Acesso condicional para usuários de colaboração B2BConditional Access for B2B collaboration users

Este artigo descreve como as organizações podem fazer o escopo de políticas de acesso condicional (AC) para usuários convidados B2B acessarem seus recursos.This article describes how organizations can scope Conditional Access (CA) policies for B2B guest users to access their resources.

Observação

Esse fluxo de autenticação ou autorização é um pouco diferente para usuários convidados do que para os usuários existentes do IdP (provedor de identidade).This authentication or authorization flow is a bit different for guest users than for the existing users of that Identity provider (IdP).

Fluxo de autenticação para usuários convidados B2B de um diretório externoAuthentication flow for B2B guest users from an external directory

O diagrama a seguir ilustra o Flow:  Image mostra o fluxo de autenticação para usuários convidados B2B de um diretório externoThe following diagram illustrates the flow: image shows Authentication flow for B2B guest users from an external directory

EtapaStep DescriçãoDescription
1.1. O usuário convidado B2B solicita acesso a um recurso.The B2B guest user requests access to a resource. O recurso redireciona o usuário para seu locatário de recursos, um IdP confiável.The resource redirects the user to its resource tenant, a trusted IdP.
2.2. O locatário do recurso identifica o usuário como externo e redireciona o usuário para o IdP do usuário convidado B2B.The resource tenant identifies the user as external and redirects the user to the B2B guest user’s IdP. O usuário executa a autenticação primária no IdP.The user performs primary authentication in the IdP.
3.3. O IdP do usuário convidado B2B emite um token para o usuário.The B2B guest user’s IdP issues a token to the user. O usuário é Redirecionado de volta para o locatário do recurso com o token.The user is redirected back to the resource tenant with the token. O locatário do recurso valida o token e, em seguida, avalia o usuário em relação às políticas da autoridade de certificação.The resource tenant validates the token and then evaluates the user against its CA policies. Por exemplo, o locatário de recursos pode exigir que o usuário execute a autenticação multifator do Azure Active Directory (AD).For example, the resource tenant could require the user to perform Azure Active Directory (AD) Multi-Factor Authentication.
4.4. Depois que todas as políticas de AC do locatário de recursos forem satisfeitas, o locatário de recursos emitirá seu próprio token e redirecionará o usuário para seu recurso.Once all resource tenant CA policies are satisfied, the resource tenant issues its own token and redirects the user to its resource.

Fluxo de autenticação para usuários convidados B2B com senha de uso únicoAuthentication flow for B2B guest users with one time passcode

O diagrama a seguir ilustra o Flow:  Image mostra o fluxo de autenticação para usuários convidados B2B com senha ocasionalThe following diagram illustrates the flow: image shows Authentication flow for B2B guest users with one time passcode

EtapaStep DescriçãoDescription
1.1. O usuário solicita acesso a um recurso em outro locatário.The user requests access to a resource in another tenant. O recurso redireciona o usuário para seu locatário de recursos, um IdP confiável.The resource redirects the user to its resource tenant, a trusted IdP.
2.2. O locatário do recurso identifica o usuário como um usuário externo de senha de uso único (OTP) de email e envia um email com a OTP para o usuário.The resource tenant identifies the user as an external email one-time passcode (OTP) user and sends an email with the OTP to the user.
3.3. O usuário recupera a OTP e envia o código.The user retrieves the OTP and submits the code. O locatário do recurso avalia o usuário em relação às políticas de autoridade de certificação.The resource tenant evaluates the user against its CA policies.
4.4. Depois que todas as políticas de autoridade de certificação forem satisfeitas, o locatário de recursos emitirá um token e redirecionará o usuário para seu recurso.Once all CA policies are satisfied, the resource tenant issues a token and redirects the user to its resource.

Observação

Se o usuário for de um locatário de recurso externo, não será possível que as políticas de AC do IdP do usuário convidado B2B também sejam avaliadas.If the user is from an external resource tenant, it is not possible for the B2B guest user’s IdP CA policies to also be evaluated. A partir de hoje, somente as políticas de autoridade de certificação do locatário de recursos se aplicam a seus convidados.As of today, only the resource tenant’s CA policies apply to its guests.

Autenticação multifator do Azure AD para usuários B2BAzure AD Multi-Factor Authentication for B2B users

As organizações podem impor várias políticas de autenticação multifator do Azure AD para seus usuários convidados B2B.Organizations can enforce multiple Azure AD Multi-Factor Authentication policies for their B2B guest users. Essas políticas podem ser impostas no nível de locatário, aplicativo ou usuário individual da mesma maneira que estão habilitadas para funcionários e membros de tempo integral da organização.These policies can be enforced at the tenant, app, or individual user level in the same way that they're enabled for full-time employees and members of the organization. O locatário de recursos é sempre responsável pela autenticação multifator do Azure AD para usuários, mesmo que a organização do usuário convidado tenha recursos de autenticação multifator.The resource tenant is always responsible for Azure AD Multi-Factor Authentication for users, even if the guest user’s organization has Multi-Factor Authentication capabilities. Aqui está um exemplo –Here's an example-

  1. Um administrador ou um operador de informações em uma empresa denominada Fabrikam convida o usuário de outra empresa chamada contoso para usar seu aplicativo Woodgrove.An admin or information worker in a company named Fabrikam invites user from another company named Contoso to use their application Woodgrove.

  2. O aplicativo do Woodgrove na Fabrikam está configurado para exigir a autenticação multifator do Azure AD no Access.The Woodgrove app in Fabrikam is configured to require Azure AD Multi-Factor Authentication on access.

  3. Quando o usuário convidado B2B da Contoso tenta acessar o Woodgrove no locatário da Fabrikam, ele é solicitado a concluir o desafio da autenticação multifator do Azure AD.When the B2B guest user from Contoso attempts to access Woodgrove in the Fabrikam tenant, they're asked to complete the Azure AD Multi-Factor Authentication challenge.

  4. O usuário convidado pode então configurar a autenticação multifator do Azure AD com a Fabrikam e selecionar as opções.The guest user can then set up their Azure AD Multi-Factor Authentication with Fabrikam and select the options.

  5. Esse cenário funciona para qualquer identidade – Azure AD ou MSA (conta pessoal da Microsoft).This scenario works for any identity – Azure AD or Personal Microsoft Account (MSA). Por exemplo, se o usuário no contoso se autenticar usando a ID social.For example, if user in Contoso authenticates using social ID.

  6. A Fabrikam deve ter licenças Premium do Azure AD suficientes que dão suporte à autenticação multifator do Azure AD.Fabrikam must have sufficient premium Azure AD licenses that support Azure AD Multi-Factor Authentication. O usuário da Contoso consome essa licença da Fabrikam.The user from Contoso then consumes this license from Fabrikam. Consulte modelo de cobrança para identidades externas do Azure ad para obter informações sobre o licenciamento B2B.See billing model for Azure AD external identities for information on the B2B licensing.

Observação

A autenticação multifator do Azure AD é feita no locatário de recursos para garantir a previsibilidade.Azure AD Multi-Factor Authentication is done at resource tenancy to ensure predictability.

Configurar a autenticação multifator do Azure AD para usuários B2BSet up Azure AD Multi-Factor Authentication for B2B users

Para configurar a autenticação multifator do Azure AD para usuários de colaboração B2B, Assista a este vídeo:To set up Azure AD Multi-Factor Authentication for B2B collaboration users, watch this video:

Usuários B2B da autenticação multifator do Azure AD para resgate de ofertaB2B users Azure AD Multi-Factor Authentication for offer redemption

Para saber mais sobre a experiência de resgate da autenticação multifator do Azure AD, Assista a este vídeo:To learn more about the Azure AD Multi-Factor Authentication redemption experience, watch this video:

Redefinição da autenticação multifator do Azure AD para usuários B2BAzure AD Multi-Factor Authentication reset for B2B users

Agora, os seguintes cmdlets do PowerShell estão disponíveis para verificar os usuários convidados B2B:Now, the following PowerShell cmdlets are available to proof up B2B guest users:

  1. Conecte-se ao AD do AzureConnect to Azure AD

    $cred = Get-Credential
    Connect-MsolService -Credential $cred
    
  2. Obter todos os usuários com métodos de verificaçãoGet all users with proof up methods

    Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}
    

    Veja um exemplo:Here is an example:

    Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}
    
  3. Redefina o método de autenticação multifator do Azure AD para um usuário específico exigir que o usuário de colaboração B2B defina os métodos de verificação novamente.Reset the Azure AD Multi-Factor Authentication method for a specific user to require the B2B collaboration user to set proof-up methods again. Veja um exemplo:Here is an example:

    Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName gsamoogle_gmail.com#EXT#@ WoodGroveAzureAD.onmicrosoft.com
    

Acesso condicional para usuários B2BConditional Access for B2B users

Há vários fatores que influenciam as políticas de CA para usuários convidados B2B.There are various factors that influence CA policies for B2B guest users.

Acesso Condicional baseado no dispositivoDevice-based Conditional Access

Na CA, há uma opção para exigir que o dispositivo do usuário esteja em conformidade ou ingressado no Azure ad híbrido.In CA, there's an option to require a user’s device to be Compliant or Hybrid Azure AD joined. Os usuários convidados B2B só poderão satisfazer a conformidade se o locatário de recursos puder gerenciar seus dispositivos.B2B guest users can only satisfy compliance if the resource tenant can manage their device. Os dispositivos não podem ser gerenciados por mais de uma organização por vez.Devices cannot be managed by more than one organization at a time. Os usuários convidados B2B não podem atender à junção híbrida do Azure AD porque não têm uma conta do AD local.B2B guest users can't satisfy the Hybrid Azure AD join because they don't have an on-premises AD account. Somente se o dispositivo do usuário convidado não for gerenciado, ele poderá registrar ou registrar seu dispositivo no locatário do recurso e, em seguida, tornar o dispositivo compatível.Only if the guest user’s device is unmanaged, they can register or enroll their device in the resource tenant and then make the device compliant. Em seguida, o usuário pode satisfazer o controle Grant.The user can then satisfy the grant control.

Observação

Não é recomendável exigir um dispositivo gerenciado para usuários externos.It is not recommended to require a managed device for external users.

Políticas de gerenciamento de aplicativos móveisMobile application management policies

Os controles de concessão de autoridade de certificação, como exigir aplicativos cliente aprovados e exigir políticas de proteção de aplicativo , precisam que o dispositivo seja registrado no locatário.The CA grant controls such as Require approved client apps and Require app protection policies need the device to be registered in the tenant. Esses controles só podem ser aplicados a dispositivos IOS e Android.These controls can only be applied to iOS and Android devices. No entanto, nenhum desses controles pode ser aplicado aos usuários convidados B2B se o dispositivo do usuário já estiver sendo gerenciado por outra organização.However, neither of these controls can be applied to B2B guest users if the user’s device is already being managed by another organization. Um dispositivo móvel não pode ser registrado em mais de um locatário por vez.A mobile device cannot be registered in more than one tenant at a time. Se o dispositivo móvel for gerenciado por outra organização, o usuário será bloqueado.If the mobile device is managed by another organization, the user will be blocked. Somente se o dispositivo do usuário convidado não for gerenciado, ele poderá registrar seu dispositivo no locatário do recurso.Only if the guest user’s device is unmanaged, they can register their device in the resource tenant. Em seguida, o usuário pode satisfazer o controle Grant.The user can then satisfy the grant control.

Observação

Não é recomendável exigir uma política de proteção de aplicativo para usuários externos.It is not recommended to require an app protection policy for external users.

Acesso condicional com base no localLocation-based Conditional Access

A política baseada em local com base em intervalos de IP pode ser imposta se a organização que está convidando puder criar um intervalo de endereços IP confiável que defina suas organizações parceiras.The location-based policy based on IP ranges can be enforced if the inviting organization can create a trusted IP address range that defines their partner organizations.

As políticas também podem ser impostas com base em locais geográficos.Policies can also be enforced based on geographical locations.

Acesso Condicional com base em riscoRisk-based Conditional Access

A política de risco de entrada é imposta se o usuário convidado B2B satisfizer o controle Grant.The Sign-in risk policy is enforced if the B2B guest user satisfies the grant control. Por exemplo, uma organização pode exigir a autenticação multifator do Azure AD para risco de entrada média ou alta.For example, an organization could require Azure AD Multi-Factor Authentication for medium or high sign-in risk. No entanto, se um usuário não tiver sido registrado anteriormente para a autenticação multifator do Azure AD no locatário do recurso, o usuário será bloqueado.However, if a user hasn't previously registered for Azure AD Multi-Factor Authentication in the resource tenant, the user will be blocked. Isso é feito para impedir que usuários mal-intencionados registrem suas próprias credenciais de autenticação multifator do Azure AD no caso de comprometer a senha de um usuário legítimo.This is done to prevent malicious users from registering their own Azure AD Multi-Factor Authentication credentials in the event they compromise a legitimate user’s password.

No entanto , a política de risco do usuário não pode ser resolvida no locatário do recurso.The User-risk policy however cannot be resolved in the resource tenant. Por exemplo, se você precisar de uma alteração de senha para usuários convidados de alto risco, eles serão bloqueados devido à incapacidade de redefinir senhas no diretório de recursos.For example, if you require a password change for high-risk guest users, they'll be blocked because of the inability to reset passwords in the resource directory.

Condição de aplicativos cliente de acesso condicionalConditional Access client apps condition

As condições de aplicativos cliente se comportam da mesma forma para os usuários convidados B2B como no caso de qualquer outro tipo de usuário.Client apps conditions behave the same for B2B guest users as they do for any other type of user. Por exemplo, você pode impedir que usuários convidados usem protocolos de autenticação herdados.For example, you could prevent guest users from using legacy authentication protocols.

Controles de sessão de acesso condicionalConditional Access session controls

Os controles de sessão se comportam da mesma forma para os usuários convidados B2B como eles fazem para qualquer outro tipo de usuário.Session controls behave the same for B2B guest users as they do for any other type of user.

Próximas etapasNext steps

Para obter mais informações, consulte os seguintes artigos sobre a colaboração B2B do Azure AD:For more information, see the following articles on Azure AD B2B collaboration: