Общие сведения о Внешняя идентификация Microsoft Entra

Внешняя идентификация Microsoft Entra объединяет мощные решения для работы с людьми за пределами вашей организации. С помощью возможностей внешнего идентификатора можно разрешить внешним удостоверениям безопасно получать доступ к приложениям и ресурсам. Независимо от того, работаете ли вы с внешними партнерами, потребителями или бизнес-клиентами, пользователи могут принести свои удостоверения. Эти удостоверения могут варьироваться от корпоративных или государственных учетных записей до поставщиков социальных удостоверений, таких как Google или Facebook.

Схема с обзором внешнего идентификатора.

Эти сценарии относятся к области Внешняя идентификация Microsoft Entra:

  • Если вы являетесь организацией или разработчиком, создавая потребительские приложения, используйте внешний идентификатор для быстрого добавления проверки подлинности и идентификации клиента и управления доступом (CIAM) в приложение. Зарегистрируйте приложение, создайте настраиваемые возможности входа и управляйте пользователями приложения в клиенте Microsoft Entra во внешней конфигурации. Этот клиент отличается от сотрудников и ресурсов организации.

  • Если вы хотите разрешить сотрудникам сотрудничать с бизнес-партнерами и гостями, используйте внешний идентификатор для совместной работы B2B. Разрешить безопасный доступ к корпоративным приложениям с помощью приглашения или самостоятельной регистрации. Определите уровень доступа гостей с клиентом Microsoft Entra, который содержит ваши сотрудники и организационные ресурсы, который является клиентом в конфигурации рабочей силы .

Внешняя идентификация Microsoft Entra — это гибкое решение для разработчиков приложений, ориентированных на потребителей, нуждающихся в проверке подлинности и CIAM, а также для предприятий, стремящихся обеспечить безопасную совместную работу B2B.

Защита приложений для потребителей и бизнес-клиентов

Организации и разработчики могут использовать внешний идентификатор во внешнем клиенте в качестве решения CIAM при публикации приложений потребителям и бизнес-клиентам. Вы можете создать отдельный клиент Microsoft Entra во внешней конфигурации, что позволяет управлять приложениями и учетными записями пользователей отдельно от рабочей силы. В этом клиенте можно легко настроить пользовательские возможности регистрации с фирменной символией и функции управления пользователями:

  • Настройте потоки самостоятельной регистрации, определяющие ряд шагов регистрации клиентов и методы входа, которые они могут использовать, такие как электронная почта и пароль, одноразовые секретные коды или учетные записи социальных сетей из Google или Facebook.

  • Создайте настраиваемый внешний вид и ощущение для пользователей, войдите в приложения, настроив параметры фирменной символики компании для вашего клиента. С помощью этих параметров вы можете добавить собственные фоновые изображения, цвета, логотипы компании и текст для настройки возможностей входа в приложениях.

  • Сбор сведений от клиентов во время регистрации путем выбора из ряда встроенных пользовательских атрибутов или добавления собственных пользовательских атрибутов.

  • Анализ данных о действиях пользователей и взаимодействии с целью выявления ценных аналитических сведений, которые могут помочь стратегическим решениям и стимулировать рост бизнеса.

С помощью внешнего идентификатора клиенты могут войти с помощью удостоверения, который у них уже есть. Вы можете настроить и контролировать способ регистрации и входа клиентов при использовании приложений. Поскольку эти возможности CIAM встроены во внешний идентификатор, вы также можете воспользоваться функциями платформы Microsoft Entra, такими как улучшенная безопасность, соответствие и масштабируемость.

Дополнительные сведения см. в разделе "Обзор Внешняя идентификация Microsoft Entra" во внешних клиентах.

Совместная работа с бизнес-гостями

Совместная работа с внешним идентификатором B2B позволяет сотрудникам сотрудничать с внешними бизнес-партнерами. Вы можете пригласить всех пользователей для входа в организацию Microsoft Entra с помощью собственных учетных данных, чтобы они могли получить доступ к приложениям и ресурсам, которым вы хотите поделиться с ними. Используйте совместную работу B2B, если вам нужно предоставить бизнес-гостям доступ к приложениям Office 365, приложениям saaS как услуга и бизнес-приложениям. Учетные данные, связанные с бизнес-гостями, отсутствуют. Вместо этого они проходят проверку подлинности с помощью домашней организации или поставщика удостоверений, а затем ваша организация проверяет право пользователя на совместную работу с гостями.

Существуют различные способы добавления бизнес-гостей в вашу организацию для совместной работы:

  • Пригласите пользователей для совместной работы с помощью учетных записей Microsoft Entra, учетных записей Майкрософт или удостоверений социальных удостоверений, которые вы включаете, например Google. Администратор может использовать Центр администрирования Microsoft Entra или PowerShell, чтобы пригласить пользователей к совместной работе. Пользователь выполняет вход в систему для доступа к общим ресурсам, используя простой процесс активации с помощью рабочей или учебной учетной записи или любой учетной записи электронной почты.

  • Используйте потоки пользователей самостоятельной регистрации, чтобы позволить гостям самостоятельно регистрировать приложения. Взаимодействие можно настроить таким образом, чтобы разрешить регистрацию с помощью рабочего, учебного или социального идентификаторов (например, Google или Facebook). Вы также можете собирать сведения о пользователе во время регистрации.

  • Используйте функцию управления правами Microsoft Entra, функцию управления удостоверениями, которая позволяет управлять удостоверениями и доступом для внешних пользователей в масштабе путем автоматизации рабочих процессов запросов на доступ, назначений доступа, проверок и истечения срока действия.

Объект пользователя создается для бизнес-гостя в том же каталоге, что и сотрудники. Этим объектом пользователя можно управлять, как и другими объектами пользователей в каталоге, добавлять в группы и т. д. Вы можете назначить разрешения объекту пользователя (для авторизации), разрешив им использовать существующие учетные данные (для проверки подлинности).

Параметры доступа между клиентами можно использовать для управления совместной работой с другими организациями Microsoft Entra и в облаках Microsoft Azure. Для совместной работы с внешними пользователями и организациями, отличными от Azure AD, используйте параметры внешней совместной работы.

Что такое "сотрудники" и "внешние" арендаторы?

Клиент — это выделенный и доверенный экземпляр идентификатора Microsoft Entra, который содержит ресурсы организации, включая зарегистрированные приложения и каталог пользователей. Существует два способа настройки клиента в зависимости от того, как организация намерена использовать клиент и ресурсы, которыми они хотят управлять:

  • Конфигурация клиента рабочей силы — это стандартный клиент Microsoft Entra, содержащий ваших сотрудников, внутренние бизнес-приложения и другие организационные ресурсы. В клиенте рабочей силы внутренние пользователи могут сотрудничать с внешними деловыми партнерами и гостями с помощью совместной работы B2B.
  • Конфигурация внешнего клиента используется исключительно для приложений, которые вы хотите опубликовать для потребителей или бизнес-клиентов. Этот отдельный клиент следует стандартной модели клиента Microsoft Entra, но настроен для сценариев потребителей. Он содержит регистрации приложений и каталог учетных записей потребителей или клиентов.

Дополнительные сведения см. в разделе "Рабочие ресурсы и внешние конфигурации клиентов" в Внешняя идентификация Microsoft Entra.

Сравнение наборов функций внешнего идентификатора

В следующей таблице сравниваются сценарии, которые можно включить с внешним идентификатором.

Внешний идентификатор в клиентах рабочей силы Внешний идентификатор во внешних клиентах
Основной сценарий Разрешить сотрудникам сотрудничать с бизнес-гостями. Позвольте гостям использовать предпочитаемые удостоверения для входа в ресурсы в организации Microsoft Entra. Предоставляет доступ к приложениям Майкрософт или собственным приложениям (приложениям SaaS, пользовательским приложениям и т. д.).

Пример. Пригласите гостя войти в приложения Майкрософт или стать гостем в Teams.
Публикация приложений для внешних потребителей и бизнес-клиентов с помощью внешнего идентификатора для взаимодействия с удостоверениями. Предоставляет возможность управления идентификацией и доступом для современных приложений SaaS или приложений собственной разработки (не созданных корпорацией Майкрософт как первой стороной).

Пример. Создание настраиваемого интерфейса входа для пользователей мобильного приложения потребителя и мониторинг использования приложений.
Предназначено для Совместная работа с деловыми партнерами из внешних организаций, например с поставщиками, партнерами, продавцами. Эти пользователи могут или не имеют идентификатора Microsoft Entra или управляемого ИТ-решения. Потребители и бизнес-клиенты вашего приложения. Эти пользователи управляются в клиенте Microsoft Entra, настроенном для внешних приложений и пользователей.
Управление пользователями Пользователи совместной работы B2B управляются в том же клиенте рабочей силы, что и сотрудники, но обычно помечены как гостевые пользователи. Гостевыми пользователями можно управлять так же, как и сотрудниками, их можно добавить в те же группы и так далее. Параметры доступа между клиентами можно использовать для определения доступа пользователей к совместной работе B2B. Пользователи приложений управляются во внешнем клиенте, который вы создаете для потребителей приложения. Пользователи во внешнем клиенте имеют разные разрешения по умолчанию, чем пользователи в клиенте рабочей силы. Они управляются во внешнем клиенте отдельно от каталога сотрудников организации.
Единый вход (SSO) Единый вход для всех подключенных приложений Microsoft Entra поддерживается. Например, можно предоставить доступ к приложениям Microsoft 365 или локальным приложениям, а также к другим приложениям SaaS, таким как Salesforce или Workday. Единый вход в приложения, зарегистрированные во внешнем клиенте, поддерживается. Единый вход в Microsoft 365 или другие приложения SaaS корпорации Майкрософт не поддерживается.
Фирменная символика компании Состояние проверки подлинности по умолчанию — это внешний вид и интерфейс Майкрософт. Администраторы могут настраивать возможности входа гостей с фирменной символикой компании. Фирменная символика по умолчанию для внешнего клиента не является нейтральной и не включает в себя существующие фирменные символики Майкрософт. Администраторы могут настроить фирменную символику для организации или каждого приложения. Подробнее.
Параметры облака Майкрософт Поддерживается. Неприменимо.
Управление правами Поддерживается. Неприменимо.

Существует несколько технологий Microsoft Entra, связанных с сотрудничеством с внешними пользователями и организациями. При разработке модели совместной работы с внешним идентификатором рассмотрите эти другие функции.

Прямое соединение B2B

Прямое подключение B2B позволяет создавать двусторонние отношения доверия с другими организациями Microsoft Entra, чтобы включить функцию Teams Связи общих каналов. Эта функция позволяет пользователям легко входить в общие каналы Teams для чата, звонков, обмена файлами и общего доступа к приложениям. Когда две организации взаимно включают прямое соединение B2B, пользователи проходят проверку подлинности в своей домашней организации и получают маркер из организации, содержащей ресурсы, для доступа. В отличие от совместной работы B2B, пользователи прямого подключения B2B не добавляются в качестве гостей в каталог рабочей силы. Дополнительные сведения о прямом подключении B2B см. в Внешняя идентификация Microsoft Entra.

После настройки прямого подключения B2B к внешней организации становятся доступны следующие возможности общих каналов Teams:

  • Владелец общего канала может выполнять поиск в Teams для разрешенных пользователей из внешней организации и добавлять их в общий канал.

  • Внешние пользователи могут получить доступ к общему каналу Teams без необходимости переключать организации или выполнять вход с другой учетной записью. Из Teams внешний пользователь может получить доступ к файлам и приложениям на вкладке "Файлы". Политики общего канала определяют доступ пользователя.

Параметры доступа между клиентами используются для управления отношениями доверия с другими организациями Microsoft Entra и определять политики входящего и исходящего трафика для прямого подключения B2B.

Дополнительные сведения о ресурсах, файлах и приложениях, доступных пользователю прямого подключения B2B через общий канал Teams, относятся к чату, командам, каналам и приложениям в Microsoft Teams.

Лицензирование и выставление счетов основаны на ежемесячных активных пользователях (MAU). Дополнительные сведения о модели выставления счетов для Внешняя идентификация Microsoft Entra.

Azure Active Directory B2C

Azure Active Directory B2C (Azure AD B2C) — это устаревшее решение Майкрософт для управления удостоверениями клиентов и доступом. Azure AD B2C включает отдельный каталог на основе потребителей, управляемый в портал Azure через службу Azure AD B2C. Каждый клиент Azure AD B2C отличается от других клиентов Microsoft Entra ID и Azure AD B2C. Интерфейс портала Azure AD B2C аналогичен идентификатору Microsoft Entra, но существуют ключевые различия, такие как возможность настраивать пути взаимодействия пользователей с помощью платформы удостоверений.

Дополнительные сведения о том, как клиент Azure AD B2C отличается от клиента Microsoft Entra, см. в статье "Поддерживаемые функции Microsoft Entra" в Azure AD B2C. Дополнительные сведения о настройке и управлении Azure AD B2C см. в документации по Azure AD B2C.

Управление правами Microsoft Entra для регистрации гостей бизнеса

Ваша приглашающая организация не может знать наперед, каким отдельным внешним сотрудникам необходимо получить доступ к вашим ресурсам. Вам нужно, чтобы пользователи из партнерских компаний могли сами регистрироваться с применением управляемых вами политик. Чтобы разрешить пользователям из других организаций запрашивать доступ, можно использовать управление правами Microsoft Entra для настройки политик, которые управляют доступом для внешних пользователей. После утверждения эти пользователи будут подготовлены с гостевыми учетными записями и назначены группам, приложениям и сайтам SharePoint Online.

Условный доступ

Организации могут использовать политики условного доступа для повышения безопасности, применяя соответствующие элементы управления доступом, такие как MFA, к внешним пользователям.

Условный доступ и MFA во внешних клиентах

В внешних клиентах организации могут применять MFA для клиентов, создавая политику условного доступа Microsoft Entra и добавляя MFA для регистрации и входа в потоки пользователей. Внешние клиенты поддерживают два метода проверки подлинности в качестве второго фактора:

  • Одноразовый секретный код электронной почты: после входа пользователя с помощью электронной почты и пароля он запрашивает секретный код, отправляемый в сообщение электронной почты.
  • Проверка подлинности на основе SMS: SMS доступен в качестве второго метода проверки подлинности для MFA для пользователей во внешних клиентах. Пользователям, которые входят в систему с помощью электронной почты и пароля, электронной почты и однократного секретного кода или социальных удостоверений, таких как Google или Facebook, предлагается ввести вторую проверку с помощью SMS.

Дополнительные сведения о методах проверки подлинности во внешних клиентах.

Условный доступ для совместной работы B2B и прямого подключения B2B

В клиенте рабочей силы организации могут применять политики условного доступа для внешней совместной работы B2B и прямого подключения пользователей B2B таким же образом, как и для сотрудников и членов организации. Если политика условного доступа требует многофакторной проверки подлинности или соответствия устройств, теперь можно доверять утверждениям MFA и соответствия устройств из домашней организации внешнего пользователя. Если параметры доверия включены, во время проверки подлинности идентификатор Microsoft Entra проверяет учетные данные пользователя для утверждения MFA или идентификатора устройства, чтобы определить, выполнены ли политики. В этом случае внешний пользователь предоставляет простой вход в общий ресурс. В противном случае вызов MFA или устройства инициируется в домашнем клиенте пользователя. Дополнительные сведения о потоке проверки подлинности и условном доступе для внешних пользователей в клиентах рабочей силы.

Мультитенантные приложения

Если вы предлагаете приложение Software as a Service (SaaS) для многих организаций, вы можете настроить приложение для принятия входов из любого клиента Microsoft Entra. Эта конфигурация называется мультитенантным приложением. Пользователи в любом клиенте Microsoft Entra смогут войти в приложение после предоставления согласия на использование учетной записи с приложением. См. сведения о том как включить вход в систему из нескольких клиентов.

Мультитенантные организации

Мультитенантная организация — это организация с несколькими экземплярами идентификатора Microsoft Entra. Существуют различные причины многотенантности. Например, ваша организация может охватывать несколько облаков или географических границ.

Возможности мультитенантной организации позволяют эффективно сотрудничать в Microsoft 365. Это улучшает взаимодействие с сотрудниками в организации нескольких клиентов в таких приложениях, как Microsoft Teams и Microsoft Viva Engage.

Возможность синхронизации между клиентами — это односторонняя служба синхронизации , которая гарантирует пользователям доступ к ресурсам без получения приглашения электронной почты и принятия запроса согласия в каждом клиенте.

Дополнительные сведения о мультитенантных организациях и синхронизации между клиентами см. в документации по мультитенантным организациям и сравнении функций.

API-интерфейсы Microsoft Graph

Все функции внешнего идентификатора также поддерживаются для автоматизации через API Microsoft Graph, кроме перечисленных в следующем разделе. Дополнительные сведения см. в статье "Управление удостоверением Microsoft Entra и сетевым доступом с помощью Microsoft Graph".

Возможности, не поддерживаемые в Microsoft Graph

Функция внешнего идентификатора Поддерживается в Обходные пути автоматизации
Определение организаций, принадлежащих вам Клиенты рабочей силы Клиенты — список API Azure Resource Manager. Для общих каналов Teams и прямого подключения B2B используйте API Get tenantReferences Microsoft Graph.

API Microsoft Entra Microsoft Graph для совместной работы B2B

  • API-интерфейсы доступа между клиентами: интерфейсы API доступа между клиентами в Microsoft Graph позволяют программно создавать те же политики совместной работы B2B и прямые подключения B2B, которые настраиваются в портал Azure. С помощью этих API можно настроить политики для входящего и исходящего взаимодействия. Например, можно разрешить или заблокировать функции для всех по умолчанию и ограничить доступ к определенным организациям, группам, пользователям и приложениям. API также позволяют принимать многофакторную проверку подлинности (MFA) и утверждения устройств (соответствующие утверждения и гибридные утверждения Microsoft Entra) из других организаций Microsoft Entra.

  • Диспетчер приглашений для совместной работы B2B: API диспетчера приглашений в Microsoft Graph доступен для создания собственных возможностей подключения для бизнес-гостей. Вы можете использовать API создания приглашения для автоматической отправки настраиваемого электронного письма с приглашением непосредственно пользователю B2B, например. Или ваше приложение может использовать inviteRedeemUrl, возвращенный в ответе на создание, чтобы создать собственное приглашение (с помощью выбранного механизма связи) приглашенному пользователю.

Следующие шаги