Рекомендации по Microsoft Entra B2B
Область применения: 
клиенты рабочей силы внешние
клиенты (дополнительные сведения)
В этой статье содержатся рекомендации и рекомендации по совместной работе с бизнесом (B2B) в Внешняя идентификация Microsoft Entra.
Внимание
Функция отправки одноразового секретного кода по электронной почте теперь включена по умолчанию для всех новых арендаторов и для всех существующих арендаторов, для которых вы не отключили ее явным образом. Если эта функция отключена, в рамках резервного способа проверки подлинности будет отправляться приглашение на создание учетной записи Майкрософт.
Рекомендации B2B
| Рекомендация | Комментарии |
|---|---|
| Ознакомьтесь с рекомендациями майкрософт по защите совместной работы с внешними партнерами | Узнайте, как использовать целостный подход к управлению сотрудничеством вашей организации с внешними партнерами, следуя рекомендациям по защите внешней совместной работы в идентификаторе Microsoft Entra и Microsoft 365. |
| Тщательно спланируйте доступ между клиентами и параметры внешней совместной работы | Внешняя идентификация Microsoft Entra предоставляет гибкий набор элементов управления для управления совместной работой с внешними пользователями и организациями. Вы можете разрешить или запретить любую совместную работу, а также настроить эти возможности для конкретных организаций, пользователей и приложений. Перед настройкой параметров доступа между клиентами и внешнего взаимодействия следует тщательно составить список всех организаций, с которыми вы сотрудничаете и взаимодействуете. Затем определите, хотите ли вы включить прямое подключение B2B или совместную работу B2B с другими клиентами Microsoft Entra и как управлять приглашениями на совместную работу B2B. |
| Используйте ограничения клиента для управления использованием внешних учетных записей в сетях и управляемых устройствах. | С помощью ограничений клиента пользователи могут запретить пользователям использовать учетные записи, созданные в неизвестных клиентах или учетных записях, полученных от внешних организаций. Вместо этого рекомендуется запретить эти учетные записи и использовать совместную работу B2B. |
| Для оптимизации процесса входа в федерацию с поставщиками удостоверений | Каждый раз, когда это возможно, федеративный напрямую с поставщиками удостоверений, чтобы разрешить пользователям входить в общие приложения и ресурсы без необходимости создавать учетные записи Майкрософт (MSAs) или учетные записи Microsoft Entra. Вы можете использовать функцию Федерации Google, чтобы разрешить гостевым пользователям по совместной работе B2B входить в систему с использованием учетных записей Google. Также можно использовать функцию поставщика удостоверений SAML/WS-Fed (предварительная версия), чтобы настроить федерацию с любой организацией, чей поставщик удостоверений (IDP) поддерживает протокол SAML 2.0 или WS-Fed. |
| Использование функции отправки одноразового секретного кода по электронной почте для гостевых пользователей по совместной работе B2B, которые не могут проходить проверку подлинности другими способами | Функция однократного секретного кода электронной почты проверяет подлинность гостевых пользователей B2B, если они не могут пройти проверку подлинности с помощью других средств, таких как Идентификатор Microsoft Entra, учетная запись Майкрософт (MSA) или федерация Google. Если гостевой пользователь активирует приглашение или обращается к общему ресурсу, он может запросить временный код, который будет отправлен на адрес электронной почты этого пользователя. Этот код нужно ввести, чтобы войти в систему. |
| Добавление фирменной символики организации на страницу входа | Вы можете настроить страницу входа так, чтобы она была более интуитивно понятной для гостевых пользователей по совместной работе B2B. См. статью Добавление фирменной символики на страницу входа и Панели доступа. |
| Добавление заявления о конфиденциальности в процесс активации гостевых пользователей по совместной работе B2B | В первый процесс активации приглашения можно добавить URL-адрес заявления о конфиденциальности вашей организации, чтобы приглашенный пользователь согласился с условиями конфиденциальности для продолжения. См. практическое руководство. Добавление сведений о конфиденциальности организации в идентификатор Microsoft Entra. |
| Использование функции массового приглашения (предварительная версия) для одновременного приглашения нескольких гостевых пользователей по совместной работе B2B | Одновременное приглашение нескольких гостевых пользователей в организации с помощью функции предварительной версии массового приглашения на портале Azure. Эта функция позволяет отправлять CSV-файл для создания гостевых пользователей B2B, а также отправлять массовые приглашения. См. учебник по массовому приглашению пользователей B2B. |
| Принудительное применение политик условного доступа для многофакторной проверки подлинности Microsoft Entra | Рекомендуется применять политики MFA к приложениям, которые вы хотите использовать совместно с пользователями B2B партнера. Таким образом, проверка MFA будет систематически применяться к приложениям в клиенте независимо от того, использует ли проверку MFA партнерская организация. См. Условный доступ для пользователей совместной работы B2B. |
| Если вы применяете политики условного доступа на основе устройств, используйте списки исключений, чтобы разрешить доступ пользователям B2B | Если в вашей организации включены политики условного доступа на основе устройств, то устройства гостевых пользователей B2B будут заблокированы, так как они не управляются вашей организацией. Но вы можете создать списки исключений, включающие пользователей конкретного партнера, чтобы для них не действовали политики условного доступа на основе устройств. См. Условный доступ для пользователей совместной работы B2B. |
| Использование URL-адреса, зависящего от клиента, при предоставлении прямых ссылок гостевым пользователям B2B | В качестве альтернативы электронному письму с приглашением вы можете предоставить гостю прямую ссылку на ваше приложение или портал. Эта ссылка должна быть привязана к определенному пользователю и содержать идентификатор клиента или проверенный домен, чтобы гость мог пройти проверку подлинности в клиенте, где находится общее приложение. См. статью Активация для гостевого пользователя. |
| Использование свойства UserType при разработке приложения для определения интерфейса гостевого пользователя | Если вы разрабатываете приложение и хотите предоставить различные возможности для пользователей клиента и гостевых пользователей, используйте свойство UserType. Утверждение UserType сейчас не включено в токен. В приложениях необходимо использовать Microsoft API Graph, чтобы выполнить запрос к каталогу для пользователя и получить свойство UserType. |
| Изменение свойства UserType только в случае изменения связи пользователя с организацией | Несмотря на то, что PowerShell можно использовать, чтобы преобразовать свойство UserType для пользователя из Члена в Гостя (и наоборот), необходимо изменить это свойство только в том случае, если изменяется связь пользователя с организацией. См. статью Свойства гостевого пользователя B2B. |
| Узнайте, влияет ли ваша среда на ограничения каталога Microsoft Entra | Microsoft Entra B2B распространяется на ограничения каталога службы Microsoft Entra. Дополнительные сведения о количестве каталогов, которые может создавать пользователь, и количество каталогов, к которым может принадлежать пользователь или гостевой пользователь, см . в ограничениях и ограничениях службы Microsoft Entra. |
| Управление жизненным циклом учетной записи B2B с помощью функции спонсора | Спонсор является пользователем или группой, ответственной за своих гостевых пользователей. Дополнительные сведения об этой новой функции см. в поле "Спонсор" для пользователей B2B. |
Следующие шаги
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по