Общие сведения о службе "Совместная работа B2B"

Совместная работа B2B в Azure Active Directory (Azure AD) — это дополнительная возможность службы "Внешние удостоверения", которая позволяет приглашать гостевых пользователей для совместной работы в своей организации. Благодаря этой службе вы можете безопасно совместно использовать приложения и службы компании вместе с внешними пользователями, сохраняя при этом контроль над собственными корпоративными данными. Безопасно работайте с внешними партнерскими компаниями, большими или небольшими, даже если у них нет инфраструктуры Azure AD или ИТ-отдела.

Диаграмма: совместная работа B2B.

Простой процесс приглашения и активации позволяет партнерам использовать собственные учетные данные для доступа к ресурсам вашей компании. Вы также можете включить потоки самостоятельной регистрации пользователей, чтобы внешние пользователи могли самостоятельно подписываться на приложения или ресурсы. Когда внешний пользователь активирует приглашение или выполнит регистрацию, он появится в каталоге как объект пользователя. Объекты пользователей для Совместной работы B2B обычно получают тип "гость" и отличаются от других пользователей наличием расширения #EXT# в имени участника-пользователя.

Разработчики могут использовать интерфейсы API Azure AD B2B, чтобы настроить процесс приглашения или написать такие приложения, как порталы для самостоятельной регистрации. Сведения о лицензировании и ценах для гостевых пользователей см. на странице с ценами на Внешние удостоверения Azure Active Directory.

Важно!

Функция отправки одноразового секретного кода по электронной почте теперь включена по умолчанию для всех новых арендаторов и для всех существующих арендаторов, для которых вы не отключили ее явным образом. Если эта функция отключена, в рамках резервного способа проверки подлинности будет отправляться приглашение на создание учетной записи Майкрософт.

Совместная работа с любым партнером с помощью его удостоверений

При использовании Azure AD B2B партнер использует собственное решение для управления удостоверениями, поэтому у вашей организации нет внешних административных издержек. Гостевые пользователи могут выполнять вход в ваши приложения и службы с использованием собственных рабочих, учебных учетных данных либо учетных данных из социальных сетей.

  • Партнер использует собственные удостоверения и учетные данные и для этого ему не нужна учетная запись Azure AD.
  • Вам не нужно управлять внешними учетными записями или паролями.
  • Вам не нужно синхронизировать учетные записи или управлять их жизненным циклом.

Управление совместной работой с другими организациями и облаками

Служба совместной работы B2B включена по умолчанию, но комплексные параметры администрирования позволяют управлять входящими и исходящими сеансами совместной работы B2B с внешними партнерами и организациями.

  • Для управления совместной работой B2B с другими организациями Azure AD используйте параметры совместной работы между арендаторами. Управляйте входящими и исходящими сеансами совместной работы B2B, ограничивая область доступа для конкретных пользователей, групп и приложений. Задайте конфигурацию по умолчанию, которая применяется ко всем внешним организациям, и по мере необходимости создавайте индивидуальные параметры для конкретных организаций. Параметры доступа между клиентами позволяют также настроить доверие заявлениям о многофакторной проверке подлинности и об устройствах (утверждения о соответствии и о подключении к гибридной среде Azure AD) от других организаций Azure AD.

  • Используйте параметры внешней совместной работы, чтобы ограничить круг лиц, которые могут приглашать внешних пользователей, разрешить или заблокировать отдельные домены B2B и задать для гостевых пользователей ограничения на доступ к вашему каталогу.

  • Используйте параметры облака Майкрософт (предварительная версия), чтобы установить взаимную совместную работу B2B между глобальным облаком Microsoft Azure и Microsoft Azure для государственных организаций или Microsoft Azure для Китая 21Vianet.

Простой процесс приглашения гостевых пользователей с портала Azure AD

Администратор может легко добавить гостевых пользователей в организацию на портале Azure.

Снимок экрана: страница ввода приглашения нового гостевого пользователя.

  • Гостевые пользователи выполняют несколько простых шагов активации для входа.

Снимок экрана: страница

Разрешение самостоятельной регистрации

Используя самостоятельную регистрацию, вы можете определить процедуру регистрации для внешних пользователей, которым требуется доступ к вашим приложениям. В рамках процесса регистрации вы можете указывать параметры для разных поставщиков удостоверений социальных сетей или организаций и собирать сведения о пользователе. См. сведения о самостоятельной регистрации и способах ее настройки.

Вы также можете использовать соединители API, чтобы интегрировать потоки для самостоятельной регистрации пользователей с внешними облачными системами. Можете установить подключение с помощью пользовательских рабочих процессов утверждения, выполнить проверку личности, проверить предоставленные пользователем сведения и многое другое.

Снимок экрана: страница

Использование политик для безопасного совместного использования приложений и служб

Для защиты корпоративного содержимого можно использовать политики проверки подлинности и авторизации. Вы можете применить политики условного доступа, например многофакторную проверку подлинности, на следующих уровнях:

  • на уровне клиента;
  • на уровне приложения;
  • или для конкретных гостевых пользователей, чтобы защитить корпоративные приложения и данные.

Снимок экрана с параметром

Разрешение владельцам приложений и групп управлять собственными гостевыми пользователями

Вы можете делегировать управление гостевыми пользователями владельцам приложений, чтобы они могли добавлять гостевых пользователей непосредственно в любое приложение, к которому они хотят предоставить общий доступ, будь то приложение корпорации Майкрософт или другого производителя.

  • Администраторы могут настроить самостоятельное управление приложениями и группами.
  • Тогда пользователи без прав администратора смогут использовать свои панели доступа, чтобы добавлять гостевых пользователей в приложения и группы.

Снимок экрана: панель доступа для гостевого пользователя.

Настройка процесса подключения для гостевых пользователей B2B

Вы можете регистрировать внешних партнеров так, как требуется вашей организации.

Интеграция с поставщиками удостоверений

Azure AD поддерживает внешние поставщики удостоверений, такие как Facebook, учетные записи Майкрософт, Google и корпоративные поставщики удостоверений. Вы можете настроить федерацию с поставщиками удостоверений. Таким образом, внешние пользователи могут выполнять вход с помощью существующих учетных записей социальных общения или корпоративных учетных записей, а не создавать новую учетную запись только для вашего приложения. См. дополнительные сведения о поставщиках удостоверений для внешних удостоверений.

Снимок экрана: страница поставщиков удостоверений.

Интеграция с SharePoint и OneDrive

Интеграция с SharePoint и OneDrive открывает пользователям за пределами организации доступ к файлам, папкам, элементам списка, библиотекам документов и сайтам, а Azure B2B используется для проверки подлинности и управления. Пользователи, которым предоставлен общий доступ к ресурсам, обычно добавляются в каталог как гости, а разрешения и группы для них действуют как для внутренних пользователей. Интеграция с SharePoint и OneDrive также включает функцию одноразового секретного кода электронной почты в Azure AD B2B, которую можно использовать в качестве резервного метода проверки подлинности.

Снимок экрана: одноразовая настройка секретного кода с помощью электронной почты.

Дальнейшие действия