Introduktion till Externt ID för Microsoft Entra
Microsoft Entra External ID kombinerar kraftfulla lösningar för att arbeta med personer utanför organisationen. Med funktioner för externt ID kan du tillåta att externa identiteter kommer åt dina appar och resurser på ett säkert sätt. Oavsett om du arbetar med externa partner, konsumenter eller företagskunder kan användarna ta med sina egna identiteter. Dessa identiteter kan sträcka sig från företags- eller myndighetsbaserade konton till sociala identitetsleverantörer som Google eller Facebook.
Dessa scenarier omfattas av Microsoft Entras externa ID:
Om du är en organisation eller utvecklare som skapar konsumentappar använder du externt ID för att snabbt lägga till autentisering och kundidentitets- och åtkomsthantering (CIAM) i ditt program. Registrera din app, skapa anpassade inloggningsupplevelser och hantera appanvändare i en Microsoft Entra-klientorganisation i en extern konfiguration. Den här klientorganisationen är separat från dina anställda och organisationsresurser.
Om du vill göra det möjligt för dina anställda att samarbeta med affärspartners och gäster använder du externt ID för B2B-samarbete. Tillåt säker åtkomst till dina företagsappar via inbjudan eller självbetjäningsregistrering. Fastställa vilken åtkomstnivå gäster har till Microsoft Entra-klientorganisationen som innehåller dina anställda och organisationsresurser, som är en klientorganisation i en personalkonfiguration .
Microsoft Entra Externt ID är en flexibel lösning för både konsumentorienterade apputvecklare som behöver autentisering och CIAM och företag som söker säkert B2B-samarbete.
Skydda dina appar för konsumenter och företagskunder
Organisationer och utvecklare kan använda externt ID i en extern klientorganisation som sin CIAM-lösning när de publicerar sina appar till konsumenter och företagskunder. Du kan skapa en separat Microsoft Entra-klientorganisation i en extern konfiguration, som gör att du kan hantera dina appar och användarkonton separat från personalen. I den här klientorganisationen kan du enkelt konfigurera anpassade registreringsfunktioner och användarhanteringsfunktioner:
Konfigurera självbetjäningsregistreringsflöden som definierar serien med registreringssteg som kunder följer och de inloggningsmetoder som de kan använda, till exempel e-post och lösenord, engångslösenord eller sociala konton från Google eller Facebook.
Skapa ett anpassat utseende för användare som loggar in i dina appar genom att konfigurera företagsanpassningsinställningar för din klientorganisation. Med de här inställningarna kan du lägga till egna bakgrundsbilder, färger, företagslogotyper och text för att anpassa inloggningsupplevelserna i dina appar.
Samla in information från kunder under registreringen genom att välja från en serie inbyggda användarattribut eller lägga till egna anpassade attribut.
Analysera användaraktivitets- och engagemangsdata för att upptäcka värdefulla insikter som kan hjälpa strategiska beslut och driva affärstillväxt.
Med externt ID kan kunder logga in med en identitet som de redan har. Du kan anpassa och styra hur kunder registrerar sig och loggar in när de använder dina program. Eftersom dessa CIAM-funktioner är inbyggda i externt ID kan du också dra nytta av Microsoft Entra-plattformsfunktioner som förbättrad säkerhet, efterlevnad och skalbarhet.
Mer information finns i Översikt över Externt ID för Microsoft Entra i externa klienter.
Samarbeta med företagsgäster
Med externT ID B2B-samarbete kan personalen samarbeta med externa affärspartner. Du kan bjuda in vem som helst att logga in på din Microsoft Entra-organisation med sina egna autentiseringsuppgifter så att de kan komma åt de appar och resurser som du vill dela med dem. Använd B2B-samarbete när du behöver ge företagsgäster åtkomst till dina Office 365-appar, SaaS-appar (software-as-a-service) och verksamhetsspecifika program. Det finns inga autentiseringsuppgifter kopplade till affärsgäster. I stället autentiserar de sig med sin hemorganisation eller identitetsprovider och sedan kontrollerar din organisation användarens behörighet för gästsamarbete.
Det finns olika sätt att lägga till företagsgäster i din organisation för samarbete:
Bjud in användare att samarbeta med sina Microsoft Entra-konton, Microsoft-konton eller sociala identiteter som du aktiverar, till exempel Google. En administratör kan använda administrationscentret för Microsoft Entra eller PowerShell för att bjuda in användare att samarbeta. Användaren loggar in på delade resurser med hjälp av en enkel inlösningsprocess med sitt arbets-, skol- eller andra e-postkonto.
Använd användarflöden för självbetjäningsregistrering för att låta gäster registrera sig för själva programmen. Upplevelsen kan anpassas för att tillåta registrering med en arbets-, skol- eller social identitet (som Google eller Facebook). Du kan också samla in information om användaren under registreringsprocessen.
Använd Microsoft Entra-berättigandehantering, en funktion för identitetsstyrning som gör att du kan hantera identitet och åtkomst för externa användare i stor skala genom att automatisera arbetsflöden för åtkomstbegäran, åtkomsttilldelningar, granskningar och upphörande.
Ett användarobjekt skapas för företagsgäst i samma katalog som dina anställda. Det här användarobjektet kan hanteras som andra användarobjekt i din katalog, läggas till i grupper och så vidare. Du kan tilldela behörigheter till användarobjektet (för auktorisering) samtidigt som de kan använda sina befintliga autentiseringsuppgifter (för autentisering).
Du kan använda åtkomstinställningar mellan klientorganisationer för att hantera samarbete med andra Microsoft Entra-organisationer och i Microsoft Azure-moln. För samarbete med externa användare och organisationer utanför Azure AD använder du inställningar för externt samarbete.
Vad är "personal" och "externa" klienter?
En klientorganisation är en dedikerad och betrodd instans av Microsoft Entra-ID som innehåller en organisations resurser, inklusive registrerade appar och en katalog med användare. Det finns två sätt att konfigurera en klientorganisation, beroende på hur organisationen tänker använda klientorganisationen och de resurser som de vill hantera:
- En klientkonfiguration för personal är en Microsoft Entra-standardklientorganisation som innehåller dina anställda, interna företagsappar och andra organisationsresurser. I en personalklientorganisation kan dina interna användare samarbeta med externa affärspartner och gäster med B2B-samarbete.
- En extern klientkonfiguration används uteslutande för appar som du vill publicera till konsumenter eller företagskunder. Den här distinkta klientorganisationen följer microsoft Entra-standardklientmodellen, men är konfigurerad för konsumentscenarier. Den innehåller dina appregistreringar och en katalog med konsument- eller kundkonton.
Mer information finns i Personalkonfigurationer och externa klientkonfigurationer i Microsoft Entra Externt ID.
Jämföra externa ID-funktionsuppsättningar
I följande tabell jämförs de scenarier som du kan aktivera med externt ID.
Externt ID i personalklienter | Externt ID i externa klienter | |
---|---|---|
Primärt scenario | Låt personalen samarbeta med företagsgäster. Låt gäster använda sina önskade identiteter för att logga in på resurser i din Microsoft Entra-organisation. Ger åtkomst till Microsoft-program eller dina egna program (SaaS-appar, specialutvecklade appar och så vidare). Exempel: Bjud in en gäst att logga in på dina Microsoft-appar eller bli gästmedlem i Teams. |
Publicera appar till externa konsumenter och företagskunder med hjälp av externt ID för identitetsupplevelser. Tillhandahåller identitets- och åtkomsthantering för moderna SaaS- eller specialutvecklade program (inte Microsoft-appar från första part). Exempel: Skapa en anpassad inloggningsupplevelse för användare av din konsumentmobilapp och övervaka appanvändningen. |
Avsedd för | Samarbeta med affärspartner från externa organisationer som leverantörer, partners och leverantörer. Dessa användare kanske eller kanske inte har Microsoft Entra-ID eller hanterad IT. | Konsumenter och företagskunder i din app. Dessa användare hanteras i en Microsoft Entra-klientorganisation som är konfigurerad för externa appar och användare. |
Användarhantering | B2B-samarbetsanvändare hanteras i samma personalklientorganisation som anställda men kommenteras vanligtvis som gästanvändare. Gästanvändare kan hanteras på samma sätt som anställda, läggas till i samma grupper och så vidare. Åtkomstinställningar mellan klientorganisationer kan användas för att avgöra vilka användare som har åtkomst till B2B-samarbete. | Appanvändare hanteras i en extern klientorganisation som du skapar för användare av ditt program. Användare i en extern klientorganisation har andra standardbehörigheter än användare i en personalklientorganisation. De hanteras i den externa klientorganisationen, separat från organisationens personalkatalog. |
Enkel inloggning (SSO) | Enkel inloggning till alla Microsoft Entra-anslutna appar stöds. Du kan till exempel ge åtkomst till Microsoft 365 eller lokala appar och till andra SaaS-appar som Salesforce eller Workday. | Enkel inloggning till appar som är registrerade i den externa klientorganisationen stöds. Enkel inloggning till Microsoft 365 eller andra Microsoft SaaS-appar stöds inte. |
Företagsanpassning | Standardtillståndet för autentiseringsupplevelsen är ett Microsoft-utseende. Administratörer kan anpassa gästinloggningsupplevelsen med företagets varumärkesanpassning. | Standardanpassningen för den externa klientorganisationen är neutral och innehåller inte någon befintlig Microsoft-varumärkesanpassning. Administratörer kan anpassa varumärkesanpassningen för organisationen eller per program. Läs mer. |
Microsofts molninställningar | Stödd. | Ej tillämpbart. |
Berättigandehantering | Stödd. | Ej tillämpbart. |
Närliggande tekniker
Det finns flera Microsoft Entra-tekniker som är relaterade till samarbete med externa användare och organisationer. När du utformar din externa ID-samarbetsmodell bör du överväga dessa andra funktioner.
B2B-direktanslutning
Med B2B-direktanslutning kan du skapa dubbelriktade förtroenderelationer med andra Microsoft Entra-organisationer för att aktivera funktionen För delade Teams Connect-kanaler. Med den här funktionen kan användare smidigt logga in på Delade Teams-kanaler för chatt, samtal, fildelning och appdelning. När två organisationer ömsesidigt aktiverar B2B-direktanslutning autentiserar sig användarna i sin hemorganisation och tar emot en token från resursorganisationen för åtkomst. Till skillnad från B2B-samarbete läggs inte B2B-direktanslutningsanvändare till som gäster i arbetsstyrkans katalog. Läs mer om B2B-direktanslutning i microsoft entra externt ID.
När du har konfigurerat B2B-direktanslutning med en extern organisation blir följande funktioner för delade Teams-kanaler tillgängliga:
En ägare av en delad kanal kan söka i Teams efter tillåtna användare från den externa organisationen och lägga till dem i den delade kanalen.
Externa användare kan komma åt den delade Teams-kanalen utan att behöva byta organisation eller logga in med ett annat konto. Från Teams kan den externa användaren komma åt filer och appar via fliken Filer. Den delade kanalens principer avgör användarens åtkomst.
Du använder åtkomstinställningar mellan klientorganisationer för att hantera förtroenderelationer med andra Microsoft Entra-organisationer och definiera inkommande och utgående principer för B2B-direktanslutning.
Mer information om de resurser, filer och program som är tillgängliga för B2B-direktanslutningsanvändaren via den delade Teams-kanalen finns i Chatt, team, kanaler och appar i Microsoft Teams.
Licensiering och fakturering baseras på månatliga aktiva användare (MAU). Läs mer om faktureringsmodellen för microsoft entra externt ID.
Azure Active Directory B2C
Azure Active Directory B2C (Azure AD B2C) är Microsofts äldre lösning för kundidentitet och åtkomsthantering. Azure AD B2C innehåller en separat konsumentbaserad katalog som du hanterar i Azure Portal via Azure AD B2C-tjänsten. Varje Azure AD B2C-klientorganisation är separat och skiljer sig från andra Microsoft Entra-ID och Azure AD B2C-klientorganisationer. Azure AD B2C-portalen liknar Microsoft Entra-ID, men det finns viktiga skillnader, till exempel möjligheten att anpassa dina användarresor med Identity Experience Framework.
Mer information om hur en Azure AD B2C-klient skiljer sig från en Microsoft Entra-klient finns i Microsoft Entra-funktioner som stöds i Azure AD B2C. Mer information om hur du konfigurerar och hanterar Azure AD B2C finns i Dokumentation om Azure AD B2C.
Microsoft Entra-berättigandehantering för företagsgästregistrering
Som inbjudande organisation kanske du inte vet i förväg vilka enskilda externa medarbetare som behöver åtkomst till dina resurser. Du behöver ett sätt för användare från partnerföretag att registrera sig med principer som du kontrollerar. Om du vill att användare från andra organisationer ska kunna begära åtkomst kan du använda Microsoft Entra-berättigandehantering för att konfigurera principer som hanterar åtkomst för externa användare. Efter godkännande etableras dessa användare med gästkonton och tilldelas till grupper, appar och SharePoint Online-webbplatser.
Villkorlig åtkomst
Organisationer kan använda principer för villkorsstyrd åtkomst för att förbättra säkerheten genom att tillämpa lämpliga åtkomstkontroller, till exempel MFA, på externa användare.
Villkorlig åtkomst och MFA i externa klienter
I externa klientorganisationer kan organisationer framtvinga MFA för kunder genom att skapa en princip för villkorsstyrd åtkomst i Microsoft Entra och lägga till MFA i användarflöden för registrering och inloggning. Externa klienter stöder två metoder för autentisering som en andra faktor:
- E-post engångslösenord: När användaren har loggat in med sin e-post och sitt lösenord uppmanas de att ange ett lösenord som skickas till deras e-post.
- SMS-baserad autentisering: SMS är tillgängligt som en andra faktorautentiseringsmetod för MFA för användare i externa klienter. Användare som loggar in med e-post och lösenord, e-post och engångslösenord eller sociala identiteter som Google eller Facebook uppmanas att göra en andra verifiering med sms.
Läs mer om autentiseringsmetoder i externa klienter.
Villkorlig åtkomst för B2B-samarbete och B2B-direktanslutning
I en klientorganisation för personal kan organisationer tillämpa principer för villkorsstyrd åtkomst för externt B2B-samarbete och B2B-direktanslutningsanvändare på samma sätt som de är aktiverade för heltidsanställda och medlemmar i organisationen. Om dina principer för villkorsstyrd åtkomst kräver MFA eller enhetsefterlevnad för Microsoft Entra kan du nu lita på MFA- och enhetsefterlevnadsanspråk från en extern användares hemorganisation. När förtroendeinställningar är aktiverade kontrollerar Microsoft Entra-ID under autentiseringen en användares autentiseringsuppgifter efter ett MFA-anspråk eller ett enhets-ID för att avgöra om principerna redan har uppfyllts. I så fall beviljas den externa användaren sömlös inloggning till din delade resurs. Annars initieras en MFA- eller enhetsutmaning i användarens hemklientorganisation. Läs mer om autentiseringsflödet och villkorsstyrd åtkomst för externa användare i arbetsstyrkans klientorganisationer.
Program för flera klienter
Om du erbjuder ett SaaS-program (Programvara som en tjänst) till många organisationer kan du konfigurera ditt program så att det accepterar inloggningar från alla Microsoft Entra-klienter. Den här konfigurationen kallas för att göra programmet multitenant. Användare i alla Microsoft Entra-klienter kommer att kunna logga in på ditt program när de har samtyckt till att använda sitt konto med ditt program. Se hur du aktiverar inloggningar med flera klientorganisationer.
Organisationer med flera klientorganisationer
En organisation med flera klientorganisationer är en organisation som har mer än en instans av Microsoft Entra-ID. Det finns olika orsaker till flera innehavare. Din organisation kan till exempel sträcka sig över flera moln eller geografiska gränser.
Funktionen för flera klientorganisationer möjliggör sömlöst samarbete i Microsoft 365. Det förbättrar medarbetarnas samarbetsupplevelser i din organisation av flera klienter i program som Microsoft Teams och Microsoft Viva Engage.
Synkroniseringsfunktionen mellan klientorganisationer är en enkelriktad synkroniseringstjänst som säkerställer att användarna kan komma åt resurser, utan att få ett e-postmeddelande med inbjudan och behöver acceptera en medgivandeprompt i varje klientorganisation.
Mer information om organisationer med flera klienter och synkronisering mellan klientorganisationer finns i dokumentationen om flera klientorganisationer och funktionsjämförelse.
Microsoft Graph-API:er
Alla externa ID-funktioner stöds också för automatisering via Microsoft Graph-API:er förutom de som anges i nästa avsnitt. Mer information finns i Hantera Microsoft Entra-identitet och nätverksåtkomst med hjälp av Microsoft Graph.
Funktioner som inte stöds i Microsoft Graph
Funktion för externt ID | Stöds i | Automatiseringslösningar |
---|---|---|
Identifiera organisationer som du tillhör | Personalklienter | Klienter – Lista Azure Resource Manager API. För Delade Teams-kanaler och B2B-direktanslutning använder du Get tenantReferences Microsoft Graph API. |
Microsoft Entra Microsoft Graph API för B2B-samarbete
Inställningar för åtkomst mellan klientorganisationer: Api:erna för åtkomst mellan klientorganisationer i Microsoft Graph gör att du programmatiskt kan skapa samma B2B-samarbete och B2B-principer för direktanslutning som kan konfigureras i Azure Portal. Med hjälp av dessa API:er kan du konfigurera principer för inkommande och utgående samarbete. Du kan till exempel tillåta eller blockera funktioner för alla som standard och begränsa åtkomsten till specifika organisationer, grupper, användare och program. MED API:erna kan du också acceptera multifaktorautentisering (MFA) och enhetsanspråk (kompatibla anspråk och Microsoft Entra-hybridanslutna anspråk) från andra Microsoft Entra-organisationer.
B2B-samarbetsinbjudan: API:et för inbjudningshanteraren i Microsoft Graph är tillgängligt för att skapa egna registreringsupplevelser för företagsgäster. Du kan till exempel använda API:et för att skapa inbjudan för att automatiskt skicka ett anpassat e-postmeddelande med inbjudan direkt till B2B-användaren. Eller så kan din app använda inviteRedeemUrl som returneras i skapandesvaret för att skapa en egen inbjudan (via valfri kommunikationsmekanism) till den inbjudna användaren.