Bevezetés a Microsoft Entra Külső ID
Microsoft Entra Külső ID hatékony megoldásokat kombinál a szervezeten kívüli személyekkel való munkavégzéshez. A külső azonosító képességeivel lehetővé teheti, hogy a külső identitások biztonságosan elérhessék az alkalmazásokat és erőforrásokat. Függetlenül attól, hogy külső partnerekkel, fogyasztókkal vagy üzleti ügyfelekkel dolgozik, a felhasználók saját identitásokat hozhatnak létre. Ezek az identitások a vállalati vagy kormányzati fiókoktól a közösségi identitásszolgáltatókig terjedhetnek, például a Google vagy a Facebook.
Ezek a forgatókönyvek a Microsoft Entra Külső ID hatókörébe tartoznak:
Ha Ön egy szervezet vagy fejlesztő, amely fogyasztói alkalmazásokat hoz létre, a külső azonosítóval gyorsan hozzáadhat hitelesítést és ügyfélidentitás- és hozzáférés-kezelést (CIAM) az alkalmazáshoz. Regisztrálja az alkalmazást, testreszabott bejelentkezési felületeket hoz létre, és külső konfigurációban kezeli az alkalmazás felhasználóit egy Microsoft Entra-bérlőben. Ez a bérlő különbözik az alkalmazottaktól és a szervezeti erőforrásoktól.
Ha engedélyezni szeretné az alkalmazottak számára az üzleti partnerekkel és vendégekkel való együttműködést, használja a külső azonosítót a B2B-együttműködéshez. A vállalati alkalmazásokhoz való biztonságos hozzáférés engedélyezése meghívással vagy önkiszolgáló regisztrációval. Határozza meg, hogy a vendégek milyen szintű hozzáféréssel rendelkeznek a Microsoft Entra-bérlőhöz, amely tartalmazza az alkalmazottakat és a szervezeti erőforrásokat, amely egy bérlő egy munkaerő-konfigurációban .
Microsoft Entra Külső ID rugalmas megoldás mind a hitelesítést, mind a CIAM-et igénylő, fogyasztóközpontú alkalmazásfejlesztők, mind a biztonságos B2B-együttműködést kereső vállalkozások számára.
Alkalmazások védelme a fogyasztók és az üzleti ügyfelek számára
A szervezetek és fejlesztők a külső bérlőben lévő külső azonosítót használhatják CIAM-megoldásként, amikor alkalmazásaikat közzéteszik a fogyasztók és az üzleti ügyfelek számára. Egy külső konfigurációban létrehozhat egy különálló Microsoft Entra-bérlőt, amely lehetővé teszi az alkalmazások és felhasználói fiókok kezelését a munkaerőtől elkülönítve. Ebben a bérlőben egyszerűen konfigurálhatja az egyéni védjegyzett regisztrációs szolgáltatásokat és a felhasználókezelési funkciókat:
Önkiszolgáló regisztrációs folyamatokat állíthat be, amelyek meghatározzák az ügyfelek által követendő regisztrációs lépések sorozatát és az általuk használható bejelentkezési módszereket, például az e-maileket és a jelszót, az egyszeri pin-kódokat vagy a Google-ból vagy a Facebookról származó közösségi fiókokat.
Egyéni megjelenést és megjelenést hozhat létre az alkalmazásokba bejelentkező felhasználók számára a bérlő céges arculati beállításainak konfigurálásával. Ezekkel a beállításokkal saját háttérképeket, színeket, céges emblémákat és szöveget adhat hozzá a bejelentkezési élmény testreszabásához az alkalmazásokban.
A regisztráció során adatokat gyűjthet az ügyfelektől, ha kiválaszt egy sor beépített felhasználói attribútumot, vagy hozzáadja saját egyéni attribútumait.
Elemezze a felhasználói tevékenységeket és az előjegyzési adatokat, hogy értékes megállapításokat derítsen fel, amelyek segíthetnek a stratégiai döntésekben, és ösztönözhetik az üzleti növekedést.
A külső azonosítóval az ügyfelek bejelentkezhetnek egy már meglévő identitással. Testre szabhatja és szabályozhatja, hogy az ügyfelek hogyan regisztrálnak és jelentkezzenek be az alkalmazások használatakor. Mivel ezek a CIAM-képességek a külső azonosítóba vannak beépítve, a Microsoft Entra platform olyan funkcióit is élvezheti, mint a fokozott biztonság, a megfelelőség és a méretezhetőség.
További részletekért lásd a külső bérlők Microsoft Entra Külső ID áttekintését.
Együttműködés üzleti vendégekkel
A külső azonosítójú B2B együttműködés lehetővé teszi a munkaerő számára, hogy külső üzleti partnerekkel működjön együtt. Bárkit meghívhat, hogy saját hitelesítő adataival jelentkezzen be a Microsoft Entra-szervezetbe, hogy hozzáférhessenek a velük megosztani kívánt alkalmazásokhoz és erőforrásokhoz. B2B-együttműködést akkor használjon, ha lehetővé kell tenni, hogy a vállalati vendégek hozzáférjenek az Office 365-alkalmazásokhoz, a szolgáltatásként nyújtott szoftverekhez (SaaS- és üzletági alkalmazásokhoz). Nincsenek az üzleti vendégekhez társított hitelesítő adatok. Ehelyett az otthoni szervezetükkel vagy identitásszolgáltatójukkal hitelesítik őket, majd a szervezet ellenőrzi a felhasználó vendégmunka-jogosultságát.
Különböző módokon adhat hozzá üzleti vendégeket a szervezethez együttműködés céljából:
Felkérheti a felhasználókat, hogy együttműködjenek az Ön által engedélyezett Microsoft Entra-fiókjaik, Microsoft-fiókjaik vagy közösségi identitásaik, például a Google használatával. A rendszergazdák a Microsoft Entra felügyeleti központ vagy a PowerShell használatával meghívhatják a felhasználókat együttműködésre. A felhasználó egy egyszerű visszaváltási folyamattal jelentkezik be a megosztott erőforrásokba a munkahelyi, iskolai vagy egyéb e-mail-fiókjával.
Az önkiszolgáló regisztrációs felhasználói folyamatok segítségével a vendégek maguk regisztrálhatnak alkalmazásokra. A felhasználói felület testre szabható, hogy munkahelyi, iskolai vagy közösségi identitással (például Google vagy Facebook) regisztrálhasson. A regisztrációs folyamat során adatokat is gyűjthet a felhasználóról.
Használja a Microsoft Entra jogosultságkezelési funkcióját, amely lehetővé teszi a külső felhasználók identitásának és hozzáférésének nagy léptékű kezelését a hozzáférési kérelmek munkafolyamatainak, a hozzáférési hozzárendeléseknek, a felülvizsgálatoknak és a lejáratnak az automatizálásával.
A rendszer létrehoz egy felhasználói objektumot az üzleti vendég számára ugyanabban a címtárban, mint az alkalmazottak. Ez a felhasználói objektum kezelhető úgy, mint a címtár többi felhasználói objektuma, hozzáadva a csoportokhoz stb. Engedélyeket rendelhet a felhasználói objektumhoz (engedélyezéshez), miközben lehetővé teszi számukra a meglévő hitelesítő adataik használatát (hitelesítéshez).
Bérlők közötti hozzáférési beállításokat használhat más Microsoft Entra-szervezetekkel és a Microsoft Azure-felhőkkel való együttműködés kezeléséhez. A nem Azure AD külső felhasználókkal és szervezetekkel való együttműködéshez használja a külső együttműködési beállításokat.
Mik azok a "munkaerő" és "külső" bérlők?
A bérlő a Microsoft Entra ID dedikált és megbízható példánya, amely egy szervezet erőforrásait tartalmazza, beleértve a regisztrált alkalmazásokat és a felhasználók könyvtárát. A bérlők kétféleképpen konfigurálhatók attól függően, hogy a szervezet hogyan kívánja használni a bérlőt és a kezelni kívánt erőforrásokat:
- A munkaerő-bérlők konfigurációja egy szabványos Microsoft Entra-bérlő, amely az alkalmazottakat, a belső üzleti alkalmazásokat és más szervezeti erőforrásokat tartalmazza. A munkaerő-bérlőkben a belső felhasználók b2B együttműködéssel együttműködhetnek külső üzleti partnerekkel és vendégekkel.
- A külső bérlőkonfiguráció kizárólag a fogyasztók vagy üzleti ügyfelek számára közzétenni kívánt alkalmazásokhoz használható. Ez a különálló bérlő a Szokásos Microsoft Entra-bérlői modellt követi, de fogyasztói forgatókönyvekhez van konfigurálva. Tartalmazza az alkalmazásregisztrációkat és a fogyasztói vagy ügyfélfiókok könyvtárát.
További információ: Munkaerő és külső bérlők konfigurációi a Microsoft Entra Külső ID.
Külső azonosító funkciókészletek összehasonlítása
Az alábbi táblázat összehasonlítja a külső azonosítóval engedélyezhető forgatókönyveket.
Külső azonosító a munkaerő-bérlőkben | Külső azonosító külső bérlőkben | |
---|---|---|
Elsődleges forgatókönyv | Lehetővé teszi, hogy a munkatársak együttműködjenek az üzleti vendégekkel. Lehetővé teszi, hogy a vendégek az előnyben részesített identitásukkal jelentkezzenek be a Microsoft Entra-szervezet erőforrásaiba. Hozzáférést biztosít a Microsoft-alkalmazásokhoz vagy saját alkalmazásaihoz (SaaS-alkalmazások, egyéni fejlesztésű alkalmazások stb.). Példa: Meghívhat egy vendéget, hogy jelentkezzen be a Microsoft-alkalmazásokba, vagy legyen vendégtag a Teamsben. |
Külső felhasználók és üzleti ügyfelek számára közzéteheti az alkalmazásokat külső azonosítóval identitáskezelési funkciókhoz. Identitás- és hozzáférés-kezelést biztosít a modern SaaS- vagy egyéni fejlesztésű alkalmazásokhoz (nem belső Microsoft-alkalmazásokhoz). Példa: Egyéni bejelentkezési felület létrehozása a fogyasztói mobilalkalmazás felhasználói számára, és az alkalmazáshasználat monitorozása. |
Rendeltetése: | Együttműködés külső szervezetek üzleti partnereivel, például beszállítókkal, partnerekkel, szállítókkal. Előfordulhat, hogy ezek a felhasználók rendelkeznek Microsoft Entra-azonosítóval vagy felügyelt it-tal. | Az alkalmazás felhasználói és üzleti ügyfelei. Ezeket a felhasználókat külső alkalmazásokhoz és felhasználókhoz konfigurált Microsoft Entra-bérlő kezeli. |
Felhasználókezelés | A B2B együttműködési felhasználókat ugyanabban a munkaerő-bérlőben kezelik, mint az alkalmazottak, de általában vendégfelhasználókként vannak feltüntetve. A vendégfelhasználók ugyanúgy kezelhetők, mint az alkalmazottak, hozzáadhatók ugyanahhoz a csoporthoz, és így tovább. A bérlők közötti hozzáférési beállítások segítségével meghatározhatja, hogy mely felhasználók férhetnek hozzá a B2B-együttműködéshez. | Az alkalmazás felhasználóit egy külső bérlő kezeli, amelyet az alkalmazás felhasználói számára hoz létre. A külső bérlő felhasználói eltérő alapértelmezett engedélyekkel rendelkeznek, mint a munkaerő-bérlők felhasználói. A külső bérlő kezeli őket, a szervezet alkalmazotti címtárától elkülönítve. |
Egyszeri bejelentkezés (SSO) | Az összes Csatlakoztatott Microsoft Entra-alkalmazás egyszeri bejelentkezése támogatott. Hozzáférést biztosíthat például a Microsoft 365-höz vagy a helyszíni alkalmazásokhoz, valamint más SaaS-alkalmazásokhoz, például a Salesforce-hoz vagy a Workdayhez. | A külső bérlőben regisztrált alkalmazások egyszeri bejelentkezése támogatott. A Microsoft 365-be vagy más Microsoft SaaS-alkalmazásokba való egyszeri bejelentkezés nem támogatott. |
Céges arculat | A hitelesítési felület alapértelmezett állapota a Microsoft megjelenése és megjelenése. A rendszergazdák testre szabhatják a vendégbejelentkezési élményt a céges arculatukkal. | A külső bérlő alapértelmezett védjegyezése semleges, és nem tartalmaz meglévő Microsoft-védjegyezést. A rendszergazdák testre szabhatják a cég arculatát vagy alkalmazásonként. További információ. |
A Microsoft felhőbeállításai | Támogatott. | Nem alkalmazható. |
Jogosultságkezelés | Támogatott. | Nem alkalmazható. |
Kapcsolódó technológiák
Számos Microsoft Entra-technológia kapcsolódik a külső felhasználókkal és szervezetekkel való együttműködéshez. A külső azonosító együttműködési modelljének tervezésekor vegye figyelembe ezeket a további funkciókat.
B2B közvetlen csatlakozás
A közvetlen B2B-kapcsolat lehetővé teszi, hogy kétirányú megbízhatósági kapcsolatokat hozzon létre más Microsoft Entra-szervezetekkel a Teams Kapcsolat megosztott csatornák funkciójának engedélyezéséhez. Ez a funkció lehetővé teszi, hogy a felhasználók zökkenőmentesen jelentkezzenek be a Teams megosztott csatornáira csevegéshez, hívásokhoz, fájlmegosztáshoz és alkalmazásmegosztáshoz. Amikor két szervezet kölcsönösen engedélyezi a közvetlen B2B-kapcsolatot, a felhasználók hitelesítik magukat az otthoni szervezetükben, és jogkivonatot kapnak az erőforrás-szervezettől a hozzáféréshez. A B2B-együttműködéstől eltérően a közvetlen B2B-felhasználók nem lesznek vendégként hozzáadva a munkaerő-címtárhoz. További információ a közvetlen B2B-csatlakozásról Microsoft Entra Külső ID.
A B2B külső szervezethez való közvetlen kapcsolódásának beállítása után a következő Teams megosztott csatornák funkciói válnak elérhetővé:
A megosztott csatorna tulajdonosa megkeresheti a Teamsben a külső szervezet által engedélyezett felhasználókat, és felveheti őket a megosztott csatornára.
A külső felhasználók anélkül férhetnek hozzá a Teams megosztott csatornájához, hogy át kellene váltaniuk a szervezeteket, vagy másik fiókkal kellene bejelentkezniük. A Teamsben a külső felhasználó a Fájlok lapon érheti el a fájlokat és az alkalmazásokat. A megosztott csatorna szabályzatai határozzák meg a felhasználó hozzáférését.
Bérlők közötti hozzáférési beállítások használatával kezelheti a más Microsoft Entra-szervezetekkel fennálló megbízhatósági kapcsolatokat, és bejövő és kimenő szabályzatokat határozhat meg a közvetlen B2B-kapcsolatokhoz.
A B2B közvetlen kapcsolódási felhasználó számára a Teams megosztott csatornáján keresztül elérhető erőforrásokról, fájlokról és alkalmazásokról a Microsoft Teams csevegései, csapatai, csatornái és alkalmazásai tájékozódhatnak.
A licencelés és a számlázás a havi aktív felhasználókon (MAU) alapul. További információ a Microsoft Entra Külső ID számlázási modelljéről.
Azure Active Directory B2C
Az Azure Active Directory B2C (Azure AD B2C) a Microsoft régi megoldása az ügyfélidentitás és a hozzáférés-kezelés számára. Az Azure AD B2C tartalmaz egy külön fogyasztói alapú címtárat, amelyet az Azure Portalon az Azure AD B2C szolgáltatáson keresztül kezelhet. Minden Azure AD B2C-bérlő külön van, és különbözik a Többi Microsoft Entra-azonosítótól és az Azure AD B2C-bérlőtől. Az Azure AD B2C portál felülete hasonló a Microsoft Entra-azonosítóhoz, de vannak alapvető különbségek, például a felhasználói folyamatok testreszabásának lehetősége az Identity Experience Framework használatával.
Az Azure AD B2C-bérlők Microsoft Entra-bérlőktől való eltéréséről további információt az Azure AD B2C támogatott Microsoft Entra funkciói című témakörben talál. Az Azure AD B2C konfigurálásával és kezelésével kapcsolatos részletekért tekintse meg az Azure AD B2C dokumentációját.
Microsoft Entra jogosultságkezelés üzleti vendég regisztrációhoz
Meghívást kérő szervezetként előfordulhat, hogy nem tudja előre, hogy kik azok a külső közreműködők, akiknek hozzáférésre van szükségük az erőforrásokhoz. Szüksége van egy olyan módszerre, amellyel a partnervállalatok felhasználói regisztrálhatják magukat az Ön által szabályozható szabályzatokkal. Ha engedélyezni szeretné, hogy más szervezetek felhasználói hozzáférést kérjenek, a Microsoft Entra jogosultságkezelésével konfigurálhatja a külső felhasználók hozzáférését kezelő szabályzatokat. Jóváhagyás után ezek a felhasználók vendégfiókokkal lesznek kiépítve, és csoportokhoz, alkalmazásokhoz és SharePoint Online-webhelyekhez lesznek hozzárendelve.
Feltételes hozzáférés
A szervezetek feltételes hozzáférési szabályzatokkal növelhetik biztonságukat a megfelelő hozzáférés-vezérlések, például az MFA külső felhasználókra való alkalmazásával.
Feltételes hozzáférés és MFA külső bérlőkben
A külső bérlőkben a szervezetek a Microsoft Entra feltételes hozzáférési szabályzat létrehozásával és az MFA hozzáadásával kényszeríthetik az MFA-t az ügyfelek számára a regisztrációs és bejelentkezési felhasználói folyamatokhoz. A külső bérlők két hitelesítési módszert támogatnak második tényezőként:
- Egyszeri pin-kód elküldése: Miután a felhasználó bejelentkezett az e-mail-címével és jelszavával, a rendszer kérni fogja az e-mailre küldött pin-kód megadását.
- SMS-alapú hitelesítés: Az SMS második tényezős hitelesítési módszerként érhető el az MFA-hoz a külső bérlők felhasználói számára. Azok a felhasználók, akik e-mail-címmel és jelszóval, e-mail-címmel és egyszeri pin-kóddal, illetve közösségi identitásokkal( például Google vagy Facebook) jelentkeznek be, sms-ben kérik a második ellenőrzést.
További információ a külső bérlők hitelesítési módszereiről.
Feltételes hozzáférés a B2B-együttműködéshez és a közvetlen B2B-csatlakozáshoz
A munkaerő-bérlőkben a szervezetek a feltételes hozzáférési szabályzatokat a külső B2B-együttműködésre és a B2B közvetlen kapcsolódására ugyanúgy kényszeríthetik, mint a teljes munkaidős alkalmazottak és a szervezet tagjai számára. A Microsoft Entra bérlők közötti forgatókönyvei esetén, ha a feltételes hozzáférési szabályzatok MFA- vagy eszközmegfelelőségi feltételeket igényelnek, mostantól megbízhat egy külső felhasználó otthoni szervezetétől származó MFA- és eszközmegfelelőségi jogcímekben. Ha a megbízhatósági beállítások engedélyezve vannak, a hitelesítés során a Microsoft Entra-azonosító ellenőrzi a felhasználó hitelesítő adatait egy MFA-jogcímhez vagy egy eszközazonosítóhoz annak megállapításához, hogy a szabályzatok teljesültek-e. Ha igen, a külső felhasználó zökkenőmentes bejelentkezést kap a megosztott erőforrásra. Ellenkező esetben az MFA vagy az eszköz kihívása a felhasználó otthoni bérlőjében lesz elindítva. További információ a külső felhasználók hitelesítési folyamatáról és feltételes hozzáféréséről a munkaerő-bérlőkben.
Több-bérlős alkalmazások
Ha szolgáltatásként kínál szoftveralkalmazást (SaaS) számos szervezetnek, konfigurálhatja az alkalmazást úgy, hogy bármely Microsoft Entra-bérlőről fogadjon be bejelentkezéseket. Ezt a konfigurációt az alkalmazás több-bérlőssé tételének nevezzük. Bármely Microsoft Entra-bérlő felhasználói bejelentkezhetnek az alkalmazásba, miután hozzájárultak a fiókjuk alkalmazáshoz való használatához. Megtudhatja, hogyan engedélyezheti a több-bérlős bejelentkezéseket.
Több-bérlős szervezetek
A több-bérlős szervezetek olyan szervezetek, amelyek a Microsoft Entra ID több példányával is rendelkezik. A több-bérlős bérlőknek számos oka van. A szervezet például több felhőre vagy földrajzi határra is kiterjedhet.
A több-bérlős szervezeti képesség zökkenőmentes együttműködést tesz lehetővé a Microsoft 365-ben. Javítja az alkalmazottak együttműködési élményét a szervezet több bérlőjénél olyan alkalmazásokban, mint a Microsoft Teams és a Microsoft Viva Engage.
A bérlők közötti szinkronizálási funkció egy egyirányú szinkronizálási szolgáltatás, amely biztosítja, hogy a felhasználók anélkül férhessenek hozzá az erőforrásokhoz, hogy meghívó e-mailt kapnak, és minden bérlőben el kell fogadniuk egy hozzájárulási kérést.
Ha többet szeretne megtudni a több-bérlős szervezetekről és a bérlők közötti szinkronizálásról, tekintse meg a több-bérlős szervezetek dokumentációját és a funkciók összehasonlítását.
Microsoft Graph API-k
Az összes külső azonosító funkció a Microsoft Graph API-kon keresztüli automatizáláshoz is támogatott, kivéve a következő szakaszban felsoroltakat. További információ: Microsoft Entra-identitás és hálózati hozzáférés kezelése a Microsoft Graph használatával.
A Microsoft Graph nem támogatja a képességeket
Külső azonosító funkció | Támogatott: | Automatizálási kerülő megoldások |
---|---|---|
Az Önhöz tartozó szervezetek azonosítása | Munkaerő-bérlők | Bérlők – Az Azure Resource Manager API listázása. Megosztott Teams-csatornák és közvetlen B2B-csatlakozás esetén használja a Microsoft Graph API-t a TenantReferences lekérése funkcióval. |
Microsoft Entra Microsoft Graph API b2B-együttműködéshez
Bérlők közötti hozzáférési beállítások API-k: A Microsoft Graph bérlők közötti hozzáférési API-ival programozott módon létrehozhatja az Azure Portalon konfigurálható B2B együttműködési és B2B közvetlen kapcsolódási szabályzatokat. Ezen API-k használatával szabályzatokat állíthat be a bejövő és kimenő együttműködéshez. Például alapértelmezés szerint engedélyezheti vagy letilthatja a funkciókat mindenki számára, és korlátozhatja a hozzáférést adott szervezetekhez, csoportokhoz, felhasználókhoz és alkalmazásokhoz. Az API-k lehetővé teszik többtényezős hitelesítés (MFA) és eszközjogcímek (megfelelő jogcímek és a Microsoft Entra hibrid csatlakoztatott jogcímek) elfogadását más Microsoft Entra-szervezetektől.
B2B együttműködési meghíváskezelő: A Microsoft Graph meghíváskezelő API-ja saját előkészítési élmények létrehozásához érhető el üzleti vendégek számára. A meghívási API-val például automatikusan elküldhet egy testre szabott meghívó e-mailt közvetlenül a B2B-felhasználónak. Vagy az alkalmazás a létrehozási válaszban visszaadott inviteRedeemUrl használatával elkészítheti saját meghívását (a választott kommunikációs mechanizmuson keresztül) a meghívott felhasználónak.