Přehled přímého připojení B2B

Přímé připojení B2B (Azure AD Azure Active Directory) B2B je funkce externích identit, která umožňuje nastavit vzájemný vztah důvěryhodnosti s jinou organizací Azure AD pro bezproblémovou spolupráci. Tato funkce v současné době funguje se sdílenými kanály Microsoft Teams. Díky přímému připojení B2B můžou uživatelé z obou organizací spolupracovat pomocí svých domovských přihlašovacích údajů a sdíleného kanálu v Teams, aniž by je museli přidávat do organizací ostatních jako hosté. Pomocí přímého připojení B2B můžete sdílet prostředky s externími Azure AD organizacemi. Můžete ho také použít ke sdílení prostředků mezi několika tenanty Azure AD ve vaší vlastní organizaci.

Diagram znázorňující přímé připojení B2B

Přímé propojení B2B vyžaduje vzájemné vztahy důvěryhodnosti mezi dvěma Azure AD organizacemi, které umožňují přístup k prostředkům jednotlivých organizací. Organizace prostředků i externí organizace musí vzájemně povolit přímé připojení B2B v nastavení přístupu mezi tenanty. Po navázání vztahu důvěryhodnosti má uživatel přímého připojení B2B přístup k prostředkům mimo organizaci pomocí přihlašovacích údajů z domovské Azure AD organizace.

Funkce přímého připojení B2B v současné době fungují se sdílenými kanály Teams. Když je přímé připojení B2B vytvořené mezi dvěma organizacemi, můžou uživatelé v jedné organizaci vytvořit sdílený kanál v Teams a pozvat externího uživatele B2B s přímým připojením k němu. Pak z Teams může uživatel přímého připojení B2B bezproblémově přistupovat ke sdílenému kanálu v instanci Teams svého domovského tenanta, aniž by se musel ručně přihlásit k organizaci, která je hostitelem sdíleného kanálu.

Informace o licencování a cenách souvisejících s uživateli přímého připojení B2B najdete v cenách externích identit Azure Active Directory.

Správa přístupu mezi tenanty pro přímé připojení B2B

Azure AD organizace můžou spravovat vztahy důvěryhodnosti s jinými organizacemi Azure AD definováním příchozích a odchozích nastavení přístupu mezi tenanty. Nastavení přístupu mezi tenanty umožňují podrobnou kontrolu nad tím, jak s vámi ostatní organizace spolupracují (příchozí přístup) a jak vaši uživatelé spolupracují s jinými organizacemi (odchozí přístup).

  • Nastavení příchozího přístupu řídí, jestli mají uživatelé z externích organizací přístup k prostředkům ve vaší organizaci. Tato nastavení můžete použít pro všechny nebo můžete určit jednotlivé uživatele, skupiny a aplikace.

  • Nastavení odchozího přístupu určuje, jestli mají uživatelé přístup k prostředkům v externí organizaci. Tato nastavení můžete použít pro všechny nebo můžete určit jednotlivé uživatele, skupiny a aplikace.

  • Omezení tenanta určují, jak mají uživatelé přístup k externí organizaci, když používají vaše zařízení a síť, ale jsou přihlášení pomocí účtu, který jim externí organizace vydala.

  • Nastavení důvěryhodnosti určují, jestli zásady podmíněného přístupu budou důvěřovat vícefaktorovému ověřování (MFA), zařízení vyhovující předpisům a hybridním Azure AD deklarace identity zařízení připojené k externí organizaci, když uživatelé přistupují k vašim prostředkům.

Důležité

Přímé připojení B2B je možné pouze v případech, kdy obě organizace povolují přístup k druhé organizaci i z druhé organizace. Společnost Contoso může například povolit příchozí přímé připojení B2B ze společnosti Fabrikam, ale sdílení není možné, dokud společnost Fabrikam také povolí přímé připojení B2B pro odchozí připojení b2B se společností Contoso. Proto budete muset koordinovat s správcem externí organizace, abyste měli jistotu, že jejich nastavení přístupu mezi tenanty umožňuje sdílení s vámi. Tato vzájemná smlouva je důležitá, protože přímé připojení B2B umožňuje omezené sdílení dat pro uživatele, které povolíte pro přímé připojení B2B.

Výchozí nastavení

Výchozí nastavení přístupu mezi tenanty platí pro všechny externí Azure AD organizace s výjimkou organizací, pro které jste nakonfigurovali jednotlivá nastavení. Zpočátku Azure AD blokuje všechny možnosti přímého připojení B2B pro příchozí a odchozí připojení ve výchozím nastavení pro všechny externí Azure AD tenanty. Tato výchozí nastavení můžete změnit, ale obvykle je necháte tak, jak jsou, a povolíte přímý přístup B2B pro připojení k jednotlivým organizacím.

Nastavení specifická pro organizaci

Nastavení specifické pro organizaci můžete nakonfigurovat tak, že přidáte organizaci a upravíte nastavení přístupu mezi tenanty. Tato nastavení pak budou mít přednost před výchozím nastavením pro tuto organizaci.

Příklad 1: Povolení přímého připojení B2B pomocí Fabrikam a blokování všech ostatních

V tomto příkladu chce Contoso ve výchozím nastavení blokovat přímé připojení B2B se všemi externími organizacemi, ale povolit přímé připojení B2B pro všechny uživatele, skupiny a aplikace ve společnosti Fabrikam.

Příklad blokování přímého připojení B2B ve výchozím nastavení, ale povolení organizace

Společnost Contoso nastaví následující výchozí nastavení pro přístup mezi tenanty:

  • Blokovat příchozí přístup k přímému připojení B2B pro všechny externí uživatele a skupiny
  • Zablokujte odchozí přístup k přímému připojení B2B pro všechny uživatele a skupiny Společnosti Contoso.

Společnost Contoso pak přidá organizaci Fabrikam a nakonfiguruje následující nastavení organizace pro Fabrikam:

  • Povolte příchozí přístup k přímému připojení B2B pro všechny uživatele a skupiny Fabrikam.
  • Povolte příchozí přístup ke všem interním aplikacím Contoso uživateli přímého připojení Fabrikam B2B.
  • Povolte všem uživatelům a skupinám společnosti Contoso odchozí přístup k Fabrikam pomocí přímého připojení B2B.
  • Povolí společnosti Contoso B2B přímé připojení, aby měli odchozí přístup ke všem aplikacím Fabrikam.

Aby tento scénář fungoval, musí společnost Fabrikam také povolit přímé připojení B2B s Contoso tím, že nakonfiguruje stejná nastavení přístupu mezi tenanty pro Společnost Contoso a pro vlastní uživatele a aplikace. Po dokončení konfigurace budou moct uživatelé Společnosti Contoso, kteří spravují sdílené kanály Teams, přidávat uživatele společnosti Fabrikam vyhledáním jejich úplných e-mailových adres společnosti Fabrikam.

Příklad 2: Povolení přímého připojení B2B pouze se skupinou Marketing společnosti Fabrikam

Od výše uvedeného příkladu by se společnost Contoso mohla rozhodnout, že bude moct spolupracovat s uživateli společnosti Contoso prostřednictvím přímého připojení B2B jenom skupině Marketing společnosti Fabrikam. V tomto případě bude společnost Contoso muset získat ID objektu skupiny Marketing od společnosti Fabrikam. Místo povolení příchozího přístupu všem uživatelům společnosti Fabrikam nakonfigurují nastavení přístupu specifického pro Fabrikam následujícím způsobem:

  • Povolte příchozí přístup k přímému připojení B2B jenom pro skupinu Marketing společnosti Fabrikam. Společnost Contoso určuje ID objektu marketingové skupiny společnosti Fabrikam v seznamu povolených uživatelů a skupin.
  • Povolte příchozí přístup ke všem interním aplikacím Contoso uživateli přímého připojení Fabrikam B2B.
  • Povolte všem uživatelům a skupinám společnosti Contoso odchozí přístup k Fabrikam pomocí přímého připojení B2B.
  • Povolí společnosti Contoso B2B přímé připojení, aby měli odchozí přístup ke všem aplikacím Fabrikam.

Společnost Fabrikam bude také muset nakonfigurovat nastavení přístupu mezi odchozími tenanty tak, aby jejich marketingová skupina umožňovala spolupracovat se společností Contoso prostřednictvím přímého připojení B2B. Po dokončení konfigurace budou moct uživatelé společnosti Contoso, kteří spravují sdílené kanály Teams, přidávat jenom uživatele skupiny Marketing společnosti Fabrikam, a to tak, že vyhledá jejich úplné e-mailové adresy společnosti Fabrikam.

Authentication

Ve scénáři přímého připojení B2B zahrnuje ověřování uživatele z organizace Azure AD (domácího tenanta uživatele), který se pokouší přihlásit k souboru nebo aplikaci v jiné organizaci Azure AD (tenant prostředku). Uživatel se přihlásí pomocí přihlašovacích údajů Azure AD z domovského tenanta. Pokus o přihlášení se vyhodnotí jako nastavení přístupu mezi tenanty v domovském tenantovi uživatele i v tenantovi prostředku. Pokud jsou splněny všechny požadavky na přístup, uživateli se vydá token, který uživateli umožní přístup k prostředku. Tento token je platný po dobu 1 hodiny.

Podrobnosti o tom, jak funguje ověřování ve scénáři napříč tenanty se zásadami podmíněného přístupu, najdete v tématu Ověřování a podmíněný přístup ve scénářích napříč tenanty.

Multi-Factor Authentication (MFA)

Pokud chcete povolit přímé připojení B2B s externí organizací a zásady podmíněného přístupu vyžadují vícefaktorové ověřování, musíte nakonfigurovat nastavení příchozího vztahu důvěryhodnosti tak, aby zásady podmíněného přístupu přijímaly deklarace vícefaktorového ověřování z externí organizace. Tato konfigurace zajišťuje, aby uživatelé přímého připojení B2B z externí organizace dodržovali vaše zásady podmíněného přístupu a poskytovalo plynulejší uživatelské prostředí.

Řekněme například, že Contoso (tenant prostředku) důvěřuje deklaracím vícefaktorového ověřování z Fabrikam. Společnost Contoso má zásady podmíněného přístupu vyžadující vícefaktorové ověřování. Tato zásada se vztahuje na všechny hosty, externí uživatele a SharePoint Online. Jako předpoklad pro přímé připojení B2B musí společnost Contoso nakonfigurovat nastavení důvěryhodnosti v nastavení přístupu mezi tenanty, aby přijímala deklarace identity vícefaktorového ověřování z Fabrikam. Když uživatel Fabrikam přistupuje k aplikaci s přímým připojením B2B (například sdílený kanál Teams Connect), podléhá uživateli požadavek MFA vynucený společností Contoso:

  • Pokud uživatel Fabrikam už ve svém domovském tenantovi provedl vícefaktorové ověřování, bude mít přístup k prostředku ve sdíleném kanálu.
  • Pokud uživatel Fabrikam nedokončil vícefaktorové ověřování, bude mu zablokován přístup k prostředku.

Informace o podmíněném přístupu a Teams najdete v tématu Přehled zabezpečení a dodržování předpisů v dokumentaci k Microsoft Teams.

Uživatelské prostředí přímého připojení B2B

Přímé připojení B2B v současné době umožňuje funkci sdílené kanály Teams Connect. Uživatelé přímého připojení B2B mají přístup ke sdílenému kanálu Teams externí organizace, aniž by museli přepínat tenanty nebo se přihlašovat pomocí jiného účtu. Přístup uživatele přímého připojení B2B určuje zásady sdíleného kanálu.

V organizaci prostředků může vlastník sdíleného kanálu Teams vyhledávat uživatele z externí organizace a přidávat je do sdíleného kanálu. Po přidání můžou uživatelé přímého připojení B2B přistupovat ke sdílenému kanálu z domovské instance Teams, kde spolupracují pomocí funkcí, jako je chat, hovory, sdílení souborů a sdílení aplikací. Podrobnosti najdete v tématu Přehled týmů a kanálů v Microsoft Teams. Podrobnosti o prostředcích, souborech a aplikacích, které jsou dostupné uživateli B2B, přímo připojují prostřednictvím sdíleného kanálu Teams, najdete v tématu Chat, týmy, kanály, & aplikace v Microsoft Teams.

Přímé připojení B2B vs. spolupráce B2B

Spolupráce B2B a přímé připojení B2B jsou dva různé přístupy ke sdílení s uživateli mimo vaši organizaci. Porovnání funkcí najdete v přehledu externích identit. Tady probereme některé klíčové rozdíly v tom, jak se uživatelé spravují a jak přistupují k prostředkům.

Uživatelský přístup a správa

B2B přímé propojení uživatelů spolupracuje prostřednictvím vzájemného propojení mezi dvěma organizacemi, zatímco uživatelé spolupráce B2B jsou pozvaní do organizace a spravováni prostřednictvím objektu uživatele.

  • Přímé připojení B2B nabízí způsob spolupráce s uživateli z jiné Azure AD organizace prostřednictvím vzájemného obousměrného připojení nakonfigurovaného správci z obou organizací. Uživatelé mají přístup jednotného přihlašování k aplikacím Microsoftu s přímým připojením B2B. V současné době přímé připojení B2B podporuje sdílené kanály Teams Connect.

  • Spolupráce B2B umožňuje pozvat externí partnery, aby měli přístup k vašim aplikacím Microsoftu, SaaS nebo vlastním aplikacím. Spolupráce B2B je zvlášť užitečná, když externí partner nepoužívá Azure AD nebo není praktický nebo je možné nastavit přímé připojení B2B. Spolupráce B2B umožňuje externím uživatelům přihlásit se pomocí preferované identity, včetně jejich Azure AD účtu, účtu Microsoft pro spotřebitele nebo sociální identity, kterou povolíte, jako je Google. Díky spolupráci B2B můžete externím uživatelům umožnit přihlášení k vašim aplikacím Microsoftu, aplikacím SaaS, vlastním vyvinutým aplikacím atd.

Použití Teams s přímým připojením B2B vs. spolupráce B2B

V kontextu Teams existují rozdíly ve způsobu sdílení prostředků v závislosti na tom, jestli spolupracujete s někým, kdo používá přímé připojení B2B nebo spolupráci B2B.

  • S přímým připojením B2B přidáte externího uživatele do sdíleného kanálu v rámci týmu. Tento uživatel má přístup k prostředkům ve sdíleném kanálu, ale nemá přístup k celému týmu ani k žádným jiným prostředkům mimo sdílený kanál. Nemají například přístup k portálu pro správu Azure AD. Mají ale přístup k portálu Moje aplikace. B2B přímé připojení uživatelé nemají ve vaší organizaci Azure AD přítomnost, takže tito uživatelé jsou spravováni v klientovi Teams vlastníkem sdíleného kanálu. Podrobnosti najdete v tématu Přiřazení vlastníků a členů týmu v Microsoft Teams.

  • Díky spolupráci B2B můžete pozvat uživatele typu host do týmu. Uživatel typu host pro spolupráci B2B se přihlásí k tenantovi prostředku pomocí e-mailové adresy, která byla použita k jejich pozvání. Jejich přístup je určen oprávněními přiřazenými uživatelům typu host v tenantovi prostředků. Uživatelé typu host nemůžou v týmu vidět ani se účastnit žádných sdílených kanálů.

Další informace o rozdílech mezi spolupráci B2B a přímým připojením B2B v Teams najdete v tématu Přístup hostů v Microsoft Teams.

Monitorování a auditování

Generování sestav pro monitorování a auditování aktivity přímého připojení B2B je dostupné jak v Azure Portal, tak v Centru pro správu Microsoft Teams.

Azure AD protokoly monitorování a auditu

Azure AD obsahuje informace o přístupu mezi tenanty a přímém připojení B2B v protokolech auditu a protokolech přihlašování organizace. Tyto protokoly lze zobrazit v Azure Portal v části Monitorování.

  • Azure AD protokoly auditu: Azure AD Protokoly auditu se zobrazují při vytváření, aktualizaci nebo odstranění příchozích a odchozích zásad.

    Snímek obrazovky znázorňující protokol auditu

  • Azure AD protokoly přihlášení Azure AD protokoly přihlášení jsou k dispozici v domovské organizaci i v organizaci prostředků. Jakmile je přímé připojení B2B povolené, protokoly přihlášení začnou včetně ID uživatelských objektů pro B2B přímé připojení uživatelů z jiných tenantů. Informace hlášené v každé organizaci se liší, například:

    • V obou organizacích jsou přihlášení B2B s přímým připojením označená typem přístupu mezi tenanty přímého připojení B2B. Událost přihlášení se zaznamená, když uživatel B2B poprvé připojí organizaci prostředků a znovu při vydání obnovovacího tokenu pro uživatele. Uživatelé mají přístup k vlastním protokolům přihlašování. Správci můžou zobrazit přihlášení pro celou organizaci, aby viděli, jak uživatelé přímého připojení B2B přistupují k prostředkům ve svém tenantovi.

    • V domovské organizaci obsahují protokoly informace o klientské aplikaci.

    • Protokoly v organizaci prostředků zahrnují podmíněné zásadyAccessPolicies na kartě Podmíněný přístup.

    Snímek obrazovky znázorňující protokol přihlášení

  • Azure AD kontroly přístupu: Pomocí kontrol přístupu azure Active Directory (Azure AD) může správce tenanta zajistit, aby externí uživatelé typu host neměli přístup k vašim aplikacím a prostředkům déle, než je potřeba, tím, že nakonfiguruje jednorázovou nebo opakovanou kontrolu přístupu externích uživatelů. Přečtěte si další informace o kontrolách přístupu.

Protokoly monitorování a auditování v Microsoft Teams

Centrum pro správu Microsoft Teams zobrazuje sestavy pro sdílené kanály, včetně externích členů přímého připojení B2B pro každý tým.

  • Protokoly auditu Teams: Týmy podporují následující události auditování v tenantovi, který je hostitelem sdíleného kanálu: životní cyklus sdíleného kanálu (vytvoření nebo odstranění kanálu), životní cyklus člena mezi tenanty (přidání, odebrání, zvýšení úrovně nebo snížení úrovně člena). Tyto protokoly auditu jsou dostupné v tenantovi prostředků, aby správci mohli určit, kdo má přístup ke sdílenému kanálu Teams. V domovském tenantovi externího uživatele nejsou žádné protokoly auditu související s jejich aktivitou v externím sdíleném kanálu.

  • Kontroly přístupu k Teams: Kontroly přístupu ke skupinám, které jsou teams, teď můžou detekovat přímé připojení uživatelů, kteří používají sdílené kanály Teams. Při vytváření kontroly přístupu můžete kontrolu nastavit na všechny interní uživatele, uživatele typu host a externí B2B přímé připojení uživatelů, kteří byli přidáni přímo do sdíleného kanálu. Kontrolor se pak zobrazí uživatelům, kteří mají přímý přístup ke sdílenému kanálu.

  • Aktuální omezení: Kontrola přístupu může detekovat interní uživatele a externí uživatele přímého připojení B2B, ale ne jiné týmy, které byly přidány do sdíleného kanálu. Pokud chcete zobrazit a odebrat týmy přidané do sdíleného kanálu, může vlastník sdíleného kanálu spravovat členství v aplikaci Teams.

Další informace o protokolech auditu Microsoft Teams najdete v dokumentaci k auditování Microsoft Teams.

Ochrana osobních údajů a zpracování dat

Přímé připojení B2B umožňuje uživatelům a skupinám přistupovat k aplikacím a prostředkům hostovaným externí organizací. Aby bylo možné navázat připojení, musí správce z externí organizace také povolit přímé připojení B2B.

Povolením připojení B2B k externí organizaci umožňujete externím organizacím povolit odchozí nastavení s přístupem k omezeným kontaktním datům o uživatelích. Microsoft sdílí tato data s těmito organizacemi, aby jim pomohla odeslat žádost o připojení s vašimi uživateli. Data shromážděná externími organizacemi, včetně omezených kontaktních údajů, podléhají zásadám ochrany osobních údajů a postupům těchto organizací.

Odchozí přístup

Když je přímé připojení B2B povolené v externí organizaci, budou moct uživatelé v externí organizaci vyhledávat uživatele pomocí úplné e-mailové adresy. Odpovídající výsledky hledání vrátí omezená data o vašich uživatelích, včetně křestní jména a příjmení. Uživatelé budou muset vyjádřit souhlas se zásadami ochrany osobních údajů externí organizace, než se budou sdílet další data. Doporučujeme zkontrolovat informace o ochraně osobních údajů, které bude organizace poskytovat, a prezentovat vašim uživatelům.

Příchozí přístup

Důrazně doporučujeme přidat globální kontakt na ochranu osobních údajů i prohlášení o zásadách ochrany osobních údajů vaší organizace, aby vaši interní zaměstnanci a externí hosté mohli vaše zásady zkontrolovat. Podle pokynů přidejte informace o ochraně osobních údajů vaší organizace.

Omezení přístupu k uživatelům a skupinám

Můžete zvážit použití nastavení přístupu mezi tenanty k omezení přímého připojení B2B ke konkrétním uživatelům a skupinám ve vaší organizaci a externí organizaci.

Další kroky