Microsoft Entra B2B best practices (Najlepsze rozwiązania dotyczące usługi Microsoft Entra B2B)
Ten artykuł zawiera zalecenia i najlepsze rozwiązania dotyczące współpracy między firmami (B2B) w Tożsamość zewnętrzna Microsoft Entra.
Ważne
Funkcja jednorazowego kodu dostępu wiadomości e-mail jest teraz domyślnie włączona dla wszystkich nowych dzierżaw i dla wszystkich istniejących dzierżaw, w których nie została jawnie wyłączona. Po wyłączeniu tej funkcji metoda uwierzytelniania rezerwowego to monit o zaproszenie do utworzenia konta Microsoft.
Zalecenia dotyczące B2B
| Zalecenie | Komentarze |
|---|---|
| Zapoznaj się ze wskazówkami firmy Microsoft Entra dotyczącymi zabezpieczania współpracy z partnerami zewnętrznymi | Dowiedz się, jak zastosować całościowe podejście ładu do współpracy organizacji z partnerami zewnętrznymi, postępując zgodnie z zaleceniami w temacie Zabezpieczanie współpracy zewnętrznej w usłudze Microsoft Entra ID i Microsoft 365. |
| Starannie zaplanuj dostęp między dzierżawami i ustawienia współpracy zewnętrznej | Tożsamość zewnętrzna Microsoft Entra zapewnia elastyczny zestaw mechanizmów kontroli do zarządzania współpracą z użytkownikami zewnętrznymi i organizacjami. Możesz zezwolić lub zablokować całą współpracę albo skonfigurować współpracę tylko dla określonych organizacji, użytkowników i aplikacji. Przed skonfigurowaniem ustawień na potrzeby dostępu między dzierżawami i współpracy zewnętrznej należy zachować staranne spisy organizacji, z których pracujesz i współpracujesz. Następnie określ, czy chcesz włączyć bezpośrednie połączenie B2B lub współpracę B2B z innymi dzierżawami firmy Microsoft Entra oraz jak chcesz zarządzać zaproszeniami do współpracy B2B. |
| Użyj ograniczeń dzierżawy, aby kontrolować sposób używania kont zewnętrznych w sieciach i zarządzanych urządzeniach. | Dzięki ograniczeniom dzierżawy możesz uniemożliwić użytkownikom korzystanie z kont utworzonych w nieznanych dzierżawach lub kontach, które otrzymali od organizacji zewnętrznych. Zalecamy, aby nie zezwalać na te konta i zamiast tego używać funkcji współpracy B2B. |
| Aby uzyskać optymalne środowisko logowania, sfederuj się z dostawcami tożsamości | Jeśli to możliwe, sfederuj bezpośrednio z dostawcami tożsamości, aby umożliwić zaproszonym użytkownikom logowanie się do udostępnionych aplikacji i zasobów bez konieczności tworzenia kont Microsoft (MSA) lub kont Microsoft Entra. Możesz użyć funkcji federacji Google, aby umożliwić użytkownikom-gościom B2B logowanie się przy użyciu kont Google. Możesz też użyć funkcji dostawcy tożsamości SAML/WS-Fed (wersja zapoznawcza), aby skonfigurować federację z dowolną organizacją, której dostawca tożsamości obsługuje protokół SAML 2.0 lub WS-Fed. |
| Użyj funkcji Jednorazowego kodu dostępu poczty e-mail dla gości B2B, którzy nie mogą uwierzytelniać się w inny sposób | Funkcja Jednorazowego kodu dostępu e-mail uwierzytelnia użytkowników-gości B2B, gdy nie można ich uwierzytelnić za pomocą innych środków, takich jak Microsoft Entra ID, konto Microsoft (MSA) lub federacja Google. Gdy użytkownik-gość zrealizuje zaproszenie lub uzyskuje dostęp do udostępnionego zasobu, może zażądać kodu tymczasowego, który zostaje wysyłany na jego adres e-mail. Wprowadza ten kod i kontynuuje logowanie. |
| Dodawanie znakowania firmowego do strony logowania | Możesz dostosować stronę logowania, aby była bardziej intuicyjna dla użytkowników-gości B2B. Zobacz, jak dodać znakowanie firmowe, aby zalogować się i Panel dostępu stron. |
| Dodawanie oświadczenia o ochronie prywatności do środowiska realizacji użytkownika-gościa B2B | Możesz dodać adres URL oświadczenia o ochronie prywatności organizacji do pierwszego procesu realizacji zaproszenia, aby zaproszony użytkownik musiał wyrazić zgodę na warunki zachowania poufności informacji, aby kontynuować. Zobacz Instrukcje: dodawanie informacji o ochronie prywatności w organizacji w identyfikatorze Entra firmy Microsoft. |
| Używanie funkcji zapraszania zbiorczego (wersja zapoznawcza) do zapraszania wielu użytkowników-gości B2B w tym samym czasie | Zaproś wielu użytkowników-gości do organizacji w tym samym czasie przy użyciu funkcji zbiorczego zapraszania w wersji zapoznawczej w witrynie Azure Portal. Ta funkcja umożliwia przekazanie pliku CSV w celu utworzenia użytkowników-gości B2B i zbiorczego wysyłania zaproszeń. Zobacz Samouczek dotyczący zbiorczego zapraszania użytkowników B2B. |
| Wymuszanie zasad dostępu warunkowego dla uwierzytelniania wieloskładnikowego firmy Microsoft | Zalecamy wymuszanie zasad uwierzytelniania wieloskładnikowego w aplikacjach, które mają być udostępniane użytkownikom B2B partnera. Dzięki temu uwierzytelnianie wieloskładnikowe będzie stale wymuszane w aplikacjach w dzierżawie niezależnie od tego, czy organizacja partnerska korzysta z uwierzytelniania wieloskładnikowego. Zobacz Dostęp warunkowy dla użytkowników współpracy B2B. |
| Jeśli wymuszasz zasady dostępu warunkowego opartego na urządzeniach, użyj list wykluczeń, aby zezwolić na dostęp do użytkowników B2B | Jeśli zasady dostępu warunkowego opartego na urządzeniach są włączone w organizacji, urządzenia użytkowników-gości B2B będą blokowane, ponieważ nie są zarządzane przez organizację. Możesz utworzyć listy wykluczeń zawierające określonych użytkowników partnerów, aby wykluczyć je z zasad dostępu warunkowego opartego na urządzeniach. Zobacz Dostęp warunkowy dla użytkowników współpracy B2B. |
| Użyj adresu URL specyficznego dla dzierżawy podczas udostępniania bezpośrednich linków do użytkowników-gości B2B | Alternatywą dla wiadomości e-mail z zaproszeniem jest udzielenie gościowi bezpośredniego linku do aplikacji lub portalu. Ten bezpośredni link musi być specyficzny dla dzierżawy, co oznacza, że musi zawierać identyfikator dzierżawy lub zweryfikowaną domenę, aby można było uwierzytelnić gościa w dzierżawie, gdzie znajduje się udostępniona aplikacja. Zobacz Środowisko realizacji dla użytkownika-gościa. |
| Podczas tworzenia aplikacji użyj parametru UserType, aby określić środowisko użytkownika-gościa | Jeśli tworzysz aplikację i chcesz zapewnić różne środowiska dla użytkowników dzierżawy i użytkowników-gości, użyj właściwości UserType. Oświadczenie UserType nie jest obecnie uwzględnione w tokenie. Aplikacje powinny używać interfejsu API programu Microsoft Graph do wysyłania zapytań do katalogu użytkownika w celu uzyskania jego parametru UserType. |
| Zmień właściwość UserType tylko wtedy, gdy relacja użytkownika z organizacją ulegnie zmianie | Chociaż można użyć programu PowerShell do przekonwertowania właściwości UserType użytkownika z elementu członkowskiego na gościa (i odwrotnie), należy zmienić tę właściwość tylko wtedy, gdy relacja użytkownika z organizacją ulegnie zmianie. Zobacz Właściwości użytkownika-gościa B2B. |
| Sprawdź, czy twoje środowisko będzie miało wpływ na limity katalogów firmy Microsoft Entra | Microsoft Entra B2B podlega limitom katalogu usługi Entra firmy Microsoft. Aby uzyskać szczegółowe informacje o liczbie katalogów, które użytkownik może utworzyć, oraz liczbę katalogów, do których może należeć użytkownik lub gość, zobacz Microsoft Entra service limits and restrictions (Limity i ograniczenia usługi Microsoft Entra). |
| Zarządzanie cyklem życia konta B2B za pomocą funkcji Sponsor | Sponsor jest użytkownikiem lub grupą odpowiedzialną za użytkowników-gości. Aby uzyskać więcej informacji na temat tej nowej funkcji, zobacz Pole Sponsor dla użytkowników B2B. |