Udostępnij za pośrednictwem


Wprowadzenie do Tożsamość zewnętrzna Microsoft Entra

Tożsamość zewnętrzna Microsoft Entra łączy zaawansowane rozwiązania do pracy z osobami spoza organizacji. Dzięki możliwościom identyfikatora zewnętrznego można zezwolić zewnętrznym tożsamościom na bezpieczny dostęp do aplikacji i zasobów. Niezależnie od tego, czy pracujesz z partnerami zewnętrznymi, konsumentami, czy klientami biznesowymi, użytkownicy mogą korzystać z własnych tożsamości. Te tożsamości mogą obejmować od firmowych lub rządowych kont do dostawców tożsamości społecznościowych, takich jak Google lub Facebook.

Diagram przedstawiający przegląd identyfikatora zewnętrznego.

Te scenariusze należą do zakresu Tożsamość zewnętrzna Microsoft Entra:

  • Jeśli jesteś organizacją lub deweloperem tworzącym aplikacje konsumenckie, użyj identyfikatora zewnętrznego, aby szybko dodać uwierzytelnianie i tożsamość klienta oraz zarządzanie dostępem (CIAM) do aplikacji. Zarejestruj aplikację, utwórz dostosowane środowiska logowania i zarządzaj użytkownikami aplikacji w dzierżawie firmy Microsoft Entra w konfiguracji zewnętrznej. Ta dzierżawa jest oddzielona od pracowników i zasobów organizacji.

  • Jeśli chcesz umożliwić pracownikom współpracę z partnerami biznesowymi i gośćmi, użyj identyfikatora zewnętrznego na potrzeby współpracy B2B. Zezwalaj na bezpieczny dostęp do aplikacji dla przedsiębiorstw za pośrednictwem zaproszenia lub rejestracji samoobsługowej. Określ poziom dostępu gości do dzierżawy firmy Microsoft Entra, która zawiera pracowników i zasoby organizacyjne, które są dzierżawą w konfiguracji pracowników .

Tożsamość zewnętrzna Microsoft Entra to elastyczne rozwiązanie zarówno dla deweloperów aplikacji zorientowanych na konsumentów, którzy potrzebują uwierzytelniania, jak i CIAM, oraz firm poszukujących bezpiecznej współpracy B2B.

Zabezpieczanie aplikacji dla użytkowników i klientów biznesowych

Organizacje i deweloperzy mogą używać identyfikatora zewnętrznego w dzierżawie zewnętrznej jako rozwiązania CIAM podczas publikowania aplikacji dla konsumentów i klientów biznesowych. Możesz utworzyć oddzielną dzierżawę firmy Microsoft Entra w konfiguracji zewnętrznej, która umożliwia zarządzanie aplikacjami i kontami użytkowników niezależnie od pracowników. W ramach tej dzierżawy można łatwo skonfigurować niestandardowe środowiska rejestracji i funkcje zarządzania użytkownikami:

  • Skonfiguruj przepływy rejestracji samoobsługowej, które definiują serię kroków rejestracji, które są wykonywane przez klientów, oraz metody logowania, których mogą używać, takich jak poczta e-mail i hasło, jednorazowe kody dostępu lub konta społecznościowe z serwisu Google lub Facebook.

  • Utwórz niestandardowy wygląd i działanie dla użytkowników logujących się do aplikacji, konfigurując ustawienia znakowania firmowego dla dzierżawy. Za pomocą tych ustawień możesz dodawać własne obrazy tła, kolory, logo firmy i tekst, aby dostosować środowiska logowania w aplikacjach.

  • Zbieraj informacje od klientów podczas rejestracji, wybierając z serii wbudowanych atrybutów użytkownika lub dodając własne atrybuty niestandardowe.

  • Analizowanie danych dotyczących aktywności i zaangażowania użytkowników w celu uzyskania cennych szczegółowych informacji, które mogą pomóc w podejmowaniu strategicznych decyzji i napędzać rozwój firmy.

Za pomocą identyfikatora zewnętrznego klienci mogą zalogować się przy użyciu tożsamości, którą już mają. Możesz dostosować i kontrolować sposób rejestrowania się i logowania klientów podczas korzystania z aplikacji. Ponieważ te funkcje CIAM są wbudowane w identyfikator zewnętrzny, możesz również korzystać z funkcji platformy Microsoft Entra, takich jak zwiększone zabezpieczenia, zgodność i skalowalność.

Aby uzyskać szczegółowe informacje, zobacz Omówienie Tożsamość zewnętrzna Microsoft Entra w dzierżawach zewnętrznych.

Współpraca z gośćmi biznesowymi

Współpraca B2B o identyfikatorze zewnętrznym umożliwia pracownikom współpracę z zewnętrznymi partnerami biznesowymi. Możesz zaprosić wszystkich użytkowników, aby zalogowali się do swojej organizacji firmy Microsoft Entra przy użyciu własnych poświadczeń, aby mogli uzyskiwać dostęp do aplikacji i zasobów, które chcesz im udostępnić. Współpraca B2B umożliwia gościom biznesowym uzyskiwanie dostępu do aplikacji usługi Office 365, aplikacji typu oprogramowanie jako usługa (SaaS) i aplikacji biznesowych. Brak poświadczeń skojarzonych z gośćmi biznesowymi. Zamiast tego uwierzytelniają się za pomocą swojej organizacji domowej lub dostawcy tożsamości, a następnie organizacja sprawdza uprawnienia użytkownika do współpracy gości.

Istnieją różne sposoby dodawania gości biznesowych do organizacji na potrzeby współpracy:

  • Zaproś użytkowników do współpracy przy użyciu kont Microsoft Entra, kont Microsoft lub tożsamości społecznościowych, które włączysz, takich jak Google. Administrator może użyć centrum administracyjnego firmy Microsoft Entra lub programu PowerShell, aby zaprosić użytkowników do współpracy. Użytkownik loguje się do udostępnionych zasobów przy użyciu prostego procesu realizacji przy użyciu służbowego lub innego konta e-mail.

  • Użyj przepływów użytkownika rejestracji samoobsługowej, aby umożliwić gościom samodzielne rejestrowanie się w aplikacjach. Środowisko można dostosować, aby umożliwić rejestrację za pomocą tożsamości służbowej, szkolnej lub społecznościowej (na przykład Google lub Facebook). Możesz również zbierać informacje o użytkowniku podczas procesu rejestracji.

  • Użyj funkcji zarządzania upoważnieniami firmy Microsoft Entra, funkcji zarządzania tożsamościami, która umożliwia zarządzanie tożsamościami i dostępem dla użytkowników zewnętrznych na dużą skalę dzięki automatyzacji przepływów pracy żądań dostępu, przypisań dostępu, przeglądów i wygaśnięcia.

Obiekt użytkownika jest tworzony dla gościa biznesowego w tym samym katalogu co pracownicy. Ten obiekt użytkownika można zarządzać jak inne obiekty użytkownika w katalogu, dodawane do grup itd. Możesz przypisać uprawnienia do obiektu użytkownika (na potrzeby autoryzacji), umożliwiając im używanie istniejących poświadczeń (na potrzeby uwierzytelniania).

Ustawienia dostępu między dzierżawami umożliwiają zarządzanie współpracą z innymi organizacjami firmy Microsoft Entra i chmurami platformy Microsoft Azure. Do współpracy z użytkownikami zewnętrznymi i organizacjami spoza usługi Azure AD użyj ustawień współpracy zewnętrznej.

Co to są "pracownicy" i "zewnętrzni" dzierżawcy?

Dzierżawa to dedykowane i zaufane wystąpienie identyfikatora Entra firmy Microsoft, które zawiera zasoby organizacji, w tym zarejestrowane aplikacje i katalog użytkowników. Istnieją dwa sposoby konfigurowania dzierżawy, w zależności od tego, jak organizacja zamierza korzystać z dzierżawy i zasobów, którymi chce zarządzać:

  • Konfiguracja dzierżawy pracowników to standardowa dzierżawa firmy Microsoft Entra, która zawiera pracowników, wewnętrzne aplikacje biznesowe i inne zasoby organizacyjne. W dzierżawie pracowników użytkownicy wewnętrzni mogą współpracować z zewnętrznymi partnerami biznesowymi i gośćmi przy użyciu współpracy B2B.
  • Konfiguracja dzierżawy zewnętrznej jest używana wyłącznie w przypadku aplikacji, które mają być publikowane dla użytkowników lub klientów biznesowych. Ta odrębna dzierżawa jest zgodna ze standardowym modelem dzierżawy firmy Microsoft Entra, ale jest skonfigurowana dla scenariuszy konsumenckich. Zawiera rejestracje aplikacji i katalog kont konsumentów lub klientów.

Aby uzyskać szczegółowe informacje, zobacz Workforce and external tenant configurations in Tożsamość zewnętrzna Microsoft Entra (Konfiguracje pracowników i dzierżaw zewnętrznych w Tożsamość zewnętrzna Microsoft Entra).

Porównywanie zestawów funkcji identyfikatorów zewnętrznych

W poniższej tabeli porównaliśmy scenariusze, które można włączyć za pomocą identyfikatora zewnętrznego.

Identyfikator zewnętrzny w dzierżawach pracowników Identyfikator zewnętrzny w dzierżawach zewnętrznych
Scenariusz podstawowy Zezwól pracownikom na współpracę z gośćmi biznesowymi. Zezwalaj gościom na logowanie się do zasobów w organizacji Firmy Microsoft Entra przy użyciu preferowanych tożsamości. Zapewnia dostęp do aplikacji firmy Microsoft lub własnych aplikacji (aplikacje SaaS, aplikacje niestandardowe itd.).

Przykład: zaproś gościa, aby zalogować się do aplikacji firmy Microsoft lub zostać członkiem-gościem w aplikacji Teams.
Publikowanie aplikacji dla klientów zewnętrznych i klientów biznesowych przy użyciu identyfikatora zewnętrznego na potrzeby obsługi tożsamości. Zapewnia zarządzanie tożsamościami i dostępem dla nowoczesnych aplikacji SaaS lub niestandardowych (nie aplikacji firmy Microsoft).

Przykład: tworzenie dostosowanego środowiska logowania dla użytkowników aplikacji mobilnej konsumenckiej i monitorowanie użycia aplikacji.
Przeznaczony dla Współpraca z partnerami biznesowymi z organizacji zewnętrznych, takich jak dostawcy, partnerzy, dostawcy. Ci użytkownicy mogą mieć identyfikator Entra firmy Microsoft lub zarządzać nim. Użytkownicy i klienci biznesowi twojej aplikacji. Ci użytkownicy są zarządzani w dzierżawie firmy Microsoft Entra skonfigurowanej dla aplikacji zewnętrznych i użytkowników.
Zarządzanie użytkownikami Użytkownicy współpracy B2B są zarządzani w tej samej dzierżawie pracowników co pracownicy, ale zazwyczaj są dodawani do adnotacji jako użytkownicy-goście. Użytkownicy-goście mogą być zarządzani w taki sam sposób jak pracownicy, dodawani do tych samych grup itd. Ustawienia dostępu między dzierżawami mogą służyć do określania, którzy użytkownicy mają dostęp do współpracy B2B. Użytkownicy aplikacji są zarządzani w dzierżawie zewnętrznej utworzonej dla użytkowników aplikacji. Użytkownicy w dzierżawie zewnętrznej mają inne uprawnienia domyślne niż użytkownicy w dzierżawie pracowników. Są one zarządzane w dzierżawie zewnętrznej, niezależnie od katalogu pracowników organizacji.
Logowanie jednokrotne Logowanie jednokrotne do wszystkich połączonych aplikacji firmy Microsoft jest obsługiwane. Możesz na przykład zapewnić dostęp do aplikacji platformy Microsoft 365 lub lokalnych oraz do innych aplikacji SaaS, takich jak Salesforce lub Workday. Logowanie jednokrotne do aplikacji zarejestrowanych w dzierżawie zewnętrznej jest obsługiwane. Logowanie jednokrotne do platformy Microsoft 365 lub innych aplikacji SaaS firmy Microsoft nie jest obsługiwane.
Znakowanie firmowe Domyślnym stanem środowiska uwierzytelniania jest wygląd i działanie firmy Microsoft. Administratorzy mogą dostosować środowisko logowania gościa przy użyciu znakowania firmowego. Domyślne znakowanie dla dzierżawy zewnętrznej jest neutralne i nie obejmuje żadnych istniejących znakowania firmy Microsoft. Administratorzy mogą dostosować znakowanie dla organizacji lub aplikacji. Dowiedz się więcej.
Ustawienia chmury firmy Microsoft Obsługiwane. Nie dotyczy.
Zarządzanie upoważnieniami Obsługiwane. Nie dotyczy.

Istnieje kilka technologii firmy Microsoft Entra, które są związane ze współpracą z użytkownikami zewnętrznymi i organizacjami. Podczas projektowania modelu współpracy identyfikatorów zewnętrznych należy wziąć pod uwagę te inne funkcje.

Bezpośrednie połączenie B2B

Bezpośrednie połączenie B2B umożliwia tworzenie dwukierunkowych relacji zaufania z innymi organizacjami firmy Microsoft Entra w celu włączenia funkcji Komunikacja w Teams udostępnionych kanałów. Ta funkcja umożliwia użytkownikom bezproblemowe logowanie się do udostępnionych kanałów usługi Teams na potrzeby czatu, połączeń, udostępniania plików i udostępniania aplikacji. Gdy dwie organizacje wzajemnie włączają bezpośrednie połączenie B2B, użytkownicy uwierzytelniają się w swojej organizacji domowej i otrzymują token z organizacji zasobów w celu uzyskania dostępu. W przeciwieństwie do współpracy B2B bezpośredni użytkownicy połączenia B2B nie są dodawani jako goście do katalogu pracowników. Dowiedz się więcej o bezpośrednim połączeniu B2B w Tożsamość zewnętrzna Microsoft Entra.

Po skonfigurowaniu bezpośredniego połączenia B2B z organizacją zewnętrzną dostępne są następujące możliwości kanałów udostępnionych usługi Teams:

  • Właściciel udostępnionego kanału może wyszukiwać w aplikacji Teams dla dozwolonych użytkowników z organizacji zewnętrznej i dodawać ich do udostępnionego kanału.

  • Użytkownicy zewnętrzni mogą uzyskiwać dostęp do udostępnionego kanału usługi Teams bez konieczności przełączania organizacji lub logowania się przy użyciu innego konta. Z poziomu aplikacji Teams użytkownik zewnętrzny może uzyskiwać dostęp do plików i aplikacji za pośrednictwem karty Pliki. Zasady kanału udostępnionego określają dostęp użytkownika.

Ustawienia dostępu między dzierżawami służą do zarządzania relacjami zaufania z innymi organizacjami firmy Microsoft Entra i definiowania zasad ruchu przychodzącego i wychodzącego dla połączeń bezpośrednich B2B.

Aby uzyskać szczegółowe informacje o zasobach, plikach i aplikacjach dostępnych dla użytkownika połączenia bezpośredniego B2B za pośrednictwem udostępnionego kanału usługi Teams, zobacz Czat, zespoły, kanały i aplikacje w usłudze Microsoft Teams.

Licencjonowanie i rozliczenia są oparte na miesięcznych aktywnych użytkownikach (MAU). Dowiedz się więcej o modelu rozliczeń dla Tożsamość zewnętrzna Microsoft Entra.

Azure Active Directory B2C

Usługa Azure Active Directory B2C (Azure AD B2C) to starsze rozwiązanie firmy Microsoft do zarządzania tożsamościami klientów i dostępem. Usługa Azure AD B2C zawiera oddzielny katalog oparty na konsumentach zarządzany w witrynie Azure Portal za pośrednictwem usługi Azure AD B2C. Każda dzierżawa usługi Azure AD B2C jest oddzielna i różni się od innych dzierżaw usługi Microsoft Entra ID i Azure AD B2C. Środowisko portalu usługi Azure AD B2C jest podobne do identyfikatora Entra firmy Microsoft, ale istnieją kluczowe różnice, takie jak możliwość dostosowywania podróży użytkowników przy użyciu platformy Identity Experience Framework.

Aby uzyskać więcej informacji na temat różnic między dzierżawą usługi Azure AD B2C a dzierżawą firmy Microsoft Entra, zobacz Obsługiwane funkcje usługi Microsoft Entra w usłudze Azure AD B2C. Aby uzyskać szczegółowe informacje na temat konfigurowania usługi Azure AD B2C i zarządzania nią, zobacz dokumentację usługi Azure AD B2C.

Microsoft Entra entitlement management for business guest sign-up (Zarządzanie upoważnieniami firmy Microsoft dla gości biznesowych)

Jako organizacja zapraszania możesz nie wiedzieć wcześniej, kto jest poszczególnymi współpracownikami zewnętrznymi, którzy potrzebują dostępu do zasobów. Potrzebujesz sposobu, aby użytkownicy z firm partnerskich zarejestrowali się przy użyciu zasad, które kontrolujesz. Aby umożliwić użytkownikom z innych organizacji żądanie dostępu, możesz użyć zarządzania upoważnieniami firmy Microsoft w celu skonfigurowania zasad, które zarządzają dostępem dla użytkowników zewnętrznych. Po zatwierdzeniu ci użytkownicy zostaną aprowizowani przy użyciu kont gości i przypisani do grup, aplikacji i witryn usługi SharePoint Online.

Dostęp warunkowy

Organizacje mogą używać zasad dostępu warunkowego w celu zwiększenia bezpieczeństwa, stosując odpowiednie mechanizmy kontroli dostępu, takie jak uwierzytelnianie wieloskładnikowe, do użytkowników zewnętrznych.

Dostęp warunkowy i uwierzytelnianie wieloskładnikowe w dzierżawach zewnętrznych

W dzierżawach zewnętrznych organizacje mogą wymuszać uwierzytelnianie wieloskładnikowe dla klientów, tworząc zasady dostępu warunkowego firmy Microsoft Entra i dodając uwierzytelnianie wieloskładnikowe do przepływów rejestracji i logowania użytkowników. Dzierżawy zewnętrzne obsługują dwie metody uwierzytelniania jako drugi czynnik:

  • Jednorazowy kod dostępu e-mail: po zalogowaniu się użytkownika przy użyciu poczty e-mail i hasła zostanie wyświetlony monit o kod dostępu, który jest wysyłany do poczty e-mail.
  • Uwierzytelnianie oparte na wiadomościACH SMS: program SMS jest dostępny jako druga metoda uwierzytelniania wieloskładnikowego dla użytkowników w dzierżawach zewnętrznych. Użytkownicy, którzy logują się przy użyciu poczty e-mail i hasła, wiadomości e-mail i jednorazowego kodu dostępu lub tożsamości społecznościowych, takich jak Google lub Facebook, są monitowani o drugą weryfikację przy użyciu wiadomości SMS.

Dowiedz się więcej o metodach uwierzytelniania w dzierżawach zewnętrznych.

Dostęp warunkowy do współpracy B2B i bezpośredniego połączenia B2B

W dzierżawie pracowników organizacje mogą wymuszać zasady dostępu warunkowego na potrzeby zewnętrznej współpracy B2B i bezpośredniego łączenia użytkowników B2B w taki sam sposób, w jaki są one włączone dla pełnoetatowych pracowników i członków organizacji. W przypadku scenariuszy między dzierżawami firmy Microsoft, jeśli zasady dostępu warunkowego wymagają uwierzytelniania wieloskładnikowego lub zgodności urządzeń, można teraz ufać oświadczeń uwierzytelniania wieloskładnikowego i zgodności urządzeń z organizacji macierzystej użytkownika zewnętrznego. Gdy ustawienia zaufania są włączone, podczas uwierzytelniania identyfikator entra firmy Microsoft sprawdza poświadczenia użytkownika dla oświadczenia uwierzytelniania wieloskładnikowego lub identyfikator urządzenia, aby określić, czy zasady zostały już spełnione. Jeśli tak, użytkownik zewnętrzny otrzymuje bezproblemowe logowanie do udostępnionego zasobu. W przeciwnym razie w dzierżawie głównej użytkownika jest inicjowane wyzwanie uwierzytelniania wieloskładnikowego lub urządzenia. Dowiedz się więcej o przepływie uwierzytelniania i dostępie warunkowym dla użytkowników zewnętrznych w dzierżawach pracowników.

Aplikacje wielodostępne

Jeśli oferujesz aplikację oprogramowania jako usługi (SaaS) dla wielu organizacji, możesz skonfigurować aplikację tak, aby akceptowała logowania z dowolnej dzierżawy firmy Microsoft Entra. Ta konfiguracja jest nazywana tworzeniem wielodostępu aplikacji. Użytkownicy w dowolnej dzierżawie firmy Microsoft Entra będą mogli logować się do aplikacji po wyrażeniu zgody na korzystanie z konta w aplikacji. Zobacz, jak włączyć logowanie wielodostępne.

Organizacje wielodostępne

Organizacja wielodostępna to organizacja, która ma więcej niż jedno wystąpienie identyfikatora Entra firmy Microsoft. Istnieją różne przyczyny wielodostępności. Na przykład organizacja może obejmować wiele chmur lub granic geograficznych.

Funkcja organizacji wielodostępnych umożliwia bezproblemową współpracę na platformie Microsoft 365. Usprawnia ona środowiska współpracy pracowników w całej organizacji wielu dzierżaw w aplikacjach, takich jak Microsoft Teams i Microsoft Viva Engage.

Funkcja synchronizacji między dzierżawami to jednokierunkowa usługa synchronizacji , która zapewnia użytkownikom dostęp do zasobów bez otrzymywania wiadomości e-mail z zaproszeniem i konieczności akceptowania monitu o zgodę w każdej dzierżawie.

Aby dowiedzieć się więcej na temat organizacji wielodostępnych i synchronizacji między dzierżawami, zobacz dokumentację wielodostępnych organizacji i porównanie funkcji.

Interfejsy API programu Microsoft Graph

Wszystkie funkcje identyfikatora zewnętrznego są również obsługiwane w celu automatyzacji za pośrednictwem interfejsów API programu Microsoft Graph, z wyjątkiem tych wymienionych w następnej sekcji. Aby uzyskać więcej informacji, zobacz Zarządzanie tożsamością firmy Microsoft i dostępem do sieci przy użyciu programu Microsoft Graph.

Możliwości nieobsługiwane w programie Microsoft Graph

Funkcja identyfikatora zewnętrznego Obsługiwane w programie Obejścia automatyzacji
Identyfikowanie organizacji, do których należysz Dzierżawcy pracowników Dzierżawy — wyświetlanie listy interfejsu API usługi Azure Resource Manager. W przypadku kanałów udostępnionych usługi Teams i bezpośredniego połączenia B2B użyj interfejsu API get tenantReferences Microsoft Graph.

Microsoft Entra Microsoft Graph API for B2B collaboration (Microsoft Entra Microsoft Graph API for B2B collaboration)

  • Interfejsy API ustawień dostępu między dzierżawami: interfejsy API dostępu między dzierżawami w programie Microsoft Graph umożliwiają programowe tworzenie tych samych zasad współpracy B2B i połączeń bezpośrednich B2B konfigurowalnych w witrynie Azure Portal. Korzystając z tych interfejsów API, można skonfigurować zasady na potrzeby współpracy przychodzącej i wychodzącej. Można na przykład domyślnie zezwalać na funkcje lub blokować je dla wszystkich użytkowników i ograniczyć dostęp do określonych organizacji, grup, użytkowników i aplikacji. Interfejsy API umożliwiają również akceptowanie uwierzytelniania wieloskładnikowego (MFA) i oświadczeń urządzeń (zgodnych oświadczeń i oświadczeń dołączonych hybrydowych firmy Microsoft Entra) z innych organizacji firmy Microsoft Entra.

  • Menedżer zaproszeń do współpracy B2B: interfejs API menedżera zaproszeń w programie Microsoft Graph jest dostępny do tworzenia własnych środowisk dołączania dla gości biznesowych. Możesz użyć interfejsu API tworzenia zaproszenia, aby automatycznie wysłać niestandardową wiadomość e-mail z zaproszeniem bezpośrednio do użytkownika B2B, na przykład. Możesz też użyć elementu inviteRedeemUrl zwróconego w odpowiedzi na tworzenie, aby utworzyć własne zaproszenie (za pośrednictwem wybranego mechanizmu komunikacji) do zaproszonego użytkownika.

Następne kroki