Hantera externt samarbete

  • 5 minuter

Microsoft Entra Externa identiteter är en funktion som gör det möjligt för dig att ge personer utanför organisationen åtkomst till dina appar och resurser. Dina partner, distributörer, leverantörer, leverantörer och andra gästanvändare kan "ta med sina egna identiteter". Oavsett om de har en företags- eller myndighetsbaserad digital identitet, eller en ohanterad social identitet som Google eller Facebook, kan de använda sina egna autentiseringsuppgifter för att logga in. Den externa användarens identitetsprovider hanterar sin identitet och du hanterar åtkomsten till dina appar med Microsoft Entra-ID för att skydda dina resurser.

Flöde för inlösen av inbjudan

Diagram of the redemption of an external invitation to join Microsoft Entra tenant as a guest.

  1. Microsoft Entra ID utför användarbaserad identifiering för att avgöra om användaren redan finns i en hanterad Microsoft Entra-klientorganisation. (Ohanterade Microsoft Entra-konton kan inte längre användas för inlösen.) Om användarens användarhuvudnamn (UPN) matchar både ett befintligt Microsoft Entra-konto och ett personligt MSA uppmanas användaren att välja vilket konto de vill lösa in med.
  2. Om en administratör har aktiverat SAML/WS-Fed IdP-federation kontrollerar Microsoft Entra ID om användarens domänsuffix matchar domänen för en konfigurerad SAML/WS-Fed-identitetsprovider och omdirigerar användaren till den förkonfigurerade identitetsprovidern.
  3. Om en administratör har aktiverat Google-federation kontrollerar Microsoft Entra-ID om användarens domänsuffix är gmail.com eller googlemail.com och omdirigerar användaren till Google.
  4. Inlösningsprocessen kontrollerar om användaren har en befintlig personlig MSA. Om användaren redan har en befintlig MSA loggar de in med sin befintliga MSA.
  5. När användarens hemkatalog har identifierats skickas användaren till motsvarande identitetsprovider för att logga in.
  6. Om ingen hemkatalog hittas och funktionen för engångslösenord för e-post är aktiverad för gäster, skickas ett lösenord till användaren via det inbjudna e-postmeddelandet. Användaren hämtar och anger det här lösenordet på inloggningssidan för Microsoft Entra.
  7. Om ingen hemkatalog hittas och e-postlösenord för gäster inaktiveras uppmanas användaren att skapa en msa för konsument med det inbjudna e-postmeddelandet. Vi stöder skapandet av en MSA med e-postmeddelanden om arbete i domäner som inte har verifierats i Microsoft Entra-ID.
  8. Användaren omdirigeras efter autentisering till rätt identitetsprovider till Microsoft Entra-ID för att slutföra medgivandeupplevelsen.

Scenarier med externa identiteter

Externa Microsoft Entra-identiteter fokuserar mindre på en användares relation till din organisation och mer på hur användaren vill logga in på dina appar och resurser. I det här ramverket har Microsoft Entra ID stöd för olika scenarier.

Med ett B2B-samarbetsscenario kan du bjuda in externa användare till din egen klientorganisation som "gästanvändare" som du kan tilldela behörigheter till (för auktorisering) samtidigt som de kan använda sina befintliga autentiseringsuppgifter (för autentisering). Användare loggar in på delade resurser med hjälp av en enkel inbjudan och inlösenprocess med sitt arbets-, skol- eller andra e-postkonto. Du kan också använda Microsoft Entra-berättigandehantering för att konfigurera principer som hanterar åtkomst för externa användare. Och nu med tillgängligheten för användarflöden för självbetjäningsregistrering kan du tillåta externa användare att registrera sig för själva programmen. Upplevelsen kan anpassas för att tillåta registrering med en arbets-, skol- eller social identitet (till exempel Google eller Facebook). Du kan också samla in information om användaren under registreringsprocessen.

Följande lista identifierar ett exempel på ett B2B-samarbetsscenario och beskriver några av de funktioner som den tillhandahåller:

  • Primärt scenario – Samarbete med Microsoft-program (Microsoft 365, Teams och så vidare) eller dina egna program (SaaS-appar, anpassade appar och så vidare).
  • Avsett för – Samarbeta med affärspartner från externa organisationer som leverantörer, partners, leverantörer. Användare visas som gästanvändare i din katalog.
  • Identitetsprovidrar stöds – Externa användare kan samarbeta med hjälp av arbetskonton, skolkonton, valfri e-postadress, SAML- och WS-Fed-baserade identitetsprovidrar, Gmail och Facebook.
  • Extern användarhantering – Externa användare hanteras i samma katalog som anställda, men kommenteras vanligtvis som gästanvändare. Gästanvändare kan hanteras på samma sätt som anställda, läggas till i samma grupper och så vidare.
  • Enkel inloggning (SSO) – Enkel inloggning till alla Microsoft Entra-anslutna appar stöds. Du kan till exempel ge åtkomst till Microsoft 365 eller lokala appar och till andra SaaS-appar som Salesforce eller Workday.
  • Säkerhetsprincip och efterlevnad – hanteras av den värd-/inbjudande organisationen (till exempel med principer för villkorsstyrd åtkomst).
  • Branding – Värd/inbjudande organisations varumärke används.

Hantera inställningar för externt samarbete i Microsoft Entra-ID

I den här lektionen beskrivs hur du aktiverar Microsoft Entra B2B-samarbete. Sedan utforskar vi möjligheten att utse vem som kan bjuda in gäster och fastställa vilka behörigheter som gäster har.

Som standard kan alla användare och gäster i din katalog bjuda in gäster även om de inte har tilldelats någon administratörsroll. Med inställningar för externt samarbete kan du aktivera eller inaktivera gästinbjudningar för olika typer av användare i din organisation. Du kan också delegera inbjudningar till enskilda användare genom att tilldela roller där de kan bjuda in gäster.

Med Microsoft Entra-ID kan du begränsa vad externa gästanvändare kan se i din Microsoft Entra-katalog. Som standard beviljas gästanvändare en begränsad behörighetsnivå. Gästerna blockeras från att visa användare, grupper eller andra katalogresurser, men gäster kan se medlemskap i icke-dolda grupper. Administratörer kan ändra inställningen för gästbehörigheter så att du kan begränsa gäståtkomsten ytterligare, så att gäster bara kan visa sin egen profilinformation. Mer information finns i Begränsa behörigheter för gäståtkomst.

Konfigurera inställningar för externt samarbete mellan företag

Med Microsoft Entra B2B-samarbete (företag till företag) kan en klientadministratör ange följande inbjudningsprinciper:

  • Inaktivera inbjudningar (inga externa användare kan bjudas in)
  • Endast administratörer och användare i rollen Gästinbjudare kan bjuda in (endast administratörer och användare i rollen Gästinbjudare kan bjuda in)
  • Administratörer, rollen gästinbjudare och medlemmar kan bjuda in (samma som ovan, men inbjudna medlemmar kan också bjuda in externa användare)
  • Alla användare, inklusive gäster, kan bjuda in (som namnet antyder kan alla användare i klientorganisationen bjuda in externa användare)

Som standard kan alla användare, inklusive gäster, bjuda in gästanvändare.