Compartir a través de


Procedimientos recomendados de Microsoft Entra B2B

Se aplica a: inquilinos de Círculo verde con un símbolo de marca de verificación blanca. Workforce Círculo blanco con un símbolo X gris. inquilinos externos (más información)

Este artículo contiene recomendaciones y procedimientos recomendados para la colaboración de negocio a negocio (B2B) en Microsoft Entra External ID.

Importante

La característica de código de acceso de un solo uso por correo electrónico ahora está activada de manera predeterminada para todos los inquilinos nuevos y para los existentes en los que no se haya desactivado explícitamente. Cuando esta característica está desactivada, el método de autenticación de reserva consiste en solicitar invitaciones para crear una cuenta Microsoft.

Recomendaciones de B2B

Recomendación Comentarios
Consulte la guía de Microsoft Entra para proteger la colaboración con asociados externos Aprenda a adoptar un enfoque holístico de gobernanza para la colaboración de su organización con asociados externos siguiendo las recomendaciones de Protección de la colaboración externa en Microsoft Entra ID y Microsoft 365.
Planeación cuidadosa del acceso entre inquilinos y la configuración de colaboración externa Microsoft Entra External ID proporciona un conjunto flexible de controles para administrar la colaboración con usuarios y organizaciones externos. Puede permitir o bloquear toda la colaboración, o configurar la colaboración solo para organizaciones, usuarios y aplicaciones específicos. Antes de configurar los valores para el acceso entre inquilinos y la colaboración externa, haga un inventario cuidadosamente de las organizaciones con las que trabaja y con las que se asocia. Luego, determine si quiere habilitar la conexión directa B2B o la colaboración B2B con otros inquilinos de Microsoft Entra.
Restringir acceso de usuario invitado al directorio De forma predeterminada, los usuarios invitados tienen acceso limitado al directorio de Microsoft Entra. Pueden administrar su propio perfil y ver información sobre otros usuarios, grupos y aplicaciones. Puede restringir aún más el acceso para que los invitados solo puedan ver su propia información de perfil. Obtenga más información sobre los permisos de invitado predeterminados y cómo configurar la configuración de colaboración externa.
Determinar quién puede invitar a invitados De forma predeterminada, todos los usuarios de la organización, incluidos los usuarios invitados de colaboración B2B, pueden invitar a usuarios externos a la colaboración B2B. Si quiere limitar la capacidad de enviar invitaciones, puede activar o desactivar invitaciones para todos, o limitar las invitaciones a determinados roles configurando la configuración de colaboración externa.
Use las restricciones de inquilino para controlar cómo se usan las cuentas externas en las redes y los dispositivos administrados. Con las restricciones de inquilino, puede impedir que los usuarios usen cuentas creadas en inquilinos o cuentas desconocidos que hayan recibido de organizaciones externas. Se recomienda no permitir estas cuentas y usar la colaboración B2B en su lugar.
Para una experiencia de inicio de sesión óptima, realice la federación con proveedores de identidades. Siempre que sea posible, realice la federación directamente con los proveedores de identidades, para permitir que los usuarios invitados inicien sesión en las aplicaciones y recursos compartidos sin tener que crear cuentas de Microsoft (MSA) o de Microsoft Entra. Puede usar la característica de federación de Google para permitir que los usuarios invitados de B2B inicien sesión con sus cuentas de Google. O bien, puede usar la característica de proveedor de identidades de SAML o WS-Fed (versión preliminar) para configurar la federación con cualquier organización cuyo proveedor de identidades (IdP) admita los protocolos SAML 2.0 o WS-Fed.
Uso de la característica de código de acceso de un solo uso por correo electrónico para invitados B2B que no se pueden autenticar por otros medios La característica de código de acceso de un solo uso por correo electrónico autentica los usuarios invitados de B2B cuando no pueden autenticarse por otros medios, como Microsoft Entra ID, una cuenta de Microsoft (MSA) o la federación de Google. Cuando el usuario invitado canjea una invitación o accede a un recurso compartido, puede solicitar un código temporal, que se envía a su dirección de correo electrónico. A continuación, escribe este código para continuar con el inicio de sesión.
Adición de personalización de marca a la página de inicio de sesión Puede personalizar la página de inicio de sesión de forma que resulte más intuitiva para los usuarios invitados de B2B. Consulte cómo agregar personalización de marca de la empresa en las páginas de inicio de sesión y del Panel de acceso.
Agregue la declaración de privacidad a la experiencia de canje del usuario invitado de B2B. Puede agregar la dirección URL de la declaración de privacidad de la organización al proceso de canje de invitación por primera vez, de modo que un usuario invitado deba dar su consentimiento a los términos de privacidad para continuar. Consulte Adición de información de privacidad de su organización en Microsoft Entra ID.
Use la característica de invitación en bloque (versión preliminar) para invitar a varios usuarios de B2B al mismo tiempo. Invite a varios usuarios a su organización al mismo tiempo mediante la característica en versión preliminar de invitación en bloque de Azure Portal. Esta característica permite cargar un archivo CSV para crear usuarios invitados de B2B y enviar invitaciones en bloque. Consulte el tutorial para invitar en bloque a usuarios de B2B.
Aplicación de directivas de acceso condicional para la autenticación multifactor de Microsoft Entra Se recomienda aplicar las directivas de MFA en las aplicaciones que desee compartir con los usuarios de B2B de asociados. De este modo, MFA se aplicará de forma coherente en las aplicaciones del inquilino, independientemente de si la organización asociada usa MFA. Consulte Acceso condicional para usuarios de colaboración B2B. Si tiene una estrecha relación empresarial con una organización y ha comprobado sus prácticas de MFA, puede configurar la configuración de acceso entre inquilinos para aceptar sus notificaciones de MFA (más información).
Uso de directivas de acceso condicional de intensidad de autenticación para invitados La seguridad de la autenticación es un control de acceso condicional que permite definir una combinación específica de métodos de autenticación multifactor (MFA) que un usuario externo de Microsoft Entra debe completar para acceder a los recursos. Funciona junto con la configuración de confianza de MFA en la configuración de acceso entre inquilinos para determinar dónde y cómo debe realizar la MFA el usuario externo. Ver Directivas de seguridad de autenticación para usuarios externos
Si va a aplicar directivas de acceso condicional basado en el dispositivo, use listas de exclusión para permitir el acceso a los usuarios de B2B. Si la organización tiene habilitadas directivas de acceso condicional basado en el dispositivo, los dispositivos de los usuarios invitados de B2B se bloquearán porque no están administrados por su organización. Puede crear listas de exclusión que contengan usuarios de asociados específicos para excluirlos de la directiva de acceso condicional basado en el dispositivo. Consulte Acceso condicional para usuarios de colaboración B2B.
Use una dirección URL específica del inquilino cuando proporcione vínculos directos a los usuarios invitados de B2B. Como alternativa a la invitación por correo electrónico, puede darle al invitado un vínculo directo a la aplicación o al portal. Este vínculo directo debe ser específico del cliente, por lo que debe incluir un identificador de inquilino o dominio comprobado, de manera que el invitado se pueda autenticar en el inquilino donde se encuentra la aplicación compartida. Consulte Experiencia de invitación de colaboración B2B de Azure Active Directory.
Al desarrollar una aplicación, utilice UserType para determinar la experiencia del usuario invitado. Si está desarrollando una aplicación y desea proporcionar diferentes experiencias para usuarios de inquilinos y usuarios invitados, use la propiedad UserType. La notificación UserType no está incluida actualmente en el token. Las aplicaciones deben usar Microsoft Graph API para consultar el usuario en el directorio y obtener su valor de UserType.
Cambie la propiedad UserType solo si cambia la relación del usuario con la organización. Aunque es posible usar PowerShell para convertir la propiedad UserType de un usuario de miembro a invitado (y viceversa), solo debe cambiar esta propiedad si cambia la relación del usuario con la organización. Consulte Propiedades de un usuario de colaboración B2B de Azure Active Directory.
Averiguar si el entorno se verá afectado por los límites de directorio de Microsoft Entra Microsoft Entra B2B está sujeto a los límites del directorio de servicios de Microsoft Entra. Para obtener más información sobre el número de directorios que puede crear un usuario y el número de directorios a los que puede pertenecer un usuario o usuario invitado, consulte Límites y restricciones del servicio Microsoft Entra.
Administre el ciclo de vida de las cuentas B2B con la función Patrocinador Un patrocinador es un usuario o grupo responsable de sus usuarios invitados. Para obtener más detalles sobre esta nueva función, consulte Campo patrocinador para usuarios B2B.

Pasos siguientes

Habilitación de la colaboración externa B2B y administración de quién puede invitar a otros usuarios