Présentation du service ID externe Microsoft Entra
Le service ID externe Microsoft Entra associe des solutions puissantes pour travailler avec des personnes externes à votre organisation. Grâce aux fonctionnalités du service ID externe, vous pouvez autoriser les identités externes à accéder de manière sécurisée à vos applications et ressources. Que vous travailliez avec des partenaires externes, des consommateurs ou des clients professionnels, les utilisateurs peuvent apporter leur propre identité. Ces identités peuvent aller des comptes d’entreprise ou des comptes émis par une administration aux fournisseurs d’identité de réseaux sociaux tels que Google ou Facebook.
Ces scénarios entrent dans le cadre du service ID externe Microsoft Entra :
Si vous êtes une organisation ou un développeur qui crée des applications grand public, utilisez le service ID externe pour ajouter rapidement l’authentification ainsi que la gestion des identités et des accès client (CIAM) à votre application. Inscrivez votre application, créez des expériences de connexion personnalisées, et gérez les utilisateurs de votre application au sein d’un tenant Microsoft Entra dans une configuration externe. Ce tenant est distinct de vos employés et de vos ressources d’organisation.
Si vous souhaitez permettre à vos employés de collaborer avec des partenaires commerciaux et des invités, utilisez le service ID externe pour une collaboration B2B. Autorisez un accès sécurisé à vos applications d’entreprise via une invitation ou une inscription en libre-service. Déterminez le niveau d’accès des invités au tenant Microsoft Entra, lequel contient vos employés et vos ressources d’organisation, et représente un tenant dans une configuration main d’œuvre.
Le service ID externe Microsoft Entra est une solution flexible pour les développeurs d’applications grand public, qui ont besoin de fonctionnalités d’authentification et de gestion des identités et des accès client ainsi que pour les entreprises qui recherchent une collaboration B2B sécurisée.
Sécuriser vos applications pour les consommateurs et les clients professionnels
Les organisations et les développeurs peuvent utiliser le service ID externe dans un tenant externe en tant que solution de gestion des identités et des accès quand ils publient leurs applications à destination des consommateurs et des clients professionnels. Vous pouvez créer un tenant Microsoft Entra distinct dans une configuration externe, ce qui vous permet de gérer vos applications et vos comptes d’utilisateur séparément de vos employés. Au sein de ce tenant, vous pouvez facilement configurer des expériences d’inscription et des fonctionnalités de gestion des utilisateurs personnalisées :
Configurez des flux d’inscription en libre-service qui définissent la série d’étapes d’inscription que les clients doivent suivre ainsi que les méthodes de connexion qu’ils peuvent utiliser, par exemple un e-mail et un mot de passe, des codes secrets à usage unique ou des comptes sociaux Google ou Facebook.
Créez une apparence personnalisée pour les utilisateurs qui se connectent à vos applications en configurant les paramètres de personnalisation de l’entreprise pour votre locataire. Avec ces paramètres, vous pouvez ajouter vos propres images d’arrière-plan, couleurs, logos d’entreprise et texte pour personnaliser les expériences de connexion entre vos applications.
Collectez des informations auprès des clients durant l’inscription en effectuant une sélection parmi une série d’attributs utilisateur intégrés, ou en ajoutant vos propres attributs personnalisés.
Analysez les données relatives à l’activité et à l’engagement des utilisateurs pour découvrir des insights précieux, qui peuvent contribuer à la prise de décisions stratégiques et à la stimulation de la croissance de l’entreprise.
Grâce au service ID externe, les clients peuvent se connecter avec une identité qu’ils ont déjà. Vous pouvez personnaliser et contrôler la façon dont les clients s’inscrivent et se connectent quand ils utilisent vos applications. Dans la mesure où ces fonctionnalités de gestion des identités et des accès client sont intégrées au service ID externe, vous bénéficiez également des fonctionnalités liées à la plateforme Microsoft Entra, par exemple une sécurité renforcée ainsi que l’amélioration de la conformité et de la scalabilité.
Pour plus d’informations, consultez Vue d’ensemble du service ID externe Microsoft Entra dans les tenants externes.
Collaborer avec des partenaires commerciaux invités
La collaboration B2B via le service ID externe permet à vos employés de collaborer avec des partenaires commerciaux externes. Vous pouvez inviter les personnes de votre choix à se connecter à votre organisation Microsoft Entra via leurs propres informations d’identification, ce qui leur permet d’accéder aux applications et aux ressources que vous souhaitez partager avec elles. Utilisez la collaboration B2B quand vous devez autoriser des partenaires commerciaux invités à accéder à vos applications Office 365, à vos applications SaaS (software as a service) et à vos applications métier. Aucune information d’identification n’est associée aux partenaires commerciaux invités. À la place, ils s’authentifient auprès de leur propre organisation ou fournisseur d’identité, puis votre organisation vérifie l’éligibilité de ces utilisateurs à la collaboration en tant qu’invités.
Il existe plusieurs façons d’ajouter des partenaires commerciaux invités à votre organisation à des fins de collaboration :
Invitez les utilisateurs à collaborer à l’aide de leurs comptes Microsoft Entra, de leurs comptes Microsoft ou des identités sociales que vous activez, par exemple Google. Un administrateur peut utiliser le centre d’administration Microsoft Entra ou PowerShell pour inviter des utilisateurs à collaborer. Les utilisateurs se connectent aux ressources partagées à l’aide d’un processus simple d’invitation et d’échange, en utilisant leur compte professionnel ou scolaire, ou n’importe quel autre compte de messagerie.
Utilisez les flux d’utilisateurs d’inscription en libre-service pour permettre aux invités de s’inscrire eux-mêmes aux applications. Cette expérience peut être personnalisée pour permettre l’inscription à l’aide d’une identité professionnelle, scolaire ou sociale (comme Google ou Facebook). Vous pouvez également collecter des informations sur l’utilisateur lors du processus d’inscription.
Utilisez la gestion des droits d’utilisation Microsoft Entra, fonctionnalité de gouvernance des identités qui vous permet de gérer l’identité et l’accès des utilisateurs externes à grande échelle en automatisant les workflows de demande d’accès, les attributions d’accès, les révisions et les expirations.
Un objet utilisateur est créé pour le partenaire commercial invité au sein du même annuaire que celui de vos employés. Cet objet utilisateur peut être géré comme les autres objets utilisateur de votre annuaire, ajoutés à des groupes, etc. Vous pouvez affecter des autorisations à l’objet utilisateur (pour l’autorisation) tout en lui permettant d’utiliser ses informations d’identification existantes (pour l’authentification).
Vous pouvez utiliser les paramètres d’accès entre tenants pour gérer la collaboration avec d’autres organisations Microsoft Entra ainsi que dans l’ensemble des clouds Microsoft Azure. Pour la collaboration avec des organisations et des utilisateurs externes non Azure AD, utilisez les paramètres de collaboration externe.
Que sont les tenants de « main d’œuvre » et « externes » ?
Un tenant est une instance dédiée et approuvée de Microsoft Entra ID qui contient les ressources d’une organisation, notamment les applications inscrites et un annuaire d’utilisateurs. Il existe deux modes de configuration d’un tenant, selon la façon dont l’organisation compte utiliser le tenant, et les ressources qu’elle souhaite gérer :
- Une configuration de tenant de main d’œuvre correspond à un tenant Microsoft Entra standard qui contient vos employés, vos applications métier internes et d’autres ressources de l’organisation. Dans un tenant de main-d’œuvre, vos utilisateurs internes peuvent collaborer avec des partenaires commerciaux et des invités externes à l’aide de la collaboration B2B.
- Une configuration de tenant externe est utilisée exclusivement pour les applications que vous souhaitez publier à l’intention des consommateurs ou des clients professionnels. Ce tenant distinct suit le modèle de tenant Microsoft Entra standard, mais il est configuré pour les scénarios liés aux consommateurs. Il contient vos inscriptions d’applications ainsi qu’un annuaire de comptes de consommateur ou de client professionnel.
Pour plus d’informations, consultez Configurations de tenants externes et de main d’œuvre dans ID externe Microsoft Entra.
Comparaison des ensembles de fonctionnalités de l’ID externe
Le tableau suivant compare les scénarios que vous pouvez activer avec le service ID externe.
ID externe dans les tenants de main-d’œuvre | ID externe avec des locataires externes | |
---|---|---|
Scénario principal | Autorisez les employés à collaborer avec des partenaires commerciaux invités. Permettez aux invités d’utiliser leurs identités préférées pour se connecter aux ressources de votre organisation Microsoft Entra. Permet d’accéder aux applications Microsoft ou à vos propres applications (applications SaaS, applications développées sur mesure, etc.). Exemple : Proposez à un invité de se connecter à vos applications Microsoft, ou de devenir un membre invité dans Teams. |
Publiez des applications pour les consommateurs externes et les clients professionnels à l’aide du service ID externe afin d’expérimenter la gestion des identités. Fournit la gestion des identités et des accès pour les applications personnalisées ou SaaS modernes (pas les applications Microsoft internes). Exemple : Créez une expérience de connexion personnalisée pour les utilisateurs de votre application mobile grand public, et effectuez le monitoring de son utilisation. |
Usage prévu | Collaboration avec des partenaires commerciaux d’organisations externes tels que des fournisseurs, des partenaires et des distributeurs. Ces utilisateurs peuvent avoir ou non Microsoft Entra ID ou une informatique managée. | Consommateurs et clients professionnels de votre application. Ces utilisateurs sont gérés dans un tenant Microsoft Entra configuré pour les applications et les utilisateurs externes. |
Gestion des utilisateurs | Les utilisateurs de la collaboration B2B sont gérés dans le même tenant de main-d’œuvre que celui des employés. Toutefois, ils sont généralement annotés en tant qu’utilisateurs invités. Les utilisateurs invités peuvent être gérés de la même façon que les employés, ajoutés aux mêmes groupes, etc. Les paramètres d’accès entre tenants peuvent être utilisés pour déterminer quels sont les utilisateurs qui ont accès à la collaboration B2B. | Les utilisateurs d’application sont gérés dans un tenant externe que vous créez pour les consommateurs de votre application. Les utilisateurs d’un tenant externe disposent d’autorisations par défaut différentes de celles des utilisateurs d’un tenant de main-d’œuvre. Ils sont gérés dans le tenant externe, à l’écart de l’annuaire des employés de l’organisation. |
Authentification unique (SSO) | L’authentification unique pour toutes les applications connectées Microsoft Entra est prise en charge. Par exemple, vous pouvez donner accès à des applications Microsoft 365 ou des applications locales, et à d’autres applications SaaS telles que Salesforce ou Workday. | L’authentification SSO pour les applications inscrites dans le tenant externe est prise en charge. L’authentification unique auprès de Microsoft 365 ou d’autres applications SaaS Microsoft n’est pas prise en charge. |
Marque de société | L’état par défaut de l’expérience d’authentification correspond à une apparence de type Microsoft. Les administrateurs peuvent personnaliser l’expérience de connexion des invités à l’image de leur entreprise. | La personnalisation par défaut du locataire externe est neutre et n’inclut aucune marque Microsoft existante. Les administrateurs peuvent effectuer cette personnalisation en fonction de l’organisation ou de l’application. Plus d’informations |
Paramètres du cloud Microsoft | Pris en charge. | Non applicable. |
Gestion des droits d’utilisation | Pris en charge. | Non applicable. |
Technologies connexes
Plusieurs technologies de Microsoft Entra sont liées à la collaboration avec des utilisateurs et des organisations externes. Au moment de concevoir votre modèle de collaboration d’ID externe, prenez en considération ces autres fonctionnalités.
Connexion directe B2B
La connexion directe B2B vous permet de créer des relations d’approbation bidirectionnelles avec d’autres organisations Microsoft Entra pour activer la fonctionnalité des canaux partagés Teams Connect. Cette fonctionnalité permet aux utilisateurs de se connecter de manière transparente aux canaux partagés Teams pour la conversation, les appels, le partage de fichiers et le partage d’applications. Lorsque deux organisations activent mutuellement la connexion directe B2B, les utilisateurs s’authentifient dans leur propre organisation et reçoivent un jeton de l’organisation de ressources pour y accéder. Contrairement à la collaboration B2B, les utilisateurs de la connexion directe B2B ne sont pas ajoutés en tant qu’invités à votre annuaire de main-d’œuvre. En savoir plus sur la connexion directe B2B dans Microsoft Entra External ID.
Une fois que vous avez configuré la connexion directe B2B avec une organisation externe, les fonctionnalités suivantes des canaux partagés Teams deviennent disponibles :
Un propriétaire de canal partagé peut rechercher dans Teams les utilisateurs autorisés de l’organisation externe, et les ajouter au canal partagé.
Les utilisateurs externes peuvent accéder au canal partagé Teams sans avoir à basculer entre les organisations ou à se connecter avec un autre compte. Dans Teams, l’utilisateur externe peut accéder aux fichiers et aux applications via l’onglet Fichiers. Les stratégies du canal partagé déterminent l’accès de l’utilisateur.
Vous utilisez les paramètres d’accès interlocataires pour gérer les relations d’approbation avec d’autres organisations Microsoft Entra et définir des stratégies entrantes et sortantes pour la connexion directe B2B.
Pour plus d’informations sur les ressources, les fichiers et les applications disponibles pour l’utilisateur de la connexion directe B2B via le canal partagé Teams, consultez Conversation, équipes, canaux et applications dans Microsoft Teams.
Les licences et la facturation sont basées sur le nombre d’utilisateurs actifs mensuels (MAU). Apprenez-en davantage sur le modèle de facturation pour ID externe Microsoft Entra.
Azure Active Directory B2C
Azure Active Directory B2C (Azure AD B2C) est la solution héritée de Microsoft pour la gestion des identités et des accès des clients. Azure AD B2C comprend un annuaire distinct relatif aux consommateurs, que vous gérez dans le portail Azure via le service Azure AD B2C. Chaque locataire Azure AD B2C est séparé et distinct des autres locataires Microsoft Entra ID et Azure AD B2C. L’expérience du portail Azure AD B2C est semblable à Microsoft Entra ID, mais il existe des différences clés, comme la possibilité de personnaliser vos parcours utilisateur à l’aide d’Identity Experience Framework.
Pour plus d’informations sur les différences entre un tenant Azure AD B2C et un tenant Microsoft Entra, consultez Fonctionnalités Microsoft Entra prises en charge dans Azure AD B2C. Pour plus d’informations sur la configuration et la gestion d’Azure AD B2C, consultez la documentation Azure AD B2C.
Gestion des droits d’utilisation Microsoft Entra pour l’inscription des partenaires commerciaux invités
En tant qu’organisation invitante, vous ne pouvez pas savoir à l’avance quels collaborateurs externes auront besoin d’accéder à vos ressources. Vos devez disposer d’un moyen de permettre à des utilisateurs d’entreprises partenaires de s’inscrire avec les stratégies que vous contrôlez. Pour permettre aux utilisateurs d’autres organisations de demander un accès, vous pouvez utiliser la gestion des droits d’utilisation Microsoft Entra afin de configurer des stratégies visant à gérer l’accès des utilisateurs externes. Une fois l’approbation obtenue, des comptes d’invité sont approvisionnés pour ces utilisateurs. Ces derniers sont affectés à des groupes, des applications et des sites SharePoint Online.
Accès conditionnel
Les organisations peuvent utiliser des stratégies d’accès conditionnel pour améliorer leur sécurité en appliquant les contrôles d’accès appropriés, tels que l’authentification multifacteur, aux utilisateurs externes.
Accès conditionnel et authentification multifacteur dans les locataires externes
Dans les locataires externes, les organisations peuvent appliquer l’authentification multifacteur pour les clients en créant une stratégie d’accès conditionnel Microsoft Entra et en ajoutant l’authentification multifacteur aux flux d’utilisateurs d’inscription et de connexion. Les locataires externes prennent en charge deux méthodes d’authentification comme deuxième facteur :
- Email avec mot de passe unique : une fois que l’utilisateur se connecte avec son e-mail et son mot de passe, il est invité à entrer un code secret envoyé à son e-mail.
- Authentification par SMS : SMS est disponible en tant que deuxième facteur d’authentification de l’authentification multifacteur pour les utilisateurs dans des locataires externes. Les utilisateurs qui se connectent avec leur e-mail et leur mot de passe, leur e-mail et leur mot de passe unique, ou des identités sociales telles que Google ou Facebook, sont invités à procéder à une deuxième vérification par SMS.
En savoir plus sur les méthodes d’authentification dans les locataires externes.
Accès conditionnel pour B2B Collaboration et connexion directe B2B
Dans un locataire d’employés, les organisations peuvent appliquer des stratégies d’accès conditionnel pour les utilisateurs externes B2B Collaboration et de connexion directe B2B de la même façon que pour les employés à plein temps et les membres de l’organisation. Pour les scénarios Microsoft Entra inter-locataires, si vos stratégies d’accès conditionnel requièrent l’authentification multifacteur ou la conformité des appareils, vous pouvez désormais approuver les revendications MFA et de conformité des appareils à partir de l’organisation d’un utilisateur externe. Quand les paramètres d’approbation sont activés, durant l’authentification, Microsoft Entra ID recherche dans les informations d’identification d’un utilisateur une revendication MFA ou un ID d’appareil pour déterminer si les stratégies ont déjà été appliquées. Si tel est le cas, l’utilisateur externe se voit octroyer une authentification transparente à votre ressource partagée. Dans le cas contraire, une demande de vérification MFA ou d’appareil est lancée dans le tenant d’origine de l’utilisateur. En savoir plus sur le flux d’authentification et l’accès conditionnel pour les utilisateurs externes dans les locataires d’employés.
Applications multi-locataire
Si vous proposez une application SaaS (Software as a Service) à de nombreuses organisations, vous pouvez configurer votre application pour qu’elle accepte les connexions à partir de n’importe quel locataire Microsoft Entra. Cette configuration consiste à rendre votre application multilocataire. Les utilisateurs de n’importe quel client Microsoft Entra pourront se connecter à votre application après votre consentement afin d’utiliser leur compte avec votre application. Consultez Comment activer les connexions mutualisées.
Organisations multilocataire
Une organisation multi-locataire est une organisation qui possède plusieurs instances de Microsoft Entra ID. Il existe diverses raisons d’opter pour l’architecture multitenant. Par exemple, votre organisation peut s’étendre sur plusieurs clouds ou délimitations géographiques.
La fonctionnalité d’organisation multi-locataire permet une collaboration transparente dans Microsoft 365. Elle améliore les expériences de collaboration des employés au sein de votre organisation de plusieurs tenants, dans les applications telles que Microsoft Teams et Microsoft Viva Engage.
La fonctionnalité de synchronisation entre clients est un service de synchronisation unidirectionnel, qui permet aux utilisateurs d’accéder aux ressources sans avoir à recevoir d’e-mail d’invitation, et sans devoir accepter une demande de consentement dans chaque tenant.
Pour en savoir plus sur les organisations multi-locataires et la synchronisation entre clients, consultez la documentation relative aux organisations multi-locataires et la comparaison des fonctionnalités.
API Microsoft Graph
Toutes les fonctionnalités ID externe sont également prises en charge pour l’automatisation via les API Microsoft Graph à l’exception de celles répertoriées dans la section suivante. Pour plus d’informations, consultez Gérer l’identité Microsoft Entra et l’accès réseau à l’aide de Microsoft Graph.
Fonctionnalités non prises en charge dans Microsoft Graph
Fonctionnalité d’ID externe | Pris en charge dans | Solutions de contournement de l’automatisation |
---|---|---|
Identifier les organisations auxquelles vous appartenez | Tenants de main-d’œuvre | Tenants – Liste d’API Azure Resource Manager. Pour les canaux partagés Teams et la connexion directe B2B, utilisez l’API Microsoft Graph Get tenantReferences. |
API Microsoft Graph de Microsoft Entra pour la collaboration B2B
API des paramètres d’accès inter-locataires : les API d’accès inter-locataires Microsoft Graph vous permettent de créer par programmation les mêmes stratégies de collaboration B2B et de connexion directe B2B qui sont configurables dans le Portail Azure. À l’aide de ces API, vous pouvez configurer des stratégies pour la collaboration entrante et sortante. Par exemple, vous pouvez autoriser ou bloquer des fonctionnalités pour tout le monde par défaut, et limiter l’accès à des organisations, des groupes, des utilisateurs et des applications spécifiques. Les API vous permettent également d’accepter l’authentification multifacteur (MFA) et les revendications d’appareil (revendications conformes et revendications jointes hybrides Microsoft Entra) provenant d’autres organisations Microsoft Entra.
Gestionnaire d’invitations à la collaboration B2B : l’API du gestionnaire d’invitations dans Microsoft Graph vous permet de créer vos propres expériences d’intégration pour les invités professionnels. Vous pouvez utiliser l’API Créer une invitation pour envoyer automatiquement un e-mail d’invitation personnalisé directement à l’utilisateur B2B, par exemple. Votre application peut aussi utiliser l’inviteRedeemUrl retourné dans la réponse de création pour créer votre propre invitation (par le biais du mécanisme de communication de votre choix) pour l’utilisateur invité.