архитектуры развертывания Внешняя идентификация Microsoft Entra с помощью Microsoft Entra

Предприятия могут использовать Microsoft Entra для включения нескольких вариантов использования для сотрудников, партнеров и потребителей, потенциально в сочетании. В этой статье мы рекомендуем рекомендации по шаблонам безопасного развертывания и использования идентификатора Microsoft Entra и следующих архитектур развертывания внешних удостоверений с помощью Microsoft Entra. Мы включаем сведения о каждой архитектуре и ссылки на ресурсы.

• Архитектура, ориентированная на рабочую силу и совместную работу
• Изолированный доступ для бизнес-партнеров
• Архитектура, ориентированная на потребителей
• Сочетания архитектуры

Мы определяем следующую персону на основе их отношений с вашей организацией.

• Рабочая сила. Ваши сотрудники, сотрудники с неполным временем или подрядчики для вашей организации.
• Бизнес-партнеры. Организации, имеющие деловые отношения с вашей организацией. Эти организации могут включать поставщиков, поставщиков, консультантов и стратегических альянсов, которые сотрудничают с вашим предприятием для достижения взаимных целей.
• Потребителей. Лица, такие как клиенты, с которыми у вас есть деловые отношения и которые обращаются к вашим приложениям для покупки или использования продуктов и услуг.
• Внешний пользователь. Пользователи, которые являются внешними для вашей организации, такими как бизнес-партнеры и потребители.

В этой статье рассматриваются следующие рекомендации по каждой архитектуре.

• Жизненный цикл учетной записи. Возможность определять бизнес-правила для подключения и отключения учетных записей пользователей в среде.
• Внешние поставщики удостоверений Возможность обрабатывать внешних пользователей из организаций с собственным поставщиком удостоверений (например, другим клиентом Microsoft Entra, поставщиком федерации SAML) или поставщиками удостоверений социальных сетей. Он также ссылается на возможность создания учетных записей в клиенте для пользователей, у которых нет поставщика удостоверений.
• управление учетными данными; Параметры управления учетными данными для пользователей, таких как пароли для пользователей, у которых нет поставщиков удостоверений, или дополнительные факторы проверки подлинности.
• Нерегламентированное сотрудничество. Элементы управления для разрешения или запрета пользователей в среде (пользователей рабочей силы или других внешних пользователей) с внешними пользователями в документах, отчетах и аналогичном содержимом, созданном пользователем.
• Назначение ресурсов на основе ролей. Возможность предоставлять внешним пользователям доступ к ресурсам, таким как назначения приложений, членство в группах или членство на сайте SharePoint на основе предопределенного набора разрешений, инкапсулированного в роли.
• управлять рисками; Оцените и управляйте рисками безопасности, эксплуатации и соответствия требованиям при включении доступа к внешним пользователям.

Архитектура, ориентированная на рабочую силу и совместную работу

Рабочая сила и архитектура, ориентированная на совместную работу, позволяет сотрудникам сотрудничать с бизнес-партнерами из внешних организаций. Он включает элементы управления для защиты от несанкционированного доступа к приложениям.

Типичные сценарии включают сотрудников, инициирующих совместную работу, приглашая деловых партнеров предоставлять доступ к содержимому с помощью таких средств производительности, как SharePoint, Power BI, Microsoft Teams или бизнес-приложения. Гостевые пользователи могут поступать из внешних организаций, у которых есть собственный поставщик удостоверений. Например, другой клиент Microsoft Entra ID или поставщик федеративных удостоверений языка разметки утверждений безопасности (SAML).

В рабочей среде и архитектуре, ориентированной на совместную работу, клиент конфигурации рабочей силы Microsoft Entra ID использует управление удостоверениями Microsoft Entra и Внешняя идентификация Microsoft Entra для определения политик для предоставления доступа к корпоративным приложениям и ресурсам. Эти политики включают учетные записи и жизненный цикл доступа и элементы управления безопасностью.

Ресурсы реализации архитектуры, ориентированные на рабочую силу и совместную работу

• Планирование развертывания совместной работы Microsoft Entra B2B описывает методики управления для снижения рисков безопасности, удовлетворения целей соответствия требованиям и обеспечения правильного доступа.
• Управление жизненным циклом сотрудников с помощью Управление идентификацией Microsoft Entra объясняет, как управление удостоверениями может помочь организациям сбалансировать производительность и безопасность.
• Управление доступом для внешних пользователей в управлении правами описывает параметры для управления доступом внешних пользователей.

Рекомендации по архитектуре, ориентированной на рабочую силу и совместную работу

Жизненный цикл учетной записи

Пользователи могут приглашать бизнес-партнеров в клиент в нерегламентированных сценариях совместной работы. Определите пользовательские процессы для отслеживания и отключения приглашенных внешних пользователей. Управление гостевым доступом с помощью проверок доступа описывает, как убедиться, что гостевые пользователи имеют соответствующий доступ.

Бизнес-партнеры также могут быть подключены через пакеты доступа для управления правами с встроенными элементами управления, такими как рабочие процессы утверждения. Учетные записи пользователей, подключенные с помощью управления правами, имеют встроенный жизненный цикл отслеживания и отключения после того, как они теряют доступ к пакетам доступа.

Администраторы также могут включить потоки самостоятельного входа и регистрации для определенных приложений. Организациям необходимо определить пользовательские процессы для отслеживания и отключения внешних пользователей, подключенных таким образом, с помощью таких функций, как проверки доступа или вызовы Microsoft Graph.

Внешние поставщики удостоверений

Рабочая сила и архитектура, ориентированная на совместную работу, поддерживает бизнес-партнеров от организаций, у которых есть Microsoft Entra или поставщик удостоверений SAML или WS-Federation.

Бизнес-партнеры, у которых есть адреса электронной почты организации, но у них нет поставщиков удостоверений, могут получить доступ к клиенту с одноразовым секретным кодом электронной почты.

При необходимости вы можете настроить клиент для подключения бизнес-партнеров с учетными записями Майкрософт, Google или facebook социальных удостоверений.

Администраторы имеют детализированные элементы управления поставщиками удостоверений.

Управление учетными данными

Если вам требуется, чтобы пользователи бизнес-партнера выполняли многофакторную проверку подлинности, вы можете доверять утверждению метода проверки подлинности MFA из конкретной организации бизнес-партнера. В противном случае примените эти учетные записи пользователей, чтобы зарегистрировать дополнительные методы проверки подлинности для MFA в идентификаторе Microsoft Entra ID.

Корпорация Майкрософт рекомендует применять многофакторную проверку подлинности для внешних пользователей. Проверка подлинности и условный доступ для пользователей B2B описывает создание политик условного доступа, предназначенных для гостей.

Нерегламентированная совместная работа

Эта архитектура оптимизирована для взаимодействия пользователей с бизнес-партнерами с помощью служб совместной работы Майкрософт, таких как Microsoft 365, Microsoft Teams и Power BI.

Назначение ресурсов на основе ролей

Предоставление доступа бизнес-партнерам с пакетами доступа "Управление правами", которые имеют встроенные элементы управления, такие как назначение роли приложения с ограниченным временем и разделение обязанностей для определенных внешних организаций.

Управление рисками

Определите, влияют ли бизнес-партнеры в клиенте организации на область соответствия применимым правилам. Реализуйте соответствующие средства профилактики и детективного технического контроля.

После подключения бизнес-партнеры могут получить доступ к приложениям и ресурсам в средах с широким набором разрешений. Чтобы устранить непреднамеренное воздействие, реализуйте средства контроля профилактики и детектива. Последовательно применяйте соответствующие разрешения ко всем ресурсам и приложениям среды.

Существует множество методов, которые можно использовать для снижения риска в зависимости от результата анализа рисков:

• Чтобы предотвратить вредоносные или случайные попытки перечисления и аналогичные методы рекогносцировки, ограничьте гостевой доступ к свойствам и членствам собственных объектов каталога.
• Ограничение того, кто может приглашать гостей в клиент. Как минимум, не разрешайте гостям приглашать других гостей.
• Применяйте элементы управления для конкретного приложения, чтобы ограничить совместную работу, такие как Информационные барьеры Microsoft Purview.
• Реализуйте подход к списку разрешений для области разрешенной организации для внешней совместной работы с такими возможностями, как параметры доступа между клиентами и список разрешений домена. Переход к управляемой совместной работе с Microsoft Entra B2B описывает, как защитить внешний доступ к вашим ресурсам.

Другие вопросы

Возможности, используемые внешними удостоверениями, могут добавляться в ежемесячные расходы в зависимости от их активности. Модель выставления счетов для Внешняя идентификация Microsoft Entra на основе ежемесячных активных пользователей может повлиять на решение о реализации функций внешнего удостоверения.

Изолированный доступ для бизнес-партнеров

Рабочая архитектура может быть расширена, если требуется, чтобы внешние пользователи были изолированы от вашего клиента организации, таким образом, существует четкая граница для доступа и видимости между ресурсами, предназначенными для внутренних или внешних пользователей. Это позволяет выборочно подключить учетные записи пользователей сотрудников из клиента рабочей силы к совместному существованию с внешними учетными записями пользователей, если сотрудникам также необходимо управлять или получать доступ к внешним приложениям.

В этой архитектуре вы создадите в качестве границы дополнительный клиент, настроенный для идентификатора пользователя Microsoft Entra ID. В нем размещаются приложения и ресурсы, изолированные от клиента организации, доступные внешним пользователям для удовлетворения требований безопасности, соответствия и аналогичных требований. Вы можете настроить структурированное назначение доступа на основе предопределенных бизнес-ролей. Синхронизацию между клиентами можно использовать для подключения пользователей рабочей силы из корпоративного клиента к дополнительному клиенту.

На следующей схеме показан пример этой архитектуры. Компания Contoso запускает новое совместное предприятие, в котором внешние пользователи и сокращенное подмножество пользователей Contoso получают доступ к совместным предприятиям.

Управление цепочками поставок является примером этой архитектуры, в которой вы предоставляете доступ внешним пользователям от разных поставщиков и подмножество выборочно подключенных пользователей рабочей силы для предоставления приложений и ресурсов цепочки поставок.

В обоих примерах дополнительный клиент для доступа к партнеру обеспечивает изоляцию ресурсов, политики безопасности и роли управления.

Настройте управление удостоверениями Microsoft Entra и Внешняя идентификация Microsoft Entra в дополнительном клиенте с более строгими элементами управления, такими как:

• Ограничение профилей гостевых пользователей
• Разрешенные организации и приложения для совместной работы
• Определение жизненного цикла гостевой учетной записи, назначение ресурсов с ограничением времени, планирование периодических проверок доступа
• Применение более строгих наборов аттестаций в рамках подключения внешних пользователей

Эту архитектуру можно расширить с помощью клиентов совместной работы, чтобы создать несколько границ изоляции на основе бизнес-требований (например, изоляции по регионам, на партнера, на каждую юрисдикцию соответствия требованиям).

Изолированный доступ для ресурсов реализации бизнес-партнеров

• Планирование развертывания совместной работы Microsoft Entra B2B описывает методики управления для снижения рисков безопасности, удовлетворения целей соответствия требованиям и обеспечения правильного доступа.
• Что такое синхронизация между клиентами в идентификаторе Microsoft Entra, описывает, как автоматически создавать, обновлять и удалять пользователей совместной работы Microsoft Entra B2B в клиентах.
• Управление жизненным циклом сотрудников с помощью Управление идентификацией Microsoft Entra объясняет, как управление удостоверениями может помочь организациям сбалансировать производительность и безопасность.
• Управление доступом для внешних пользователей в управлении правами описывает параметры для управления доступом внешних пользователей.

Изолированный доступ для бизнес-партнеров

Жизненный цикл учетной записи

Область подключения пользователей рабочей силы, которые подключены к дополнительным клиентам через синхронизацию между клиентами. Их можно синхронизировать с Синхронизацией, чтобы иметь тип пользователя-члена с сопоставлениями атрибутов, согласованными с типом пользователя в клиенте организации.

Бизнес-партнеры можно подключить с помощью пакетов доступа "Управление правами" со встроенными элементами управления, такими как рабочие процессы утверждения. Учетные записи пользователей, подключенные с помощью управления правами, имеют встроенный жизненный цикл отслеживания и отключения после потери доступа к ресурсам на политики пакетов доступа.

Хотя эта архитектура не оптимизирована для совместной работы пользователей рабочей силы в дополнительном клиенте, бизнес-партнеры могут быть приглашены участниками. Организациям необходимо определить пользовательские процессы для отслеживания и отключения внешних пользователей, подключенных таким образом, с помощью таких возможностей, как проверки доступа или вызовы Microsoft Graph.

Администраторы также могут включить потоки самостоятельного входа и регистрации для определенных приложений. Организациям необходимо определить пользовательские процессы для отслеживания и отключения внешних пользователей, подключенных таким образом, с помощью таких возможностей, как проверки доступа или вызовы Microsoft Graph.

Внешние поставщики удостоверений

Эта архитектура поддерживает бизнес-партнеров от организаций, имеющих Microsoft Entra или поставщика удостоверений SAML/WS-Federation.

Бизнес-партнеры, у которых есть адреса электронной почты организации, но у них нет поставщиков удостоверений, могут получить доступ к клиенту с помощью однократного секретного кода электронной почты.

Деловые партнеры могут подключиться к учетным записям Майкрософт, Google или поставщикам социальных удостоверений Facebook.

Управление учетными данными

Если требуется, чтобы пользователи выполняли MFA, вы можете доверять утверждению метода проверки подлинности MFA, исходящему из конкретной бизнес-партнерской организации. Для пользователей, не настроенных в качестве доверенных учетных записей или не имеющих поставщика удостоверений, они могут зарегистрировать другие методы проверки подлинности для многофакторной проверки подлинности (MFA).

Администраторы могут доверять методам проверки подлинности MFA и состояниям устройств для пользователей рабочей силы, поступающих из корпоративного клиента.

Администраторы могут доверять методам проверки подлинности бизнес-партнера MFA из определенных организаций.

Создайте политики условного доступа, предназначенные для гостей для применения многофакторной проверки подлинности для внешних пользователей. Проверка подлинности и условный доступ для пользователей B2B описывает поток проверки подлинности для внешних пользователей, обращающихся к ресурсам в организации.

Нерегламентированная совместная работа

Нерегламентированная совместная работа, которую пользователи рабочей силы инициируют в этой архитектуре. Однако это не оптимизировано из-за трения пользователей при переключении клиентов. Вместо этого используйте назначение ресурсов на основе ролей для предоставления доступа к репозиториям контента, созданным пользователем (например, сайтам SharePoint) на основе бизнес-ролей.

Назначение ресурсов на основе ролей

Предоставление доступа к бизнес-партнерам с помощью пакетов управления правами, имеющих встроенные элементы управления. Примеры элементов управления включают назначение роли ресурсов с ограниченным временем и разделение обязанностей для конкретных внешних организаций.

Управление рисками

Эта архитектура снижает риск несанкционированного доступа бизнес-партнеров (намеренно или злонамеренно) к ресурсам в корпоративном клиенте из-за отдельной границы безопасности, предоставляемой дополнительными клиентами. У отдельного клиента есть возможность содержать применимые области регулирования в корпоративном клиенте.

Реализуйте подход к списку разрешений для области разрешенной организации для внешней совместной работы с такими возможностями, как параметры доступа между клиентами и список разрешений домена. Переход к управляемой совместной работе с Microsoft Entra B2B описывает, как защитить внешний доступ к вашим ресурсам.

Чтобы предотвратить вредоносные или случайные попытки перечисления и аналогичные методы рекогносцировки, ограничьте гостевой доступ к свойствам и членствам собственных объектов каталога.

После подключения бизнес-партнеры могут получить доступ к приложениям и ресурсам в среде с широким набором разрешений. Чтобы устранить непреднамеренное воздействие, реализуйте средства контроля профилактики и детектива. Последовательно применяйте соответствующие разрешения ко всем ресурсам и приложениям среды.

Другие

Дополнительные клиенты в вашей среде повышают операционные издержки и общую сложность.

Старайтесь создавать как можно меньше клиентов, чтобы удовлетворить ваши бизнес-потребности. Планируйте мультитенантные организации в Microsoft 365 , если у вас есть пользователи рабочей силы, представленные в качестве гостей в дополнительных клиентах, которые отделены от клиента организации.

Возможности, используемые внешними удостоверениями, могут добавляться в ежемесячные расходы в зависимости от их активности. Модель выставления счетов для Внешняя идентификация Microsoft Entra содержит сведения.

Архитектура, ориентированная на потребителей

Ориентированная на потребителей архитектура лучше всего подходит для обслуживания приложений отдельным потребителям, где могут потребоваться следующие компоненты:

• Строго настраиваемая фирменная символика на страницах проверки подлинности, включая проверку подлинности на основе API для собственных приложений и доменов пользовательской системы доменных имен (DNS).
• Базы пользователей, которые имеют огромный размер (потенциально более миллиона пользователей).
• Поддержка самостоятельной регистрации с помощью локальной электронной почты и пароля или федерации с поставщиками удостоверений социальных удостоверений, такими как учетная запись Майкрософт, Facebook и Google.

В пользовательской архитектуре внешний настроенный клиент предоставляет службы удостоверений приложениям и ресурсам, которые используют потребители приложений.

На следующей схеме показан пример архитектуры, ориентированной на потребителей.

Ресурсы реализации архитектуры, ориентированные на потребителей

• Защита приложений с помощью внешнего идентификатора в внешнем клиенте описывает, как решение microsoft identity and access management (CIAM) помогает сделать приложения доступными для потребителей и бизнес-клиентов. Преимущества функций платформы включают повышенную безопасность, соответствие и масштабируемость.
• В этом интерактивном проекте. Создайте пример приложения для оценки Внешняя идентификация Microsoft Entra для простой и безопасной регистрации и входа для потребителей, узнайте, как Внешняя идентификация Microsoft Entra обеспечить безопасный, простой вход для ваших потребителей и бизнес-клиентов. Ознакомьтесь с созданием клиента, регистрацией приложений, настройкой потока и безопасностью учетной записи.

Рекомендации по архитектуре, ориентированной на потребителей

Жизненный цикл учетной записи

Поддержка глубокой настройки регистрации и входа потребителей, таких как домены пользовательского URL-адреса, собственная проверка подлинности для мобильных приложений и настраиваемая логика для сбора атрибутов.

Используйте приглашения для подключения учетных записей потребителей.

Взаимодействие с отключением требует разработки пользовательских приложений.

Внешние поставщики удостоверений

Потребители самостоятельно зарегистрироваться локальную учетную запись с помощью локальной электронной почты и пароля.

Потребители, у которых есть допустимый адрес электронной почты, могут использовать одноразовый секретный код электронной почты.

Потребители проходят проверку подлинности с помощью учетных записей Google и Facebook.

Управление учетными данными

Потребители с локальными учетными записями могут использовать пароли.

Все учетные записи потребителей могут зарегистрировать дополнительные методы проверки подлинности, такие как проверка электронной почты для многофакторной проверки подлинности.

Нерегламентированная совместная работа

Ориентированная на потребителей архитектура не оптимизирована для совместной работы. Он не поддерживает Microsoft 365.

Приложениям нужна настраиваемая логика для предоставления возможностей для совместной работы, таких как поиск и выбор пользователей, а также рабочие процессы, ориентированные на содержимое, для предоставления общего доступа и управления ими.

Назначение ресурсов на основе ролей

Приложения могут поддерживать роли или группы приложений. Использование управления доступом на основе ролей для приложений описывает, как Внешняя идентификация Microsoft Entra позволяет определять роли приложений для приложения и назначать эти роли пользователям и группам.

Используйте пользовательскую логику или рабочие процессы, чтобы назначить пользователей ролям или группам.

Управление рисками

Пользователи могут просматривать только собственные профили пользователей и управлять ими.

Приложения должны разрабатывать пользовательскую логику, чтобы пользователи могли взаимодействовать друг с другом.

Другие

Для ресурсов Azure, поддерживающих инфраструктуру приложений, например Azure веб-приложения, размещайте в подписке Azure, которую вы связываете с клиентом рабочей силы.

Сочетания архитектуры

Объединенный набор требований вашей организации может не соответствовать только одной архитектуре. Может потребоваться использовать несколько архитектур или развернуть несколько экземпляров архитектур, описанных в этой статье.

Например, крупная консалтинговая компания может развернуть следующие архитектуры:

• Рабочая сила и ориентированная на совместную работу архитектура для сотрудников и внешних сотрудников, таких как маркетинговые учреждения и консультанты.
• Изолированный доступ для деловых партнеров для таких проектов, как совместные предприятия, требующие доступа и изоляции, где каждое совместное предприятие должно иметь отдельную границу.

В другом примере крупный розничный магазин может развернуть следующие архитектуры:

• Рабочая сила и ориентированная на совместную работу архитектура для сотрудников и внешних сотрудников, таких как маркетинговые учреждения и консультанты.
• Ориентированная на потребителей архитектура для обеспечения программ лояльности, электронной коммерции и аналогичных возможностей, ориентированных на потребителей. Розничные торговцы с несколькими брендами или работой в различных регионах могут нуждаться в отдельных экземплярах архитектуры.

Следующие шаги

Дополнительные рекомендации см. в планах развертывания Microsoft Entra.