Обзор. Совместная работа с гостями с помощью внешнего идентификатора в клиенте рабочей силы

Внешняя идентификация Microsoft Entra включает возможности совместной работы, позволяющие сотрудникам безопасно работать с деловыми партнерами и гостями. В клиенте рабочей силы вы можете использовать совместную работу B2B для совместного использования приложений и служб вашей компании гостями, сохраняя контроль над собственными корпоративными данными. Безопасная работа с внешними партнерами, даже если у них нет идентификатора Microsoft Entra или ИТ-отдела.

Простой процесс приглашения и активации позволяет партнерам использовать собственные учетные данные для доступа к ресурсам вашей компании. Вы также можете включить потоки пользователей самостоятельной регистрации, чтобы позволить гостям самостоятельно зарегистрироваться для приложений или ресурсов. После активации приглашения или завершения регистрации гость представляется в каталоге как объект пользователя. Тип пользователя для этих пользователей совместной работы B2B обычно имеет значение "гостевой", а имя участника-пользователя содержит идентификатор #EXT#.

Разработчики могут использовать API Microsoft Entra для бизнеса для настройки процесса приглашения или написания приложений, таких как порталы самостоятельной регистрации. Сведения о лицензировании и ценах, связанных с гостевыми пользователями, см. в Внешняя идентификация Microsoft Entra ценах.

Внимание

Функция отправки одноразового секретного кода по электронной почте теперь включена по умолчанию для всех новых арендаторов и для всех существующих арендаторов, для которых вы не отключили ее явным образом. Если эта функция отключена, в рамках резервного способа проверки подлинности будет отправляться приглашение на создание учетной записи Майкрософт.

Совместная работа с любым партнером с помощью его удостоверений

При использовании Microsoft Entra B2B партнер использует собственное решение для управления удостоверениями, поэтому внешние административные расходы для вашей организации отсутствуют. Гостевые пользователи могут выполнять вход в ваши приложения и службы с использованием собственных рабочих, учебных учетных данных либо учетных данных из социальных сетей.

• Партнер использует свои удостоверения и учетные данные, независимо от того, есть ли у них учетная запись Microsoft Entra.
• А вам не нужно управлять внешними учетными записями или паролями.
• Вам не нужно синхронизировать учетные записи или управлять их жизненным циклом.

Управление совместной работой B2B с другими организациями

Совместная работа B2B включена по умолчанию, но комплексные параметры администрирования позволяют контролировать входящие и исходящие возможности совместной работы B2B с внешними партнерами и организациями.

• Параметры доступа между клиентами. Для совместной работы B2B с другими организациями Microsoft Entra используйте параметры доступа между клиентами, чтобы управлять проверкой подлинности пользователей с помощью каких ресурсов. Управляйте входящими и исходящими сеансами совместной работы B2B, ограничивая область доступа для конкретных пользователей, групп и приложений. Задайте конфигурацию по умолчанию, которая применяется ко всем внешним организациям, и по мере необходимости создавайте индивидуальные параметры для конкретных организаций. Используя параметры доступа между клиентами, можно также доверять многофакторным (MFA) и утверждениям устройств (совместимым утверждениям и гибридным утверждениям Microsoft Entra) из других организаций Microsoft Entra.

• Параметры внешней совместной работы. Используйте параметры внешней совместной работы, чтобы определить, кто может приглашать гостей в вашу организацию в качестве гостей. Вы также можете разрешить или заблокировать определенные домены B2B и задать ограничения на доступ гостевых пользователей к каталогу.

Эти параметры используются для управления двумя разными аспектами совместной работы B2B. Параметры доступа между клиентами определяют, могут ли пользователи проходить проверку подлинности с помощью внешних клиентов Microsoft Entra. Они применяются как к входящие, так и исходящие службы совместной работы B2B. В отличие от этого, внешние параметры совместной работы определяют, какие пользователи в вашей организации могут отправлять приглашения на совместную работу B2B гостям из любой организации.

Как совместно работают параметры доступа между клиентами и внешними параметрами совместной работы

При рассмотрении совместной работы B2B с определенной внешней организацией Microsoft Entra определите, разрешают ли параметры доступа между клиентами разрешить совместную работу B2B с этой организацией. Кроме того, рассмотрите, позволяют ли пользователи отправлять приглашения в домен этой организации. Далее приводятся некоторые примеры.

• Пример 1. Вы ранее добавили adatum.com (организацию Microsoft Entra) в список заблокированных доменов во внешних параметрах совместной работы, но параметры доступа между клиентами обеспечивают совместную работу B2B для всех организаций Microsoft Entra. В этом случае применяется та настройка, которая ограничивает доступ наибольшим образом. Параметры внешней совместной работы не позволяют пользователям отправлять приглашения пользователям adatum.com.

• Пример 2. Вы разрешаете совместную работу B2B с Fabrikam в параметрах доступа между клиентами, но затем добавляете fabrikam.com в заблокированные домены в параметрах внешнего взаимодействия. Пользователи не могут приглашать новых бизнес-гостей Fabrikam, но существующие гости Fabrikam могут продолжать использовать совместную работу B2B.

Для конечных пользователей совместной работы B2B, выполняющих межтенантные входы, появляется символика своего домашнего клиента, даже если не указана настраиваемая фирменная символика. В следующем примере брендинг компании для продуктов Woodgrove отображается слева. В примере справа отображается фирменная символика по умолчанию для домашнего клиента пользователя.

Управление совместной работой B2B с другими облаками Майкрософт

Облачные службы Microsoft Azure доступны в отдельных национальных облаках, которые являются физически изолированными экземплярами Azure. Все чаще организации обнаруживают необходимость совместной работы с организациями и пользователями в границах глобального и национального облака. С помощью параметров облака Майкрософт можно установить взаимную совместную работу B2B между следующими облаками Microsoft Azure:

• Глобальное облако Microsoft Azure и Microsoft Azure для государственных организаций
• Глобальное облако Microsoft Azure и Microsoft Azure, управляемые 21Vianet

Чтобы настроить совместную работу B2B между клиентами в разных облаках, оба клиента настраивают свои параметры облака Майкрософт, чтобы обеспечить совместную работу с другим облаком. Затем каждый клиент настраивает входящий и исходящий межтенантный доступ к клиенту в другом облаке. Дополнительные сведения см. в параметрах облака Майкрософт.

Легко приглашать гостевых пользователей из Центра администрирования Microsoft Entra

Администратор может легко добавить гостевых пользователей в организацию в Центре администрирования.

• Создайте нового гостевого пользователя в идентификаторе Microsoft Entra, аналогично тому, как вы добавите нового пользователя.
• Назначьте гостевых пользователей приложениям или группам.
• Отправьте электронное письмо с приглашением, содержащее ссылку на активацию, или отправьте прямую ссылку на приложение, к которому вы хотите предоставить общий доступ.

• Гостевые пользователи выполняют несколько простых шагов активации для входа.

Разрешение самостоятельной регистрации

С помощью потока пользователей самостоятельной регистрации вы можете создать интерфейс регистрации для гостей, желающих получить доступ к вашим приложениям. В рамках процесса регистрации вы можете указывать параметры для разных поставщиков удостоверений социальных сетей или организаций и собирать сведения о пользователе. См. сведения о самостоятельной регистрации и способах ее настройки.

Вы также можете использовать соединители API, чтобы интегрировать потоки для самостоятельной регистрации пользователей с внешними облачными системами. Можете установить подключение с помощью пользовательских рабочих процессов утверждения, выполнить проверку личности, проверить предоставленные пользователем сведения и многое другое.

Использование политик для безопасного совместного использования приложений и служб

Для защиты корпоративного содержимого можно использовать политики проверки подлинности и авторизации. Политики условного доступа, такие как многофакторная проверка подлинности, могут быть применены:

• на уровне клиента;
• на уровне приложения;
• Для конкретных гостевых пользователей для защиты корпоративных приложений и данных

Разрешение владельцам приложений и групп управлять собственными гостевыми пользователями

Вы можете делегировать управление гостевыми пользователями владельцам приложений, чтобы они могли добавлять гостевых пользователей непосредственно в любое приложение, к которому они хотят предоставить общий доступ, будь то приложение корпорации Майкрософт или другого производителя.

• Администраторы могут настроить самостоятельное управление приложениями и группами.
• Тогда пользователи без прав администратора смогут использовать свои панели доступа, чтобы добавлять гостевых пользователей в приложения и группы.

Настройка процесса подключения для гостевых пользователей B2B

Вы можете регистрировать внешних партнеров так, как требуется вашей организации.

• Используйте управление правами Microsoft Entra для настройки политик, которые управляют доступом для внешних пользователей.
• Воспользуйтесь интерфейсами API приглашения службы совместной работы B2B, чтобы настроить процесс подключения.

Интеграция с поставщиками удостоверений

Внешняя идентификация Microsoft Entra поддерживает внешние поставщики удостоверений, такие как Facebook, учетные записи Майкрософт, Google или корпоративные поставщики удостоверений. Федерацию можно настроить с поставщиками удостоверений. Таким образом, гости могут войти с помощью существующих социальных или корпоративных учетных записей вместо создания новой учетной записи только для вашего приложения. Дополнительные сведения о поставщиках удостоверений для внешнего идентификатора.

Интеграция с SharePoint и OneDrive

Интеграция с SharePoint и OneDrive открывает пользователям за пределами организации доступ к файлам, папкам, элементам списка, библиотекам документов и сайтам, а Azure B2B используется для проверки подлинности и управления. Пользователи, которым вы предоставляете общий доступ к ресурсам, обычно являются гостевыми пользователями в каталоге, а разрешения и группы работают одинаково для этих гостей, как и для внутренних пользователей. При включении интеграции с SharePoint и OneDrive можно также включить функцию однократного секретного кода электронной почты в Microsoft Entra B2B для использования в качестве резервного метода проверки подлинности.

Следующие шаги

• Сообщение электронной почты с приглашением
• Добавление гостевых пользователей службы совместной работы B2B в Центр администрирования
• Прямое подключение B2B