Служба совместной работы Azure Active Directory B2B для гибридных организаций

Служба совместной работы Azure Active Directory (AAD) B2B позволяет легко предоставить внешним партнерам доступ к приложениям и ресурсам вашей организации. Она применима даже в гибридной конфигурации, когда одновременно используются локальные и облачные ресурсы. При этом не имеет значения, как вы управляете учетными записями внешних партнеров: в локальной системе управления удостоверениями или в качестве пользователей AAD B2B в облаке. Теперь вы можете предоставить этим пользователям доступ к ресурсам в любом расположении, а им потребуется только один набор учетных данных для входа в обе среды.

Предоставление пользователям AAD B2B доступа к локальным приложениям

Если ваша организация использует возможности совместной работы AAD B2B для приглашения гостевых пользователей из партнерских организаций в Azure AD, вы теперь сможете предоставить таким пользователям B2B доступ к приложениям в локальной среде.

Для приложений, использующих аутентификацию на основе SAML, вы можете предоставлять пользователям B2B доступ к приложениям через портал Azure, настроив AD Application Proxy для проверки подлинности.

В приложениях, которые используют Встроенную проверку подлинности Windows (IWA) с ограниченным делегированием Kerberos (KCD), для аутентификации следует применять AD Application Proxy. Но авторизация в этой схеме требует наличия объекта пользователя в локальном каталоге Active Directory на Windows Server. Создать локальные объекты пользователей, которые представляют гостевых пользователей B2B, можно двумя способами.

  • Вы можете использовать Microsoft Identity Manager (MIM) 2016 SP1 и агент управления MIM для Microsoft Graph.
  • Вы можете использовать скрипт PowerShell. (Для этого решения не требуется MIM.)

Дополнительные сведения о реализации этих решений см. в статье Предоставление пользователям B2B в Azure AD доступа к локальным приложениям.

Предоставление локально управляемым партнерским учетным записям доступа к облачным ресурсам

До появления AAD организации, которые использовали локальные системы управления удостоверениями, традиционно включали в локальный каталог управляемые учетные записи для всех партнеров. Если вы работаете в такой организации, вы наверняка хотите сохранить доступ партнеров к приложениям и другим ресурсам, которые вы перемещаете в облако. И лучше всего, чтобы эти пользователи использовали один набор учетных данных для доступа к локальным и облачным ресурсам.

Теперь мы предоставили возможность синхронизировать локальные учетные записи с помощью AAD Connect с облаком, где они будут считаться "гостевыми пользователями" и использоваться точно так же, как обычные пользователи AAD B2B.

Чтобы защитить данные компании, вы можете строго регулировать доступ к нужным ресурсам и настроить политики авторизации, которые различают гостевых пользователей и сотрудников организации.

Подробнее см. статью Предоставление локально управляемым партнерским учетным записям доступа к облачным ресурсам через службу совместной работы AAD B2B.

Дальнейшие действия