Visão geral da conexão direta B2B

Azure Active Directory (Azure AD) A conexão direta B2B é um recurso de Identidades Externas que permite configurar uma relação de confiança mútua com outra organização do Azure AD para colaboração perfeita. Atualmente, esse recurso funciona com Microsoft Teams canais compartilhados. Com a conexão direta B2B, os usuários de ambas as organizações podem trabalhar juntos usando suas credenciais e um canal compartilhado no Teams, sem precisar ser adicionados às organizações de uns dos outros como convidados. Use a conexão direta B2B para compartilhar recursos com organizações externas do Azure AD. Ou use-o para compartilhar recursos entre vários locatários do Azure AD em sua própria organização.

Diagrama ilustrando a conexão direta de B2B.

A conexão direta B2B requer uma relação de confiança mútua entre duas organizações do Azure AD para permitir o acesso aos recursos umas das outras. A organização de recursos e a organização externa precisam habilitar mutuamente a conexão direta B2B em suas configurações de acesso entre locatários. Quando a relação de confiança é estabelecida, o usuário do B2B Direct Connect tem acesso de login único a recursos fora de sua organização usando credenciais de sua organização do Azure AD em casa.

Atualmente, os recursos de conexão direta B2B funcionam com canais compartilhados do Teams. Quando a conexão direta B2B é estabelecida entre duas organizações, os usuários em uma organização podem criar um canal compartilhado em Teams e convidar um usuário de conexão direta B2B externo a ele. Em seguida, de dentro Teams, o usuário do B2B Direct Connect pode acessar diretamente o canal compartilhado em sua instância de Teams de locatários, sem precisar entrar manualmente na organização que hospeda o canal compartilhado.

Para obter informações sobre licenciamento e preço relacionadas a usuários de conexão direta de B2B, confira Preço de Identidades Externas do Azure Active Directory.

Gerenciando o acesso entre locatários para conexão direta B2B

As organizações do Azure AD podem gerenciar suas relações de confiança com outras organizações do Azure AD definindo configurações de acesso entre locatários de entrada e saída. As configurações de acesso entre locatários oferecem controle granular sobre como as organizações externas do Azure AD colaboram com você (acesso de entrada) e como os usuários colaboram com organizações externas do Azure AD (acesso de saída).

  • As configurações de acesso de entrada controlam se os usuários de organizações externas do Azure AD podem acessar recursos em sua organização. É possível aplicar essas configurações a todos ou especificar usuários, grupos e aplicativos individuais.

  • As configurações de acesso de saída controlam se os usuários podem acessar recursos em uma organização externa. É possível aplicar essas configurações a todos ou especificar usuários, grupos e aplicativos individuais.

  • As restrições de locatário determinam como os usuários podem acessar uma organização externa quando estão usando seus dispositivos e rede, mas são conectados usando uma conta que foi emitida para eles pela organização externa.

  • As configurações de confiança (entrada) determinam se suas políticas de acesso condicional confiarão na MFA (autenticação multifator), no dispositivo em conformidade e em reivindicações de dispositivos Azure AD conectados de uma organização interna quando os usuários deles acessarem seus recursos.

Importante

A conexão direta B2B só é possível quando ambas as organizações permitem o acesso de e para a outra organização. Por exemplo, a Contoso pode permitir a conexão direta B2B de entrada da Fabrikam, mas o compartilhamento não é possível até que a Fabrikam também habilita a conexão direta B2B de saída com a Contoso. Portanto, você precisará coordenar com o administrador da organização externa para garantir que as configurações de acesso entre locatários permitam o compartilhamento com você. Esse contrato mútuo é importante porque a conexão direta B2B permite o compartilhamento limitado de dados para os usuários habilitados para a conexão direta B2B.

Configurações padrão

As configurações de acesso entre locatários padrão se aplicam a todas as organizações do Azure AD externas ao seu locatário, exceto aquelas para as quais você definiu as configurações organizacionais. Inicialmente, o Azure AD bloqueia todos os recursos de conexão direta B2B de entrada e saída por padrão para todos os locatários externos do Azure AD. Você pode alterar essas configurações padrão, mas normalmente as deixará no local e permitirá o acesso de conexão direta B2B com organizações individuais.

Configurações específicas da organização

É possível definir configurações específicas da organização adicionando uma organização e modificando as configurações de entrada e saída para essa organização. Essas configurações terão precedência sobre as configurações padrão para essa organização.

Exemplo 1: Permitir conexão direta B2B com a Fabrikam e bloquear todas as outras

Neste exemplo, a Contoso deseja bloquear a conexão direta B2B com todas as organizações externas por padrão, mas permitir a conexão direta B2B para todos os usuários, grupos e aplicativos na Fabrikam.

Exemplo de bloqueio de conexão direta de B2B por padrão, mas permitindo uma organização

A Contoso define as seguintes configurações padrão para acesso entre locatários:

  • Bloquear o acesso de entrada à conexão direta B2B para todos os usuários e grupos externos.
  • Bloqueie o acesso de saída à conexão direta B2B para todos os usuários e grupos da Contoso.

Em seguida, a Contoso adiciona a organização Fabrikam e define as seguintes configurações organizacionais para a Fabrikam:

  • Permitir acesso de entrada à conexão direta B2B para todos os usuários e grupos da Fabrikam.
  • Permitir acesso de entrada a todos os aplicativos internos da Contoso por usuários do Fabrikam B2B Direct Connect.
  • Permitir que todos os usuários e grupos da Contoso ou selecionados tenham acesso de saída à Fabrikam usando a conexão direta B2B.
  • Permitir que os usuários do Direct Connect da Contoso B2B tenham acesso de saída a todos os aplicativos fabrikam.

Para que esse cenário funcione, a Fabrikam também precisa permitir a conexão direta B2B com a Contoso definindo essas mesmas configurações de acesso entre locatários para a Contoso e para seus próprios usuários e aplicativos. Quando a configuração estiver concluída, os usuários da Contoso que gerenciam canais compartilhados do Teams poderão adicionar usuários da Fabrikam pesquisando seus endereços de email completos da Fabrikam.

Exemplo 2: Habilitar a conexão direta B2B somente com o grupo marketing da Fabrikam

A partir do exemplo acima, a Contoso também pode optar por permitir que apenas o grupo de Marketing da Fabrikam colabore com os usuários da Contoso por meio da conexão direta B2B. Nesse caso, a Contoso precisará obter a ID de objeto do grupo de Marketing da Fabrikam. Em seguida, em vez de permitir o acesso de entrada a todos os usuários da Fabrikam, eles definirão suas configurações de acesso específicas da Fabrikam da seguinte forma:

  • Permitir acesso de entrada à conexão direta B2B somente para o grupo marketing da Fabrikam. A Contoso especifica a ID do objeto do grupo marketing da Fabrikam na lista de usuários e grupos permitidos.
  • Permitir acesso de entrada a todos os aplicativos internos da Contoso por usuários do Fabrikam B2B Direct Connect.
  • Permitir que todos os usuários e grupos da Contoso tenham acesso de saída à Fabrikam usando a conexão direta B2B.
  • Permitir que os usuários do Direct Connect da Contoso B2B tenham acesso de saída a todos os aplicativos fabrikam.

A Fabrikam também precisará definir suas configurações de acesso entre locatários de saída para que seu grupo de Marketing tenha permissão para colaborar com a Contoso por meio da conexão direta B2B. Quando a configuração estiver concluída, os usuários da Contoso que gerenciam canais compartilhados do Teams poderão adicionar somente usuários do grupo Fabrikam Marketing pesquisando seus endereços de email completos da Fabrikam.

Autenticação

Em um cenário de conexão direta B2B, a autenticação envolve um usuário de uma organização do Azure AD (o locatário base do usuário) tentando entrar em um arquivo ou aplicativo em outra organização do Azure AD (o locatário do recurso). O usuário se conecta com as credenciais do Azure AD de seu locatário de residência. A tentativa de entrada é avaliada em relação às configurações de acesso entre locatários no locatário de residência do usuário e no locatário do recurso. Se todos os requisitos de acesso são atendidos, um token é emitido para o usuário que permite que o usuário acesse o recurso. Esse token é válido por 1 dias.

Para obter detalhes sobre como a autenticação funciona em um cenário entre locatários com políticas de acesso condicional, consulte Autenticação e acesso condicional em cenários entre locatários.

Autenticação Multifator (MFA)

Se você quiser permitir a conexão direta B2B com uma organização externa e suas políticas de Acesso Condicional exigirem MFA, você deverá definir suas configurações de confiança de entrada para que suas políticas de Acesso Condicional aceitem declarações de MFA da organização externa. Essa configuração garante que os usuários do B2B Direct Connect da organização externa sejam compatíveis com suas políticas de Acesso Condicional e que ela fornece uma experiência de usuário mais perfeita.

Por exemplo, digamos que Contoso (o locatário do recurso) confie em declarações MFA da Fabrikam. A Contoso tem uma política de Acesso Condicional que exige MFA. Essa política tem como escopo todos os convidados, usuários externos e SharePoint Online. Como pré-requisito para a conexão direta B2B, a Contoso deve definir configurações de confiança em suas configurações de acesso entre locatários para aceitar declarações de MFA da Fabrikam. Quando um usuário da Fabrikam acessa um aplicativo habilitado para conexão direta B2B (por exemplo, um canal compartilhado Teams Conexão), o usuário está sujeito ao requisito de MFA imposto pela Contoso:

  • Se o usuário da Fabrikam já tiver executado a MFA em seu locatário de residência, ele poderá acessar o recurso dentro do canal compartilhado.
  • Se o usuário da Fabrikam não tiver concluído a MFA, ele será impedido de acessar o recurso.

Para obter informações sobre acesso condicional e Teams, consulte Visão geral de segurança e conformidade na documentação Microsoft Teams dados.

Configurações de confiança para conformidade do dispositivo

Em suas configurações de acesso entre locatários, você pode usar Configurações de confiança para confiar em declarações de um locatário inicial de um usuário externo sobre se o dispositivo do usuário cumpre as políticas de conformidade do dispositivo ou é do tipo ingressado no Azure AD híbrido. Quando as configurações de confiança de dispositivo estão habilitadas, o Azure AD verifica a sessão de autenticação do usuário para obter uma declaração de dispositivo. Se a sessão contiver uma declaração de dispositivo indicando que as políticas de MFA já foram cumpridas no locatário inicial do usuário, ele receberá logon contínuo no seu recurso compartilhado. Você pode habilitar as configurações de confiança de dispositivo para todas as organizações do Azure AD ou individuais. (Saiba mais)

Experiência do usuário do B2B Direct Connect

Atualmente, a conexão direta B2B habilita o Teams Conexão de canais compartilhados. Os usuários do B2B Direct Connect podem acessar o canal compartilhado Teams uma organização externa sem precisar alternar locatários ou entrar com uma conta diferente. O acesso do usuário do B2B Direct Connect é determinado pelas políticas do canal compartilhado.

Na organização de recursos, o Teams de canal compartilhado pode pesquisar Teams usuários de uma organização externa e adicioná-los ao canal compartilhado. Depois que eles são adicionados, os usuários do B2B Direct Connect podem acessar o canal compartilhado de dentro de sua instância de residência do Teams, em que colaboram usando recursos como chat, chamadas, compartilhamento de arquivos e compartilhamento de aplicativos. Para saber mais, confira Visão geral das equipes e dos canais no Microsoft Teams. Para obter detalhes sobre os recursos, arquivos e aplicativos disponíveis para o usuário do B2B Direct Connect por meio do canal compartilhado do Teams, consulte Chat, equipes, canais e aplicativos & no Microsoft Teams.

Colaboração B2B e conexão direta de B2B

A colaboração B2B e a conexão direta B2B são duas abordagens diferentes para compartilhar com usuários fora de sua organização. Você encontrará uma comparação de recurso para recurso na visão geral de Identidades Externas. Aqui, discutiremos algumas diferenças importantes em como os usuários são gerenciados e como eles acessam recursos.

Acesso e gerenciamento do usuário

Os usuários do B2B Direct Connect colaboram por meio de uma conexão mútua entre duas organizações, enquanto os usuários de colaboração B2B são convidados para uma organização e gerenciados por meio de um objeto de usuário.

  • O B2B Direct Connect oferece uma maneira de colaborar com usuários de outra organização do Azure AD por meio de uma conexão mútua e de duas vias configurada por administradores de ambas as organizações. Os usuários têm acesso de login único a aplicativos da Microsoft habilitados para conexão direta B2B. Atualmente, o B2B Direct Connect oferece suporte Teams Conexão canais compartilhados.

  • A colaboração B2B permite convidar parceiros externos para acessar seus aplicativos Microsoft, SaaS ou personalizados. A colaboração B2B é especialmente útil quando o parceiro externo não usa o Azure AD ou não é prático ou possível configurar a conexão direta B2B. A colaboração B2B permite que usuários externos se inscrevam usando sua identidade preferencial, incluindo sua conta do Azure AD, conta Microsoft consumidor ou uma identidade social habilitada, como o Google. Com a colaboração B2B, você pode permitir que usuários externos entre em seus aplicativos da Microsoft, aplicativos SaaS, aplicativos personalizados e assim por diante.

Usando Teams com conexão direta B2B versus colaboração B2B

No contexto do Teams, há diferenças em como os recursos podem ser compartilhados, dependendo se você está colaborando com alguém usando a conexão direta B2B ou a colaboração B2B.

  • Com a conexão direta B2B, você adiciona o usuário externo a um canal compartilhado dentro de uma equipe. Esse usuário pode acessar os recursos dentro do canal compartilhado, mas não tem acesso a toda a equipe ou a outros recursos fora do canal compartilhado. Por exemplo, eles não têm acesso ao portal de administração do Azure AD. No entanto, eles têm acesso Meus aplicativos portal. Os usuários do B2B Direct Connect não têm uma presença em sua organização do Azure AD, portanto, esses usuários são gerenciados no cliente Teams pelo proprietário do canal compartilhado. Para obter detalhes, consulte Atribuir proprietários e membros da equipe Microsoft Teams.

  • Com a colaboração B2B, você pode convidar o usuário convidado para uma equipe. O usuário convidado da colaboração B2B entra no locatário do recurso usando o endereço de email que foi usado para convida-los. O acesso é determinado pelas permissões atribuídas aos usuários convidados no locatário do recurso. Os usuários convidados não podem ver ou participar de canais compartilhados na equipe.

Para obter mais informações sobre as diferenças entre a colaboração B2B e a conexão direta B2B no Teams, consulte Acesso de convidado no Microsoft Teams.

Monitoramento e auditoria

Os relatórios para monitoramento e auditoria da atividade de conexão direta B2B estão disponíveis no portal do Azure e no Microsoft Teams de administração.

Logs de auditoria e monitoramento do Azure AD

O Azure AD inclui informações sobre o acesso entre locatários e a conexão direta B2B nos logs de auditoria e nos logs de entrada da organização. Esses logs podem ser exibidos no portal do Azure em Monitoramento.

  • Logs de auditoria do Azure AD: os logs de auditoria do Azure AD mostram quando as políticas de entrada e saída são criadas, atualizadas ou excluídas.

    Captura de tela mostrando um log de auditoria

  • Logs de conexão do Azure AD Os logs de conexão do Azure AD estão disponíveis na organização principal e na organização do recurso. Depois que a conexão direta B2B for habilitada, os logs de conexão começarão a incluir IDs de objeto de usuário para usuários de conexão direta B2B de outros locatários. As informações relatadas em cada organização variam, por exemplo:

    • Em ambas as organizações, as entrada do B2B Direct Connect são rotuladas com um tipo de acesso entre locatários de conexão direta B2B. Um evento de entrada é registrado quando um usuário do B2B Direct Connect acessa pela primeira vez uma organização de recursos e, novamente, quando um token de atualização é emitido para o usuário. Os usuários podem acessar seus próprios logs de entrada. Os administradores podem exibir as inscrições de toda a organização para ver como os usuários do B2B Direct Connect estão acessando recursos em seu locatário.

    • Na organização inicial, os logs incluem informações do aplicativo cliente.

    • Na organização do recurso, os logs incluem conditionalAccessPolicies na guia Acesso Condicional.

    Captura de tela mostrando um log de credenciais

  • Revisões de acesso do Azure AD: com as revisões de acesso do Azure Active Directory (Azure AD), um administrador de locatários pode garantir que os usuários convidados externos não tenham acesso aos seus aplicativos e recursos por mais tempo do que o necessário configurando uma revisão de acesso única ou recorrente dos usuários externos. Saiba mais sobre as revisões de acesso.

Logs de auditoria e monitoramento do Microsoft Teams

O Microsoft Teams de administração exibe relatórios para canais compartilhados, incluindo membros externos do B2B Direct Connect para cada equipe.

  • Logs de auditoria do Teams: o Teams dá suporte aos seguintes eventos de auditoria no locatário que hospeda o canal compartilhado: Ciclo de vida do canal compartilhado (criar/excluir canal), ciclo de vida do membro entre locatários/entre locatários (adicionar/remover/promover/rebaixar membro). Esses logs de auditoria estão disponíveis no locatário de recursos para que os administradores possam determinar quem tem acesso ao canal Teams compartilhado. Não há logs de auditoria no locatário de residência do usuário externo relacionado à sua atividade em um canal compartilhado externo.

  • Revisões de acesso do Teams: as revisões de acesso de grupos que Teams agora podem detectar usuários de conexão direta B2B que estão usando Teams canais compartilhados. Ao criar uma revisão de acesso, você pode escopo da revisão para todos os usuários internos, usuários convidados e usuários de conexão direta B2B externos que foram adicionados diretamente a um canal compartilhado. Em seguida, o revisador é apresentado aos usuários que têm acesso direto ao canal compartilhado.

  • Limitações atuais: uma revisão de acesso pode detectar usuários internos e usuários de conexão direta B2B externos, mas não outras equipes, que foram adicionados a um canal compartilhado. Para exibir e remover as equipes que foram adicionadas a um canal compartilhado, o proprietário do canal compartilhado pode gerenciar a associação de dentro Teams.

Para obter mais informações sobre Microsoft Teams logs de auditoria, consulte a documentação Microsoft Teams auditoria.

Privacidade e tratamento de dados

A conexão direta B2B permite que seus usuários e grupos acessem aplicativos e recursos hospedados por uma organização externa. Para estabelecer uma conexão, um administrador da organização externa também deve habilitar a conexão direta B2B.

Ao habilitar a conexão B2B com uma organização externa, você está permitindo que as organizações externas com as que você habilitaram as configurações de saída com acessem dados de contato limitados sobre seus usuários. A Microsoft compartilha esses dados com essas organizações para ajudá-las a enviar uma solicitação para se conectar aos usuários. Os dados coletados por organizações externas, incluindo dados de contato limitados, estão sujeitos às políticas e práticas de privacidade dessas organizações.

Acesso de saída

Quando a conexão direta B2B estiver habilitada com uma organização externa, os usuários na organização externa poderão pesquisar seus usuários por endereço de email completo. Os resultados da pesquisa correspondentes retornarão dados limitados sobre seus usuários, incluindo nome e sobrenome. Os usuários precisarão consentir com as políticas de privacidade da organização externa antes que mais dados deles seja compartilhado. Recomendamos que você revise as informações de privacidade que serão fornecidas pela organização e apresentadas aos usuários.

Acesso de entrada

É altamente recomendável adicionar o contato de privacidade global, e a declaração de privacidade da sua organização, para que os funcionários internos e os convidados externos possam revisar suas políticas. Siga as etapas para adicionar as informações de privacidade da sua organização.

Restringir o acesso a usuários e grupos

Talvez você queira considerar o uso de configurações de acesso entre locatários para restringir a conexão direta B2B a usuários e grupos específicos em sua organização e na organização externa.

Próximas etapas