Procedure consigliate per Microsoft Entra B2B

Si applica a: Cerchio verde con segno di spunta bianco. Tenant delle risorse Cerchio bianco con simbolo X grigio. Tenant esterni (altre informazioni)

Questo articolo contiene raccomandazioni e procedure consigliate per la collaborazione business-to-business (B2B) in Microsoft Entra per ID esterno.

Importante

La funzionalità di passcode monouso tramite email è ora attivata per impostazione predefinita per tutti i nuovi tenant e per tutti i tenant esistenti in cui non è stata disattivata in modo esplicito. Quando questa funzionalità è disattivata, il metodo di autenticazione di fallback consiste nel richiedere agli invitati di creare un account Microsoft.

Raccomandazioni B2B

Elemento consigliato Commenti
Consultare le linee guida di Microsoft Entra per proteggere la collaborazione con partner esterni Informazioni su come adottare un approccio di governance olistico alla collaborazione dell'organizzazione con i partner esterni seguendo le indicazioni riportate in Protezione della collaborazione esterna in Microsoft Entra ID e Microsoft 365.
Pianificare attentamente l'accesso tra tenant e le impostazioni di collaborazione esterna Microsoft Entra per ID esterno offre un set flessibile di controlli per la gestione della collaborazione con utenti e organizzazioni esterni. È possibile consentire o bloccare tutta la collaborazione o configurare la collaborazione solo per organizzazioni, utenti e app specifiche. Prima di configurare le impostazioni per l'accesso tra tenant e la collaborazione esterna, eseguire un inventario accurato delle organizzazioni con cui si lavora e con cui si collabora. Determinare quindi se si vuole abilitare la connessione diretta B2B o la collaborazione B2B con altri tenant di Microsoft Entra.
Limitare l'accesso utente guest alla directory Per impostazione predefinita, gli utenti guest hanno accesso limitato alla directory Microsoft Entra. Possono gestire il proprio profilo e visualizzare alcune informazioni su altri utenti, gruppi e app. È possibile limitare ulteriormente l'accesso in modo che gli utenti guest possano visualizzare solo le proprie informazioni sul profilo. Altre informazioni sulle autorizzazioni guest predefinite e su come configurare le impostazioni di collaborazione esterna.
Determinare chi può invitare utenti guest Per impostazione predefinita, tutti gli utenti dell'organizzazione, inclusi gli utenti guest di Collaborazione B2B, possono invitare utenti esterni a Collaborazione B2B. Se si vuole limitare la possibilità di inviare inviti, è possibile attivare o disattivare gli inviti per tutti o limitare gli inviti a determinati ruoli configurando le impostazioni di collaborazione esterna.
Usare le restrizioni del tenant per controllare il modo in cui gli account esterni vengono usati nelle reti e nei dispositivi gestiti. Con le restrizioni del tenant, è possibile impedire agli utenti di usare gli account creati in tenant o account sconosciuti ricevuti da organizzazioni esterne. È consigliabile non consentire questi account e usare invece collaborazione B2B.
Per un'esperienza di accesso ottimale, eseguire la federazione con i provider di identità Quando possibile, eseguire la federazione diretta con i provider di identità per consentire agli utenti invitati di accedere alle app e alle risorse condivise senza dover creare account Microsoft (MSA) o Microsoft Entra. Puoi usare la funzionalità di federazione di Google per consentire agli utenti guest B2B di accedere con i propri account Google. In alternativa, è possibile usare la funzionalità provider di identità SAML/WS-Fed (anteprima) per configurare la federazione con qualsiasi organizzazione il cui provider di identità (IdP) supporta il protocollo SAML 2.0 o WS-Fed.
Usare la funzionalità passcode monouso di posta elettronica per gli utenti guest B2B che non possono eseguire l'autenticazione con altri mezzi La funzionalità passcode monouso email autentica gli utenti guest B2B quando non possono essere autenticati tramite altri mezzi, ad esempio Microsoft Entra ID, un account Microsoft (MSA) o federazione di Google. Quando l'utente guest riscatta un invito o accede a una risorsa condivisa, può richiedere un codice temporaneo, che viene inviato all'indirizzo di posta elettronica. Quindi immette tale codice per continuare ad accedere.
Aggiungere informazioni personalizzate distintive dell'azienda alla pagina di accesso È possibile personalizzare la pagina di accesso in modo che sia più intuitiva per gli utenti guest B2B. Scopri come aggiungere informazioni personalizzate aziendali per accedere e Pannello di accesso pagine.
Aggiungere l'informativa sulla privacy all'esperienza di riscatto utente guest B2B È possibile aggiungere l'URL dell'informativa sulla privacy dell'organizzazione al primo processo di riscatto dell'invito in modo che un utente invitato debba fornire il consenso alle condizioni di privacy per continuare. Vedere Procedura: Aggiungere le informazioni sulla privacy dell'organizzazione in Microsoft Entra ID.
Usare la funzionalità di invito in blocco (anteprima) per invitare più utenti guest B2B contemporaneamente Invitare più utenti guest all'organizzazione contemporaneamente usando la funzionalità di anteprima dell'invito in blocco nella portale di Azure. Questa funzionalità consente di caricare un file CSV per creare utenti guest B2B e inviare inviti in blocco. Vedere Esercitazione per l'invito bulk degli utenti B2B.
Applicare i criteri di accesso condizionale per l'autenticazione a più fattori Di Microsoft Entra È consigliabile applicare criteri di autenticazione a più fattori nelle app da condividere con gli utenti B2B partner. In questo modo, l'autenticazione a più fattori verrà applicata in modo coerente alle app nel tenant, indipendentemente dal fatto che l'organizzazione partner usi MFA. Vedere Accesso condizionale per gli utenti di Collaborazione B2B. Se si ha una relazione aziendale stretta con un'organizzazione e sono state verificate le procedure di autenticazione a più fattori, è possibile configurare le impostazioni di accesso tra tenant per accettare le attestazioni MFA (altre informazioni).
Usare i criteri di accesso condizionale di livello di autenticazione per gli utenti guest Il livello di attendibilità dell'autenticazione è un controllo di accesso condizionale che consente di definire una combinazione specifica di metodi di autenticazione a più fattori (MFA) che un utente esterno di Microsoft Entra deve completare per accedere alle risorse. Funziona insieme alle impostazioni di attendibilità MFA nelle impostazioni di accesso tra tenant per determinare dove e come l'utente esterno deve eseguire l'autenticazione a più fattori. Vedere Criteri di attendibilità dell'autenticazione per utenti esterni
Se si applicano criteri di accesso condizionale basati su dispositivo, usare elenchi di esclusione per consentire l'accesso agli utenti B2B Se i criteri di accesso condizionale basati su dispositivo sono abilitati nell'organizzazione, i dispositivi utente guest B2B verranno bloccati perché non sono gestiti dall'organizzazione. È possibile creare elenchi di esclusione contenenti utenti partner specifici per escluderli dai criteri di accesso condizionale basato su dispositivo. Vedere Accesso condizionale per gli utenti di Collaborazione B2B.
Usare un URL specifico del tenant quando si forniscono collegamenti diretti agli utenti guest B2B In alternativa al messaggio di posta elettronica di invito, è possibile assegnare a un utente guest un collegamento diretto all'app o al portale. Questo collegamento diretto deve essere specifico del tenant, ovvero deve includere un ID tenant o un dominio verificato in modo che il guest possa essere autenticato nel tenant, in cui si trova l'app condivisa. Vedere Esperienza di riscatto per l'utente guest.
Quando si sviluppa un'app, usare UserType per determinare l'esperienza utente guest Se si sviluppa un'applicazione e si vogliono offrire esperienze diverse per gli utenti tenant e gli utenti guest, usare la proprietà UserType. L'attestazione UserType non è attualmente inclusa nel token. Le applicazioni devono usare l'API Microsoft Graph per eseguire una query sulla directory affinché l'utente ottenga il proprio UserType.
Modificare la proprietà UserType solo se la relazione dell'utente con l'organizzazione cambia Sebbene sia possibile usare PowerShell per convertire la proprietà UserType per un utente da Membro a Guest (e viceversa), è consigliabile modificare questa proprietà solo se la relazione dell'utente all'organizzazione cambia. Vedere Proprietà di un utente guest B2B.
Scoprire se l'ambiente sarà interessato dai limiti della directory Microsoft Entra Microsoft Entra B2B è soggetto ai limiti della directory del servizio Microsoft Entra. Per informazioni dettagliate sul numero di directory che un utente può creare e sul numero di directory a cui un utente o un utente guest può appartenere, vedere Limiti e restrizioni del servizio Microsoft Entra.
Gestire il ciclo di vita dell'account B2B con la funzionalità Sponsor Uno sponsor è un utente o un gruppo responsabile per i propri utenti guest. Per altre informazioni su questa nuova funzionalità, vedere Campo Sponsor per gli utenti B2B.

Passaggi successivi

Gestire la condivisione B2B