Pengantar ID Eksternal Microsoft Entra
MICROSOFT Entra External ID menggabungkan solusi canggih untuk bekerja dengan orang di luar organisasi Anda. Dengan kemampuan ID Eksternal, Anda dapat mengizinkan identitas eksternal untuk mengakses aplikasi dan sumber daya Anda dengan aman. Baik Anda bekerja dengan mitra eksternal, konsumen, atau pelanggan bisnis, pengguna dapat membawa identitas mereka sendiri. Identitas ini dapat berkisar dari akun perusahaan atau yang dikeluarkan pemerintah hingga idP sosial seperti Google atau Facebook.
Skenario ini termasuk dalam cakupan ID Eksternal Microsoft Entra:
Jika Anda adalah organisasi atau pengembang yang membuat aplikasi konsumen, gunakan ID Eksternal untuk menambahkan autentikasi dan manajemen identitas pelanggan dan akses (CIAM) dengan cepat ke aplikasi Anda. Daftarkan aplikasi Anda, buat pengalaman masuk yang disesuaikan, dan kelola pengguna aplikasi Anda di penyewa Microsoft Entra dalam konfigurasi eksternal . Penyewa ini terpisah dari karyawan dan sumber daya organisasi Anda.
Jika Anda ingin memungkinkan karyawan Anda berkolaborasi dengan mitra bisnis dan tamu, gunakan ID Eksternal untuk kolaborasi B2B. Izinkan akses aman ke aplikasi perusahaan Anda melalui undangan atau pendaftaran layanan mandiri. Tentukan tingkat akses yang dimiliki tamu ke penyewa Microsoft Entra yang berisi karyawan dan sumber daya organisasi Anda, yang merupakan penyewa dalam konfigurasi tenaga kerja.
MICROSOFT Entra External ID adalah solusi fleksibel untuk pengembang aplikasi berorientasi konsumen yang membutuhkan autentikasi dan CIAM, dan bisnis yang mencari kolaborasi B2B yang aman.
Mengamankan aplikasi Anda untuk konsumen dan pelanggan bisnis
Organisasi dan pengembang dapat menggunakan ID Eksternal di penyewa eksternal sebagai solusi CIAM mereka saat menerbitkan aplikasi mereka kepada konsumen dan pelanggan bisnis. Anda dapat membuat penyewa Microsoft Entra terpisah dalam konfigurasi eksternal , yang memungkinkan Anda mengelola aplikasi dan akun pengguna secara terpisah dari tenaga kerja Anda. Dalam penyewa ini, Anda dapat dengan mudah mengonfigurasi pengalaman pendaftaran bermerek kustom dan fitur manajemen pengguna:
Siapkan alur pendaftaran layanan mandiri yang menentukan serangkaian langkah pendaftaran yang diikuti pelanggan dan metode masuk yang dapat mereka gunakan, seperti email dan kata sandi, kode sandi satu kali, atau akun sosial dari Google atau Facebook.
Buat tampilan dan nuansa kustom bagi pengguna yang masuk ke aplikasi Anda dengan mengonfigurasi pengaturan branding Perusahaan untuk penyewa Anda. Dengan pengaturan ini, Anda dapat menambahkan gambar latar belakang, warna, logo perusahaan, dan teks Anda sendiri untuk menyesuaikan pengalaman masuk di seluruh aplikasi Anda.
Kumpulkan informasi dari pelanggan selama pendaftaran dengan memilih dari serangkaian atribut pengguna bawaan atau menambahkan atribut kustom Anda sendiri.
Analisis aktivitas pengguna dan data keterlibatan untuk mengungkap wawasan berharga yang dapat membantu keputusan strategis dan mendorong pertumbuhan bisnis.
Dengan ID Eksternal, pelanggan dapat masuk dengan identitas yang sudah mereka miliki. Anda dapat menyesuaikan dan mengontrol cara pelanggan mendaftar dan masuk saat menggunakan aplikasi Anda. Karena kemampuan CIAM ini dibangun ke dalam ID Eksternal, Anda juga mendapat manfaat dari fitur platform Microsoft Entra seperti keamanan, kepatuhan, dan skalabilitas yang ditingkatkan.
Untuk detailnya, lihat Gambaran Umum ID Eksternal Microsoft Entra di penyewa eksternal.
Berkolaborasi dengan tamu bisnis
Kolaborasi B2B ID eksternal memungkinkan tenaga kerja Anda untuk berkolaborasi dengan mitra bisnis eksternal. Anda dapat mengundang siapa pun untuk masuk ke organisasi Microsoft Entra Anda menggunakan kredensial mereka sendiri sehingga mereka dapat mengakses aplikasi dan sumber daya yang ingin Anda bagikan dengan mereka. Gunakan kolaborasi B2B saat Anda perlu mengizinkan tamu bisnis mengakses aplikasi Office 365, aplikasi perangkat lunak sebagai layanan (SaaS), dan aplikasi lini bisnis Anda. Tidak ada kredensial yang terkait dengan tamu bisnis. Sebaliknya, mereka mengautentikasi dengan organisasi asal atau penyedia identitas mereka, lalu organisasi Anda memeriksa kelayakan pengguna untuk kolaborasi tamu.
Ada berbagai cara untuk menambahkan tamu bisnis ke organisasi Anda untuk kolaborasi:
Undang pengguna untuk berkolaborasi menggunakan akun Microsoft Entra, akun Microsoft, atau identitas sosial yang Anda aktifkan, seperti Google. Admin dapat menggunakan pusat admin Microsoft Entra atau PowerShell untuk mengundang pengguna untuk berkolaborasi. Pengguna masuk ke sumber daya bersama menggunakan proses penukaran sederhana dengan pekerjaan, sekolah, atau akun email lainnya.
Gunakan alur pengguna pendaftaran layanan mandiri untuk memungkinkan tamu mendaftar aplikasi itu sendiri. Pengalaman dapat disesuaikan untuk memungkinkan pendaftaran dengan identitas kerja, sekolah, atau sosial (seperti Google atau Facebook). Anda juga dapat mengumpulkan informasi tentang pengguna selama proses pendaftaran.
Gunakan pengelolaan pemberian hak Microsoft Entra, fitur tata kelola identitas yang memungkinkan Anda mengelola identitas dan akses untuk pengguna eksternal dalam skala besar dengan mengotomatiskan alur kerja permintaan akses, penetapan akses, tinjauan, dan kedaluwarsa.
Objek pengguna dibuat untuk tamu bisnis di direktori yang sama dengan karyawan Anda. Objek pengguna ini dapat dikelola seperti objek pengguna lain di direktori Anda, ditambahkan ke grup, dan sebagainya. Anda dapat menetapkan izin ke objek pengguna (untuk otorisasi) sambil membiarkan mereka menggunakan informasi masuk yang ada (untuk autentikasi).
Anda dapat menggunakan pengaturan akses lintas penyewa untuk mengelola kolaborasi dengan organisasi Microsoft Entra lainnya dan di seluruh cloud Microsoft Azure. Untuk kolaborasi dengan pengguna dan organisasi eksternal non-Microsoft Azure AD, gunakan pengaturan kolaborasi eksternal.
Apa itu penyewa "tenaga kerja" dan "eksternal"?
Penyewa adalah instans KHUSUS dan tepercaya dari ID Microsoft Entra yang berisi sumber daya organisasi, termasuk aplikasi terdaftar dan direktori pengguna. Ada dua cara untuk mengonfigurasi penyewa, tergantung pada bagaimana organisasi berniat menggunakan penyewa dan sumber daya yang ingin mereka kelola:
- Konfigurasi penyewa tenaga kerja adalah penyewa Microsoft Entra standar yang berisi karyawan, aplikasi bisnis internal, dan sumber daya organisasi lainnya. Dalam penyewa tenaga kerja, pengguna internal Anda dapat berkolaborasi dengan mitra bisnis eksternal dan tamu menggunakan kolaborasi B2B.
- Konfigurasi penyewa eksternal digunakan secara eksklusif untuk aplikasi yang ingin Anda terbitkan kepada konsumen atau pelanggan bisnis. Penyewa yang berbeda ini mengikuti model penyewa Microsoft Entra standar, tetapi dikonfigurasi untuk skenario konsumen. Ini berisi pendaftaran aplikasi Anda dan direktori akun konsumen atau pelanggan.
Untuk detailnya, lihat Konfigurasi workforce dan penyewa eksternal di MICROSOFT Entra External ID.
Membandingkan set fitur ID Eksternal
Tabel berikut membandingkan skenario yang bisa Anda aktifkan dengan ID Eksternal.
ID eksternal di penyewa tenaga kerja | ID eksternal di penyewa eksternal | |
---|---|---|
Skenario utama | Izinkan tenaga kerja Anda untuk berkolaborasi dengan tamu bisnis. Izinkan tamu menggunakan identitas pilihan mereka untuk masuk ke sumber daya di organisasi Microsoft Entra Anda. Menyediakan akses ke aplikasi Microsoft atau aplikasi Anda sendiri (aplikasi SaaS, aplikasi yang dikembangkan khusus, dan sebagainya). Contoh: Undang tamu untuk masuk ke aplikasi Microsoft Anda atau menjadi anggota tamu di Teams. |
Terbitkan aplikasi ke konsumen eksternal dan pelanggan bisnis menggunakan ID Eksternal untuk pengalaman identitas. Menyediakan manajemen identitas dan akses untuk SaaS modern atau aplikasi yang dikembangkan secara khusus (bukan aplikasi Microsoft pihak pertama). Contoh: Buat pengalaman masuk yang disesuaikan untuk pengguna aplikasi seluler konsumen Anda dan pantau penggunaan aplikasi. |
Ditujukan untuk | Berkolaborasi dengan mitra bisnis dari organisasi eksternal seperti pemasok, mitra, vendor. Pengguna ini mungkin atau mungkin tidak memiliki ID Microsoft Entra atau TI terkelola. | Konsumen dan pelanggan bisnis aplikasi Anda. Pengguna ini dikelola dalam penyewa Microsoft Entra yang dikonfigurasi untuk aplikasi dan pengguna eksternal. |
Manajemen Pengguna | Pengguna kolaborasi B2B dikelola di penyewa tenaga kerja yang sama dengan karyawan tetapi biasanya diannotasikan sebagai pengguna tamu. Pengguna tamu dapat dikelola dengan cara yang sama seperti karyawan, ditambahkan ke grup yang sama, dan sebagainya. Pengaturan akses lintas penyewa dapat digunakan untuk menentukan pengguna mana yang memiliki akses ke kolaborasi B2B. | Pengguna aplikasi dikelola di penyewa eksternal yang Anda buat untuk konsumen aplikasi Anda. Pengguna di penyewa eksternal memiliki izin default yang berbeda dari pengguna di penyewa tenaga kerja. Mereka dikelola di penyewa eksternal, terpisah dari direktori karyawan organisasi. |
Single sign-on (SSO) | SSO ke semua aplikasi yang terhubung dengan Microsoft Entra didukung. Misalnya, Anda dapat menyediakan akses ke aplikasi Microsoft 365 atau lokal, dan ke aplikasi SaaS lainnya seperti Salesforce atau Workday. | SSO ke aplikasi yang terdaftar di penyewa eksternal didukung. SSO ke Microsoft 365 atau ke aplikasi Microsoft SaaS lainnya tidak didukung. |
Merek perusahaan | Status default untuk pengalaman autentikasi adalah tampilan dan nuansa Microsoft. Administrator dapat menyesuaikan pengalaman masuk tamu dengan branding perusahaan mereka. | Branding default untuk penyewa eksternal netral dan tidak menyertakan merek Microsoft yang ada. Administrator dapat menyesuaikan branding untuk organisasi atau per aplikasi. Pelajari selengkapnya. |
Pengaturan cloud Microsoft | Didukung. | Tidak berlaku. |
Pengelolaan pemberian hak | Didukung. | Tidak berlaku. |
Teknologi terkait
Ada beberapa teknologi Microsoft Entra yang terkait dengan kolaborasi dengan pengguna dan organisasi eksternal. Saat Anda merancang model kolaborasi ID Eksternal Anda, pertimbangkan fitur-fitur lain ini.
Koneksi langsung B2B
B2B direct connect memungkinkan Anda membuat hubungan kepercayaan dua arah dengan organisasi Microsoft Entra lainnya untuk mengaktifkan fitur saluran bersama Teams Connect. Fitur ini memungkinkan pengguna untuk masuk dengan lancar ke saluran bersama Teams untuk obrolan, panggilan, berbagi file, dan berbagi aplikasi. Ketika dua organisasi saling mengaktifkan koneksi langsung B2B, pengguna mengautentikasi di organisasi asal mereka dan menerima token akses dari organisasi sumber daya. Tidak seperti kolaborasi B2B, pengguna B2B direct connect tidak ditambahkan sebagai tamu ke direktori tenaga kerja Anda. Pelajari selengkapnya tentang B2B direct connect di Microsoft Entra External ID.
Setelah Anda menyiapkan koneksi langsung B2B dengan organisasi eksternal, kemampuan saluran bersama Teams berikut tersedia:
Pemilik saluran bersama dapat mencari pengguna yang diizinkan dalam Teams dari organisasi eksternal dan menambahkannya ke saluran bersama.
Pengguna eksternal dapat mengakses saluran bersama Teams tanpa harus beralih organisasi atau masuk dengan akun lain. Dari dalam Teams, pengguna eksternal dapat mengakses file dan aplikasi melalui tab File. Kebijakan saluran bersama menentukan akses pengguna.
Anda menggunakan pengaturan akses lintas penyewa untuk mengelola hubungan kepercayaan dengan organisasi Microsoft Entra lainnya dan menentukan kebijakan masuk dan keluar untuk koneksi langsung B2B.
Untuk detail tentang sumber daya, file, dan aplikasi yang tersedia untuk pengguna koneksi langsung B2B melalui saluran bersama Teams, lihat Obrolan, tim, saluran, & aplikasi di Microsoft Teams.
Lisensi dan penagihan didasarkan pada pengguna aktif bulanan (MAU). Pelajari selengkapnya tentang model penagihan untuk MICROSOFT Entra External ID.
Azure Active Directory B2C
Azure Active Directory B2C (Azure AD B2C) adalah solusi warisan Microsoft untuk identitas pelanggan dan manajemen akses. Azure AD B2C menyertakan direktori berbasis konsumen terpisah yang Anda kelola di portal Azure melalui layanan Azure AD B2C. Setiap penyewa Azure AD B2C terpisah dan berbeda dari ID Microsoft Entra lainnya dan penyewa Azure AD B2C. Pengalaman portal Azure AD B2C mirip dengan ID Microsoft Entra, tetapi ada perbedaan utama, seperti kemampuan untuk menyesuaikan perjalanan pengguna Anda menggunakan IEF.
Untuk informasi selengkapnya tentang perbedaan penyewa Azure AD B2C dari penyewa Microsoft Entra, lihat Fitur Microsoft Entra yang didukung di Azure AD B2C. Untuk detail tentang mengonfigurasi dan mengelola Azure AD B2C, lihat dokumentasi Azure AD B2C.
Pengelolaan pemberian izin Microsoft Entra untuk pendaftaran tamu bisnis
Sebagai organisasi yang mengundang, Anda mungkin tidak tahu sebelumnya siapa rekan kerja eksternal individual yang membutuhkan akses ke sumber daya Anda. Anda memerlukan cara bagi pengguna dari perusahaan mitra untuk mendaftar dengan kebijakan yang Anda kontrol. Untuk memungkinkan pengguna dari organisasi lain meminta akses, Anda dapat menggunakan pengelolaan pemberian hak Microsoft Entra untuk mengonfigurasi kebijakan yang mengelola akses bagi pengguna eksternal. Setelah disetujui, pengguna ini akan disediakan dengan akun tamu dan ditetapkan ke grup, aplikasi, dan situs SharePoint Online.
Akses Bersyarat
Organisasi dapat menggunakan kebijakan Akses Bersyar untuk meningkatkan keamanan mereka dengan menerapkan kontrol akses yang sesuai, seperti MFA, ke pengguna eksternal.
Akses bersuhdingan dan MFA di penyewa eksternal
Di penyewa eksternal, organisasi dapat memberlakukan MFA untuk pelanggan dengan membuat kebijakan Akses Bersyarat Microsoft Entra dan menambahkan MFA untuk alur pengguna pendaftaran dan masuk. Penyewa eksternal mendukung dua metode untuk autentikasi sebagai faktor kedua:
- Kode akses satu kali email: Setelah pengguna masuk dengan email dan kata sandi mereka, mereka dimintai kode sandi yang dikirim ke email mereka.
- Autentikasi berbasis SMS: SMS tersedia sebagai metode autentikasi faktor kedua untuk MFA untuk pengguna di penyewa eksternal. Pengguna yang masuk dengan email dan kata sandi, email dan kode akses satu kali, atau identitas sosial seperti Google atau Facebook, diminta untuk verifikasi kedua menggunakan SMS.
Pelajari selengkapnya tentang metode autentikasi di penyewa eksternal.
Akses Bersyarkat untuk kolaborasi B2B dan koneksi langsung B2B
Dalam penyewa tenaga kerja, organisasi dapat menerapkan kebijakan Akses Bersyar untuk kolaborasi B2B eksternal dan pengguna koneksi langsung B2B dengan cara yang sama seperti mereka diaktifkan untuk karyawan dan anggota organisasi penuh waktu. Untuk skenario lintas penyewa Microsoft Entra, jika kebijakan Akses Bersyarat Anda memerlukan kepatuhan MFA atau perangkat, Anda sekarang dapat mempercayai klaim kepatuhan perangkat dan MFA dari organisasi asal pengguna eksternal. Saat pengaturan kepercayaan diaktifkan, selama autentikasi, MICROSOFT Entra ID memeriksa kredensial pengguna untuk klaim MFA atau ID perangkat untuk menentukan apakah kebijakan sudah terpenuhi. Jika demikian, pengguna eksternal diberikan masuk tanpa hambatan ke sumber daya bersama Anda. Jika tidak, tantangan MFA atau perangkat dimulai di penyewa rumah pengguna. Pelajari selengkapnya tentang alur autentikasi dan Akses Bersyar untuk pengguna eksternal di penyewa tenaga kerja.
Aplikasi multi penyewa
Jika Anda menawarkan aplikasi Software as a Service (SaaS) ke banyak organisasi, Anda dapat mengonfigurasi aplikasi Anda untuk menerima rincian masuk dari penyewa Microsoft Entra mana pun. Konfigurasi ini disebut membuat aplikasi Anda multipenyewa. Pengguna di penyewa Microsoft Entra mana pun akan dapat masuk ke aplikasi Anda setelah menyetujui untuk menggunakan akun mereka dengan aplikasi Anda. Lihat cara mengaktifkan kredensial masuk multi penyewa.
Organisasi multipenyewa
Organisasi multipenyewa adalah organisasi yang memiliki lebih dari satu instans ID Microsoft Entra. Ada berbagai alasan untuk multi-penyewaan. Misalnya, organisasi Anda mungkin mencakup beberapa cloud atau batas geografis.
Kemampuan organisasi multipenyewa memungkinkan kolaborasi yang mulus di seluruh Microsoft 365. Ini meningkatkan pengalaman kolaborasi karyawan di seluruh organisasi Anda dari beberapa penyewa dalam aplikasi seperti Microsoft Teams dan Microsoft Viva Engage.
Kemampuan sinkronisasi lintas penyewa adalah layanan sinkronisasi satu arah yang memastikan pengguna dapat mengakses sumber daya, tanpa menerima email undangan dan harus menerima permintaan persetujuan di setiap penyewa.
Untuk mempelajari selengkapnya tentang organisasi multipenyewa dan sinkronisasi lintas penyewa, lihat dokumentasi organisasi multipenyewa dan perbandingan fitur.
Microsoft Graph APIs
Semua fitur ID Eksternal juga didukung untuk otomatisasi melalui MICROSOFT Graph API kecuali yang tercantum di bagian berikutnya. Untuk informasi selengkapnya, lihat Mengelola identitas Microsoft Entra dan akses jaringan dengan menggunakan Microsoft Graph.
Kemampuan yang tidak didukung di Microsoft Graph
Fitur ID Eksternal | Didukung di | Solusi otomatisasi |
---|---|---|
Mengidentifikasi organisasi milik Anda | Penyewa tenaga kerja | Penyewa - Mencantumkan API Azure Resource Manager. Untuk saluran bersama Teams dan koneksi langsung B2B, gunakan Get tenantReferences Microsoft Graph API. |
Microsoft Entra Microsoft Graph API untuk kolaborasi B2B
API pengaturan akses lintas penyewa: API akses lintas penyewa di Microsoft Graph memungkinkan Anda membuat kolaborasi B2B yang sama secara terprogram dan kebijakan koneksi langsung B2B yang dapat dikonfigurasi di portal Azure. Dengan menggunakan API ini, Anda dapat menyiapkan kebijakan untuk kolaborasi masuk dan keluar. Misalnya, Anda dapat mengizinkan atau memblokir fitur untuk semua orang secara default dan membatasi akses ke organisasi, grup, pengguna, dan aplikasi tertentu. API juga memungkinkan Anda menerima autentikasi multifaktor (MFA) dan klaim perangkat (klaim yang sesuai dan klaim gabungan hibrid Microsoft Entra) dari organisasi Microsoft Entra lainnya.
Pengelola undangan kolaborasi B2B: API pengelola undangan di Microsoft Graph tersedia untuk membangun pengalaman onboarding Anda sendiri untuk tamu bisnis. Anda dapat menggunakan buat undangan API untuk mengirim email undangan yang disesuaikan secara otomatis langsung ke pengguna B2B, contohnya. Atau aplikasi Anda dapat menggunakan inviteRedeemUrl yang dikembalikan dalam respons pembuatan untuk membuat undangan Anda sendiri (melalui mekanisme komunikasi pilihan Anda) kepada pengguna yang diundang.