Microsoft Entra Dış Kimlik giriş
Microsoft Entra Dış Kimlik, kuruluşunuzun dışındaki kişilerle çalışmak için güçlü çözümleri birleştirir. Dış Kimlik özellikleriyle, dış kimliklerin uygulamalarınıza ve kaynaklarınıza güvenli bir şekilde erişmesine izin vekleyebilirsiniz. dış iş ortakları, tüketiciler veya iş müşterileri ile çalışıyor olun, kullanıcılar kendi kimliklerini getirebilir. Bu kimlikler, şirket veya kamu tarafından verilen hesaplardan Google veya Facebook gibi sosyal kimlik sağlayıcılarına kadar değişebilir.
Bu senaryolar Microsoft Entra Dış Kimlik kapsamındadır:
Bir kuruluş veya tüketici uygulamaları oluşturan bir geliştiriciyseniz, uygulamanıza hızlı bir şekilde kimlik doğrulaması ve müşteri kimliği ve erişim yönetimi (CIAM) eklemek için Dış Kimlik'i kullanın. Uygulamanızı kaydedin, özelleştirilmiş oturum açma deneyimleri oluşturun ve dış yapılandırmadaki bir Microsoft Entra kiracısında uygulama kullanıcılarınızı yönetin. Bu kiracı, çalışanlarınızdan ve kuruluş kaynaklarınızdan ayrıdır.
Çalışanlarınızın iş ortakları ve konuklarla işbirliği yapmasını sağlamak istiyorsanız B2B işbirliği için Dış Kimlik'i kullanın. Davet veya self servis kaydolma yoluyla kurumsal uygulamalarınıza güvenli erişime izin verin. İş gücü yapılandırmasında bir kiracı olan çalışanlarınızı ve kuruluş kaynaklarınızı içeren Microsoft Entra kiracısına konukların sahip olduğu erişim düzeyini belirleyin.
Microsoft Entra Dış Kimlik, hem kimlik doğrulamasına hem de CIAM'ye ihtiyaç duyan tüketici odaklı uygulama geliştiricileri ve güvenli B2B işbirliği arayan işletmeler için esnek bir çözümdür.
Uygulamalarınızı tüketiciler ve iş müşterileri için güvenli bir şekilde sağlama
Kuruluşlar ve geliştiriciler, uygulamalarını tüketicilere ve iş müşterilerine yayımlarken CIAM çözümü olarak dış kiracıda Dış Kimlik kullanabilir. Dış yapılandırmada, uygulamalarınızı ve kullanıcı hesaplarınızı iş gücünüzden ayrı olarak yönetmenizi sağlayan ayrı bir Microsoft Entra kiracısı oluşturabilirsiniz. Bu kiracıda, özel markalı kaydolma deneyimlerini ve kullanıcı yönetimi özelliklerini kolayca yapılandırabilirsiniz:
Müşterilerin izlediği kaydolma adımları serisini ve e-posta ve parola, tek seferlik geçiş kodları veya Google ya da Facebook'tan sosyal hesaplar gibi kullanabilecekleri oturum açma yöntemlerini tanımlayan self servis kayıt akışları ayarlayın.
Kiracınız için Şirket marka ayarlarını yapılandırarak uygulamalarınızda oturum açmış kullanıcılar için özel bir görünüm ve görünüm oluşturun. Bu ayarlarla, uygulamalarınızdaki oturum açma deneyimlerini özelleştirmek için kendi arka plan resimlerinizi, renklerinizi, şirket logolarınızı ve metinlerinizi ekleyebilirsiniz.
Bir dizi yerleşik kullanıcı özniteliği arasından seçim yaparak veya kendi özel özniteliklerinizi ekleyerek kaydolma sırasında müşterilerden bilgi toplayın.
Stratejik kararlar alınmasına yardımcı olabilecek ve iş büyümesine yardımcı olabilecek değerli içgörüleri ortaya çıkarmak için kullanıcı etkinliği ve katılım verilerini analiz edin.
Dış Kimlik ile müşteriler zaten sahip oldukları bir kimlikle oturum açabilir. Müşterilerinizin uygulamalarınızı kullanırken nasıl kaydolup oturum açabileceğini özelleştirebilir ve denetleyebilirsiniz. Bu CIAM özellikleri External ID'de yerleşik olduğundan gelişmiş güvenlik, uyumluluk ve ölçeklenebilirlik gibi Microsoft Entra platform özelliklerinden de yararlanabilirsiniz.
Ayrıntılar için bkz. Dış kiracılardaki Microsoft Entra Dış Kimlik genel bakış.
İş konuklarıyla işbirliği yapma
Dış kimlik B2B işbirliği , iş gücünüzün dış iş ortaklarıyla işbirliği yapmasını sağlar. Kendi kimlik bilgilerini kullanarak herkesi Microsoft Entra kuruluşunuzda oturum açmaya davet edebilirsiniz, böylece kendileriyle paylaşmak istediğiniz uygulamalara ve kaynaklara erişebilirler. İşletme konuklarının Office 365 uygulamalarınıza, hizmet olarak yazılım (SaaS) uygulamalarınıza ve iş kolu uygulamalarınıza erişmesine izin vermeniz gerektiğinde B2B işbirliğini kullanın. İşletme konuklarıyla ilişkilendirilmiş kimlik bilgileri yoktur. Bunun yerine, kendi ev kuruluşunda veya kimlik sağlayıcısında kimlik doğrulaması yapar ve ardından kuruluşunuz kullanıcının konuk işbirliği için uygunluğunu denetler.
İşbirliği için kuruluşunuza iş konukları eklemenin çeşitli yolları vardır:
Kullanıcıları Microsoft Entra hesaplarını, Microsoft hesaplarını veya Google gibi etkinleştirdiğiniz sosyal kimliklerini kullanarak işbirliği yapmaya davet edin. Bir yönetici, kullanıcıları işbirliğine davet etmek için Microsoft Entra yönetim merkezini veya PowerShell'i kullanabilir. Kullanıcı iş, okul veya diğer e-posta hesabıyla basit bir kullanım işlemi kullanarak paylaşılan kaynaklarda oturum açar.
Konukların uygulamalara kendilerinin kaydolmasını sağlamak için self servis kaydolma kullanıcı akışlarını kullanın. Bu deneyim, bir iş, okul veya sosyal kimlikle (Google veya Facebook gibi) kaydolmaya izin verecek şekilde özelleştirilebilir. Kayıt işlemi sırasında kullanıcı hakkında bilgi de toplayabilirsiniz.
Erişim isteği iş akışlarını, erişim atamalarını, gözden geçirmeleri ve süre sonunu otomatikleştirerek dış kullanıcılar için büyük ölçekte kimlik ve erişimi yönetmenize olanak tanıyan bir kimlik idaresi özelliği olan Microsoft Entra yetkilendirme yönetimini kullanın.
Çalışanlarınızla aynı dizinde yer alan iş konuğu için bir kullanıcı nesnesi oluşturulur. Bu kullanıcı nesnesi dizininizdeki diğer kullanıcı nesneleri gibi yönetilebilir, gruplara eklenebilir vb. Mevcut kimlik bilgilerini kullanmalarına izin verirken (kimlik doğrulaması için) kullanıcı nesnesine izinler atayabilirsiniz (yetkilendirme için).
Diğer Microsoft Entra kuruluşlarıyla ve Microsoft Azure bulutlarında işbirliğini yönetmek için kiracılar arası erişim ayarlarını kullanabilirsiniz. Azure AD dışı dış kullanıcılar ve kuruluşlarla işbirliği için dış işbirliği ayarlarını kullanın.
"İş gücü" ve "dış" kiracılar nelerdir?
Kiracı, kayıtlı uygulamalar ve bir kullanıcı dizini de dahil olmak üzere kuruluşun kaynaklarını içeren ayrılmış ve güvenilen bir Microsoft Entra Kimliği örneğidir. Kuruluşun kiracıyı ve yönetmek istediği kaynakları nasıl kullanmayı planladığına bağlı olarak, kiracıyı yapılandırmanın iki yolu vardır:
- İş gücü kiracı yapılandırması, çalışanlarınızı, iç iş uygulamalarınızı ve diğer kuruluş kaynaklarını içeren standart bir Microsoft Entra kiracısıdır. İş gücü kiracısında, iç kullanıcılarınız B2B işbirliği kullanarak dış iş ortakları ve konuklarla işbirliği yapabilir.
- Dış kiracı yapılandırması yalnızca tüketicilere veya iş müşterilerine yayımlamak istediğiniz uygulamalar için kullanılır. Bu ayrı kiracı standart Microsoft Entra kiracı modelini izler, ancak tüketici senaryoları için yapılandırılır. Uygulama kayıtlarınızı ve tüketici veya müşteri hesaplarının dizinini içerir.
Ayrıntılar için bkz. Microsoft Entra Dış Kimlik'da iş gücü ve dış kiracı yapılandırmaları.
Dış Kimlik özellik kümelerini karşılaştırma
Aşağıdaki tablo, Dış Kimlik ile etkinleştirebileceğiniz senaryoları karşılaştırır.
İş gücü kiracılarındaki dış kimlik | Dış kiracılardaki dış kimlik | |
---|---|---|
Birincil senaryo | İş gücünüzün iş konuklarıyla işbirliği yapmasına izin verin. Konukların Microsoft Entra kuruluşunuzdaki kaynaklarda oturum açmak için tercih ettikleri kimlikleri kullanmalarına izin verin. Microsoft uygulamalarına veya kendi uygulamalarınıza (SaaS uygulamaları, özel geliştirilmiş uygulamalar vb.) erişim sağlar. Örnek: Bir konuğu Microsoft uygulamalarınızda oturum açmaya veya Teams'de konuk üye olmaya davet edin. |
Kimlik deneyimleri için Dış Kimlik kullanarak uygulamaları dış tüketicilere ve iş müşterilerine yayımlayın. Modern SaaS veya özel olarak geliştirilmiş uygulamalar (birinci taraf Microsoft uygulamaları değil) için kimlik ve erişim yönetimi sağlar. Örnek: Tüketici mobil uygulamanızın kullanıcıları için özelleştirilmiş bir oturum açma deneyimi oluşturun ve uygulama kullanımını izleyin. |
Hedeflenen | Tedarikçiler, iş ortakları, satıcılar gibi dış kuruluşların iş ortaklarıyla işbirliği yapmak. Bu kullanıcılar Microsoft Entra Id veya yönetilen BT'ye sahip olabilir veya olmayabilir. | Uygulamanızın tüketicileri ve iş müşterileri. Bu kullanıcılar, dış uygulamalar ve kullanıcılar için yapılandırılmış bir Microsoft Entra kiracısında yönetilir. |
Kullanıcı yönetimi | B2B işbirliği kullanıcıları, çalışanlarla aynı iş gücü kiracısında yönetilir ancak genellikle konuk kullanıcılar olarak ek açıklama eklenir. Konuk kullanıcılar çalışanla aynı şekilde yönetilebilir, aynı gruplara eklenebilir ve bu şekilde devam edebilir. B2B işbirliğine erişimi olan kullanıcıları belirlemek için kiracılar arası erişim ayarları kullanılabilir. | Uygulama kullanıcıları, uygulamanızın tüketicileri için oluşturduğunuz bir dış kiracıda yönetilir. Dış kiracıdaki kullanıcılar, bir iş gücü kiracısında bulunan kullanıcılardan farklı varsayılan izinlere sahiptir. Bunlar, kuruluşun çalışan dizininden ayrı olarak dış kiracıda yönetilir. |
Çoklu oturum açma (SSO) | Tüm Microsoft Entra bağlı uygulamalarına SSO desteklenir. Örneğin, Microsoft 365 veya şirket içi uygulamalara ve Salesforce veya Workday gibi diğer SaaS uygulamalarına erişim sağlayabilirsiniz. | Dış kiracıda kayıtlı uygulamalara SSO desteklenir. SSO'dan Microsoft 365'e veya diğer Microsoft SaaS uygulamalarına yönelik desteklenmemektedir. |
Şirket markası | Kimlik doğrulama deneyimi için varsayılan durum, Microsoft'un görünüm ve hissidir. Yöneticiler, şirket markalarıyla konuk oturum açma deneyimini özelleştirebilir. | Dış kiracı için varsayılan markalama nötrdür ve mevcut Microsoft markalarını içermez. Yöneticiler, kuruluş veya uygulama başına markayı özelleştirebilir. Daha fazla bilgi edinin. |
Microsoft bulut ayarları | Destekli. | Uygulanamaz. |
Yetkilendirme yönetimi | Destekli. | Uygulanamaz. |
İlgili teknolojiler
Dış kullanıcılar ve kuruluşlarla işbirliğiyle ilgili çeşitli Microsoft Entra teknolojileri vardır. Dış Kimlik işbirliği modelinizi tasarlarken bu diğer özellikleri göz önünde bulundurun.
B2B doğrudan bağlantı
B2B doğrudan bağlantı, Teams Bağlantı paylaşılan kanallar özelliğini etkinleştirmek için diğer Microsoft Entra kuruluşlarıyla iki yönlü güven ilişkileri oluşturmanıza olanak tanır. Bu özellik kullanıcıların sohbet, aramalar, dosya paylaşımı ve uygulama paylaşımı için Teams paylaşılan kanallarında sorunsuz bir şekilde oturum açmasına olanak tanır. İki kuruluş B2B doğrudan bağlantısını karşılıklı olarak etkinleştirdiğinde, kullanıcılar kendi ev kuruluşlarında kimlik doğrulaması yapar ve erişim için kaynak kuruluştan bir belirteç alır. B2B işbirliğinden farklı olarak, B2B doğrudan bağlantı kullanıcıları iş gücü dizininize konuk olarak eklenmez. Microsoft Entra Dış Kimlik'da B2B doğrudan bağlantı hakkında daha fazla bilgi edinin.
B2B doğrudan bağlantısını bir dış kuruluşla ayarladıktan sonra, aşağıdaki Teams paylaşılan kanalları özellikleri kullanılabilir hale gelir:
Paylaşılan kanal sahibi Teams'de dış kuruluştaki izin verilen kullanıcıları arayabilir ve bunları paylaşılan kanala ekleyebilir.
Dış kullanıcılar, kuruluşlar arasında geçiş yapmak veya farklı bir hesapla oturum açmak zorunda kalmadan Teams paylaşılan kanalına erişebilir. Dış kullanıcı Teams'in içinden Dosyalar sekmesi aracılığıyla dosyalara ve uygulamalara erişebilir. Paylaşılan kanalın ilkeleri kullanıcının erişimini belirler.
Diğer Microsoft Entra kuruluşlarıyla güven ilişkilerini yönetmek ve B2B doğrudan bağlantı için gelen ve giden ilkeleri tanımlamak için kiracılar arası erişim ayarlarını kullanırsınız.
B2B doğrudan bağlantı kullanıcısının Teams paylaşılan kanalı üzerinden kullanabileceği kaynaklar, dosyalar ve uygulamalar hakkında ayrıntılı bilgi için Microsoft Teams'deki Sohbet, ekipler, kanallar ve uygulamalar bölümüne bakın.
Lisanslama ve faturalama aylık etkin kullanıcıları (MAU) temel alır. Microsoft Entra Dış Kimlik için faturalama modeli hakkında daha fazla bilgi edinin.
Azure Active Directory B2C
Azure Active Directory B2C (Azure AD B2C), Microsoft'un müşteri kimliği ve erişim yönetimi için eski çözümüdür. Azure AD B2C, Azure AD B2C hizmeti aracılığıyla Azure portalında yönettiğiniz ayrı bir tüketici tabanlı dizin içerir. Her Azure AD B2C kiracısı, diğer Microsoft Entra Id ve Azure AD B2C kiracılarından ayrı ve farklıdır. Azure AD B2C portalı deneyimi Microsoft Entra ID'ye benzer, ancak Kimlik Deneyimi Çerçevesi'ni kullanarak kullanıcı yolculuklarınızı özelleştirme gibi önemli farklılıklar vardır.
Azure AD B2C kiracısı ile Microsoft Entra kiracısı arasındaki farklar hakkında daha fazla bilgi için bkz . Azure AD B2C'de Desteklenen Microsoft Entra özellikleri. Azure AD B2C'yi yapılandırma ve yönetme hakkında ayrıntılı bilgi için Bkz . Azure AD B2C belgeleri.
İş konuk kaydı için Microsoft Entra yetkilendirme yönetimi
Davetkar bir kuruluş olarak, kaynaklarınıza erişmesi gereken tek tek dış ortak çalışanların kim olduğunu önceden bilmiyor olabilirsiniz. İş ortağı şirketlerinden kullanıcıların, denetlediğiniz ilkelerle kaydolmaları için bir yönteme ihtiyacınız vardır. Diğer kuruluşların kullanıcılarının erişim istemesini sağlamak için, dış kullanıcılara erişimi yöneten ilkeleri yapılandırmak üzere Microsoft Entra yetkilendirme yönetimini kullanabilirsiniz. Onay sonrasında, bu kullanıcılar konuk hesaplarıyla sağlanır ve gruplara, uygulamalara ve SharePoint Online sitelerine atanır.
Koşullu Erişim
Kuruluşlar, dış kullanıcılara MFA gibi uygun erişim denetimlerini uygulayarak güvenliklerini geliştirmek için Koşullu Erişim ilkelerini kullanabilir.
Dış kiracılarda koşullu erişim ve MFA
Dış kiracılarda kuruluşlar, Microsoft Entra Koşullu Erişim ilkesi oluşturup kaydolma ve oturum açma kullanıcı akışlarına MFA ekleyerek müşteriler için MFA'yı zorunlu kılabilir. Dış kiracılar ikinci bir faktör olarak kimlik doğrulaması için iki yöntemi destekler:
- Tek seferlik geçiş kodunu e-postayla gönder: Kullanıcı e-posta ve parolasıyla oturum açtıktan sonra, e-postasına gönderilen bir geçiş kodu istenir.
- SMS tabanlı kimlik doğrulaması: SMS, dış kiracılardaki kullanıcılar için MFA için ikinci bir faktör kimlik doğrulama yöntemi olarak kullanılabilir. E-posta ve parola, e-posta ve tek seferlik geçiş koduyla ya da Google veya Facebook gibi sosyal kimliklerle oturum açan kullanıcılardan SMS kullanarak ikinci doğrulama istenir.
Dış kiracılardaki kimlik doğrulama yöntemleri hakkında daha fazla bilgi edinin.
B2B işbirliği ve B2B doğrudan bağlantı için Koşullu Erişim
Bir iş gücü kiracısında, kuruluşlar dış B2B işbirliği için Koşullu Erişim ilkelerini zorunlu kılabilir ve B2B, kullanıcıları tam zamanlı çalışanlar ve kuruluş üyeleri için etkinleştirildiği şekilde doğrudan bağlar. Microsoft Entra kiracılar arası senaryolarda, Koşullu Erişim ilkeleriniz MFA veya cihaz uyumluluğu gerektiriyorsa artık bir dış kullanıcının ev kuruluşundan gelen MFA ve cihaz uyumluluk taleplerine güvenebilirsiniz. Güven ayarları etkinleştirildiğinde, kimlik doğrulaması sırasında Microsoft Entra ID, ilkelerin karşılanmış olup olmadığını belirlemek için kullanıcının kimlik bilgilerini bir MFA talebi veya cihaz kimliği için denetler. Bu durumda dış kullanıcıya paylaşılan kaynağınızda sorunsuz oturum açma izni verilir. Aksi takdirde, kullanıcının ev kiracısında bir MFA veya cihaz sınaması başlatılır. İş gücü kiracılarındaki dış kullanıcılar için kimlik doğrulama akışı ve Koşullu Erişim hakkında daha fazla bilgi edinin.
Çok kiracılı uygulamalar
Birçok kuruluşa Hizmet Olarak Yazılım (SaaS) uygulaması sunuyorsanız, uygulamanızı herhangi bir Microsoft Entra kiracısından oturum açmaları kabul etmek üzere yapılandırabilirsiniz. Bu yapılandırma, uygulamanızı çok kiracılı hale getirme olarak adlandırılır. Herhangi bir Microsoft Entra kiracısında yer alan kullanıcılar, kendi hesabını uygulamanızla kullanmaya onay verdikten sonra uygulamanızda oturum açabilecektir. Çok kiracılı oturum açmaların nasıl etkinleştirileceğine bakın.
Çok kiracılı kuruluşlar
Çok kiracılı bir kuruluş, birden fazla Microsoft Entra Id örneğine sahip olan bir kuruluştır. Çok kiracılılık için çeşitli nedenler vardır. Örneğin, kuruluşunuz birden çok buluta veya coğrafi sınıra yayabilir.
Çok kiracılı kuruluş özelliği, Microsoft 365 genelinde sorunsuz işbirliği sağlar. Microsoft Teams ve Microsoft Viva Engage gibi uygulamalarda birden çok kiracının kuruluşunuz genelinde çalışan işbirliği deneyimlerini geliştirir.
Kiracılar arası eşitleme özelliği, kullanıcıların davet e-postası almadan ve her kiracıda bir onay istemi kabul etmek zorunda kalmadan kaynaklara erişebilmesini sağlayan tek yönlü bir eşitleme hizmetidir.
Çok kiracılı kuruluşlar ve kiracılar arası eşitleme hakkında daha fazla bilgi edinmek için çok kiracılı kuruluşlar belgelerine ve özellik karşılaştırmasına bakın.
Microsoft Graph API'leri
Tüm Dış Kimlik özellikleri, sonraki bölümde listelenenler dışında Microsoft Graph API'leri aracılığıyla otomasyon için de desteklenir. Daha fazla bilgi için bkz . Microsoft Graph kullanarak Microsoft Entra kimliğini ve ağ erişimini yönetme.
Microsoft Graph'ta desteklenmeyen özellikler
Dış Kimlik özelliği | Destekleyen: | Otomasyon geçici çözümleri |
---|---|---|
Ait olduğunuz kuruluşları tanımlama | İş gücü kiracıları | Kiracılar - Azure Resource Manager API'sini listeleme. Teams paylaşılan kanalları ve B2B doğrudan bağlantı için Get tenantReferences Microsoft Graph API'sini kullanın. |
B2B işbirliği için Microsoft Entra Microsoft Graph API
Kiracılar arası erişim ayarları API'leri: Microsoft Graph'teki kiracılar arası erişim API'leri, Azure portalında yapılandırılabilen aynı B2B işbirliği ve B2B doğrudan bağlantı ilkelerini program aracılığıyla oluşturmanıza olanak sağlar. Bu API'leri kullanarak, gelen ve giden işbirliği için ilkeler ayarlayabilirsiniz. Örneğin, varsayılan olarak herkes için özelliklere izin verebilir veya özellikleri engelleyebilir ve erişimi belirli kuruluşlar, gruplar, kullanıcılar ve uygulamalarla sınırlayabilirsiniz. API'ler, diğer Microsoft Entra kuruluşlarından çok faktörlü kimlik doğrulamasını (MFA) ve cihaz taleplerini (uyumlu talepler ve Microsoft Entra karma katılmış beyanlar) kabul etmenizi de sağlar.
B2B işbirliği davet yöneticisi: Microsoft Graph'teki davet yöneticisi API'si, işletme konukları için kendi ekleme deneyimlerinizi oluşturmak için kullanılabilir. Örneğin, özelleştirilmiş davet e-postasını doğrudan B2B kullanıcısına otomatik olarak göndermek için davet oluşturma API'sini kullanabilirsiniz. Veya uygulamanız, davet edilen kullanıcıya kendi davetinizi (seçtiğiniz iletişim mekanizması aracılığıyla) oluşturmak için oluşturma yanıtında döndürülen inviteRedeemUrl öğesini kullanabilir.