B2B işbirliği kullanıcıları için koşullu erişimConditional Access for B2B collaboration users

B2B kullanıcıları için Multi-Factor AuthenticationMulti-factor authentication for B2B users

Azure AD B2B işbirliğiyle kuruluşlar, B2B kullanıcıları için Multi-Factor Authentication (MFA) ilkelerini uygulayabilir.With Azure AD B2B collaboration, organizations can enforce multi-factor authentication (MFA) policies for B2B users. Bu ilkeler, kiracı, uygulama veya bireysel kullanıcı düzeyinde, kuruluşun tam zamanlı çalışanları ve üyeleri için etkinleştirildikleri şekilde zorlanabilir.These policies can be enforced at the tenant, app, or individual user level, the same way that they are enabled for full-time employees and members of the organization. MFA ilkeleri, kaynak kuruluşta zorlanır.MFA policies are enforced at the resource organization.

Örnek:Example:

  1. Şirket B 'deki yönetici veya bilgi çalışanı, Şirket A 'ya ait bir kullanıcı olan Şirket A 'da foo bir uygulamaya davet eder.Admin or information worker in Company A invites user from company B to an application Foo in company A.
  2. A şirketindeki bir uygulama, erişimde MFA gerektirecek şekilde yapılandırılmıştır.Application Foo in company A is configured to require MFA on access.
  3. Şirket B 'deki Kullanıcı, Şirket A kiracısında foo uygulamasına erişmeye çalıştığında, bir MFA sınamasını tamamlamaları istenir.When the user from company B attempts to access app Foo in the company A tenant, they are asked to complete an MFA challenge.
  4. Kullanıcı, kendi MFA 'yı Şirket A ile ayarlayabilir ve MFA seçeneğini tercih edebilir.The user can set up their MFA with company A, and chooses their MFA option.
  5. Bu senaryo tüm kimlik (Azure AD veya MSA) için çalışarak (örneğin, B şirketindeki kullanıcılar sosyal KIMLIK kimlik doğrulamasını kullanıyorsa)This scenario works for any identity (Azure AD or MSA, for example, if users in Company B authenticate using social ID)
  6. Şirket A 'nın MFA 'yı destekleyen yeterli Premium Azure AD Lisansı olmalıdır.Company A must have sufficient Premium Azure AD licenses that support MFA. Şirket B 'deki Kullanıcı, A şirketinin bu lisansını kullanır.The user from company B consumes this license from company A.

İş ortağı kuruluşun MFA özelliklerine sahip olsa bile, kiralamanın, iş ortağı kuruluştan kullanıcılara MFA 'dan her zaman sorumludur.The inviting tenancy is always responsible for MFA for users from the partner organization, even if the partner organization has MFA capabilities.

B2B işbirliği kullanıcıları için MFA ayarlamaSetting up MFA for B2B collaboration users

B2B işbirliği kullanıcıları için MFA 'yı ayarlamaya ne kadar kolay olduğunu öğrenmek için aşağıdaki videoda nasıl yapılacağını öğrenin:To discover how easy it is to set up MFA for B2B collaboration users, see how in the following video:

B2B kullanıcıları teklifi satın alma için MFA deneyimiB2B users MFA experience for offer redemption

Kullanım deneyimini görmek için aşağıdaki animasyonu inceleyin:Check out the following animation to see the redemption experience:

B2B işbirliği kullanıcıları için MFA sıfırlamasıMFA reset for B2B collaboration users

Şu anda yönetici, B2B işbirliği kullanıcılarının yalnızca aşağıdaki PowerShell cmdlet 'lerini kullanarak yeniden kanıt sağlamasını gerektirebilir:Currently, the admin can require B2B collaboration users to proof up again only by using the following PowerShell cmdlets:

  1. Azure AD'ye BağlanmaConnect to Azure AD

    $cred = Get-Credential
    Connect-MsolService -Credential $cred
    
  2. Tüm kullanıcıları kanıtlama yöntemlerine alGet all users with proof up methods

    Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}
    

    Aşağıda bir örnek verilmiştir:Here is an example:

    Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}
    
  3. Belirli bir kullanıcının, B2B işbirliği kullanıcısına düzeltme yöntemlerini yeniden ayarlaması için MFA yöntemini sıfırlayın.Reset the MFA method for a specific user to require the B2B collaboration user to set proof-up methods again. Örnek:Example:

    Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName gsamoogle_gmail.com#EXT#@ WoodGroveAzureAD.onmicrosoft.com
    

Kaynak kiralamamız neden MFA gerçekleştirdik?Why do we perform MFA at the resource tenancy?

Geçerli yayında MFA, tahmine dayalı nedenlerle her zaman kaynak kiralandır.In the current release, MFA is always in the resource tenancy, for reasons of predictability. Örneğin, bir contoso kullanıcısı (Sally) Fabrikam 'a davet edildiklerini ve Fabrikam 'ın B2B kullanıcıları için MFA 'yı etkinleştirdiklerini varsayalım.For example, let’s say a Contoso user (Sally) is invited to Fabrikam and Fabrikam has enabled MFA for B2B users.

Contoso, APP1 için MFA ilkesi etkinleştirmişse, app2 değil ise, belirteçte contoso MFA talebine baktığımızda, aşağıdaki sorunu görebiliriz:If Contoso has MFA policy enabled for App1 but not App2, then if we look at the Contoso MFA claim in the token, we might see the following issue:

  • Gün 1: bir Kullanıcı contoso 'da MFA 'ya sahiptir ve APP1 'e erişiyor, ardından fabrikam 'da ek MFA istemi gösterilmez.Day 1: A user has MFA in Contoso and is accessing App1, then no additional MFA prompt is shown in Fabrikam.

  • 2. gün: Kullanıcı, contoso 'da uygulama 2 ' ye erişmiş, bu nedenle fabrikam 'a erişirken, burada MFA 'ya kaydolmalıdır.Day 2: The user has accessed App 2 in Contoso, so now when accessing Fabrikam, they must register for MFA there.

Bu işlem kafa karıştırıcı olabilir ve oturum açma tamamlanmalarından sonra bırakmaya yol açabilir.This process can be confusing and could lead to drop in sign-in completions.

Üstelik, contoso MFA özelliğine sahip olsa bile, Fabrikam 'ın contoso MFA ilkesine güveneceği her zaman böyle değildir.Moreover, even if Contoso has MFA capability, it is not always the case the Fabrikam would trust the Contoso MFA policy.

Son olarak, kaynak kiracı MFA aynı zamanda MSAs ve sosyal kimlikler ve MFA 'nın ayarlanmayan iş ortakları için de çalışır.Finally, resource tenant MFA also works for MSAs and social IDs and for partner orgs that do not have MFA set up.

Bu nedenle, B2B kullanıcıları için MFA önerisi her zaman davet kiracısında MFA gerektirdir.Therefore, the recommendation for MFA for B2B users is to always require MFA in the inviting tenant. Bu gereksinim, bazı durumlarda çift MFA 'ya yol açabilir, ancak davet kiracıya erişirken son kullanıcıların deneyimi tahmin edilebilir: Sally, davet eden kiracı ile MFA için kaydedilmelidir.This requirement could lead to double MFA in some cases, but whenever accessing the inviting tenant, the end-users experience is predictable: Sally must register for MFA with the inviting tenant.

B2B kullanıcıları için cihaz tabanlı, konum tabanlı ve risk tabanlı koşullu erişimDevice-based, location-based, and risk-based Conditional Access for B2B users

Contoso, kurumsal verileri için cihaz tabanlı koşullu erişim ilkeleri etkinleştirdiğinde, contoso tarafından yönetilmeyen ve contoso cihaz ilkeleriyle uyumlu olmayan cihazlardan erişim engellenir.When Contoso enables device-based Conditional Access policies for their corporate data, access is prevented from devices that are not managed by Contoso and not compliant with the Contoso device policies.

B2B kullanıcısının aygıtı contoso tarafından yönetilmemişse, iş ortağı kuruluşlarından B2B kullanıcılarının erişimi, bu ilkelerin zorlandığı bağlamda engellenirler.If the B2B user’s device isn't managed by Contoso, access of B2B users from the partner organizations is blocked in whatever context these policies are enforced. Ancak contoso, belirli iş ortağı kullanıcılarını içeren dışlama listeleri oluşturabilir ve bunları cihaz tabanlı koşullu erişim ilkesinden hariç tutabilir.However, Contoso can create exclusion lists containing specific partner users to exclude them from the device-based Conditional Access policy.

B2B için mobil uygulama yönetimi ilkeleriMobile application management policies for B2B

Koşullu erişim uygulama koruma ilkeleri B2B kullanıcılarına uygulanamıyor çünkü bu, davet eden kuruluşun B2B kullanıcısının ana kuruluşuna görünürlüğü yoktur.Conditional Access app protection policies cannot be applied to B2B users because the inviting organization has no visibility into the B2B user's home organization.

B2B için konum tabanlı koşullu erişimLocation-based Conditional Access for B2B

Davet edilen kuruluş, iş ortağı kuruluşlarını tanımlayan güvenilir bir IP adresi aralığı oluşturabiliyorsa B2B kullanıcıları için konum tabanlı koşullu erişim ilkeleri zorlanabilir.Location-based Conditional Access policies can be enforced for B2B users if the inviting organization is able to create a trusted IP address range that defines their partner organizations.

B2B için risk tabanlı koşullu erişimRisk-based Conditional Access for B2B

Şu anda, B2B kullanıcısının ana kuruluşunda risk değerlendirmesi gerçekleştirildiğinden, risk tabanlı oturum açma ilkeleri B2B kullanıcılarına uygulanamıyor.Currently, risk-based sign-in policies cannot be applied to B2B users because the risk evaluation is performed at the B2B user’s home organization.

Sonraki adımlarNext steps

Azure AD B2B işbirliği ile ilgili aşağıdaki makalelere bakın:See the following articles on Azure AD B2B collaboration: