Een oplossing ontwerpen voor externe identiteiten
Microsoft Entra Externe ID verwijst naar alle manieren waarop u veilig kunt communiceren met gebruikers buiten uw organisatie. Als u wilt samenwerken met partners, distributeurs, leveranciers of verkopers, kunt u uw resources delen en definiëren hoe uw interne gebruikers toegang kunnen krijgen tot externe organisaties. Als u een ontwikkelaar bent die consumentgerichte apps maakt, kunt u de identiteitservaring van uw klanten beheren.
Met External Identities kunnen externe gebruikers "hun eigen identiteiten meebrengen". Of ze nu een zakelijke of door de overheid verstrekte digitale identiteit hebben, of een niet-beheerde sociale identiteit als Google of Facebook, ze kunnen hun eigen referenties gebruiken om zich aan te melden. De id-provider van de externe gebruiker beheert hun identiteit en u beheert de toegang tot uw apps met Microsoft Entra ID of Azure AD B2C om uw resources beveiligd te houden.
De volgende mogelijkheden vormen External Identities:
B2B-samenwerking: samenwerken met externe gebruikers door hen hun voorkeursidentiteit te laten gebruiken om zich aan te melden bij uw Microsoft-toepassingen of andere bedrijfstoepassingen (SaaS-apps, aangepaste apps, enz.). B2B-samenwerkingsgebruikers worden vertegenwoordigd in uw adreslijst, meestal als gastgebruikers.
B2B directe verbinding - Een wederzijdse, tweerichtingsvertrouwensrelatie tot stand brengen met een andere Microsoft Entra-organisatie voor naadloze samenwerking. B2B direct verbinden ondersteunt momenteel gedeelde Teams-kanalen, waardoor externe gebruikers toegang hebben tot uw resources binnen hun thuisexemplaren van Teams. Gebruikers van B2B direct verbinden worden niet vertegenwoordigd in uw adreslijst, maar ze zijn zichtbaar vanuit het gedeelde Teams-kanaal en kunnen worden bewaakt in teams-beheercentrumrapporten.
Azure AD B2C: publiceer moderne SaaS-apps of aangepaste apps publiceren (behalve Microsoft-apps) voor consumenten en klanten, terwijl Azure AD B2C wordt gebruikt voor identiteits- en toegangsbeheer.
Microsoft Entra-organisatie met meerdere tenants - Samenwerken met meerdere tenants in één Microsoft Entra-organisatie via synchronisatie tussen tenants.
Afhankelijk van hoe u wilt communiceren met externe organisaties en de typen resources die u wilt delen, kunt u een combinatie van deze mogelijkheden gebruiken.
B2B-samenwerking
Met B2B-samenwerking kunt u iedereen uitnodigen om u aan te melden bij uw Microsoft Entra-organisatie met behulp van hun eigen referenties, zodat ze toegang hebben tot de apps en resources die u met hen wilt delen. Gebruik B2B-samenwerking wanneer u externe gebruikers toegang wilt geven tot uw Office 365-apps, SaaS-apps (Software-as-a-Service) en Line-Of-Business-toepassingen, met name wanneer de partner geen Microsoft Entra-id gebruikt of het niet praktisch is voor beheerders om een wederzijdse verbinding in te stellen via B2B direct verbinding. Er zijn geen referenties gekoppeld aan B2B-samenwerkingsgebruikers. In plaats daarvan verifiëren ze zich bij hun thuisorganisatie of id-provider en daarna controleert uw organisatie of de gastgebruiker in aanmerking komt voor B2B-samenwerking.
Er zijn verschillende manieren om externe gebruikers toe te voegen aan uw organisatie voor B2B-samenwerking:
Nodig gebruikers uit voor B2B-samenwerking met hun Microsoft Entra-accounts, Microsoft-accounts of sociale identiteiten die u inschakelt, zoals Google. Een beheerder kan de Azure-portal of PowerShell gebruiken om gebruikers uit te nodigen voor B2B-samenwerking. De gebruiker meldt zich aan bij de gedeelde resources met behulp van een eenvoudig inwisselproces met hun werk-, school- of een andere e-mailaccount.
Gebruik selfservice aanmeldingsregistratiestromen om externe gebruikers toe te staan zichzelf te registreren voor toepassingen zelf. De ervaring kan worden aangepast om het registreren met een werk-, school- of sociale identiteit (zoals Google of Facebook) toe te staan. U kunt ook informatie over de gebruiker verzamelen tijdens het registratieproces.
Gebruik Microsoft Entra-rechtenbeheer, een functie voor identiteitsbeheer waarmee u identiteit en toegang voor externe gebruikers op schaal kunt beheren door werkstromen voor toegangsaanvragen, toegangstoewijzingen, beoordelingen en verlooptijd te automatiseren.
Er wordt een gebruikersobject gemaakt voor de B2B-samenwerkingsgebruiker in dezelfde directory als uw werknemers. Dit gebruikersobject kan worden beheerd als andere gebruikersobjecten in uw directory, toegevoegd aan groepen, enzovoort. U kunt machtigingen toewijzen aan het gebruikersobject (voor autorisatie) terwijl ze hun bestaande referenties (voor verificatie) kunnen gebruiken.
U kunt toegangsinstellingen voor meerdere tenants gebruiken om B2B-samenwerking met andere Microsoft Entra-organisaties en in Microsoft Azure-clouds te beheren. Voor B2B-samenwerking met externe niet-Azure AD-gebruikers en -organisaties, gebruikt u instellingen voor externe samenwerking.
B2B direct verbinden
B2B Direct Connect is een nieuwe manier om samen te werken met andere Microsoft Entra-organisaties. Deze functie werkt momenteel met gedeelde Microsoft Teams-kanalen. Met B2B direct connect maakt u tweerichtingsvertrouwensrelaties met andere Microsoft Entra-organisaties, zodat gebruikers zich naadloos kunnen aanmelden bij uw gedeelde resources en omgekeerd. B2B-gebruikers die rechtstreeks verbinding maken, worden niet als gast toegevoegd aan uw Microsoft Entra-adreslijst. Wanneer twee organisaties samen B2B direct verbinden mogelijk maken, verifiëren gebruikers zich in hun thuisorganisatie en ontvangen ze een token van de resource-organisatie voor toegang. Meer informatie over B2B direct connect in Microsoft Entra ID.
Op dit moment maakt B2B direct verbinden de functie Gedeelde kanalen verbinden van Teams mogelijk. Hiermee kunnen gebruikers samenwerken met externe gebruikers van meerdere organisaties met een gedeeld Teams-kanaal voor chat, oproepen, het delen van bestanden en het delen van apps. Zodra u B2B directe verbinding hebt ingesteld met een externe organisatie, zijn de volgende mogelijkheden voor gedeelde Teams-kanalen beschikbaar:
Binnen Teams kan een eigenaar van een gedeeld kanaal zoeken naar toegestane gebruikers van de externe organisatie en deze toevoegen aan het gedeelde kanaal.
Externe gebruikers hebben toegang tot het gedeelde Teams-kanaal zonder dat ze van organisatie moeten wisselen of zich met een ander account moeten aanmelden. Vanuit Teams kan de externe gebruiker toegang krijgen tot bestanden en apps via het tabblad Bestanden. De toegang van de gebruiker wordt bepaald door het beleid van het gedeelde kanaal.
U gebruikt instellingen voor toegang tussen tenants om vertrouwensrelaties met andere Microsoft Entra-organisaties te beheren en binnenkomende en uitgaande beleidsregels te definiëren voor directe B2B-verbinding.
Raadpleeg Chat, teams, kanalen en apps in Microsoft Teams voor meer informatie over de resources, bestanden en toepassingen die beschikbaar zijn voor de B2B-gebruiker voor directe verbinding via het gedeelde Teams-kanaal.
Azure AD B2C
Azure AD B2C is een CIAM-oplossing (Customer Identity and Access Management) waarmee u gebruikersbelevingen kunt bouwen voor consumenten- en klantgerichte apps. Als u een bedrijf of individuele ontwikkelaar bent die klantgerichte apps maakt, kunt u schalen naar miljoenen consumenten, klanten of burgers door gebruik te maken van Azure AD B2C. Ontwikkelaars kunnen Azure AD B2C gebruiken als het volledige CIAM-systeem (Customer Identity and Access Management) voor hun toepassingen.
Met Azure AD B2C kunnen klanten zich aanmelden met een identiteit die zij al hebben ingesteld (zoals Facebook of Gmail). U kunt volledig aanpassen en beheren hoe klanten zich registreren, aanmelden en hoe zij hun profielen beheren wanneer ze uw toepassingen gebruiken.
Hoewel Azure AD B2C is gebouwd op dezelfde technologie als Microsoft Entra ID, is het een afzonderlijke service met enkele functieverschillen. Zie Ondersteunde Microsoft Entra-functies in de Documentatie van Azure AD B2C voor meer informatie over hoe een Azure AD B2C-tenant verschilt van een Microsoft Entra-tenant.
Functiesets External Identities vergelijken
De volgende tabel bevat een gedetailleerde vergelijking van de scenario's die u kunt inschakelen met Microsoft Entra Externe ID. In de B2B-scenario's is een externe gebruiker iedereen die zich niet in uw Microsoft Entra-organisatie bevindt.
| B2B-samenwerking | B2B direct verbinden | Azure AD B2C | |
|---|---|---|---|
| Primair scenario | Werk samen met externe gebruikers door hen hun voorkeursidentiteit te laten gebruiken om zich aan te melden bij resources in uw Microsoft Entra-organisatie. Biedt toegang tot Microsoft-toepassingen of uw eigen toepassingen (SaaS-apps, op maat gemaakte apps, enz.). Voorbeeld: nodig een externe gebruiker uit om zich aan te melden bij uw Microsoft-apps of om gastlid te worden in Teams. |
Werk samen met gebruikers van andere Microsoft Entra-organisaties door een wederzijdse verbinding tot stand te brengen. Kan momenteel worden gebruikt met gedeelde Teams-kanalen die toegankelijk zijn voor externe gebruikers vanaf hun thuisinstanties van Teams. Voorbeeld: voeg een externe gebruiker toe aan een gedeeld Teams-kanaal dat een ruimte biedt om te chatten, te bellen en inhoud te delen. |
Publiceer apps naar consumenten en klanten die Azure AD B2C gebruiken voor identiteitservaringen. Biedt identiteits- en toegangsbeheer voor moderne SaaS- of op maat gemaakte toepassingen (Microsoft-apps van derden). |
| Bedoeld voor | Samenwerken met zakelijke partners van externe organisaties, zoals leveranciers en partners. Deze gebruikers hebben al dan niet microsoft Entra ID of beheerde IT. | Samenwerken met zakelijke partners van externe organisaties die gebruikmaken van Microsoft Entra ID, zoals leveranciers, partners, leveranciers. | Klanten van uw product. Deze gebruikers worden beheerd in een afzonderlijke Microsoft Entra-map. |
| Gebruikersbeheer | Gebruikers van B2B-samenwerking worden beheerd in dezelfde directory als werknemers, maar met een speciale aantekening als gastgebruiker. Gastgebruikers kunnen op dezelfde manier als werknemers worden beheerd, worden toegevoegd aan dezelfde groepen, enzovoort. Instellingen voor toegang tussen tenants kunnen worden gebruikt om te bepalen welke gebruikers toegang hebben tot B2B-samenwerking. | Er wordt geen gebruikersobject gemaakt in uw Microsoft Entra-map. Instellingen voor toegang tussen tenants bepalen welke gebruikers toegang hebben tot B2B-samenwerking. directe verbinding. Gebruikers van gedeelde kanalen kunnen worden beheerd in Teams en de toegang van gebruikers wordt bepaald door het beleid van het gedeelde Teams-kanaal. | Gebruikersobjecten worden gemaakt voor consumentgebruikers in uw Azure AD B2C-directory. Ze worden afzonderlijk beheerd vanaf de werknemers- en partnermap van de organisatie (indien van toepassing). |
| Ondersteunde id-providers | Externe gebruikers kunnen samenwerken met behulp van werkaccounts, schoolaccounts, elk e-mailadres, op SAML en WS-Fed gebaseerde id-providers en sociale id-providers zoals Gmail en Facebook. | Externe gebruikers werken samen met werkaccounts of schoolaccounts van Microsoft Entra ID. | Consumentengebruikers met lokale toepassingsaccounts (elk e-mailadres, gebruikersnaam of telefoonnummer), Microsoft Entra-id, verschillende ondersteunde sociale identiteiten en gebruikers met door het bedrijf en de overheid uitgegeven identiteiten via SAML/WS-Fed-gebaseerde id-providerfederatie. |
| Eenmalige aanmelding (SSO) | Eenmalige aanmelding voor alle met Microsoft Entra verbonden apps wordt ondersteund. U kunt bijvoorbeeld toegang bieden voor Microsoft 365 of on-premises apps en andere SaaS-apps, zoals Salesforce of Workday. | SSO voor een gedeeld Teams-kanaal. | SSO voor apps van klanten in de Azure AD B2C-tenants wordt ondersteund. Eenmalige aanmelding bij Microsoft 365 of andere SaaS-apps van Microsoft wordt niet ondersteund. |
| Licentie en facturering | Op basis van maandelijks actieve gebruikers (MAU), waaronder B2B-samenwerking en Azure AD B2C-gebruikers. | Op basis van maandelijks actieve gebruikers (MAU), waaronder B2B-samenwerking, B2B direct verbinden en Azure AD B2C-gebruikers. | Op basis van maandelijks actieve gebruikers (MAU), waaronder B2B-samenwerking en Azure AD B2C-gebruikers. |
| Beveiligingsbeleid en naleving | Beheerd door de host/uitnodigende organisatie (bijvoorbeeld met beleid voor voorwaardelijke toegang en instellingen voor toegang tussen tenants). | Beheerd door de host/uitnodigende organisatie (bijvoorbeeld met beleid voor voorwaardelijke toegang en instellingen voor toegang tussen tenants). | Beheerd door de organisatie via voorwaardelijke toegang en identiteitsbeveiliging. |
| meervoudige verificatie (MFA) | Als binnenkomende vertrouwensinstellingen voor het accepteren van MFA-claims van de basistenant van de gebruiker zijn geconfigureerd en MFA-beleid al is voldaan in de basistenant van de gebruiker, kan de externe gebruiker zich aanmelden. Als MFA-vertrouwensrelatie niet is ingeschakeld, krijgt de gebruiker een MFA-uitdaging van de resourceorganisatie te zien. | Als binnenkomende vertrouwensinstellingen voor het accepteren van MFA-claims van de basistenant van de gebruiker zijn geconfigureerd en MFA-beleid al is voldaan in de basistenant van de gebruiker, kan de externe gebruiker zich aanmelden. Als MFA-vertrouwensrelatie niet is ingeschakeld en MFA is vereist voor beleid voor voorwaardelijke toegang, kan de gebruiker geen toegang krijgen tot resources. U moet de instellingen voor binnenkomende vertrouwensrelaties configureren om MFA-claims van de organisatie te accepteren. | Integreert rechtstreeks met Meervoudige Verificatie van Microsoft Entra. |
| Microsoft-cloudinstellingen | Ondersteund. | Wordt niet ondersteund. | Niet van toepassing. |
| Rechtenbeheer | Ondersteund. | Wordt niet ondersteund. | Niet van toepassing. |
| Lob-apps (Line-Of-Business) | Ondersteund. | Wordt niet ondersteund. Alleen B2B-apps met directe verbinding kunnen worden gedeeld (momenteel teams Verbinding maken gedeelde kanalen). | Werkt met RESTful-API. |
| Voorwaardelijke toegang | beheerd door de host/uitnodigende organisatie. | beheerd door de host/uitnodigende organisatie. | Beheerd door de organisatie via voorwaardelijke toegang en identiteitsbeveiliging. |
| Branding | Merk van host/uitnodigende organisatie wordt gebruikt. | Voor aanmeldingsschermen wordt het merk van de thuisorganisatie van de gebruiker gebruikt. In het gedeelde kanaal wordt het merk van de resource-organisatie gebruikt. | Volledig aanpasbare huisstijl per toepassing of organisatie. |
Op basis van de vereisten van uw organisatie kunt u synchronisatie tussen tenants (preview) in organisaties met meerdere tenants gebruiken. Zie de documentatie voor meerdere tenants en de functievergelijking voor meer informatie over deze nieuwe functie.