Introducción a Id. externa de Microsoft Entra
Id. externa de Microsoft Entra combina soluciones eficaces para trabajar con personas de fuera de su organización. Con las capacidades de Id. externa, puedes permitir que las identidades externas accedan de forma segura a tus aplicaciones y recursos. Tanto si trabajas con asociados externos, consumidores o clientes empresariales, los usuarios pueden traer sus propias identidades. Estas identidades pueden variar de cuentas corporativas o emitidas por el gobierno a proveedores de identidades de redes sociales como Google o Facebook.
Estos escenarios se encuentran en el ámbito de Id. externa de Microsoft Entra:
Si eres una organización o un desarrollador que crea aplicaciones de consumidor, usa Id. externa para agregar rápidamente la autenticación y la administración de identidades y acceso de clientes (CIAM) a la aplicación. Registra la aplicación, crea experiencias de inicio de sesión personalizadas y administra los usuarios de la aplicación en un inquilino de Microsoft Entra en una configuración externa. Este inquilino es independiente de los empleados y los recursos de la organización.
Si quieres permitir que los empleados colaboren con socios comerciales e invitados, usa Id. externa para la colaboración B2B. Permite el acceso seguro a las aplicaciones empresariales mediante invitación o registro de autoservicio. Determina el nivel de acceso que los invitados tienen en el inquilino de Microsoft Entra que contiene los empleados y los recursos de la organización, que es un inquilino de una configuración de personal.
Id. externa de Microsoft Entra es una solución flexible para los desarrolladores de aplicaciones orientadas al consumidor que necesitan autenticación y CIAM, y también para empresas que buscan una colaboración B2B segura.
Protección de las aplicaciones para consumidores y clientes empresariales
Las organizaciones y desarrolladores pueden usar Id. externa en un inquilino externo como su solución CIAM al publicar sus aplicaciones en consumidores y clientes empresariales. Puedes crear un inquilino de Microsoft Entra independiente en una configuración externa, lo que te permite administrar las aplicaciones y las cuentas de usuario de forma separada de los empleados. En este inquilino, puedes configurar fácilmente experiencias de registro de la imagen de marca personalizadas y características de administración de usuarios:
Configura los flujos de registro de autoservicio que definen la serie de pasos de registro que siguen los clientes y los métodos de inicio de sesión que pueden usar (como correo electrónico y contraseña, códigos de acceso de un solo uso o cuentas de redes sociales de Google o Facebook).
Cree una apariencia personalizada para los usuarios que inician sesión en las aplicaciones; para ello, configure las opciones de Personalización de marca de la empresa para el inquilino en cuestión. Con esta configuración, puede agregar sus propias imágenes de fondo, colores, logotipos de la empresa y texto a fin de personalizar las experiencias de inicio de sesión en todas las aplicaciones.
Recopila información de los clientes durante el registro seleccionando en una serie de atributos de usuario integrados o agregando sus propios atributos personalizados.
Analiza la actividad del usuario y los datos de involucración para descubrir información valiosa que puede servirte a fin de tomar decisiones estratégicas e impulsar el crecimiento empresarial.
Con Id. externa, los clientes pueden iniciar sesión con una identidad que ya tienen. Puedes personalizar y controlar el modo en que los clientes se registran e inician sesión al usar las aplicaciones. Dado que estas capacidades de CIAM están integradas en Id. externa, también te beneficias de características de la plataforma Microsoft Entra, como seguridad mejorada, cumplimiento y escalabilidad.
Para obtener más detalles, consulta Información general de Id. externa de Microsoft Entra en inquilinos externos.
Colaboración con invitados empresariales
Colaboración B2B de Id. externa permite a los empleados colaborar con asociados comerciales externos. Puedes invitar a cualquier persona a iniciar sesión en tu organización de Microsoft Entra con sus propias credenciales para que puedan acceder a las aplicaciones y los recursos que quieras compartir con ellas. Usa la colaboración B2B cuando necesites permitir que los invitados empresariales accedan a tus aplicaciones de Office 365, aplicaciones de software como servicio (SaaS) y aplicaciones de línea de negocio. No hay credenciales asociadas a invitados empresariales. Lo que hacen es autenticarse con su organización principal o proveedor de identidades y, luego, tu organización comprueba la idoneidad del usuario para la colaboración de invitado.
Hay varias maneras de agregar invitados empresariales a tu organización para la colaboración:
Invitar a los usuarios a colaborar mediante sus cuentas de Microsoft Entra, cuentas Microsoft o identidades sociales que habilites, como Google. Un administrador puede usar el Centro de administración de Microsoft Entra o PowerShell para invitar a los usuarios a colaborar. Los usuarios inician sesión en los recursos compartidos con un proceso sencillo de canje con su cuenta profesional o educativa o con cualquier cuenta de correo electrónico.
Usar flujos de usuario de autoservicio de registro para permitir que los invitados se suscriban ellos mismos a las aplicaciones. La experiencia se puede personalizar para permitir el registro con una identidad profesional, educativa o de redes sociales (como Google o Facebook). También puede recopilar información sobre el usuario durante el proceso de registro.
Usar la administración de derechos de Microsoft Entra, una característica de gobernanza de identidades que le permite administrar la identidad y el acceso de los usuarios externos a gran escala mediante la automatización de los flujos de trabajo de solicitud de acceso, las asignaciones de acceso, la revisiones y la expiración.
Se crea un objeto de usuario para el invitado empresarial en el mismo directorio que los empleados. Este objeto de usuario se puede administrar como otros objetos de usuario en el directorio, agregarse a grupos, etc. Puede asignar permisos al objeto de usuario (para la autorización) y permitirles usar sus credenciales existentes (para la autenticación).
Puedes usar la configuración de acceso entre inquilinos para administrar la colaboración con otras organizaciones de Microsoft Entra y en las nubes de Microsoft Azure. Para la colaboración con organizaciones y usuarios externos que no son de Azure AD, usa la configuración de colaboración externa.
¿Qué son los inquilinos de "personal" y "externos"?
Un inquilino es una instancia dedicada y de confianza de Microsoft Entra ID que contiene los recursos de una organización, incluidas las aplicaciones registradas y un directorio de usuarios. Hay dos maneras de configurar un inquilino, en función de cómo la organización pretende usar el inquilino y los recursos que quieren administrar:
- Una configuración de inquilino de personal es un inquilino estándar de Microsoft Entra que contiene los empleados, las aplicaciones empresariales internas y otros recursos de la organización. En un inquilino de personal, los usuarios internos pueden colaborar con asociados empresariales externos e invitados mediante la colaboración B2B.
- Una configuración de inquilino externa se usa exclusivamente para las aplicaciones que quieres publicar en consumidores o clientes empresariales. Este inquilino distintivo sigue el modelo de inquilino estándar de Microsoft Entra, pero está configurado para escenarios de consumidor. Contiene los registros de aplicaciones y un directorio de cuentas de cliente o consumidor.
Para obtener más información, consulta Configuraciones de personal e inquilino externo en Id. externa de Microsoft Entra.
Comparación de los conjuntos de características de id. externa
En la tabla siguiente se comparan los escenarios que puedes habilitar con Id. externa.
| Id. externa en inquilinos de personal | Id. externa en inquilinos externos | |
|---|---|---|
| Escenario principal | Permitir que tus empleados colaboren con invitados empresariales. Permitir que los invitados usen sus identidades preferidas para iniciar sesión en los recursos de tu organización de Microsoft Entra. Proporciona acceso a las aplicaciones de Microsoft o a sus propias aplicaciones (aplicaciones SaaS, aplicaciones desarrolladas de forma personalizada, etc.). Ejemplo: Invitar a un usuario externo a iniciar sesión en las aplicaciones de Microsoft o convertirse en miembro invitado en Teams. |
Publicar aplicaciones en consumidores externos y clientes empresariales mediante Id. externa para experiencias de identidad. Proporciona administración de identidades y acceso para aplicaciones SaaS modernas o desarrolladas de forma personalizada (no aplicaciones propias de Microsoft). Ejemplo: Crear una experiencia de inicio de sesión personalizada para los usuarios de la aplicación móvil del consumidor y supervisar el uso de la aplicación. |
| Destinado a | Colaborar con socios comerciales de organizaciones externas como proveedores o asociados. Estos usuarios podrían tener o no Microsoft Entra ID o TI administrado. | Consumidores y clientes empresariales de la aplicación. Estos usuarios se administran en un inquilino de Microsoft Entra que está configurado para aplicaciones y usuarios externos. |
| Administración de usuarios | Los usuarios de colaboración B2B se administran en el mismo inquilino de personal que los empleados, pero normalmente se les etiqueta como usuarios invitados. Los usuarios invitados pueden administrarse del mismo modo que los empleados, pueden agregarse a los mismos grupos, etc. La configuración del acceso entre inquilinos se puede usar para determinar qué usuarios tienen acceso a la colaboración B2B. | Los usuarios de la aplicación se administran en un inquilino externo que se crea para los consumidores de la aplicación. Los usuarios de un inquilino externo tienen permisos predeterminados diferentes que los usuarios de un inquilino de personal. Se administran en el inquilino externo, aparte del directorio de empleados de la organización. |
| Inicio de sesión único (SSO) | Se admite el inicio de sesión único para todas las aplicaciones conectadas a Microsoft Entra. Por ejemplo, puede proporcionar acceso a Microsoft 365, o bien a aplicaciones locales y a otras aplicaciones SaaS como Salesforce o Workday. | Se admite el inicio de sesión único en las aplicaciones registradas en el inquilino externo. No se admite el inicio de sesión único en Microsoft 365 ni en otras aplicaciones SaaS de Microsoft. |
| Personalización de marca de empresa | El estado predeterminado de la experiencia de autenticación tiene el aspecto de Microsoft. Los administradores pueden personalizar la experiencia de inicio de sesión de invitado con su personalización de marca de empresa. | La marca predeterminada para el inquilino externo es neutra y no incluye ninguna personalización de marca de Microsoft. Los administradores pueden personalizar la marca para la organización o por aplicación. Más información. |
| Configuración de la nube de Microsoft | Admitido. | No aplicable. |
| Administración de derechos | Compatible. | No aplicable. |
Tecnologías relacionadas
Hay varias tecnologías de Microsoft Entra que están relacionadas con la colaboración con usuarios y organizaciones externos. A medida que diseñe su modelo de colaboración de id. externa, tenga en cuenta estas otras características.
Conexión directa B2B
La conexión directa B2B permite crear relaciones de confianza bidireccionales con otras organizaciones de Microsoft Entra para habilitar la característica de canales compartidos de Teams Connect. Esta característica permite a los usuarios iniciar sesión sin problemas en canales compartidos de Teams para chat, llamadas, uso compartido de archivos y uso compartido de aplicaciones. Cuando dos organizaciones habilitan mutuamente la conexión directa B2B, los usuarios se autentican en su organización principal y reciben un token de la organización de recursos para el acceso. A diferencia de la colaboración B2B, los usuarios de conexión directa B2B no se agregan como invitados a tu directorio de personal. Obtenga más información sobre la conexión directa B2B en Microsoft Entra External ID.
Una vez que hayas configurado la conexión directa B2B con una organización externa, las siguientes capacidades de canales compartidos de Teams estarán disponibles:
Un propietario de canal compartido puede buscar en Teams los usuarios permitidos de la organización externa y agregarlos al canal compartido.
Los usuarios externos pueden acceder al canal compartido de Teams sin tener que cambiar de organización o iniciar sesión con una cuenta diferente. Desde Teams, el usuario externo puede acceder a archivos y aplicaciones mediante la pestaña Archivos. Las directivas del canal compartido determinan el acceso del usuario.
Use la configuración de acceso entre inquilinos para administrar las relaciones de confianza con otras organizaciones de Microsoft Entra y defina las directivas de entrada y salida para la conexión directa B2B.
Para más información sobre los recursos, archivos y aplicaciones que están disponibles para el usuario de conexión directa B2B a través del canal compartido de Teams, consulte Chat, equipos, canales, aplicaciones en Microsoft Teams.
Las licencias y la facturación se basan en usuarios activos mensuales (MAU). Más información sobre los precios de id. externa y la configuración de la facturación para B2B.
Azure Active Directory B2C
Azure Active Directory B2C (Azure AD B2C) es la solución heredada de Microsoft para la administración de identidades y el acceso de los clientes. Azure AD B2C incluye un directorio independiente basado en el consumidor que se administra en Azure Portal mediante el servicio Azure AD B2C. Cada inquilino de Azure AD B2C es independiente y distinto de otros inquilinos de Microsoft Entra ID y Azure AD B2C. La experiencia del portal de Azure AD B2C es similar a Microsoft Entra ID, pero hay diferencias importantes, como la posibilidad de personalizar los recorridos del usuario mediante Identity Experience Framework.
Para obtener más información sobre las diferencias entre un inquilino Azure AD B2C y un inquilino Microsoft Entra, vea Características admitidas de Microsoft Entra en Azure AD B2C. Para más información sobre cómo configurar y administrar Azure AD B2C, consulte la documentación de Azure AD B2C.
Administración de derechos de Microsoft Entra para el registro de invitados empresariales
Como una organización que invita, puede que no sepa de antemano qué colaboradores externos individuales necesitan acceso a sus recursos. Necesita contar con una forma de que los usuarios de empresas asociadas se registren ellos mismos con unas directivas que usted controle. Para permitir que los usuarios de otras organizaciones soliciten acceso, puedes usar Administración de derechos de Microsoft Entra a fin de configurar directivas que administren el acceso para usuarios externos. Tras la aprobación, estos usuarios se aprovisionarán con cuentas de invitado y se asignarán a grupos, aplicaciones y sitios de SharePoint Online.
Microsoft Entra Microsoft Graph API para la colaboración B2B
Se pueden usar instancias de Microsoft Graph API para crear y administrar características de id. externa.
API de configuración de acceso entre inquilinos: la API de acceso entre inquilinos de Microsoft Graph le permite crear mediante programación las mismas políticas de colaboración B2B y conexión directa B2B que se pueden configurar en Azure Portal. Con la API, puedes configurar directivas para la colaboración de entrada y salida. Por ejemplo, puedes permitir o bloquear características para todos de manera predeterminada y limitar el acceso a organizaciones, grupos, usuarios y aplicaciones específicos. La API también le permite aceptar notificaciones de MFA y de dispositivos (notificaciones de compatibilidad y notificaciones de unión a Microsoft Entra híbrido) de otras organizaciones de Microsoft Entra.
Administrador de invitaciones de colaboración B2B: la API del administrador de invitaciones de Microsoft Graph está disponible para crear tus propias experiencias de incorporación para los invitados empresariales. Puede usar la API de creación de invitaciones para enviar automáticamente un correo electrónico de invitación personalizado directamente al usuario B2B, por ejemplo. O bien, la aplicación puede usar el valor de inviteRedeemUrl devuelto en la respuesta de creación para elaborar su propia invitación (a través del mecanismo de comunicación elegido) al usuario invitado.
Acceso condicional
Las organizaciones pueden aplicar directivas de acceso condicional para usuarios externos de colaboración B2B y conexión directa B2B de la misma manera que están habilitadas para empleados a tiempo completo y miembros de la organización. En escenarios entre inquilinos de Microsoft Entra, si las directivas de acceso condicional requieren MFA o cumplimiento del dispositivo, ahora puede confiar en las notificaciones correspondientes que envía la organización principal de un usuario externo. Cuando se habilita la configuración de confianza, durante la autenticación, Microsoft Entra ID comprueba las credenciales de un usuario de una notificación de MFA o una identidad del dispositivo para determinar si las directivas ya se cumplieron. En caso afirmativo, se concede al usuario externo un inicio de sesión completo en el recurso compartido. De lo contrario, se inicia un desafío de MFA o dispositivo en el inquilino principal del usuario. Más información sobre el flujo de autenticación y el acceso condicional para usuarios externos.
Aplicaciones multiinquilino
Si ofrece una aplicación de software como servicio (SaaS) a muchas organizaciones, puede configurar su aplicación para aceptar inicios de sesión de cualquier inquilino de Microsoft Entra. Esta operación se conoce como convertir una aplicación en multiinquilino. Los usuarios de cualquier inquilino de Microsoft Entra podrán iniciar sesión en su aplicación después de dar su consentimiento para usar su cuenta con su aplicación. Vea cómo habilitar los inicios de sesión de varios usuarios.
Organizaciones multiinquilino
Una organización multiinquilino es una organización que tiene más de una instancia de Microsoft Entra ID. Hay varias razones para contar con servicios multiinquilino. Por ejemplo, tu organización podría abarcar varias nubes o límites geográficos.
Las organizaciones con varios inquilinos usan un servicio de sincronización unidireccional en Microsoft Entra ID, llamado sincronización entre inquilinos. La sincronización entre inquilinos permite una colaboración fluida para una organización con varios inquilinos. Mejora la experiencia del usuario y garantiza que los usuarios puedan acceder a los recursos, sin recibir un correo electrónico de invitación y sin tener que aceptar una solicitud de consentimiento en cada inquilino.
Los ajustes de sincronización entre inquilinos se configuran en Configuración de acceso específica de la organización. Para más información sobre las organizaciones multiinquilino y la sincronización entre inquilinos, consulta la Documentación sobre organizaciones multiinquilino y la comparación de características.