Concevoir une solution pour les identités externes
Microsoft Entra External ID désigne toutes les façons sécurisées d’interagir avec les utilisateurs en dehors de votre organisation. Si vous souhaitez collaborer avec des partenaires, des distributeurs ou des fournisseurs, vous pouvez partager vos ressources et définir la manière dont vos utilisateurs internes peuvent accéder à des organisations externes. Si vous êtes un développeur qui crée des applications orientées consommateur, vous pouvez gérer les expériences d’identité de vos clients.
Avec les identités externes, des utilisateurs externes peuvent « apporter leurs propres identités ». Qu’ils disposent d’une identité numérique émise par une entreprise ou un gouvernement ou d’une identité sociale non gérée telle que Google ou Facebook, ils peuvent utiliser leurs propres informations d’identification pour se connecter. Le fournisseur d’identité de l’utilisateur externe gère leur identité, et vous gérez l’accès à vos applications avec Microsoft Entra ID ou Azure AD B2C pour protéger vos ressources.
Les fonctionnalités suivantes composent les identités externes :
Collaboration B2B : collaborez avec des utilisateurs externes en leur permettant d’utiliser leur identité préférée pour se connecter à vos applications Microsoft ou à d’autres applications d’entreprise (applications SaaS, applications personnalisées, etc.). Les utilisateurs de collaboration B2B sont représentés dans votre annuaire, généralement en tant qu’utilisateurs invités.
Connexion directe B2B : Établissez une relation d’approbation mutuelle et réciproque avec une autre organisation Microsoft Entra pour une collaboration en toute transparence. La connexion directe B2B prend actuellement en charge les canaux Teams partagés, ce qui permet aux utilisateurs externes d’accéder à vos ressources à partir de leurs instances personnelles de Teams. Les utilisateurs de la connexion directe B2B ne sont pas représentés dans votre répertoire, mais ils sont visibles à partir du canal partagé Teams et peuvent être surveillés dans les rapports du centre d’administration Teams.
Azure AD B2C : publiez des applications SaaS modernes ou des applications personnalisées (à l’exception des applications Microsoft) aux consommateurs et aux clients, tout en utilisant Azure AD B2C pour la gestion des identités et des accès.
Organisation multilocataire Microsoft Entra : Collaborez avec plusieurs locataires dans une seule organisation Microsoft Entra avec la synchronisation entre locataires.
Selon la manière dont vous souhaitez interagir avec les organisations externes et les types de ressources que vous devez partager, vous pouvez utiliser une combinaison de ces fonctionnalités.
B2B Collaboration
Avec la collaboration B2B, vous pouvez inviter n’importe qui à se connecter à votre organisation Microsoft Entra à l’aide de ses propres informations d’identification afin que cette personne puisse accéder aux applications et aux ressources que vous souhaitez partager avec elle. Utilisez la collaboration B2B lorsque vous avez besoin de permettre aux utilisateurs externes d’accéder à vos applications Office 365, applications SaaS (software-as-a-service) et applications métier, en particulier lorsque le partenaire n’utilise pas Microsoft Entra ID ou qu’il n’est pas pratique pour les administrateurs de configurer une connexion mutuelle via la connexion directe B2B. Aucune information d’identification n’est associée aux utilisateurs de la collaboration B2B. Au lieu de cela, ils s’authentifient auprès de leur organisation ou fournisseur d’identité, puis votre organisation vérifie l’éligibilité de l’utilisateur invité pour la collaboration B2B.
Il existe plusieurs façons d’ajouter des utilisateurs externes à votre organisation pour la collaboration B2B :
Invitez les utilisateurs à la collaboration B2B à l’aide de leurs comptes Microsoft Entra, comptes Microsoft ou identités sociales que vous activez, comme Google. Un administrateur peut utiliser le portail Azure ou PowerShell pour inviter des utilisateurs à la collaboration B2B. Les utilisateurs se connectent aux ressources partagées à l’aide d’un processus simple d’invitation et d’échange, en utilisant leur compte professionnel ou scolaire, ou n’importe quel autre compte de messagerie.
Utilisez des flux d’utilisateur d’inscription en libre-service pour permettre aux utilisateurs externes de s’inscrire à des applications. Cette expérience peut être personnalisée pour permettre l’inscription à l’aide d’une identité professionnelle, scolaire ou sociale (comme Google ou Facebook). Vous pouvez également collecter des informations sur l’utilisateur lors du processus d’inscription.
Utilisez la gestion des droits d’utilisation Microsoft Entra, fonctionnalité de gouvernance des identités qui vous permet de gérer l’identité et l’accès des utilisateurs externes à grande échelle en automatisant les workflows de demande d’accès, les attributions d’accès, les révisions et les expirations.
Un objet utilisateur est créé pour l’utilisateur de collaboration B2B dans le même répertoire que celui utilisé pour vos employés. Cet objet utilisateur peut être géré comme les autres objets utilisateur de votre annuaire, ajoutés à des groupes, etc. Vous pouvez affecter des autorisations à l’objet utilisateur (pour l’autorisation) tout en lui permettant d’utiliser ses informations d’identification existantes (pour l’authentification).
Vous pouvez utiliser les paramètres d’accès inter-locataires pour gérer la collaboration B2B avec d’autres organisations Microsoft Entra et sur l’ensemble des clouds Microsoft Azure. Pour la collaboration B2B avec des utilisateurs et organisations externes non Azure AD, utilisez les paramètres de collaboration externe.
Connexion directe B2B
La connexion directe B2B est une nouvelle façon de collaborer avec d’autres organisations Microsoft Entra. Cette fonctionnalité fonctionne actuellement avec les canaux partagés Microsoft Teams. Avec la connexion directe B2B, vous créez des relations d’approbations bidirectionnelles avec d’autres organisations Microsoft Entra pour permettre aux utilisateurs de se connecter de façon fluide à vos ressources partagées et inversement. Les utilisateurs de la connexion directe B2B ne sont pas ajoutés en tant qu’invités à votre répertoire Microsoft Entra. Lorsque deux organisations activent mutuellement la connexion directe B2B, les utilisateurs s’authentifient dans leur propre organisation et reçoivent un jeton de l’organisation de ressources pour y accéder. En savoir plus sur la connexion directe B2B dans Microsoft Entra ID.
À l’heure actuelle, la connexion directe B2B active la fonctionnalité de canaux partagés Teams Connect, ce qui permet à vos utilisateurs de collaborer avec des utilisateurs externes de plusieurs organisations avec un canal partagé Teams pour chatter, appeler, partager des fichiers et des applications. Une fois que vous avez configuré la connexion directe B2B avec une organisation externe, les fonctionnalités de canaux partagés Teams deviennent disponibles :
Dans Teams, le propriétaire d’un canal partagé peut rechercher des utilisateurs autorisés de l’organisation externe et les ajouter au canal partagé.
Les utilisateurs externes peuvent accéder au canal partagé Teams sans avoir à basculer entre les organisations ou à se connecter avec un autre compte. À partir de Teams, l’utilisateur externe peut accéder aux fichiers et aux applications par le biais de l’onglet Fichiers. L’accès de l’utilisateur est déterminé par les stratégies du canal partagé.
Vous utilisez les paramètres d’accès interlocataires pour gérer les relations d’approbation avec d’autres organisations Microsoft Entra et définir des stratégies entrantes et sortantes pour la connexion directe B2B.
Pour plus d’informations sur les ressources, fichiers et applications disponibles pour l’utilisateur de la connexion directe B2B via le canal partagé Teams, reportez-vous à Conversation, équipes, canaux et applications dans Microsoft Teams.
Azure AD B2C
Azure AD B2C est une solution de gestion des identités et des accès client (CIAM) qui vous permet de créer des parcours utilisateur pour des applications clientes et orientées client. Si vous êtes chef d’entreprise ou développeur individuel et que vous créez des applications orientées clients, vous pouvez les mettre à l’échelle pour des millions de consommateurs, clients ou citoyens en utilisant Azure AD B2C. Les développeurs peuvent utiliser Azure AD B2C comme CIAM complet pour leurs applications.
Avec Azure AD B2C, les clients peuvent se connecter avec une identité qu’ils ont déjà établie (comme Facebook ou Gmail). Vous pouvez complètement personnaliser et contrôler la façon dont les clients s’inscrivent, se connectent et gèrent leurs profils lorsqu’ils utilisent vos applications.
Bien qu’Azure AD B2C repose sur la même technologie que Microsoft Entra ID, il s’agit d’un service distinct avec certaines différences de fonctionnalités. Pour plus d’informations sur la façon dont un locataire Azure AD B2C diffère d’un locataire Microsoft Entra, consultez Fonctionnalités Microsoft Entra prises en charge dans la documentation Azure AD B2C.
Comparaison des ensembles de fonctionnalités des identités externes
Le tableau ci-dessous fournit une comparaison détaillée des scénarios que vous pouvez activer avec des identités externes Microsoft Entra External ID. Dans les scénarios B2B, un utilisateur externe est une personne qui n’est pas hébergée dans votre organisation Microsoft Entra.
| B2B Collaboration | Connexion directe B2B | Azure AD B2C | |
|---|---|---|---|
| Scénario principal | Collaborez avec des utilisateurs externes en leur permettant d’utiliser leur identité par défaut pour se connecter aux ressources de votre organisation Microsoft Entra. Permet d’accéder aux applications Microsoft ou à vos propres applications (applications SaaS, applications développées sur mesure, etc.). Exemple : Invitez un utilisateur externe à se connecter à vos applications Microsoft ou à devenir membre invité dans Teams. |
Collaborez avec les utilisateurs d’autres organisations Microsoft Entra en établissant une connexion mutuelle. Actuellement, peut être utilisé avec des canaux partagés Teams, auxquels les utilisateurs externes peuvent accéder à partir de leurs instances de Teams. Exemple : Ajoutez un utilisateur externe à un canal partagé Teams, qui fournit un espace pour discuter, appeler et partager du contenu. |
Publiez des applications pour les utilisateurs et les clients à l’aide d’Azure AD B2C pour les expériences d’identité. Fournit la gestion des identités et des accès pour les applications personnalisées ou SaaS modernes (pas les applications Microsoft internes). |
| Usage prévu | Collaboration avec des partenaires commerciaux d’organisations externes tels que des fournisseurs, des partenaires et des distributeurs. Ces utilisateurs peuvent disposer ou non de services IT managés Microsoft Entra ID. | Collaboration avec des partenaires commerciaux d’organisations externes qui utilisent Microsoft Entra ID, tels que des fournisseurs, des partenaires et des distributeurs. | Clients de votre produit. Ces utilisateurs sont gérés dans un répertoire Microsoft Entra distinct. |
| Gestion des utilisateurs | Les utilisateurs de collaboration B2B sont gérés dans le même annuaire que les employés, mais sont généralement annotés en tant qu’utilisateurs invités. Les utilisateurs invités peuvent être gérés de la même façon que les employés, ajoutés aux mêmes groupes, etc. Les paramètres d’accès inter-locataires peuvent être utilisés pour déterminer quels utilisateurs ont accès à la collaboration B2B. | Aucun objet utilisateur n’est créé dans votre répertoire Microsoft Entra. Les paramètres d’accès inter-locataires déterminent quels utilisateurs ont accès à la collaboration B2B. connexion directe. Les utilisateurs de canaux partagés peuvent être gérés dans Teams, et l’accès des utilisateurs est déterminé par les stratégies du canal partagé Teams. | Des objets utilisateur sont créés pour les utilisateurs consommateurs dans votre annuaire Azure AD B2C. Ils sont gérés séparément du répertoire des partenaires et des employés de l’organisation (s’il existe). |
| Fournisseurs d’identité pris en charge | Les utilisateurs externes peuvent collaborer à l’aide de comptes professionnels, de comptes scolaires, de n’importe quelle adresse e-mail, de fournisseurs d’identité basés sur SAML et WS-Fed, et de fournisseurs d’identité sociaux, comme Gmail ou Facebook. | Les utilisateurs externes collaborent à l’aide de comptes professionnels ou scolaires Microsoft Entra ID. | Utilisateurs consommateurs disposant de comptes d’application locaux (n’importe quel nom d’utilisateur, adresse de messagerie ou numéro de téléphone), Microsoft Entra ID, diverses identités sociales prises en charge et utilisateurs dotés d’une identité émise par le gouvernement ou une entreprise par le biais de la fédération des fournisseurs d’identité WS-Fed/SAML. |
| Authentification unique (SSO) | L’authentification unique pour toutes les applications connectées Microsoft Entra est prise en charge. Par exemple, vous pouvez donner accès à des applications Microsoft 365 ou des applications locales, et à d’autres applications SaaS telles que Salesforce ou Workday. | Authentification unique sur un canal partagé Teams. | L’authentification unique auprès d’applications détenues par le client dans les clients Azure AD B2C est prise en charge. L’authentification unique auprès de Microsoft 365 ou d’autres applications SaaS Microsoft n’est pas prise en charge. |
| Licences et facturation | Basé sur les utilisateurs actifs mensuels (MAU), y compris la collaboration B2B et Azure AD B2C. | Basé sur les utilisateurs actifs mensuels (MAU), y compris les utilisateurs de la collaboration B2B, de la connexion directe B2B et d’Azure AD B2C. | Basé sur les utilisateurs actifs mensuels (MAU), y compris la collaboration B2B et Azure AD B2C. |
| Stratégie de sécurité et conformité | Gérée par l’organisation hôte/qui invite (par exemple, avec des règles d’accès conditionnelles et des paramètres d’accès inter-locataires). | Gérée par l’organisation hôte/qui invite (par exemple, avec des règles d’accès conditionnelles et des paramètres d’accès inter-locataires). | Gérée par l’organisation via l’accès conditionnel et la protection d’identité. |
| authentification multifacteur (MFA) | Si vous avez configuré les paramètres d’approbation entrante permettant d’accepter les revendications MFA du locataire de base de l’utilisateur et si des stratégies MFA ont déjà été effectuées dans le locataire de base de l’utilisateur, l’utilisateur externe peut se connecter. Si l’approbation MFA n’est pas activée, l’organisation détentrice de la ressource présente une demande MFA à l’utilisateur. | Si vous avez configuré les paramètres d’approbation entrante permettant d’accepter les revendications MFA du locataire de base de l’utilisateur et si des stratégies MFA ont déjà été effectuées dans le locataire de base de l’utilisateur, l’utilisateur externe peut se connecter. Si l’approbation MFA n’est pas activée et que les stratégies d’accès conditionnel nécessitent une authentification multifacteur (MFA), l’utilisateur est bloqué et ne peut pas accéder aux ressources. Vous devez configurer vos paramètres d’approbation entrante pour accepter les revendications MFA émises par l’organisation. | S’intègre directement à l’authentification multifacteur Microsoft Entra. |
| Paramètres du cloud Microsoft | Pris en charge. | Non pris en charge. | Non applicable. |
| Gestion des droits d’utilisation | Pris en charge. | Non pris en charge. | Non applicable. |
| Applications métier | Pris en charge. | Non pris en charge. Seules les applications de connexion directe B2B activées peuvent être partagées (actuellement, canaux partagés dans Teams Connect). | Fonctionne avec l’API RESTful. |
| Accès conditionnel | géré par l’organisation hôte (qui invite). | géré par l’organisation hôte (qui invite). | Gérée par l’organisation via l’accès conditionnel et la protection d’identité. |
| Personnalisation | la marque de l’organisation hôte (qui invite) est utilisée. | Pour les écrans de connexion, la marque de l’organisation d’hébergement de l’utilisateur est utilisée. Dans le canal partagé, la marque de l’organisation de la ressource est utilisée. | Personnalisation complète de marque pour chaque application ou organisation. |
Le cas échéant, vous pouvez utiliser la synchronisation entre locataires (préversion) dans des organisations multilocataires. Pour plus d’informations sur cette nouvelle fonctionnalité, consultez la documentation sur les organisations multilocataires et la comparaison des fonctionnalités.