nombre d'utilisateurs actifs mensuels (MAU). En savoir plus sur le modèle de facturation pour l'ID externe Microsoft Entra.
Azure Active Directory B2C
Importante
À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez Azure AD B2C est-il toujours disponible pour l’achat ? dans notre FAQ.
Azure Active Directory B2C (Azure AD B2C) est la solution héritée de Microsoft pour la gestion des identités et des accès clients. Azure AD B2C comprend un annuaire distinct basé sur le consommateur que vous gérez dans le portail Azure par le biais du service Azure AD B2C. Chaque locataire Azure AD B2C est séparé et distinct des autres locataires Microsoft Entra ID et Azure AD B2C. L'expérience du portail Azure AD B2C est semblable à Microsoft Entra ID, mais il existe des différences clés, comme la possibilité de personnaliser vos parcours utilisateur à l'aide d'Identity Experience Framework.
Pour plus d'informations sur les différences entre un locataire Azure AD B2C et un locataire Microsoft Entra, consultez Fonctionnalités Microsoft Entra prises en charge dans Azure AD B2C. Pour plus d’informations sur la configuration et la gestion d’Azure AD B2C, consultez la documentation Azure AD B2C.
Gestion des droits d'utilisation Microsoft Entra pour l'inscription des invités professionnels
En tant qu’organisation invitante, vous ne pouvez pas savoir à l’avance quels collaborateurs externes auront besoin d’accéder à vos ressources. Vos devez disposer d’un moyen de permettre à des utilisateurs d’entreprises partenaires de s’inscrire avec les stratégies que vous contrôlez. Pour permettre aux utilisateurs d'autres organisations de demander un accès, vous pouvez utiliser la gestion des droits d'utilisation Microsoft Entra afin de configurer des stratégies qui gèrent l'accès des utilisateurs externes. Après approbation, ces utilisateurs se verront attribuer des comptes invités et seront affectés à des groupes, des applications et des sites SharePoint Online.
Accès conditionnel
Les organisations peuvent utiliser des stratégies d'accès conditionnel pour améliorer leur sécurité en appliquant les contrôles d'accès appropriés, tels que l'authentification multifacteur, aux utilisateurs externes.
Accès conditionnel et MFA dans les locataires externes
Dans les locataires externes, les organisations peuvent appliquer l'authentification multifacteur pour les clients en créant une stratégie d'accès conditionnel Microsoft Entra et en ajoutant l'authentification multifacteur aux flux d'inscription et de connexion d'utilisateurs. Les locataires externes prennent en charge deux méthodes d'authentification comme second facteur :
- Code secret à usage unique par e-mail : une fois que l'utilisateur se connecte avec son e-mail et son mot de passe, il est invité à entrer un code secret qui lui est envoyé par e-mail.
- Authentification par SMS : le SMS peut être utilisé comme second facteur d'authentification pour l'authentification multifacteur pour les utilisateurs dans des locataires externes. Les utilisateurs qui se connectent avec leur e-mail et leur mot de passe, leur e-mail et leur mot de passe unique, ou des identités sociales telles que Google ou Facebook, sont invités à procéder à une deuxième vérification par SMS.
En savoir plus sur les méthodes d'authentification dans les locataires externes.
Accès conditionnel pour B2B Collaboration et connexion directe B2B
Dans un locataire de personnel, les organisations peuvent appliquer des stratégies d'accès conditionnel pour les utilisateurs externes de la collaboration B2B et de la connexion directe B2B de la même façon que pour les employés à plein temps et les membres de l'organisation. Pour les scénarios Microsoft Entra inter-locataires, si vos stratégies d'accès conditionnel requièrent l'authentification multifacteur ou la conformité des appareils, vous pouvez désormais approuver les revendications MFA et de conformité des appareils à partir de l'organisation d'un utilisateur externe. Lorsque les paramètres d'approbation sont activés, lors de l'authentification, Microsoft Entra ID vérifie les informations d'identification d'un utilisateur pour une revendication MFA ou un ID d'appareil pour déterminer si les stratégies ont déjà été appliquées. Si c'est le cas, l'utilisateur externe bénéficie d'une connexion transparente à votre ressource partagée. Dans le cas contraire, une authentification MFA ou un défi d'appareil est initié dans le locataire de l'utilisateur. En savoir plus sur le processus d'authentification et l'accès conditionnel pour les utilisateurs externes dans les locataires de personnel.
Applications mutualisées
Si vous proposez une application SaaS (Software as a Service) à de nombreuses organisations, vous pouvez configurer votre application pour accepter des connexions à partir de tout locataire Microsoft Entra. Cette configuration est appelée quand vous rendez votre application multilocataire. Les utilisateurs de n'importe quel locataire Microsoft Entra pourront se connecter à votre application après votre consentement afin d'utiliser leur compte avec votre application. Consultez Comment activer les connexions mutualisées.
Organisations multitenant
Une organisation multilocataire est une organisation qui a plusieurs instances de Microsoft Entra ID. Il existe diverses raisons d'opter pour l'architecture multilocataire. Par exemple, votre organisation peut s'étendre sur plusieurs clouds ou délimitations géographiques.
La fonctionnalité d'organisation multilocataire permet une collaboration transparente dans Microsoft 365. Elle améliore les expériences de collaboration des employés au sein de votre organisation de plusieurs locataires, dans les applications telles que Microsoft Teams et Microsoft Viva Engage.
La fonctionnalité de synchronisation entre clients est un service de synchronisation unidirectionnel, qui permet aux utilisateurs d'accéder aux ressources sans avoir à recevoir d'e-mail d'invitation, et sans devoir accepter une invite de consentement dans chaque locataire.
Pour en savoir plus sur les organisations multilocataires et la synchronisation entre clients, consultez la documentation sur les organisations multilocataires et la comparaison des fonctionnalités.
API Microsoft Graph
Toutes les fonctionnalités de l'ID externe sont également prises en charge pour l'automatisation via les API Microsoft Graph, à l'exception de celles répertoriées dans la section suivante. Pour plus d'informations, consultez Gérer l'identité Microsoft Entra et l'accès réseau à l'aide de Microsoft Graph.
Fonctionnalités non prises en charge dans Microsoft Graph
| Fonctionnalité de l'ID externe | Pris en charge dans | Solutions de contournement de l'automatisation |
|---|---|---|
| Identifier les organisations auxquelles vous appartenez | Locataires de personnel | Locataires – Répertorier l'API Azure Resource Manager. Pour les canaux partagés Teams et la connexion directe B2B, utilisez l'API Microsoft Graph Get tenantReferences. |
API Microsoft Graph de Microsoft Entra pour la collaboration B2B
Les API des paramètres d'accès inter-locataires : les API d'accès inter-locataires Microsoft Graph vous permettent de créer par programmation les stratégies de collaboration B2B et de connexion directe B2B qui sont configurables dans le portail Azure. À l'aide de ces API, vous pouvez configurer des stratégies pour la collaboration entrante et sortante. Par exemple, vous pouvez autoriser ou bloquer des fonctionnalités pour tout le monde par défaut, et limiter l'accès à des organisations, des groupes, des utilisateurs et des applications spécifiques. Les API vous permettent également d'accepter l'authentification multifacteur (MFA) et les revendications d'appareil (revendications conformes et jointes via la jonction Microsoft Entra hybride) provenant d'autres organisations Microsoft Entra.
Gestionnaire d'invitations à la collaboration B2B : l'API du gestionnaire d'invitations dans Microsoft Graph est disponible pour créer vos propres expériences d'intégration pour les invités professionnels. Vous pouvez utiliser l’API Créer une invitation pour envoyer automatiquement un e-mail d’invitation personnalisé directement à l’utilisateur B2B, par exemple. Votre application peut aussi utiliser l’inviteRedeemUrl retourné dans la réponse de création pour créer votre propre invitation (par le biais du mécanisme de communication de votre choix) pour l’utilisateur invité.