Introdução à ID Externa do Microsoft Entra

A ID externa do Microsoft Entra combina soluções avançadas para trabalhar com pessoas de fora da sua organização. Com recursos de ID externa, você pode permitir que identidades externas acessem com segurança seus aplicativos e recursos. Se você estiver trabalhando com parceiros, consumidores ou clientes comerciais externos, os usuários podem trazer suas próprias identidades. Essas identidades podem variar de contas corporativas ou emitidas pelo governo a provedores de identidade social, como Google ou Facebook.

Diagrama mostrando uma visão geral da ID externa.

Esses cenários se enquadram no escopo da ID externa do Microsoft Entra:

  • Se você for uma organização ou um desenvolvedor que cria aplicativos de consumidor, use a ID externa para adicionar rapidamente a autenticação e o CIAM (gerenciamento de identidade e acesso do cliente) ao seu aplicativo. Registre seu aplicativo, crie experiências de entrada personalizadas e gerencie os usuários do aplicativo em um locatário do Microsoft Entra em uma configuração externa. Esse locatário é separado de recursos organizacionais e funcionários.

  • Se você quiser permitir que seus funcionários colaborem com convidados e parceiros empresariais, use a ID Externa para colaboração B2B. Permitir acesso seguro a seus aplicativos empresariais por meio de inscrição de autoatendimento ou convite. Determine o nível de acesso que os convidados têm ao locatário do Microsoft Entra que contém seus recursos organizacionais e funcionários, que é um locatário em uma configuração de força de trabalho.

A ID externa do Microsoft Entra é uma solução flexível para desenvolvedores de aplicativos centrados no consumidor que precisam de autenticação e CIAM e empresas que buscam colaboração B2B segura.

Proteger seus aplicativos para consumidores e clientes empresariais

Organizações e desenvolvedores podem usar a ID externa em um locatário externo como a solução CIAM ao publicar seus aplicativos para consumidores e clientes empresariais. Você pode criar um locatário separado do Microsoft Entra em uma configuração externa, que permite gerenciar seus aplicativos e contas de usuário separadamente da sua força de trabalho. Neste locatário, você pode configurar facilmente experiências de inscrição de marca personalizada e recursos de gerenciamento de usuário:

  • Configure fluxos de registro de autoatendimento que define a série de etapas de inscrição que os clientes seguem e os métodos de entrada que podem usar, como email e senha, senha de uso único ou contas de rede social do Google ou do Facebook.

  • Crie uma aparência personalizada para os usuários que entram em seus aplicativos, definindo as configurações da Identidade Visual da Empresa no seu locatário. Com essas configurações, você pode adicionar suas próprias imagens de tela de fundo, cores, logotipos da empresa e texto para personalizar as experiências de entrada nos seus aplicativos.

  • Colete informações de clientes durante a inscrição selecionando uma série de atributos de usuário internos ou adicionando seus atributos personalizados.

  • Analise a atividade de usuário e dados de participação para descobrir insights valiosos que podem ajudar decisões estratégicas e impulsionar o crescimento dos negócios.

Com a ID externa, os clientes podem entrar com uma identidade que já têm. Você pode personalizar e controlar como os clientes se inscrevem e entram quando usam seus aplicativos. Como essas funcionalidades do CIAM são incorporadas à ID externa, você também terá acesso a recursos de plataforma do Microsoft Entra, como segurança, conformidade e escalabilidade aprimoradas.

Para obter detalhes, confira Visão geral da ID externa do Microsoft Entra em locatários externos.

Colabore com convidados empresariais

A colaboração B2B da ID externa permite que sua força de trabalho colabore com parceiros empresariais externos. Você pode convidar qualquer pessoa para entrar na organização do Microsoft Entra usando as próprias credenciais para acessar os aplicativos e recursos que você deseja compartilhar com eles. Use a colaboração B2B quando precisar permitir o acesso de convidados empresariais a seus aplicativos do Office 365, aplicativos SaaS (software como serviço) e aplicativos de linha de negócios. Não há credenciais associadas a convidados empresariais. Em vez disso, eles se autenticam com o provedor de identidade ou organização de origem e depois sua organização verifica a qualificação do usuário para colaboração de convidado.

Há várias maneiras de adicionar convidados empresariais à organização para colaboração:

  • Convide usuários para colaboração usando as respectivas contas do Microsoft Entra, contas Microsoft ou as identidades sociais que você habilitar, como o Google. Como administrador, você pode usar o centro de administração do Microsoft Entra ou PowerShell para convidar usuários para colaborar. O usuário entra nos recursos compartilhados usando um processo de resgate simples com a conta corporativa, de estudante ou de email.

  • Use fluxos de usuário de inscrição por autoatendimento para permitir que convidados se inscrevam sozinhos nos aplicativos. A experiência pode ser personalizada para permitir a inscrição com uma identidade corporativa, de estudante ou social (como o Google ou Facebook). Você também pode coletar informações sobre o usuário durante o processo de inscrição.

  • Use o gerenciamento de direitos do Microsoft Entra, um recurso de governança de identidade que permite gerenciar a identidade e o acesso para usuários externos em escala automatizando os fluxos de trabalho de solicitação de acesso, as atribuições de acesso, as revisões e a expiração.

Um objeto de usuário é criado para o convidado empresarial no mesmo diretório que seus funcionários. Esse objeto de usuário pode ser gerenciado como outros objetos de usuário no diretório, adicionado a grupos e assim por diante. Você pode atribuir permissões ao objeto de usuário (para autorização) e ainda permitir que ele use as próprias credenciais existentes (para autenticação).

Você pode usar as configurações de acesso entre locatários para gerenciar a colaboração com outras organizações do Microsoft Entra e entre nuvens do Microsoft Azure. Para colaboração com organizações e usuários externos que não são do Azure AD, use as configurações de colaboração externa.

O que são os locatários "externos" e de "força de trabalho"?

Um locatário é uma instância dedicada e confiável do Microsoft Entra ID que contém os recursos de uma organização, incluindo aplicativos registrados e um diretório de usuários. Há duas maneiras de configurar um locatário, dependendo de como a organização pretende usar o locatário e os recursos que deseja gerenciar:

  • Uma configuração de locatário de força de trabalho é um locatário do Microsoft Entra padrão que contém seus funcionários, aplicativos empresariais internos e outros recursos organizacionais. Em um locatário da força de trabalho, seus usuários internos podem colaborar com parceiros empresariais externos e convidados usando a colaboração B2B.
  • Uma configuração de locatário externo é usada exclusivamente para aplicativos que você deseja publicar para consumidores ou clientes empresariais. O locatário diferente segue o modelo de locatário padrão do Microsoft Entra, mas é configurado para cenários de consumidor. Ele contém seus registros de aplicativo e um diretório de contas de consumidor ou cliente.

Para obter detalhes, consulte Configurações de locatário externo e de força de trabalho na ID externa do Microsoft Entra.

Comparando conjuntos de recursos de ID externo

A tabela a seguir compara os cenários que você pode habilitar com a ID Externa.

ID externa em locatários de força de trabalho ID externa em locatários externos
Cenário principal Permita que sua força de trabalho colabore com convidados empresariais. Permitir que os convidados usem suas identidades preferidas para entrar em recursos na sua organização do Microsoft Entra. Fornece acesso a aplicativos da Microsoft ou a seus próprios aplicativos (aplicativos SaaS, aplicativos personalizados etc.).

Exemplo: convide um convidado para entrar em seus aplicativos da Microsoft ou para ser um membro convidado no Teams.
Publique aplicativos em clientes corporativos e consumidores externos usando a ID externa para experiências de identidade. Gerenciamento de identidade e acesso para aplicativos SaaS modernos ou desenvolvidos personalizados (não aplicativos próprios da Microsoft).

Exemplo: crie uma experiência de entrada personalizada para usuários do aplicativo móvel do consumidor e monitore o uso do aplicativo.
Destinado a Colaborar com parceiros de negócios de organizações externas, como fornecedores, parceiros, fornecedores. Esses usuários podem ou não ter o Microsoft Entra ID ou uma TI gerenciada. Consumidores e clientes empresariais do seu aplicativo. Esses usuários são gerenciados em um locatário do Microsoft Entra configurado para aplicativos e usuários externos.
Gerenciamento de usuários Os usuários de colaboração B2B são gerenciados no mesmo locatário de força de trabalho que os funcionários, mas normalmente são anotados como usuários convidados. Os usuários convidados podem ser gerenciados da mesma forma que os funcionários, ser adicionados aos mesmos grupos e assim por diante. As configurações de acesso entre locatários podem ser usadas para determinar quais usuários têm acesso à colaboração B2B. Os usuários do aplicativo são gerenciados em um locatário externo que você cria para os consumidores do seu aplicativo. Os usuários em um locatário externo têm permissões padrão diferentes dos usuários em um locatário da força de trabalho. Eles são gerenciados no locatário externo, separados do diretório de funcionários da organização.
SSO (logon único) Há suporte para SSO para todos os aplicativos conectados ao Microsoft Entra. Por exemplo, você pode fornecer acesso ao Microsoft 365 ou a aplicativos locais, além de outros aplicativos SaaS, como o Salesforce ou o Workday. Há suporte para SSO para aplicativos registrados no locatário externo. Não há suporte para o SSO com o Microsoft 365 nem com outros aplicativos SaaS da Microsoft.
Identidade visual da empresa O estado padrão da experiência de autenticação tem o mesmo aspecto da Microsoft. Os administradores podem personalizar a experiência de entrada do convidado com a identidade visual da empresa. A marca padrão do locatário externo é neutra e não inclui nenhuma marca existente da Microsoft. Os administradores podem personalizar a identidade visual da organização ou por aplicativo. Saiba mais.
Configurações de nuvem da Microsoft Com suporte. Não aplicável.
Gerenciamento de direitos Com suporte. Não aplicável.

Há várias tecnologias do Microsoft Entra relacionadas à colaboração com usuários e organizações externos. Ao projetar seu modelo de colaboração de ID externo, considere estes outros recursos.

Conexão direta de B2B

A conexão direta de B2B permite criar relações de confiança bidirecionais com outras organizações do Microsoft Entra para habilitar o recurso de canais compartilhados do Teams Connect. Esse recurso permite que os usuários entrem diretamente nos canais compartilhados do Teams para chat, chamadas, compartilhamento de arquivos e compartilhamento de aplicativos. Quando duas organizações habilitam mutuamente a conexão direta B2B, os usuários se autenticam em sua organização principal e recebem um token da organização de recursos para acesso. Ao contrário da colaboração B2B, os usuários da conexão direta de B2B não são adicionados como convidados ao diretório de força de trabalho. Saiba mais sobre Conexão direta de B2B no Microsoft Entra External ID.

Depois de configurar a conexão direta de B2B com uma organização externa, os seguintes canais compartilhados do Teams ficarão disponíveis:

  • Um proprietário de canal compartilhado pode pesquisar, dentro do Teams, usuários permitidos da organização externa e adicioná-los ao canal compartilhado.

  • Os usuários externos podem acessar Teams canal compartilhado sem precisar alternar as organizações ou entrar com uma conta diferente. No Teams, o usuário externo pode acessar arquivos e aplicativos por meio da guia Arquivos. As políticas do canal compartilhado determinam o acesso do usuário.

Use as configurações de acesso entre locatários para gerenciar relações de confiança com outras organizações do Microsoft Entra e defina políticas de entrada e saída para a conexão direta de B2B.

Para obter detalhes sobre os recursos, arquivos e aplicativos disponíveis para o usuário da Conexão direta de B2B por meio do canal compartilhado do Teams, consulte Chat, equipes, canais e aplicativos no Microsoft Teams.

O licenciamento e a cobrança são baseados em MAU (usuários ativos mensais). Saiba mais sobre o Modelo de cobrança da ID externa do Microsoft Entra.

Azure Active Directory B2C

O Azure AD B2C (Azure Active Directory B2C) é a solução herdada da Microsoft para gerenciamento de identidade e acesso do cliente. O Azure AD B2C inclui um diretório separado baseado no consumidor que você gerencia no portal do Azure por meio do serviço do Azure AD B2C. Cada locatário do Azure AD B2C é separado e distinto dos outros locatários do Microsoft Entra ID e do Azure AD B2C. A experiência no portal do Azure AD B2C é semelhante à do Microsoft Entra ID, mas há diferenças importantes, como a capacidade de personalizar os percursos do usuário usando o Identity Experience Framework.

Para obter mais informações sobre como um locatário do Azure AD B2C difere de um locatário do Microsoft Entra, consulte Recursos do Microsoft Entra com suporte no Azure AD B2C. Para obter detalhes sobre como configurar e gerenciar o Azure AD B2C, confira a documentação do Azure AD B2C.

Gerenciamento de direitos do Microsoft Entra para inscrição de convidado empresarial

Como uma organização que faz o convite, talvez você não saiba com antecedência quem são os colaboradores externos individuais que precisam de acesso aos seus recursos. Você precisa encontrar uma maneira para os usuários de empresas parceiras se inscreverem com as políticas que você controla. Para permitir que usuários de outras organizações solicitem acesso, você pode usar o Gerenciamento de direitos do Microsoft Entra para configurar políticas que gerenciam o acesso de usuários externos. Após a aprovação, esses usuários serão provisionados com contas de convidado e atribuídos a grupos, aplicativos e sites do SharePoint Online.

Acesso Condicional

As organizações podem usar políticas de Acesso Condicional para aumentar a segurança aplicando os controles de acesso apropriados, como MFA, a usuários externos.

Acesso condicional e MFA em locatários externos

Em locatários externos, as organizações podem impor a MFA para clientes criando uma política de Acesso Condicional do Microsoft Entra e adicionando a MFA aos fluxos de usuário de inscrição e entrada. Os locatários externos aceitam dois métodos de autenticação como um segundo fator:

  • Senha de uso único por email: depois que o usuário faz login com o email e a senha, é solicitada uma senha que é enviada para o email do usuário.
  • Autenticação baseada em SMS: o SMS está disponível como um método de autenticação de segundo fator da MFA para usuários em locatários externos. Os usuários que fazem login com email e senha, email e senha de uso único ou identidades sociais como Google ou Facebook são solicitados a fazer uma segunda verificação usando SMS.

Saiba mais sobre métodos de autenticação em locatários externos.

Acesso condicional para colaboração B2B e conexão direta B2B

Em um locatário da força de trabalho, as organizações podem impor políticas de acesso condicional a usuários externos de colaboração B2B e conexão direta de B2B da mesma forma que essas políticas estão habilitadas para membros e funcionários em tempo integral da organização. Para cenários entre locatários do Microsoft Entra, se as políticas de acesso condicional exigem a conformidade com MFA ou com o dispositivo, agora você pode confiar nas declarações de conformidade com MFA e dispositivo da organização inicial de um usuário externo. Quando as configurações de confiança estiverem habilitadas, durante a autenticação, o Microsoft Entra ID verifica as credenciais do usuário para uma declaração de MFA ou uma identidade do dispositivo a fim de determinar se as políticas já foram atendidas no locatário inicial. Em caso afirmativo, o usuário externo terá acesso direto aos recursos compartilhados. Caso contrário, um desafio de MFA ou de dispositivo será iniciado no locatário inicial do usuário. Saiba mais sobre o fluxo de autenticação e o acesso condicional para usuários externos em locatários da força de trabalho.

Aplicativos multilocatários

Se você oferecer um aplicativo de software como serviço (SaaS) para muitas organizações, poderá configurar seu aplicativo para aceitar credenciais de qualquer locatário do Microsoft Entra. Essa configuração é chamada Tornar seu aplicativo multilocatário. Os usuários em qualquer locatário do Microsoft Entra poderão entrar em seu aplicativo após o consentimento para usar sua conta com o aplicativo. Confira como habilitar entradas multilocatário.

Organizações multilocatários

Uma organização multilocatário é uma organização que tem mais de uma instância do Microsoft Entra ID. Pode haver vários motivos para multilocatário. Por exemplo, sua organização pode abranger várias nuvens ou limites geográficos.

A funcionalidade da organização multilocatário permite uma colaboração perfeita no Microsoft 365. Melhora as experiências de colaboração dos funcionários em sua organização de vários locatários em aplicativos, como o Microsoft Teams e o Microsoft Viva Engage.

O recurso de sincronização entre locatários é um serviço de sincronização unidirecional que garante que os usuários possam acessar recursos, sem receber um email de convite e ter que aceitar um prompt de consentimento em cada locatário.

Para saber mais sobre as organizações multilocatário e a sincronização entre locatários, veja a documentação sobre organizações multilocatário e a comparação de recursos.

APIs do Microsoft Graph

Todos os recursos de ID Externa também têm suporte para automação por meio de APIs do Microsoft Graph, exceto aqueles listados na próxima seção. Para obter mais informações, consulte Gerenciar a identidade do Microsoft Entra e o acesso à rede usando o Microsoft Graph.

Recursos sem suporte no Microsoft Graph

Recurso de ID externo Com suporte em Soluções alternativas de automação
Identifique as organizações às quais você pertence Locatários de força de trabalho Locatários – Listar a API do Azure Resource Manager. Para canais compartilhados do Teams e conexão direta B2B, use Obter TenantReferences API do Microsoft Graph.

API do Microsoft Graph do Microsoft Entra para colaboração B2B

  • APIs de configurações de acesso entre locatários: as APIs de acesso entre locatários no Microsoft Graph permitem que você crie programaticamente as mesmas políticas de colaboração B2B e conexão direta B2B configuráveis no portal do Azure. Usando essas APIs, você pode configurar políticas para colaboração de entrada e saída. Por exemplo, você pode permitir ou bloquear recursos para todos por padrão e limitar o acesso a organizações, grupos, usuários e aplicativos específicos. As APIs também permitem que você aceite MFA (autenticação multifator) e declarações de dispositivo (declarações compatíveis e declarações híbridas ingressadas no Microsoft Entra) de outras organizações do Microsoft Entra.

  • Gerenciador de convites de colaboração B2B: a API do gerenciador de convites no Microsoft Graph está disponível para criar suas próprias experiências de integração para convidados de negócios. Você pode usar a API de criação de convite para enviar automaticamente um email de convite personalizado diretamente para o usuário B2B, por exemplo. Ou então seu aplicativo pode usar a inviteRedeemUrl retornada na resposta de criação para criar o próprio convite (por meio do mecanismo de comunicação de sua escolha) para o usuário convidado.

Próximas etapas