Gambaran umum koneksi langsung B2B

  • Artikel
  • 12 menit untuk membaca

Koneksi langsung B2B Azure Active Directory (Microsoft Azure AD) adalah fitur External Identities yang memungkinkan Anda mengatur hubungan saling percaya dengan organisasi Microsoft Azure AD lain untuk kolaborasi tanpa hambatan. Saat ini fitur ini berfungsi dengan saluran bersama Microsoft Teams. Dengan koneksi langsung B2B, pengguna dari kedua organisasi dapat bekerja sama menggunakan info masuk beranda mereka dan saluran bersama di Teams, tanpa harus ditambahkan ke organisasi masing-masing sebagai tamu. Gunakan koneksi langsung B2B untuk berbagi sumber daya dengan organisasi Microsoft Azure AD eksternal. Atau gunakan untuk berbagi sumber daya di beberapa penyewa Microsoft Azure AD dalam organisasi Anda sendiri.

Diagram yang menggambarkan koneksi langsung B2B.

Koneksi langsung B2B memerlukan hubungan saling percaya antara dua organisasi Microsoft Azure AD untuk memungkinkan akses ke sumber daya satu sama lain. Baik organisasi sumber daya maupun organisasi eksternal harus saling mengaktifkan koneksi langsung B2B dalam pengaturan akses lintas penyewa. Saat kepercayaan dibuat, pengguna koneksi langsung B2B memiliki akses menyeluruh ke sumber daya di luar organisasi mereka menggunakan info masuk dari beranda organisasi Microsoft Azure AD mereka.

Saat ini, kemampuan koneksi langsung B2B bekerja dengan saluran bersama Teams. Ketika koneksi langsung B2B dibuat antara dua organisasi, pengguna dalam satu organisasi dapat membuat saluran bersama di Teams dan mengundang pengguna koneksi langsung B2B eksternal ke dalamnya. Kemudian dari dalam Teams, pengguna koneksi langsung B2B dapat dengan mulus mengakses saluran bersama di instans Teams penyewa beranda mereka, tanpa harus masuk secara manual ke organisasi yang menghosting saluran bersama.

Untuk informasi lisensi dan harga yang terkait dengan pengguna koneksi langsung B2B, lihat Penetapan harga Azure Active Directory External Identities.

Mengelola akses lintas penyewa untuk koneksi langsung B2B

Organisasi Microsoft Azure AD dapat mengelola hubungan kepercayaan mereka dengan organisasi Microsoft Azure AD lainnya dengan menentukan pengaturan akses lintas penyewa masuk dan keluar. Pengaturan akses lintas penyewa memberi Anda kontrol terperinci terkait cara organisasi lain berkolaborasi dengan Anda (akses masuk) dan cara pengguna Anda berkolaborasi dengan organisasi lain (akses keluar).

  • Pengaturan akses masuk mengontrol apakah pengguna dari organisasi eksternal dapat mengakses sumber daya di organisasi Anda. Anda dapat menerapkan pengaturan ini untuk semua orang, atau Anda dapat menentukan pengguna, grup, dan aplikasi secara individu.

  • Pengaturan akses keluar mengontrol apakah pengguna Anda dapat mengakses sumber daya di organisasi eksternal. Anda dapat menerapkan pengaturan ini untuk semua orang, atau Anda dapat menentukan pengguna, grup, dan aplikasi secara individu.

  • Pembatasan penyewa menentukan bagaimana pengguna Anda dapat mengakses organisasi eksternal saat mereka menggunakan perangkat dan jaringan Anda, tetapi mereka masuk menggunakan akun yang diberikan kepada mereka oleh organisasi eksternal.

  • Pengaturan kepercayaan menentukan apakah kebijakan Akses Bersyarat Anda akan mempercayai autentikasi multi-faktor (MFA), perangkat yang sesuai, dan klaim perangkat gabungan Microsoft Azure AD hibrid dari organisasi eksternal saat penggunanya mengakses sumber daya Anda.

Penting

Koneksi langsung B2B hanya dimungkinkan jika kedua organisasi mengizinkan akses ke dan dari organisasi lain. Misalnya, Contoso dapat mengizinkan koneksi langsung B2B masuk dari Fabrikam, tetapi berbagi tidak dapat dilakukan sebelum Fabrikam juga mengaktifkan koneksi langsung B2B keluar dengan Contoso. Oleh karena itu, Anda perlu berkoordinasi dengan admin organisasi eksternal untuk memastikan pengaturan akses lintas penyewa mereka mengizinkan berbagi dengan Anda. Perjanjian bersama ini penting karena koneksi langsung B2B memungkinkan berbagi data secara terbatas untuk pengguna yang Anda aktifkan untuk koneksi langsung B2B.

Pengaturan default

Pengaturan akses lintas penyewa default berlaku untuk semua organisasi Microsoft Azure AD eksternal, kecuali organisasi yang telah Anda konfigurasikan pengaturan individualnya. Awalnya, Microsoft Azure AD memblokir semua kemampuan koneksi langsung B2B masuk dan keluar secara default untuk semua penyewa Microsoft Azure AD eksternal. Anda dapat mengubah pengaturan default ini, tetapi biasanya Anda akan membiarkannya apa adanya dan mengaktifkan akses koneksi langsung B2B dengan masing-masing organisasi.

Pengaturan khusus organisasi

Anda dapat mengonfigurasi pengaturan khusus organisasi dengan menambahkan organisasi dan mengubah pengaturan akses lintas penyewa. Pengaturan ini kemudian akan lebih diutamakan daripada pengaturan default untuk organisasi ini.

Contoh 1: Mengizinkan B2B terhubung langsung dengan Fabrikam dan memblokir semua yang lain

Dalam contoh ini, Contoso ingin memblokir koneksi langsung B2B dengan semua organisasi eksternal secara default, tetapi mengizinkan koneksi langsung B2B untuk semua pengguna, grup, dan aplikasi di Fabrikam.

Contoh pemblokiran koneksi langsung B2B secara default dengan mengizinkan organisasi

Contoso menetapkan pengaturan Default berikut untuk akses lintas penyewa:

  • Blokir akses masuk ke koneksi langsung B2B untuk semua pengguna dan grup eksternal.
  • Blokir akses keluar ke koneksi langsung B2B untuk semua pengguna dan grup Contoso.

Kemudian Contoso menambahkan organisasi Fabrikam dan mengonfigurasi pengaturan Organisasi berikut untuk Fabrikam:

  • Izinkan akses masuk ke koneksi langsung B2B untuk semua pengguna dan grup Fabrikam.
  • Izinkan akses masuk ke semua aplikasi Contoso internal oleh pengguna koneksi langsung Fabrikam B2B.
  • Izinkan semua pengguna dan grup Contoso memiliki akses keluar menuju Fabrikam menggunakan koneksi langsung B2B.
  • Izinkan pengguna koneksi langsung B2B Contoso memiliki akses keluar menuju semua aplikasi Fabrikam.

Agar skenario ini berfungsi, Fabrikam juga perlu mengizinkan B2B terhubung langsung dengan Contoso dengan mengonfigurasi pengaturan akses lintas-penyewa yang sama ini untuk Contoso dan untuk pengguna serta aplikasi mereka sendiri. Setelah konfigurasi selesai, pengguna Contoso yang mengelola saluran bersama Teams akan dapat menambahkan pengguna Fabrikam dengan mencari alamat email lengkap Fabrikam mereka.

Contoh 2: Mengaktifkan koneksi langsung B2B hanya dengan grup Pemasaran Fabrikam

Mulai dari contoh di atas, Contoso juga dapat memilih untuk hanya mengizinkan grup Pemasaran Fabrikam untuk berkolaborasi dengan pengguna Contoso melalui koneksi langsung B2B. Dalam hal ini, Contoso perlu mendapatkan ID objek grup Pemasaran dari Fabrikam. Kemudian, alih-alih mengizinkan akses masuk ke semua pengguna Fabrikam, mereka akan mengonfigurasi pengaturan akses khusus Fabrikam sebagai berikut:

  • Izinkan akses masuk ke koneksi langsung B2B hanya untuk grup Pemasaran Fabrikam. Contoso menetapkan ID objek grup Pemasaran Fabrikam dalam daftar pengguna dan grup yang diizinkan.
  • Izinkan akses masuk ke semua aplikasi Contoso internal oleh pengguna koneksi langsung Fabrikam B2B.
  • Izinkan semua pengguna dan grup Contoso memiliki akses keluar menuju Fabrikam menggunakan koneksi langsung B2B.
  • Izinkan pengguna koneksi langsung B2B Contoso memiliki akses keluar menuju semua aplikasi Fabrikam.

Fabrikam juga perlu mengonfigurasi pengaturan akses lintas penyewa keluar sehingga grup Pemasaran mereka diizinkan untuk berkolaborasi dengan Contoso melalui koneksi langsung B2B. Setelah konfigurasi selesai, pengguna Contoso yang mengelola saluran bersama Teams hanya dapat menambahkan pengguna grup Pemasaran Fabrikam dengan mencari alamat email lengkap Fabrikam mereka.

Autentikasi

Dalam skenario koneksi langsung B2B, autentikasi melibatkan pengguna dari organisasi Microsoft Azure AD (penyewa beranda pengguna) yang mencoba masuk ke file atau aplikasi di organisasi Microsoft Azure AD lain (penyewa sumber daya). Pengguna masuk dengan info masuk Microsoft Azure AD penyewa beranda mereka. Upaya masuk dievaluasi menurut pengaturan akses lintas penyewa di penyewa beranda pengguna dan penyewa sumber daya. Jika semua persyaratan akses terpenuhi, token dikeluarkan untuk pengguna dan memungkinkan pengguna untuk mengakses sumber daya. Token ini berlaku selama 1 jam.

Untuk detail tentang cara kerja autentikasi dalam skenario lintas penyewa dengan kebijakan Akses Bersyarat, lihat Autentikasi dan Akses Bersyarat dalam skenario lintas penyewa.

Autentikasi Multifaktor (MFA)

Jika Anda ingin mengizinkan koneksi langsung B2B dengan organisasi eksternal dan kebijakan Akses Bersyarat Anda memerlukan MFA, Anda harus mengonfigurasi pengaturan kepercayaan masuk sehingga kebijakan Akses Bersyarat Anda akan menerima klaim MFA dari organisasi eksternal. Konfigurasi ini memastikan bahwa pengguna koneksi langsung B2B dari organisasi eksternal mematuhi kebijakan Akses Bersyarat Anda, dan memberikan pengalaman pengguna yang lebih lancar.

Misalnya, Contoso (penyewa sumber daya) memercayai klaim MFA dari Fabrikam. Contoso memiliki kebijakan Akses Bersyarat yang membutuhkan MFA. Kebijakan ini mencakup semua tamu, pengguna eksternal, dan SharePoint Online. Sebagai prasyarat untuk koneksi langsung B2B, Contoso harus mengonfigurasi pengaturan kepercayaan dalam pengaturan akses lintas penyewa untuk menerima klaim MFA dari Fabrikam. Ketika pengguna Fabrikam mengakses aplikasi yang mendukung koneksi langsung B2B (misalnya, saluran bersama Teams Connect), pengguna tunduk pada persyaratan MFA yang diberlakukan oleh Contoso:

  • Jika pengguna Fabrikam telah melakukan MFA di penyewa beranda mereka, mereka akan dapat mengakses sumber daya dalam saluran bersama.
  • Jika pengguna Fabrikam belum menyelesaikan MFA, mereka akan diblokir untuk mengakses sumber daya.

Untuk informasi tentang Akses Bersyarat dan Teams, lihat Gambaran umum keamanan dan kepatuhan dalam dokumentasi Microsoft Teams.

Pengalaman pengguna koneksi langsung B2B

Saat ini, koneksi langsung B2B mengaktifkan fitur saluran bersama Teams Connect. Pengguna koneksi langsung B2B dapat mengakses saluran bersama Teams organisasi eksternal tanpa harus berpindah penyewa atau masuk dengan akun yang berbeda. Akses pengguna koneksi langsung B2B ditentukan oleh kebijakan saluran bersama.

Di organisasi sumber daya, pemilik saluran bersama Teams dapat mencari pengguna dari organisasi eksternal di dalam Teams dan menambahkan mereka ke saluran bersama. Setelah ditambahkan, pengguna koneksi langsung B2B dapat mengakses saluran bersama dari dalam instance beranda Teams mereka, tempat mereka berkolaborasi menggunakan fitur seperti obrolan, panggilan, berbagi file, dan berbagi aplikasi. Untuk detailnya, lihat Gambaran umum tim dan saluran di Microsoft Teams. Untuk detail tentang sumber daya, file, dan aplikasi, yang tersedia untuk pengguna koneksi langsung B2B melalui saluran bersama Teams, lihat Obrolan, tim, saluran, & aplikasi di Microsoft Teams.

Koneksi langsung B2B vs. kolaborasi B2B

Kolaborasi B2B dan koneksi langsung B2B adalah dua pendekatan berbeda untuk berbagi dengan pengguna di luar organisasi Anda. Anda akan menemukan perbandingan fitur-ke-fitur di gambaran umum External Identities. Di sini, kita akan membahas beberapa perbedaan utama dalam cara pengguna dikelola dan bagaimana mereka mengakses sumber daya.

Akses dan manajemen pengguna

Pengguna koneksi langsung B2B berkolaborasi melalui koneksi timbal balik antara dua organisasi, sedangkan pengguna kolaborasi B2B diundang ke organisasi dan dikelola melalui objek pengguna.

  • Koneksi langsung B2B menawarkan cara untuk berkolaborasi dengan pengguna dari organisasi Microsoft Azure AD lain melalui koneksi dua arah timbal balik yang dikonfigurasi oleh admin dari kedua organisasi. Pengguna memiliki akses menyeluruh ke aplikasi Microsoft yang mendukung koneksi langsung B2B. Saat ini, koneksi langsung B2B mendukung saluran bersama Teams Connect.

  • Kolaborasi B2B memungkinkan Anda mengundang mitra eksternal untuk mengakses Microsoft, SaaS, atau aplikasi yang dikembangkan secara khusus. Kolaborasi B2B sangat berguna ketika mitra eksternal tidak menggunakan Microsoft Azure AD atau tidak praktis atau tidak memungkinkan untuk menyiapkan koneksi langsung B2B. Kolaborasi B2B memungkinkan pengguna eksternal untuk masuk menggunakan identitas pilihan mereka, termasuk akun Microsoft Azure AD, akun Microsoft konsumen, atau identitas sosial yang Anda aktifkan seperti Google. Dengan kolaborasi B2B, Anda dapat mengizinkan pengguna eksternal masuk ke aplikasi Microsoft, aplikasi SaaS, aplikasi yang dikembangkan secara khusus, dan sebagainya.

Menggunakan Teams dengan koneksi langsung B2B vs. kolaborasi B2B

Dalam konteks Teams, ada perbedaan dalam cara sumber daya dapat dibagikan bergantung pada apakah Anda berkolaborasi dengan seseorang menggunakan koneksi langsung B2B atau kolaborasi B2B.

  • Dengan koneksi langsung B2B, Anda menambahkan pengguna eksternal ke saluran bersama dalam tim. Pengguna ini dapat mengakses sumber daya dalam saluran bersama, tetapi mereka tidak memiliki akses ke seluruh tim atau sumber daya lain di luar saluran bersama. Misalnya, mereka tidak memiliki akses ke portal admin Microsoft Azure AD. Namun, mereka memiliki akses ke portal Aplikasi saya. Pengguna koneksi langsung B2B tidak ada di organisasi Microsoft Azure AD Anda, jadi pengguna ini dikelola di klien Teams oleh pemilik saluran bersama. Untuk detailnya, lihat Menetapkan pemilik dan anggota tim di Microsoft Teams.

  • Dengan kolaborasi B2B, Anda dapat mengundang pengguna tamu ke tim. Pengguna tamu kolaborasi B2B masuk ke penyewa sumber daya menggunakan alamat email yang digunakan untuk mengundang mereka. Akses mereka ditentukan oleh izin yang ditetapkan untuk pengguna tamu di penyewa sumber daya. Pengguna tamu tidak dapat melihat atau berpartisipasi dalam saluran bersama mana pun dalam tim.

Untuk informasi selengkapnya tentang perbedaan antara kolaborasi B2B dan koneksi langsung B2B di Teams, lihat Akses tamu di Microsoft Teams.

Pemantauan dan audit

Laporan untuk memantau dan mengaudit aktivitas koneksi langsung B2B tersedia di portal Microsoft Azure dan pusat admin Microsoft Teams.

Log pemantauan dan audit Microsoft Azure AD

Microsoft Azure AD menyertakan informasi tentang akses lintas penyewa dan koneksi langsung B2B di log Audit dan log masuk organisasi. Log ini dapat dilihat di portal Microsoft Azure di bagian Pemantauan.

  • Log audit Microsoft Azure AD: Log Audit Microsoft Azure AD ditampilkan saat kebijakan masuk dan keluar dibuat, diperbarui, atau dihapus.

    Cuplikan layar menunjukkan jejak audit

  • Log masuk Microsoft Azure AD Log masuk Microsoft Azure AD tersedia di organisasi asal dan organisasi sumber daya. Setelah koneksi langsung B2B diaktifkan, log masuk akan mulai menyertakan ID objek pengguna untuk pengguna koneksi langsung B2B dari penyewa lain. Informasi yang dilaporkan di setiap organisasi berbeda-beda, misalnya:

    • Di kedua organisasi, masuk koneksi langsung B2B diberi label dengan jenis akses lintas penyewa dari koneksi langsung B2B. Peristiwa masuk dicatat saat pengguna koneksi langsung B2B pertama kali mengakses organisasi sumber daya, dan dicatat lagi saat token refresh dikeluarkan untuk pengguna. Pengguna dapat mengakses log masuk mereka sendiri. Admin dapat melihat proses masuk untuk seluruh organisasi mereka guna melihat bagaimana pengguna koneksi langsung B2B mengakses sumber daya di penyewa mereka.

    • Di organisasi asal, log menyertakan informasi aplikasi klien.

    • Di organisasi sumber daya, log menyertakan conditionalAccessPolicies di tab Akses Bersyarat.

    Cuplikan layar yang menunjukkan log kredensial masuk

  • Tinjauan akses Microsoft Azure AD: Dengan tinjauan akses Azure Active Directory (Microsoft Azure AD), admin penyewa dapat memastikan bahwa pengguna tamu eksternal tidak memiliki akses ke aplikasi dan sumber daya Anda lebih lama dari yang diperlukan dengan mengonfigurasi tinjauan akses satu kali atau berulang dari pengguna eksternal. Pelajari lebih lanjut tentang tinjauan akses.

Log pemantauan dan audit Microsoft Teams

Pusat admin Microsoft Teams menampilkan pelaporan untuk saluran bersama, termasuk anggota koneksi langsung B2B eksternal untuk setiap tim.

  • Log audit Teams: Teams mendukung peristiwa audit berikut di penyewa yang menghosting saluran bersama: Siklus hidup saluran bersama (Buat/Hapus saluran), Siklus hidup Anggota Penyewa/Lintas-penyewa (Tambahkan/hapus/Promosikan/Demosikan anggota). Log audit ini tersedia di penyewa sumber daya sehingga admin dapat menentukan siapa yang memiliki akses ke saluran bersama Teams. Tidak ada log audit di penyewa beranda pengguna eksternal yang terkait dengan aktivitas mereka di saluran bersama eksternal.

  • Tinjuan akses Teams: Tinjauan akses Grup Teams sekarang dapat mendeteksi pengguna koneksi langsung B2B yang menggunakan saluran bersama Teams. Saat membuat tinjauan akses, Anda dapat mencakup tinjauan ke semua pengguna internal, pengguna tamu, dan pengguna koneksi langsung B2B eksternal yang telah ditambahkan langsung ke saluran bersama. Peninjau kemudian dipresentasikan dengan pengguna yang memiliki akses langsung ke saluran bersama.

  • Batasan saat ini: Tinjauan akses dapat mendeteksi pengguna internal dan pengguna koneksi langsung B2B eksternal, tetapi bukan tim lain, yang telah ditambahkan ke saluran bersama. Untuk melihat dan menghapus tim yang telah ditambahkan ke saluran bersama, pemilik saluran bersama dapat mengelola keanggotaan dari dalam Teams.

Untuk informasi selengkapnya tentang log audit Microsoft Teams, lihat dokumentasi audit Microsoft Teams.

Privasi dan penanganan data

Koneksi langsung B2B memungkinkan pengguna dan grup Anda mengakses aplikasi dan sumber daya yang dihosting oleh organisasi eksternal. Untuk membuat koneksi, admin dari organisasi eksternal juga harus mengaktifkan koneksi langsung B2B.

Dengan mengaktifkan koneksi B2B dengan organisasi eksternal, Anda mengizinkan organisasi eksternal yang telah Anda aktifkan pengaturan keluarnya untuk mengakses data kontak terbatas tentang pengguna Anda. Microsoft membagikan data ini dengan organisasi tersebut untuk membantu mereka mengirim permintaan terhubung dengan pengguna Anda. Data yang dikumpulkan oleh organisasi eksternal, termasuk data kontak terbatas, tunduk pada kebijakan dan praktik privasi organisasi tersebut.

Akses keluar

Saat koneksi langsung B2B diaktifkan dengan organisasi eksternal, pengguna di organisasi eksternal akan dapat mencari pengguna Anda dengan alamat email lengkap. Hasil pencarian yang cocok akan mengembalikan data terbatas tentang pengguna Anda, termasuk nama depan dan nama belakang. Pengguna Anda harus menyetujui kebijakan privasi organisasi eksternal sebelum lebih banyak data mereka dibagikan. Kami menyarankan Anda meninjau informasi privasi yang akan diberikan oleh organisasi dan disajikan kepada pengguna Anda.

Akses masuk

Sebaiknya tambahkan kontak privasi global dan pernyataan privasi organisasi Anda sehingga karyawan internal dan tamu eksternal Anda dapat meninjau kebijakan Anda. Ikuti langkah-langkah ini untuk menambahkan info privasi organisasi Anda.

Membatasi akses ke pengguna dan grup

Anda mungkin ingin mempertimbangkan untuk menggunakan pengaturan akses lintas penyewa guna membatasi koneksi langsung B2B ke pengguna dan grup tertentu dalam organisasi Anda dan organisasi eksternal.

Langkah berikutnya