Realizar la transición a la colaboración controlada con Colaboración B2B de Microsoft Entra

Comprender la colaboración ayuda a proteger el acceso externo a los recursos. Use la información de este artículo para trasladar la colaboración externa a la colaboración B2B de Microsoft Entra.

• Vea Introducción a la colaboración B2B.
• Conozca más acerca de: External Identities en Microsoft Entra ID

Antes de empezar

Este artículo es el número 5 de una serie de 10 artículos. Se recomienda leer los artículos en orden. Vaya a la sección Pasos siguientes para ver toda la serie.

Administración de la colaboración

Puede limitar las organizaciones con las que los usuarios colaboran (colaboración entrante y saliente) y qué usuarios de su organización pueden invitar a otros usuarios. La mayoría de las organizaciones permiten que las unidades de negocio decidan la colaboración y deleguen la aprobación y la supervisión. Por ejemplo, las organizaciones gubernamentales, educativas y financieras a menudo no permiten la colaboración abierta. Puede usar las características de Microsoft Entra para administrar la colaboración.

Para controlar el acceso a su inquilino, implemente una o varias de las siguientes soluciones:

• Configuración de colaboración externa: restrinja los dominios de correo electrónico a los que se pueden enviar invitaciones
• Configuración del acceso entre inquilinos: controle el acceso (entrante) de los invitados a las aplicaciones según el usuario, el grupo o el inquilino. Controle el acceso (saliente) de los usuarios a inquilinos y aplicaciones externos de Microsoft Entra.
• Organizaciones conectadas: determine qué organizaciones pueden solicitar paquetes de acceso en la administración de derechos

Determinación de asociados de colaboración

Documente las organizaciones con las que colabora y los dominios de los usuarios de dichas organizaciones, si es necesario. Las restricciones basadas en dominio pueden ser poco prácticas. Un asociado de colaboración puede tener varios dominios, y un asociado puede agregar dominios. Por ejemplo, un asociado puede tener varias unidades de negocio con dominios independientes y agregar más dominios a medida que configura la sincronización.

Si sus usuarios usan B2B de Microsoft Entra puede detectar con qué inquilinos externos de Microsoft Entra colaboran a través de los registros de inicio de sesión, PowerShell o un libro. Más información:

• Get MsIdCrossTenantAccessActivity
• Libro de actividad de acceso entre inquilinos

Puede habilitar la colaboración futura con:

• Organizaciones externas: la más inclusiva
• Organizaciones externas: excepto las denegadas
• Organizaciones externas específicas: la más restrictiva

Nota:

Si la configuración de colaboración es muy restrictiva, puede que los usuarios salgan del marco de colaboración. Recomendamos habilitar una colaboración amplia que cumpla los requisitos de seguridad.

La limitación a un solo dominio puede impedir la colaboración autorizada con las organizaciones que tienen otros dominios no relacionados. Por ejemplo, el punto de contacto inicial con Contoso podría ser un empleado con sede en EE. UU. que tiene un correo electrónico con un dominio .com. Sin embargo, si permite sólo el dominio .com, puede omitir a los empleados canadienses que tengan el dominio .ca.

Puede permitir solo asociados de colaboración específicos para un subconjunto de usuarios. Por ejemplo, una universidad puede restringir el acceso a las cuentas de alumnos a inquilinos externos, pero puede permitir que los profesores colaboren con organizaciones externas.

Listas de permitidos y bloqueados con la configuración de colaboración externa

Puede usar una lista de permitidos o bloqueados para organizaciones. Puede usar una lista de permitidos o una lista de bloqueados, no ambas.

• Lista de permitidos: limite la colaboración a una lista de dominios. Otros dominios se encuentran en la lista de bloqueados.
• Lista de bloqueados: permita la colaboración con cualquier dominio que no esté en la lista de bloqueados

Consulte Permitir o bloquear invitaciones a usuarios B2B procedentes de determinadas organizaciones.

Importante

Las listas de permitidos y las listas de bloqueados no se aplican a los usuarios del directorio. De forma predeterminada, tampoco se aplican a las listas de permitidos o de bloqueados de OneDrive para la Empresa y SharePoint; estas listas son independientes. No obstante, puede habilitar la integración de B2B de SharePoint/OneDrive.

Algunas organizaciones tienen una lista de bloqueados de dominios de actores malintencionados proporcionada por un proveedor de seguridad administrado. Por ejemplo, si la organización realiza negocios con Contoso y usa un dominio .com, una organización no relacionada puede usar el dominio .org e intentar un ataque de suplantación de identidad (phishing).

Configuración del acceso entre inquilinos

Puede controlar el acceso entrante y saliente mediante la configuración del acceso entre inquilinos. Además, puede confiar en la autenticación multifactor, en un dispositivo compatible y en las reclamaciones de dispositivos unidos híbridos (HAAJD) de Microsoft Entra de arrendatarios externos de Microsoft Entra. Al configurar una directiva de la organización, se aplica al inquilino de Microsoft Entra y abarca a los usuarios de ese inquilino independientemente del sufijo de dominio.

Puede habilitar la colaboración entre nubes de Microsoft, como Microsoft Azure operado por 21Vianet o Azure Government. Determine si los asociados de colaboración residen en otra nube de Microsoft.

Más información:

• Microsoft Azure operado por 21Vianet
• Guía para desarrolladores de Azure Government
• Configuración de la nube de Microsoft para la colaboración B2B (versión preliminar).

Puede permitir el acceso entrante a inquilinos específicos (lista de permitidos) y establecer la directiva predeterminada para bloquear el acceso. Después, puede crear directivas de organización que permitan el acceso por usuario, grupo o aplicación.

También puede bloquear el acceso a inquilinos específicos (lista de bloqueados). Establezca la directiva predeterminada en Permitir y, después, cree directivas de organización que bloqueen el acceso a algunos inquilinos.

Nota:

En la configuración de acceso entre inquilinos, el acceso entrante no impide que los usuarios envíen invitaciones ni que se canjeen. Sin embargo, controla el acceso a la aplicación y la emisión de un token al usuario invitado. Si el invitado puede canjear una invitación, la directiva bloquea el acceso a las aplicaciones.

Para controlar el acceso de los usuarios de organizaciones externas, configure directivas de acceso saliente de forma similar a las de acceso entrante: con listas de permitidos y listas de bloqueados. Configure directivas predeterminadas y específicas de la organización.

Vea Configuración del acceso entre inquilinos para la colaboración B2B.

Nota:

La configuración de acceso entre inquilinos se aplica a los inquilinos de Microsoft Entra. Para controlar el acceso de los asociados que no usan Microsoft Entra ID, use la configuración de colaboración externa.

Administración de derechos y organizaciones conectadas

Use la administración de derechos para garantizar la gobernanza automática del ciclo de vida de los invitados. Cree paquetes de acceso y publíquelos en usuarios externos o en organizaciones conectadas que admitan inquilinos de Microsoft Entra y otros dominios. Al crear un paquete de acceso, puede restringir el acceso a organizaciones conectadas.

Para más información, consulte ¿Qué es la administración de derechos?.

Control del acceso de usuarios externos

Para comenzar la colaboración, invite o permita a un asociado acceder a los recursos. Los usuarios pueden acceder de las siguientes formas:

• Canje de invitación de colaboración de B2B de Microsoft Entra
• Registro de autoservicio
• Solicitando acceso a un paquete de acceso en la administración de derechos

Al habilitar Microsoft Entra B2B, puede invitar a otros usuarios mediante vínculos e invitaciones por correo electrónico. El registro de autoservicio y la publicación de paquetes de acceso en el portal Mi acceso requieren una configuración adicional.

Nota

El registro de autoservicio no aplica ninguna lista de permitidos ni de bloqueados en la configuración de colaboración externa. En su lugar, use la configuración del acceso entre inquilinos. Puede integrar listas de permitidos o bloqueados con el registro de autoservicio mediante los conectores de API personalizados. Consulte Adición de un conector de API a un flujo de usuario.

Invitación de usuarios invitados

Determine quién puede invitar a los usuarios invitados a acceder a los recursos.

• Configuración más restrictiva: permita que solo los administradores y los usuarios con el rol Invitador de usuarios invitados envíen invitaciones.
  • Vea Configuración de valores de colaboración externa.
• Si los requisitos de seguridad lo permiten, permita que todos los usuarios de tipo Miembro envíen invitaciones
• Determinar si el usuario de tipo Invitado puede invitar a invitados

  • La cuenta de usuario B2B de Microsoft Entra predeterminada es de tipo Invitado

    

Información de usuario externo

Use la administración de derechos de Microsoft Entra para configurar preguntas para que respondan los usuarios externos. Las preguntas se mostrarán a los aprobadores para ayudarles a tomar una decisión. Puede configurar conjuntos de preguntas para cada directiva de paquete de acceso de forma que los aprobadores tengan información pertinente para el acceso que aprueban. Por ejemplo, pida a los proveedores su número de contrato de proveedor.

Para más información, vea Cambio de la configuración de la información de aprobación y del solicitante para un paquete de acceso en la administración de derechos.

Si usa un portal de autoservicio, use conectores de API para recopilar atributos de los usuarios durante su registro. Use esos atributos para asignar el acceso. Puede crear atributos personalizados en Azure Portal y usarlos en los flujos de usuario de registro de autoservicio. Puede leer y escribir estos atributos mediante Microsoft Graph API.

Más información:

• Uso de conectores de API para personalizar y extender el registro de autoservicio
• Administrar Azure AD B2C con Microsoft Graph

Solución de problemas de canje de invitación para Microsoft Entra usuarios

Los usuarios invitados de un asociado de colaboración pueden tener problemas para canjear una invitación. Consulte la lista siguiente para las mitigaciones.

• El dominio del usuario no está en una lista de permitidos.
• Las restricciones del inquilino principal del asociado impiden la colaboración externa
• El usuario no forma parte del inquilino de Microsoft Entra del asociado. Por ejemplo, los usuarios de contoso.com están en Active Directory.
  • Pueden canjear invitaciones con la contraseña de un solo uso (OTP) por correo electrónico
  • Canje de invitación de colaboración de B2B de Microsoft Entra

Acceso de usuarios externos

Por lo general, hay algunos recursos que puede compartir con usuarios externos y otros que no. Puede controlar a qué acceden los usuarios externos.

Más información: Administración del acceso externo con la Administración de derechos

De forma predeterminada, los usuarios invitados ven la información y los atributos de los miembros del inquilino y otros asociados, incluida la pertenencia a grupos. Considere limitar el acceso de los usuarios externos a esta información.

Se recomiendan las siguientes restricciones para los usuarios invitados:

• Limitar el acceso de invitado a los grupos de exploración y otras propiedades del directorio
  • Use la configuración de colaboración externa para impedir que los invitados lean los grupos de los que no son miembros
• Bloquee el acceso a aplicaciones solo para empleados.
  • Cree una directiva de acceso condicional para bloquear el acceso de los usuarios que no son invitados a las aplicaciones integradas en Microsoft Entra
• Bloquee el acceso a Azure Portal.
  • Puede aplicar las excepciones necesarias.
  • Cree una directiva de acceso condicional con todos los usuarios invitados y externos. Implemente una directiva para bloquear el acceso.

Para más información, vea Acceso condicional: aplicaciones, acciones y contexto de autenticación en la nube.

Eliminación de usuarios que no necesitan acceso

Establezca un proceso para revisar y quitar usuarios que no necesitan acceso. Incluya usuarios externos en el inquilino como invitados y usuarios con cuentas de miembro.

Para más información, vea Uso de Microsoft Entra ID Identity Governance para revisar y eliminar usuarios externos que ya no tienen acceso a los recursos

Algunas organizaciones agregan usuarios externos como miembros (proveedores, asociados y contratistas). Asígneles un atributo o un nombre de usuario:

• Proveedores: v-alias@contoso.com
• Asociados: p-alias@contoso.com
• Contratistas: c-alias@contoso.com

Evalúe los usuarios externos con cuentas de miembro para determinar si necesitan acceso. Puede tener usuarios invitados que no fueron invitados a través de la Administración de derechos o B2B de Microsoft Entra.

Para encontrar estos usuarios, puede:

• Configuración de Identity Governance de Microsoft Entra para revisar y eliminar usuarios externos que ya no tienen acceso a los recursos
• Usar un script de PowerShell de ejemplo en access-reviews-samples/ExternalIdentityUse/

Transición de los usuarios externos actuales a B2B de Microsoft Entra

Si no usa Microsoft Entra B2B, es probable que tenga usuarios no empleados en el inquilino. Se recomienda realizar la transición de estas cuentas a cuentas de usuario externas de B2B de Microsoft Entra y luego cambiar el tipo de usuario a invitado. Use Microsoft Entra ID. y Microsoft 365 para controlar usuarios externos.

Puede incluir o excluir:

• Usuarios invitados en directivas de acceso condicional
• Usuarios invitados en paquetes de acceso y revisiones de acceso
• Acceso externo a Microsoft Teams, SharePoint y otros recursos

Puede realizar la transición de estos usuarios internos manteniendo al mismo tiempo su acceso actual, el nombre principal de usuario (UPN) y la pertenencia a grupos.

Más información: Invitación de usuarios externos a la colaboración B2B

Retirada de métodos de colaboración

Para completar la transición a la colaboración controlada, retire los métodos de colaboración no deseados. La retirada se basa en el nivel de control que desea ejercer sobre la colaboración y la posición de seguridad. Consulte Determinación de la posición de seguridad para el acceso externo.

Invitación a través de Microsoft Teams

De forma predeterminada, Teams permite el acceso externo. Por tanto, la organización puede comunicarse con dominios externos. Para restringir o permitir dominios para Teams, use el centro de administración de Teams.

Uso compartido a través de SharePoint y OneDrive

El uso compartido a través de SharePoint y OneDrive agrega usuarios fuera del proceso de administración de derechos.

• Protección del acceso externo a Microsoft Teams, SharePoint y OneDrive con para la Empresa
• Bloqueo del uso de OneDrive desde Office

Documentos y etiquetas de confidencialidad enviados por correo electrónico

Los usuarios envían documentos a usuarios externos por correo electrónico. Puede usar etiquetas de confidencialidad para restringir y cifrar el acceso a los documentos.

Consulte Información sobre las etiquetas de confidencialidad.

Herramientas de colaboración no autorizadas

Es probable que algunos usuarios usen herramientas como Google Docs, Dropbox, Slack o Zoom. Puede bloquear el uso de estas herramientas desde una red corporativa en el nivel de firewall y con la administración de aplicaciones móviles para dispositivos administrados por la organización. Sin embargo, esto también bloquea las instancias autorizadas y no bloquea el acceso desde dispositivos no administrados. Bloquee las herramientas que no quiera y cree directivas para el uso no autorizado.

Para obtener más información sobre el control de aplicaciones, consulte:

• Control de aplicaciones conectadas
• Control de aplicaciones detectadas

Pasos siguientes

Use la siguiente serie de artículos para obtener más información sobre cómo proteger el acceso externo a los recursos. Se recomienda seguir el orden indicado.

1. Determinación de la posición de seguridad para el acceso externo con Microsoft Entra ID

2. Detección del estado actual de la colaboración externa en su organización

3. Creación de un plan de seguridad para el acceso a recursos

4. Proteger el acceso externo con grupos en el identificador de Microsoft Entra y Microsoft 365

5. Realizar la transición a la colaboración controlada con Colaboración B2B de Microsoft Entra (usted está aquí)

6. Administración del acceso externo con la administración de derechos de Microsoft Entra

7. Administración del acceso externo a los recursos mediante directivas de acceso condicional

8. Control del acceso externo a los recursos en Microsoft Entra ID mediante etiquetas de confidencialidad

9. Protección del acceso externo a Microsoft Teams, SharePoint y OneDrive para la Empresa con Microsoft Entra ID

10. Conversión de cuentas de invitado locales en cuentas de invitado B2B de Microsoft Entra