Azure Ative Directy B2B boas práticas

Este artigo contém recomendações e boas práticas para a colaboração entre empresas (B2B) no Azure Ative Directory (Azure AD).

Importante

A funcionalidade de código de acesso de e-mail é agora ligada por padrão para todos os novos inquilinos e para quaisquer inquilinos existentes onde você não o desligou explicitamente. Saiba mais sobre configurar código de e-mail e planos para outros métodos de autenticação de recuo, tais como contas não geridos ("virais") e contas microsoft.

Recomendações B2B

Recomendação Comentários
Consulte Azure AD orientação para garantir a sua colaboração com parceiros externos Aprenda a tomar uma abordagem holística de governação da colaboração da sua organização com parceiros externos, seguindo as recomendações para garantir a colaboração externa em Azure Ative Directory e Microsoft 365.
Planeie cuidadosamente o seu acesso ao inquilino e as configurações de colaboração externa Azure AD dá-lhe um conjunto flexível de controlos para gerir a colaboração com utilizadores e organizações externos. Você pode permitir ou bloquear toda a colaboração, ou configurar a colaboração apenas para organizações específicas, utilizadores e apps. Antes de configurar configurações para acesso de inquilinos cruzados e colaboração externa, faça um inventário cuidadoso das organizações com as quem trabalha e se associa. Em seguida, determine se deseja ativar a ligação direta B2B ou a colaboração B2B com outros inquilinos Azure AD, e como pretende gerir convites de colaboração B2B.
Para uma experiência de inscrição ideal, federa com fornecedores de identidade Sempre que possível, federa diretamente com fornecedores de identidade para permitir que os utilizadores convidados inscrevam-se nas suas apps e recursos partilhados sem terem de criar contas microsoft accounts (MSAs) ou Azure AD. Pode utilizar a funcionalidade da federação do Google para permitir que os utilizadores de hóspedes B2B entrem nas suas contas google. Ou, você pode usar a funcionalidade de fornecedor de identidade SAML/WS-Fed (pré-visualização) para configurar a federação com qualquer organização cujo fornecedor de identidade (IdP) suporta o protocolo SAML 2.0 ou WS-Fed.
Utilize a funcionalidade de código de Email única vez para hóspedes B2B que não podem autenticar por outros meios A funcionalidade de código de Email única vez autentica os utilizadores convidados B2B quando não podem ser autenticados através de outros meios, como Azure AD, uma conta Microsoft (MSA) ou federação do Google. Quando o utilizador convidado resgata um convite ou acede a um recurso partilhado, pode pedir um código temporário, que é enviado para o respetivo endereço de e-mail. Depois, introduz esse código para continuar a iniciar sessão.
Adicionar uma imagem corporativa à sua página de início de sessão Pode personalizar a sua página de sôr-in para que seja mais intuitiva para os seus utilizadores convidados B2B. Veja como adicionar marca da empresa para iniciar sing e Painel de Acesso páginas.
Adicione a sua declaração de privacidade à experiência de resgate de utilizadores de hóspedes B2B Pode adicionar o URL da declaração de privacidade da sua organização ao processo de resgate de convites pela primeira vez para que um utilizador convidado consinta nos seus termos de privacidade para continuar. Veja como fazer: Adicione as informações de privacidade da sua organização no Diretório Ativo Azure.
Utilize a funcionalidade de convite a granel (pré-visualização) para convidar vários utilizadores convidados B2B ao mesmo tempo Convide vários utilizadores convidados para a sua organização ao mesmo tempo, utilizando a funcionalidade de pré-visualização do convite a granel no portal do Azure. Esta funcionalidade permite-lhe fazer o upload de um ficheiro CSV para criar utilizadores convidados B2B e enviar convites a granel. Consulte tutorial para utilizadores B2B convidativos a granel.
Impor políticas de acesso condicional para autenticação multi-factor do Diretório Ativo Azure (MFA) Recomendamos a aplicação das políticas de MFA nas aplicações que pretende partilhar com os utilizadores B2B parceiros. Desta forma, o MFA será constantemente aplicado nas aplicações do seu inquilino, independentemente de a organização parceira estar a usar MFA. Ver Acesso Condicional para utilizadores de colaboração B2B.
Se estiver a impor políticas de acesso condicional baseadas em dispositivos, utilize listas de exclusão para permitir o acesso aos utilizadores B2B Se as políticas de Acesso Condicional baseadas no dispositivo estiverem ativadas na sua organização, os dispositivos de utilizador convidado B2B serão bloqueados porque não são geridos pela sua organização. Pode criar listas de exclusão que contenham utilizadores parceiros específicos para os excluir da política de Acesso Condicional baseada no dispositivo. Ver Acesso Condicional para utilizadores de colaboração B2B.
Utilize um URL específico do inquilino ao fornecer links diretos para os seus utilizadores de hóspedes B2B Como alternativa ao e-mail do convite, pode dar a um hóspede um link direto para a sua app ou portal. Este link direto deve ser específico do inquilino, o que significa que deve incluir um ID do inquilino ou domínio verificado para que o hóspede possa ser autenticado no seu inquilino, onde a app partilhada está localizada. Consulte a experiência Redemption para o utilizador convidado.
Ao desenvolver uma aplicação, use o UserType para determinar a experiência do utilizador convidado Se está a desenvolver uma aplicação e pretende proporcionar diferentes experiências para utilizadores de inquilinos e utilizadores de hóspedes, utilize a propriedade UserType. A alegação do UserType não está atualmente incluída no token. As aplicações devem utilizar o microsoft Graph API para consultar o diretório para o utilizador obter o seu UserType.
Altere a propriedade UserType apenas se a relação do utilizador com a organização mudar Embora seja possível utilizar o PowerShell para converter a propriedade UserType para um utilizador de Membro para Convidado (e vice-versa), só deverá alterar esta propriedade se a relação do utilizador com a sua organização mudar. Consulte as propriedades de um utilizador convidado B2B.
Descubra se o seu ambiente será afetado por Azure AD limites de diretório Azure AD B2B está sujeito a Azure AD limites de diretório de serviços. Para obter detalhes sobre o número de diretórios que um utilizador pode criar e o número de diretórios a que um utilizador ou utilizador convidado pode pertencer, consulte Azure AD limites e restrições de serviço.

Passos seguintes

Gerir a partilha de B2B