Visão geral da conexão direta B2B

  • Artigo

A conexão direta B2B é um recurso do Microsoft Entra External ID que permite configurar uma relação de confiança mútua com outra organização do Microsoft Entra para uma colaboração perfeita. Atualmente, esse recurso funciona com canais compartilhados do Microsoft Teams. Com a conexão direta B2B, os usuários de ambas as organizações podem trabalhar juntos usando suas credenciais domésticas e um canal compartilhado no Teams, sem precisar ser adicionados às organizações uns dos outros como convidados. Use a conexão direta B2B para compartilhar recursos com organizações externas do Microsoft Entra. Ou use-o para compartilhar recursos entre vários locatários do Microsoft Entra em sua própria organização.

Diagrama ilustrando conexão direta B2B.

A conexão direta B2B requer uma relação de confiança mútua entre duas organizações do Microsoft Entra para permitir o acesso aos recursos uma da outra. Tanto a organização de recursos quanto a organização externa precisam habilitar mutuamente a conexão direta B2B em suas configurações de acesso entre locatários. Quando a confiança é estabelecida, o usuário B2B direct connect tem acesso de logon único a recursos fora de sua organização usando credenciais de sua organização doméstica do Microsoft Entra.

Atualmente, os recursos de conexão direta B2B funcionam com canais compartilhados do Teams. Quando a conexão direta B2B é estabelecida entre duas organizações, os usuários em uma organização podem criar um canal compartilhado no Teams e convidar um usuário externo de conexão direta B2B para ele. Em seguida, a partir do Teams, o usuário de conexão direta B2B pode acessar perfeitamente o canal compartilhado em sua instância do Teams de locatário doméstico, sem precisar entrar manualmente na organização que hospeda o canal compartilhado.

Para obter informações sobre licenciamento e preços relacionados a usuários de conexão direta B2B, consulte Preços de ID Externa do Microsoft Entra.

Gerenciando o acesso entre locatários para conexão direta B2B

As organizações do Microsoft Entra podem gerenciar suas relações de confiança com outras organizações do Microsoft Entra definindo configurações de acesso entre locatários de entrada e saída. As configurações de acesso entre locatários oferecem controle granular sobre como outras organizações colaboram com você (acesso de entrada) e como seus usuários colaboram com outras organizações (acesso de saída).

  • As configurações de acesso de entrada controlam se os usuários de organizações externas podem acessar recursos em sua organização. Você pode aplicar essas configurações a todos ou especificar usuários, grupos e aplicativos individuais.

  • As configurações de acesso de saída controlam se os usuários podem acessar recursos em uma organização externa. Você pode aplicar essas configurações a todos ou especificar usuários, grupos e aplicativos individuais.

  • As restrições de locatário determinam como os usuários podem acessar uma organização externa quando estão usando seus dispositivos e rede, mas eles entram usando uma conta que foi emitida para eles pela organização externa.

  • As configurações de confiança determinam se suas políticas de Acesso Condicional confiarão na autenticação multifator (MFA), no dispositivo compatível e nas declarações de dispositivo associado híbrido do Microsoft Entra de uma organização externa quando os usuários acessarem seus recursos.

Importante

A conexão direta B2B só é possível quando ambas as organizações permitem o acesso de e para a outra organização. Por exemplo, a Contoso pode permitir a conexão direta B2B de entrada da Fabrikam, mas o compartilhamento não é possível até que a Fabrikam também habilite a conexão direta B2B de saída com a Contoso. Portanto, você precisará coordenar com o administrador da organização externa para garantir que suas configurações de acesso entre locatários permitam o compartilhamento com você. Esse acordo mútuo é importante porque a conexão direta B2B permite o compartilhamento limitado de dados para os usuários habilitados para a conexão direta B2B.

Configurações padrão

As configurações padrão de acesso entre locatários aplicam-se a todas as organizações externas do Microsoft Entra, exceto às organizações para as quais você definiu configurações individuais. Inicialmente, o Microsoft Entra ID bloqueia todos os recursos de conexão direta B2B de entrada e saída por padrão para todos os locatários externos do Microsoft Entra. Você pode alterar essas configurações padrão, mas normalmente pode deixá-las como estão e habilitar o acesso de conexão direta B2B com organizações individuais.

Configurações específicas da organização

Você pode definir configurações específicas da organização adicionando a organização e modificando as configurações de acesso entre locatários. Essas configurações têm precedência sobre as configurações padrão para esta organização.

Exemplo 1: Permitir conexão direta B2B com a Fabrikam e bloquear todos os outros

Neste exemplo, a Contoso deseja bloquear a conexão direta B2B com todas as organizações externas por padrão, mas permitir a conexão direta B2B para todos os usuários, grupos e aplicativos na Fabrikam.

Exemplo de bloqueio de conexão direta B2B por padrão, mas permitindo uma organização.

A Contoso define as seguintes configurações padrão para acesso entre locatários:

  • Bloqueie o acesso de entrada à conexão direta B2B para todos os usuários e grupos externos.
  • Bloqueie o acesso de saída à conexão direta B2B para todos os usuários e grupos da Contoso.

Em seguida, a Contoso adiciona a organização da Fabrikam e define as seguintes configurações organizacionais para a Fabrikam:

  • Permitir acesso de entrada à conexão direta B2B para todos os usuários e grupos da Fabrikam.
  • Permitir acesso de entrada a todos os aplicativos internos da Contoso por usuários de conexão direta B2B da Fabrikam.
  • Permita que todos os usuários da Contoso ou usuários e grupos selecionados tenham acesso de saída à Fabrikam usando a conexão direta B2B.
  • Permita que os usuários de conexão direta B2B da Contoso tenham acesso de saída a todos os aplicativos da Fabrikam.

Para que esse cenário funcione, a Fabrikam também precisa permitir a conexão direta B2B com a Contoso definindo essas mesmas configurações de acesso entre locatários para a Contoso e para seus próprios usuários e aplicativos. Quando a configuração estiver concluída, os usuários da Contoso que gerenciam canais compartilhados do Teams poderão adicionar usuários da Fabrikam pesquisando seus endereços de email completos da Fabrikam.

Exemplo 2: Ativar a conexão direta B2B apenas com o grupo de Marketing da Fabrikam

A partir do exemplo acima, a Contoso também pode optar por permitir que apenas o grupo de Marketing da Fabrikam colabore com os usuários da Contoso por meio da conexão direta B2B. Nesse caso, a Contoso precisa obter a ID do objeto do grupo Marketing da Fabrikam. Em seguida, em vez de permitir o acesso de entrada a todos os usuários da Fabrikam, eles definirão suas configurações de acesso específicas da Fabrikam da seguinte maneira:

  • Permitir acesso de entrada à conexão direta B2B apenas para o grupo de Marketing da Fabrikam. A Contoso especifica a ID do objeto do grupo Marketing da Fabrikam na lista de usuários e grupos permitidos.
  • Permitir acesso de entrada a todos os aplicativos internos da Contoso por usuários de conexão direta B2B da Fabrikam.
  • Permita que todos os usuários e grupos da Contoso tenham acesso de saída à Fabrikam usando a conexão direta B2B.
  • Permita que os usuários de conexão direta B2B da Contoso tenham acesso de saída a todos os aplicativos da Fabrikam.

A Fabrikam também precisará definir suas configurações de acesso entre locatários de saída para que seu grupo de Marketing tenha permissão para colaborar com a Contoso por meio da conexão direta B2B. Quando a configuração estiver concluída, os usuários da Contoso que gerenciam canais compartilhados do Teams poderão adicionar apenas usuários do grupo de Marketing da Fabrikam pesquisando seus endereços de email completos da Fabrikam.

Autenticação

Em um cenário de conexão direta B2B, a autenticação envolve um usuário de uma organização do Microsoft Entra (o locatário doméstico do usuário) tentando entrar em um arquivo ou aplicativo em outra organização do Microsoft Entra (o locatário de recurso). O usuário entra com as credenciais do Microsoft Entra de seu locatário doméstico. A tentativa de entrada é avaliada em relação às configurações de acesso entre locatários no locatário doméstico do usuário e no locatário do recurso. Se todos os requisitos de acesso forem atendidos, um token será emitido para o usuário que permite que o usuário acesse o recurso. Este token é válido por 1 hora.

Para obter detalhes sobre como a autenticação funciona em um cenário entre locatários com políticas de Acesso Condicional, consulte Autenticação e acesso condicional em cenários entre locatários.

Autenticação multifator (MFA)

Se você quiser permitir a conexão direta B2B com uma organização externa e suas políticas de Acesso Condicional exigirem MFA, você deverá configurar suas configurações de confiança de entrada para que suas políticas de Acesso Condicional aceitem declarações de MFA da organização externa. Essa configuração garante que os usuários de conexão direta B2B da organização externa estejam em conformidade com suas políticas de Acesso Condicional e fornece uma experiência de usuário mais perfeita.

Por exemplo, digamos que a Contoso (o locatário do recurso) confie nas declarações de MFA da Fabrikam. A Contoso tem uma política de Acesso Condicional que requer MFA. Esta política tem como escopo todos os convidados, usuários externos e o SharePoint Online. Como pré-requisito para conexão direta B2B, a Contoso deve definir configurações de confiança em suas configurações de acesso entre locatários para aceitar declarações de MFA da Fabrikam. Quando um usuário da Fabrikam acessa um aplicativo habilitado para conexão direta B2B (por exemplo, um canal compartilhado do Teams Connect), o usuário está sujeito ao requisito de MFA imposto pela Contoso:

  • Se o usuário da Fabrikam já tiver realizado MFA em seu locatário doméstico, ele poderá acessar o recurso dentro do canal compartilhado.
  • Se o usuário da Fabrikam não tiver concluído o MFA, ele será impedido de acessar o recurso.

Para obter informações sobre Acesso Condicional e Equipes, consulte Visão geral de segurança e conformidade na documentação do Microsoft Teams.

Configurações de confiança para conformidade do dispositivo

Em suas configurações de acesso entre locatários, você pode usar as configurações de Confiança para confiar nas declarações do locatário doméstico de um usuário externo sobre se o dispositivo do usuário atende às políticas de conformidade do dispositivo ou se o Microsoft Entra ingressou de forma híbrida. Quando as configurações de confiança do dispositivo estão habilitadas, o Microsoft Entra ID verifica a sessão de autenticação de um usuário em busca de uma declaração de dispositivo. Se a sessão contiver uma declaração de dispositivo indicando que as políticas já foram atendidas no locatário doméstico do usuário, o usuário externo receberá logon contínuo para seu recurso compartilhado. Você pode habilitar as configurações de confiança do dispositivo para todas as organizações do Microsoft Entra ou organizações individuais. (Saiba mais)

Experiência do usuário B2B direct connect

Atualmente, a conexão direta B2B habilita o recurso de canais compartilhados do Teams Connect. Os utilizadores B2B direct connect podem aceder ao canal partilhado do Teams de uma organização externa sem terem de mudar de inquilinos ou iniciar sessão com uma conta diferente. O acesso do usuário de conexão direta B2B é determinado pelas políticas do canal compartilhado.

Na organização de recursos, o proprietário do canal compartilhado do Teams pode pesquisar usuários de uma organização externa no Teams e adicioná-los ao canal compartilhado. Depois de adicionados, os usuários de conexão direta B2B podem acessar o canal compartilhado de dentro de sua instância inicial do Teams, onde colaboram usando recursos como bate-papo, chamadas, compartilhamento de arquivos e compartilhamento de aplicativos. Para obter detalhes, consulte Visão geral de equipes e canais no Microsoft Teams. Para obter detalhes sobre os recursos, arquivos e aplicativos disponíveis para o usuário de conexão direta B2B por meio do canal compartilhado do Teams, consulte Chat, equipes, canais, aplicativos & no Microsoft Teams.

Conexão direta B2B vs. colaboração B2B

A colaboração B2B e a conexão direta B2B são duas abordagens diferentes para compartilhar com usuários fora da sua organização. Você pode encontrar uma comparação de recurso para recurso na visão geral de ID Externa, onde discutimos algumas diferenças importantes em como os usuários são gerenciados e como eles acessam recursos.

Acesso e gestão de utilizadores

Os usuários de conexão direta B2B colaboram por meio de uma conexão mútua entre duas organizações, enquanto os usuários de colaboração B2B são convidados para uma organização e gerenciados por meio de um objeto de usuário.

  • A conexão direta B2B oferece uma maneira de colaborar com usuários de outra organização do Microsoft Entra por meio de uma conexão bidirecional mútua configurada por administradores de ambas as organizações. Os usuários têm acesso de logon único a aplicativos da Microsoft habilitados para conexão direta B2B. Atualmente, a conexão direta B2B suporta canais compartilhados do Teams Connect.

  • A colaboração B2B permite-lhe convidar parceiros externos para acederem às suas aplicações Microsoft, SaaS ou personalizadas. A colaboração B2B é especialmente útil quando o parceiro externo não usa o Microsoft Entra ID ou não é prático ou possível configurar a conexão direta B2B. A colaboração B2B permite que usuários externos entrem usando sua identidade preferida, incluindo sua conta Microsoft Entra, conta Microsoft de consumidor ou uma identidade social habilitada, como o Google. Com a colaboração B2B, você pode permitir que usuários externos entrem em seus aplicativos da Microsoft, aplicativos SaaS, aplicativos desenvolvidos sob medida e assim por diante.

Usando o Teams com conexão direta B2B vs. colaboração B2B

Dentro do contexto do Teams, há diferenças na forma como os recursos podem ser compartilhados, dependendo se você está colaborando com alguém usando conexão direta B2B ou colaboração B2B.

  • Com a conexão direta B2B, você adiciona o usuário externo a um canal compartilhado dentro de uma equipe. Esse usuário pode acessar os recursos dentro do canal compartilhado, mas não tem acesso a toda a equipe ou a quaisquer outros recursos fora do canal compartilhado. Por exemplo, eles não têm acesso ao portal do Azure. No entanto, eles têm acesso ao portal Meus aplicativos. Os usuários de conexão direta B2B não estão presentes em sua organização do Microsoft Entra, portanto, esses usuários são gerenciados no cliente do Teams pelo proprietário do canal compartilhado. Para obter detalhes, consulte Atribuir proprietários e membros da equipe no Microsoft Teams.

  • Com a colaboração B2B, você pode convidar o usuário convidado para uma equipe. O usuário convidado de colaboração B2B entra no locatário do recurso usando o endereço de e-mail que foi usado para convidá-lo. Seu acesso é determinado pelas permissões atribuídas aos usuários convidados no locatário do recurso. Os usuários convidados não podem ver ou participar de nenhum canal compartilhado na equipe.

Para obter mais informações sobre as diferenças entre a colaboração B2B e a conexão direta B2B no Teams, consulte Acesso convidado no Microsoft Teams.

Monitorização e auditoria

Os relatórios para monitoramento e auditoria da atividade de conexão direta B2B estão disponíveis no portal do Azure e no centro de administração do Microsoft Teams.

Logs de monitoramento e auditoria do Microsoft Entra

O Microsoft Entra ID inclui informações sobre acesso entre locatários e conexão direta B2B nos logs de auditoria e de entrada da organização. Esses logs podem ser exibidos no portal do Azure em Monitoramento.

  • Logs de auditoria do Microsoft Entra: os logs de auditoria do Microsoft Entra mostram quando as políticas de entrada e saída são criadas, atualizadas ou excluídas.

    Captura de ecrã a mostrar um registo de auditoria.

  • Logs de entrada do Microsoft Entra Os logs de entrada do Microsoft Entra estão disponíveis na organização doméstica e na organização de recursos. Quando a conexão direta B2B estiver habilitada, os logs de entrada começarão a incluir IDs de objeto de usuário para usuários de conexão direta B2B de outros locatários. As informações relatadas em cada organização variam, por exemplo:

    • Em ambas as organizações, os logins de conexão direta B2B são rotulados com um tipo de acesso entre locatários de conexão direta B2B. Um evento de entrada é registrado quando um usuário de conexão direta B2B acessa pela primeira vez uma organização de recursos e novamente quando um token de atualização é emitido para o usuário. Os utilizadores podem aceder aos seus próprios registos de início de sessão. Os administradores podem visualizar os logins de toda a organização para ver como os usuários de conexão direta B2B estão acessando recursos em seu locatário.

    • Na organização doméstica, os logs incluem informações do aplicativo cliente.

    • Na organização de recursos, os logs incluem conditionalAccessPolicies na guia Acesso Condicional.

    Captura de ecrã a mostrar um registo de início de sessão.

  • Revisões de acesso do Microsoft Entra: com as revisões de acesso do Microsoft Entra, um administrador de locatário pode garantir que os usuários convidados externos não tenham acesso aos seus aplicativos e recursos por mais tempo do que o necessário, configurando uma revisão de acesso única ou recorrente dos usuários externos. Saiba mais sobre as avaliações de acesso.

Logs de monitoramento e auditoria do Microsoft Teams

O centro de administração do Microsoft Teams exibe relatórios para canais compartilhados, incluindo membros externos de conexão direta B2B para cada equipe.

  • Logs de auditoria do Teams: o Teams oferece suporte aos seguintes eventos de auditoria no locatário que hospeda o canal compartilhado: Ciclo de vida do canal compartilhado (canal Criar/Excluir), Ciclo de vida do Membro In-tenant/Cross-tenant (Adicionar/remover/Promover/Rebaixar membro). Esses logs de auditoria estão disponíveis no locatário de recursos para que os administradores possam determinar quem tem acesso ao canal compartilhado do Teams. Não há logs de auditoria no locatário doméstico do usuário externo relacionados à sua atividade em um canal compartilhado externo.

  • Revisões de acesso do Teams: as avaliações de acesso de Grupos que são do Teams agora podem detetar usuários de conexão direta B2B que estão usando canais compartilhados do Teams. Ao criar uma revisão de acesso, você pode definir o escopo da revisão para todos os usuários internos, usuários convidados e usuários externos de conexão direta B2B que foram adicionados diretamente a um canal compartilhado. O revisor é então apresentado aos usuários que têm acesso direto ao canal compartilhado.

  • Limitações atuais: uma revisão de acesso pode detetar usuários internos e usuários externos de conexão direta B2B, mas não outras equipes que foram adicionadas a um canal compartilhado. Para ver e remover equipas que foram adicionadas a um canal partilhado, o proprietário do canal partilhado pode gerir a associação a partir do Teams.

Para obter mais informações sobre logs de auditoria do Microsoft Teams, consulte a documentação de auditoria do Microsoft Teams.

Privacidade e tratamento de dados

A conexão direta B2B permite que seus usuários e grupos acessem aplicativos e recursos hospedados por uma organização externa. Para estabelecer uma conexão, um administrador da organização externa também deve habilitar a conexão direta B2B.

Ao habilitar a conexão B2B com uma organização externa, você está permitindo que as organizações externas com as quais você habilitou as configurações de saída acessem dados de contato limitados sobre seus usuários. A Microsoft compartilha esses dados com essas organizações para ajudá-las a enviar uma solicitação para se conectar com seus usuários. Os dados recolhidos por organizações externas, incluindo dados de contacto limitados, estão sujeitos às políticas e práticas de privacidade dessas organizações.

Acesso de saída

Quando a conexão direta B2B é habilitada com uma organização externa, os usuários na organização externa poderão pesquisar seus usuários pelo endereço de e-mail completo. Os resultados de pesquisa correspondentes retornarão dados limitados sobre seus usuários, incluindo nome próprio e sobrenome. Seus usuários precisarão consentir com as políticas de privacidade da organização externa antes que mais dados sejam compartilhados. Recomendamos que reveja as informações de privacidade que serão fornecidas pela organização e apresentadas aos seus utilizadores.

Acesso de entrada

Recomendamos vivamente que adicione o seu contacto de privacidade global e a declaração de privacidade da sua organização para que os seus funcionários internos e convidados externos possam rever as suas políticas. Siga as etapas para adicionar as informações de privacidade da sua organização.

Restringir o acesso a utilizadores e grupos

Talvez você queira considerar o uso de configurações de acesso entre locatários para restringir a conexão direta B2B a usuários e grupos específicos dentro de sua organização e da organização externa.

Próximos passos