Partilhar via


Práticas recomendadas do Microsoft Entra B2B

Aplica-se a:Círculo verde com um símbolo de marca de verificação branco. Locatários da força deCírculo branco com um símbolo X cinzento. trabalho Locatários externos (saiba mais)

Este artigo contém recomendações e práticas recomendadas para colaboração entre empresas (B2B) na ID Externa do Microsoft Entra.

Importante

O recurso de senha única de e-mail agora está ativado por padrão para todos os novos locatários e para todos os locatários existentes nos quais você não o desativou explicitamente. Quando esse recurso é desativado, o método de autenticação de fallback é solicitar que os convidados criem uma conta da Microsoft.

Recomendações B2B

Recomendação Comentários
Consulte as orientações do Microsoft Entra para proteger a sua colaboração com parceiros externos Saiba como adotar uma abordagem de governança holística para a colaboração da sua organização com parceiros externos seguindo as recomendações em Protegendo a colaboração externa no Microsoft Entra ID e no Microsoft 365.
Planeje cuidadosamente suas configurações de acesso entre locatários e colaboração externa O Microsoft Entra External ID oferece um conjunto flexível de controles para gerenciar a colaboração com usuários e organizações externos. Pode permitir ou bloquear toda a colaboração ou configurar a colaboração apenas para organizações, utilizadores e aplicações específicos. Antes de definir as configurações para acesso entre locatários e colaboração externa, faça um inventário cuidadoso das organizações com as quais você trabalha e faz parceria. Em seguida, determine se você deseja habilitar a conexão direta B2B ou a colaboração B2B com outros locatários do Microsoft Entra.
Restringir o acesso do usuário convidado ao diretório Por padrão, os usuários convidados têm acesso limitado ao diretório do Microsoft Entra. Eles podem gerenciar seu próprio perfil e ver algumas informações sobre outros usuários, grupos e aplicativos. Você pode restringir ainda mais o acesso para que os hóspedes possam ver apenas suas próprias informações de perfil. Saiba mais sobre as permissões de convidado padrão e como definir as configurações de colaboração externa.
Determinar quem pode convidar hóspedes Por padrão, todos os usuários em sua organização, incluindo usuários convidados de colaboração B2B, podem convidar usuários externos para colaboração B2B. Se quiser limitar a capacidade de enviar convites, você pode ativar ou desativar convites para todos, ou limitar convites a determinadas funções definindo configurações de colaboração externa.
Use restrições de locatário para controlar como as contas externas são usadas em suas redes e dispositivos gerenciados. Com restrições de locatário, você pode impedir que seus usuários usem contas criadas em locatários desconhecidos ou contas que receberam de organizações externas. Recomendamos que você não permita essas contas e use a colaboração B2B.
Para uma experiência de entrada ideal, federar com provedores de identidade Sempre que possível, federar diretamente com provedores de identidade para permitir que usuários convidados entrem em seus aplicativos e recursos compartilhados sem precisar criar contas Microsoft (MSAs) ou contas Microsoft Entra. Você pode usar o recurso de federação do Google para permitir que usuários convidados B2B façam login com suas Contas do Google. Ou, você pode usar o recurso de provedor de identidade SAML/WS-Fed (visualização) para configurar a federação com qualquer organização cujo provedor de identidade (IdP) ofereça suporte ao protocolo SAML 2.0 ou WS-Fed.
Use o recurso de senha única por e-mail para hóspedes B2B que não podem se autenticar por outros meios O recurso de senha única por e-mail autentica usuários convidados B2B quando eles não podem ser autenticados por outros meios, como o Microsoft Entra ID, uma conta da Microsoft (MSA) ou a federação do Google. Quando o utilizador convidado resgata um convite ou acede a um recurso partilhado, pode pedir um código temporário, que é enviado para o respetivo endereço de e-mail. Depois, introduz esse código para continuar a iniciar sessão.
Adicionar uma imagem corporativa à sua página de início de sessão Pode personalizar a sua página de início de sessão para que seja mais intuitiva para os seus utilizadores convidados B2B. Veja como adicionar a marca da empresa para iniciar sessão e páginas do Painel de Acesso.
Adicione sua declaração de privacidade à experiência de resgate de usuário convidado B2B Você pode adicionar o URL da declaração de privacidade da sua organização ao processo de resgate do convite pela primeira vez para que um usuário convidado tenha que consentir com seus termos de privacidade para continuar. Consulte Como: Adicionar as informações de privacidade da sua organização no Microsoft Entra ID.
Use o recurso de convite em massa (visualização) para convidar vários usuários convidados B2B ao mesmo tempo Convide vários usuários convidados para sua organização ao mesmo tempo usando o recurso de visualização de convite em massa no portal do Azure. Esse recurso permite carregar um arquivo CSV para criar usuários convidados B2B e enviar convites em massa. Consulte Tutorial para convidar usuários B2B em massa.
Impor políticas de Acesso Condicional para autenticação multifator do Microsoft Entra Recomendamos a aplicação de políticas de MFA nos aplicativos que você deseja compartilhar com usuários B2B parceiros. Dessa forma, a MFA será aplicada consistentemente nos aplicativos em seu locatário, independentemente de a organização parceira estar usando MFA. Consulte Acesso condicional para usuários de colaboração B2B. Se você tiver um relacionamento comercial próximo com uma organização e tiver verificado suas práticas de MFA, poderá configurar as configurações de acesso entre locatários para aceitar suas declarações de MFA (saiba mais).
Usar políticas de Acesso Condicional de força de autenticação para convidados A força da autenticação é um controle de Acesso Condicional que permite definir uma combinação específica de métodos de autenticação multifator (MFA) que um usuário externo do Microsoft Entra deve concluir para acessar seus recursos. Ele funciona em conjunto com as configurações de confiança de MFA em suas configurações de acesso entre locatários para determinar onde e como o usuário externo deve executar MFA. Consulte Políticas de força de autenticação para usuários externos
Se você estiver aplicando políticas de Acesso Condicional baseadas em dispositivo, use listas de exclusão para permitir o acesso a usuários B2B Se as políticas de Acesso Condicional baseadas em dispositivo estiverem habilitadas em sua organização, os dispositivos de usuário convidado B2B serão bloqueados porque não são gerenciados pela sua organização. Você pode criar listas de exclusão contendo usuários parceiros específicos para excluí-los da política de Acesso Condicional baseada em dispositivo. Consulte Acesso condicional para usuários de colaboração B2B.
Use uma URL específica do locatário ao fornecer links diretos para seus usuários convidados B2B Como alternativa ao e-mail de convite, você pode dar a um convidado um link direto para seu aplicativo ou portal. Esse link direto deve ser específico do locatário, o que significa que deve incluir um ID de locatário ou domínio verificado para que o convidado possa ser autenticado em seu locatário, onde o aplicativo compartilhado está localizado. Consulte Experiência de resgate para o usuário convidado.
Ao desenvolver um aplicativo, use UserType para determinar a experiência do usuário convidado Se você estiver desenvolvendo um aplicativo e quiser fornecer experiências diferentes para usuários locatários e usuários convidados, use a propriedade UserType. A declaração UserType não está atualmente incluída no token. Os aplicativos devem usar a API do Microsoft Graph para consultar o diretório para que o usuário obtenha seu UserType.
Altere a propriedade UserType somente se o relacionamento do usuário com a organização for alterado Embora seja possível usar o PowerShell para converter a propriedade UserType de um usuário de Membro para Convidado (e vice-versa), você deve alterar essa propriedade somente se a relação do usuário com sua organização mudar. Consulte Propriedades de um usuário convidado B2B.
Descubra se o seu ambiente será afetado pelos limites de diretório do Microsoft Entra O Microsoft Entra B2B está sujeito aos limites do diretório de serviço do Microsoft Entra. Para obter detalhes sobre o número de diretórios que um usuário pode criar e o número de diretórios aos quais um usuário ou usuário convidado pode pertencer, consulte Limites e restrições de serviço do Microsoft Entra.
Gerencie o ciclo de vida da conta B2B com o recurso Patrocinador Um patrocinador é um usuário ou grupo responsável por seus usuários convidados. Para obter mais detalhes sobre esse novo recurso, consulte o campo Patrocinador para usuários B2B.

Próximos passos

Gerenciar compartilhamento B2B