Praktik terbaik Microsoft Entra B2B
Berlaku untuk: Penyewa Tenaga Kerja Penyewa eksternal (pelajari lebih lanjut)
Artikel ini berisi rekomendasi dan praktik terbaik untuk kolaborasi business-to-business (B2B) di MICROSOFT Entra External ID.
Penting
Fitur kode sandi sekali pakai kini diaktifkan secara default untuk semua penyewa baru dan untuk penyewa yang sudah ada di mana Anda belum secara eksplisit menonaktifkannya. Saat fitur ini dimatikan, metode autentikasi fallback-nya adalah meminta undangan untuk membuat akun Microsoft.
Rekomendasi B2B
Rekomendasi | Komentar |
---|---|
Lihat panduan Microsoft Entra untuk mengamankan kolaborasi Anda dengan mitra eksternal | Pelajari cara mengambil pendekatan tata kelola holistik untuk kolaborasi organisasi Anda dengan mitra eksternal dengan mengikuti rekomendasi dalam Mengamankan kolaborasi eksternal di MICROSOFT Entra ID dan Microsoft 365. |
Rencanakan akses lintas penyewa dan pengaturan kolaborasi eksternal Anda dengan hati-hati | MICROSOFT Entra External ID memberi Anda serangkaian kontrol yang fleksibel untuk mengelola kolaborasi dengan pengguna dan organisasi eksternal. Anda dapat mengizinkan atau memblokir semua kolaborasi, atau mengonfigurasi kolaborasi hanya untuk organisasi, pengguna, dan aplikasi tertentu. Sebelum mengonfigurasi pengaturan untuk akses lintas-penyewa dan kolaborasi eksternal, lakukan inventarisasi dengan cermat organisasi tempat Anda bekerja dan bermitra. Kemudian tentukan apakah Anda ingin mengaktifkan koneksi langsung B2B atau kolaborasi B2B dengan penyewa Microsoft Entra lainnya. |
Membatasi akses pengguna tamu ke direktori | Secara default, pengguna tamu memiliki akses terbatas ke direktori Microsoft Entra Anda. Mereka dapat mengelola profil mereka sendiri dan melihat beberapa informasi tentang pengguna, grup, dan aplikasi lain. Anda dapat membatasi akses lebih lanjut sehingga tamu hanya dapat melihat informasi profil mereka sendiri. Pelajari selengkapnya tentang izin tamu default dan cara mengonfigurasi pengaturan kolaborasi eksternal. |
Menentukan siapa yang dapat mengundang tamu | Secara default, semua pengguna di organisasi Anda, termasuk pengguna tamu kolaborasi B2B, dapat mengundang pengguna eksternal ke kolaborasi B2B. Jika Anda ingin membatasi kemampuan untuk mengirim undangan, Anda dapat mengaktifkan atau menonaktifkan undangan untuk semua orang, atau membatasi undangan ke peran tertentu dengan mengonfigurasi pengaturan kolaborasi eksternal. |
Gunakan pembatasan penyewa untuk mengontrol bagaimana akun eksternal digunakan di jaringan dan perangkat terkelola Anda. | Dengan pembatasan penyewa, Anda dapat mencegah pengguna menggunakan akun yang telah mereka buat di penyewa atau akun yang tidak dikenal yang mereka terima dari organisasi eksternal. Kami sarankan Anda melarang akun ini dan menggunakan kolaborasi B2B sebagai gantinya. |
Untuk pengalaman masuk yang optimal, federasi dengan penyedia identitas | Jika memungkinkan, federasi langsung dengan penyedia identitas untuk memungkinkan pengguna yang diundang masuk ke aplikasi dan sumber daya bersama Anda tanpa harus membuat akun Akun Microsoft (MSA) atau Microsoft Entra. Anda dapat menggunakan fitur Federasi Google untuk mengizinkan pengguna tamu B2B masuk dengan akun Google mereka. Atau, Anda dapat menggunakan fitur penyedia identitas SAML/WS-FED (pratinjau) untuk menyiapkan federasi dengan organisasi mana pun yang penyedia identitasnya (IdP) mendukung protokol SAML 2.0 atau WS-Fed. |
Gunakan fitur kode sandi sekali pakai email untuk tamu B2B yang tidak dapat melakukan autentikasi dengan cara lain | Fitur Kode akses satu kali Email mengautentikasi pengguna tamu B2B saat mereka tidak dapat diautentikasi melalui cara lain seperti ID Microsoft Entra, akun Microsoft (MSA), atau federasi Google. Saat pengguna tamu menukarkan undangan atau mengakses sumber daya bersama, mereka dapat meminta kode sementara, yang dikirimkan ke alamat email mereka. Kemudian mereka memasukkan kode ini untuk terus masuk. |
Menambahkan branding perusahaan ke halaman masuk Anda | Anda dapat menyesuaikan halaman masuk sehingga lebih intuitif untuk pengguna tamu B2B Anda. Lihat cara menambahkan branding perusahaan untuk masuk dan halaman Panel Akses. |
Tambahkan pernyataan privasi Anda ke pengalaman penukaran pengguna tamu B2B | Anda dapat menambahkan URL pernyataan privasi organisasi Anda ke proses penukaran undangan pertama kali sehingga pengguna yang diundang harus menyetujui persyaratan privasi Anda untuk melanjutkan. Lihat Cara: Menambahkan info privasi organisasi Anda di ID Microsoft Entra. |
Menggunakan fitur undangan massal (pratinjau) untuk mengundang beberapa pengguna tamu B2B secara bersamaan | Undang beberapa pengguna tamu ke organisasi Anda secara bersamaan dengan menggunakan fitur pratinjau undangan massal di portal Microsoft Azure. Fitur ini memungkinkan Anda mengunggah file CSV untuk membuat pengguna tamu B2B dan mengirim undangan secara massal. Lihat Tutorial untuk pengguna B2B yang mengundang massal. |
Menerapkan kebijakan Akses Bersyar untuk autentikasi multifaktor Microsoft Entra | Sebaiknya berlakukan kebijakan MFA pada aplikasi yang ingin Anda bagikan dengan pengguna B2B mitra. Dengan cara ini, MFA akan secara konsisten diberlakukan pada aplikasi di penyewa Anda terlepas dari apakah organisasi mitra menggunakan MFA. Lihat Akses Bersyarat untuk pengguna kolaborasi B2B. Jika Anda memiliki hubungan bisnis yang erat dengan organisasi dan telah memverifikasi praktik MFA mereka, Anda dapat mengonfigurasi pengaturan akses lintas penyewa untuk menerima klaim MFA mereka (pelajari lebih lanjut). |
Gunakan kekuatan autentikasi kebijakan Akses Bersyar untuk tamu | Kekuatan autentikasi adalah kontrol Akses Bersyar yang memungkinkan Anda menentukan kombinasi tertentu dari metode autentikasi multifaktor (MFA) yang harus diselesaikan pengguna Microsoft Entra eksternal untuk mengakses sumber daya Anda. Ini bekerja sama dengan pengaturan kepercayaan MFA di pengaturan akses lintas penyewa Anda untuk menentukan di mana dan bagaimana pengguna eksternal harus melakukan MFA. Lihat Kebijakan kekuatan autentikasi untuk pengguna eksternal |
Jika Anda memberlakukan kebijakan Akses Bersyarat berbasis perangkat, gunakan daftar pengecualian untuk mengizinkan akses ke pengguna B2B | Jika kebijakan Akses Bersyarat berbasis perangkat diaktifkan di organisasi Anda, perangkat pengguna tamu B2B akan diblokir karena tidak dikelola oleh organisasi Anda. Anda dapat membuat daftar pengecualian yang berisi pengguna mitra tertentu untuk mengecualikannya dari kebijakan Akses Bersyarat berbasis perangkat. Lihat Akses Bersyarat untuk pengguna kolaborasi B2B. |
Menggunakan URL khusus penyewa saat menyediakan tautan langsung ke pengguna tamu B2B Anda | Sebagai alternatif untuk email undangan, Anda dapat memberikan tautan langsung ke aplikasi atau portal Anda kepada tamu. Tautan langsung ini harus khusus penyewa, artinya harus menyertakan ID penyewa atau domain terverifikasi sehingga tamu dapat diautentikasi di penyewa Anda, tempat aplikasi bersama berada. Lihat Pengalaman penukaran untuk pengguna tamu. |
Saat mengembangkan aplikasi, gunakan UserType untuk menentukan pengalaman pengguna tamu | Jika Anda mengembangkan aplikasi dan ingin memberikan pengalaman berbeda bagi pengguna penyewa dan pengguna tamu, gunakan properti UserType. Klaim UserType saat ini tidak disertakan dalam token. Aplikasi harus menggunakan Microsoft Graph API untuk membuat kueri direktori bagi pengguna untuk mendapatkan UserType mereka. |
Mengubah properti UserTypehanya jika hubungan pengguna dengan organisasi berubah | Meskipun dimungkinkan untuk menggunakan PowerShell untuk mengonversi properti UserType untuk pengguna dari Anggota ke Tamu (dan sebaliknya), Anda harus mengubah properti ini hanya jika hubungan pengguna ke organisasi Anda berubah. Lihat Properti pengguna tamu B2B. |
Cari tahu apakah lingkungan Anda akan terpengaruh oleh batas direktori Microsoft Entra | Microsoft Entra B2B tunduk pada batas direktori layanan Microsoft Entra. Untuk detail tentang jumlah direktori yang dapat dibuat pengguna dan jumlah direktori tempat pengguna atau pengguna tamu dapat berada, lihat Batas dan batasan layanan Microsoft Entra. |
Mengelola siklus hidup akun B2B dengan fitur Sponsor | Sponsor adalah pengguna atau grup yang bertanggung jawab atas pengguna tamu mereka. Untuk detail selengkapnya tentang fitur baru ini, lihat Bidang sponsor untuk pengguna B2B. |