Concevoir une solution pour les identités externes
Microsoft Entra External ID combine des solutions puissantes pour travailler avec des personnes extérieures à votre organisation. Avec les fonctionnalités d’ID externe, vous pouvez autoriser les identités externes à accéder en toute sécurité à vos applications et ressources. Que vous travailliez avec des partenaires externes, des consommateurs ou des clients professionnels, les utilisateurs peuvent apporter leurs propres identités. Ces identités peuvent aller de comptes d’entreprise ou gouvernementaux à des fournisseurs d’identité sociale tels que Google ou Facebook.
Ces scénarios relèvent de l’ID externe Microsoft Entra :
Si vous êtes une organisation ou un développeur qui crée des applications grand public, utilisez l’ID externe pour ajouter rapidement l’authentification et la gestion des identités et des accès client (CIAM) à votre application. Inscrivez votre application, créez des expériences de connexion personnalisées et gérez les utilisateurs de votre application dans un locataire Microsoft Entra dans une configuration externe. Ce locataire est distinct de vos employés et des ressources organisationnelles.
Si vous souhaitez permettre à vos employés de collaborer avec des partenaires commerciaux et des invités, utilisez l’ID externe pour B2B Collaboration. Autorisez l’accès sécurisé à vos applications d’entreprise via l’invitation ou l’inscription en libre-service. Déterminez le niveau d’accès des invités au locataire Microsoft Entra qui contient vos employés et vos ressources organisationnelles, qui est un locataire dans une configuration employés.
Microsoft Entra External ID est une solution flexible pour les développeurs d’applications orientés consommateurs qui ont besoin de l’authentification et du CIAM, et les entreprises cherchant une collaboration B2B sécurisée.
Les sections qui suivent décrivent les deux scénarios, mais tout d’abord, il est important de comprendre la terminologie utilisée dans chacun des deux scénarios.
Un client est une instance dédiée et approuvée de Microsoft Entra ID qui contient les ressources d'une organisation, y compris les applications enregistrées et un répertoire d'utilisateurs. Il existe deux façons de configurer un locataire, selon la façon dont l’organisation a l’intention d’utiliser le locataire et les ressources qu’elle souhaite gérer :
- Une configuration de locataire employés est un locataire Microsoft Entra standard qui contient vos employés, vos applications métier internes et d’autres ressources organisationnelles. Dans un espace de travail, vos utilisateurs internes peuvent collaborer avec des partenaires commerciaux externes et des invités grâce à la collaboration B2B.
- Une configuration de locataire externe est utilisée exclusivement pour les applications que vous souhaitez publier auprès de consommateurs ou de clients professionnels. Ce locataire distinct suit le modèle de locataire Microsoft Entra standard, mais est configuré pour les scénarios de consommateur. Il contient vos inscriptions d’application et un répertoire de comptes consommateurs ou clients.
Sécuriser vos applications pour les consommateurs et les clients professionnels
La solution ID externe Microsoft Entra comprend la gestion des identités et des accès des clients (CIAM) de Microsoft. Pour les organisations et les entreprises qui veulent mettre leurs applications à la disposition des consommateurs et des clients professionnels, ID externe facilite l’ajout de fonctionnalités de gestion des identités et des accès des clients (CIAM), telles que l’inscription en libre-service, les expériences de connexion personnalisées et la gestion des comptes clients. Étant donné que ces fonctionnalités CIAM sont intégrées à Microsoft Entra ID, vous bénéficiez également de fonctionnalités de plate-forme telles qu'une sécurité, une conformité et une évolutivité améliorées.
Les organisations et les développeurs utilisent l'ID externe dans une instance externe comme solution CIAM lorsqu'ils publient leurs applications destinées aux consommateurs et aux entreprises. Vous pouvez créer un locataire Microsoft Entra distinct dans une configuration externe, ce qui vous permet de gérer vos applications et comptes d’utilisateur séparément de votre personnel. Dans ce tenant, vous pouvez facilement configurer des processus d'inscription personnalisés et des fonctionnalités de gestion des utilisateurs:
Configurez des flux d’inscription en libre-service qui définissent la série de étapes d’inscription que les clients suivent et les méthodes de connexion qu’ils peuvent utiliser, telles que l’e-mail et le mot de passe, les codes secrets à usage unique ou les comptes sociaux de Google ou Facebook.
Créez une apparence et une expérience personnalisées pour les utilisateurs qui se connectent à vos applications en configurant les paramètres de branding de l'entreprise pour votre instance. Avec ces paramètres, vous pouvez ajouter vos propres images d’arrière-plan, couleurs, logos d’entreprise et texte pour personnaliser les expériences de connexion dans vos applications.
Collectez des informations auprès des clients lors de l’inscription en sélectionnant une série d’attributs utilisateur intégrés ou en ajoutant vos propres attributs personnalisés.
Analysez les données d’activité et d’engagement des utilisateurs pour découvrir des insights précieux qui peuvent aider les décisions stratégiques et stimuler la croissance de l’entreprise.
Avec l’ID externe, les clients peuvent se connecter avec une identité dont ils disposent déjà. Vous pouvez personnaliser et contrôler la façon dont les clients s’inscrivent et se connectent lors de l’utilisation de vos applications. Étant donné que ces fonctionnalités CIAM sont intégrées à l’ID externe, vous bénéficiez également des fonctionnalités de plateforme Microsoft Entra telles que la sécurité, la conformité et l’extensibilité améliorées.
Pour plus d’informations, consultez Vue d’ensemble de l’ID externe Microsoft Entra dans les locataires externes.
Collaborer avec des invités professionnels
La collaboration B2B via le service ID externe permet à vos employés de collaborer avec des partenaires commerciaux externes. Vous pouvez inviter toute personne à se connecter à votre organisation Microsoft Entra à l’aide de ses propres informations d’identification afin qu’elle puisse accéder aux applications et ressources que vous souhaitez partager avec eux. Utilisez B2B Collaboration lorsque vous devez permettre aux invités professionnels d’accéder à vos applications Office 365, aux applications SaaS (software-as-a-service) et aux applications métier. Aucune information d’identification n’est associée aux invités professionnels. Au lieu de cela, ils s’authentifient auprès de leur organisation ou fournisseur d’identité, puis votre organisation vérifie l’éligibilité de l’utilisateur pour la collaboration invité.
Il existe différentes façons d’ajouter des invités professionnels à votre organisation pour la collaboration :
Invitez les utilisateurs à collaborer à l’aide de leurs comptes Microsoft Entra, comptes Microsoft ou identités sociales que vous activez, comme Google. Un administrateur peut utiliser le Centre d’administration Microsoft Entra ou PowerShell pour inviter les utilisateurs à collaborer. L’utilisateur se connecte aux ressources partagées à l’aide d’un processus de validation simple avec son compte de messagerie professionnel, scolaire ou autre.
Utilisez des flux d'inscription en libre-service pour que les invités s'inscrivent eux-mêmes aux applications. L’expérience peut être personnalisée pour permettre l’inscription avec une identité professionnelle, scolaire ou sociale (comme Google ou Facebook). Vous pouvez également collecter des informations sur l’utilisateur pendant le processus d’inscription.
Utilisez la gestion des droits d’utilisation de Microsoft Entra, une fonctionnalité de gouvernance des identités qui vous permet de gérer l’identité et l’accès pour les utilisateurs externes à grande échelle en automatisant les flux de travail de demande d’accès, les affectations d’accès, les révisions et l’expiration.
Un objet utilisateur est créé pour l’invité professionnel dans le même répertoire que vos employés. Cet objet utilisateur peut être géré comme d’autres objets utilisateur dans votre annuaire, ajoutés à des groupes, et ainsi de suite. Vous pouvez attribuer des autorisations à l’objet utilisateur (pour l’autorisation) tout en leur permettant d’utiliser leurs informations d’identification existantes (pour l’authentification).
Vous pouvez utiliser les paramètres d’accès interlocataire pour gérer la collaboration avec d’autres organisations Microsoft Entra et dans les clouds Microsoft Azure. Pour la collaboration avec des utilisateurs externes et des organisations non Azure AD, utilisez des paramètres de collaboration externe.
Comparaison des ensembles de fonctionnalités d’ID externe
Le tableau suivant compare les scénarios que vous pouvez activer avec l’ID externe.
| ID externe dans les tenants de main-d’œuvre | ID externe dans des locataires externes | |
|---|---|---|
| Scénario principal | Permettre à votre personnel de collaborer avec des invités professionnels. Laissez les invités utiliser leurs identités préférées pour se connecter aux ressources de votre organisation Microsoft Entra. Permet d’accéder aux applications Microsoft ou à vos propres applications (applications SaaS, applications développées sur mesure, etc.). Exemple: Invitez un invité à vous connecter à vos applications Microsoft ou devenir membre invité dans Teams. |
Publiez des applications pour des consommateurs externes et des clients professionnels en utilisant l'ID externe pour les expériences d'identité. Fournit la gestion des identités et des accès pour les applications SaaS modernes ou personnalisées (et non les applications Microsoft internes). Exemple: Créez une expérience de connexion personnalisée pour les utilisateurs de votre application mobile grand public et surveillez l’utilisation de l’application. |
| Destiné à | Collaboration avec des partenaires commerciaux provenant d’organisations externes telles que des fournisseurs, des partenaires, des fournisseurs. Ces utilisateurs peuvent avoir ou non l’ID Microsoft Entra ou l’informatique gérée. | Consommateurs et clients professionnels de votre application. Ces utilisateurs sont gérés dans une instance Microsoft Entra configurée pour les applications externes et les utilisateurs. |
| Gestion des utilisateurs | Les utilisateurs B2B Collaboration sont gérés dans le même locataire employés que les employés, mais sont généralement annotés en tant qu’utilisateurs invités. Les utilisateurs invités peuvent être gérés de la même façon que les employés, ajoutés aux mêmes groupes, et ainsi de suite. Les paramètres d’accès entre locataires peuvent être utilisés pour déterminer quels utilisateurs ont accès à B2B Collaboration. | Les utilisateurs d’application sont gérés dans un locataire externe que vous créez pour les consommateurs de votre application. Les utilisateurs d’un locataire externe disposent d’autorisations par défaut différentes des utilisateurs d’un locataire de main-d’œuvre. Ils sont gérés dans l'entité externe, distincts de l'annuaire des employés de l'organisation. |
| Authentification unique (SSO) | Toutes les applications connectées à Microsoft Entra prennent en charge l'authentification unique (SSO). Par exemple, vous pouvez fournir l’accès aux applications Microsoft 365 ou locales, ainsi qu’à d’autres applications SaaS telles que Salesforce ou Workday. | La fonctionnalité SSO vers les applications enregistrées dans le tenant externe est prise en charge. L’authentification unique auprès de Microsoft 365 ou d’autres applications SaaS Microsoft n’est pas prise en charge. |
| Marque de l’entreprise | L’état par défaut de l’expérience d’authentification présente un style et une interface Microsoft. Les administrateurs peuvent personnaliser l'expérience de connexion invité avec l'image de marque de leur entreprise. | La personnalisation par défaut du locataire externe est neutre et n’inclut aucune marque Microsoft existante. Les administrateurs peuvent personnaliser l'image de marque de l'organisation ou selon l'application. En savoir plus. |
| Paramètres du cloud Microsoft | Pris en charge. | Non applicable. |
| Gestion des droits d’utilisation | Pris en charge. | Non applicable. |
Technologies connexes
Il existe plusieurs technologies Microsoft Entra liées à la collaboration avec des utilisateurs externes et des organisations. Lorsque vous concevez votre modèle de collaboration d’ID externe, tenez compte de ces autres fonctionnalités.
Connexion directe B2B
La connexion directe B2B vous permet de créer des relations de confiance réciproques avec d'autres organisations Microsoft Entra afin d'activer la fonctionnalité de canaux partagés de Teams Connect. Cette fonctionnalité permet aux utilisateurs de se connecter en toute transparence aux canaux partagés Teams pour la conversation, les appels, le partage de fichiers et le partage d’applications. Lorsque deux organisations activent mutuellement la connexion directe B2B, les utilisateurs s’authentifient dans leur organisation d’origine et reçoivent un jeton de l’organisation de ressources pour l’accès. Contrairement à B2B Collaboration, les utilisateurs de connexion directe B2B ne sont pas ajoutés en tant qu’invités à votre annuaire de personnel. Pour en savoir plus sur la connexion directe B2B, consultez [Vue d’ensemble de la connexion directe B2B](Vue d’ensemble de la connexion directe B2B)
Azure Active Directory B2C
Azure Active Directory B2C (Azure AD B2C) est la solution héritée de Microsoft pour la gestion des identités et des accès des clients. Azure AD B2C inclut un annuaire distinct basé sur les consommateurs que vous gérez dans le portail Azure via le service Azure AD B2C. Chaque locataire Azure AD B2C est distinct des autres locataires Microsoft Entra ID et Azure AD B2C. L’expérience du portail Azure AD B2C est similaire à l’ID Microsoft Entra, mais il existe des différences clés, telles que la possibilité de personnaliser vos parcours utilisateur à l’aide de Identity Experience Framework. Pour plus d’informations sur la façon dont un locataire Azure AD B2C diffère d’un locataire Microsoft Entra, consultez Fonctionnalités Microsoft Entra prises en charge dans Azure AD B2C.
Accès conditionnel et MFA dans les locataires externes
Dans les locataires externes, les organisations peuvent appliquer l’authentification multifacteur pour les clients en créant une stratégie d’accès conditionnel Microsoft Entra et en ajoutant l’authentification multifacteur aux processus d'inscription et de connexion des utilisateurs. Les locataires externes prennent en charge deux méthodes d’authentification comme deuxième facteur :
- Code secret à usage unique par e-mail : une fois que l’utilisateur se connecte avec son e-mail et son mot de passe, il est invité à entrer un code secret envoyé à son e-mail.
- Authentification par SMS : Le SMS est disponible en tant que deuxième facteur d’authentification pour la MFA des utilisateurs dans des locataires externes. Les utilisateurs qui se connectent avec leur e-mail et leur mot de passe, leur e-mail et leur mot de passe unique, ou des identités sociales telles que Google ou Facebook, sont invités à procéder à une deuxième vérification par SMS.
Pour en savoir plus sur les méthodes d’authentification dans les locataires externes, consultez l’authentification multifacteur dans les locataires externes
Accès conditionnel pour la collaboration B2B et la connexion directe B2B
Dans un locataire employés, les organisations peuvent appliquer des stratégies d’accès conditionnel pour les utilisateurs B2B Collaboration et B2B connecte directement les utilisateurs de la même façon que lorsqu’ils sont activés pour les employés à temps plein et les membres de l’organisation. Pour les scénarios entre locataires Microsoft Entra, si vos stratégies d’accès conditionnel nécessitent une authentification multifacteur ou la conformité des appareils, vous pouvez désormais approuver les revendications de conformité MFA et d’appareil depuis l’organisation d’origine d’un utilisateur externe. Lorsque les paramètres de confiance sont activés, pendant l’authentification, Microsoft Entra ID vérifie les informations d’identification d’un utilisateur pour vérifier une revendication MFA ou un ID d’appareil afin de déterminer si les politiques ont déjà été remplies. Dans ce cas, l’utilisateur externe bénéficie d'une connexion transparente à votre ressource partagée. Sinon, une demande de MFA ou d’appareil est lancée dans le locataire d’accueil de l’utilisateur. Pour en savoir plus sur le flux d’authentification et l’accès conditionnel pour les utilisateurs externes dans les locataires employés, consultez Authentification et accès conditionnel pour l’ID externe.
Applications multilocataires
Si vous proposez une application SaaS (Software as a Service) à de nombreuses organisations, vous pouvez configurer votre application pour qu’elle accepte les connexions à partir de n’importe quel locataire Microsoft Entra. Cette configuration consiste à transformer votre application en une application multilocataire. Les utilisateurs d’un locataire Microsoft Entra pourront se connecter à votre application après avoir accepté d’utiliser leur compte avec votre application. Découvrir comment activer les connexions multilocataires.
Organisations multitenant
Une organisation mutualisée est une organisation qui a plusieurs instances de Microsoft Entra ID. Il existe différentes raisons pour une architecture multilocataires. Par exemple, votre organisation peut s’étendre sur plusieurs clouds ou limites géographiques.
La capacité d'organisation à locataires multiples permet une collaboration transparente à travers Microsoft 365. Elle améliore les expériences de collaboration des employés au sein de votre organisation à plusieurs locataires, dans des applications telles que Microsoft Teams et Microsoft Viva Engage.
La fonctionnalité de synchronisation entre locataires est un service de synchronisation unidirectionnel qui garantit que les utilisateurs peuvent accéder aux ressources, sans recevoir d’e-mail d’invitation et avoir à accepter une invite de consentement dans chaque locataire.
Pour en savoir plus sur les organisations mutualisées et la synchronisation entre locataires, consultez la documentation sur les organisations mutualisées.