Best practices voor Microsoft Entra B2B
Dit artikel bevat aanbevelingen en best practices voor B2B-samenwerking (business-to-business) in Microsoft Entra Externe ID.
Belangrijk
De functie voor eenmalige wachtwoordcode voor e-mail is nu standaard ingeschakeld voor alle nieuwe tenants en voor bestaande tenants waarvoor u deze niet expliciet hebt uitgeschakeld. Wanneer deze functie is uitgeschakeld, wordt de methode voor terugvalverificatie gevraagd om genodigden te vragen een Microsoft-account te maken.
B2B-aanbevelingen
| Aanbeveling | Opmerkingen |
|---|---|
| Raadpleeg microsoft Entra-richtlijnen voor het beveiligen van uw samenwerking met externe partners | Leer hoe u een holistische governancebenadering kunt gebruiken voor de samenwerking van uw organisatie met externe partners door de aanbevelingen te volgen in Het beveiligen van externe samenwerking in Microsoft Entra ID en Microsoft 365. |
| Uw instellingen voor meerdere tenants en externe samenwerking zorgvuldig plannen | Microsoft Entra Externe ID biedt u een flexibele set besturingselementen voor het beheren van samenwerking met externe gebruikers en organisaties. U kunt alle samenwerking toestaan of blokkeren of alleen samenwerking configureren voor specifieke organisaties, gebruikers en apps. Voordat u instellingen configureert voor toegang tussen tenants en externe samenwerking, moet u een zorgvuldige inventarisatie maken van de organisaties waarmee u werkt en samenwerkt. Bepaal vervolgens of u B2B direct verbinding of B2B-samenwerking wilt inschakelen met andere Microsoft Entra-tenants en hoe u B2B-samenwerkingsuitnodigingen wilt beheren. |
| Gebruik tenantbeperkingen om te bepalen hoe externe accounts worden gebruikt op uw netwerken en beheerde apparaten. | Met tenantbeperkingen kunt u voorkomen dat uw gebruikers accounts gebruiken die ze hebben gemaakt in onbekende tenants of accounts die ze van externe organisaties hebben ontvangen. U wordt aangeraden deze accounts niet toe te laten en in plaats daarvan B2B-samenwerking te gebruiken. |
| Voor een optimale aanmeldingservaring federatief met id-providers | Feder waar mogelijk rechtstreeks met id-providers, zodat uitgenodigde gebruikers zich kunnen aanmelden bij uw gedeelde apps en resources zonder dat u Microsoft-accounts (MSA's) of Microsoft Entra-accounts hoeft te maken. U kunt de google-federatiefunctie gebruiken om B2B-gastgebruikers toe te staan zich aan te melden met hun Google-account. U kunt ook de functie SAML/WS-Fed-id-provider (preview) gebruiken om federatie in te stellen bij elke organisatie waarvan de id-provider (IdP) ondersteuning biedt voor het SAML 2.0- of WS-Fed-protocol. |
| Gebruik de functie Eenmalige wachtwoordcode voor E-mail voor B2B-gasten die niet op een andere wijze kunnen verifiëren | De functie Eenmalige wachtwoordcode voor e-mail verifieert B2B-gastgebruikers wanneer ze niet kunnen worden geverifieerd via een andere methode, zoals Microsoft Entra-id, een Microsoft-account (MSA) of Google-federatie. Wanneer de gastgebruiker een uitnodiging inwisselt of toegang krijgt tot een gedeelde resource, kan deze gebruiker een tijdelijke code aanvragen die naar zijn/haar e-mailadres wordt verzonden. Vervolgens voert de gastgebruiker deze code in om door te gaan met aanmelden. |
| Huisstijl toevoegen aan uw aanmeldingspagina | U kunt uw aanmeldingspagina aanpassen, zodat deze intuïtiever is voor uw B2B-gastgebruikers. Lees hoe u huisstijl toevoegt aan aanmeldings- en Toegangsvenster-pagina's. |
| Uw privacyverklaring toevoegen aan de B2B-ervaring voor het inwisselen van gastgebruikers | U kunt de URL van de privacyverklaring van uw organisatie toevoegen aan het eerste inwisselingsproces voor uitnodigingen, zodat een uitgenodigde gebruiker toestemming moet geven voor uw privacyvoorwaarden om door te gaan. Zie Instructies: Voeg de privacygegevens van uw organisatie toe in Microsoft Entra ID. |
| Gebruik de functie bulksgewijs uitnodigen (preview) om meerdere B2B-gastgebruikers tegelijk uit te nodigen | Nodig meerdere gastgebruikers tegelijk uit voor uw organisatie met behulp van de preview-functie voor bulksgewijs uitnodigen in Azure Portal. Met deze functie kunt u een CSV-bestand uploaden om B2B-gastgebruikers te maken en uitnodigingen bulksgewijs te verzenden. Zie de zelfstudie voor het bulksgewijs uitnodigen van B2B-gebruikers. |
| Beleid voor voorwaardelijke toegang afdwingen voor meervoudige verificatie van Microsoft Entra | U wordt aangeraden MFA-beleid af te dwingen voor de apps die u wilt delen met B2B-gebruikers van partners. Op deze manier wordt MFA consistent afgedwongen voor de apps in uw tenant, ongeacht of de partnerorganisatie MFA gebruikt. Zie Voorwaardelijke toegang voor gebruikers van B2B-samenwerking. |
| Als u beleid voor voorwaardelijke toegang op basis van apparaten afdwingt, gebruikt u uitsluitingslijsten om toegang tot B2B-gebruikers toe te staan | Als beleid voor voorwaardelijke toegang op basis van apparaten is ingeschakeld in uw organisatie, worden B2B-apparaten voor gastgebruikers geblokkeerd omdat ze niet worden beheerd door uw organisatie. U kunt uitsluitingslijsten maken die specifieke partnergebruikers bevatten om ze uit te sluiten van het beleid voor voorwaardelijke toegang op basis van apparaten. Zie Voorwaardelijke toegang voor gebruikers van B2B-samenwerking. |
| Een tenantspecifieke URL gebruiken bij het verstrekken van directe koppelingen naar uw B2B-gastgebruikers | Als alternatief voor de uitnodigings-e-mail kunt u een gast een directe koppeling naar uw app of portal geven. Deze directe koppeling moet tenantspecifiek zijn, wat betekent dat deze een tenant-id of geverifieerd domein moet bevatten, zodat de gast kan worden geverifieerd in uw tenant, waar de gedeelde app zich bevindt. Zie de inwisselingservaring voor de gastgebruiker. |
| Bij het ontwikkelen van een app gebruikt u UserType om de gebruikerservaring van gasten te bepalen | Als u een toepassing ontwikkelt en u verschillende ervaringen wilt bieden voor tenantgebruikers en gastgebruikers, gebruikt u de eigenschap UserType. De UserType-claim is momenteel niet opgenomen in het token. Toepassingen moeten de Microsoft Graph API gebruiken om een query uit te voeren op de map voor de gebruiker om hun UserType op te halen. |
| Wijzig de eigenschap UserType alleen als de relatie van de gebruiker met de organisatie verandert | Hoewel het mogelijk is om PowerShell te gebruiken om de eigenschap UserType voor een gebruiker te converteren van Lid naar Gast (en omgekeerd), moet u deze eigenschap alleen wijzigen als de relatie van de gebruiker in uw organisatie verandert. Zie Eigenschappen van een B2B-gastgebruiker. |
| Ontdek of uw omgeving wordt beïnvloed door adreslijstlimieten van Microsoft Entra | Microsoft Entra B2B is onderhevig aan adreslijstlimieten van Microsoft Entra-services. Zie Microsoft Entra-servicelimieten en -beperkingen voor meer informatie over het aantal directory's dat een gebruiker of gastgebruiker kan maken en het aantal directory's waartoe een gebruiker of gastgebruiker kan behoren. |
| De levenscyclus van het B2B-account beheren met de sponsorfunctie | Een sponsor is een gebruiker of groep die verantwoordelijk is voor de gastgebruikers. Zie het veld Sponsor voor B2B-gebruikers voor meer informatie over deze nieuwe functie. |