Visão geral da conexão direta B2B
Aplica-se a: Locatários da força de trabalho Locatários externos (saiba mais)
A conexão direta de B2B é um recurso do Microsoft Entra External ID que permite configurar uma relação de confiança mútua com outra organização do Microsoft Entra para uma colaboração integrada. Atualmente, esse recurso funciona com Microsoft Teams canais compartilhados. Com a conexão direta B2B, os usuários de ambas as organizações podem trabalhar juntos usando suas credenciais e um canal compartilhado no Teams, sem precisar ser adicionados às organizações de uns dos outros como convidados. Use a conexão direta de B2B para compartilhar recursos com organizações externas do Microsoft Entra. Ou use-o para compartilhar recursos entre vários locatários do Microsoft Entra em sua própria organização.
A conexão direta B2B requer uma relação de confiança mútua entre duas organizações do Microsoft Entra para permitir o acesso aos recursos umas das outras. A organização de recursos e a organização externa precisam habilitar mutuamente a conexão direta B2B em suas configurações de acesso entre locatários. Quando a relação de confiança é estabelecida, o usuário da conexão direta de B2B tem acesso de logon único a recursos de fora da organização usando as credenciais da organização Microsoft Entra local dele.
Atualmente, os recursos de conexão direta B2B funcionam com canais compartilhados do Teams. Quando a conexão direta B2B é estabelecida entre duas organizações, os usuários em uma organização podem criar um canal compartilhado em Teams e convidar um usuário de conexão direta B2B externo a ele. Em seguida, de dentro Teams, o usuário do B2B Direct Connect pode acessar diretamente o canal compartilhado em sua instância de Teams de locatários, sem precisar entrar manualmente na organização que hospeda o canal compartilhado.
Gerenciando o acesso entre locatários para conexão direta B2B
As organizações do Microsoft Entra podem gerenciar suas relações de confiança com outras organizações do Microsoft Entra definindo configurações de acesso entre locatários de entrada e saída. As configurações de acesso entre locatários oferecem controle granular sobre como as organizações externas do Azure AD colaboram com você (acesso de entrada) e como os usuários colaboram com organizações externas do Azure AD (acesso de saída).
As configurações de acesso de entrada controlam se os usuários de organizações externas do Azure AD podem acessar recursos em sua organização. É possível aplicar essas configurações a todos ou especificar usuários, grupos e aplicativos individuais.
As configurações de acesso de saída controlam se os usuários podem acessar recursos em uma organização externa. É possível aplicar essas configurações a todos ou especificar usuários, grupos e aplicativos individuais.
As restrições de locatário determinam como os usuários podem acessar uma organização externa quando estão usando seus dispositivos e rede, mas são conectados usando uma conta que foi emitida para eles pela organização externa.
As Configurações de confiança determinam se suas políticas de Acesso Condicional confiarão na autenticação multifator (MFA), no dispositivo em conformidade e em reivindicações de dispositivos ingressados no Microsoft Entra híbrido de uma organização externa quando os usuários deles acessarem seus recursos.
Importante
A conexão direta B2B só é possível quando ambas as organizações permitem o acesso de e para a outra organização. Por exemplo, a Contoso pode permitir a conexão direta B2B de entrada da Fabrikam, mas o compartilhamento não é possível até que a Fabrikam também habilita a conexão direta B2B de saída com a Contoso. Portanto, você precisará coordenar com o administrador da organização externa para garantir que as configurações de acesso entre locatários permitam o compartilhamento com você. Esse contrato mútuo é importante porque a conexão direta B2B permite o compartilhamento limitado de dados para os usuários habilitados para a conexão direta B2B.
Configurações padrão
As configurações padrão de acesso entre locatários se aplicam a todas as organizações externas do Microsoft Entra, exceto organizações para as quais você definiu configurações individuais. Inicialmente, o Microsoft Entra ID bloqueia todos os recursos de conexão direta B2B de entrada e saída por padrão para todos os locatários externos do Microsoft Entra. Você pode alterar essas configurações padrão, mas poderá deixá-las como estão, permitindo o acesso da conexão direta B2B com organizações individuais.
Configurações específicas da organização
É possível definir configurações específicas da organização adicionando uma organização e modificando as configurações de entrada e saída para essa organização. Essas configurações terão precedência sobre as configurações padrão para essa organização.
Exemplo 1: Permitir conexão direta B2B com a Fabrikam e bloquear todas as outras
Neste exemplo, a Contoso deseja bloquear a conexão direta B2B com todas as organizações externas por padrão, mas permitir a conexão direta B2B para todos os usuários, grupos e aplicativos na Fabrikam.
A Contoso define as seguintes configurações padrão para acesso entre locatários:
- Bloquear o acesso de entrada à conexão direta B2B para todos os usuários e grupos externos.
- Bloqueie o acesso de saída à conexão direta B2B para todos os usuários e grupos da Contoso.
Em seguida, a Contoso adiciona a organização Fabrikam e define as seguintes configurações organizacionais para a Fabrikam:
- Permitir acesso de entrada à conexão direta B2B para todos os usuários e grupos da Fabrikam.
- Permitir acesso de entrada a todos os aplicativos internos da Contoso por usuários do Fabrikam B2B Direct Connect.
- Permitir que todos os usuários e grupos da Contoso ou selecionados tenham acesso de saída à Fabrikam usando a conexão direta B2B.
- Permitir que os usuários do Direct Connect da Contoso B2B tenham acesso de saída a todos os aplicativos fabrikam.
Para que esse cenário funcione, a Fabrikam também precisa permitir a conexão direta B2B com a Contoso definindo essas mesmas configurações de acesso entre locatários para a Contoso e para seus próprios usuários e aplicativos. Quando a configuração estiver concluída, os usuários da Contoso que gerenciam canais compartilhados do Teams poderão adicionar usuários da Fabrikam pesquisando seus endereços de email completos da Fabrikam.
Exemplo 2: Habilitar a conexão direta B2B somente com o grupo marketing da Fabrikam
A partir do exemplo acima, a Contoso também pode optar por permitir que apenas o grupo de Marketing da Fabrikam colabore com os usuários da Contoso por meio da conexão direta B2B. Nesse caso, a Contoso precisará obter a ID de objeto do grupo de Marketing da Fabrikam. Em seguida, em vez de permitir o acesso de entrada a todos os usuários da Fabrikam, eles definirão suas configurações de acesso específicas da Fabrikam da seguinte forma:
- Permitir acesso de entrada à conexão direta B2B somente para o grupo marketing da Fabrikam. A Contoso especifica a ID do objeto do grupo marketing da Fabrikam na lista de usuários e grupos permitidos.
- Permitir acesso de entrada a todos os aplicativos internos da Contoso por usuários do Fabrikam B2B Direct Connect.
- Permitir que todos os usuários e grupos da Contoso tenham acesso de saída à Fabrikam usando a conexão direta B2B.
- Permitir que os usuários do Direct Connect da Contoso B2B tenham acesso de saída a todos os aplicativos fabrikam.
A Fabrikam também precisará definir suas configurações de acesso entre locatários de saída para que seu grupo de Marketing tenha permissão para colaborar com a Contoso por meio da conexão direta B2B. Quando a configuração estiver concluída, os usuários da Contoso que gerenciam canais compartilhados do Teams poderão adicionar somente usuários do grupo Fabrikam Marketing pesquisando seus endereços de email completos da Fabrikam.
Autenticação
Em um cenário de conexão direta B2B, a autenticação envolve um usuário de uma organização do Microsoft Entra (o locatário inicial do usuário) tentando entrar em um arquivo ou aplicativo em outra organização do Microsoft Entra (o locatário do recurso). O usuário entra com as credenciais do Microsoft Entra de seu locatário inicial. A tentativa de entrada é avaliada em relação às configurações de acesso entre locatários no locatário de residência do usuário e no locatário do recurso. Se todos os requisitos de acesso são atendidos, um token é emitido para o usuário que permite que o usuário acesse o recurso. Esse token é válido por 1 dias.
Para obter detalhes sobre como a autenticação funciona em um cenário entre locatários com políticas de acesso condicional, consulte Autenticação e acesso condicional em cenários entre locatários.
Autenticação multi-fator (MFA)
Se você quiser permitir a conexão direta B2B com uma organização externa e suas políticas de Acesso Condicional exigirem MFA, você deverá definir suas configurações de confiança de entrada para que suas políticas de Acesso Condicional aceitem declarações de MFA da organização externa. Essa configuração garante que os usuários do B2B Direct Connect da organização externa sejam compatíveis com suas políticas de Acesso Condicional e que ela fornece uma experiência de usuário mais perfeita.
Por exemplo, digamos que Contoso (o locatário do recurso) confie em declarações MFA da Fabrikam. A Contoso tem uma política de Acesso Condicional que exige MFA. Essa política tem como escopo todos os convidados, usuários externos e SharePoint Online. Como pré-requisito para a conexão direta B2B, a Contoso deve definir configurações de confiança em suas configurações de acesso entre locatários para aceitar declarações de MFA da Fabrikam. Quando um usuário da Fabrikam acessa um aplicativo habilitado para conexão direta B2B (por exemplo, um canal compartilhado Teams Conexão), o usuário está sujeito ao requisito de MFA imposto pela Contoso:
- Se o usuário da Fabrikam já tiver executado a MFA em seu locatário de residência, ele poderá acessar o recurso dentro do canal compartilhado.
- Se o usuário da Fabrikam não tiver concluído a MFA, ele será impedido de acessar o recurso.
Para obter informações sobre acesso condicional e Teams, consulte Visão geral de segurança e conformidade na documentação Microsoft Teams dados.
Configurações de confiança para conformidade do dispositivo
Em suas configurações de acesso entre locatários, você pode usar as Configurações de confiança para confiar nas declarações do locatário inicial de um usuário externo sobre se o dispositivo do usuário atende às políticas de conformidade do dispositivo ou é do tipo ingressado no Microsoft Entra híbrido. Quando as configurações de confiança de dispositivo estão habilitadas, o Microsoft Entra ID verifica a sessão de autenticação do usuário para obter uma declaração de dispositivo. Se a sessão contiver uma declaração de dispositivo indicando que as políticas de MFA já foram cumpridas no locatário inicial do usuário, ele receberá logon contínuo no seu recurso compartilhado. Você pode habilitar as configurações de confiança de dispositivos para todas as organizações ou para organizações individuais do Microsoft Entra. (Saiba mais)
Experiência do usuário do B2B Direct Connect
Atualmente, a conexão direta B2B habilita o Teams Conexão de canais compartilhados. Os usuários do B2B Direct Connect podem acessar o canal compartilhado Teams uma organização externa sem precisar alternar locatários ou entrar com uma conta diferente. O acesso do usuário do B2B Direct Connect é determinado pelas políticas do canal compartilhado.
Na organização de recursos, o Teams de canal compartilhado pode pesquisar Teams usuários de uma organização externa e adicioná-los ao canal compartilhado. Depois que eles são adicionados, os usuários do B2B Direct Connect podem acessar o canal compartilhado de dentro de sua instância de residência do Teams, em que colaboram usando recursos como chat, chamadas, compartilhamento de arquivos e compartilhamento de aplicativos. Para saber mais, confira Visão geral das equipes e dos canais no Microsoft Teams. Para obter detalhes sobre os recursos, arquivos e aplicativos disponíveis para o usuário da Conexão direta de B2B por meio do canal compartilhado do Teams, consulte Chat, equipes, canais e aplicativos no Microsoft Teams.
Acesso e gerenciamento do usuário
Os usuários do B2B Direct Connect colaboram por meio de uma conexão mútua entre duas organizações, enquanto os usuários de colaboração B2B são convidados para uma organização e gerenciados por meio de um objeto de usuário.
A conexão direta de B2B proporciona uma maneira de colaborar com usuários de uma outra organização do Microsoft Entra por meio de uma conexão mútua de bidirecional configurada pelos administradores de ambas as organizações. Os usuários têm acesso de login único a aplicativos da Microsoft habilitados para conexão direta B2B. Atualmente, o B2B Direct Connect oferece suporte Teams Conexão canais compartilhados.
A colaboração B2B permite convidar parceiros externos para acessar seus aplicativos Microsoft, SaaS ou personalizados. A colaboração B2B é bastante útil quando o parceiro externo não usa o Microsoft Entra ID ou se não é prático ou possível configurar uma conexão direta de B2B. A colaboração B2B permite que usuários externos se inscrevam usando a identidade de sua preferência, incluindo sua conta do Microsoft Entra, conta Microsoft do consumidor ou uma identidade social habilitada por você, como o Google. Com a colaboração B2B, você pode permitir que usuários externos entre em seus aplicativos da Microsoft, aplicativos SaaS, aplicativos personalizados e assim por diante.
Usando Teams com conexão direta B2B versus colaboração B2B
No contexto do Teams, há diferenças em como os recursos podem ser compartilhados, dependendo se você está colaborando com alguém usando a conexão direta B2B ou a colaboração B2B.
Com a conexão direta B2B, você adiciona o usuário externo a um canal compartilhado dentro de uma equipe. Esse usuário pode acessar os recursos dentro do canal compartilhado, mas não tem acesso a toda a equipe ou a outros recursos fora do canal compartilhado. Por exemplo, eles não têm acesso ao portal do Azure. No entanto, eles têm acesso Meus aplicativos portal. Os usuários da conexão direta de B2B não estão presentes na sua organização do Microsoft Entra e, portanto, esses usuários são gerenciados no cliente do Teams pelo proprietário do canal compartilhado. Para obter detalhes, consulte Atribuir proprietários e membros da equipe Microsoft Teams.
Com a colaboração B2B, você pode convidar o usuário convidado para uma equipe. O usuário convidado da colaboração B2B entra no locatário do recurso usando o endereço de email que foi usado para convida-los. O acesso é determinado pelas permissões atribuídas aos usuários convidados no locatário do recurso. Os usuários convidados não podem ver ou participar de canais compartilhados na equipe.
Para obter mais informações sobre as diferenças entre a colaboração B2B e a conexão direta B2B no Teams, consulte Acesso de convidado no Microsoft Teams.
Monitoramento e auditoria
Os relatórios para monitoramento e auditoria da atividade de conexão direta B2B estão disponíveis no portal do Azure e no Microsoft Teams de administração.
Logs de auditoria e monitoramento do Microsoft Entra
O Microsoft Entra ID inclui informações sobre acesso entre locatários e conexão direta de B2B nos Logs de auditoria e Logs de credenciais da organização. Esses logs podem ser exibidos no portal do Azure em Monitoramento.
Logs de auditoria do Microsoft Entra: os logs de auditoria do Microsoft Entra mostram quando as políticas de entrada e saída são criadas, atualizadas ou excluídas.
Logs de credenciais do Microsoft Entra: os logs de entrada do Microsoft Entra estão disponíveis tanto na organização inicial quanto na organização do recurso. Depois que a conexão direta B2B for habilitada, os logs de conexão começarão a incluir IDs de objeto de usuário para usuários de conexão direta B2B de outros locatários. As informações relatadas em cada organização variam, por exemplo:
Em ambas as organizações, as entrada do B2B Direct Connect são rotuladas com um tipo de acesso entre locatários de conexão direta B2B. Um evento de entrada é registrado quando um usuário do B2B Direct Connect acessa pela primeira vez uma organização de recursos e, novamente, quando um token de atualização é emitido para o usuário. Os usuários podem acessar seus próprios logs de entrada. Os administradores podem exibir as inscrições de toda a organização para ver como os usuários do B2B Direct Connect estão acessando recursos em seu locatário.
Na organização inicial, os logs incluem informações do aplicativo cliente.
Na organização do recurso, os logs incluem conditionalAccessPolicies na guia Acesso Condicional.
Revisões de acesso do Microsoft Entra: com as revisões de acesso do Microsoft Entra, o administrador de um locatário pode garantir que os usuários convidados externos não tenham acesso aos seus aplicativos e recursos por mais tempo do que o necessário configurando uma revisão de acesso única ou recorrente dos usuários externos. Saiba mais sobre as revisões de acesso.
Logs de auditoria e monitoramento do Microsoft Teams
O Microsoft Teams de administração exibe relatórios para canais compartilhados, incluindo membros externos do B2B Direct Connect para cada equipe.
Logs de auditoria do Teams: o Teams dá suporte aos seguintes eventos de auditoria no locatário que hospeda o canal compartilhado: Ciclo de vida do canal compartilhado (criar/excluir canal), ciclo de vida do membro entre locatários/entre locatários (adicionar/remover/promover/rebaixar membro). Esses logs de auditoria estão disponíveis no locatário de recursos para que os administradores possam determinar quem tem acesso ao canal Teams compartilhado. Não há logs de auditoria no locatário de residência do usuário externo relacionado à sua atividade em um canal compartilhado externo.
Revisões de acesso do Teams: as revisões de acesso de grupos que Teams agora podem detectar usuários de conexão direta B2B que estão usando Teams canais compartilhados. Ao criar uma revisão de acesso, você pode escopo da revisão para todos os usuários internos, usuários convidados e usuários de conexão direta B2B externos que foram adicionados diretamente a um canal compartilhado. Em seguida, o revisador é apresentado aos usuários que têm acesso direto ao canal compartilhado.
Limitações atuais: uma revisão de acesso pode detectar usuários internos e usuários de conexão direta B2B externos, mas não outras equipes, que foram adicionados a um canal compartilhado. Para exibir e remover as equipes que foram adicionadas a um canal compartilhado, o proprietário do canal compartilhado pode gerenciar a associação de dentro Teams.
Para obter mais informações sobre Microsoft Teams logs de auditoria, consulte a documentação Microsoft Teams auditoria.
Privacidade e tratamento de dados
A conexão direta B2B permite que seus usuários e grupos acessem aplicativos e recursos hospedados por uma organização externa. Para estabelecer uma conexão, um administrador da organização externa também deve habilitar a conexão direta B2B.
Ao habilitar a conexão B2B com uma organização externa, você está permitindo que as organizações externas com as que você habilitaram as configurações de saída com acessem dados de contato limitados sobre seus usuários. A Microsoft compartilha esses dados com essas organizações para ajudá-las a enviar uma solicitação para se conectar aos usuários. Os dados coletados por organizações externas, incluindo dados de contato limitados, estão sujeitos às políticas e práticas de privacidade dessas organizações.
Acesso de saída
Quando a conexão direta B2B estiver habilitada com uma organização externa, os usuários na organização externa poderão pesquisar seus usuários por endereço de email completo. Os resultados da pesquisa correspondentes retornarão dados limitados sobre seus usuários, incluindo nome e nome de família. Os usuários precisarão consentir com as políticas de privacidade da organização externa antes que mais dados deles seja compartilhado. Recomendamos que você revise as informações de privacidade que serão fornecidas pela organização e apresentadas aos usuários.
Acesso de entrada
É altamente recomendável adicionar o contato de privacidade global, e a declaração de privacidade da sua organização, para que os funcionários internos e os convidados externos possam revisar suas políticas. Siga as etapas para adicionar as informações de privacidade da sua organização.
Restringir o acesso a usuários e grupos
Talvez você queira considerar o uso de configurações de acesso entre locatários para restringir a conexão direta B2B a usuários e grupos específicos em sua organização e na organização externa.
Próximas etapas
- Definir configurações de acesso entre locatários
- Consulte a documentação Microsoft Teams dados para obter detalhes sobre prevenção contra perda de dados, políticas de retençãoe descoberta de eDiscovery.