为业务合作伙伴和外部用户规划新的治理方案
概述:业务合作伙伴和外部用户方案概述
通常,在某些时候,所有业务流程都需要与合作伙伴、承包商或供应商合作。 为了促进这项工作,业务合作伙伴和外部用户可能需要访问你的组织。 与合作伙伴、供应商和外部用户相关的业务规划涉及设计和实施技术解决方案,这些解决方案可实现组织与合作伙伴之间的有效协作、集成和目标一致性。
Microsoft 根据其与组织的关系定义以下角色。
- 工作人员。 组织的全职员工、兼职员工或承包商。
- 业务合作伙伴。 与企业有业务关系的组织。 这些组织可以包括与你的企业合作以实现共同目标的供应商、顾问和战略联盟。
- 外部用户。 组织外部的用户,例如业务合作伙伴和使用者。
业务流程和业务合作伙伴和外部用户方案示例
来宾方案或外部访问方案是特定的用例,其中业务合作伙伴或外部用户与组织资源交互,并且需要在组织的 Microsoft Entra 租户之一中表示。 这些方案几乎涉及业务流程的各个方面。
请考虑以下每个业务流程以及合作伙伴规划和交互如何发挥作用的示例。 下表提供了涉及业务合作伙伴和外部用户的这些流程和示例方案的细分。
| 业务流程 | 定义 | 业务合作伙伴和外部用户示例 |
|---|---|---|
| 业务流程管理 | 一种系统的方法,用于改进组织的工作流和运营。 | 与信用评分机构合作以简化贷款审批过程的金融服务公司。 |
| 集成业务规划 | 一种整体方法,使组织的战略目标、运营计划和财务预测保持一致,以创建一个统一的决策框架。 | 零售公司通过集成规划平台与供应商分享销售预测和库存水平。 |
| 客户关系管理 | 用于管理组织与客户交互的战略方法和系统。 | 一家汽车公司负责协调、支持和优化与经销商的互动。 |
| 供应链业务流程 | 协调所有供应链流程的管理,以确保从采购到交付的所有阶段的效率、可见性和响应能力。 | 任何拥有供应链且需要与供应商协调的公司。 |
| 业务合作伙伴帐户生命周期 | 管理组织与其外部业务合作伙伴之间的关系和交互的端到端过程。 | 与软件供应商合作以增强其产品/服务的科技公司。 |
| B2B 与其他组织的协作 | 两个或多个企业之间的战略伙伴关系,通过共享资源、信息和努力实现共同目标。 | 当地一家咖啡店与一家面包店合作,以增强双方的产品/服务。 |
了解方案有助于设计适当的访问控制并确保与外部人员顺利协作。
业务合作伙伴和外部用户的新治理方案领域
新的业务合作伙伴和外部用户解决方案通常涉及以下领域。 它们是:
- 发现业务需求 - 识别外部标识的当前生命周期和治理流程。 本练习将帮助你确定适用的方案、可行性和范围。
- 确定安全状况 - 根据方案评估组织的安全和协作需求。
- 加入业务合作伙伴和外部用户 - 就来宾或外部标识而言,加入是在组织系统中设置这些标识的过程或流程。
- 脱离业务合作伙伴和外部用户 - 就来宾或外部标识而言,脱离是从组织系统中删除这些标识的过程或流程。
许可要求
使用以下一些功能需要 Microsoft Entra ID 治理或 Microsoft Entra 套件许可证。 若要查找符合要求的正确许可证,请参阅 Microsoft Entra ID 治理许可基础知识
下一步
发现:确定业务合作伙伴和外部用户的当前生命周期和治理过程
确定外部标识的当前生命周期和治理过程。 本练习将帮助你确定适用的方案、可行性和范围。
查看使用 Microsoft Entra ID 治理来管理员工和来宾生命周期,重点介绍外部标识。 来宾用户、供应商和其他外部用户也需要此处介绍的过程,以便他们能够协作或有权访问资源。 本文档介绍可执行的操作来发现治理过程。
由于业务合作伙伴和外部用户的治理方案使用权利管理,因此还应查看权利管理常见方案。 这将为你提供基于用户角色进行权利管理的常见方案。 规划解决方案时,应考虑这些事项。
还可以使用下表作为评估当前状态时要考虑的其他方面的指南。
| 过程 | 说明 |
|---|---|
| 确定发起外部协作的人员 | 通常,寻求外部协作的用户知道要使用的应用程序以及访问结束的时间。 因此,请确定具有邀请外部用户、创建访问包和完成访问评审的委托的权限的用户。 |
| 枚举业务合作伙伴和外部用户 | 外部用户可以是具有合作伙伴管理的凭据的 Microsoft Entra B2B 用户,也可以是具有本地预配凭据的外部用户。 通常,这些用户的 UserType 属于 Guest。 |
| 发现电子邮件域和 companyName 属性 | 你可以通过外部用户电子邮件地址的域名来确定外部组织。 |
| 使用允许列表、阻止列表和权利管理 | 使用允许列表或阻止列表使组织能够在租户级别与组织协作或阻止组织。 |
| 确定外部用户访问权限 | 拥有外部用户和组织清单后,确定要授予这些用户的访问权限。 |
| 枚举应用程序权限 | 调查对敏感应用的访问,了解外部访问。 |
| 检测非正式共享 | 如果启用了电子邮件和网络计划,则可以通过电子邮件或未经授权的软件即服务 (SaaS) 应用来调查共享的内容。 |
有关详细信息,请参阅发现组织中外部协作的当前状态
示例 - 识别当前生命周期和治理过程
你是一家繁忙的科技公司 Contoso 的 IT 管理员,经常面临高效、安全地加入业务外部用户(如顾问、供应商和合作伙伴)的挑战。 当前的加入过程分散且不一致,导致安全漏洞和效率低下。 为解决此问题,你需要一个发现阶段来确定关键要求,并了解如何利用Microsoft Entra。
某些关键要求包括:
- 不同部门的来宾加入需求各异,需要独特的访问权限级别。
- 确保来宾用户拥有执行其任务所需的最低权限至关重要,并且需要可靠的条件访问策略和多重身份验证来保护敏感数据。
- 面向 IT 管理员和外部用户的无缝且用户友好的加入过程。 外部用户应能够快速轻松地访问所需的资源,而不会造成不必要的延迟。
- 与现有协作工具(如 Microsoft Teams 和 SharePoint)集成,以及自助注册 (SSSU) 选项
- 通过定期监视来宾用户活动、设置访问过期和定期访问评审来管理来宾,确保来宾访问在一段时间内保持不变。 有关详细信息,请参阅使用 Microsoft Entra ID 治理管理员工和来宾生命周期和发现组织中外部协作的当前状态
对于这些关键要求,需要考虑以下两点:
- 将外部用户加入租户
- 获取外部用户对资源的访问权限
根据业务案例有不同的选择。 我们来深入了解外部用户的加入以及可用的选项。
下一步
安全状况:确定业务合作伙伴和外部用户的安全状况
在考虑对外部访问的治理时,请按方案评估组织的安全和协作需求。 可以从 IT 团队对最终用户日常协作的控制级别开始。 高度受管制行业的组织可能需要更多 IT 团队控制。
例如:
- 国防承包商可以要求积极识别和记录外部用户、其访问权限和访问权限删除。
- 咨询机构可以使用某些功能来允许最终用户确定他们与之协作的外部用户。
- 银行的承包商可能比软件公司的承包商需要更多控制权
注意
对协作进行高度控制可能会导致 IT 预算增加、生产效率降低和业务成果延迟。 当官方协作渠道被认为非常繁琐时,最终用户往往会避开官方渠道。 一个示例是最终用户通过电子邮件发送不安全的文档。
基于方案的规划
IT 团队可以委托合作伙伴访问权限,使员工能够与合作伙伴协作。 此委托可以在保持足够的安全性来保护知识产权的同时发生。
编译和评估组织的方案,以帮助评估员工与业务合作伙伴对资源的访问。 金融机构可能具有合规性标准,用于限制员工访问帐户信息等资源。 相反,相同的机构可以为营销活动等项目启用委托的合作伙伴访问权限。
方案注意事项
使用以下列表来帮助度量访问控制的级别。
- 信息敏感度及相关的暴露风险
- 合作伙伴对有关其他最终用户的信息的访问权限
- 违规成本与集中控制和最终用户摩擦的开销
组织可以在开始时采取高度管理的控制,以满足合规性目标,然后随时间的推移将一些控制委托给最终用户。 一个组织中可以同时存在多个访问管理模型。
体系结构注意事项
适当的安全体系结构设计是确保安全业务合作伙伴和外部用户方案的重要组成部分。 在起草安全性计划时,你应该熟悉不同类型的推荐体系结构。 使用 Microsoft 标识治理的推荐体系结构包括:
- 面向工作人员和协作的体系结构注意事项 - 使工作人员能够与外部组织的业务合作伙伴协作。
- 业务合作伙伴的独立访问 - 将外部用户与组织的租户隔离开来
建议的文档
最后,应查看以下文档。 通过查看本文档,可以设计并创建一个可与业务合作伙伴和外部用户方案一起使用的安全性计划。
下一步
加入:加入业务合作伙伴和外部用户
加入业务合作伙伴和外部用户是标识和访问管理的关键方面,有助于维护组织内的安全性、合规性和运营效率。 业务合作伙伴和外部用户的加入可分为以下各项:
- 开发加入过程以添加外部合作伙伴。
- 开发加入过程以将外部用户添加到系统。
业务合作伙伴的加入过程
以下项目是从组织加入业务合作伙伴时应考虑的一般步骤列表。
- 确定与业务合作伙伴合作的开始日期。
- 通知所有相关部门具体开始时间和日期。
- 协调业务合作伙伴对所有系统的启动访问权限(门户、工具、API)
- 添加合作伙伴链接帐户并批准角色和分配
外部用户的加入过程
以下项目是从组织加入外部用户时应考虑的一般步骤列表。
- 确定开始日期。
- 通知 IT 向系统添加单个用户访问权限。 这可以通过访问包和使用自我请求进行自动化。
- 记录已执行的加入步骤。
- 从人力资源、IT 和任何相关部门获得最终批准,确保加入的所有方面都已完成。
使用权利管理促进加入
权利管理使用目录、访问包和策略来实现以下目的:
- 控制谁可以访问资源
- 自动授予用户访问权限
- 删除用户的访问权限
- 将创建访问包的功能委托给非管理员。
- 选择哪些已连接的组织的用户可以请求访问权限。
有关详细信息,请参阅什么是权利管理?
目录、访问包和策略
在权利管理中,一个访问包可以有多个策略,每个策略确定用户如何获得访问包的分配,以及持续多长时间。 权利管理可配置为加入业务合作伙伴和外部用户,并将其访问权限及其帐户添加到租户。
典型的访问包可能包括:
- 添加了对与包关联的所有资源的访问权限
- 将用户添加到所需的任何组
- 将帐户添加到来宾用户目录
- 使用审核日志实现合规性
- 发送通知以确认成功加入
目录是资源和访问包的容器。 如果要对相关资源和访问包进行分组,可以创建目录。 例如,可以为与其他组织(如 Contoso)有业务往来的组织创建业务合作伙伴目录。 在此目录中,可以创建访问包。 使用访问包可以一次性设置好用于在访问包的生命周期内自动管理访问权限的资源和策略。 这些访问包可以针对 Contoso 内部的各种外部用户和合作伙伴以及整个 Contoso 组织本身进行定制。 例如,你可能拥有 Contoso 供应商的访问包,一个用于 Contoso 承包商,一个用于 Contoso 组织。 有关详细信息,请参阅在权利管理中创建和管理资源目录
使用访问包可以一次性设置好用于在访问包的生命周期内自动管理访问权限的资源和策略。 所有访问包必须位于称为“目录”的容器中。 访问包可用于分配对目录中多个资源的角色的访问权限。 所有访问包都必须至少有一个策略,用于将用户分配到访问包。 有关详细信息,请参阅在权利管理中创建访问包
策略指定谁可以请求该访问包以及审批和生命周期设置,或者如何自动分配访问权限。
有关详细信息,请参阅使用权利管理加入外部用户
向业务合作伙伴和外部用户提供加入访问权限
使用权利管理,可以定义一个策略来允许你指定的组织的用户能够自行请求访问包。 该策略包括是否需要审批、是否需要访问评审,以及访问权限的到期日期。
有关详细信息,请参阅在权利管理中管理外部用户的访问权限
有关特定示例,请参阅教程 - 通过审批过程将外部用户加入 Microsoft Entra ID
使用生命周期工作流协助加入任务
生命周期工作流是一项标识治理功能,可让组织通过自动执行下面三个基本生命周期过程来管理 Microsoft Entra 用户:
- 加入者:当个人进入需要访问权限的范围时。 例如,加入公司或组织的新员工。
- 移动者:当个人在组织各部门之间移动时。 此移动可能需要更多访问权限或授权。 例如,一个用户曾经在营销部门,但现在是销售组织的成员。
- 离开者:当个人离开需要访问权限的范围时。 此移动可能需要删除访问权限。 例如,即将退休的员工或被解雇的员工。
工作流包含特定流程,这些流程在用户完成生命周期时自动针对用户运行。 工作流由任务和执行条件组成。
许多任务将允许业务合作伙伴和外部用户开始使用,可以使用生命周期工作流实现自动化。 有关详细信息,请参阅什么是生命周期工作流?
有关如何自动执行这些任务和其他任务的详细信息,请参阅自动化员工和来宾加入任务
通过直接分配循环访问其他资源
现在,可能需要向来宾用户分配其他要求。 这可以通过使用访问包和权利管理来完成。
例如,你可能具有分配给常规用户的访问包,并且你希望向来宾用户分配类似的包。 可以使用权利管理将来宾用户分配到这些访问包。 请参阅在权利管理中查看、添加和删除访问包的分配
可以选择创建新包(而不是使用现有包),并将来宾用户分配到该包。 有关详细信息,请参阅:
以下部分提供了可加入来宾用户的各种方法的示例
示例 - 使用权利管理预配用户
作为 IT 管理员,你已确定需要从 Fabrikam 加入外部顾问进行协作的项目。 必须实现自动化访问管理、审批工作流和生命周期管理。 使用 Microsoft Entra 的权利管理,可以创建一个访问包用于捆绑多个资源(如组、应用程序和 SharePoint 网站),包括审批工作流来确保在授予访问权限之前由相应个人评审和批准访问请求,并为访问设置时间段。
你向顾问发出邀请,顾问收到电子邮件,其中包含接受访问包的链接。 顾问之一 John 访问链接,验证其身份,并在几分钟内获得对必要资源的访问权限。 加入过程非常顺利且安全,使顾问能够立即开始协作。 该项目无延迟地启动,确保 Contoso 和 Fabrikam 之间的高效合作关系。
有关详细信息,请参阅:
- 使用权利管理加入外部用户
- 在权利管理中为访问包配置自动分配策略
- 教程 - 通过审批流程将外部用户加入 Microsoft Entra ID
- Microsoft Entra 部署方案 - 跨所有应用的员工和来宾加入、标识和访问生命周期治理
示例 - 最终用户驱动的协作
对于另一个设计项目,设计团队经理要求你作为 IT 管理员添加来自 Global Solutions 的 John Doe 进行协作。 主要目标是邀请用户加入目录并展开协作。 你使用外部用户 John 的电子邮件邀请其作为来宾用户。 电子邮件邀请简单灵活,可用于邀请来自各种域和标识提供者的用户,包括 Gmail 或 Microsoft 帐户等社交标识。 John 使用自己的凭据安全地登录,而无需进行密码维护或帐户生命周期管理,这样做简化了加入过程。
有关详细信息,请参阅在 Microsoft Entra 管理中心添加 B2B 协作用户和配置外部协作设置
示例 - 通过直接分配循环访问其他资源
现在,作为 IT 管理员,你要求绕过访问请求,并将特定用户直接分配到访问包,从而授予外部团队即时访问权限。 你将在访问包中创建第一个访问包分配策略。 你查看访问包的策略,确认它是否允许直接添加外部用户。
一切准备就绪后,Emma 转到“分配”选项卡。她输入了外部团队成员的电子邮件地址,确保他们被正确列出。 最后评审后,她单击了“分配”按钮。
外部合作伙伴几乎立即收到了邀请。 他们无缝加入了目录并毫无延迟地获得了对必要资源的访问权限。 这种高效的设置使两个团队能够立即开始他们的协作工作,从而营造出一种高效、创新的环境。 有关详细信息,请参阅:
下一步
脱离:有效地脱离业务合作伙伴和外部用户。
脱离业务合作伙伴和外部用户是标识和访问管理的关键方面,有助于维护组织内的安全性、合规性和运营效率。 业务合作伙伴和外部用户的脱离可分为以下各项:
- 开发脱离过程以删除外部合作伙伴。
- 开发脱离过程以从系统中删除外部用户。
业务合作伙伴的脱离过程
以下项目是从组织脱离业务合作伙伴时应考虑的一般步骤列表。
- 确定与业务合作伙伴合作的结束日期。
- 通知所有相关部门具体结束时间和日期。
- 协调业务合作伙伴对所有系统的终止访问权限(门户、工具、API)
- 删除合作伙伴链接帐户并撤销角色和分配
- 查看与合作伙伴共享的数据,并确定应保留还是安全地删除任何数据。
- 从合作伙伴的系统收集任何专有或敏感数据
- 验证是否执行数据删除以确保合规性。
外部用户的脱离过程
以下项目是从组织脱离外部用户时应考虑的一般步骤列表。
- 确定结束日期。
- 确保完成任何挂起的可交付结果或任务。
- 通知 IT 从系统中删除单个用户访问权限。 可以使用访问包自动执行此操作
- 确认外部用户拥有的任何数据已转移或返回。
- 确保禁用特定于外部用户的所有帐户,而不会影响来自同一组织中的其他用户。
- 记录执行的脱离步骤。
- 从人力资源、IT 和任何相关部门获得最终批准,确保脱离的所有方面都已完成。
使用权利管理促进脱离
在权利管理中,一个访问包可以有多个策略,每个策略确定用户如何获得访问包的分配,以及持续多长时间。 权利管理可配置为在来宾用户上次访问包分配过期时自动脱离来宾用户,从而从租户中删除其访问权限和来宾用户帐户。
访问包过期时,脱离过程应包括以下内容:
- 撤消对与过期包关联的所有资源的访问权限
- 从用户所属的任何组中移除用户
- 从来宾用户目录中移除帐户
- 使用审核日志实现合规性
- 发送通知以确认成功脱离
有关详细信息,请参阅在权利管理中管理外部用户的访问权限
使用生命周期工作流协助脱离任务
生命周期工作流是一项标识治理功能,可让组织通过自动执行一些基本生命周期过程来管理 Microsoft Entra 用户。
工作流包含特定流程,这些流程在用户完成生命周期时自动针对用户运行。 工作流由任务和执行条件组成。
有关详细信息,请参阅使用 Microsoft Entra 管理中心在员工最后一天工作后自动执行员工脱离任务
示例 - 脱离来宾帐户
John 是访问包已过期的来宾。 然后,系统会撤销 John 对链接到该包的所有资源的访问权限。 John 被从他所属的任何组中移除。 在他最后一个活动包过期后,John 的帐户将从来宾用户目录中移除。
有关详细信息,请参阅使用访问评审管理用户和来宾的访问权限和使用 Microsoft Entra 管理中心在员工最后一天工作后自动执行员工脱离任务