Metodtips för Microsoft Entra B2B
Gäller för:
Personalklientorganisationer 
Externa klienter (läs mer)
Den här artikeln innehåller rekommendationer och metodtips för B2B-samarbete (business-to-business) i Microsoft Entra External ID.
Viktigt!
Funktionen för engångslösenord för e-post är nu aktiverad som standard för alla nya klienter och för alla befintliga klienter där du inte uttryckligen har inaktiverat den. När den här funktionen är inaktiverad är återställningsautentiseringsmetoden att uppmana inbjudna att skapa ett Microsoft-konto.
B2B-rekommendationer
| Rekommendation | Kommentarer |
|---|---|
| Kontakta Microsoft Entra-vägledningen för att skydda ditt samarbete med externa partner | Lär dig hur du använder en holistisk styrningsmetod för organisationens samarbete med externa partner genom att följa rekommendationerna i Skydda externt samarbete i Microsoft Entra ID och Microsoft 365. |
| Planera noggrant åtkomst mellan klientorganisationer och inställningar för externt samarbete | Microsoft Entra Externt ID ger dig en flexibel uppsättning kontroller för att hantera samarbete med externa användare och organisationer. Du kan tillåta eller blockera allt samarbete eller endast konfigurera samarbete för specifika organisationer, användare och appar. Innan du konfigurerar inställningar för åtkomst mellan klientorganisationer och externt samarbete bör du göra en noggrann inventering av de organisationer som du arbetar och samarbetar med. Kontrollera sedan om du vill aktivera B2B-direktanslutning eller B2B-samarbete med andra Microsoft Entra-klienter och hur du vill hantera B2B-samarbetsinbjudningar. |
| Använd klientbegränsningar för att styra hur externa konton används i dina nätverk och hanterade enheter. | Med klientbegränsningar kan du hindra dina användare från att använda konton som de har skapat i okända klienter eller konton som de har fått från externa organisationer. Vi rekommenderar att du inte tillåter dessa konton och använder B2B-samarbete i stället. |
| För en optimal inloggningsupplevelse kan du federera med identitetsprovidrar | När det är möjligt kan du federera direkt med identitetsprovidrar så att inbjudna användare kan logga in på dina delade appar och resurser utan att behöva skapa Microsoft-konton (MSA) eller Microsoft Entra-konton. Du kan använda Google-federationsfunktionen för att tillåta B2B-gästanvändare att logga in med sina Google-konton. Eller så kan du använda funktionen SAML/WS-Fed identitetsprovider (förhandsversion) för att konfigurera federation med alla organisationer vars identitetsprovider (IdP) stöder SAML 2.0- eller WS-Fed-protokollet. |
| Använd funktionen E-post engångslösenord för B2B-gäster som inte kan autentisera på annat sätt | Funktionen E-post engångslösenord autentiserar B2B-gästanvändare när de inte kan autentiseras på andra sätt som Microsoft Entra-ID, ett Microsoft-konto (MSA) eller Google-federation. När gästanvändaren löser in en inbjudan eller får åtkomst till en delad resurs kan denne begära en tillfällig kod som skickas till användarens e-postadress. Sedan anger användaren den här koden för att fortsätta logga in. |
| Lägg till företagsanpassning på inloggningssidan | Du kan anpassa inloggningssidan så att den är mer intuitiv för dina B2B-gästanvändare. Se hur du lägger till företagsanpassning för att logga in och Åtkomstpanelen sidor. |
| Lägg till din sekretesspolicy i B2B-gästanvändarens inlösningsupplevelse | Du kan lägga till URL:en för din organisations sekretesspolicy i processen för inlösning av inbjudningar första gången så att en inbjuden användare måste samtycka till dina sekretessvillkor för att fortsätta. Se Anvisningar: Lägg till din organisations sekretessinformation i Microsoft Entra-ID. |
| Använd funktionen massinbjudan (förhandsversion) för att bjuda in flera B2B-gästanvändare samtidigt | Bjud in flera gästanvändare till din organisation samtidigt med hjälp av funktionen massinbjudan i Azure-portalen. Med den här funktionen kan du ladda upp en CSV-fil för att skapa B2B-gästanvändare och skicka inbjudningar i grupp. Mer information om hur du bjuder in B2B-användare finns i Självstudiekurs. |
| Framtvinga principer för villkorsstyrd åtkomst för Microsoft Entra-multifaktorautentisering | Vi rekommenderar att du tillämpar MFA-principer på de appar som du vill dela med B2B-partneranvändare. På så sätt tillämpas MFA konsekvent på apparna i din klientorganisation oavsett om partnerorganisationen använder MFA. Se Villkorsstyrd åtkomst för B2B-samarbetsanvändare. |
| Om du tillämpar enhetsbaserade principer för villkorsstyrd åtkomst använder du undantagslistor för att tillåta åtkomst till B2B-användare | Om enhetsbaserade principer för villkorsstyrd åtkomst är aktiverade i din organisation blockeras B2B-gästanvändarenheter eftersom de inte hanteras av din organisation. Du kan skapa undantagslistor som innehåller specifika partneranvändare för att undanta dem från den enhetsbaserade principen för villkorsstyrd åtkomst. Se Villkorsstyrd åtkomst för B2B-samarbetsanvändare. |
| Använda en klientspecifik URL när du tillhandahåller direkta länkar till dina B2B-gästanvändare | Som ett alternativ till e-postmeddelandet med inbjudan kan du ge en gäst en direktlänk till din app eller portal. Den här direktlänken måste vara klientspecifik, vilket innebär att den måste innehålla ett klient-ID eller en verifierad domän så att gästen kan autentiseras i din klientorganisation, där den delade appen finns. Se Inlösen för gästanvändaren. |
| När du utvecklar en app använder du UserType för att fastställa gästanvändarupplevelsen | Om du utvecklar ett program och vill tillhandahålla olika upplevelser för klientanvändare och gästanvändare använder du egenskapen UserType. UserType-anspråket ingår för närvarande inte i token. Program bör använda Microsoft Graph-API:et för att fråga katalogen så att användaren kan hämta sin UserType. |
| Ändra egenskapen UserType endast om användarens relation till organisationen ändras | Även om det är möjligt att använda PowerShell för att konvertera egenskapen UserType för en användare från medlem till gäst (och vice versa), bör du bara ändra den här egenskapen om relationen mellan användaren och din organisation ändras. Se Egenskaper för en B2B-gästanvändare. |
| Ta reda på om din miljö påverkas av Microsoft Entra-kataloggränser | Microsoft Entra B2B omfattas av Microsoft Entra-tjänstens kataloggränser. Mer information om antalet kataloger som en användare kan skapa och antalet kataloger som en användare eller gästanvändare kan tillhöra finns i Begränsningar och begränsningar för Microsoft Entra-tjänsten. |
| Hantera B2B-kontolivscykeln med funktionen Sponsor | En sponsor är en användare eller grupp som ansvarar för sina gästanvändare. Mer information om den här nya funktionen finns i Fältet Sponsor för B2B-användare. |