Bagikan melalui

Gambaran umum koneksi langsung B2B

  • Artikel

Berlaku untuk: Lingkaran hijau dengan simbol tanda centang putih. Penyewa Tenaga Kerja Penyewa Lingkaran putih dengan simbol X abu-abu. eksternal (pelajari lebih lanjut)

B2B direct connect adalah fitur Microsoft Entra External ID yang memungkinkan Anda menyiapkan hubungan kepercayaan bersama dengan organisasi Microsoft Entra lain untuk kolaborasi yang lancar. Saat ini fitur ini berfungsi dengan saluran bersama Microsoft Teams. Dengan koneksi langsung B2B, pengguna dari kedua organisasi dapat bekerja sama menggunakan info masuk beranda mereka dan saluran bersama di Teams, tanpa harus ditambahkan ke organisasi masing-masing sebagai tamu. Gunakan koneksi langsung B2B untuk berbagi sumber daya dengan organisasi Microsoft Entra eksternal. Atau gunakan untuk berbagi sumber daya di beberapa penyewa Microsoft Entra dalam organisasi Anda sendiri.

Diagram yang mengilustrasikan koneksi langsung B2B.

Koneksi langsung B2B memerlukan hubungan saling percaya antara dua organisasi Microsoft Entra untuk memungkinkan akses ke sumber daya satu sama lain. Baik organisasi sumber daya maupun organisasi eksternal harus saling mengaktifkan koneksi langsung B2B dalam pengaturan akses lintas penyewa. Ketika kepercayaan ditetapkan, pengguna B2B direct connect memiliki akses menyeluruh ke sumber daya di luar organisasi mereka menggunakan kredensial dari organisasi Microsoft Entra asal mereka.

Saat ini, kemampuan koneksi langsung B2B bekerja dengan saluran bersama Teams. Ketika koneksi langsung B2B dibuat antara dua organisasi, pengguna dalam satu organisasi dapat membuat saluran bersama di Teams dan mengundang pengguna koneksi langsung B2B eksternal ke dalamnya. Kemudian dari dalam Teams, pengguna koneksi langsung B2B dapat dengan mulus mengakses saluran bersama di instans Teams penyewa beranda mereka, tanpa harus masuk secara manual ke organisasi yang menghosting saluran bersama.

Untuk informasi lisensi dan harga yang terkait dengan pengguna koneksi langsung B2B, lihat harga ID Eksternal Microsoft Entra.

Mengelola akses lintas penyewa untuk koneksi langsung B2B

Organisasi Microsoft Entra dapat mengelola hubungan kepercayaan mereka dengan organisasi Microsoft Entra lainnya dengan menentukan pengaturan akses lintas penyewa masuk dan keluar. Pengaturan akses lintas penyewa memberi Anda kontrol terperinci terkait cara organisasi lain berkolaborasi dengan Anda (akses masuk) dan cara pengguna Anda berkolaborasi dengan organisasi lain (akses keluar).

  • Pengaturan akses masuk mengontrol apakah pengguna dari organisasi eksternal dapat mengakses sumber daya di organisasi Anda. Anda dapat menerapkan pengaturan ini untuk semua orang, atau Anda dapat menentukan pengguna, grup, dan aplikasi secara individu.

  • Pengaturan akses keluar mengontrol apakah pengguna Anda dapat mengakses sumber daya di organisasi eksternal. Anda dapat menerapkan pengaturan ini untuk semua orang, atau Anda dapat menentukan pengguna, grup, dan aplikasi secara individu.

  • Pembatasan penyewa menentukan bagaimana pengguna Anda dapat mengakses organisasi eksternal saat mereka menggunakan perangkat dan jaringan Anda, tetapi mereka masuk menggunakan akun yang diberikan kepada mereka oleh organisasi eksternal.

  • Pengaturan kepercayaan menentukan apakah kebijakan Akses Bersyarat Anda akan mempercayai autentikasi multifaktor (MFA), perangkat yang sesuai, dan klaim perangkat gabungan hibrid Microsoft Entra dari organisasi eksternal saat pengguna mereka mengakses sumber daya Anda.

Penting

Koneksi langsung B2B hanya dimungkinkan jika kedua organisasi mengizinkan akses ke dan dari organisasi lain. Misalnya, Contoso dapat mengizinkan koneksi langsung B2B masuk dari Fabrikam, tetapi berbagi tidak dapat dilakukan sebelum Fabrikam juga mengaktifkan koneksi langsung B2B keluar dengan Contoso. Oleh karena itu, Anda perlu berkoordinasi dengan admin organisasi eksternal untuk memastikan pengaturan akses lintas penyewa mereka mengizinkan berbagi dengan Anda. Perjanjian bersama ini penting karena koneksi langsung B2B memungkinkan berbagi data secara terbatas untuk pengguna yang Anda aktifkan untuk koneksi langsung B2B.

Pengaturan default

Pengaturan akses lintas penyewa default berlaku untuk semua organisasi Microsoft Entra eksternal, kecuali organisasi tempat Anda mengonfigurasi pengaturan individual. Awalnya, MICROSOFT Entra ID memblokir semua kemampuan koneksi langsung B2B masuk dan keluar secara default untuk semua penyewa Microsoft Entra eksternal. Anda dapat mengubah pengaturan default ini, tetapi biasanya Anda dapat membiarkannya apa adanya dan mengaktifkan akses koneksi langsung B2B dengan masing-masing organisasi.

Pengaturan khusus organisasi

Anda dapat mengonfigurasi pengaturan khusus organisasi dengan menambahkan organisasi dan mengubah pengaturan akses lintas penyewa. Pengaturan ini kemudian lebih diutamakan daripada pengaturan default untuk organisasi ini.

Contoh 1: Mengizinkan B2B terhubung langsung dengan Fabrikam dan memblokir semua yang lain

Dalam contoh ini, Contoso ingin memblokir koneksi langsung B2B dengan semua organisasi eksternal secara default, tetapi mengizinkan koneksi langsung B2B untuk semua pengguna, grup, dan aplikasi di Fabrikam.

Contoh pemblokiran B2B direct connect secara default tetapi mengizinkan org.

Contoso menetapkan pengaturan Default berikut untuk akses lintas penyewa:

  • Blokir akses masuk ke koneksi langsung B2B untuk semua pengguna dan grup eksternal.
  • Blokir akses keluar ke koneksi langsung B2B untuk semua pengguna dan grup Contoso.

Kemudian Contoso menambahkan organisasi Fabrikam dan mengonfigurasi pengaturan Organisasi berikut untuk Fabrikam:

  • Izinkan akses masuk ke koneksi langsung B2B untuk semua pengguna dan grup Fabrikam.
  • Izinkan akses masuk ke semua aplikasi Contoso internal oleh pengguna koneksi langsung Fabrikam B2B.
  • Izinkan semua pengguna Contoso, atau pilih pengguna dan grup untuk memiliki akses keluar ke Fabrikam menggunakan koneksi langsung B2B.
  • Izinkan pengguna koneksi langsung B2B Contoso memiliki akses keluar menuju semua aplikasi Fabrikam.

Agar skenario ini berfungsi, Fabrikam juga perlu mengizinkan B2B terhubung langsung dengan Contoso dengan mengonfigurasi pengaturan akses lintas-penyewa yang sama ini untuk Contoso dan untuk pengguna serta aplikasi mereka sendiri. Setelah konfigurasi selesai, pengguna Contoso yang mengelola saluran bersama Teams akan dapat menambahkan pengguna Fabrikam dengan mencari alamat email lengkap Fabrikam mereka.

Contoh 2: Mengaktifkan koneksi langsung B2B hanya dengan grup Pemasaran Fabrikam

Mulai dari contoh di atas, Contoso juga dapat memilih untuk hanya mengizinkan grup Pemasaran Fabrikam untuk berkolaborasi dengan pengguna Contoso melalui koneksi langsung B2B. Dalam hal ini, Contoso perlu mendapatkan ID objek grup Pemasaran dari Fabrikam. Kemudian, alih-alih mengizinkan akses masuk ke semua pengguna Fabrikam, mereka akan mengonfigurasi pengaturan akses khusus Fabrikam sebagai berikut:

  • Izinkan akses masuk ke koneksi langsung B2B hanya untuk grup Pemasaran Fabrikam. Contoso menetapkan ID objek grup Pemasaran Fabrikam dalam daftar pengguna dan grup yang diizinkan.
  • Izinkan akses masuk ke semua aplikasi Contoso internal oleh pengguna koneksi langsung Fabrikam B2B.
  • Izinkan semua pengguna dan grup Contoso memiliki akses keluar menuju Fabrikam menggunakan koneksi langsung B2B.
  • Izinkan pengguna koneksi langsung B2B Contoso memiliki akses keluar menuju semua aplikasi Fabrikam.

Fabrikam juga perlu mengonfigurasi pengaturan akses lintas penyewa keluar sehingga grup Pemasaran mereka diizinkan untuk berkolaborasi dengan Contoso melalui koneksi langsung B2B. Setelah konfigurasi selesai, pengguna Contoso yang mengelola saluran bersama Teams hanya dapat menambahkan pengguna grup Pemasaran Fabrikam dengan mencari alamat email lengkap Fabrikam mereka.

Autentikasi

Dalam skenario koneksi langsung B2B, autentikasi melibatkan pengguna dari organisasi Microsoft Entra (penyewa rumah pengguna) yang mencoba masuk ke file atau aplikasi di organisasi Microsoft Entra lain (penyewa sumber daya). Pengguna masuk dengan kredensial Microsoft Entra dari penyewa rumah mereka. Upaya masuk dievaluasi menurut pengaturan akses lintas penyewa di penyewa beranda pengguna dan penyewa sumber daya. Jika semua persyaratan akses terpenuhi, token dikeluarkan untuk pengguna dan memungkinkan pengguna untuk mengakses sumber daya. Token ini berlaku selama 1 jam.

Untuk detail tentang cara kerja autentikasi dalam skenario lintas penyewa dengan kebijakan Akses Bersyarat, lihat Autentikasi dan Akses Bersyarat dalam skenario lintas penyewa.

Autentikasi multifaktor (MFA)

Jika Anda ingin mengizinkan koneksi langsung B2B dengan organisasi eksternal dan kebijakan Akses Bersyarat Anda memerlukan MFA, Anda harus mengonfigurasi pengaturan kepercayaan masuk sehingga kebijakan Akses Bersyarat Anda akan menerima klaim MFA dari organisasi eksternal. Konfigurasi ini memastikan bahwa pengguna koneksi langsung B2B dari organisasi eksternal mematuhi kebijakan Akses Bersyarat Anda, dan memberikan pengalaman pengguna yang lebih lancar.

Misalnya, Contoso (penyewa sumber daya) memercayai klaim MFA dari Fabrikam. Contoso memiliki kebijakan Akses Bersyarat yang membutuhkan MFA. Kebijakan ini mencakup semua tamu, pengguna eksternal, dan SharePoint Online. Sebagai prasyarat untuk koneksi langsung B2B, Contoso harus mengonfigurasi pengaturan kepercayaan dalam pengaturan akses lintas penyewa untuk menerima klaim MFA dari Fabrikam. Ketika pengguna Fabrikam mengakses aplikasi yang mendukung koneksi langsung B2B (misalnya, saluran bersama Teams Connect), pengguna tunduk pada persyaratan MFA yang diberlakukan oleh Contoso:

  • Jika pengguna Fabrikam telah melakukan MFA di penyewa beranda mereka, mereka akan dapat mengakses sumber daya dalam saluran bersama.
  • Jika pengguna Fabrikam belum menyelesaikan MFA, mereka akan diblokir untuk mengakses sumber daya.

Untuk informasi tentang Akses Bersyarat dan Teams, lihat Gambaran umum keamanan dan kepatuhan dalam dokumentasi Microsoft Teams.

Pengaturan kepercayaan untuk kepatuhan perangkat

Di pengaturan akses lintas penyewa, Anda dapat menggunakan pengaturan Kepercayaan untuk mempercayai klaim dari penyewa beranda pengguna eksternal tentang apakah perangkat pengguna memenuhi kebijakan kepatuhan perangkat mereka atau microsoft Entra hibrid bergabung. Saat pengaturan kepercayaan perangkat diaktifkan, MICROSOFT Entra ID memeriksa sesi autentikasi pengguna untuk klaim perangkat. Jika sesi berisi klaim perangkat yang menunjukkan bahwa kebijakan telah terpenuhi di penyewa rumah pengguna, pengguna eksternal diberikan masuk tanpa hambatan ke sumber daya bersama Anda. Anda dapat mengaktifkan pengaturan kepercayaan perangkat untuk semua organisasi Microsoft Entra atau organisasi individual. (Pelajari selengkapnya)

Pengalaman pengguna koneksi langsung B2B

Saat ini, koneksi langsung B2B mengaktifkan fitur saluran bersama Teams Connect. Pengguna koneksi langsung B2B dapat mengakses saluran bersama Teams organisasi eksternal tanpa harus berpindah penyewa atau masuk dengan akun yang berbeda. Akses pengguna koneksi langsung B2B ditentukan oleh kebijakan saluran bersama.

Di organisasi sumber daya, pemilik saluran bersama Teams dapat mencari pengguna dari organisasi eksternal di dalam Teams dan menambahkan mereka ke saluran bersama. Setelah ditambahkan, pengguna koneksi langsung B2B dapat mengakses saluran bersama dari dalam instance beranda Teams mereka, tempat mereka berkolaborasi menggunakan fitur seperti obrolan, panggilan, berbagi file, dan berbagi aplikasi. Untuk detailnya, lihat Gambaran umum tim dan saluran di Microsoft Teams. Untuk detail tentang sumber daya, file, dan aplikasi yang tersedia untuk pengguna koneksi langsung B2B melalui saluran bersama Teams, lihat Obrolan, tim, saluran, & aplikasi di Microsoft Teams.

Akses dan manajemen pengguna

Pengguna koneksi langsung B2B berkolaborasi melalui koneksi timbal balik antara dua organisasi, sedangkan pengguna kolaborasi B2B diundang ke organisasi dan dikelola melalui objek pengguna.

  • B2B direct connect menawarkan cara untuk berkolaborasi dengan pengguna dari organisasi Microsoft Entra lain melalui koneksi dua arah bersama yang dikonfigurasi oleh admin dari kedua organisasi. Pengguna memiliki akses menyeluruh ke aplikasi Microsoft yang mendukung koneksi langsung B2B. Saat ini, koneksi langsung B2B mendukung saluran bersama Teams Connect.

  • Kolaborasi B2B memungkinkan Anda mengundang mitra eksternal untuk mengakses Microsoft, SaaS, atau aplikasi yang dikembangkan secara khusus. Kolaborasi B2B sangat berguna ketika mitra eksternal tidak menggunakan ID Microsoft Entra atau tidak praktis atau mungkin untuk menyiapkan koneksi langsung B2B. Kolaborasi B2B memungkinkan pengguna eksternal untuk masuk menggunakan identitas pilihan mereka, termasuk akun Microsoft Entra, akun Microsoft konsumen, atau identitas sosial yang Anda aktifkan seperti Google. Dengan kolaborasi B2B, Anda dapat mengizinkan pengguna eksternal masuk ke aplikasi Microsoft, aplikasi SaaS, aplikasi yang dikembangkan secara khusus, dan sebagainya.

Menggunakan Teams dengan koneksi langsung B2B vs. kolaborasi B2B

Dalam konteks Teams, ada perbedaan dalam cara sumber daya dapat dibagikan bergantung pada apakah Anda berkolaborasi dengan seseorang menggunakan koneksi langsung B2B atau kolaborasi B2B.

  • Dengan koneksi langsung B2B, Anda menambahkan pengguna eksternal ke saluran bersama dalam tim. Pengguna ini dapat mengakses sumber daya dalam saluran bersama, tetapi mereka tidak memiliki akses ke seluruh tim atau sumber daya lain di luar saluran bersama. Misalnya, mereka tidak memiliki akses ke portal Azure. Namun, mereka memiliki akses ke portal Aplikasi saya. Pengguna B2B direct connect tidak memiliki kehadiran di organisasi Microsoft Entra Anda, sehingga pengguna ini dikelola di klien Teams oleh pemilik saluran bersama. Untuk detailnya, lihat Menetapkan pemilik dan anggota tim di Microsoft Teams.

  • Dengan kolaborasi B2B, Anda dapat mengundang pengguna tamu ke tim. Pengguna tamu kolaborasi B2B masuk ke penyewa sumber daya menggunakan alamat email yang digunakan untuk mengundang mereka. Akses mereka ditentukan oleh izin yang ditetapkan untuk pengguna tamu di penyewa sumber daya. Pengguna tamu tidak dapat melihat atau berpartisipasi dalam saluran bersama mana pun dalam tim.

Untuk informasi selengkapnya tentang perbedaan antara kolaborasi B2B dan koneksi langsung B2B di Teams, lihat Akses tamu di Microsoft Teams.

Pemantauan dan audit

Laporan untuk memantau dan mengaudit aktivitas koneksi langsung B2B tersedia di portal Microsoft Azure dan pusat admin Microsoft Teams.

Log pemantauan dan audit Microsoft Entra

ID Microsoft Entra menyertakan informasi tentang akses lintas penyewa dan koneksi langsung B2B di log Audit dan log Masuk organisasi. Log ini dapat dilihat di portal Microsoft Azure di bagian Pemantauan.

  • Log audit Microsoft Entra: Log audit Microsoft Entra ditampilkan saat kebijakan masuk dan keluar dibuat, diperbarui, atau dihapus.

    Cuplikan layar memperlihatkan log audit.

  • Log masuk Microsoft Entra log masuk Microsoft Entra tersedia di organisasi asal dan organisasi sumber daya. Setelah koneksi langsung B2B diaktifkan, log masuk akan mulai menyertakan ID objek pengguna untuk pengguna koneksi langsung B2B dari penyewa lain. Informasi yang dilaporkan di setiap organisasi berbeda-beda, misalnya:

    • Di kedua organisasi, masuk koneksi langsung B2B diberi label dengan jenis akses lintas penyewa dari koneksi langsung B2B. Peristiwa masuk dicatat saat pengguna koneksi langsung B2B pertama kali mengakses organisasi sumber daya, dan dicatat lagi saat token refresh dikeluarkan untuk pengguna. Pengguna dapat mengakses log masuk mereka sendiri. Admin dapat melihat proses masuk untuk seluruh organisasi mereka guna melihat bagaimana pengguna koneksi langsung B2B mengakses sumber daya di penyewa mereka.

    • Di organisasi asal, log menyertakan informasi aplikasi klien.

    • Di organisasi sumber daya, log menyertakan conditionalAccessPolicies di tab Akses Bersyarat.

    Cuplikan layar memperlihatkan log masuk.

  • Tinjauan akses Microsoft Entra: Dengan tinjauan akses Microsoft Entra, admin penyewa dapat memastikan bahwa pengguna tamu eksternal tidak memiliki akses ke aplikasi dan sumber daya Anda lebih lama dari yang diperlukan dengan mengonfigurasi tinjauan akses satu kali atau berulang dari pengguna eksternal. Pelajari lebih lanjut tentang tinjauan akses.

Log pemantauan dan audit Microsoft Teams

Pusat admin Microsoft Teams menampilkan pelaporan untuk saluran bersama, termasuk anggota koneksi langsung B2B eksternal untuk setiap tim.

  • Log audit Teams: Teams mendukung peristiwa audit berikut di penyewa yang menghosting saluran bersama: Siklus hidup saluran bersama (Buat/Hapus saluran), Siklus hidup Anggota Penyewa/Lintas-penyewa (Tambahkan/hapus/Promosikan/Demosikan anggota). Log audit ini tersedia di penyewa sumber daya sehingga admin dapat menentukan siapa yang memiliki akses ke saluran bersama Teams. Tidak ada log audit di penyewa beranda pengguna eksternal yang terkait dengan aktivitas mereka di saluran bersama eksternal.

  • Tinjuan akses Teams: Tinjauan akses Grup Teams sekarang dapat mendeteksi pengguna koneksi langsung B2B yang menggunakan saluran bersama Teams. Saat membuat tinjauan akses, Anda dapat mencakup tinjauan ke semua pengguna internal, pengguna tamu, dan pengguna koneksi langsung B2B eksternal yang telah ditambahkan langsung ke saluran bersama. Peninjau kemudian dipresentasikan dengan pengguna yang memiliki akses langsung ke saluran bersama.

  • Batasan saat ini: Tinjauan akses dapat mendeteksi pengguna internal dan pengguna koneksi langsung B2B eksternal, tetapi bukan tim lain yang telah ditambahkan ke saluran bersama. Untuk melihat dan menghapus tim yang telah ditambahkan ke saluran bersama, pemilik saluran bersama dapat mengelola keanggotaan dari dalam Teams.

Untuk informasi selengkapnya tentang log audit Microsoft Teams, lihat dokumentasi audit Microsoft Teams.

Privasi dan penanganan data

Koneksi langsung B2B memungkinkan pengguna dan grup Anda mengakses aplikasi dan sumber daya yang dihosting oleh organisasi eksternal. Untuk membuat koneksi, admin dari organisasi eksternal juga harus mengaktifkan koneksi langsung B2B.

Dengan mengaktifkan koneksi B2B dengan organisasi eksternal, Anda mengizinkan organisasi eksternal yang telah Anda aktifkan pengaturan keluarnya untuk mengakses data kontak terbatas tentang pengguna Anda. Microsoft membagikan data ini dengan organisasi tersebut untuk membantu mereka mengirim permintaan terhubung dengan pengguna Anda. Data yang dikumpulkan oleh organisasi eksternal, termasuk data kontak terbatas, tunduk pada kebijakan dan praktik privasi organisasi tersebut.

Akses keluar

Saat koneksi langsung B2B diaktifkan dengan organisasi eksternal, pengguna di organisasi eksternal akan dapat mencari pengguna Anda dengan alamat email lengkap. Hasil pencarian yang cocok akan mengembalikan data terbatas tentang pengguna Anda, termasuk nama depan dan nama keluarga. Pengguna Anda harus menyetujui kebijakan privasi organisasi eksternal sebelum lebih banyak data mereka dibagikan. Kami menyarankan Anda meninjau informasi privasi yang akan diberikan oleh organisasi dan disajikan kepada pengguna Anda.

Akses masuk

Sebaiknya tambahkan kontak privasi global dan pernyataan privasi organisasi Anda sehingga karyawan internal dan tamu eksternal Anda dapat meninjau kebijakan Anda. Ikuti langkah-langkah ini untuk menambahkan info privasi organisasi Anda.

Membatasi akses ke pengguna dan grup

Anda mungkin ingin mempertimbangkan untuk menggunakan pengaturan akses lintas penyewa guna membatasi koneksi langsung B2B ke pengguna dan grup tertentu dalam organisasi Anda dan organisasi eksternal.

Langkah berikutnya