Panoramica: Collaborazione B2B con guest esterni per la forza lavoro
Si applica a: Tenant delle risorse Tenant esterni (altre informazioni)
Microsoft Entra per ID esterno include funzionalità di collaborazione che consentono alla forza lavoro di lavorare in modo sicuro con partner commerciali e guest. Nel tenant della forza lavoro è possibile usare collaborazione B2B per condividere le applicazioni e i servizi aziendali con utenti guest, mantenendo al tempo stesso il controllo sui propri dati aziendali. Collaborare in modo sicuro con i partner esterni, anche se non hanno l'ID Microsoft Entra o un reparto IT.
Un semplice processo di invito e riscatto consente infatti ai partner di accedere alle risorse aziendali usando le credenziali personali. È anche possibile abilitare i flussi utente di iscrizione self-service per consentire agli utenti guest di iscriversi alle app o alle risorse stesse. Dopo che il guest riscatta l'invito o completa l'iscrizione, viene rappresentato nella directory come oggetto utente. Il tipo di utente per questi utenti di Collaborazione B2B viene in genere impostato su "guest" e il nome dell'entità utente contiene l'identificatore #EXT#.
Gli sviluppatori possono usare le API business-to-business di Microsoft Entra per personalizzare il processo di invito o creare applicazioni come i portali di iscrizione self-service. Per informazioni sulle licenze e sui prezzi relativi agli utenti guest, vedere prezzi di Microsoft Entra External ID.
Importante
La funzionalità di passcode monouso dell'indirizzo di posta elettronica è ora attivata per impostazione predefinita per tutti i nuovi tenant e per tutti i tenant esistenti in cui non è stata disattivata in modo esplicito. Quando questa funzionalità è disattivata, il metodo di autenticazione di fallback consiste nel richiedere agli invitati di creare un account Microsoft.
Collaborare con i partner usando le rispettive identità
Con Microsoft Entra B2B il partner usa la propria soluzione di gestione delle identità e l'organizzazione, quindi, non ha alcun sovraccarico amministrativo esterno. Gli utenti guest accedono alle app e ai servizi dell'organizzazione con le proprie identità aziendali, dell'istituto di istruzione o di social networking.
- Il partner usa le proprie identità e credenziali, indipendentemente dal fatto che disponga o no di un account Microsoft Entra.
- Non è necessario gestire password o account esterni.
- Non è necessario sincronizzare gli account o gestire i cicli di vita degli account.
Gestire la collaborazione B2B con altre organizzazioni
La collaborazione B2B è abilitata per impostazione predefinita, ma le impostazioni di amministrazione complete consentono di controllare la collaborazione B2B in ingresso e in uscita con partner esterni e organizzazioni.
Impostazioni di accesso tra tenant. Per la collaborazione B2B con altre organizzazioni di Microsoft Entra, usare le impostazioni di accesso tra tenant per controllare quali utenti possono eseguire l'autenticazione con le risorse. Gestire la collaborazione B2B in ingresso e in uscita e definire l'ambito dell'accesso a utenti, gruppi e applicazioni specifici. Impostare una configurazione predefinita che si applica a tutte le organizzazioni esterne e quindi creare impostazioni specifiche dell'organizzazione in base alle esigenze. Usando le impostazioni di accesso tra tenant, è anche possibile considerare attendibili le attestazioni multifactoring (MFA) e dispositivo (attestazioni conformi e attestazioni aggiunte ibride di Microsoft Entra) da altre organizzazioni di Microsoft Entra.
Impostazioni di collaborazione esterna. Usare le impostazioni di collaborazione esterna per definire chi può invitare utenti guest nell'organizzazione come guest. È anche possibile consentire o bloccare domini specifici B2B e impostare restrizioni sull'accesso utente guest alla directory.
Queste impostazioni vengono usate per gestire due aspetti diversi della collaborazione B2B. Le impostazioni di accesso tra tenant controllano se gli utenti possono eseguire l'autenticazione con tenant Microsoft Entra esterni. Si applicano sia alla collaborazione B2B in ingresso che in uscita. Al contrario, le impostazioni di collaborazione esterna controllano quali utenti dell'organizzazione possono inviare inviti di collaborazione B2B agli utenti guest di qualsiasi organizzazione.
Come interagiscono le impostazioni di collaborazione tra tenant e accesso tra tenant
Quando si sta valutando la collaborazione B2B con un'organizzazione Microsoft Entra esterna specifica, determinare se le impostazioni di accesso tra tenant consentono la collaborazione B2B con tale organizzazione. Valutare anche se le impostazioni di collaborazione esterna consentono agli utenti di inviare inviti al dominio dell'organizzazione. Di seguito sono riportati alcuni esempi.
Esempio 1: In precedenza è stata aggiunta
adatum.com
(un'organizzazione Microsoft Entra) all'elenco dei domini bloccati nelle impostazioni di collaborazione esterna, ma le impostazioni di accesso tra tenant abilitano la collaborazione B2B per tutte le organizzazioni di Microsoft Entra. In questo caso, si applica l'impostazione più restrittiva. Le impostazioni di collaborazione esterna impediscono agli utenti di inviare inviti agli utenti all'indirizzoadatum.com
.Esempio 2: è possibile consentire la collaborazione B2B con Fabrikam nelle impostazioni di accesso tra tenant, ma quindi aggiungere
fabrikam.com
ai domini bloccati nelle impostazioni di collaborazione esterna. Gli utenti non possono invitare nuovi guest aziendali Fabrikam, ma gli utenti guest Fabrikam esistenti possono continuare a usare collaborazione B2B.
Per gli utenti finali di Collaborazione B2B che eseguono accessi tra tenant, viene visualizzata la personalizzazione del tenant principale, anche se non è specificata alcuna personalizzazione. Nell'esempio seguente la personalizzazione dell'azienda per Woodgrove Groceries viene visualizzata a sinistra. Nell'esempio a destra viene visualizzata la personalizzazione predefinita per il tenant principale dell'utente.
Gestire la collaborazione B2B con altri cloud Microsoft
I servizi cloud di Microsoft Azure sono disponibili in cloud nazionali separati, che sono istanze fisicamente isolate di Azure. Sempre più spesso, le organizzazioni trovano la necessità di collaborare con organizzazioni e utenti attraverso i limiti globali del cloud e del cloud nazionale. Con le impostazioni del cloud Microsoft, è possibile stabilire una collaborazione B2B reciproca tra i cloud di Microsoft Azure seguenti:
- Cloud globale di Microsoft Azure e Microsoft Azure per enti pubblici
- Cloud globale di Microsoft Azure e Microsoft Azure gestito da 21Vianet
Per configurare la collaborazione B2B tra tenant in cloud diversi, entrambi i tenant configurano le impostazioni cloud Microsoft per abilitare la collaborazione con l'altro cloud. Ogni tenant configura quindi l'accesso tra tenant in ingresso e in uscita con il tenant nell'altro cloud. Per informazioni dettagliate, vedere Impostazioni cloud Microsoft.
Invitare facilmente gli utenti guest dall'interfaccia di amministrazione di Microsoft Entra
Gli amministratori possono aggiungere facilmente utenti guest all'organizzazione nell'interfaccia di amministrazione.
- Creare un nuovo utente guest in Microsoft Entra ID, in modo analogo a come si aggiunge un nuovo utente.
- Assegnare gli utenti guest ad app o gruppi.
- Inviare un messaggio di posta elettronica di invito che contiene un collegamento di riscatto o inviare un collegamento diretto a un'app da condividere.
- Gli utenti guest accedono seguendo una semplice procedura di riscatto.
Consenti iscrizione self-service
Con un flusso utente di iscrizione self-service, è possibile creare un'esperienza di iscrizione per gli utenti guest che vogliono accedere alle app. Come parte del flusso di iscrizione, è possibile fornire opzioni per diversi provider di identità aziendali o di social networking e raccogliere informazioni sull'utente. Leggere altre informazioni sull'iscrizione self-service e su come configurarla.
È anche possibile usare connettori API per integrare i flussi utente di iscrizione self-service con sistemi cloud esterni. È possibile connettersi con flussi di lavoro di approvazione personalizzati, eseguire la verifica dell'identità, convalidare le informazioni fornite dall'utente e altro ancora.
Usare criteri per condividere in modo sicuro app e servizi
È possibile usare criteri di autenticazione e autorizzazione per proteggere il contenuto aziendale. I criteri di accesso condizionale, ad esempio l'autenticazione a più fattori, possono essere applicati:
- A livello di tenant
- A livello di applicazione
- Per utenti guest specifici per proteggere le app e i dati aziendali
Consentire ai proprietari di un'applicazione e di un gruppo di gestire i relativi utenti guest
È possibile delegare la gestione degli utenti guest ai proprietari delle applicazioni in modo che possano aggiungere direttamente utenti guest a qualsiasi applicazione vogliano condividere, anche se non è un'applicazione Microsoft.
- Gli amministratori configurano la gestione self-service dell'app e del gruppo.
- Gli utenti non amministratori usano il proprio pannello di accesso per aggiungere utenti guest ad applicazioni o gruppi.
Personalizzare l'esperienza di onboarding per gli utenti guest B2B
È possibile personalizzare il caricamento di partner esterni in base alle esigenze dell'organizzazione.
- Usare la Gestione entitlement di Microsoft Entra per configurare i criteri che gestiscono l'accesso per gli utenti esterni.
- È possibile usare le API di invito di Collaborazione B2B per personalizzare le esperienze di onboarding.
Integrazione con i provider di identità
Microsoft Entra External ID supporta provider di identità esterni come Facebook, account Microsoft, Google o provider di identità aziendali. È possibile configurare la federazione con i provider di identità. In questo modo gli utenti guest possono accedere con i propri account di social networking o aziendali esistenti invece di creare un nuovo account solo per l'applicazione. Altre informazioni sui provider di identità per l'ID esterno.
Eseguire l'integrazione con SharePoint e OneDrive
È possibile abilitare l'integrazione con SharePoint e OneDrive per condividere file, cartelle, elementi di elenco, raccolte documenti e siti con persone esterne all'organizzazione, usando Azure B2B per l'autenticazione e la gestione. Gli utenti con cui si condividono le risorse sono in genere utenti guest nella directory e le autorizzazioni e i gruppi funzionano allo stesso modo per questi guest come fanno per gli utenti interni. Quando si abilita l'integrazione con SharePoint e OneDrive, è anche possibile abilitare la funzionalità passcode monouso di posta elettronica in Microsoft Entra B2B pin modo che funga da metodo di autenticazione di fallback.