Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Microsoft Entra Külső azonosító hatékony megoldásokat kombinál a szervezeten kívüli személyekkel való munkavégzéshez. A külső azonosító képességeivel lehetővé teheti, hogy a külső identitások biztonságosan elérhessék az alkalmazásokat és erőforrásokat.
Függetlenül attól, hogy külső partnerekkel, fogyasztókkal vagy üzleti ügyfelekkel dolgozik, a felhasználók saját identitásokat hozhatnak létre. Ezek az identitások tartalmazhatnak vállalati vagy kormányzati fiókokat, valamint olyan közösségi identitásszolgáltatókat, mint a Google vagy a Facebook.
Ezek a forgatókönyvek a külső azonosító hatókörébe tartoznak:
Ha Ön olyan szervezet vagy fejlesztő, aki fogyasztói alkalmazásokat hoz létre, a külső azonosítóval gyorsan hozzáadhat hitelesítést és ügyfélidentitás- és hozzáférés-kezelést (CIAM) az alkalmazáshoz. Regisztrálja az alkalmazást, testreszabott bejelentkezési felületeket hoz létre, és külső konfigurációban kezeli az alkalmazás felhasználóit egy Microsoft Entra-bérlőben. Ez a bérlő elkülönül az alkalmazottaktól és a szervezeti erőforrásoktól.
Ha engedélyezni szeretné az alkalmazottak számára az üzleti partnerekkel és vendégekkel való együttműködést, használja a B2B együttműködést külső azonosítóban. A vállalati alkalmazásokhoz való biztonságos hozzáférés engedélyezése meghívással vagy önkiszolgáló regisztrációval. Határozza meg, hogy a vendégek milyen szintű hozzáféréssel rendelkeznek a Microsoft Entra bérlőhöz, amely tartalmazza az alkalmazottakat és a szervezeti erőforrásokat; ez a bérlő munkaerő-konfigurációban van beállítva.
A külső azonosító mindkét megoldáshoz rugalmas megoldás:
- Fogyasztóközpontú alkalmazásfejlesztők, akiknek hitelesítésre és CIAM-re van szükségük
- Biztonságos B2B-együttműködést kereső vállalkozások
Alkalmazások védelme a fogyasztók és az üzleti ügyfelek számára
A szervezetek és fejlesztők a külső bérlőben lévő külső azonosítót használhatják CIAM-megoldásként, amikor alkalmazásaikat közzéteszik a fogyasztók és az üzleti ügyfelek számára.
Létrehozhat egy külön Microsoft Entra-bérlőt egy külső konfigurációban, hogy az alkalmazásait és felhasználói fiókjait a munkaerőtől elkülönítve kezelje. Ebben a bérlőben konfigurálhatja az egyéni védjegyzett regisztrációs szolgáltatásokat és a felhasználókezelési funkciókat:
Önkiszolgáló regisztrációs folyamatokat állíthat be, amelyek meghatározzák az ügyfelek által követendő regisztrációs lépéseket és az általuk használható bejelentkezési módszereket. Ezek a módszerek közé tartozik az e-mail és a jelszó, az egyszeri pin-kód, illetve a Google vagy a Facebook közösségi fiókjai.
Egyéni felhasználói felület létrehozása az alkalmazásokba bejelentkező felhasználók számára a bérlő márkajelzési beállításainak konfigurálásával. Ezekkel a beállításokkal saját háttérképeket, színeket, céges emblémákat és szöveget adhat hozzá a bejelentkezésekhez az alkalmazásokban.
A regisztráció során adatokat gyűjthet az ügyfelektől a beépített felhasználói attribútumok kiválasztásával vagy saját egyéni attribútumok hozzáadásával.
Elemezze a felhasználói tevékenységeket és az előjegyzési adatokat, hogy értékes megállapításokat derítsen fel, amelyek segíthetnek a stratégiai döntésekben, és ösztönözhetik az üzleti növekedést.
A külső azonosítóval az ügyfelek egy már meglévő identitással jelentkezhetnek be. Testre szabhatja és szabályozhatja, hogy az ügyfelek hogyan regisztrálnak és jelentkezzenek be az alkalmazások használatakor. Mivel ezek a CIAM-képességek a külső azonosítóba vannak beépítve, a Microsoft Entra platform olyan funkcióit is élvezheti, mint a fokozott biztonság, a megfelelőség és a méretezhetőség.
További részletekért tekintse meg a külső bérlőkben használt Microsoft Entra külső azonosítók áttekintését.
Együttműködés üzleti vendégekkel
A külső azonosítójú B2B együttműködés lehetővé teszi a munkaerő számára, hogy külső üzleti partnerekkel működjön együtt. Bárkit meghívhat, hogy jelentkezzen be a Microsoft Entra-szervezetbe saját hitelesítő adataival, hogy hozzáférhessenek a velük megosztani kívánt alkalmazásokhoz és erőforrásokhoz.
B2B-együttműködést akkor használhat, ha lehetővé kell tenni, hogy a vállalati vendégek hozzáférjenek az Office 365-alkalmazásokhoz, a szolgáltatásként nyújtott szoftveres (SaaS-) alkalmazásokhoz és az üzletági alkalmazásokhoz. Nincsenek az üzleti vendégekhez társított hitelesítő adatok. Ehelyett az otthoni szervezetükkel vagy identitásszolgáltatójukkal hitelesítik magukat, majd a szervezet ellenőrzi a vendégmunka jogosultságát.
Különböző módokon adhat hozzá üzleti vendégeket a szervezethez együttműködés céljából:
Felkérheti a felhasználókat az együttműködésre az Ön által engedélyezett Microsoft Entra-fiókjaik, Microsoft-fiókjaik vagy közösségi identitásaik, például a Google használatával. A rendszergazdák a Microsoft Entra felügyeleti központ vagy a PowerShell használatával meghívhatják a felhasználókat együttműködésre. A felhasználók egy egyszerű visszaváltási folyamattal jelentkeznek be a megosztott erőforrásokba a munkahelyi, iskolai vagy egyéb e-mail-fiókjukkal.
Az önkiszolgáló regisztrációs felhasználói folyamatok segítségével a vendégek maguk regisztrálhatnak alkalmazásokra. A felhasználói felület testre szabható, hogy munkahelyi, iskolai vagy közösségi identitással (például Google vagy Facebook) regisztrálhasson. A regisztrációs folyamat során adatokat is gyűjthet a felhasználókról.
Használja a Microsoft Entra jogosultságkezelést, amely a külső felhasználók identitásának és hozzáférésének nagy léptékű kezelésére szolgál. Ezzel a funkcióval automatizálhatja a hozzáférési kérelmek munkafolyamatait, a hozzáférési hozzárendeléseket, a felülvizsgálatokat és a lejáratot.
A rendszer egy felhasználói objektumot hoz létre az üzleti vendégek számára ugyanabban a könyvtárban, amelyet az alkalmazottak számára használ. Ezt a felhasználói objektumot a címtár más felhasználói objektumaihoz hasonlóan kezelheti. Hozzáadhatja például csoportokhoz. Engedélyeket rendelhet a felhasználói objektumhoz engedélyezés céljából, miközben a felhasználók a meglévő hitelesítő adataikat használhatják hitelesítésre.
Bérlők közötti hozzáférési beállításokat használhat más Microsoft Entra-szervezetekkel és a Microsoft Azure-felhőkkel való együttműködés kezeléséhez. A nem Microsoft Entra külső felhasználókkal és szervezetekkel való együttműködéshez használja a külső együttműködési beállításokat.
Mik a munkaerő és a külső bérlők?
A bérlő a Microsoft Entra ID dedikált és megbízható példánya. Egy szervezet erőforrásait tartalmazza, beleértve a regisztrált alkalmazásokat és a felhasználók könyvtárát. A bérlő kétféleképpen konfigurálható attól függően, hogy a szervezet hogyan kívánja használni a bérlőt és a kezelni kívánt erőforrásokat:
- A munkaerő-bérlő konfiguráció egy szabványos Microsoft Entra-bérlő, amely magában foglalja az alkalmazottakat, a belső üzleti alkalmazásokat és más szervezeti erőforrásokat. A munkaerő bérlői környezetben a belső felhasználók B2B együttműködés révén együttműködhetnek külső üzleti partnerekkel és vendégekkel.
- A külső bérlőkonfiguráció kizárólag olyan alkalmazásokhoz használható, amelyeket közzé szeretne tenni a felhasználók vagy az üzleti ügyfelek számára. Ez a különálló bérlő a Microsoft Entra standard bérlői modellt követi, de konfigurálva van fogyasztói forgatókönyvekhez. Tartalmazza az alkalmazásregisztrációkat és a fogyasztói vagy ügyfélfiókok könyvtárát.
További információkért lásd a Microsoft Entra Külső ID munkaerő- és külső bérlő-konfigurációit.
Külső azonosító funkciókészletek összehasonlítása
Az alábbi táblázat összehasonlítja a külső azonosítóval engedélyezhető forgatókönyveket.
| Scenario | Külső azonosító a munkaerő bérlőknél | Külső azonosító külső bérlők esetén |
|---|---|---|
| Elsődleges forgatókönyv | Lehetővé teszi, hogy a munkatársak együttműködjenek az üzleti vendégekkel. Lehetővé teszi, hogy a vendégek az előnyben részesített identitásukkal jelentkezzenek be a Microsoft Entra-szervezet erőforrásaiba. A külső azonosító hozzáférést biztosít a Microsoft-alkalmazásokhoz vagy saját alkalmazásaihoz, beleértve az SaaS-alkalmazásokat vagy az egyéni fejlesztésű alkalmazásokat. Példa: Meghívhat egy vendéget, hogy jelentkezzen be a Microsoft-alkalmazásokba, vagy legyen vendégtag a Teamsben. |
Alkalmazások közzététele külső felhasználóknak és üzleti ügyfeleknek külső azonosító használatával identitáskezelési funkciókhoz. A külső azonosító identitás- és hozzáférés-kezelést biztosít a modern SaaS- vagy egyéni fejlesztésű alkalmazásokhoz (nem a Microsoft-alkalmazásokhoz). Példa: Egyéni bejelentkezési felület létrehozása a fogyasztói mobilalkalmazás felhasználói számára, és az alkalmazáshasználat monitorozása. |
| Rendeltetése: | Együttműködés külső szervezetek üzleti partnereivel, például beszállítókkal, partnerekkel és szállítókkal. Előfordulhat, hogy ezek a felhasználók rendelkeznek Microsoft Entra azonosítóval vagy felügyelt informatikai rendszerekkel. | Az alkalmazás felhasználói és üzleti ügyfelei. Ezeket a felhasználókat egy olyan Microsoft Entra-bérlő kezeli, amely külső alkalmazásokra és felhasználókra van konfigurálva. |
| Felhasználók kezelése | A B2B együttműködési felhasználókat ugyanabban a munkaerő-bérleményben kezeli, mint az alkalmazottakat, de általában vendégfelhasználóként jelöli meg őket. A vendégfelhasználók ugyanúgy kezelhetők, mint az alkalmazottak, és felveheti őket ugyanahhoz a csoporthoz. A bérlők közötti hozzáférési beállítások segítségével meghatározhatja, hogy mely felhasználók férhetnek hozzá a B2B-együttműködéshez. | Az alkalmazás felhasználóit egy külső bérlőben kezelheti, amelyet az alkalmazás felhasználói számára hoz létre. A külső bérlő felhasználói eltérő alapértelmezett engedélyekkel rendelkeznek, mint a munkaerő-bérlők felhasználói. A külső bérlő különbözik a szervezet alkalmazotti címtárától. |
| Egyszeri bejelentkezés (SSO) | A Microsoft Entra-hoz csatlakoztatott összes alkalmazás egyszeri bejelentkezése támogatott. Hozzáférést biztosíthat például a Microsoft 365-höz vagy a helyszíni alkalmazásokhoz, valamint más SaaS-alkalmazásokhoz, például a Salesforce-hoz vagy a Workdayhez. | Az SSO támogatott a külső bérlőben regisztrált alkalmazásokhoz. A Microsoft 365-be vagy más Microsoft SaaS-alkalmazásokba való egyszeri bejelentkezés nem támogatott. |
| Céges arculat | A hitelesítési felület alapértelmezett állapota a Microsoft-kialakítás. A rendszergazdák testre szabhatják a vendégbejelentkezési élményt a céges arculatukkal. | A külső bérlő alapértelmezett védjegyezése semleges, és nem tartalmaz meglévő Microsoft-védjegyezést. A rendszergazdák testre szabhatják a cég arculatát vagy alkalmazásonként. További információ. |
| A Microsoft felhőbeállításai | Támogatott. | Nem alkalmazható. |
| Jogosultságkezelés | Támogatott. | Nem alkalmazható. |
Kapcsolódó technológiák
Számos Microsoft Entra-technológia kapcsolódik a külső felhasználókkal és szervezetekkel való együttműködéshez. A külső azonosító együttműködési modelljének tervezésekor vegye figyelembe ezeket a további funkciókat.
közvetlen B2B-kapcsolat
A B2B közvetlen csatlakozással kétirányú megbízhatósági kapcsolatokat hozhat létre más Microsoft Entra-szervezetekkel a Teams Connect megosztott csatornák funkciójának engedélyezéséhez. Ez a funkció lehetővé teszi, hogy a felhasználók zökkenőmentesen jelentkezzenek be a Teams megosztott csatornáira csevegéshez, hívásokhoz, fájlmegosztáshoz és alkalmazásmegosztáshoz.
Amikor két szervezet kölcsönösen engedélyezi a közvetlen B2B-kapcsolatot, a felhasználók hitelesítik magukat az otthoni szervezetükben, és jogkivonatot kapnak az erőforrás-szervezettől a hozzáféréshez. A B2B-együttműködéstől eltérően a közvetlen B2B-felhasználók nem lesznek vendégként hozzáadva a munkaerő-címtárhoz. További információ a B2B közvetlen csatlakozásról a Microsoft Entra külső azonosítójában.
A B2B külső szervezettel való közvetlen kapcsolódásának beállítása után a Teams megosztott csatornáinak alábbi képességei válnak elérhetővé:
A megosztott csatorna tulajdonosa megkeresheti a Teamsben a külső szervezet által engedélyezett felhasználókat, és felveheti őket a megosztott csatornára.
A külső felhasználók anélkül férhetnek hozzá a Teams megosztott csatornájához, hogy át kellene váltaniuk a szervezeteket, vagy egy másik fiókkal kellene bejelentkezniük. A Teamsben egy külső felhasználó a Fájlok lapon érheti el a fájlokat és az alkalmazásokat. A megosztott csatorna szabályzatai határozzák meg a felhasználó hozzáférését.
A bérlők közötti hozzáférési beállításokat használja a többi Microsoft Entra szervezettel fennálló megbízhatósági kapcsolatok kezelésére, valamint a B2B közvetlen kapcsolatok bejövő és kimenő irányelveinek meghatározására.
A megosztott Teams-csatornán keresztül a B2B felhasználói számára elérhető erőforrásokról, fájlokról és alkalmazásokról további információt a Microsoft Teams csevegésében, csapataiban, csatornáiban és alkalmazásaiban talál.
A licencelés és a számlázás a havi aktív felhasználókon (MAU) alapul. További információk a Microsoft Entra External ID számlázási modelljéről.
Azure Active Directory B2C (Azure AD B2C)
Fontos
2025. május 1-jével az Azure Active Directory B2C (Azure AD B2C) már nem érhető el az új ügyfelek számára. További információ: Az Azure AD B2C továbbra is megvásárolható? című témakört a gyakori kérdések között találja.
Az Azure AD B2C egy régi megoldás az ügyfélidentitás és a hozzáférés-kezelés számára. Az Azure AD B2C tartalmaz egy külön fogyasztói alapú címtárat, amelyet az Azure Portalon az Azure AD B2C szolgáltatáson keresztül kezelhet. Minden Azure AD B2C-bérlő önálló és különáll a többi Microsoft Entra ID és Azure AD B2C bérlőtől.
Az Azure AD B2C portál felülete hasonló a Microsoft Entra-azonosítóhoz, de vannak lényeges különbségek. Testre szabhatja például a felhasználói folyamatokat az Identity Experience Framework használatával.
Az Azure AD B2C-bérlők Microsoft Entra-bérlőktől való eltéréséről további információt az Azure AD B2C támogatott Microsoft Entra funkciói című témakörben talál. Az Azure AD B2C konfigurálásával és kezelésével kapcsolatos részletekért tekintse meg az Azure AD B2C dokumentációját.
Microsoft Entra jogosultságkezelés üzleti vendég regisztrációhoz
Előfordulhat, hogy nem tudja előre, hogy mely külső közreműködőknek kell hozzáférnie az erőforrásokhoz. Szüksége van egy olyan módszerre, amellyel a partnervállalatok felhasználói regisztrálhatják magukat az Ön által szabályozható szabályzatokkal.
Ha engedélyezni szeretné, hogy más szervezetek felhasználói hozzáférést kérjenek, a Microsoft Entra jogosultságkezelésével konfigurálhatja a külső felhasználók hozzáférését kezelő szabályzatokat. Jóváhagyás után ezek a felhasználók vendégfiókokkal vannak kiépítve, és csoportokhoz, alkalmazásokhoz és SharePoint Online-webhelyekhez vannak rendelve.
Feltételes hozzáférés
A szervezetek a Microsoft Entra feltételes hozzáférési szabályzatai segítségével növelhetik biztonságukat a megfelelő hozzáférési vezérlők külső felhasználókra való alkalmazásával. Ezek a vezérlők közé tartozik a többtényezős hitelesítés (MFA).
Feltételes hozzáférés és MFA külső bérlőkben
A külső bérlőkben a szervezetek feltételes hozzáférési szabályzat létrehozásával és az MFA hozzáadásával kényszeríthetik az MFA-t az ügyfelek számára a regisztrációs és bejelentkezési felhasználói folyamatokhoz. A külső bérlők két hitelesítési módszert támogatnak második tényezőként:
- Egyszeri pin-kód küldése e-mailben. Miután a felhasználók bejelentkeztek az e-mail-címükkel és jelszavukkal, a rendszer egy pin-kód megadását kéri, amelyet a rendszer elküld az e-mail-címükre.
- SMS-alapú hitelesítés. Az SMS másodlagos hitelesítési módszerként érhető el az MFA-hoz a külső bérlők felhasználói számára. Azok a felhasználók, akik e-mail-címmel és jelszóval, e-mail-címmel és egyszeri pin-kóddal, illetve közösségi identitásokkal( például Google vagy Facebook) jelentkeznek be, sms-ben kérik a második ellenőrzést.
További információ a külső bérlők hitelesítési módszereiről.
Feltételes hozzáférés a B2B-együttműködéshez és a közvetlen B2B-csatlakozáshoz
A munkavállalói bérlőkörnyezetben a szervezetek feltételes hozzáférési szabályzatokat alkalmazhatnak a külső B2B-együttműködésre és a B2B közvetlen kapcsolódási felhasználókra ugyanúgy, ahogy a teljes munkaidős alkalmazottaknál és a szervezet tagjainál. A Microsoft Entra bérlők közötti forgatókönyvei esetén, ha a feltételes hozzáférési szabályzatok MFA- vagy eszközmegfelelőségi feltételeket igényelnek, mostantól megbízhat egy külső felhasználó otthoni szervezetétől származó MFA- és eszközmegfelelőségi jogcímekben.
Ha a megbízhatósági beállítások engedélyezve vannak, a hitelesítés során a Microsoft Entra-azonosító ellenőrzi a felhasználó hitelesítő adatait egy MFA-jogcímhez vagy egy eszközazonosítóhoz annak megállapításához, hogy a szabályzatok teljesültek-e. Ha igen, a külső felhasználó zökkenőmentes bejelentkezést kap a megosztott erőforrásra. Ellenkező esetben az MFA vagy az eszköz kihívása a felhasználó otthoni bérlőjében lesz elindítva. További információ a külső felhasználók hitelesítési folyamatáról és feltételes hozzáféréséről a munkaerő-bérlőkben.
Több-bérlős alkalmazások
Ha számos szervezetnek kínál SaaS-alkalmazást, úgy konfigurálhatja az alkalmazást, hogy bármely Microsoft Entra-bérlőről fogadjon be bejelentkezéseket. Ezt a konfigurációt az alkalmazás több-bérlőssé tételének nevezzük. Bármely Microsoft Entra-bérlő felhasználói bejelentkezhetnek az alkalmazásba, miután hozzájárultak a fiókjuk alkalmazáshoz való használatához. Megtudhatja, hogyan engedélyezheti a több-bérlős bejelentkezéseket.
Több-bérlős szervezetek
A több-bérlős szervezet olyan szervezet, amely a Microsoft Entra ID több példányával is rendelkezik. Több bérlő használatának különböző okai vannak. A szervezet például több felhőre vagy földrajzi határra is kiterjedhet.
A több-bérlős szervezetek képessége zökkenőmentes együttműködést tesz lehetővé a Microsoft 365-ben. Emellett javítja az alkalmazottak együttműködési élményét a szervezet több bérlőjénél olyan alkalmazásokban, mint a Microsoft Teams és a Microsoft Viva Engage.
A bérlők közötti szinkronizálási funkció egy egyirányú szinkronizálási szolgáltatás, amely lehetővé teszi a felhasználók számára, hogy anélkül férhessenek hozzá az erőforrásokhoz, hogy meghívó e-mailt kapnak az egyes bérlők hozzájárulási kérésének elfogadásáról.
Ha többet szeretne megtudni a több-bérlős szervezetekről és a bérlők közötti szinkronizálásról, tekintse meg a több-bérlős szervezetek dokumentációját és a funkciók összehasonlítását.
Microsoft Graph API-k
Az összes külső azonosító funkció a Microsoft Graph API-kon keresztüli automatizáláshoz is támogatott, kivéve a következő szakaszban felsorolt funkciót. További információ: Microsoft Entra-identitás és hálózati hozzáférés kezelése a Microsoft Graph használatával.
A Microsoft Graph nem támogatja a képességeket
| Külső azonosító funkció | Támogatott itt: | Automatizálási megoldások |
|---|---|---|
| Az Önhöz tartozó szervezetek azonosítása | Munkaerő-bérlők | Tekintse meg a Bérlők - Lista Azure Resource Manager API-t. A megosztott Teams-csatornák és a közvetlen B2B-kapcsolat esetén a Microsoft Graph API Get tenantReferences funkcióját használja. |
Microsoft Graph API b2B-együttműködéshez
Bérlők közötti hozzáférési API-k. Programozott módon hozza létre ugyanazt a B2B-együttműködést és A B2B közvetlen kapcsolódási szabályzatokat, amelyek az Azure Portalon konfigurálhatók.
Ezen API-k használatával szabályzatokat állíthat be a bejövő és kimenő együttműködéshez. Például alapértelmezés szerint engedélyezheti vagy letilthatja a funkciókat mindenki számára, és korlátozhatja a hozzáférést adott szervezetekhez, csoportokhoz, felhasználókhoz és alkalmazásokhoz.
Ezekkel az API-kkal MFA- és eszközjogcímeket (megfelelő jogcímeket és Microsoft Entra hibrid csatlakoztatott jogcímeket) is elfogadhat más Microsoft Entra-szervezetektől.
Erőforrástípus a meghíváskezeléshez. Építsen saját beilleszkedési élményeket üzleti vendégek számára. A Meghívó létrehozása API használatával például automatikusan elküldhet egy testre szabott meghívó e-mailt közvetlenül a B2B-felhasználónak. Vagy használhatja a
inviteRedeemUrllétrehozási válaszban visszaadott értéket, hogy saját meghívást készítsen (a választott kommunikációs mechanizmuson keresztül) a meghívott felhasználónak.