bästa praxis för Azure Active Directory B2B

Den här artikeln innehåller rekommendationer och metodtips för B2B-samarbete (business-to-business) i Azure Active Directory (Azure AD).

Viktigt

Vi har börjat distribuera en ändring för att aktivera funktionen för engångslösenord för e-post för alla befintliga klienter och aktivera den som standard för nya klienter. Vi aktiverar funktionen engångslösenord för e-post eftersom den ger en sömlös återställningsautentiseringsmetod för dina gästanvändare. Men om du inte vill tillåta att den här funktionen aktiveras automatiskt kan du inaktivera den. Snart slutar vi att skapa nya, ohanterade ("virala") Azure AD-konton och klientorganisationer under inlösen av B2B-samarbetsinbjudan.

B2B-rekommendationer

Rekommendation Kommentarer
Läs Azure AD-vägledningen för att skydda ditt samarbete med externa partner Lär dig hur du använder en holistisk styrningsmetod för organisationens samarbete med externa partner genom att följa rekommendationerna i Skydda externt samarbete i Azure Active Directory och Microsoft 365.
Planera noggrant dina inställningar för åtkomst mellan klientorganisationer och externt samarbete Azure AD ger dig en flexibel uppsättning kontroller för att hantera samarbete med externa användare och organisationer. Du kan tillåta eller blockera allt samarbete eller konfigurera samarbete endast för specifika organisationer, användare och appar. Innan du konfigurerar inställningar för åtkomst mellan klientorganisationer och externt samarbete bör du göra en noggrann inventering av de organisationer som du arbetar och samarbetar med. Kontrollera sedan om du vill aktivera B2B-direktanslutning eller B2B-samarbete med andra Azure AD-klienter och hur du vill hantera B2B-samarbetsinbjudningar.
För optimal inloggning kan du federera med identitetsprovidrar När det är möjligt kan du federera direkt med identitetsprovidrar så att inbjudna användare kan logga in på dina delade appar och resurser utan att behöva skapa Microsoft-konton (MSA) eller Azure AD-konton. Du kan använda Googles federationsfunktion för att tillåta B2B-gästanvändare att logga in med sina Google-konton. Du kan också använda funktionen SAML/WS-Fed-identitetsprovider (förhandsversion) för att konfigurera federation med alla organisationer vars identitetsprovider (IdP) stöder SAML 2.0- eller WS-Fed-protokollet.
Använd funktionen E-post engångslösenord för B2B-gäster som inte kan autentisera på annat sätt Funktionen E-post engångslösenord autentiserar B2B-gästanvändare när de inte kan autentiseras på andra sätt som Azure AD, ett Microsoft-konto (MSA) eller Google-federation. När gästanvändaren löser in en inbjudan eller får åtkomst till en delad resurs kan denne begära en tillfällig kod som skickas till användarens e-postadress. Sedan anger användaren den här koden för att fortsätta logga in.
Lägg till företagsanpassning på inloggningssidan Du kan anpassa inloggningssidan så att den blir mer intuitiv för dina B2B-gästanvändare. Se hur du lägger till företagsanpassning för att logga in och Åtkomstpanelen sidor.
Lägg till din sekretesspolicy i B2B-gästanvändarinlösenupplevelsen Du kan lägga till URL:en för din organisations sekretesspolicy i processen för inlösen av inbjudningar första gången så att en inbjuden användare måste samtycka till dina sekretessvillkor för att fortsätta. Se Anvisningar: Lägga till organisationens sekretessinformation i Azure Active Directory.
Använd funktionen massinbjudan (förhandsversion) för att bjuda in flera B2B-gästanvändare samtidigt Bjud in flera gästanvändare till din organisation samtidigt med hjälp av funktionen massinbjudan i Azure Portal. Med den här funktionen kan du ladda upp en CSV-fil för att skapa B2B-gästanvändare och skicka inbjudningar samtidigt. Se Självstudie för massinbjrning av B2B-användare.
Tillämpa principer för villkorsstyrd åtkomst för Azure Active Directory Multi-Factor Authentication (MFA) Vi rekommenderar att du tillämpar MFA-principer på de appar som du vill dela med B2B-partneranvändare. På så sätt tillämpas MFA konsekvent på apparna i din klientorganisation oavsett om partnerorganisationen använder MFA. Se Villkorlig åtkomst för B2B-samarbetsanvändare.
Om du tillämpar enhetsbaserade principer för villkorsstyrd åtkomst använder du undantagslistor för att tillåta åtkomst till B2B-användare Om enhetsbaserade principer för villkorsstyrd åtkomst är aktiverade i din organisation blockeras B2B-gästanvändarenheter eftersom de inte hanteras av din organisation. Du kan skapa undantagslistor som innehåller specifika partneranvändare för att undanta dem från den enhetsbaserade principen för villkorsstyrd åtkomst. Se Villkorlig åtkomst för B2B-samarbetsanvändare.
Använd en klientspecifik URL när du tillhandahåller direktlänkar till dina B2B-gästanvändare Som ett alternativ till e-postmeddelandet med inbjudan kan du ge en gäst en direktlänk till din app eller portal. Den här direktlänken måste vara klientspecifik, vilket innebär att den måste innehålla ett klientorganisations-ID eller en verifierad domän så att gästen kan autentiseras i din klientorganisation, där den delade appen finns. Se Inlösen för gästanvändaren.
När du utvecklar en app använder du UserType för att fastställa gästanvändarupplevelsen Om du utvecklar ett program och vill tillhandahålla olika upplevelser för klientanvändare och gästanvändare använder du egenskapen UserType. UserType-anspråket ingår för närvarande inte i token. Program bör använda Microsoft Graph API för att fråga katalogen efter användaren för att hämta sin UserType.
Ändra egenskapen UserType endast om användarens relation till organisationen ändras Även om det är möjligt att använda PowerShell för att konvertera usertype-egenskapen för en användare från medlem till gäst (och vice versa), bör du bara ändra den här egenskapen om relationen mellan användaren och din organisation ändras. Se Egenskaper för en B2B-gästanvändare.
Ta reda på om din miljö påverkas av Azure AD-kataloggränser Azure AD B2B omfattas av azure AD-tjänstens kataloggränser. Mer information om antalet kataloger som en användare kan skapa och antalet kataloger som en användare eller gästanvändare kan tillhöra finns i Begränsningar och begränsningar för Azure AD-tjänsten.

Nästa steg

Hantera B2B-delning