Omówienie współpracy B2B

Współpraca B2B w usłudze Azure Active Directory (Azure AD) to funkcja w ramach tożsamości zewnętrznych, która umożliwia zapraszanie użytkowników-gości do współpracy z organizacją. Dzięki współpracy B2B możesz bezpiecznie udostępniać aplikacje i usługi firmy użytkownikom zewnętrznym przy zachowaniu kontroli nad własnymi danymi firmowymi. Pracuj bezpiecznie z partnerami zewnętrznymi, dużymi lub małymi, nawet jeśli nie korzystają oni z usługi Azure AD lub nie mają działu IT.

Diagram ilustrujący współpracę B2B.

Prosty proces zapraszania i realizacji umożliwia partnerom uzyskiwanie dostępu do zasobów firmy przy użyciu własnych poświadczeń. Możesz również włączyć przepływy użytkowników rejestracji samoobsługowej, aby umożliwić użytkownikom zewnętrznym samodzielne rejestrowanie się w aplikacjach lub zasobach. Gdy użytkownik zewnętrzny zrealizował zaproszenie lub ukończył rejestrację, jest reprezentowany w katalogu jako obiekt użytkownika. Obiekty użytkownika współpracy B2B zazwyczaj otrzymują typ użytkownika "gość" i mogą być identyfikowane przez rozszerzenie #EXT# w głównej nazwie użytkownika.

Deweloperzy mogą używać międzyfirmowych interfejsów API usługi Azure AD do dostosowywania procesu zapraszania lub pisania aplikacji, takich jak samoobsługowe portale tworzenia kont. Informacje o licencjonowaniu i cenach związane z użytkownikami-gośćmi można znaleźć w cenniku usługi Azure Active Directory External Identities.

Ważne

Funkcja jednorazowego kodu dostępu wiadomości e-mail jest teraz domyślnie włączona dla wszystkich nowych dzierżaw i dla wszystkich istniejących dzierżaw, w których nie została jawnie wyłączona. Po wyłączeniu tej funkcji metoda uwierzytelniania rezerwowego jest monitem o utworzenie konta Microsoft.

Współpraca z dowolnym partnerem z użyciem jego tożsamości

W przypadku Azure AD B2B partner korzysta z własnego rozwiązania do zarządzania tożsamościami, więc nie ma zewnętrznych obciążeń administracyjnych dla organizacji. Użytkownicy-goście logują się do aplikacji i usług za pomocą własnych tożsamości służbowych lub społecznościowych.

  • Partner używa własnych tożsamości i poświadczeń, niezależnie od tego, czy ma konto Azure AD.
  • Nie trzeba zarządzać zewnętrznymi kontami lub hasłami.
  • Nie trzeba zsynchronizować konta ani zarządzać cyklami życia kont.

Zarządzanie współpracą z innymi organizacjami i chmurami

Współpraca B2B jest domyślnie włączona, ale kompleksowe ustawienia administratora umożliwiają sterowanie przychodzącą i wychodzącą współpracą B2B z partnerami zewnętrznymi i organizacjami:

  • W przypadku współpracy B2B z innymi organizacjami Azure AD użyj ustawień dostępu między dzierżawami. Zarządzanie przychodzącą i wychodzącą współpracą B2B oraz określanie zakresu dostępu do określonych użytkowników, grup i aplikacji. Ustaw domyślną konfigurację, która ma zastosowanie do wszystkich organizacji zewnętrznych, a następnie w razie potrzeby utwórz indywidualne ustawienia specyficzne dla organizacji. Za pomocą ustawień dostępu między dzierżawami można również ufać oświadczeniam wieloskładnikowym (MFA) i urządzeniami (oświadczenia zgodne i oświadczenia dołączone hybrydowo Azure AD) z innych organizacji Azure AD.

  • Użyj ustawień współpracy zewnętrznej , aby określić, kto może zapraszać użytkowników zewnętrznych, zezwalać lub blokować domeny specyficzne dla usługi B2B oraz ustawiać ograniczenia dostępu użytkowników-gości do katalogu.

  • Użyj ustawień chmury firmy Microsoft (wersja zapoznawcza), aby ustanowić wspólną współpracę B2B między globalną chmurą platformy Microsoft Azure i firmą Microsoft Azure Government lub Microsoft Azure China 21Vianet.

Łatwe zapraszanie użytkowników-gości z portalu Azure AD

Jako administrator możesz łatwo dodawać użytkowników-gości do organizacji w witrynie Azure Portal.

Zrzut ekranu przedstawiający stronę wprowadzania zaproszenia nowego użytkownika-gościa.

Zrzut ekranu przedstawiający stronę Przeglądanie uprawnień.

Zezwalaj na rejestrację samoobsługową

Za pomocą samoobsługowego przepływu użytkownika rejestracji możesz utworzyć środowisko rejestracji dla użytkowników zewnętrznych, którzy chcą uzyskiwać dostęp do aplikacji. W ramach przepływu rejestracji można udostępniać opcje dla różnych dostawców tożsamości społecznościowych lub przedsiębiorstwa oraz zbierać informacje o użytkowniku. Dowiedz się więcej o rejestracji samoobsługowej i sposobie jej konfigurowania.

Łączniki interfejsu API umożliwiają również integrację przepływów użytkowników rejestracji samoobsługowej z zewnętrznymi systemami w chmurze. Możesz nawiązać połączenie z niestandardowymi przepływami pracy zatwierdzania, przeprowadzić weryfikację tożsamości, zweryfikować informacje podane przez użytkownika i nie tylko.

Zrzut ekranu przedstawiający stronę przepływów użytkownika.

Bezpieczne udostępnianie aplikacji i usług przy użyciu zasad

Zasady uwierzytelniania i autoryzacji umożliwiają ochronę zawartości firmowej. Zasady dostępu warunkowego, takie jak uwierzytelnianie wieloskładnikowe, można wymusić:

  • Na poziomie dzierżawy.
  • Na poziomie aplikacji.
  • W przypadku określonych gości w celu ochrony aplikacji i danych firmowych.

Zrzut ekranu przedstawiający opcję Dostęp warunkowy.

Zezwalanie właścicielom aplikacji i grup na zarządzanie własnymi użytkownikami-gośćmi

Zarządzanie użytkownikami-gośćmi można delegować do właścicieli aplikacji, aby mogli oni bezpośrednio dodawać użytkowników-gości do dowolnej aplikacji firmy Microsoft lub innej firmy.

  • Administratorzy konfigurują samoobsługowe zarządzanie aplikacjami i grupami.
  • Użytkownicy inni niż administratorzy używają własnego panelu dostępu w celu dodania użytkowników-gości do aplikacji lub grup.

Zrzut ekranu przedstawiający panel dostępu dla użytkownika-gościa.

Dostosowywanie środowiska dołączania dla użytkowników-gości B2B

Wprowadzanie zewnętrznych partnerów na pokład w sposób dostosowany do potrzeb organizacji.

Integracja z dostawcami tożsamości

Azure AD obsługuje zewnętrznych dostawców tożsamości, takich jak Facebook, konta Microsoft, Google lub dostawcy tożsamości przedsiębiorstwa. Federację można skonfigurować za pomocą dostawców tożsamości. Dzięki temu użytkownicy zewnętrzni mogą logować się przy użyciu istniejących kont społecznościowych lub przedsiębiorstwa zamiast tworzyć nowe konto tylko dla aplikacji. Dowiedz się więcej o dostawcach tożsamości dla tożsamości zewnętrznych.

Zrzut ekranu przedstawiający stronę Dostawcy tożsamości.

Integracja z programem SharePoint i usługą OneDrive

Integrację z programem SharePoint i usługą OneDrive można włączyć , aby udostępniać pliki, foldery, elementy listy, biblioteki dokumentów i witryny osobom spoza organizacji, a jednocześnie używać usługi Azure B2B do uwierzytelniania i zarządzania. Użytkownicy, którym udostępniasz zasoby, są zazwyczaj dodawani do katalogu jako goście, a uprawnienia i grupy działają tak samo dla tych gości, jak w przypadku użytkowników wewnętrznych. Podczas włączania integracji z programem SharePoint i usługą OneDrive włączysz również funkcję jednorazowego kodu dostępu poczty e-mail w usłudze Azure AD B2B, aby służyć jako metoda uwierzytelniania rezerwowego.

Zrzut ekranu przedstawiający ustawienie jednorazowego kodu dostępu poczty e-mail.

Następne kroki