Partilhar via


Introdução ao ID Externo do Microsoft Entra

O Microsoft Entra External ID combina soluções poderosas para trabalhar com pessoas fora da sua organização. Com os recursos de ID Externa, você pode permitir que identidades externas acessem com segurança seus aplicativos e recursos. Quer esteja a trabalhar com parceiros externos, consumidores ou clientes empresariais, os utilizadores podem trazer as suas próprias identidades. Essas identidades podem variar de contas corporativas ou emitidas pelo governo a provedores de identidade social como Google ou Facebook.

Diagrama mostrando uma visão geral da ID externa.

Estes cenários enquadram-se no âmbito da ID Externa do Microsoft Entra:

  • Se você for uma organização ou um desenvolvedor que cria aplicativos de consumidor, use a ID externa para adicionar rapidamente autenticação e gerenciamento de acesso e identidade do cliente (CIAM) ao seu aplicativo. Registe a sua aplicação, crie experiências de início de sessão personalizadas e faça a gestão dos utilizadores da aplicação num inquilino do Microsoft Entra numa configuração externa . Esse locatário é separado de seus funcionários e recursos organizacionais.

  • Se você quiser permitir que seus funcionários colaborem com parceiros de negócios e convidados, use a ID externa para colaboração B2B. Permita o acesso seguro às suas aplicações empresariais através de convite ou inscrição self-service. Determine o nível de acesso que os convidados têm ao locatário do Microsoft Entra que contém seus funcionários e recursos organizacionais, que é um locatário em uma configuração de força de trabalho .

O Microsoft Entra External ID é uma solução flexível tanto para desenvolvedores de aplicativos orientados ao consumidor que precisam de autenticação e CIAM, quanto para empresas que buscam colaboração B2B segura.

Proteja as suas aplicações para consumidores e clientes empresariais

Organizações e desenvolvedores podem usar a ID externa em um locatário externo como sua solução CIAM ao publicar seus aplicativos para consumidores e clientes empresariais. Você pode criar um locatário separado do Microsoft Entra em uma configuração externa , o que permite gerenciar seus aplicativos e contas de usuário separadamente da força de trabalho. Dentro desse locatário, você pode configurar facilmente experiências de inscrição de marca personalizada e recursos de gerenciamento de usuários:

  • Configure fluxos de registro de autoatendimento que definem a série de etapas de inscrição que os clientes seguem e os métodos de login que eles podem usar, como e-mail e senha, senhas de uso único ou contas sociais do Google ou Facebook.

  • Crie uma aparência personalizada para os usuários que entram em seus aplicativos definindo as configurações de marca da empresa para seu locatário. Com estas definições, pode adicionar as suas próprias imagens de fundo, cores, logótipos da empresa e texto para personalizar as experiências de início de sessão nas suas aplicações.

  • Colete informações dos clientes durante a inscrição selecionando entre uma série de atributos de usuário internos ou adicionando seus próprios atributos personalizados.

  • Analise a atividade do usuário e os dados de engajamento para descobrir informações valiosas que podem ajudar nas decisões estratégicas e impulsionar o crescimento dos negócios.

Com a ID externa, os clientes podem iniciar sessão com uma identidade que já possuem. Você pode personalizar e controlar como os clientes se inscrevem e entram ao usar seus aplicativos. Como esses recursos do CIAM são incorporados à ID externa, você também se beneficia dos recursos da plataforma Microsoft Entra, como segurança, conformidade e escalabilidade aprimoradas.

Para obter detalhes, consulte Visão geral da ID externa do Microsoft Entra em locatários externos.

Colabore com hóspedes a negócios

A colaboração B2B de ID externa permite que sua força de trabalho colabore com parceiros de negócios externos. Você pode convidar qualquer pessoa para entrar em sua organização do Microsoft Entra usando suas próprias credenciais para que ela possa acessar os aplicativos e recursos que você deseja compartilhar com ela. Use a colaboração B2B quando precisar permitir que hóspedes corporativos acessem seus aplicativos do Office 365, aplicativos de software como serviço (SaaS) e aplicativos de linha de negócios. Não há credenciais associadas a hóspedes a negócios. Em vez disso, eles se autenticam com sua organização doméstica ou provedor de identidade e, em seguida, sua organização verifica a elegibilidade do usuário para colaboração de convidados.

Há várias maneiras de adicionar convidados de negócios à sua organização para colaboração:

  • Convide os usuários a colaborar usando suas contas do Microsoft Entra, contas da Microsoft ou identidades sociais habilitadas, como o Google. Um administrador pode usar o centro de administração do Microsoft Entra ou o PowerShell para convidar usuários a colaborar. O usuário entra nos recursos compartilhados usando um processo de resgate simples com sua conta de trabalho, escola ou outra conta de e-mail.

  • Use os fluxos de usuários de inscrição de autoatendimento para permitir que os convidados se inscrevam nos próprios aplicativos. A experiência pode ser personalizada para permitir a inscrição com uma identidade profissional, escolar ou social (como Google ou Facebook). Você também pode coletar informações sobre o usuário durante o processo de inscrição.

  • Use o gerenciamento de direitos do Microsoft Entra, um recurso de governança de identidade que permite gerenciar a identidade e o acesso para usuários externos em escala , automatizando fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões e expiração.

Um objeto de usuário é criado para o convidado comercial no mesmo diretório que seus funcionários. Esse objeto de usuário pode ser gerenciado como outros objetos de usuário em seu diretório, adicionado a grupos e assim por diante. Você pode atribuir permissões ao objeto de usuário (para autorização) enquanto permite que eles usem suas credenciais existentes (para autenticação).

Você pode usar configurações de acesso entre locatários para gerenciar a colaboração com outras organizações do Microsoft Entra e em nuvens do Microsoft Azure. Para colaboração com organizações e usuários externos que não sejam do Azure AD, use configurações de colaboração externas.

O que são "força de trabalho" e inquilinos "externos"?

Um locatário é uma instância dedicada e confiável do Microsoft Entra ID que contém os recursos de uma organização, incluindo aplicativos registrados e um diretório de usuários. Há duas maneiras de configurar um locatário, dependendo de como a organização pretende usar o locatário e os recursos que deseja gerenciar:

  • Uma configuração de locatário da força de trabalho é um locatário padrão do Microsoft Entra que contém seus funcionários, aplicativos de negócios internos e outros recursos organizacionais. Em um locatário da força de trabalho, seus usuários internos podem colaborar com parceiros de negócios externos e convidados usando a colaboração B2B.
  • Uma configuração de locatário externo é usada exclusivamente para aplicativos que você deseja publicar para consumidores ou clientes empresariais. Esse locatário distinto segue o modelo de locatário padrão do Microsoft Entra, mas é configurado para cenários de consumidor. Ele contém seus registros de aplicativo e um diretório de contas de consumidor ou cliente.

Para obter detalhes, consulte Configurações de força de trabalho e locatário externo no Microsoft Entra External ID.

Comparando conjuntos de recursos de ID externa

A tabela a seguir compara os cenários que você pode habilitar com a ID externa.

ID externo em locatários da força de trabalho ID externa em locatários externos
Cenário primário Permita que sua força de trabalho colabore com hóspedes a negócios. Permita que os hóspedes usem suas identidades preferidas para entrar em recursos em sua organização do Microsoft Entra. Fornece acesso a aplicativos da Microsoft ou seus próprios aplicativos (aplicativos SaaS, aplicativos desenvolvidos sob medida e assim por diante).

Exemplo: convide um convidado para iniciar sessão nas suas aplicações Microsoft ou tornar-se um membro convidado no Teams.
Publique aplicativos para consumidores externos e clientes empresariais usando a ID externa para experiências de identidade. Fornece gerenciamento de identidade e acesso para SaaS modernos ou aplicativos desenvolvidos sob medida (não aplicativos primários da Microsoft).

Exemplo: crie uma experiência de início de sessão personalizada para os utilizadores da sua aplicação móvel de consumidor e monitorize a utilização da aplicação.
Destinado a Colaboração com parceiros de negócios de organizações externas como fornecedores, parceiros, fornecedores. Esses usuários podem ou não ter ID do Microsoft Entra ou TI gerenciada. Consumidores e clientes empresariais da sua aplicação. Esses usuários são gerenciados em um locatário do Microsoft Entra configurado para aplicativos e usuários externos.
Gestão de utilizadores Os usuários de colaboração B2B são gerenciados no mesmo locatário da força de trabalho que os funcionários, mas normalmente são anotados como usuários convidados. Os usuários convidados podem ser gerenciados da mesma forma que os funcionários, adicionados aos mesmos grupos e assim por diante. As configurações de acesso entre locatários podem ser usadas para determinar quais usuários têm acesso à colaboração B2B. Os usuários do aplicativo são gerenciados em um locatário externo que você cria para os consumidores do seu aplicativo. Os usuários em um locatário externo têm permissões padrão diferentes dos usuários em um locatário da força de trabalho. Eles são gerenciados no locatário externo, separados do diretório de funcionários da organização.
Início de sessão único (SSO) O SSO para todos os aplicativos conectados ao Microsoft Entra é suportado. Por exemplo, você pode fornecer acesso ao Microsoft 365 ou aplicativos locais e a outros aplicativos SaaS, como Salesforce ou Workday. Há suporte para SSO para aplicativos registrados no locatário externo. Não há suporte para SSO para Microsoft 365 ou para outros aplicativos SaaS da Microsoft.
Marca da empresa O estado padrão para a experiência de autenticação é uma aparência da Microsoft. Os administradores podem personalizar a experiência de login do convidado com a marca da empresa. A marca padrão para o locatário externo é neutra e não inclui nenhuma marca Microsoft existente. Os administradores podem personalizar a marca para a organização ou por aplicativo. Mais informações.
Configurações de nuvem da Microsoft Suportado. Não aplicável.
Gestão dos direitos Suportado. Não aplicável.

Existem várias tecnologias Microsoft Entra que estão relacionadas com a colaboração com utilizadores e organizações externas. Ao projetar seu modelo de colaboração de ID Externa, considere esses outros recursos.

Conexão direta B2B

A conexão direta B2B permite criar relações de confiança bidirecionais com outras organizações do Microsoft Entra para habilitar o recurso de canais compartilhados do Teams Connect. Esse recurso permite que os usuários façam login diretamente nos canais compartilhados do Teams para bate-papo, chamadas, compartilhamento de arquivos e compartilhamento de aplicativos. Quando duas organizações habilitam mutuamente a conexão direta B2B, os usuários se autenticam em sua organização doméstica e recebem um token da organização de recursos para acesso. Ao contrário da colaboração B2B, os usuários de conexão direta B2B não são adicionados como convidados ao diretório da sua força de trabalho. Saiba mais sobre a conexão direta B2B no Microsoft Entra External ID.

Depois de configurar a conexão direta B2B com uma organização externa, os seguintes recursos de canais compartilhados do Teams ficam disponíveis:

  • Um proprietário de canal compartilhado pode pesquisar no Teams por usuários permitidos da organização externa e adicioná-los ao canal compartilhado.

  • Os utilizadores externos podem aceder ao canal partilhado do Teams sem terem de mudar de organização ou iniciar sessão com uma conta diferente. A partir do Teams, o utilizador externo pode aceder a ficheiros e aplicações através do separador Ficheiros. As políticas do canal compartilhado determinam o acesso do usuário.

Você usa configurações de acesso entre locatários para gerenciar relações de confiança com outras organizações do Microsoft Entra e definir políticas de entrada e saída para conexão direta B2B.

Para obter detalhes sobre os recursos, arquivos e aplicativos disponíveis para o usuário de conexão direta B2B por meio do canal compartilhado do Teams, consulte Chat, equipes, canais, aplicativos & no Microsoft Teams.

O licenciamento e a cobrança são baseados em usuários ativos mensais (MAU). Saiba mais sobre o modelo de cobrança do Microsoft Entra External ID.

Azure Active Directory B2C

O Azure Ative Directory B2C (Azure AD B2C) é a solução herdada da Microsoft para gerenciamento de identidade e acesso do cliente. O Azure AD B2C inclui um diretório separado baseado no consumidor que você gerencia no portal do Azure por meio do serviço Azure AD B2C. Cada locatário do Azure AD B2C é separado e distinto de outros locatários do Microsoft Entra ID e do Azure AD B2C. A experiência do portal do Azure AD B2C é semelhante à ID do Microsoft Entra, mas há diferenças importantes, como a capacidade de personalizar suas jornadas de usuário usando o Identity Experience Framework.

Para obter mais informações sobre como um locatário do Azure AD B2C difere de um locatário do Microsoft Entra, consulte Recursos do Microsoft Entra com suporte no Azure AD B2C. Para obter detalhes sobre como configurar e gerenciar o Azure AD B2C, consulte a documentação do Azure AD B2C.

Gerenciamento de direitos do Microsoft Entra para inscrição de convidado corporativo

Como uma organização convidativa, talvez você não saiba de antemão quem são os colaboradores externos individuais que precisam de acesso aos seus recursos. Você precisa de uma maneira de os usuários de empresas parceiras se inscreverem com políticas que você controla. Para permitir que usuários de outras organizações solicitem acesso, você pode usar o gerenciamento de direitos do Microsoft Entra para configurar políticas que gerenciam o acesso para usuários externos. Após a aprovação, esses usuários serão provisionados com contas de convidado e atribuídos a grupos, aplicativos e sites do SharePoint Online.

Acesso Condicional

As organizações podem usar políticas de Acesso Condicional para melhorar sua segurança aplicando os controles de acesso apropriados, como MFA, a usuários externos.

Acesso condicional e MFA em locatários externos

Em locatários externos, as organizações podem impor MFA para clientes criando uma política de Acesso Condicional do Microsoft Entra e adicionando MFA aos fluxos de usuários de inscrição e entrada. Os locatários externos oferecem suporte a dois métodos de autenticação como um segundo fator:

  • Código de acesso único por e-mail: depois que o usuário entra com seu e-mail e senha, ele é solicitado a fornecer uma senha que é enviada para seu e-mail.
  • Autenticação baseada em SMS: o SMS está disponível como um método de autenticação de segundo fator para MFA para usuários em locatários externos. Os usuários que fazem login com e-mail e senha, e-mail e senha de uso único, ou identidades sociais como Google ou Facebook, são solicitados para segunda verificação usando SMS.

Saiba mais sobre métodos de autenticação em locatários externos.

Acesso condicional para colaboração B2B e conexão direta B2B

Em um locatário da força de trabalho, as organizações podem aplicar políticas de Acesso Condicional para colaboração B2B externa e usuários de conexão direta B2B da mesma forma que são habilitadas para funcionários em tempo integral e membros da organização. Para cenários entre locatários do Microsoft Entra, se suas políticas de Acesso Condicional exigirem MFA ou conformidade de dispositivo, agora você pode confiar em declarações de MFA e conformidade de dispositivo da organização doméstica de um usuário externo. Quando as configurações de confiança são habilitadas, durante a autenticação, o ID do Microsoft Entra verifica as credenciais de um usuário em busca de uma declaração de MFA ou uma ID de dispositivo para determinar se as políticas já foram atendidas. Em caso afirmativo, o usuário externo recebe logon contínuo para seu recurso compartilhado. Caso contrário, um desafio de MFA ou dispositivo será iniciado no locatário doméstico do usuário. Saiba mais sobre o fluxo de autenticação e o Acesso Condicional para usuários externos em locatários da força de trabalho.

Aplicativos multilocatários

Se você oferecer um aplicativo SaaS (Software as a Service) para muitas organizações, poderá configurar seu aplicativo para aceitar entradas de qualquer locatário do Microsoft Entra. Essa configuração é chamada de tornar seu aplicativo multilocatário. Os usuários em qualquer locatário do Microsoft Entra poderão entrar em seu aplicativo depois de consentirem em usar sua conta com seu aplicativo. Veja como habilitar entradas multilocatário.

Organizações multilocatárias

Uma organização multilocatária é uma organização que tem mais de uma instância do Microsoft Entra ID. Existem várias razões para a multilocação. Por exemplo, sua organização pode abranger várias nuvens ou limites geográficos.

O recurso de organização multilocatária permite uma colaboração perfeita em todo o Microsoft 365. Ele melhora as experiências de colaboração dos funcionários em toda a sua organização de vários locatários em aplicativos como o Microsoft Teams e o Microsoft Viva Engage.

O recurso de sincronização entre locatários é um serviço de sincronização unidirecional que garante que os usuários possam acessar recursos, sem receber um e-mail de convite e ter que aceitar um prompt de consentimento em cada locatário.

Para saber mais sobre organizações multilocatárias e sincronização entre locatários, consulte a documentação de organizações multilocatárias e a comparação de recursos.

Microsoft Graph APIs

Todos os recursos de ID externa também são suportados para automação por meio de APIs do Microsoft Graph, exceto os listados na próxima seção. Para obter mais informações, consulte Gerenciar a identidade do Microsoft Entra e o acesso à rede usando o Microsoft Graph.

Recursos não suportados no Microsoft Graph

Funcionalidade de identificação externa Suportado em Soluções alternativas de automação
Identificar as organizações às quais você pertence Inquilinos da força de trabalho Locatários - Liste a API do Azure Resource Manager. Para canais compartilhados do Teams e conexão direta B2B, use Get tenantReferences Microsoft Graph API.

Microsoft Entra Microsoft Graph API para colaboração B2B

  • APIs de configurações de acesso entre locatários: as APIs de acesso entre locatários no Microsoft Graph permitem criar programaticamente as mesmas políticas de colaboração B2B e conexão direta B2B que são configuráveis no portal do Azure. Usando essas APIs, você pode configurar políticas para colaboração de entrada e saída. Por exemplo, você pode permitir ou bloquear recursos para todos por padrão e limitar o acesso a organizações, grupos, usuários e aplicativos específicos. As APIs também permitem que você aceite autenticação multifator (MFA) e declarações de dispositivo (declarações compatíveis e declarações unidas híbridas do Microsoft Entra) de outras organizações do Microsoft Entra.

  • Gerenciador de convites de colaboração B2B: a API do gerenciador de convites no Microsoft Graph está disponível para criar suas próprias experiências de integração para hóspedes a negócios. Você pode usar a API de criação de convite para enviar automaticamente um e-mail de convite personalizado diretamente para o usuário B2B, por exemplo. Ou seu aplicativo pode usar o inviteRedeemUrl retornado na resposta de criação para criar seu próprio convite (por meio do mecanismo de comunicação de sua escolha) para o usuário convidado.

Próximos passos