A Microsoft Entra B2B ajánlott eljárásai
Ez a cikk a vállalatok közötti (B2B) együttműködésre vonatkozó javaslatokat és ajánlott eljárásokat tartalmazza a Microsoft Entra Külső ID.
Fontos
Az egyszeri e-mail pin-kód funkció alapértelmezés szerint be van kapcsolva az összes új bérlő és minden olyan meglévő bérlő esetében, ahol nem kapcsolta ki explicit módon. Ha ez a funkció ki van kapcsolva, a tartalék hitelesítési módszer arra kéri a meghívottakat, hogy hozzanak létre egy Microsoft-fiókot.
B2B-javaslatok
Ajánlás | Megjegyzések |
---|---|
Tekintse meg a Microsoft Entra útmutatását a külső partnerekkel való együttműködés biztosításához | Megtudhatja, hogyan végezhet holisztikus szabályozási megközelítést a szervezet külső partnerekkel való együttműködéséhez a Külső együttműködés biztonságossá tétele a Microsoft Entra ID-ban és a Microsoft 365-ben című témakörben ismertetett javaslatok követésével. |
Gondosan tervezze meg a bérlők közötti hozzáférést és a külső együttműködési beállításokat | Microsoft Entra Külső ID rugalmas vezérlőkészletet biztosít a külső felhasználókkal és szervezetekkel való együttműködés kezeléséhez. Engedélyezheti vagy letilthatja az összes együttműködést, vagy csak adott szervezetek, felhasználók és alkalmazások számára konfigurálhatja az együttműködést. Mielőtt konfigurálja a bérlők közötti hozzáférés és a külső együttműködés beállításait, gondosan leltározza azokat a szervezeteket, amelyekben dolgozik és partneri kapcsolatban van. Ezután állapítsa meg, hogy engedélyezni szeretné-e a B2B közvetlen csatlakozást vagy a B2B-együttműködést más Microsoft Entra-bérlőkkel, és hogyan szeretné kezelni a B2B együttműködési meghívásokat. |
Bérlői korlátozások használatával szabályozhatja a külső fiókok használatát a hálózatokon és a felügyelt eszközökön. | Bérlőkorlátozásokkal megakadályozhatja, hogy a felhasználók ismeretlen bérlőkben vagy külső szervezetektől kapott fiókokban létrehozott fiókokat használjanak. Javasoljuk, hogy tiltsa le ezeket a fiókokat, és használja helyette a B2B-együttműködést. |
Az optimális bejelentkezési élmény érdekében az identitásszolgáltatókkal való összevonás | Amikor csak lehetséges, egyesítse közvetlenül az identitásszolgáltatókkal, hogy a meghívott felhasználók Microsoft-fiókok (MSA-k) vagy Microsoft Entra-fiókok létrehozása nélkül jelentkezzenek be a megosztott alkalmazásokba és erőforrásokba. A Google összevonási funkciójával engedélyezheti, hogy a B2B vendégfelhasználók bejelentkezhessenek Google-fiókjaikba. Az SAML/WS-Fed identitásszolgáltató (előzetes verzió) funkcióval összevonást állíthat be bármely olyan szervezettel, amelynek identitásszolgáltatója (IdP) támogatja az SAML 2.0 vagy a WS-Fed protokollt. |
Az egyszeri e-mail pin-kód funkció használata olyan B2B-vendégek számára, akik más módon nem tudnak hitelesítést végezni | Az egyszeri e-mail pin-kód funkció hitelesíti a B2B-vendégfelhasználókat, ha nem hitelesíthetők más eszközökkel, például Microsoft Entra-azonosítóval, Microsoft-fiókkal (MSA) vagy Google-összevonással. Amikor a vendégfelhasználó egy meghívást érvényesít, vagy hozzáfér egy megosztott erőforráshoz, ideiglenes kódot kérhet, amelyet a rendszer elküld az e-mail-címére. Ezután az illető megadja ezt a kódot a bejelentkezés folytatásához. |
Vállalati arculat megjelenítése a bejelentkezési oldalon | Testre szabhatja a bejelentkezési lapot, hogy intuitívabb legyen a B2B-vendégfelhasználók számára. Megtudhatja, hogyan adhat hozzá céges védjegyzést a bejelentkezéshez és hozzáférési panel lapokhoz. |
Adatvédelmi nyilatkozat hozzáadása a B2B vendégfelhasználói beváltásához | Hozzáadhatja a szervezet adatvédelmi nyilatkozatának URL-címét az első alkalommal történő meghívás beváltásának folyamatához, hogy a meghívott felhasználónak hozzá kell adnia az adatvédelmi feltételeket a folytatáshoz. Lásd : Útmutató: A szervezet adatvédelmi adatainak hozzáadása a Microsoft Entra-azonosítóban. |
A tömeges meghívás (előzetes verzió) funkcióval egyszerre több B2B-vendégfelhasználót hívhat meg | Egyszerre több vendégfelhasználó meghívása a szervezetbe az Azure Portal tömeges meghívási előzetes funkciójával. Ezzel a funkcióval feltölthet egy CSV-fájlt B2B-vendégfelhasználók létrehozásához és a meghívók tömeges elküldéséhez. A B2B-felhasználók tömeges meghívását ismertető oktatóanyag. |
Feltételes hozzáférési szabályzatok kényszerítése többtényezős Microsoft Entra-hitelesítéshez | Javasoljuk, hogy kényszerítse ki az MFA-szabályzatokat a partner B2B-felhasználókkal megosztani kívánt alkalmazásokra. Ily módon az MFA következetesen érvényesítve lesz a bérlő alkalmazásaiban, függetlenül attól, hogy a partnerszervezet MFA-t használ-e. Lásd: Feltételes hozzáférés a B2B-együttműködés felhasználói számára. |
Ha eszközalapú feltételes hozzáférési szabályzatokat kényszerít ki, kizárási listákkal engedélyezheti a B2B-felhasználók hozzáférését | Ha az eszközalapú feltételes hozzáférési szabályzatok engedélyezve vannak a szervezetben, a B2B vendégfelhasználói eszközök le lesznek tiltva, mert nem a szervezet felügyeli őket. Az eszközalapú feltételes hozzáférési szabályzatból kizárhatja az adott partnerfelhasználókat tartalmazó kizárási listákat. Lásd: Feltételes hozzáférés a B2B-együttműködés felhasználói számára. |
Bérlőspecifikus URL-cím használata a B2B-vendégfelhasználók közvetlen hivatkozásai esetén | A meghívó e-mail alternatívaként közvetlen hivatkozást adhat a vendégnek az alkalmazásra vagy a portálra. Ennek a közvetlen hivatkozásnak bérlőspecifikusnak kell lennie, ami azt jelenti, hogy tartalmaznia kell egy bérlőazonosítót vagy egy ellenőrzött tartományt, hogy a vendég hitelesíthető legyen a bérlőben, ahol a megosztott alkalmazás található. Lásd a vendégfelhasználó beváltás élményét. |
Alkalmazás fejlesztésekor a UserType használatával állapítsa meg a vendégfelhasználói élményt | Ha egy alkalmazást fejleszt, és különböző szolgáltatásokat szeretne nyújtani a bérlői és vendégfelhasználók számára, használja a UserType tulajdonságot. A UserType-jogcím jelenleg nem szerepel a jogkivonatban. Az alkalmazásoknak a Microsoft Graph API használatával kell lekérdezniük a felhasználó könyvtárát a UserType lekéréséhez. |
Csak akkor módosítsa a UserType tulajdonságot, ha a felhasználó kapcsolata megváltozik a szervezettel | Bár a PowerShell használatával a felhasználó UserType tulajdonságát tagról vendégre konvertálhatja (és fordítva), ezt a tulajdonságot csak akkor kell módosítania, ha a felhasználó kapcsolata megváltozik a szervezetével. Lásd a B2B-vendégfelhasználók tulajdonságait. |
Megtudhatja, hogy a környezetére hatással vannak-e a Microsoft Entra címtárkorlátjai | A Microsoft Entra B2B-ra a Microsoft Entra szolgáltatáskönyvtár-korlátai vonatkoznak. A felhasználó által létrehozható címtárak számáról és a felhasználók vagy vendégfelhasználók számára vonatkozó könyvtárak számáról a Microsoft Entra szolgáltatás korlátai és korlátozásai című témakörben talál további információt. |
A B2B-fiók életciklusának kezelése a Szponzor funkcióval | A szponzor a vendégfelhasználókért felelős felhasználó vagy csoport. Az új funkcióról további információt a B2B-felhasználók Szponzor mezőjében talál. |