Panoramica di Microsoft Entra per ID esterno
Microsoft Entra External ID si riferisce a tutti i modi in cui è possibile interagire in modo sicuro con utenti esterni all'organizzazione. Per collaborare con partner, distributori, fornitori o distributori, è possibile condividere le risorse e definire il modo in cui gli utenti interni possono accedere alle organizzazioni esterne. Gli sviluppatori che creano app rivolte agli utenti possono gestire le esperienze di identità dei clienti.
Con l'ID esterno, gli utenti esterni possono "portare le proprie identità". Che abbiano un'identità digitale aziendale o governativa o un'identità social non gestita come Google o Facebook, possono usare le proprie credenziali per accedere. Il provider di identità gestisce l'identità dell'utente esterno, mentre l'amministratore interno gestisce l'accesso alle proprie app con Microsoft Entra ID o Azure AD B2C per mantenere protette le risorse.
Le funzionalità seguenti costituiscono l'ID esterno:
Collaborazione B2B: collaborare con utenti esterni consentendo loro di usare l'identità preferita per accedere alle applicazioni Microsoft o ad altre applicazioni aziendali (applicazioni SaaS, app personalizzate e così via). Gli utenti della collaborazione B2B sono rappresentati nella directory, in genere come utenti guest.
Connessione diretta B2B: stabilire un trust bidirezionale reciproco con un'altra organizzazione di Microsoft Entra per agevolare la collaborazione. La connessione diretta B2B supporta attualmente i canali condivisi di Teams, consentendo agli utenti esterni di accedere alle risorse dalle proprie istanze di Teams. Gli utenti della connessione diretta B2B non sono rappresentati nella directory, ma sono visibili dal canale condiviso di Teams e possono essere monitorati nei report dell'interfaccia di amministrazione di Teams.
Azure AD B2C: pubblicare app SaaS moderne o app personalizzate (escluse le app Microsoft) per consumer e clienti, usando Azure AD B2C per la gestione delle identità e degli accessi.
Organizzazione multi-tenant di Microsof Entra: collaborare con più tenant in una singola organizzazione di Microsoft Entra tramite la sincronizzazione tra tenant.
A seconda del modo in cui si vuole interagire con le organizzazioni esterne e dei tipi di risorse da condividere, è possibile usare una combinazione di queste funzionalità.
Collaborazione B2B
Grazie a Collaborazione B2B, è possibile invitare chiunque ad accedere all'organizzazione di Microsoft Entra usando le proprie credenziali in modo che possano accedere alle app e alle risorse che si vuole condividere con loro. Usare Collaborazione B2B quando è necessario consentire agli utenti esterni di accedere alle app di Office 365, alle app SaaS (Software as a Service) e alle applicazioni line-of-business, soprattutto quando il partner non usa Microsoft Entra o risulta poco pratico per gli amministratori configurare una connessione reciproca tramite la connessione diretta B2B. Agli utenti di Collaborazione B2B non sono associate credenziali nell'organizzazione. Gli utenti eseguono l'autenticazione con la propria organizzazione principale o il proprio provider di identità e quindi l'organizzazione verifica l'idoneità dell'utente guest per la collaborazione B2B.
Esistono diversi modi per aggiungere utenti esterni all'organizzazione per Collaborazione B2B:
Invitare gli utenti a Collaborazione B2B usando gli account Microsoft Entra, gli account Microsoft o le identità di social networking abilitate, ad esempio Google. Un amministratore può usare il portale di Azure o PowerShell per invitare gli utenti a Collaborazione B2B. L'utente accede alle risorse condivise usando un semplice processo di riscatto con l'account aziendale, dell'istituto di istruzione o di altro tipo.
Usare i flussi utente di iscrizione self-service per consentire agli utenti esterni di iscriversi alle applicazioni stesse. L'esperienza può essere personalizzata per consentire l'iscrizione con un'identità aziendale, dell'istituto di istruzione o di social network, come Google o Facebook. È anche possibile raccogliere informazioni sull'utente durante il processo di iscrizione.
Usare gestione entitlement di Microsoft Entra, una funzionalità di governance delle identità che consente di gestire identità e accesso per utenti esterni su larga scala automatizzando i flussi di lavoro delle richieste di accesso, le assegnazioni di accesso, le verifiche e la scadenza.
Viene creato un oggetto utente per l'utente di collaborazione B2B nella stessa directory dei dipendenti. Questo oggetto utente può essere gestito come altri oggetti utente nella directory, aggiunto a gruppi e così via. È possibile assegnare autorizzazioni all'oggetto utente (per l'autorizzazione) consentendo loro di usare al tempo stesso le credenziali esistenti (per l'autenticazione).
È possibile usare impostazioni di accesso tra tenant per gestire la collaborazione B2B con altre organizzazioni di Microsoft Entra e nei cloud di Microsoft Azure. Per Collaborazione B2B con utenti e organizzazioni esterni di Azure AD, usare impostazioni di collaborazione esterna.
Connessione diretta B2B
La Connessione diretta B2B è un nuovo modo per collaborare con altre organizzazioni di Microsoft Entra. Questa funzionalità funziona attualmente con i canali condivisi di Microsoft Teams. Grazie alla connessione diretta B2B, si creano relazioni di trust bidirezionali con altre organizzazioni di Microsoft Entra per consentire agli utenti di accedere facilmente alle risorse condivise e viceversa. Gli utenti con connessione diretta B2B non vengono aggiunti come guest alla directory di Microsoft Entra. Quando due organizzazioni abilitano a vicenda Connessione diretta B2B, gli utenti eseguono l'autenticazione nell'organizzazione principale e ricevono un token dall'organizzazione delle risorse per l'accesso. Altre informazioni sulla connessione diretta B2B in Microsoft Entra per ID esterno.
Attualmente, Connessione diretta B2B abilita la funzionalità Canali condivisi di Teams Connect, che consente agli utenti di collaborare con utenti esterni di più organizzazioni con un canale condiviso di Teams per chat, chiamate, condivisione file e condivisione di app. Dopo aver configurato Connessione diretta B2B con un'organizzazione esterna, diventano disponibili le funzionalità seguenti dei canali condivisi di Teams:
All'interno di Teams un proprietario del canale condiviso può cercare gli utenti consentiti dall'organizzazione esterna e aggiungerli al canale condiviso.
Gli utenti esterni possono accedere al canale condiviso di Teams senza dover cambiare organizzazione o accedere con un account diverso. Dall'interno di Teams l'utente esterno può accedere a file e app tramite la scheda File. L'accesso dell'utente è determinato dai criteri del canale condiviso.
Si usano impostazioni di accesso tra tenant per gestire le relazioni di trust con altre organizzazioni di Microsoft Entra e definire criteri in ingresso e in uscita per la connessione diretta B2B.
Per informazioni dettagliate sulle risorse, i file e le applicazioni disponibili per l'utente con connessione diretta B2B tramite il canale condiviso di Teams, vedere Chat, team, canali e app in Microsoft Teams.
Azure AD B2C
Azure AD B2C è una soluzione CIAM (Customer Identity and Access Management) che consente di creare percorsi utente per le app destinate ai consumer e ai clienti. Le organizzazioni o i singoli sviluppatori che creano app rivolte ai clienti possono estenderle a milioni di consumer, clienti o cittadini tramite Azure AD B2C. Gli sviluppatori possono usare Azure AD B2C come sistema CIAM completo per le applicazioni.
Grazie ad Azure AD B2C, i clienti possono accedere con un'identità già stabilita (ad esempio Facebook o Gmail). È possibile personalizzare e controllare completamente la modalità con cui i clienti accedono ai propri profili e li gestiscono quando usano le applicazioni.
Anche se Azure AD B2C è basato sulla stessa tecnologia di Microsoft Entra per ID esterno, si tratta di un servizio separato con alcune differenze di funzionalità. Per altre informazioni sulle differenze tra un tenant di Azure AD B2C e un tenant di Microsoft Entra, vedere Funzionalità di Microsoft Entra supportate nella documentazione di Azure AD B2C.
Confronto tra set di funzionalità DI ID esterno
La tabella seguente fornisce un confronto dettagliato degli scenari che è possibile abilitare con Microsoft Entra External ID. Negli scenari B2B un utente esterno è chiunque non sia incluso nell'organizzazione di Microsoft Entra.
| Collaborazione B2B | Connessione diretta B2B | Azure AD B2C | |
|---|---|---|---|
| Scenario principale | Collaborare con utenti esterni consentendo loro di usare l'identità preferita per accedere alle risorse nell'organizzazione di Microsoft Entra. Fornisce l'accesso alle applicazioni Microsoft o alle proprie applicazioni (app SaaS, app sviluppate in modo personalizzato e così via). Esempio: invitare un utente esterno ad accedere alle app Microsoft o diventare un membro guest in Teams. |
Collaborare con gli utenti di altre organizzazioni di Microsoft Entra stabilendo una connessione reciproca. Attualmente è possibile usare questo approccio con i canali condivisi di Teams, a cui gli utenti esterni possono accedere dalle istanze principali di Teams. Esempio: aggiungere un utente esterno a un canale condiviso di Teams, che fornisce uno spazio per chattare, chiamare e condividere contenuto. |
Pubblicare app per consumer e clienti usando Azure AD B2C per le esperienze di gestione delle identità. Offre la gestione delle identità e dell'accesso per applicazioni SaaS moderne o personalizzate, non per le app proprietarie Microsoft. |
| Destinato a | Collaborazione con partner commerciali di organizzazioni esterne, come fornitori e partner. Questi utenti potrebbero avere o meno l'ID Microsoft Entra o l'IT gestito. | Collaborazione con partner commerciali di organizzazioni esterne che usano Microsoft Entra ID, ad esempio fornitori e partner. | Clienti del prodotto. Questi utenti vengono gestiti in una directory separata di Microsoft Entra. |
| Gestione utente | Gli utenti di Collaborazione B2B vengono gestiti nella stessa directory dei dipendenti, ma vengono in genere contrassegnati come utenti guest. Gli utenti guest possono essere gestiti allo stesso modo dei dipendenti, possono essere aggiunti agli stessi gruppi e così via. Le impostazioni di accesso tra tenant possono essere usate per determinare quali utenti hanno accesso a Collaborazione B2B. | Nella directory Microsoft Entra non viene creato alcun oggetto utente. Le impostazioni di accesso tra determinano quali utenti hanno accesso a Collaborazione B2B. Connessione diretta. Gli utenti del canale condiviso possono essere gestiti in Teams e l'accesso degli utenti è determinato dai criteri del canale condiviso di Teams. | Vengono creati oggetti utente per gli utenti consumer nella directory di Azure AD B2C. Vengono gestiti separatamente rispetto alla directory di dipendenti e partner dell'organizzazione (se disponibile). |
| Provider di identità supportati | Gli utenti esterni possono collaborare usando account aziendali o dell'istituto di istruzione, qualsiasi indirizzo di posta elettronica, provider di identità basati su SAML e WS-Fed e provider di identità di social network, tra cui Gmail e Facebook. | Gli utenti esterni collaborano usando account aziendali o account dell'istituto di istruzione Microsoft Entra ID. | Utenti consumer con account di applicazioni locali (qualsiasi indirizzo di posta elettronica, nome utente o numero di telefono), Microsoft Entra ID, varie identità di social network supportate e utenti con identità emesse dall'azienda o da un ente pubblico tramite federazione di provider di identità basate su SAML/WS-Fed. |
| Single sign-on (SSO) | È supportato l'accesso SSO a tutte le app connesse di Microsoft Entra. È possibile ad esempio concedere l'accesso a Microsoft 365 oppure ad app locali e ad altre app SaaS, ad esempio Salesforce o Workday. | Da Single Sign-On a un canale condiviso di Teams. | È supportato il SSO ad app di proprietà del cliente all'interno di tenant B2C di Azure AD. L'accesso SSO a Microsoft 365 o ad altre app SaaS Microsoft non è supportato. |
| Licenze e fatturazione | In base agli utenti attivi mensili (MAU), inclusi gli utenti di Collaborazione B2B e di Azure AD B2C. Altre informazioni sui prezzi degli ID esterni e sulla configurazione della fatturazione per B2B. | In base agli utenti attivi mensili (MAU), inclusi gli utenti di Collaborazione B2B, Connessione diretta B2B e Azure AD B2B. Altre informazioni sui prezzi degli ID esterni e sulla configurazione della fatturazione per B2B. | In base agli utenti attivi mensili (MAU), inclusi gli utenti di Collaborazione B2B e di Azure AD B2C. Altre informazioni sui prezzi e la configurazione della fatturazione di ID esterni per Azure AD B2C. |
| Criteri di sicurezza e conformità | Gestito dall'organizzazione host/invito , ad esempio con i criteri di accesso condizionale e le impostazioni di accesso tra tenant. | Gestito dall'organizzazione host/invito , ad esempio con i criteri di accesso condizionale e le impostazioni di accesso tra tenant. Vedere anche la documentazione di Teams. | Gestito dall'organizzazione tramite l'accesso condizionale e Identity Protection. |
| Autenticazione a più fattori | Se le impostazioni di attendibilità in ingresso per accettare attestazioni MFA dal tenant principale dell'utente sono configurate e i criteri di autenticazione a più fattori sono già stati soddisfatti nel tenant principale dell'utente, l'utente esterno può accedere. Se l'attendibilità MFA non è abilitata, all'utente viene presentata una richiesta di autenticazione a più fattori dall'organizzazione delle risorse. Altre informazioni sull'autenticazione a più fattori per gli utenti esterni di Microsoft Entra. | Se le impostazioni di attendibilità in ingresso per accettare attestazioni MFA dal tenant principale dell'utente sono configurate e i criteri di autenticazione a più fattori sono già stati soddisfatti nel tenant principale dell'utente, l'utente esterno può accedere. Se l'attendibilità MFA non è abilitata e i criteri di Accesso condizionale richiedono l'autenticazione a più fattori, l'utente non può accedere alle risorse. È necessario configurare le impostazioni di attendibilità in ingresso per accettare attestazioni MFA dall'organizzazione. Altre informazioni sull'autenticazione a più fattori per gli utenti esterni di Microsoft Entra. | Si integra direttamente con l'autenticazione a più fattori Di Microsoft Entra. |
| Impostazioni di Microsoft Cloud | Supportata. | Non supportato. | Non applicabile. |
| Gestione dei diritti | Supportata. | Non supportato. | Non applicabile. |
| App line-of-business (LOB) | Supportato. | Non supportato. Solo le app abilitate per Connessione diretta B2B possono essere condivise (attualmente, i canali condivisi di Teams Connect). | Funziona con l'API RESTful. |
| Accesso condizionale | gestito dall'organizzazione host (o che manda l'invito). Altre informazioni sui criteri di accesso condizionale. | gestito dall'organizzazione host (o che manda l'invito). Altre informazioni sui criteri di accesso condizionale. | Gestito dall'organizzazione tramite l'accesso condizionale e Identity Protection. |
| Personalizzazione | viene usato il marchio dell'organizzazione host o che invia l'invito. | Per le schermate di accesso, viene usato il marchio dell'organizzazione principale dell'utente. Nel canale condiviso viene usato il marchio dell'organizzazione delle risorse. | Personalizzazione completa per applicazione o organizzazione. |
| Ulteriori informazioni | Documentazione | Documentazione | pagina del prodotto, documentazione |
In base ai requisiti dell'organizzazione, è possibile usare la sincronizzazione tra tenant nelle organizzazioni multi-tenant. Per altre informazioni su questa nuova funzionalità, vedere la documentazione dell'organizzazione multi-tenant e il confronto delle funzionalità.
Gestione delle funzionalità di ID esterno
Microsoft Entra B2B Collaboration e B2B direct connect sono funzionalità di Microsoft Entra per ID esterno e sono gestite nel portale di Azure tramite il servizio Microsoft Entra. Per controllare la collaborazione in ingresso e in uscita, è possibile usare una combinazione di impostazioni di accesso tra tenant e impostazioni di collaborazione esterna.
Impostazioni di accesso tra tenant
Le impostazioni di accesso tra tenant consentono di gestire la collaborazione B2B e la connessione diretta B2B con altre organizzazioni di Microsoft Entra. È possibile determinare in che modo altre organizzazioni di Microsoft Entra collaborano con l'utente (accesso in ingresso) e come gli utenti collaborano con altre organizzazioni di Microsoft Entra (accesso in uscita). I controlli granulari consentono di determinare le persone, i gruppi e le app, sia nell'organizzazione che nelle organizzazioni esterne di Microsoft Entra, che possono partecipare alla collaborazione B2B e alla connessione diretta B2B. È anche possibile considerare attendibili l'autenticazione a più fattori e le attestazioni del dispositivo (attestazioni conformi e attestazioni aggiunte ibride di Microsoft Entra) da altre organizzazioni di Microsoft Entra.
Le impostazioni di accesso tra tenant predefinite determinano le impostazioni di base in ingresso e in uscita sia per la collaborazione B2B che per la connessione diretta B2B. Inizialmente, le impostazioni predefinite sono configurate per consentire tutta la collaborazione B2B in ingresso e in uscita con altre organizzazioni di Microsoft Entra e bloccare la connessione diretta B2B con tutte le organizzazioni di Microsoft Entra. È possibile modificare queste impostazioni iniziali per creare una configurazione predefinita personalizzata.
Le impostazioni di accesso specifiche dell'organizzazione consentono di configurare le impostazioni personalizzate per le singole organizzazioni di Microsoft Entra. Dopo aver aggiunto un'organizzazione e personalizzato le impostazioni di accesso tra tenant con questa organizzazione, queste impostazioni avranno la precedenza sulle impostazioni predefinite. Ad esempio, è possibile disabilitare collaborazione B2B e connessione diretta B2B con tutte le organizzazioni esterne per impostazione predefinita, ma abilitare queste funzionalità solo per Fabrikam.
Per altre informazioni, vedere Accesso tra tenant in Microsoft Entra per ID esterno.
Microsoft Entra ID offre una funzionalità per le organizzazioni multi-tenant denominate sincronizzazione tra tenant, che consente un'esperienza di collaborazione senza interruzioni nei tenant di Microsoft Entra. Le impostazioni di sincronizzazione tra tenant vengono configurate nelle impostazioni di accesso specifiche dell'organizzazione. Per altre informazioni sulle organizzazioni multi-tenant e sulla sincronizzazione tra tenant, vedere la documentazione sulle organizzazioni multi-tenant.
Impostazioni cloud Microsoft per Collaborazione B2B
I servizi cloud di Microsoft Azure sono disponibili in cloud nazionali separati, che sono istanze fisicamente isolate di Azure. Sempre più spesso, le organizzazioni trovano la necessità di collaborare con organizzazioni e utenti attraverso i limiti globali del cloud e del cloud nazionale. Con le impostazioni del cloud Microsoft, è possibile stabilire una collaborazione B2B reciproca tra i cloud di Microsoft Azure seguenti:
- Cloud globale di Microsoft Azure e Microsoft Azure per enti pubblici
- Cloud globale di Microsoft Azure e Microsoft Azure gestito da 21Vianet
Per configurare la collaborazione B2B tra tenant in cloud diversi, entrambi i tenant devono configurare le impostazioni del cloud Microsoft per abilitare la collaborazione con l'altro cloud. Ogni tenant deve quindi configurare l'accesso tra tenant in ingresso e in uscita con il tenant nell'altro cloud. Per informazioni dettagliate, vedere Impostazioni cloud Microsoft.
Impostazioni di collaborazione esterna
Le impostazioni di collaborazione esterna determinano se gli utenti possono inviare inviti di collaborazione B2B a utenti esterni e il livello di accesso degli utenti guest nella directory. Con queste impostazioni, è possibile:
Determinare le autorizzazioni utente guest. Controllare quali utenti guest esterni possono visualizzare nella directory Microsoft Entra. Ad esempio, è possibile limitare la visualizzazione degli utenti guest delle appartenenze ai gruppi o consentire agli utenti guest di visualizzare solo le proprie informazioni sul profilo.
Specificare chi può invitare utenti guest. Per impostazione predefinita, tutti gli utenti dell'organizzazione, inclusi gli utenti guest di Collaborazione B2B, possono invitare utenti esterni a Collaborazione B2B. Se si vuole limitare la possibilità di inviare inviti, è possibile attivare o disattivare gli inviti per tutti o limitare gli inviti a determinati ruoli.
Consentire o bloccare i domini. Scegliere se consentire o negare gli inviti ai domini specificati. Per informazioni dettagliate, vedere Consentire o bloccare i domini.
Per altre informazioni, vedere come configurare le impostazioni di collaborazione esterna B2B.
Come interagiscono le impostazioni di collaborazione esterna e di accesso tra tenant
Le impostazioni di collaborazione esterna funzionano a livello di invito, mentre le impostazioni di accesso tra tenant funzionano a livello di autenticazione.
Le impostazioni di accesso tra tenant e le impostazioni di collaborazione esterna vengono usate per gestire due aspetti diversi della collaborazione B2B. Le impostazioni di accesso tra tenant controllano se gli utenti possono eseguire l'autenticazione con tenant Microsoft Entra esterni e si applicano sia alla collaborazione B2B in ingresso che in uscita. Al contrario, le impostazioni di collaborazione esterna controllano quali utenti possono inviare inviti di collaborazione B2B a utenti esterni da qualsiasi organizzazione.
Quando si prende in considerazione la collaborazione B2B con un'organizzazione Microsoft Entra esterna specifica, è necessario valutare se le impostazioni di accesso tra tenant consentono la collaborazione B2B con tale organizzazione e se le impostazioni di collaborazione esterna consentono agli utenti di inviare inviti al dominio dell'organizzazione. Di seguito sono riportati alcuni esempi.
Esempio 1: In precedenza è stata aggiunta
adatum.com(un'organizzazione Microsoft Entra) all'elenco dei domini bloccati nelle impostazioni di collaborazione esterna, ma le impostazioni di accesso tra tenant abilitano la collaborazione B2B per tutte le organizzazioni di Microsoft Entra. In questo caso, si applica l'impostazione più restrittiva. Le impostazioni di collaborazione esterna impediranno agli utenti di inviare inviti agli utenti all'indirizzoadatum.com.Esempio 2: è possibile consentire la collaborazione B2B con Fabrikam nelle impostazioni di accesso tra tenant, ma quindi aggiungere
fabrikam.comai domini bloccati nelle impostazioni di collaborazione esterna. Gli utenti non potranno invitare nuovi utenti guest Fabrikam, ma gli utenti guest Fabrikam esistenti potranno continuare a usare collaborazione B2B.
Per gli utenti finali di Collaborazione B2B che eseguono accessi tra tenant, viene visualizzata la personalizzazione del tenant principale, anche se non è specificata alcuna personalizzazione. Nell'esempio seguente la personalizzazione dell'azienda per Woodgrove Groceries viene visualizzata a sinistra. Nell'esempio a destra viene visualizzata la personalizzazione predefinita per il tenant principale dell'utente.
Gestione di Azure Active Directory B2C
Azure AD B2C è una directory separata basata su consumer gestita nel portale di Azure tramite il servizio Azure AD B2C. Ogni tenant di Azure AD B2C è separato e distinto da altri tenant di Microsoft Entra ID e Azure AD B2C. L'esperienza del portale di Azure AD B2C è simile all'ID Microsoft Entra, ma esistono differenze principali, ad esempio la possibilità di personalizzare i percorsi utente usando il framework dell'esperienza di gestione delle identità.
Per informazioni dettagliate sulla configurazione e la gestione di Azure AD B2C, vedere la documentazione di Azure AD B2C.
Tecnologie Microsoft Entra correlate
Esistono diverse tecnologie Microsoft Entra correlate alla collaborazione con utenti esterni e organizzazioni. Durante la progettazione del modello di collaborazione CON ID esterno, prendere in considerazione queste altre funzionalità.
Gestione entitlement di Microsoft Entra per l'iscrizione utente guest B2B
Come organizzazione che emette inviti, si potrebbe non sapere in anticipo quali singoli collaboratori esterni avranno bisogno di accedere alle risorse. È necessario un modo che consenta agli utenti delle aziende partner di effettuare l'iscrizione con criteri controllati. Se si vuole consentire agli utenti di altre organizzazioni di richiedere l'accesso e, dopo l'approvazione, viene effettuato il provisioning con account guest e assegnati a gruppi, app e siti di SharePoint Online, è possibile usare la gestione entitlement di Microsoft Entra per configurare i criteri che gestiscono l'accesso per gli utenti esterni.
API Microsoft Entra Microsoft Graph per collaborazione B2B
Le API Microsoft Graph sono disponibili per la creazione e la gestione delle funzionalità di ID esterno.
API delle impostazioni di accesso tra tenant: l'API di accesso tra tenant di Microsoft Graph consente di creare a livello di codice gli stessi criteri di collaborazione B2B e connessione diretta B2B configurabili nel portale di Azure. Usando l'API, è possibile configurare criteri per la collaborazione in ingresso e in uscita per consentire o bloccare le funzionalità per tutti per impostazione predefinita e limitare l'accesso a organizzazioni, gruppi, utenti e applicazioni specifici. L'API consente anche di accettare attestazioni MFA e dispositivo (attestazioni conformi e attestazioni aggiunte ibride di Microsoft Entra) da altre organizzazioni di Microsoft Entra.
Gestione inviti di Collaborazione B2B: l'API di Gestione inviti di Microsoft Graph è disponibile per la creazione di esperienze di onboarding personalizzate per gli utenti guest B2B. È possibile usare l'API di creazione dell'invito per inviare automaticamente un messaggio di posta elettronica di invito personalizzato direttamente all'utente B2B, ad esempio. In alternativa, l'app può usare il valore di inviteRedeemUrl restituito nella risposta di creazione per creare un invito personalizzato (tramite il meccanismo di comunicazione scelto) per l'utente invitato.
Accesso condizionale
Le organizzazioni possono applicare i criteri di accesso condizionale per la collaborazione B2B esterna e gli utenti con connessione diretta B2B nello stesso modo in cui sono abilitati per dipendenti e membri dell'organizzazione a tempo pieno. Per gli scenari multi-tenant di Microsoft Entra, se i criteri di accesso condizionale richiedono l'autenticazione a più fattori o la conformità dei dispositivi, è ora possibile considerare attendibili le attestazioni di autenticazione a più fattori e conformità dei dispositivi da parte di un'organizzazione principale di un utente esterno. Quando le impostazioni di attendibilità sono abilitate, durante l'autenticazione, Microsoft Entra ID verificherà le credenziali di un utente per un'attestazione MFA o un ID dispositivo per determinare se i criteri sono già stati soddisfatti. In tal caso, all'utente esterno verrà concesso l'accesso facile alla risorsa condivisa. In caso contrario, verrà avviata una richiesta di autenticazione a più fattori o dispositivo nel tenant principale dell'utente. Altre informazioni sul flusso di autenticazione e sull'accesso condizionale per gli utenti esterni.
Applicazioni multi-tenant
Se si offre un'applicazione SaaS (Software as a Service) a molte organizzazioni, è possibile configurare l'applicazione per accettare gli accessi da qualsiasi tenant di Microsoft Entra. Questa configurazione viene chiamata creazione del multi-tenant dell'applicazione. Gli utenti di qualsiasi tenant di Microsoft Entra potranno accedere all'applicazione dopo aver acconsentito all'uso del proprio account con l'applicazione. Vedere come abilitare gli accessi multi-tenant.
Organizzazioni multi-tenant
Un'organizzazione multi-tenant è un'organizzazione con più istanze di Microsoft Entra ID. Esistono diversi motivi per la multi-tenancy, ad esempio l'uso di più cloud o la presenza di più limiti geografici. Le organizzazioni multi-tenant usano un servizio di sincronizzazione unidirezionale in Microsoft Entra ID, denominato sincronizzazione tra tenant. La sincronizzazione tra tenant consente una collaborazione trasparente per un'organizzazione multi-tenant. Migliora l'esperienza utente e garantisce che gli utenti possano accedere alle risorse, senza ricevere un'e-mail di invito e dover accettare una richiesta di consenso in ogni tenant.