Partager via


Bonnes pratiques relatives à Microsoft Entra B2B

S’applique à :Cercle vert avec un symbole de coche blanche. Locataires de main-d’œuvre Cercle blanc avec un symbole X gris. Locataires externes (en savoir plus)

Cet article contient des recommandations et de bonnes pratiques concernant la collaboration interentreprises (B2B) dans Microsoft Entra External ID.

Important

La fonctionnalité de code secret à usage unique par e-mail est désormais activée par défaut pour tous les nouveaux locataires et pour tous les locataires existants où vous ne l’avez pas explicitement désactivée. Quand cette fonctionnalité est désactivée, la méthode d’authentification de secours consiste à inviter les invités à créer un compte Microsoft.

Recommandations B2B

Recommandation Commentaires
Pour sécuriser votre collaboration avec des partenaires externes, consultez l’aide de Microsoft Entra. Découvrez comment adopter une approche holistique de la gouvernance dans le cadre de la collaboration de votre organisation avec des partenaires externes en suivant les recommandations de Sécurisation de la collaboration externe dans Microsoft Entra ID et Microsoft 365.
Planifiez soigneusement vos paramètres de collaboration externe et d’accès inter-locataires Microsoft Entra External ID offre un ensemble de contrôles flexibles pour la gestion de la collaboration avec des utilisateurs et des organisations externes. Vous pouvez autoriser ou bloquer toute collaboration, ou configurer la collaboration uniquement pour des organisations, des utilisateurs et des applications spécifiques. Avant de configurer les paramètres d’accès inter-locataires et de collaboration externe, effectuez un inventaire minutieux des organisations et des partenaires avec lesquels vous travaillez. Déterminez ensuite si vous souhaitez activer la connexion directe B2B ou B2B Collaboration avec d’autres locataires Microsoft Entra.
Restreindre l’accès de l’utilisateur invité au répertoire Par défaut, les utilisateurs invités ont un accès limité à votre annuaire Microsoft Entra. Ils peuvent gérer leur propre profil et afficher des informations sur d’autres utilisateurs, groupes et applications. Vous pouvez restreindre davantage l’accès afin que les invités puissent voir uniquement leurs propres informations de profil. En savoir plus sur les autorisations d’invité par défaut et la configuration des paramètres de collaboration externe.
Déterminer qui peut inviter des invités Par défaut, tous les utilisateurs de votre organisation, y compris les utilisateurs invités à la collaboration B2B, peuvent inviter des utilisateurs externes à la collaboration B2B. Si vous souhaitez limiter la possibilité d’envoyer des invitations, vous pouvez activer ou désactiver les invitations pour tout le monde, ou limiter les invitations à certains rôles en configurant les paramètres de collaboration externe.
Utilisez les restrictions de locataire pour contrôler la façon dont les comptes externes sont utilisés sur vos réseaux et appareils gérés. Avec les restrictions de locataire, vous pouvez empêcher vos utilisateurs d’utiliser des comptes qu’ils ont créés dans des locataires inconnus ou des comptes qu’ils ont reçus d’organisations externes. Nous vous recommandons de ne pas autoriser ces comptes et d'utiliser plutôt la collaboration B2B.
Pour une expérience de connexion optimale, associez-vous aux fournisseurs d’identité Dans la mesure du possible, établissez une fédération directe aux fournisseurs d’identité pour permettre aux utilisateurs invités de se connecter à vos applications et ressources partagées sans avoir à créer des comptes Microsoft (MSA) ou des comptes Microsoft Entra. Vous pouvez utiliser la fonctionnalité Fédération de Google pour autoriser les utilisateurs invités B2B à se connecter avec leurs comptes Google. Ou, vous pouvez utiliser la fonction de fournisseur d’identité SAML/WS-Fed (préversion) pour configurer la fédération directe avec toute organisation dont le fournisseur d’identité (IdP) prend en charge le protocole SAML 2.0 ou WS-Fed.
Utiliser la fonctionnalité d’envoi d’un code secret à usage unique par e-mail pour les invités B2B qui ne peuvent pas s’authentifier par d’autres moyens La fonctionnalité Code secret à usage unique par e-mail permet d’authentifier les utilisateurs invités B2B lorsqu’il n’est pas possible de les authentifier par d’autres moyens comme Microsoft Entra ID, un compte Microsoft (MSA) ou la fédération Google. Lorsque l’utilisateur invité accepte une invitation ou accède à une ressource partagée, il peut demander un code temporaire, qui est envoyé à son adresse e-mail. Puis, il entre ce code pour se connecter.
Ajouter votre marque à votre page de connexion Vous pouvez personnaliser votre page de connexion afin qu’elle soit plus intuitive pour vos utilisateurs invités B2B. Découvrez comment ajouter une marque de société aux pages de connexion et du volet d’accès.
Ajoutez votre déclaration de confidentialité à l’expérience d’échange d’utilisateurs invités B2B Vous pouvez ajouter l’URL de la déclaration de confidentialité de votre organisation au processus d’acceptation d’invitation envoyé pour la première fois à l’utilisateur invité. Il devra ainsi donner son consentement à vos conditions de confidentialité pour continuer. Consultez le guide pratique pour ajouter les informations de confidentialité de votre organisation dans Microsoft Entra ID.
Utilisez la fonctionnalité d’invitation en bloc (préversion) pour inviter plusieurs utilisateurs invités B2B en même temps Invitez plusieurs utilisateurs à votre organisation en même temps à l’aide de la fonctionnalité d’aperçu en bloc des invitations dans le Portail Azure. Cette fonctionnalité vous permet de télécharger un fichier CSV pour créer des utilisateurs invités B2B et d’envoyer des invitations en bloc. Consultez le tutoriel vous expliquant comment inviter des utilisateurs B2B en bloc.
Utiliser les stratégies d’accès conditionnel de la force d’authentification pour les invités La force d’authentification est un contrôle d’accès conditionnel qui vous permet de définir une combinaison spécifique de méthodes d’authentification multifacteur (MFA) qu’un utilisateur Microsoft Entra externe doit terminer pour accéder à vos ressources. Il fonctionne avec les paramètres d’approbation MFA dans vos paramètres d’accès interlocataire pour déterminer où et comment l’utilisateur externe doit effectuer l’authentification multifacteur. Consultez les stratégies de force d’authentification pour les utilisateurs externes
Appliquer des stratégies d’accès conditionnel pour l’authentification multifacteur Microsoft Entra Nous vous recommandons d’appliquer des stratégies MFA sur les applications que vous souhaitez partager avec les utilisateurs B2B partenaires. De cette façon, l’authentification MFA est appliquée de manière cohérente sur les applications de votre locataire, que l’organisation partenaire utilise ou non l’authentification multifacteur. Consultez Accès conditionnel pour les utilisateurs de B2B Collaboration Si vous avez une relation commerciale étroite avec une organisation et que vous avez vérifié leurs pratiques MFA, vous pouvez configurer les paramètres d’accès inter-locataires pour accepter leurs revendications MFA (en savoir plus).
Si vous appliquez des stratégies d’accès conditionnel en fonction de l’appareil, utilisez des listes d’exclusion pour autoriser l’accès aux utilisateurs B2B Si les stratégies d’accès conditionnel en fonction de l’appareil sont activées dans votre organisation, les appareils des utilisateurs invités B2B sont bloqués, car ils ne sont pas gérés par votre organisation. Vous pouvez créer des listes d’exclusion contenant des utilisateurs partenaires spécifiques pour les exclure de la stratégie d’accès conditionnel en fonction de l’appareil. Consultez Accès conditionnel pour les utilisateurs de B2B Collaboration
Utilisez une URL spécifique au locataire lorsque vous fournissez des liens directs à vos utilisateurs invités B2B Comme alternative à l’e-mail d’invitation, vous pouvez donner à un invité un lien direct à votre application ou à votre portail. Ce lien direct doit être spécifique au client, ce qui signifie qu’il doit inclure un ID de locataire ou un domaine vérifié afin que l’invité puisse être authentifié dans votre locataire, où se trouve l’application partagée. Consultez Expérience d’échange pour l’utilisateur invité.
Lorsque vous développez une application, utilisez UserType pour déterminer l’expérience de l’utilisateur invité Si vous développez une application et que vous souhaitez fournir une expérience différente pour les utilisateurs clients et les utilisateurs invités, utilisez la propriété UserType. La revendication UserType n’est pour le moment pas incluse dans le jeton. Les applications doivent utiliser l’API Microsoft Graph pour interroger l’annuaire de l’utilisateur afin d’obtenir son UserType.
Modifiez la propriété UserType uniquement si la relation de l’utilisateur avec l’organisation change Bien qu’il soit possible d’utiliser PowerShell pour convertir la propriété UserType d’un utilisateur de membre en invité (et inversement), vous devez modifier cette propriété uniquement si la relation de l’utilisateur avec votre organisation change. Consultez Propriétés d’un utilisateur invité B2B.
Déterminer si votre environnement sera affecté par les limites d’annuaire de Microsoft Entra Microsoft Entra B2B est soumis aux limites d’annuaire du service Microsoft Entra. Pour plus d’informations sur le nombre d’annuaires qu’un utilisateur peut créer et sur le nombre d’annuaires auxquels un utilisateur ou un utilisateur invité peut appartenir, consultez Restrictions et limites du service Microsoft Entra.
Gérer le cycle de vie des comptes B2B grâce à la fonctionnalité Sponsor Le sponsor est un utilisateur ou un groupe responsable de ses utilisateurs invités. Pour plus de détails sur cette nouvelle fonctionnalité, consultez Champ Sponsor pour les utilisateurs B2B.

Étapes suivantes

Gérer le partage B2B