共用方式為

規劃商務夥伴和外部使用者的新治理情境

  • 發行項

概觀:商務夥伴和外部使用者案例的概觀

一般而言,某些時候,所有商務程式都需要與合作夥伴、承包商或廠商合作。 為了協助這項工作,商務夥伴和外部使用者可能需要存取您的組織。 合作夥伴、廠商和外部使用者的商務規劃牽涉到設計和實作技術解決方案,讓組織與合作夥伴之間能夠有效共同作業、整合及調整目標。

Microsoft會根據與貴組織的關係定義下列角色。

  • 勞動力 您組織的全職員工、兼職員工或承包商。
  • 商務夥伴。 與企業有業務關係的組織。 這些組織可以包含與企業共同作業以達成共同目標的供應商、廠商、顧問和策略聯盟。
  • 外部使用者。 貴組織外部的使用者,例如商務夥伴和取用者。

商務程式與商務夥伴和外部使用者案例範例

來賓案例或外部存取案例是在特定使用情境中,商務夥伴或外部使用者與組織的資源互動,並需要在組織的某一個 Microsoft Entra 租戶中表現。 這些案例幾乎橫跨商務程式的各個層面。

請考慮下列每個商務程式,以及合作夥伴規劃和互動如何發揮作用的範例。 下表提供涉及商務夥伴和外部用戶的這些流程和範例案例的細目。

商務程序 定義 商務夥伴和外部用戶範例
企業流程管理 改善組織的工作流程和作業的系統化方法。 與信用評分機構合作的金融服務公司,以簡化貸款核准程式。
整合式商務規劃 整體方法,可配合組織的戰略目標、營運計劃和財務預測,以建立一個統一、統一的決策架構。 零售公司透過整合規劃平臺與供應商分享銷售預測和庫存水準。
客戶關係管理 管理組織與客戶互動的策略方法和系統。 汽車公司協調、支持和優化其與經銷商的互動。
供應鏈協調流程 協調管理所有供應鏈程式,以確保從採購到交付的所有階段的效率、可見度和回應性。 任何擁有供應鏈且需要與供應商協調的公司。
Business Partner 帳戶生命週期 管理組織與其外部商務夥伴之間關係與互動的端到端流程。 與軟體廠商合作以增強其產品供應專案的科技公司。
B2B 與其他組織的合作 兩個或多個企業之間的戰略夥伴關係,透過共用資源、資訊和努力實現共同目標。 當地一家咖啡店與麵包店合作,以增強兩家企業的產品選擇。

瞭解您的案例有助於設計適當的訪問控制,並確保與外部人員順暢地共同作業。

新管理情境下的商務夥伴和外部使用者領域

新的商務夥伴和外部用戶解決方案通常涉及下列領域。 它們是:

管理資源存取權的概念繪圖。

授權需求

使用下列某些功能需要 Microsoft Entra ID 控管 或Microsoft Entra Suite 授權。 若要尋找您需求的正確授權,請參閱 Microsoft Entra ID 控管 授權基本概念

後續步驟

探索

探索:識別商務夥伴和外部使用者的目前生命週期和治理程式

辨識您目前涉及外部身分識別的生命週期和治理程序。 本練習將協助您判斷適用的案例、可行性和範圍。

檢閱使用 Microsoft Entra ID 治理,管理員工和來賓的生命週期,並重點關注外部身分識別。 來賓使用者、供應商和其他外部使用者也需要此處涵蓋的程式,讓他們能夠共同作業或存取資源。 本文件涵蓋您可以採取的動作來探索治理程式。

因為商務夥伴和外部使用者的治理案例使用權利管理,因此您也應該檢閱 權利管理中的常見案例。 這會根據使用者的角色提供權利管理的常見案例。 規劃解決方案時,您應該考慮這些。

您也可以使用下表作為評估目前狀態時要考慮的其他區域指南。

過程 描述
判斷誰發起外部合作 一般而言,尋求外部共同作業的使用者會知道要使用的應用程式,以及存取結束的時間。 因此,判斷誰是有委派權限的使用者,以邀請外部使用者、建立存取套件,以及完成存取檢閱。
列舉商務夥伴和外部使用者 外部使用者可能是具有合作夥伴管理認證的Microsoft Entra B2B 使用者,或具有本機佈建認證的外部使用者。 這些使用者通常的 UserType 是 [來賓]。
探索電子郵件網域和公司名稱屬性 您可以根據外部使用者電子郵件地址的網域名稱來決定外部組織。
使用允許清單、封鎖清單和權利管理 使用允許清單或封鎖清單,讓您的組織能夠與租用戶層級的組織共同作業或封鎖組織。
確定外部使用者的權限 透過外部使用者和組織的清單,判斷應授予使用者的存取權限。
列舉應用程式權限 調查敏感性應用程式的存取權,以瞭解其外部存取情況。
偵測非正式共用 如果您的電子郵件和網路方案已啟用,您便可透過電子郵件,或透過未經授權軟體即服務 (SaaS) 應用程式來調查共用的內容。

如需詳細資訊,請參閱 探索組織中外部共同作業的目前狀態

範例 - 識別目前的生命週期和治理程式

您是一家繁華的科技公司 Contoso 的 IT 系統管理員,而且經常面臨有效率且安全地將商務外部使用者上線的挑戰,例如顧問、廠商和合作夥伴。 目前的上線程式分散且不一致,導致安全性弱點和效率不佳。 若要解決此問題,您可以開始探索階段,以識別關鍵需求,並瞭解您如何利用Microsoft Entra。

組織的概念繪圖。

您的一些重要需求包括:

  • 不同部門對來賓上線有著不同的需求,並需要獨特的存取層級。
  • 確保來賓使用者具有執行其工作所需的最低許可權非常重要,而且需要健全的條件式存取原則和多重要素驗證來保護敏感數據。
  • 您作為 IT 管理員以及您的外部用戶,皆可享受流暢且操作便利的啟動流程。 外部使用者應該能夠快速且輕鬆地存取所需的資源,而不會造成不必要的延遲。
  • 與現有的共同作業工具整合,例如 Microsoft Teams 和 SharePoint,以及自助式註冊選項 (SSSU)
  • 藉由定期監控來賓用戶活動來管理來賓的能力,設置存取期限和定期檢討存取權限,確保來賓存取在一段時間內仍能保持適當。 如需詳細資訊,請參閱使用 Microsoft Entra ID 控管 控管員工和來賓生命週期,以及探索組織中外部共同作業的目前狀態

考慮到這些重要需求,以下是需要考慮的兩件事:

  • 將外部用戶引導至租戶
  • 取得外部使用者對資源的存取權

視商務案例而定,有不同的選項。 讓我們深入探討外部用戶的上線,以及可用的選項。

後續步驟

安全性

安全性狀態:判斷商務夥伴和外部使用者的安全性狀態

當您考慮治理外部存取時,請依案例評定貴組織的安全性和共同作業需求。 您可以從 IT 小組在終端使用者的日常共同作業中所擁有的控制層級開始進行。 高管制產業中的組織可能需要較多 IT 小組控制。

例如:

  • 防禦承包商可以要求積極識別並記錄外部使用者、其存取權和移除存取權。
  • 諮詢機構可以使用特定功能,讓終端使用者判斷他們所共同作業的外部使用者。
  • 銀行的承包商可能需要比軟體公司的承包商更多的控制權

從完整 IT 小組控制到使用者自助的範圍橫條圖。

注意

高度控制共同作業可能會導致 IT 預算升高、生產力降低,以及業務成果延誤。 當終端使用者認為官方共同作業通道很繁重時,隨即會傾向規避官方通道。 例如,終端使用者透過電子郵件傳送不安全的文件。

以案例為基礎的規劃

IT 小組可以委派合作夥伴存取權,讓員工能夠與合作夥伴共同作業。 在進行此委派時,仍能維持足夠的安全性來保護智慧財產權。

編譯及評估貴組織的案例,以協助評估員工與商務夥伴對資源的存取權。 金融機構可能有合規性標準,限制員工存取帳戶資訊等資源。 相反地,相同的機構可以啟用委派給合作夥伴的存取權,適用於行銷活動等項目。

管理合作夥伴自助存取權的IT小組平衡圖表。

案例考量

使用下列清單來協助測量存取控制層級。

  • 資訊敏感度及其暴露的相關風險
  • 合作夥伴存取其他終端使用者的相關資訊
  • 資料洩漏的成本與集中控制的額外成本及使用者摩擦力之間的比較

組織可以在一開始採用高度管理的控制,以達成合規性目標,等過一段時間後,再將部分控制權委派給終端使用者。 組織中可能會有同時存取管理模型。

架構考量

適當的安全性架構設計是確保安全商務夥伴和外部使用者案例的重要元件。 您應該在起草安全性計劃時熟悉不同類型的建議架構。 使用 Microsoft Identity Governance 的建議架構如下:

建議的文件

最後,您應該檢閱下列檔。 檢閱本檔可讓您設計及建立安全性計劃,以便與商務夥伴和外部使用者案例搭配使用。

後續步驟

車載

上線:將商務夥伴和外部用戶上線

讓商務夥伴和外部用戶上線是身分識別和存取管理的重要層面,有助於維護組織內的安全性、合規性和營運效率。 商務夥伴和外部用戶的上線可細分為下列各項:

  • 開發上線程式以新增外部合作夥伴。
  • 開發上線程式,將外部使用者新增至您的系統。

商務合作夥伴的入職流程

下列項目是讓您的組織在接洽商務夥伴時應考慮的一般步驟清單。

  • 判斷與商務夥伴合作的開始日期。
  • 通知所有相關部門特定開始時間和日期。
  • 協調所有系統的商務夥伴存取權的起始 (入口網站、工具、API)
  • 已新增合作夥伴連結帳戶,並核准角色和指派

外部用戶的入門流程

以下項目是將組織外部用戶納入時應考慮的基本步驟清單。

  • 判斷開始日期。
  • 通知 IT 將個別使用者存取權新增至系統。 這可以透過存取套件和使用自我要求來自動化。
  • 記錄所採取的上線步驟。
  • 取得人力資源、IT 和任何相關部門的最終核准,確保入職流程的所有方面都已完成。

使用權限管理來協助入職

權限管理會使用目錄、存取套件和原則來:

  • 控制誰可以存取資源
  • 自動授與使用者存取權
  • 拿掉使用者的存取權
  • 向非管理員委派建立存取套件的能力。
  • 選取其使用者可以要求存取權的已連線組織。

如需詳細資訊,請參閱 什麼是權利管理?

目錄、存取套件和原則

在權限管理中,存取封裝可以有多個原則,而每個原則都會設定使用者如何取得存取封裝的指派以及持續多長時間。 權利管理可以設定為將商務夥伴和外部用戶上線,並將其訪問許可權及其帳戶新增至您的租使用者。

一般存取套件可能包含下列項目:

  • 已新增與套件相關聯的所有資源存取權
  • 使用者會被加入到需要的任何群組中
  • 帳戶會新增至來賓用戶目錄
  • 使用稽核記錄來達到合規要求
  • 系統會傳送通知以確認成功上線

目錄是資源和存取套件的容器。 當您想要將相關資源和存取套件分組時,您可以建立目錄。 例如,您可以為與 Contoso 等其他組織打交道的組織建立商務夥伴目錄。 在此目錄內,您可以建立存取套件。 存取套件可讓您只要將資源和原則設定一次,就能在存取套件存在期間內自動管理存取權。 這些存取套件可以針對 Contoso 內的各種外部使用者和合作夥伴,以及整個 Contoso 組織本身量身打造。 例如,您可能會有 Contoso 廠商的存取套件,以及 Contoso 承包商的存取套件,以及 Contoso 組織的存取套件。 如需詳細資訊,請參閱 在權利管理中建立和管理資源目錄

存取套件可讓您只要將資源和原則設定一次,就能在存取套件存在期間內自動管理存取權。 所有存取套件都必須位於稱為目錄的容器中。 存取套件可用來將存取權指派給目錄中多個資源的角色。 所有存取套件至少必須包含一個原則,才能將使用者指派給它們。 如需詳細資訊,請參閱 在權利管理中建立存取套件

政策指定誰可以申請存取套件,並規範核准和生命週期設定,或是說明如何自動指派存取。

如需詳細資訊,請參閱 使用權限管理納入外部用戶

為商務夥伴和外部使用者提供上線存取權

透過授權管理,您可以定義一個原則,讓您指定的組織用戶能夠自助存取存取套件。 此原則包括是否需要核准、是否需要存取權檢閱,以及存取是否有到期日。

如需詳細資訊,請參閱 權利管理中外部使用者的存取權管理

如需特定範例,請參閱 教學課程 - 透過核准程式將外部用戶上線至 Microsoft Entra ID

使用生命週期工作流程來協助入職任務

生命週期工作流程是一項身分識別治理功能,可讓組織透過自動化這三個基本生命週期程式來管理 Microsoft Entra 使用者:

  • 加入者:當個人進入需要存取權的範圍時。 例如,新員工加入公司或組織。
  • 移動者:當個人在組織內的界限之間移動時。 此移動可能需要更多存取權或授權。 例如,曾經是行銷人員且現在是業務組織成員的使用者。
  • 離開者:當個人離開需要存取權的範圍時。 此移動可能需要移除存取權。 範例包括即將離職的員工或已離職的員工。

工作流程包含特定的程序,這些程序會在使用者進入其生命週期時自動對使用者執行。 工作流程是由「工作」和「執行條件」所組成。

許多可讓商務夥伴和外部用戶開始使用的工作,都可以使用生命週期工作流程自動化。 如需詳細資訊,請參閱 什麼是生命週期工作流程?

如需如何自動化這些和其他工作的詳細資訊,請參閱 自動化員工和來賓上線工作

透過直接指派來反覆運算其他資源

您現在可能有需要分配給訪客使用者的其他需求。 這可透過使用 Access 套件和權利管理來完成。

例如,您可能擁有指派給一般使用者的存取套件,而且您想要將類似的套件指派給來賓使用者。 您可以使用權限管理將來賓使用者指派到這些存取套件。 請參閱 權利管理中存取套件的檢視、新增和移除指派

您可以選擇建立新的套件,而不接觸現有的套件,並將來賓使用者指派給該套件。 如需詳細資訊,請參閱:

下列各節提供您可以讓來賓用戶上線的各種方式範例

範例 - 使用權限管理配置使用者

身為IT系統管理員,您已識別出需要從 Fabrikam 上線外部顧問才能共同作業的專案。 務必擁有自動化的存取管理、審核工作流程和生命週期管理。 使用Microsoft Entra 的權利管理,您可以建立一個存取套件,讓您組合多個資源(例如群組、應用程式和 SharePoint 網站),包括核准工作流程,確保存取要求在授與存取權之前,由適當的個人檢閱和核准,並設定存取期限。

您傳送邀請給顧問,這些顧問會收到包含接受存取套件連結的電子郵件。 約翰,其中一個顧問,遵循鏈接,驗證他的身份,並在幾分鐘內獲得必要的資源存取權。 上架程序很順暢且安全,可讓顧問立即開始共同作業。 項目如期啟動,確保 Contoso 與 Fabrikam 之間建立一個富有成效的合作關係。

使用權利管理邀請的概念繪圖。

如需詳細資訊,請參閱

範例 - 用戶導向的共同作業

針對另一個設計項目,設計小組經理要求您作為 IT 管理員,邀請 Global Solutions 的 John Doe 來協作。 主要目標是邀請使用者加入目錄並共同作業。 您可以使用電子郵件邀請外部使用者 John 作為來賓使用者。 電子郵件邀請既簡單又有彈性,可讓您邀請來自各種網域和身分識別提供者的使用者,包括 Gmail 或 Microsoft 帳戶等社交身分識別。 John 使用個人認證安全登入,免除了維護密碼或管理帳戶生命週期的需求,使上線程序變得簡單化。

以 B2B 發送邀請的概念圖。

如需詳細資訊,請參閱 在 Microsoft Entra 系統管理中心 新增 B2B 共同作業用戶和 設定外部共同作業設定

範例 - 透過直接指派來迭代附加資源

現在,身為IT系統管理員需要略過存取要求,並直接將特定使用者指派給存取套件,並授與外部小組立即存取權。 您將在存取套件中建立第一個存取套件指派原則。 您可以檢閱存取套件的原則,以確認它允許直接新增外部使用者。

隨著一切準備就緒,Emma 移至指派頁籤。她輸入外部小組成員的電子郵件地址,以確認他們的電子郵件地址都列在系統中。 在最後一次檢閱之後,她按兩下 [指派] 按鈕。

幾乎立即,外部合作夥伴收到了他們的邀請。 他們順暢地加入目錄,並取得必要資源的存取權,而不會有任何延遲。 這種有效率的設定可讓兩個小組立即開始共同作業,培養生產力和創新的環境。 如需詳細資訊,請參閱:

後續步驟

下架

下架:有效率地將商務合作夥伴和外部使用者下架。

下架商務夥伴和外部使用者是身分識別和存取管理的重要層面,可協助維護組織內的安全性、合規性和營運效率。 商務夥伴和外部使用者的退出流程可以分為以下幾個部分:

  • 建立退出程序以移除外部合作夥伴。
  • 開發離線程式,以從您的系統移除外部使用者。

商務合作夥伴的結束合作流程

下列項目是一份一般的步驟列表,當您要從組織中移除商務夥伴時,應該考慮這些步驟。

  • 判斷與商務夥伴合作的結束日期。
  • 通知所有相關部門特定結束時間和日期。
  • 協調商務夥伴對所有系統的終止存取權(入口網站、工具、API)
  • 已移除合作夥伴連結帳戶,並撤銷角色和指派
  • 檢閱與合作夥伴共享的數據,並判斷是否應保留或安全地刪除任何數據。
  • 從合作夥伴的系統收集任何專屬或敏感數據
  • 確認已執行數據刪除以確保合規性。

外部使用者的離職流程

進行移除貴組織外部使用者時,應該考慮的通用步驟清單如下。

  • 判斷結束日期。
  • 確保已完成任何擱置的交付專案或工作。
  • 通知 IT 從系統移除個別使用者存取權。 這可以使用存取套件自動化
  • 確認外部用戶擁有的任何數據都已傳輸或傳回。
  • 請確定已停用外部使用者專屬的所有帳戶,而不會影響來自相同組織的其他使用者。
  • 記錄已經執行的離職交接步驟。
  • 取得人力資源、IT 和任何相關部門的最終核准,確保離職程序的所有事項都已完成。

使用權限管理來簡化離職流程

在權限管理中,存取封裝可以有多個原則,而每個原則都會設定使用者如何取得存取封裝的指派以及持續多長時間。 當來賓使用者上次存取套件指派到期時,權利管理可以設定為自動卸除來賓使用者,從您的租使用者移除其訪問許可權和來賓用戶帳戶。

存取套件到期時,退出程序應該包含下列事項:

  • 撤銷與過期套件相關聯的所有資源存取權
  • 使用者已從他們所屬的任何群組中移除
  • 帳戶已從來賓用戶目錄移除
  • 使用稽核記錄來達到合規要求
  • 系統會傳送通知以確認成功下架

如需詳細資訊,請參閱 權利管理中外部使用者的存取權管理

使用生命週期工作流程協助下架工作

生命週期工作流程是一項身分識別控管功能,可讓組織藉由自動化一些基本生命週期程式來管理 Microsoft Entra 使用者。

工作流程包含特定的程序,這些程序會在使用者進入其生命週期時自動對使用者執行。 工作流程是由「工作」和「執行條件」所組成。

如需詳細資訊,請參閱 使用 Microsoft Entra 系統管理中心,自動化員工於最後工作日後的離職作業

範例 - 下線來賓帳戶

John 是一個權限包已過期的來賓。 然後,系統會撤銷 John 存取該套件中所有資源的權限。 約翰被從他所屬的任何群體中除名。 一旦他的最後一個使用中套件到期,John 的帳戶就會從來賓用戶目錄移除。

如需詳細資訊,請參閱 透過存取權檢閱管理使用者和來賓使用者的存取權,以及 員工在最後工作天後,透過 Microsoft Entra 系統管理中心自動化下架任務

後續步驟

概觀