Externí identity v Azure Active Directory

Externí identity Azure AD odkazují na všechny způsoby, jak můžete bezpečně pracovat s uživateli mimo vaši organizaci. Pokud chcete spolupracovat s partnery, distributory nebo dodavateli, můžete sdílet své prostředky a definovat, jakým způsobem můžou interní uživatelé přistupovat k externím organizacím. Pokud jste vývojář vytvářející zákaznické aplikace, můžete spravovat prostředí identit zákazníků.

S externími identitami můžou externí uživatelé "přinést vlastní identity". Ať už mají firemní nebo vládní digitální identitu nebo nespravovanou sociální identitu, jako je Google nebo Facebook, můžou k přihlášení použít svoje vlastní přihlašovací údaje. Zprostředkovatel identity externího uživatele spravuje svou identitu a spravujete přístup k vašim aplikacím pomocí Azure AD nebo Azure AD B2C, abyste zachovali ochranu vašich prostředků.

Následující možnosti tvoří externí identity:

  • Spolupráce B2B – Spolupráce s externími uživateli tím, že jim umožní používat jejich upřednostňovanou identitu pro přihlášení k aplikacím Microsoftu nebo jiným podnikovým aplikacím (aplikace SaaS, vlastní vyvinuté aplikace atd.). Uživatelé spolupráce B2B jsou ve vašem adresáři reprezentováni, obvykle jako uživatelé typu host.

  • Přímé připojení B2B – Vytvoření vzájemné obousměrné důvěryhodnosti s jinou organizací Azure AD pro bezproblémovou spolupráci Přímé připojení B2B aktuálně podporuje Teams sdílených kanálů a umožňuje externím uživatelům přistupovat k vašim prostředkům z jejich domovských instancí Teams. Uživatelé přímého připojení B2B nejsou ve vašem adresáři reprezentováni, ale jsou viditelné z Teams sdíleného kanálu a dají se monitorovat v sestavách centra pro správu Teams.

  • Azure AD B2C – Publikování moderních aplikací SaaS nebo vlastních aplikací (kromě aplikací Microsoftu) pro uživatele a zákazníky při používání Azure AD B2C pro správu identit a přístupu

V závislosti na tom, jak chcete pracovat s externími organizacemi a typy prostředků, které potřebujete sdílet, můžete použít kombinaci těchto možností.

External Identities overview diagram

Spolupráce B2B

Díky spolupráci B2B můžete pozvat všechny uživatele, aby se přihlásili do vaší organizace Azure AD pomocí vlastních přihlašovacích údajů, aby měli přístup k aplikacím a prostředkům, které s nimi chcete sdílet. Spolupráci B2B používejte, když potřebujete umožnit externím uživatelům přístup k vašim aplikacím Office 365, softwarovým aplikacím jako službě (SaaS) a obchodním aplikacím, zejména když partner nepoužívá Azure AD nebo je pro správce nepraktické nastavit vzájemné připojení prostřednictvím přímého připojení B2B. Uživatelé spolupráce B2B nemají přidružené žádné přihlašovací údaje. Místo toho se ověří u domovské organizace nebo zprostředkovatele identity a vaše organizace zkontroluje nárok uživatele typu host na spolupráci B2B.

Existují různé způsoby přidání externích uživatelů do vaší organizace pro spolupráci B2B:

  • Pozvěte uživatele ke spolupráci B2B pomocí svých účtů Azure AD, účtů Microsoft nebo sociálních identit, které povolíte, jako je Google. Správce může pomocí Azure Portal nebo PowerShellu pozvat uživatele do spolupráce B2B. Uživatel se přihlásí ke sdíleným prostředkům pomocí jednoduchého procesu uplatnění pomocí svého pracovního, školního nebo jiného e-mailového účtu.

  • Pomocí toků uživatelů samoobslužné registrace umožňují externím uživatelům zaregistrovat se k aplikacím sami. Prostředí je možné přizpůsobit tak, aby umožňovalo registraci pomocí pracovní, školní nebo sociální identity (jako je Google nebo Facebook). Během procesu registrace můžete také shromažďovat informace o uživateli.

  • Použití správy nároků Azure AD, funkce zásad správného řízení identit, která umožňuje spravovat identitu a přístup externím uživatelům ve velkém pomocí automatizace pracovních postupů žádostí o přístup, přiřazení přístupu, kontrol a vypršení platnosti.

Objekt uživatele se vytvoří pro uživatele spolupráce B2B ve stejném adresáři jako vaši zaměstnanci. Tento uživatelský objekt je možné spravovat stejně jako jiné uživatelské objekty ve vašem adresáři, přidávat do skupin atd. Oprávnění můžete přiřadit k objektu uživatele (pro autorizaci) a nechat je používat své stávající přihlašovací údaje (pro ověřování).

Ke správě spolupráce B2B s jinými organizacemi Azure AD můžete použít nastavení přístupu mezi tenanty . Pro spolupráci B2B s externími uživateli a organizacemi mimo Azure AD použijte nastavení externí spolupráce.

Přímé připojení B2B

Přímé připojení B2B je nový způsob spolupráce s dalšími organizacemi Azure AD. S přímým připojením B2B vytvoříte obousměrné vztahy důvěryhodnosti s jinými organizacemi Azure AD, abyste uživatelům umožnili bezproblémové přihlášení ke sdíleným prostředkům a naopak. Uživatelé přímého připojení B2B se nepřidají jako hosté do adresáře Azure AD. Když dvě organizace vzájemně umožňují přímé připojení B2B, uživatelé se ověřují ve své domovské organizaci a obdrží token od organizace prostředků pro přístup. Přečtěte si další informace o přímém připojení B2B v Azure AD.

V současné době přímé připojení B2B umožňuje funkci Teams Připojení sdílených kanálů, která umožňuje uživatelům spolupracovat s externími uživateli z více organizací s Teams sdíleným kanálem pro chat, hovory, sdílení souborů a sdílení aplikací. Jakmile nastavíte přímé připojení B2B s externí organizací, budou dostupné následující možnosti Teams sdílených kanálů:

  • V rámci Teams může vlastník sdíleného kanálu vyhledat povolené uživatele z externí organizace a přidat je do sdíleného kanálu.

  • Externí uživatelé mají přístup k Teams sdíleném kanálu, aniž by museli přepínat organizace nebo se přihlásit pomocí jiného účtu. Z Teams může externí uživatel přistupovat k souborům a aplikacím prostřednictvím karty Soubory. Přístup uživatele určuje zásady sdíleného kanálu.

Nastavení přístupu mezi tenanty slouží ke správě vztahů důvěryhodnosti s jinými organizacemi Azure AD a definování příchozích a odchozích zásad pro přímé připojení B2B.

Podrobnosti o prostředcích, souborech a aplikacích, které jsou dostupné uživateli B2B přímého připojení prostřednictvím Teams sdíleného kanálu, najdete v tématu Chat, týmy, kanály, & aplikace v Microsoft Teams.

Azure AD B2C

Azure AD B2C je řešení SPRÁVY identit a přístupu zákazníků (CIAM), které umožňuje vytvářet cesty uživatelů pro aplikace, které jsou určené pro spotřebitele a zákazníky. Pokud jste obchodní nebo individuální vývojář, který vytváří aplikace pro zákazníky, můžete škálovat na miliony spotřebitelů, zákazníků nebo občanů pomocí Azure AD B2C. Vývojáři můžou používat Azure AD B2C jako plnohodnotný systém CIAM pro své aplikace.

S Azure AD B2C se zákazníci můžou přihlásit pomocí identity, kterou už vytvořili (třeba Facebook nebo Gmail). Při používání aplikací můžete zcela přizpůsobit a řídit, jak se zákazníci zaregistrují, přihlásí a spravují jejich profily.

I když je Azure AD B2C založená na stejné technologii jako Azure AD, jedná se o samostatnou službu s některými rozdíly mezi funkcemi. Další informace o tom, jak se tenant Azure AD B2C liší od tenanta Azure AD, najdete v tématu Podporované funkce Azure AD v dokumentaci k Azure AD B2C.

Porovnání sad funkcí externích identit

Následující tabulka obsahuje podrobné porovnání scénářů, které můžete povolit pomocí externích identit Azure AD. Ve scénářích B2B je externí uživatel kdokoli, kdo není doma ve vaší organizaci Azure AD.

Spolupráce B2B Přímé připojení B2B Azure AD B2C
Primární scénář Spolupracujte s externími uživateli tím, že jim umožníte používat jejich upřednostňovanou identitu k přihlášení k prostředkům ve vaší organizaci Azure AD. Poskytuje přístup k aplikacím Microsoftu nebo vašim vlastním aplikacím (aplikace SaaS, vlastní vyvinuté aplikace atd.).

Příklad: Pozvěte externího uživatele, aby se přihlásil k aplikacím Microsoftu nebo se stal členem hosta v Teams.
Spolupracujte s uživateli z jiných organizací Azure AD tím, že vytvoříte vzájemné připojení. V současné době je možné použít se sdílenými kanály Teams, ke kterým mají externí uživatelé přístup v rámci svých domovských instancí Teams.

Příklad: Přidejte externího uživatele do Teams sdíleného kanálu, který poskytuje místo pro chat, volání a sdílení obsahu.
Publikujte aplikace pro uživatele a zákazníky pomocí Azure AD B2C pro prostředí identit. Poskytuje správu identit a přístupu pro moderní aplikace SaaS nebo vlastní aplikace (ne aplikace Microsoftu první strany).
Určeno pro Spolupráce s obchodními partnery z externích organizací, jako jsou dodavatelé, partneři, dodavatelé. Tito uživatelé můžou nebo nemusí mít Azure AD ani spravované IT. Spolupráce s obchodními partnery z externích organizací, které používají Azure AD, jako jsou dodavatelé, partneři, dodavatelé. Zákazníci vašeho produktu. Tito uživatelé se spravují v samostatném adresáři Azure AD.
Správa uživatelů Uživatelé spolupráce B2B se spravují ve stejném adresáři jako zaměstnanci, ale obvykle jsou označeni jako uživatelé typu host. Uživatelé typu host můžou být spravováni stejným způsobem jako zaměstnanci, přidávat do stejných skupin atd. Pomocí nastavení přístupu mezi tenanty můžete určit, kteří uživatelé mají přístup ke spolupráci B2B. V adresáři Azure AD se nevytvořil žádný objekt uživatele. Nastavení přístupu mezi tenanty určují, kteří uživatelé mají přístup ke spolupráci B2B. přímé připojení. Uživatelé sdíleného kanálu je možné spravovat v Teams a přístup uživatelů je určen zásadami Teams sdílených kanálů. Objekty uživatelů se vytvářejí pro uživatele v adresáři Azure AD B2C. Spravují se odděleně od adresáře zaměstnanců a partnerů organizace (pokud existuje).
Podporovaní zprostředkovatelé identit Externí uživatelé můžou spolupracovat pomocí pracovních účtů, školních účtů, libovolné e-mailové adresy, SAML a WS-Fed zprostředkovatelů identit a zprostředkovatelů sociálních identit, jako je Gmail a Facebook. Externí uživatelé spolupracují pomocí pracovních účtů Azure AD nebo školních účtů. Uživatelé uživatelů s místními aplikacemi (libovolnou e-mailovou adresu, uživatelské jméno nebo telefonní číslo), Azure AD, různé podporované sociální identity a uživatele s firemními a vládními identitami prostřednictvím federace zprostředkovatele identity založeného na SAML/WS-Fedu.
Jednotné přihlašování (SSO) Podporuje se jednotné přihlašování ke všem aplikacím připojeným k Azure AD. Můžete například poskytnout přístup k Microsoft 365 nebo místním aplikacím a dalším aplikacím SaaS, jako je Salesforce nebo Workday. Jednotné přihlašování ke sdílenému kanálu Teams. V rámci tenantů Azure AD B2C je podporované jednotné přihlašování k aplikacím patřícím zákazníkům. Jednotné přihlašování k Microsoft 365 nebo jiným aplikacím Microsoft SaaS se nepodporuje.
Licencování a fakturace Na základě měsíčních aktivních uživatelů (MAU) včetně spolupráce B2B a uživatelů Azure AD B2C Přečtěte si další informace o cenách externích identit a nastavení fakturace pro B2B. Na základě měsíčních aktivních uživatelů (MAU) včetně spolupráce B2B, přímého připojení B2B a uživatelů Azure AD B2C. Přečtěte si další informace o cenách externích identit a nastavení fakturace pro B2B. Na základě měsíčních aktivních uživatelů (MAU) včetně spolupráce B2B a uživatelů Azure AD B2C Přečtěte si další informace o cenách externích identit a nastavení fakturace pro Azure AD B2C.
Zásady zabezpečení a dodržování předpisů Spravuje ji hostitel/pozvaná organizace (například pomocí zásad podmíněného přístupu a nastavení přístupu mezi tenanty). Spravuje ji hostitel/pozvaná organizace (například pomocí zásad podmíněného přístupu a nastavení přístupu mezi tenanty). Viz také Teams dokumentace. Spravuje ji organizace prostřednictvím podmíněného přístupu a ochrany identit.
Značka Používá se značka hostitele nebo pozvání organizace. Pro přihlašovací obrazovky se používá značka domovské organizace uživatele. Ve sdíleném kanálu se používá značka organizace prostředků. Plně přizpůsobitelné branding pro každou aplikaci nebo organizaci
Další informace Blogové příspěvky, dokumentace Dokumentace Stránka produktu, dokumentace

Správa funkcí externích identit

Spolupráce B2B Azure AD a přímé připojení B2B jsou funkce Azure AD a spravují se v Azure Portal prostřednictvím služby Azure Active Directory. K řízení příchozí a odchozí spolupráce můžete použít kombinaci nastavení přístupu mezi tenanty a nastavení externí spolupráce.

Nastavení přístupu mezi tenanty (Preview)

Nastavení přístupu mezi tenanty umožňují spravovat spolupráci B2B a přímé připojení B2B s jinými organizacemi Azure AD. Můžete určit, jak s vámi ostatní organizace Azure AD spolupracují (příchozí přístup) a jak vaši uživatelé spolupracují s jinými organizacemi Azure AD (odchozí přístup). Podrobné ovládací prvky umožňují určit lidi, skupiny a aplikace, a to jak ve vaší organizaci, tak i v externích organizacích Azure AD, které se můžou účastnit spolupráce B2B a přímého připojení B2B. Můžete také důvěřovat vícefaktorovému ověřování (MFA) a deklaracím zařízení (kompatibilní deklarace identity a hybridní deklarace identity připojené k Azure AD) z jiných organizací Azure AD.

  • Výchozí nastavení přístupu mezi tenanty určují výchozí příchozí a odchozí nastavení pro spolupráci B2B i přímé připojení B2B. Výchozí nastavení jsou zpočátku nakonfigurovaná tak, aby umožňovala veškerou příchozí a odchozí spolupráci B2B s ostatními organizacemi Azure AD a blokovat přímé připojení B2B se všemi organizacemi Azure AD. Tato počáteční nastavení můžete změnit tak, aby se vytvořila vlastní výchozí konfigurace.

  • Nastavení přístupu specifické pro organizaci umožňují nakonfigurovat přizpůsobená nastavení pro jednotlivé organizace Azure AD. Po přidání organizace a přizpůsobení nastavení přístupu mezi tenanty v této organizaci budou mít tato nastavení přednost před výchozími nastaveními. Můžete například zakázat spolupráci B2B a přímé připojení B2B se všemi externími organizacemi ve výchozím nastavení, ale tyto funkce povolte jenom pro Fabrikam.

Další informace najdete v tématu Přístup mezi tenanty v externích identitách Azure AD.

Nastavení externí spolupráce

Nastavení externí spolupráce určuje, jestli uživatelé můžou posílat pozvánky na spolupráci B2B externím uživatelům a úroveň přístupu uživatelů typu host musí do adresáře. S těmito nastaveními můžete:

  • Určete oprávnění uživatele typu host. Azure AD umožňuje omezit, co můžou externí uživatelé typu host vidět v adresáři Azure AD. Můžete například omezit zobrazení členství ve skupinách uživatelů typu host nebo povolit hostům zobrazit jenom informace o vlastním profilu.

  • Určete, kdo může pozvat hosty. Ve výchozím nastavení můžou všichni uživatelé ve vaší organizaci, včetně uživatelů typu host spolupráce B2B, pozvat externí uživatele do spolupráce B2B. Pokud chcete omezit možnost odesílat pozvánky, můžete pozvánky zapnout nebo vypnout pro všechny nebo omezit pozvánky na určité role.

  • Povolit nebo blokovat domény Zvolte, jestli chcete povolit nebo odepřít pozvánky k zadaným doménám. Podrobnosti najdete v tématu Povolení nebo blokování domén.

Další informace najdete v tématu konfigurace nastavení externí spolupráce B2B.

Spolupráce externí spolupráce a nastavení přístupu mezi tenanty

Nastavení externí spolupráce funguje na úrovni pozvánky, zatímco nastavení přístupu mezi tenanty fungují na úrovni ověřování.

Nastavení přístupu mezi tenanty a nastavení externí spolupráce se používají ke správě dvou různých aspektů spolupráce B2B. Nastavení přístupu mezi tenanty řídí, jestli se uživatelé můžou ověřovat pomocí externích tenantů Azure AD a vztahují se na příchozí i odchozí spolupráci B2B. Naproti tomu nastavení externí spolupráce určuje, které z vašich uživatelů mají možnost odesílat pozvánky na spolupráci B2B externím uživatelům z libovolné organizace.

Když uvažujete o spolupráci B2B s konkrétní externí organizací Azure AD, budete chtít posoudit, jestli nastavení přístupu mezi tenanty umožňuje spolupráci B2B s danou organizací a jestli vaše nastavení externí spolupráce umožní uživatelům odesílat pozvánky do domény dané organizace. Tady je několik příkladů:

  • Příklad 1: Dříve jste přidali adatum.com (organizace Azure AD) do seznamu blokovaných domén v nastavení externí spolupráce, ale nastavení přístupu mezi tenanty umožňuje spolupráci B2B pro všechny organizace Azure AD. V tomto případě platí nejvíce omezující nastavení. Nastavení externí spolupráce zabrání uživatelům v odesílání pozvánek uživatelům na adrese adatum.com.

  • Příklad 2: Povolíte spolupráci B2B s Fabrikam v nastavení přístupu mezi tenanty, ale pak přidáte fabrikam.com do blokovaných domén v nastavení externí spolupráce. Vaši uživatelé nebudou moct pozvat nové uživatele typu host společnosti Fabrikam, ale stávající hosté společnosti Fabrikam budou moct dál používat spolupráci B2B.

správa B2C Azure Active Directory

Azure AD B2C je samostatný adresář založený na spotřebiteli, který spravujete v Azure Portal prostřednictvím služby Azure AD B2C. Každý tenant Azure AD B2C je samostatný a liší se od ostatních tenantů Azure Active Directory a Azure AD B2C. Prostředí portálu Azure AD B2C se podobá Azure AD, ale existují klíčové rozdíly, jako je možnost přizpůsobení cest uživatelů pomocí architektury Identity Experience Framework.

Podrobnosti o konfiguraci a správě Azure AD B2C najdete v dokumentaci k Azure AD B2C.

Existuje několik technologií Azure AD, které se týkají spolupráce s externími uživateli a organizacemi. Při návrhu modelu pro spolupráci externích identit zvažte tyto další funkce.

Správa nároků Azure AD pro registraci uživatele typu host B2B

Jako pozvaná organizace nemusíte předem vědět, kdo jsou jednotliví externí spolupracovníci, kteří potřebují přístup k vašim prostředkům. Potřebujete způsob, jak se uživatelé z partnerských společností zaregistrovat pomocí zásad, které řídíte. Pokud chcete uživatelům z jiných organizací povolit přístup a po schválení se zřídí účty hostů a přiřadí se skupinám, aplikacím a SharePoint online webům, můžete pomocí správy nároků Azure AD nakonfigurovat zásady, které spravují přístup pro externí uživatele.

Azure AD Microsoft Graph API pro spolupráci B2B

Rozhraní API microsoftu Graph jsou k dispozici pro vytváření a správu funkcí externích identit.

  • Rozhraní API pro nastavení přístupumezi tenanty Graph: Rozhraní API pro přístup mezi tenanty umožňuje programově vytvořit stejnou spolupráci B2B a zásady přímého připojení B2B, které jsou konfigurovatelné v Azure Portal. Pomocí rozhraní API můžete nastavit zásady pro příchozí a odchozí spolupráci tak, aby povolovaly nebo blokovaly funkce pro všechny uživatele ve výchozím nastavení a omezte přístup k určitým organizacím, skupinám, uživatelům a aplikacím. Rozhraní API také umožňuje přijímat deklarace identity vícefaktorového ověřování a zařízení (kompatibilní deklarace identity a hybridní deklarace identity připojené k Azure AD) z jiných organizací Azure AD.

  • Správce pozvánek na spolupráci B2B: Rozhraní API microsoftu Graph pro správce pozvánek je k dispozici pro vytváření vlastních prostředí onboardingu pro uživatele typu host B2B. Rozhraní API pro vytvoření pozvánky můžete použít k automatickému odeslání přizpůsobeného e-mailu s pozvánkou přímo uživateli B2B, například. Nebo vaše aplikace může použít pozvánku zvanou RedeemUrl vrácenou v odpovědi na vytvoření vlastní pozvánky (prostřednictvím zvoleného komunikačního mechanismu) pozvaného uživatele.

Podmíněný přístup

Organizace můžou vynutit zásady podmíněného přístupu pro externí spolupráci B2B a B2B přímé propojení uživatelů stejným způsobem, jakým jsou povolené pro zaměstnance a členy organizace na plný úvazek. Pokud zásady podmíněného přístupu vyžadují vícefaktorové ověřování nebo dodržování předpisů zařízením, můžete v případě scénářů napříč tenanty Azure AD důvěřovat deklaracíM vícefaktorového ověřování a dodržování předpisů zařízením z domovské organizace externího uživatele. Pokud jsou nastavení důvěryhodnosti povolená během ověřování, Azure AD zkontroluje přihlašovací údaje uživatele pro deklaraci identity vícefaktorového ověřování nebo ID zařízení a určí, jestli už zásady byly splněny. Pokud ano, externímu uživateli se udělí bezproblémové přihlašování ke sdílenému prostředku. V opačném případě se v domovském tenantovi uživatele zahájí výzva MFA nebo zařízení. Přečtěte si další informace o toku ověřování a podmíněném přístupu pro externí uživatele.

Víceklientní aplikace

Pokud nabízíte aplikaci Software jako služba (SaaS) mnoha organizacím, můžete aplikaci nakonfigurovat tak, aby přijímala přihlášení z libovolného tenanta Azure Active Directory (Azure AD). Tato konfigurace se nazývá vytvoření víceklientů vaší aplikace. Uživatelé v jakémkoli tenantovi Azure AD se budou moct přihlásit k vaší aplikaci po souhlasu s použitím svého účtu s vaší aplikací. Podívejte se, jak povolit přihlášení víceklientů.

Další kroky