Procedimientos recomendados de Microsoft Entra B2B
Este artículo contiene recomendaciones y procedimientos recomendados para la colaboración de negocio a negocio (B2B) en Microsoft Entra External ID.
Importante
La característica de código de acceso de un solo uso por correo electrónico ahora está activada de manera predeterminada para todos los inquilinos nuevos y para los existentes en los que no se haya desactivado explícitamente. Cuando esta característica está desactivada, el método de autenticación de reserva consiste en solicitar invitaciones para crear una cuenta Microsoft.
Recomendaciones de B2B
| Recomendación | Comentarios |
|---|---|
| Consulte la guía de Microsoft Entra para proteger la colaboración con asociados externos | Aprenda a adoptar un enfoque holístico de gobernanza para la colaboración de su organización con asociados externos siguiendo las recomendaciones de Protección de la colaboración externa en Microsoft Entra ID y Microsoft 365. |
| Planeación cuidadosa del acceso entre inquilinos y la configuración de colaboración externa | Microsoft Entra External ID proporciona un conjunto flexible de controles para administrar la colaboración con usuarios y organizaciones externos. Puede permitir o bloquear toda la colaboración, o configurar la colaboración solo para organizaciones, usuarios y aplicaciones específicos. Antes de configurar los valores para el acceso entre inquilinos y la colaboración externa, haga un inventario cuidadosamente de las organizaciones con las que trabaja y con las que se asocia. Luego, determine si quiere habilitar la conexión directa B2B o la colaboración B2B con otros inquilinos de Microsoft Entra y cómo desea administrar las invitaciones de colaboración B2B. |
| Use las restricciones de inquilino para controlar cómo se usan las cuentas externas en las redes y los dispositivos administrados. | Con las restricciones de inquilino, puede impedir que los usuarios usen cuentas creadas en inquilinos o cuentas desconocidos que hayan recibido de organizaciones externas. Se recomienda no permitir estas cuentas y usar la colaboración B2B en su lugar. |
| Para una experiencia de inicio de sesión óptima, realice la federación con proveedores de identidades. | Siempre que sea posible, realice la federación directamente con los proveedores de identidades, para permitir que los usuarios invitados inicien sesión en las aplicaciones y recursos compartidos sin tener que crear cuentas de Microsoft (MSA) o de Microsoft Entra. Puede usar la característica de federación de Google para permitir que los usuarios invitados de B2B inicien sesión con sus cuentas de Google. O bien, puede usar la característica de proveedor de identidades de SAML o WS-Fed (versión preliminar) para configurar la federación con cualquier organización cuyo proveedor de identidades (IdP) admita los protocolos SAML 2.0 o WS-Fed. |
| Uso de la característica de código de acceso de un solo uso por correo electrónico para invitados B2B que no se pueden autenticar por otros medios | La característica de código de acceso de un solo uso por correo electrónico autentica los usuarios invitados de B2B cuando no pueden autenticarse por otros medios, como Microsoft Entra ID, una cuenta de Microsoft (MSA) o la federación de Google. Cuando el usuario invitado canjea una invitación o accede a un recurso compartido, puede solicitar un código temporal, que se envía a su dirección de correo electrónico. A continuación, escribe este código para continuar con el inicio de sesión. |
| Adición de personalización de marca a la página de inicio de sesión | Puede personalizar la página de inicio de sesión de forma que resulte más intuitiva para los usuarios invitados de B2B. Consulte cómo agregar personalización de marca de la empresa en las páginas de inicio de sesión y del Panel de acceso. |
| Agregue la declaración de privacidad a la experiencia de canje del usuario invitado de B2B. | Puede agregar la dirección URL de la declaración de privacidad de la organización al proceso de canje de invitación por primera vez, de modo que un usuario invitado deba dar su consentimiento a los términos de privacidad para continuar. Consulte Adición de información de privacidad de su organización en Microsoft Entra ID. |
| Use la característica de invitación en bloque (versión preliminar) para invitar a varios usuarios de B2B al mismo tiempo. | Invite a varios usuarios a su organización al mismo tiempo mediante la característica en versión preliminar de invitación en bloque de Azure Portal. Esta característica permite cargar un archivo CSV para crear usuarios invitados de B2B y enviar invitaciones en bloque. Consulte el tutorial para invitar en bloque a usuarios de B2B. |
| Aplicación de directivas de acceso condicional para la autenticación multifactor de Microsoft Entra | Se recomienda aplicar las directivas de MFA en las aplicaciones que desee compartir con los usuarios de B2B de asociados. De este modo, MFA se aplicará de forma coherente en las aplicaciones del inquilino, independientemente de si la organización asociada usa MFA. Consulte Acceso condicional para usuarios de colaboración B2B. |
| Si va a aplicar directivas de acceso condicional basado en el dispositivo, use listas de exclusión para permitir el acceso a los usuarios de B2B. | Si la organización tiene habilitadas directivas de acceso condicional basado en el dispositivo, los dispositivos de los usuarios invitados de B2B se bloquearán porque no están administrados por su organización. Puede crear listas de exclusión que contengan usuarios de asociados específicos para excluirlos de la directiva de acceso condicional basado en el dispositivo. Consulte Acceso condicional para usuarios de colaboración B2B. |
| Use una dirección URL específica del inquilino cuando proporcione vínculos directos a los usuarios invitados de B2B. | Como alternativa a la invitación por correo electrónico, puede darle al invitado un vínculo directo a la aplicación o al portal. Este vínculo directo debe ser específico del cliente, por lo que debe incluir un identificador de inquilino o dominio comprobado, de manera que el invitado se pueda autenticar en el inquilino donde se encuentra la aplicación compartida. Consulte Experiencia de invitación de colaboración B2B de Azure Active Directory. |
| Al desarrollar una aplicación, utilice UserType para determinar la experiencia del usuario invitado. | Si está desarrollando una aplicación y desea proporcionar diferentes experiencias para usuarios de inquilinos y usuarios invitados, use la propiedad UserType. La notificación UserType no está incluida actualmente en el token. Las aplicaciones deben usar Microsoft Graph API para consultar el usuario en el directorio y obtener su valor de UserType. |
| Cambie la propiedad UserType solo si cambia la relación del usuario con la organización. | Aunque es posible usar PowerShell para convertir la propiedad UserType de un usuario de miembro a invitado (y viceversa), solo debe cambiar esta propiedad si cambia la relación del usuario con la organización. Consulte Propiedades de un usuario de colaboración B2B de Azure Active Directory. |
| Averiguar si el entorno se verá afectado por los límites de directorio de Microsoft Entra | Microsoft Entra B2B está sujeto a los límites del directorio de servicios de Microsoft Entra. Para obtener más información sobre el número de directorios que puede crear un usuario y el número de directorios a los que puede pertenecer un usuario o usuario invitado, consulte Límites y restricciones del servicio Microsoft Entra. |
| Administre el ciclo de vida de las cuentas B2B con la función Patrocinador | Un patrocinador es un usuario o grupo responsable de sus usuarios invitados. Para obtener más detalles sobre esta nueva función, consulte Campo patrocinador para usuarios B2B. |
Pasos siguientes
Habilitación de la colaboración externa B2B y administración de quién puede invitar a otros usuarios