Identités externes dans Azure Active Directory

Les identités externes Azure AD se rapportent à toutes les façons dont vous pouvez interagir en toute sécurité avec les utilisateurs en dehors de votre organisation. Si vous souhaitez collaborer avec des partenaires, des distributeurs ou des fournisseurs, vous pouvez partager vos ressources et définir la manière dont vos utilisateurs internes peuvent accéder à des organisations externes. Si vous êtes un développeur qui crée des applications orientées consommateur, vous pouvez gérer les expériences d’identité de vos clients.

Avec les identités externes, des utilisateurs externes peuvent « apporter leurs propres identités ». Qu’ils disposent d’une identité numérique émise par une entreprise ou un gouvernement ou d’une identité sociale non gérée telle que Google ou Facebook, ils peuvent utiliser leurs propres informations d’identification pour se connecter. Le fournisseur d’identité de l’utilisateur externe gère leur identité, et vous gérez l’accès à vos applications avec Azure AD ou Azure AD B2C pour protéger vos ressources.

Les fonctionnalités suivantes composent les identités externes :

  • Collaboration B2B : collaborez avec des utilisateurs externes en leur permettant d’utiliser leur identité préférée pour se connecter à vos applications Microsoft ou à d’autres applications d’entreprise (applications SaaS, applications personnalisées, etc.). Les utilisateurs de collaboration B2B sont représentés dans votre annuaire, généralement en tant qu’utilisateurs invités.

  • Connexion directe B2B : Établissez une relation d’approbation mutuelle et réciproque avec une autre Azure AD organisation pour une collaboration en toute transparence. La connexion directe B2B prend actuellement en charge les canaux Teams partagés, ce qui permet aux utilisateurs externes d’accéder à vos ressources à partir de leurs instances personnelles de Teams. Les utilisateurs de la connexion directe B2B ne sont pas représentés dans votre répertoire, mais ils sont visibles à partir du canal partagé Teams et peuvent être surveillés dans les rapports du centre d’administration Teams.

  • Azure AD B2C : publiez des applications SaaS modernes ou des applications personnalisées (à l’exception des applications Microsoft) aux consommateurs et aux clients, tout en utilisant Azure AD B2C pour la gestion des identités et des accès.

Selon la manière dont vous souhaitez interagir avec les organisations externes et les types de ressources que vous devez partager, vous pouvez utiliser une combinaison de ces fonctionnalités.

External Identities overview diagram

B2B Collaboration

Avec la collaboration B2B, vous pouvez inviter n’importe qui à se connecter à votre organisation Azure AD à l’aide de ses propres informations d’identification afin que cette personne puisse accéder aux applications et aux ressources que vous souhaitez partager avec elle. Utilisez la collaboration B2B lorsque vous avez besoin de permettre aux utilisateurs externes d’accéder à vos applications Office 365, applications SaaS (software-as-a-service) et applications métier, en particulier lorsque le partenaire n’utilise pas Azure AD ou qu’il n’est pas pratique pour les administrateurs de configurer une connexion mutuelle via la connexion directe B2B. Aucune information d’identification n’est associée aux utilisateurs de la collaboration B2B. Au lieu de cela, ils s’authentifient auprès de leur organisation ou fournisseur d’identité, puis votre organisation vérifie l’éligibilité de l’utilisateur invité pour la collaboration B2B.

Il existe plusieurs façons d’ajouter des utilisateurs externes à votre organisation pour la collaboration B2B :

  • Invitez les utilisateurs à la collaboration B2B à l’aide de leurs comptes Azure AD, comptes Microsoft ou identités sociales que vous activez, comme Google. Un administrateur peut utiliser le portail Azure ou PowerShell pour inviter des utilisateurs à la collaboration B2B. Les utilisateurs se connectent aux ressources partagées à l’aide d’un processus simple d’invitation et d’échange, en utilisant leur compte professionnel ou scolaire, ou n’importe quel autre compte de messagerie.

  • Utilisez des flux d’utilisateur d’inscription en libre-service pour permettre aux utilisateurs externes de s’inscrire à des applications. Cette expérience peut être personnalisée pour permettre l’inscription à l’aide d’une identité professionnelle, scolaire ou sociale (comme Google ou Facebook). Vous pouvez également collecter des informations sur l’utilisateur lors du processus d’inscription.

  • Utilisez la gestion des droits d’utilisation Azure AD, une fonction de gouvernance des identités qui vous permet de gérer l’identité et l’accès des utilisateurs externes à l’échelle en automatisant les flux de demandes d’accès, les attributions d’accès, les révisions et les expirations.

Un objet utilisateur est créé pour l’utilisateur de collaboration B2B dans le même répertoire que celui utilisé pour vos employés. Cet objet utilisateur peut être géré comme les autres objets utilisateur de votre annuaire, ajoutés à des groupes, etc. Vous pouvez affecter des autorisations à l’objet utilisateur (pour l’autorisation) tout en lui permettant d’utiliser ses informations d’identification existantes (pour l’authentification).

Vous pouvez utiliser les paramètres d’accès inter-locataires pour gérer la collaboration B2B avec d’autres organisations Azure AD. Pour la collaboration B2B avec des utilisateurs et organisations externes non Azure AD, utilisez les paramètres de collaboration externe.

Connexion directe B2B

La connexion directe B2B est une nouvelle façon de collaborer avec d’autres organisations Azure AD. Avec la connexion directe B2B, vous créez des relations d’approbation bidirectionnelle avec d’autres organisations Azure AD pour permettre aux utilisateurs de se connecter en toute transparence à vos ressources partagées et vice versa. Les utilisateurs de la connexion directe B2B ne sont pas ajoutés en tant qu’invités à votre répertoire Azure AD. Lorsque deux organisations activent mutuellement la connexion directe B2B, les utilisateurs s’authentifient dans leur propre organisation et reçoivent un jeton de l’organisation de ressources pour y accéder. En savoir plus sur la connexion directe B2B dans Azure AD.

À l’heure actuelle, la connexion directe B2B active la fonctionnalité de canaux partagés Teams Connect, ce qui permet à vos utilisateurs de collaborer avec des utilisateurs externes de plusieurs organisations avec un canal partagé Teams pour chatter, appeler, partager des fichiers et des applications. Une fois que vous avez configuré la connexion directe B2B avec une organisation externe, les fonctionnalités de canaux partagés Teams deviennent disponibles :

  • Dans Teams, le propriétaire d’un canal partagé peut rechercher des utilisateurs autorisés de l’organisation externe et les ajouter au canal partagé.

  • Les utilisateurs externes peuvent accéder au canal partagé Teams sans avoir à basculer entre les organisations ou à se connecter avec un autre compte. À partir de Teams, l’utilisateur externe peut accéder aux fichiers et aux applications par le biais de l’onglet Fichiers. L’accès de l’utilisateur est déterminé par les stratégies du canal partagé.

Vous utilisez les paramètres d’accès inter-locataires pour gérer les relations d’approbation avec d’autres Azure AD organisations et définir des stratégies entrantes et sortantes pour la connexion directe B2B.

Pour plus d’informations sur les ressources, les fichiers et les applications disponibles pour l’utilisateur de la connexion directe B2B via le canal partagé Teams, consultez Conversation, équipes, canaux, & applications dans Microsoft Teams.

Azure AD B2C

Azure AD B2C est une solution de gestion des identités et des accès client (CIAM) qui vous permet de créer des parcours utilisateur pour des applications clientes et orientées client. Si vous êtes chef d’entreprise ou développeur individuel et que vous créez des applications orientées clients, vous pouvez les mettre à l’échelle pour des millions de consommateurs, clients ou citoyens en utilisant Azure AD B2C. Les développeurs peuvent utiliser Azure AD B2C comme CIAM complet pour leurs applications.

Avec Azure AD B2C, les clients peuvent se connecter avec une identité qu’ils ont déjà établie (comme Facebook ou Gmail). Vous pouvez complètement personnaliser et contrôler la façon dont les clients s’inscrivent, se connectent et gèrent leurs profils lorsqu’ils utilisent vos applications.

Bien qu’Azure AD B2C soit basé sur la même technologie qu’Azure AD, il s’agit d’un service distinct avec certaines différences de fonctionnalités. Pour plus d’informations sur la façon dont un locataire Azure AD B2C diffère d’un locataire Azure AD, consultez Fonctionnalités Azure AD prises en charge dans la documentation Azure AD B2C.

Comparaison des ensembles de fonctionnalités des identités externes

Le tableau ci-dessous fournit une comparaison détaillée des scénarios que vous pouvez activer avec des identités externes Azure AD. Dans les scénarios B2B, un utilisateur externe est une personne qui n’est pas hébergée dans votre organisation Azure AD.

B2B Collaboration Connexion directe B2B Azure AD B2C
Scénario principal Collaborez avec des utilisateurs externes en leur permettant d’utiliser leur identité par défaut pour se connecter aux ressources de votre organisation Azure AD. Permet d’accéder aux applications Microsoft ou à vos propres applications (applications SaaS, applications développées sur mesure, etc.).

Exemple : Invitez un utilisateur externe à se connecter à vos applications Microsoft ou à devenir membre invité dans Teams.
Collaborez avec les utilisateurs d’autres organisations Azure AD en établissant une connexion mutuelle. Actuellement, peut être utilisé avec des canaux partagés Teams, auxquels les utilisateurs externes peuvent accéder à partir de leurs instances de Teams.

Exemple : Ajoutez un utilisateur externe à un canal partagé Teams, qui fournit un espace pour discuter, appeler et partager du contenu.
Publiez des applications pour les utilisateurs et les clients à l’aide d’Azure AD B2C pour les expériences d’identité. Fournit la gestion des identités et des accès pour les applications personnalisées ou SaaS modernes (pas les applications Microsoft internes).
Usage prévu Collaboration avec des partenaires commerciaux d’organisations externes tels que des fournisseurs, des partenaires et des distributeurs. Ces utilisateurs peuvent disposer ou non de services IT managés Azure AD. Collaboration avec des partenaires commerciaux d’organisations externes qui utilisent Azure AD, tels que des fournisseurs, des partenaires et des distributeurs. Clients de votre produit. Ces utilisateurs sont gérés dans un annuaire Azure AD distinct.
Gestion des utilisateurs Les utilisateurs de collaboration B2B sont gérés dans le même annuaire que les employés, mais sont généralement annotés en tant qu’utilisateurs invités. Les utilisateurs invités peuvent être gérés de la même façon que les employés, ajoutés aux mêmes groupes, etc. Les paramètres d’accès inter-locataires peuvent être utilisés pour déterminer quels utilisateurs ont accès à la collaboration B2B. Aucun objet utilisateur n’est créé dans votre répertoire Azure AD. Les paramètres d’accès inter-locataires déterminent quels utilisateurs ont accès à la collaboration B2B. connexion directe. Les utilisateurs de canaux partagés peuvent être gérés dans Teams, et l’accès des utilisateurs est déterminé par les stratégies du canal partagé Teams. Des objets utilisateur sont créés pour les utilisateurs consommateurs dans votre annuaire Azure AD B2C. Ils sont gérés séparément du répertoire des partenaires et des employés de l’organisation (s’il existe).
Fournisseurs d’identité pris en charge Les utilisateurs externes peuvent collaborer à l’aide de comptes professionnels, de comptes scolaires, de n’importe quelle adresse e-mail, de fournisseurs d’identité basés sur SAML et WS-Fed, et de fournisseurs d’identité sociaux, comme Gmail ou Facebook. Les utilisateurs externes collaborent à l’aide de comptes professionnels ou scolaires Azure AD. Utilisateurs consommateurs disposant de comptes d’application locaux (n’importe quel nom d’utilisateur, adresse de messagerie ou numéro de téléphone), Azure AD, diverses identités sociales prises en charge et utilisateurs dotés d’une identité émise par le gouvernement ou une entreprise par le biais de la fédération des fournisseurs d’identité WS-Fed/SAML.
Authentification unique (SSO) l’authentification unique (SSO) auprès de toutes les applications connectées à Azure AD est prise en charge. Par exemple, vous pouvez donner accès à des applications Microsoft 365 ou des applications locales, et à d’autres applications SaaS telles que Salesforce ou Workday. Authentification unique sur un canal partagé Teams. L’authentification unique auprès d’applications détenues par le client dans les clients Azure AD B2C est prise en charge. L’authentification unique auprès de Microsoft 365 ou d’autres applications SaaS Microsoft n’est pas prise en charge.
Licences et facturation Basé sur les utilisateurs actifs mensuels (MAU), y compris la collaboration B2B et Azure AD B2C. En savoir plus sur la tarification des identités externes et la configuration de la facturation pour B2B. Basé sur les utilisateurs actifs mensuels (MAU), y compris les utilisateurs de la collaboration B2B, de la connexion directe B2B et d’Azure AD B2C. En savoir plus sur la tarification des identités externes et la configuration de la facturation pour B2B. Basé sur les utilisateurs actifs mensuels (MAU), y compris la collaboration B2B et Azure AD B2C. En savoir plus sur la tarification des identités externes et la configuration de la facturation pour Azure AD B2C.
Stratégie de sécurité et conformité Gérée par l’organisation hôte/qui invite (par exemple, avec des règles d’accès conditionnelles et des paramètres d’accès inter-locataires). Gérée par l’organisation hôte/qui invite (par exemple, avec des règles d’accès conditionnelles et des paramètres d’accès inter-locataires). Consultez également la documentation Teams. Gérée par l’organisation via l’accès conditionnel et la protection d’identité.
Personnalisation la marque de l’organisation hôte (qui invite) est utilisée. Pour les écrans de connexion, la marque de l’organisation d’hébergement de l’utilisateur est utilisée. Dans le canal partagé, la marque de l’organisation de la ressource est utilisée. Personnalisation complète de marque pour chaque application ou organisation.
Plus d’informations Billet de blog, Documentation Documentation Page produit, Documentation

Gestion des fonctionnalités des identités externes

La collaboration B2B et la connexion directe B2B Azure AD sont des fonctionnalités Azure AD, et elles sont gérées dans le Portail Azure par le biais du service Azure Active Directory. Pour contrôler la collaboration entrante et sortante, vous pouvez utiliser une combinaison des paramètres d’accès inter-locataires et des paramètres de collaboration externe.

Paramètres d’accès inter-locataires (préversion)

Les paramètres d’accès inter-locataires vous permettent de gérer la collaboration B2B et la connexion directe B2B avec d’autres organisations Azure AD. Vous pouvez déterminer comment d’autres organisations Azure AD collaborent avec vous (accès entrant) et comment vos utilisateurs collaborent avec d’autres organisations Azure AD (accès sortant). Les contrôles granulaires vous permettent de déterminer les personnes, les groupes et les applications, à la fois dans votre organisation et dans les organisations Azure AD externes, qui peuvent participer à la collaboration B2B et à la connexion directe B2B. Vous pouvez également approuver l’authentification multifacteur (MFA) et les revendications d’appareil (revendications conformes et revendications jointes à Azure AD hybrides) à partir d’autres organisations Azure AD.

  • Les paramètres d’accès inter-locataires par défaut déterminent les paramètres entrants et sortants de ligne de base pour la collaboration B2B et la connexion directe B2B. Initialement, vos paramètres par défaut sont configurés pour autoriser toute collaboration B2B entrante et sortante avec d’autres organisations Azure AD et pour bloquer la connexion directe B2B avec toutes les organisations Azure AD. Vous pouvez modifier ces paramètres initiaux pour créer votre propre configuration par défaut.

  • Les paramètres d’accès spécifiques à l’organisation vous permettent de configurer des paramètres personnalisés pour des organisations Azure AD individuelles. Une fois que vous avez ajouté une organisation et personnalisé vos paramètres d’accès inter-locataires avec cette organisation, ces paramètres sont prioritaires par rapport à vos valeurs par défaut. Par exemple, vous pouvez désactiver la collaboration B2B la connexion directe B2B avec toutes les organisations externes par défaut, mais vous pouvez activer ces fonctionnalités uniquement pour Fabrikam.

Pour plus d’informations, consultez Accès inter-locataires dans Azure AD External Identities.

Paramètres de collaboration externe

Les paramètres de collaboration externe déterminent si vos utilisateurs peuvent envoyer des invitations à la collaboration B2B à des utilisateurs externes et le niveau d’accès des utilisateurs invités à votre annuaire. Avec ces paramètres, vous pouvez :

  • Déterminez les autorisations d’utilisateur invité. Azure AD offre la possibilité de limiter ce que peuvent voir les utilisateurs invités externes dans votre annuaire Azure AD. Par exemple, vous pouvez limiter l’affichage des appartenances de groupe aux utilisateurs invités ou autoriser les invités à afficher uniquement leurs propres informations de profil.

  • Spécifier qui peut inviter des invités. Par défaut, tous les utilisateurs de votre organisation, y compris les utilisateurs invités à la collaboration B2B, peuvent inviter des utilisateurs externes à la collaboration B2B. Si vous souhaitez limiter la capacité à envoyer des invitations, vous pouvez activer ou désactiver les invitations pour tout le monde ou limiter les invitations à certains rôles.

  • Autoriser ou bloquer des domaines. Indiquez si vous souhaitez autoriser ou refuser des invitations aux domaines que vous spécifiez. Pour plus d’informations, consultez Autoriser ou bloquer des domaines.

Pour plus d’informations, voir consultez Configurer les paramètres de collaboration externe B2B.

Fonctionnement conjoint de la collaboration externe et des paramètres d’accès inter-locataires

Les paramètres de collaboration externe fonctionnent au niveau de l’invitation, alors que les paramètres d’accès inter-locataires fonctionnent au niveau de l’authentification.

Les paramètres d’accès inter-locataires et les paramètres de collaboration externe sont utilisés pour gérer deux aspects différents de la collaboration B2B. Les paramètres d’accès inter-locataires permettent de contrôler si les utilisateurs peuvent s’authentifier auprès de locataires Azure AD externes et s’ils s’appliquent à la collaboration B2B entrante et sortante. En revanche, les paramètres de collaboration externe contrôlent les utilisateurs autorisés à envoyer des invitations à la collaboration B2B à des utilisateurs externes de n’importe quelle organisation.

Lorsque vous envisagez la collaboration B2B avec une organisation Azure AD externe spécifique, vous devez déterminer si vos paramètres d’accès inter-locataires autorisent la collaboration B2B avec cette organisation et si vos paramètres de collaboration externe permettent à vos utilisateurs d’envoyer des invitations au domaine de cette organisation. Voici quelques exemples :

  • Exemple 1 : vous avez déjà ajouté (une organisation Azure AD) à la liste des domaines bloqués dans vos paramètres de collaboration externe, mais vos paramètres d’accès inter-locataires permettent la collaboration B2B pour toutes les organisations Azure AD. Dans ce cas, le paramètre le plus restrictif s’applique. Vos paramètres de collaboration externe empêcheront vos utilisateurs d’envoyer des invitations aux utilisateurs à adatum.com.

  • Exemple 2 : vous autorisez la collaboration B2B avec Fabrikam dans vos paramètres d’accès inter-locataires, mais vous ajoutez ensuite à vos domaines bloqués dans vos paramètres de collaboration externe. Vos utilisateurs ne seront pas en mesure d’inviter de nouveaux utilisateurs invités Fabrikam, mais les invités Fabrikam existants pourront continuer à utiliser la collaboration B2B.

Gestion d’Azure Active Directory B2C

Azure AD B2C est un annuaire distinct basé sur le consommateur que vous gérez dans le portail Azure par le biais du service Azure AD B2C. Chaque locataire Azure AD B2C est séparé et distinct des autres locataires Azure Active Directory et Azure AD B2C. L’expérience du portail Azure AD B2C est semblable à Azure AD, mais il existe des différences clés, comme la possibilité de personnaliser vos parcours utilisateur à l’aide d’Identity Experience Framework.

Pour plus d’informations sur la configuration et la gestion d’Azure AD B2C, consultez la documentation Azure AD B2C.

Plusieurs technologies de Azure AD sont liées à la collaboration avec des utilisateurs et des organisations externes. Au fur et à mesure que vous concevez votre modèle de collaboration External Identities, tenez compte de ces autres fonctionnalités.

Gestion des droits d’utilisation Azure AD pour l’inscription des utilisateurs invités B2B

En tant qu’organisation invitante, vous ne pouvez pas savoir à l’avance quels collaborateurs externes auront besoin d’accéder à vos ressources. Vos devez disposer d’un moyen de permettre à des utilisateurs d’entreprises partenaires de s’inscrire avec les stratégies que vous contrôlez. Si vous souhaitez autoriser les utilisateurs d’autres organisations à demander l’accès, et qu’après approbation ils soient provisionnés avec des comptes invités et affectés à des groupes, des applications et des sites SharePoint Online, vous pouvez utiliser la gestion des droits d’utilisation Azure AD pour configurer des stratégies qui gèrent l’accès pour les utilisateurs externes.

API Microsoft Graph Azure AD pour la collaboration B2B

Des API Microsoft Graph sont disponibles pour la création et la gestion des fonctionnalités d’External Identities.

  • API des paramètres d’accès inter-locataires : l’API d’accès inter-locataires Microsoft Graph vous permet de créer par programmation les stratégies de collaboration B2B et de connexion directe B2B qui sont configurables dans le portail Azure. À l’aide de l’API, vous pouvez configurer des stratégies pour la collaboration entrante et sortante afin d’autoriser ou de bloquer les fonctionnalités pour tout le monde par défaut et de limiter l’accès à des organisations, groupes, utilisateurs et applications spécifiques. L’API vous permet également d’accepter les revendications MFA et d’appareil (revendications conformes et revendications avec jointure hybride Azure AD) d’autres organisations Azure AD.

  • Gestionnaire d’invitations à la collaboration B2B : l’API du gestionnaire d’invitations Microsoft Graph est disponible pour créer vos propres expériences d’intégration pour les utilisateurs invités B2B. Vous pouvez utiliser l’API Créer une invitation pour envoyer automatiquement un e-mail d’invitation personnalisé directement à l’utilisateur B2B, par exemple. Votre application peut aussi utiliser l’inviteRedeemUrl retourné dans la réponse de création pour créer votre propre invitation (par le biais du mécanisme de communication de votre choix) pour l’utilisateur invité.

Accès conditionnel

Les organisations peuvent appliquer des stratégies d’accès conditionnel pour les utilisateurs externes de la collaboration B2B et de la connexion directe B2B de la même façon que pour les employés à plein temps et les membres de l’organisation. Pour les scénarios Azure AD inter-locataires, si vos stratégies d’accès conditionnel requièrent l’authentification multifacteur ou la conformité des appareils, vous pouvez désormais approuver les revendications MFA et de conformité des appareils à partir de l’organisation d’un utilisateur externe. Lorsque les paramètres d’approbation sont activés, lors de l’authentification, Azure AD vérifie les informations d’identification d’un utilisateur pour une revendication MFA ou un ID d’appareil pour déterminer si les stratégies ont déjà été appliquées. Si c’est le cas, l’utilisateur externe bénéficiera d’une connexion transparente à votre ressource partagée. Dans le cas contraire, une authentification MFA ou un défi d’appareil est initié dans le locataire de l’utilisateur. En savoir plus sur le processus d’authentification et l’accès conditionnel pour les utilisateurs externes.

Applications mutualisées

Si vous proposez une application SaaS (Software as a Service) à de nombreuses organisations, vous pouvez configurer votre application pour accepter des connexions à partir de tout client Azure Active Directory (Azure AD). Cette configuration est appelée quand vous rendez votre application mutualisée. Les utilisateurs de n’importe quel client Azure AD pourront se connecter à votre application après votre consentement afin d’utiliser leur compte avec votre application. Consultez Comment activer les connexions mutualisées.

Étapes suivantes