Melhores práticas do Microsoft Entra B2B
Aplica-se a: Locatários da força de trabalho Locatários externos (saiba mais)
Este artigo contém recomendações e melhores práticas para colaboração entre empresas (B2B) no Microsoft Entra External ID.
Importante
O recurso de senha de uso único por email agora fica ativado por padrão em todos os novos locatários e nos locatários existentes em que você não o desativou explicitamente. Quando esse recurso está desativado, o método de autenticação de fallback é solicitar que os convidados criem uma conta Microsoft.
Recomendações de B2B
Recomendação | Comentários |
---|---|
Consulte as diretrizes do Microsoft Entra para proteger sua colaboração com parceiros externos | Saiba como adotar uma abordagem de governança holística em relação à colaboração da sua organização com parceiros externos seguindo as recomendações descritas em Como proteger a colaboração externa na ID do Microsoft Entra e no Microsoft 365. |
Planejar cuidadosamente o acesso entre locatários e as configurações de colaboração externas | O Microsoft Entra External ID dá a você um conjunto flexível de controles para gerenciar a colaboração com usuários e organizações externas. Você pode permitir ou bloquear toda a colaboração ou configurar a colaboração somente para organizações, usuários e aplicativos específicos. Antes de definir as configurações de acesso entre locatários e a colaboração externa, faça um inventário completo das organizações com as que você trabalha e faz parcerias. Depois, determine se deseja habilitar a conexão direta de B2B ou a colaboração B2B com outros locatários do Microsoft Entra. |
Restringir o acesso do usuário convidado ao diretório | Por padrão, os usuários convidados têm acesso limitado ao diretório do Microsoft Entra. Eles podem gerenciar o próprio perfil e ver algumas informações sobre outros usuários, grupos e aplicativos. Você pode restringir ainda mais o acesso para que os convidados possam ver apenas suas próprias informações de perfil. Saiba mais sobre permissões de convidado padrão e como definir configurações de colaboração externa. |
Determine quem pode convidar convidados | Por padrão, todos os usuários da organização, incluindo os usuários convidados da colaboração B2B, podem convidar usuários externos para a colaboração B2B. Caso deseje limitar a capacidade de enviar convites, ative ou desative os convites para todos ou limite-os a determinadas funções ao definir as configurações de colaboração externa. |
Use restrições de locatário para controlar como as contas externas são usadas em suas redes e dispositivos gerenciados. | Com as restrições de locatário, você pode impedir que os usuários usem contas que eles criaram em locatários ou contas desconhecidas que receberam de organizações externas. É recomendável não permitir essas contas e, em vez disso, usar a colaboração B2B. |
Para proporcionar uma experiência de entrada ideal, realize federação com provedores de identidade | Sempre que possível, realize a federação diretamente com os provedores de identidade para que os usuários convidados entrem nos aplicativos e nos recursos compartilhados sem precisar criar MSAs (contas Microsoft) ou contas do Microsoft Entra. Você pode usar o recurso de federação do Google para que os usuários convidados de B2B entrem com as contas do Google deles. Outra opção é usar o recurso provedor de identidade SAML/WS-Fed (versão prévia) para configurar a federação com qualquer organização cujo IdP (provedor de identidade) dê suporte para o protocolo SAML 2.0 ou WS-Fed. |
Use o recurso de senha de uso único por email para os convidados de B2B que não podem ser autenticados por outros meios | O recurso Senha de uso único por email autentica os usuários B2B convidados quando eles não podem ser autenticados por outros meios, como a ID do Microsoft Entra, uma MSA (conta Microsoft) ou a federação do Google. Quando o usuário convidado resgata um convite ou acessa um recurso compartilhado, ele pode solicitar um código temporário, que é enviado para seu endereço de email. Em seguida, ele digita esse código para continuar o processo de entrada. |
Adicionar identidade visual da empresa à página de entrada | Você pode personalizar sua página de entrada para torná-la mais intuitiva para os usuários convidados de B2B. Veja como adicionar a identidade visual da empresa às páginas de entrada e do Painel de Acesso. |
Adicione sua política de privacidade à experiência de resgate do usuário convidado de B2B | Você pode adicionar a URL da política de privacidade da sua organização ao processo de resgate de convite pela primeira vez para que os usuários convidados precisem consentir aos termos de privacidade para continuar. Confira Como adicionar as informações de privacidade da sua organização na ID do Microsoft Entra. |
Usar o recurso de convite em massa (versão prévia) para convidar vários usuários convidados de B2B ao mesmo tempo | Para chamar vários usuários convidados para sua organização ao mesmo tempo, use a versão prévia do recurso de convite em massa no portal do Azure. Esse recurso permite carregar um arquivo CSV para criar usuários convidados de B2B e enviar convites em massa. Confira o tutorial para convidar em massa usuários de B2B. |
Impor políticas de acesso condicional para a autenticação multifator do Microsoft Entra | Recomendamos aplicar políticas de MFA nos aplicativos que você deseja compartilhar com os usuários de B2B de parceiros. Dessa forma, a MFA será usada consistentemente nos aplicativos do locatário mesmo que a organização parceira não a use. Confira Acesso condicional para usuários de colaboração B2B. Se você tiver uma relação comercial próxima com uma organização e tiver verificado suas práticas de MFA, poderá definir configurações de acesso entre locatários para aceitar suas declarações de MFA (saiba mais). |
Usar políticas de acesso condicional de força de autenticação para convidados | A força da autenticação é um controle de acesso condicional que permite definir uma combinação específica de métodos de MFA (autenticação multifator) que um usuário externo do Microsoft Entra deve concluir para acessar os recursos dele. Ela funciona em conjunto com as configurações de confiança da MFA nas configurações de acesso entre locatários para determinar onde e como o usuário externo deve executar a MFA. Consulte Políticas de força de autenticação para usuários externos |
Se você aplicar políticas de acesso condicional com base no dispositivo, use listas de exclusão para permitir o acesso de usuários de B2B | Se políticas de acesso condicional com base no dispositivo estiverem habilitadas na organização, os dispositivos de usuário convidado de B2B serão bloqueados porque não são gerenciados pela organização. É possível criar listas de exclusão contendo usuários parceiros específicos para excluí-los da política de acesso condicional com base em dispositivo. Confira Acesso condicional para usuários de colaboração B2B. |
Use uma URL específica do locatário ao fornecer links diretos para os usuários convidados de B2B | Como alternativa ao email de convite, você pode oferecer a um convidado um link direto para seu aplicativo ou portal. O link direto deve ser específico do locatário, ou seja, ele deve incluir uma ID de locatário ou um domínio verificado para que o convidado possa ser autenticado no locatário, que é o local em que o aplicativo compartilhado está localizado. Confira experiência de resgate para o usuário convidado. |
Ao desenvolver um aplicativo, use UserType para determinar a experiência do usuário convidado | Se você desenvolver um aplicativo e desejar experiências diferentes para usuários de locatário e usuários convidados, use a propriedade UserType. A reivindicação UserType não está incluída no token no momento. Os aplicativos devem usar a API do Microsoft Graph para consultar o usuário no diretório e obter o UserType. |
Altere a propriedade UserType somente se a relação do usuário com a organização mudar | Embora seja possível usar o PowerShell para converter a propriedade UserType de um usuário de membro para convidado (e vice-versa), você deverá alterar essa propriedade somente se a relação do usuário com a organização mudar. Confira Propriedades de um usuário convidado de B2B. |
Descubra se o seu ambiente será afetado pelos limites de diretório do Microsoft Entra | O Microsoft Entra B2B está sujeito aos limites de diretório do serviço Microsoft Entra. Para obter detalhes sobre o número de diretórios que um usuário pode criar e o número de diretórios aos quais um usuário ou um usuário convidado pode pertencer, confira Limites e restrições do serviço Microsoft Entra. |
Gerenciar o ciclo de vida da conta B2B com o recurso Responsável | Um patrocinador é um usuário ou grupo responsável pelos usuários convidados. Para obter mais detalhes sobre esse novo recurso, confira o campo Responsável para usuários B2B. |