通过

使用 Microsoft Entra Microsoft Entra 外部 ID 部署体系结构

  • 项目

企业可以使用 Microsoft Entra 为员工、合作伙伴和消费者启用多个用例,这些用例可能组合在一起。 在本文中,我们建议基于模式的最佳做法,以安全部署和使用 Microsoft Entra ID 以及以下具有 Microsoft Entra 的外部标识部署体系结构。 我们包括有关每个体系结构的信息以及指向资源的链接。

  • 面向员工和协作的体系结构
  • 业务合作伙伴的独立访问
  • 面向使用者的体系结构
  • 体系结构组合

我们根据他们与组织的关系定义以下角色。

  • 劳动力。 组织的全职员工、兼职员工或承包商。
  • 业务合作伙伴。 与企业有业务关系的组织。 这些组织可以包括与企业合作以实现共同目标的供应商、供应商、顾问和战略联盟。
  • 消费者。 个人(例如,与你有业务关系的客户)以及访问应用程序以购买或使用产品和服务的人员。
  • 外部用户。 组织外部的用户,例如业务合作伙伴和使用者。

本文介绍每个体系结构的以下注意事项。

  • 帐户生命周期。 能够定义在环境中载入和卸载用户帐户的业务规则。
  • 外部标识提供者。 能够使用自己的标识提供者(例如,另一个Microsoft Entra 租户、SAML 联合提供程序)或社交标识提供者来处理来自组织的外部用户。 它还是指为没有任何标识提供者的用户在租户中创建帐户的功能。
  • 凭据管理。 用于管理用户的凭据的选项,例如没有标识提供者的用户的密码,或身份验证的其他因素。
  • 即席协作。 允许或拒绝环境中用户(员工用户或其他外部用户)对文档、报表和类似用户创建内容进行外部用户的控制。
  • 基于角色的资源分配。 能够根据预定义的权限集(封装在角色中)授予外部用户对资源(例如应用程序分配、组成员身份或 SharePoint 网站成员身份)的访问权限。
  • 风险管理。 启用对外部用户的访问权限时,评估和管理安全、操作和合规性风险。

面向员工和协作的体系结构

员工和面向协作的体系结构使员工能够与外部组织的业务合作伙伴协作。 它包括用于防止对应用程序进行未经授权的访问的控制。

典型方案包括通过邀请业务合作伙伴使用生产力工具(如 SharePoint、Power BI、Microsoft Teams 或业务线应用程序)共享内容来启动协作的员工。 来宾用户可以来自具有自己的标识提供者的外部组织。 例如,另一个Microsoft Entra ID 租户或安全断言标记语言(SAML)联合标识提供者。

关系图演示了员工和面向协作的体系结构的示例。

在员工和面向协作的体系结构中,Microsoft Entra ID 员工配置租户使用 Microsoft Entra Identity GovernanceMicrosoft Entra 外部 ID 来定义策略,以授予对企业应用程序和资源的访问权限。 这些策略包括帐户和访问生命周期和安全控制。

员工和面向协作的体系结构实现资源

员工和面向协作的体系结构注意事项

帐户生命周期

用户可以在临时协作方案中邀请业务合作伙伴加入租户。 定义用于跟踪和卸载受邀外部用户的自定义进程。 使用访问评审 管理来宾访问介绍了如何确保来宾用户具有适当的访问权限。

还可以通过权利管理访问包加入业务合作伙伴,其中包含内置控制措施,例如审批工作流。 加入权利管理的用户帐户在无法访问包后具有内置的跟踪和卸载生命周期。

管理员还可以为特定应用程序启用自助登录/注册流。 组织需要定义自定义流程,以使用访问评审或调用 Microsoft Graph 等功能,以这种方式载入外部用户。

外部标识提供者

员工和面向协作的体系结构支持具有 Microsoft Entra 或 SAML/WS 联合身份验证标识提供者的组织的业务合作伙伴。

具有组织电子邮件地址但没有标识提供者的业务合作伙伴可以使用电子邮件一次性密码访问租户。

如有必要,可以将租户配置为使用 Microsoft 帐户、Google 或 Facebook 社交标识提供者加入业务合作伙伴。

管理员对标识提供者有精细的控制。

凭据管理

如果需要业务合作伙伴用户执行 MFA,可以选择信任来自特定业务合作伙伴组织的 MFA 身份验证方法声明。 否则,强制这些用户帐户在 Microsoft Entra ID 中注册 MFA 的其他身份验证方法。

Microsoft建议为外部用户强制实施多重身份验证。 B2B 用户的 身份验证和条件访问介绍如何创建面向来宾的条件访问策略。

即席协作

此体系结构经过优化,使员工用户能够使用 Microsoft 协作服务(如 Microsoft 365、Microsoft Teams 和 Power BI)与业务合作伙伴进行交互。

基于角色的资源分配

向具有权利管理访问包的业务合作伙伴授予访问权限,这些访问包具有内置控制措施,例如限制时间的应用程序角色分配和特定外部组织的职责分离。

风险管理

确定组织租户中的业务合作伙伴是否影响符合性范围以及适用的法规。 实施适当的预防和侦探技术控制。

加入后,业务合作伙伴可能能够访问具有大量权限的环境中的应用程序和资源。 若要缓解意外的暴露,请实施预防性和侦探控制。 一致地对所有环境资源和应用程序应用适当的权限。

有许多方法可用于帮助缓解风险,具体取决于风险分析结果:

其他注意事项

外部标识使用的功能可能会增加每月费用,具体取决于其活动。 基于每月活动用户的Microsoft Entra 外部 ID计费模型可能会影响你实现外部标识功能的决定。

业务合作伙伴的独立访问

当你要求外部用户与组织租户隔离时,可以扩展面向员工的体系结构,以便在面向内部或外部用户的资源之间有明确的访问边界和可见性。 这允许有选择地将员工用户帐户从员工租户加入外部用户帐户,以便与外部用户帐户共存(如果员工还需要管理或访问面向外部的应用程序)。

在此体系结构中,你将创建一个附加Microsoft Entra ID 员工配置的租户作为 边界。 它托管应用程序和资源(独立于组织租户),可供外部用户满足安全、合规性和类似要求。 可以根据预定义的业务角色配置结构化访问分配。 可以使用跨租户同步将员工用户从公司租户载入到其他租户。

下图演示了此体系结构的示例。 Contoso 启动一个新的合资企业,其中外部用户和减少的 Contoso 用户子集访问合资应用程序。

关系图演示了业务合作伙伴独立访问的示例。

供应链管理是此体系结构的一个示例,在此体系结构中,你可以向来自不同供应商的外部用户以及一部分有选择性地加入员工用户授予供应链应用程序和资源的访问权限。

在这两个示例中,用于合作伙伴访问的其他租户提供资源隔离、安全策略和管理角色。

使用更严格的控制措施在附加租户中配置 Microsoft Entra Identity GovernanceMicrosoft Entra 外部 ID

  • 限制来宾用户配置文件
  • 允许列表组织和应用进行协作
  • 定义来宾帐户生命周期、时间限制资源分配、计划定期访问评审
  • 在外部用户加入过程中应用更严格的证明集

可以使用协作租户扩展此体系结构,根据业务需求创建多个隔离边界(例如,隔离每个区域、每个合作伙伴、每个合规性管辖区)。

业务合作伙伴实现资源的独立访问

业务合作伙伴的独立访问注意事项

帐户生命周期

通过跨租户同步加入到其他租户的员工用户的作用域内加入。 可以同步它们以使其具有与组织租户中的用户类型一致的属性映射的成员用户类型

业务合作伙伴可以通过权利管理访问包加入,其中包含内置控制措施,例如审批工作流。 加入权利管理的用户帐户在失去对每个访问包策略的资源的访问权限后,具有内置的跟踪和卸载生命周期。

虽然此体系结构未针对其他租户中的员工用户即席协作进行优化,但业务合作伙伴可以由成员邀请。 组织需要使用访问评审或调用 Microsoft Graph 等功能定义自定义流程来跟踪和卸载以这种方式加入的外部用户。

管理员还可以为特定应用程序启用自助登录/注册流。 组织需要使用访问评审或调用 Microsoft Graph 等功能定义自定义流程来跟踪和卸载以这种方式加入的外部用户。

外部标识提供者

此体系结构支持具有 Microsoft Entra 或 SAML/WS 联合身份验证标识提供者的组织的业务合作伙伴。

具有组织电子邮件地址但没有标识提供者的业务合作伙伴可以使用电子邮件一次性密码访问租户。

业务合作伙伴可以加入 Microsoft 帐户、Google 或 Facebook 社交标识提供者。

凭据管理

如果需要用户执行 MFA,可以选择信任来自特定业务合作伙伴组织的 MFA 身份验证方法声明。 对于未配置为受信任的帐户或没有标识提供者的用户,他们可以注册用于多重身份验证的其他身份验证方法(MFA)。

管理员可以选择信任来自公司租户的员工用户的 MFA 身份验证方法和设备状态。

管理员可以选择信任来自特定组织的业务合作伙伴 MFA 身份验证方法。

创建面向来宾的条件访问策略,以便为外部用户强制实施多重身份验证。 B2B 用户的 身份验证和条件访问描述了访问组织中的资源的外部用户的身份验证流。

即席协作

在此体系结构中,员工用户启动的即席协作是可能的。 但是,由于切换租户时用户体验有摩擦,因此未对其进行优化。 请改用基于角色的资源分配,基于业务角色授予对用户创建的内容存储库(如 SharePoint 网站)的访问权限。

基于角色的资源分配

使用具有内置控件的权限管理访问包向业务合作伙伴授予访问权限。 示例控制包括时间限制的资源角色分配和特定外部组织的职责分离。

风险管理

由于其他租户提供的单独安全边界,此体系结构可降低业务合作伙伴获得对企业租户中资源的未经授权的访问(有意或恶意)的风险。 拥有单独的租户,以帮助在公司租户中包含适用的监管范围。

实现允许列表方法,将允许的组织范围限定为具有跨租户访问设置和域允许列表等功能的外部协作。 通过 Microsoft Entra B2B 协作 过渡到受治理的协作介绍了如何保护对资源的外部访问。

为了防止枚举和类似的侦查技术的恶意或意外尝试, 请限制来宾访问 其自己的目录对象的属性和成员身份。

加入后,业务合作伙伴可能能够访问具有广泛权限集的环境中的应用程序和资源。 若要缓解意外的暴露,请实施预防性和侦探控制。 一致地对所有环境资源和应用程序应用适当的权限。

其他

环境中的其他租户会增加运营开销和整体复杂性。

努力创建尽可能少的租户以满足业务需求。 如果员工用户表示为与组织租户分开的其他租户中的来宾,请规划 Microsoft 365 中的多租户组织。

外部标识使用的功能可能会增加每月费用,具体取决于其活动。 Microsoft Entra 外部 ID的计费模型提供了详细信息。

面向使用者的体系结构

面向使用者的体系结构最适合为单个使用者提供服务,其中可能需要以下组件:

  • 身份验证页面上高度自定义的品牌,包括本机应用的基于 API 的身份验证和自定义域名系统(DNS)域。
  • 规模巨大(可能超过 100 万用户)的用户群。
  • 支持使用本地电子邮件和密码进行自助注册,或与社交标识提供者(如 Microsoft 帐户、Facebook 和 Google)联合。

在面向使用者的体系结构中,外部配置的租户为应用程序使用者使用的应用程序和资源提供标识服务。

下图演示了面向使用者的体系结构示例。

关系图说明了面向使用者的体系结构示例。

面向使用者的体系结构实现资源

面向使用者的体系结构注意事项

帐户生命周期

支持对使用者注册和登录体验进行深度自定义,例如 自定义 URL 域移动应用的本机身份验证 ,以及 属性集合的自定义逻辑。

使用邀请加入使用者帐户。

卸载体验需要自定义应用程序开发。

外部标识提供者

使用者使用本地电子邮件和密码注册本地帐户。

具有有效电子邮件地址的使用者可以使用电子邮件一次性密码。

使用者使用 Google 和 Facebook 登录名进行身份验证。

凭据管理

具有本地帐户的使用者可以使用密码。

所有使用者帐户都可以注册其他身份验证方法,例如电子邮件验证,以便进行多重身份验证。

即席协作

面向使用者的体系结构未针对即席协作进行优化。 它不支持 Microsoft 365。

应用程序需要自定义逻辑来提供协作功能,例如用户查找/选取和以内容为中心的工作流来共享/管理访问权限。

基于角色的资源分配

应用程序可以支持应用角色或组。 对应用使用基于角色的访问控制介绍了如何Microsoft Entra 外部 ID允许你为应用程序定义应用程序角色,并将这些角色分配给用户和组。

使用自定义逻辑或工作流将用户分配到角色或组。

风险管理

用户只能查看和管理自己的用户配置文件。

应用程序需要开发自定义逻辑,以允许用户相互交互。

其他

对于支持应用程序基础结构(例如 Azure Web 应用)的 Azure 资源,托管在链接到员工租户的 Azure 订阅中。

体系结构组合

组织的聚合要求集可能不只适合一个体系结构。 可能需要使用多个体系结构或部署本文中所述的体系结构的多个实例。

例如,大型咨询公司可能部署以下体系结构:

  • 员工和面向协作的体系结构 适用于员工和外部协作者,例如营销机构和顾问。
  • 对于需要了解访问权限和隔离的项目(例如需要了解访问权限和隔离)的项目, 每个合资企业都需要具有单独的边界的独立访问权限。

在另一个示例中,大型零售商可能部署以下体系结构:

  • 面向员工和外部协作者的劳动力和协作型体系结构 ,例如营销机构和顾问。
  • 面向消费者的体系结构 ,可实现忠诚计划、电子商务和类似的以消费者为中心的功能。 在多个区域拥有多个品牌或工作的零售商可能需要单独的体系结构实例。

后续步骤

有关其他指导,请查看 Microsoft Entra 部署计划