Panoramica di B2B Direct Connect

La connessione diretta B2B è una funzionalità di Microsoft Entra per ID esterno che consente di configurare una relazione di trust reciproca con un'altra organizzazione di Microsoft Entra per una collaborazione senza problemi. Questa funzionalità funziona attualmente con i canali condivisi di Microsoft Teams. Con la connessione diretta B2B, gli utenti di entrambe le organizzazioni possono collaborare usando le credenziali home e un canale condiviso in Teams, senza dover essere aggiunti tra loro come guest. Usare la connessione diretta B2B per condividere le risorse con organizzazioni esterne di Microsoft Entra. In alternativa, usarlo per condividere le risorse tra più tenant di Microsoft Entra all'interno della propria organizzazione.

Connessione diretta B2B richiede una relazione di trust reciproca tra due organizzazioni di Microsoft Entra per consentire l'accesso alle risorse reciproche. Sia l'organizzazione delle risorse che l'organizzazione esterna devono abilitare a vicenda Connessione diretta B2B nelle impostazioni di accesso tra tenant. Quando viene stabilita l'attendibilità, l'utente di Connessione diretta B2B ottiene l'accesso Single Sign-On alle risorse esterne all'organizzazione usando le credenziali della propria organizzazione di Microsoft Entra.

Attualmente, le funzionalità di Connessione diretta B2B funzionano con i canali condivisi di Teams. Quando viene stabilita la connessione diretta B2B tra due organizzazioni, gli utenti di un'organizzazione possono creare un canale condiviso in Teams e invitare un utente esterno di Connessione diretta B2B. Dall'interno di Teams l'utente di Connessione diretta B2B può quindi accedere facilmente al canale condiviso nell'istanza di Teams del tenant principale, senza dover accedere manualmente all'organizzazione che ospita il canale condiviso.

Per informazioni sulle licenze e sui prezzi relativi agli utenti con connessione diretta B2B, vedere Microsoft Entra per ID esterno prezzi.

Gestione dell'accesso tra tenant per la connessione diretta B2B

Le organizzazioni Microsoft Entra possono gestire le relazioni di trust con altre organizzazioni di Microsoft Entra definendo le impostazioni di accesso tra tenant in ingresso e in uscita. Le impostazioni di accesso tra tenant offrono un controllo granulare sul modo in cui altre organizzazioni collaborano con l'utente (accesso in ingresso) e sul modo in cui gli utenti collaborano con altre organizzazioni (accesso in uscita).

• Le impostazioni di accesso in ingresso controllano se gli utenti di organizzazioni esterne possono accedere alle risorse dell'organizzazione. È possibile applicare queste impostazioni a tutti gli utenti oppure è possibile specificare singoli utenti, gruppi e applicazioni.

• Le impostazioni di accesso in uscita controllano se gli utenti possono accedere alle risorse in un'organizzazione esterna. È possibile applicare queste impostazioni a tutti gli utenti oppure è possibile specificare singoli utenti, gruppi e applicazioni.

• Le restrizioni del tenant determinano come gli utenti possono accedere a un'organizzazione esterna quando usano i dispositivi e la rete, ma hanno eseguito l'accesso usando un account rilasciato dall'organizzazione esterna.

• Le impostazioni di attendibilità determinano se i criteri di accesso condizionale considerano attendibile l'autenticazione a più fattori (MFA), i dispositivi conformi e le attestazioni dei dispositivi aggiunti a Microsoft Entra ibrido da un'organizzazione esterna quando gli utenti accedono alle risorse.

Importante

La connessione diretta B2B è possibile solo quando entrambe le organizzazioni consentono l'accesso da e verso l'altra organizzazione. Ad esempio, Contoso può consentire la connessione diretta B2B in ingresso da Fabrikam, ma la condivisione non è possibile finché Fabrikam non abilita anche la connessione diretta B2B in uscita con Contoso. Sarà quindi necessario coordinarsi con l'amministratore dell'organizzazione esterna per assicurarsi che le impostazioni di accesso tra tenant consentano la condivisione con l'utente. Questo contratto reciproco è importante perché la connessione diretta B2B consente la condivisione limitata dei dati per gli utenti abilitati per la connessione diretta B2B.

Impostazioni predefinite

Le impostazioni di accesso tra tenant predefinite si applicano a tutte le organizzazioni esterne di Microsoft Entra, ad eccezione delle organizzazioni per le quali sono state configurate le singole impostazioni. Inizialmente, Microsoft Entra ID blocca tutte le funzionalità di connessione diretta B2B in ingresso e in uscita per impostazione predefinita per tutti i tenant esterni di Microsoft Entra. È possibile modificare queste impostazioni predefinite, ma in genere è possibile lasciarle così come sono e abilitare l'accesso diretto B2B con le singole organizzazioni.

Impostazioni specifiche dell'organizzazione

È possibile configurare impostazioni specifiche dell'organizzazione aggiungendo l'organizzazione e modificando le impostazioni di accesso tra tenant. Queste impostazioni hanno quindi la precedenza sulle impostazioni predefinite per questa organizzazione.

Esempio 1: Consentire la connessione diretta B2B con Fabrikam e bloccare tutte le altre

In questo esempio Contoso vuole bloccare la connessione diretta B2B con tutte le organizzazioni esterne per impostazione predefinita, ma consentire la connessione diretta B2B per tutti gli utenti, i gruppi e le app in Fabrikam.

Contoso imposta le impostazioni predefinite seguenti per l'accesso tra tenant:

• Bloccare l'accesso in ingresso alla connessione diretta B2B per tutti gli utenti e i gruppi esterni.
• Bloccare l'accesso in uscita alla connessione diretta B2B per tutti gli utenti e i gruppi contoso.

Contoso aggiunge quindi l'organizzazione Fabrikam e configura le impostazioni organizzative seguenti per Fabrikam:

• Consentire l'accesso in ingresso alla connessione diretta B2B per tutti gli utenti e i gruppi di Fabrikam.
• Consentire l'accesso in ingresso a tutte le applicazioni Contoso interne da parte degli utenti con connessione diretta B2B di Fabrikam.
• Consentire a tutti gli utenti di Contoso o selezionare utenti e gruppi per avere accesso in uscita a Fabrikam usando la connessione diretta B2B.
• Consentire agli utenti di connettersi direttamente a Contoso B2B di avere accesso in uscita a tutte le applicazioni Fabrikam.

Per il funzionamento di questo scenario, Fabrikam deve anche consentire la connessione diretta B2B con Contoso configurando queste stesse impostazioni di accesso tra tenant per Contoso e per i propri utenti e applicazioni. Al termine della configurazione, gli utenti di Contoso che gestiscono i canali condivisi di Teams potranno aggiungere utenti di Fabrikam cercando gli indirizzi di posta elettronica Fabrikam completi.

Esempio 2: Abilitare la connessione diretta B2B solo con il gruppo marketing di Fabrikam

A partire dall'esempio precedente, Contoso potrebbe anche scegliere di consentire solo al gruppo Fabrikam Marketing di collaborare con gli utenti di Contoso tramite la connessione diretta B2B. In questo caso, Contoso deve ottenere l'ID oggetto del gruppo marketing da Fabrikam. Invece di consentire l'accesso in ingresso a tutti gli utenti di Fabrikam, configureranno le impostazioni di accesso specifiche di Fabrikam come indicato di seguito:

• Consentire l'accesso in ingresso alla connessione diretta B2B solo per il gruppo Marketing di Fabrikam. Contoso specifica l'ID oggetto gruppo marketing di Fabrikam nell'elenco utenti e gruppi consentiti.
• Consentire l'accesso in ingresso a tutte le applicazioni Contoso interne da parte degli utenti con connessione diretta B2B di Fabrikam.
• Consentire a tutti gli utenti e i gruppi contoso di avere accesso in uscita a Fabrikam usando la connessione diretta B2B.
• Consentire agli utenti di connettersi direttamente a Contoso B2B di avere accesso in uscita a tutte le applicazioni Fabrikam.

Fabrikam dovrà anche configurare le impostazioni di accesso tra tenant in uscita in modo che il gruppo Marketing possa collaborare con Contoso tramite la connessione diretta B2B. Al termine della configurazione, gli utenti di Contoso che gestiscono i canali condivisi di Teams potranno aggiungere solo gli utenti del gruppo Fabrikam Marketing cercando gli indirizzi di posta elettronica Fabrikam completi.

Autenticazione

In uno scenario di connessione diretta B2B, l'autenticazione implica un utente di un'organizzazione di Microsoft Entra (tenant principale dell'utente) che tenta di accedere a un file o a un'app in un'altra organizzazione di Microsoft Entra (il tenant della risorsa). L'utente accede con le credenziali di Microsoft Entra dal tenant principale. Il tentativo di accesso viene valutato rispetto alle impostazioni di accesso tra tenant sia nel tenant principale dell'utente che nel tenant delle risorse. Se vengono soddisfatti tutti i requisiti di accesso, viene rilasciato un token all'utente che consente all'utente di accedere alla risorsa. Questo token è valido per 1 ora.

Per informazioni dettagliate sul funzionamento dell'autenticazione in uno scenario tra tenant con i criteri di accesso condizionale, vedere Autenticazione e accesso condizionale in scenari tra tenant.

Autenticazione a più fattori (MFA)

Se si vuole consentire la connessione diretta B2B con un'organizzazione esterna e i criteri di accesso condizionale richiedono l'autenticazione a più fattori, è necessario configurare le impostazioni di attendibilità in ingresso in modo che i criteri di accesso condizionale accettino attestazioni MFA dall'organizzazione esterna. Questa configurazione garantisce che gli utenti con connessione diretta B2B dell'organizzazione esterna siano conformi ai criteri di accesso condizionale e forniscano un'esperienza utente più semplice.

Si supponga, ad esempio, che Contoso (il tenant delle risorse) consideri attendibili le attestazioni MFA da Fabrikam. Contoso ha un criterio di accesso condizionale che richiede l'autenticazione a più fattori. Questo criterio ha come ambito tutti gli utenti guest, gli utenti esterni e SharePoint Online. Come prerequisito per la connessione diretta B2B, Contoso deve configurare le impostazioni di attendibilità nelle impostazioni di accesso tra tenant per accettare attestazioni MFA da Fabrikam. Quando un utente di Fabrikam accede a un'app abilitata per la connessione diretta B2B (ad esempio, un canale condiviso di Teams Connessione), l'utente è soggetto al requisito MFA applicato da Contoso:

• Se l'utente Fabrikam ha già eseguito l'autenticazione a più fattori nel tenant principale, sarà in grado di accedere alla risorsa all'interno del canale condiviso.
• Se l'utente Fabrikam non ha completato l'autenticazione a più fattori, l'accesso alla risorsa verrà bloccato.

Per informazioni sull'accesso condizionale e su Teams, vedere Panoramica della sicurezza e della conformità nella documentazione di Microsoft Teams.

Impostazioni di attendibilità per la conformità del dispositivo

Nelle impostazioni di accesso tra tenant è possibile usare le impostazioni di attendibilità per considerare attendibili le attestazioni del tenant principale di un utente esterno sul fatto che il dispositivo dell'utente soddisfi i criteri di conformità del dispositivo o sia aggiunto a Microsoft Entra ibrido. Quando le impostazioni di attendibilità del dispositivo sono abilitate, Microsoft Entra ID controlla la sessione di autenticazione di un utente per un'attestazione del dispositivo. Se la sessione contiene un'attestazione del dispositivo che indica che i criteri sono già stati soddisfatti nel tenant principale dell'utente, all'utente esterno viene concesso l'accesso facile alla risorsa condivisa. È possibile abilitare le impostazioni di attendibilità dei dispositivi per tutte le organizzazioni Microsoft Entra o le singole organizzazioni. Altre informazioni

Esperienza utente con connessione diretta B2B

Attualmente, la connessione diretta B2B abilita la funzionalità teams Connessione canali condivisi. Gli utenti con connessione diretta B2B possono accedere al canale condiviso di Teams di un'organizzazione esterna senza dover cambiare tenant o accedere con un account diverso. L'accesso dell'utente a connessione diretta B2B è determinato dai criteri del canale condiviso.

Nell'organizzazione delle risorse, il proprietario del canale condiviso di Teams può cercare gli utenti di un'organizzazione esterna e aggiungerli al canale condiviso. Dopo l'aggiunta, gli utenti con connessione diretta B2B possono accedere al canale condiviso dall'interno dell'istanza home di Teams, in cui collaborano usando funzionalità come chat, chiamate, condivisione file e condivisione di app. Per informazioni dettagliate, vedere Panoramica di team e canali in Microsoft Teams. Per informazioni dettagliate sulle risorse, i file e le applicazioni disponibili per l'utente con connessione diretta B2B tramite il canale condiviso di Teams, vedere Chat, team, canali e app in Microsoft Teams.

Accesso e gestione degli utenti

Gli utenti con connessione diretta B2B collaborano tramite una connessione reciproca tra due organizzazioni, mentre gli utenti di Collaborazione B2B vengono invitati a un'organizzazione e gestiti tramite un oggetto utente.

• La connessione diretta B2B consente di collaborare con gli utenti di un'altra organizzazione di Microsoft Entra tramite una connessione bidirezionale reciproca configurata dagli amministratori di entrambe le organizzazioni. Gli utenti hanno accesso Single Sign-On alle applicazioni Microsoft abilitate per la connessione diretta B2B. Attualmente, B2B direct connect supporta Teams Connessione canali condivisi.

• Collaborazione B2B consente di invitare partner esterni ad accedere alle app Microsoft, SaaS o personalizzate. La collaborazione B2B è particolarmente utile quando il partner esterno non usa l'ID Microsoft Entra o non è pratico o possibile configurare la connessione diretta B2B. Collaborazione B2B consente agli utenti esterni di accedere usando la propria identità preferita, tra cui l'account Microsoft Entra, l'account Microsoft consumer o un'identità di social networking abilitata, ad esempio Google. Con Collaborazione B2B, è possibile consentire agli utenti esterni di accedere alle applicazioni Microsoft, alle app SaaS, alle app sviluppate in modo personalizzato e così via.

Uso di Teams con connessione diretta B2B e collaborazione B2B

Nel contesto di Teams, esistono differenze nel modo in cui le risorse possono essere condivise a seconda che si stia collaborando con un utente che usa la connessione diretta B2B o collaborazione B2B.

• Con la connessione diretta B2B, si aggiunge l'utente esterno a un canale condiviso all'interno di un team. Questo utente può accedere alle risorse all'interno del canale condiviso, ma non ha accesso all'intero team o ad altre risorse esterne al canale condiviso. Ad esempio, non hanno accesso al portale di Azure. Tuttavia, hanno accesso al portale App personali. Gli utenti con connessione diretta B2B non hanno una presenza nell'organizzazione di Microsoft Entra, quindi questi utenti vengono gestiti nel client teams dal proprietario del canale condiviso. Per informazioni dettagliate, vedere Assegnare proprietari e membri del team in Microsoft Teams.

• Con collaborazione B2B, è possibile invitare l'utente guest a un team. L'utente guest di Collaborazione B2B accede al tenant della risorsa usando l'indirizzo di posta elettronica usato per invitarli. L'accesso è determinato dalle autorizzazioni assegnate agli utenti guest nel tenant delle risorse. Gli utenti guest non possono visualizzare o partecipare a canali condivisi nel team.

Per altre informazioni sulle differenze tra collaborazione B2B e connessione diretta B2B in Teams, vedere Accesso guest in Microsoft Teams.

Monitoraggio e controllo

La creazione di report per il monitoraggio e il controllo dell'attività di connessione diretta B2B è disponibile sia nell'interfaccia di amministrazione di portale di Azure che nell'interfaccia di amministrazione di Microsoft Teams.

Log di controllo e monitoraggio di Microsoft Entra

Microsoft Entra ID include informazioni sull'accesso tra tenant e la connessione diretta B2B nei log di controllo e nei log di accesso dell'organizzazione. Questi log possono essere visualizzati nella portale di Azure in Monitoraggio.

• Log di controllo di Microsoft Entra: i log di controllo di Microsoft Entra vengono visualizzati quando vengono creati, aggiornati o eliminati i criteri in ingresso e in uscita.

  

• I log di accesso di Microsoft Entra sono disponibili sia nell'organizzazione principale che nell'organizzazione delle risorse. Dopo aver abilitato la connessione diretta B2B, i log di accesso inizieranno ad includere gli ID oggetto utente per gli utenti di connessione diretta B2B da altri tenant. Le informazioni segnalate in ogni organizzazione variano, ad esempio:

  • In entrambe le organizzazioni, gli accessi con connessione diretta B2B vengono etichettati con un tipo di accesso tra tenant di connessione diretta B2B. Un evento di accesso viene registrato quando un utente con connessione diretta B2B accede per la prima volta a un'organizzazione di risorse e di nuovo quando viene rilasciato un token di aggiornamento per l'utente. Gli utenti possono accedere ai propri log di accesso. Amministrazione possono visualizzare gli accessi per l'intera organizzazione per vedere in che modo gli utenti di B2B direct connect accedono alle risorse nel tenant.

  • Nell'organizzazione principale i log includono informazioni sull'applicazione client.

  • Nell'organizzazione delle risorse i log includono conditionalAccessPolicies nella scheda Accesso condizionale.

  

• Verifiche di accesso a Microsoft Entra: con le verifiche di accesso di Microsoft Entra, un amministratore tenant può garantire che gli utenti guest esterni non abbiano accesso alle app e alle risorse più a lungo di quanto necessario configurando una verifica di accesso occasionale o ricorrente degli utenti esterni. Altre informazioni sulle verifiche di accesso.

Log di controllo e monitoraggio di Microsoft Teams

L'interfaccia di amministrazione di Microsoft Teams visualizza la creazione di report per i canali condivisi, inclusi i membri di connessione diretta B2B esterni per ogni team.

• Log di controllo di Teams: Teams supporta i seguenti eventi di controllo nel tenant che ospitano il canale condiviso: ciclo di vita del canale condiviso (crea/elimina canale), ciclo di vita del membro nel tenant/tra tenant (aggiunta/rimozione/promozione/membro demote). Questi log di controllo sono disponibili nel tenant delle risorse in modo che gli amministratori possano determinare chi può accedere al canale condiviso di Teams. Nel tenant principale dell'utente esterno non sono presenti log di controllo correlati all'attività in un canale condiviso esterno.

• Verifiche di accesso di Teams: le verifiche di accesso dei gruppi che sono Teams ora possono rilevare gli utenti con connessione diretta B2B che usano i canali condivisi di Teams. Quando si crea una verifica di accesso, è possibile definire l'ambito della verifica a tutti gli utenti interni, gli utenti guest e gli utenti esterni B2B che sono stati aggiunti direttamente a un canale condiviso. Il revisore viene quindi presentato agli utenti che hanno accesso diretto al canale condiviso.

• Limitazioni correnti: una verifica di accesso può rilevare gli utenti interni e gli utenti con connessione diretta B2B esterni, ma non altri team aggiunti a un canale condiviso. Per visualizzare e rimuovere i team aggiunti a un canale condiviso, il proprietario del canale condiviso può gestire l'appartenenza da Teams.

Per altre informazioni sui log di controllo di Microsoft Teams, vedere la documentazione sul controllo di Microsoft Teams.

Privacy e gestione dei dati

La connessione diretta B2B consente agli utenti e ai gruppi di accedere alle app e alle risorse ospitate da un'organizzazione esterna. Per stabilire una connessione, un amministratore dell'organizzazione esterna deve anche abilitare la connessione diretta B2B.

Abilitando la connessione B2B con un'organizzazione esterna, si consente alle organizzazioni esterne con cui sono state abilitate le impostazioni in uscita con per accedere a dati di contatto limitati sugli utenti. Microsoft condivide questi dati con tali organizzazioni per consentire loro di inviare una richiesta di connessione agli utenti. I dati raccolti da organizzazioni esterne, inclusi i dati di contatto limitati, sono soggetti alle politiche e alle procedure di privacy di tali organizzazioni.

Accesso in uscita

Quando la connessione diretta B2B è abilitata con un'organizzazione esterna, gli utenti dell'organizzazione esterna potranno cercare gli utenti in base all'indirizzo di posta elettronica completo. I risultati della ricerca corrispondenti restituiranno dati limitati sugli utenti, inclusi il nome e il nome della famiglia. Gli utenti dovranno fornire il consenso alle politiche di privacy dell'organizzazione esterna prima che vengano condivisi altri dati. È consigliabile esaminare le informazioni sulla privacy che verranno fornite dall'organizzazione e presentate agli utenti.

Accesso in ingresso

È consigliabile aggiungere sia il contatto globale per la privacy che l'informativa sulla privacy dell'organizzazione, in modo che i dipendenti interni e gli utenti guest esterni possano esaminare i criteri. Seguire la procedura per aggiungere le informazioni sulla privacy dell'organizzazione.

Limitazione dell'accesso a utenti e gruppi

È possibile prendere in considerazione l'uso delle impostazioni di accesso tra tenant per limitare la connessione diretta B2B a utenti e gruppi specifici all'interno dell'organizzazione e all'organizzazione esterna.

Passaggi successivi

• Configurare le impostazioni di accesso tra tenant
• Per informazioni dettagliate sulla prevenzione della perdita dei dati, sui criteri di conservazione e su eDiscovery, vedere la documentazione di Microsoft Teams.