Arquiteturas de implantação de ID Externa do Microsoft Entra com o Microsoft Entra

As empresas podem usar o Microsoft Entra para habilitar vários casos de uso para forças de trabalho, parceiros e consumidores, potencialmente em combinação. Neste artigo, recomendamos práticas recomendadas baseadas em padrões para implantar e usar com segurança o Microsoft Entra ID e as seguintes arquiteturas de implantação de identidade externa com o Microsoft Entra. Incluímos informações sobre cada arquitetura e links para recursos.

• Força de trabalho e arquitetura orientada para a colaboração
• Acesso isolado para parceiros de negócios
• Arquitetura orientada para o consumidor
• Combinações de arquitetura

Definimos as seguintes personae com base na sua relação com a sua organização.

• força de trabalho. Seus funcionários em tempo integral, funcionários em tempo parcial ou contratados para sua organização.
• Parceiros de negócio. Organizações que têm uma relação comercial com a sua empresa. Essas organizações podem incluir fornecedores, fornecedores, consultores e alianças estratégicas que colaboram com sua empresa para alcançar objetivos mútuos.
• Consumidores. Indivíduos, como clientes com quem tem uma relação comercial e que acedem às suas aplicações para comprar ou consumir os seus produtos e serviços.
• Usuário externo. Usuários externos à sua organização, como parceiros de negócios e consumidores.

Este artigo aborda as seguintes considerações para cada arquitetura.

• Ciclo de vida da conta. Capacidade de definir regras de negócios para contas de usuário onboard e offboard no ambiente.
• Provedores de identidade externos. Capacidade de lidar com usuários externos de organizações com seu próprio provedor de identidade (por exemplo, outro locatário do Microsoft Entra, provedor de federação SAML) ou provedores de identidade social. Também se refere à capacidade de criar contas em seu locatário para usuários que não têm nenhum provedor de identidade.
• Gestão de credenciais. Opções para gerenciar credenciais para usuários, como senhas para usuários que não têm provedores de identidade ou fatores adicionais de autenticação.
• Colaboração ad hoc. Controles para permitir ou negar com usuários no ambiente (usuários da força de trabalho ou outros usuários externos) com usuários externos em documentos, relatórios e conteúdo semelhante criado pelo usuário.
• Atribuição de recursos baseada em função. Capacidade de conceder a usuários externos acesso a recursos como atribuições de aplicativos, associações de grupo ou associações de site do SharePoint com base em um conjunto predefinido de permissões, encapsuladas em uma função.
• Gestão de riscos. Avalie e gerencie riscos de segurança, operacionais e de conformidade ao habilitar o acesso a usuários externos.

Força de trabalho e arquitetura orientada para a colaboração

A força de trabalho e a arquitetura orientada para a colaboração permitem que sua força de trabalho colabore com parceiros de negócios de organizações externas. Inclui controlos para proteger contra o acesso não autorizado a aplicações.

Os cenários típicos incluem funcionários iniciando a colaboração ad hoc convidando parceiros de negócios para compartilhar conteúdo usando ferramentas de produtividade como SharePoint, Power BI, Microsoft Teams ou seus aplicativos de linha de negócios. Os usuários convidados podem vir de organizações externas que têm seu próprio provedor de identidade. Por exemplo, outro locatário do Microsoft Entra ID ou um provedor de identidade federada SAML (Security Assertion Markup Language).

Na arquitetura orientada à força de trabalho e à colaboração, o locatário de configuração da força de trabalho do Microsoft Entra ID usa a Governança de Identidade do Microsoft Entra e a ID Externa do Microsoft Entra para definir políticas para conceder acesso a aplicativos e recursos corporativos. Essas políticas incluem o ciclo de vida da conta e do acesso e controles de segurança.

Recursos de implementação da força de trabalho e da arquitetura orientada para a colaboração

• Plan a Microsoft Entra B2B collaboration deployment descreve as práticas de governança para reduzir os riscos de segurança, atender às metas de conformidade e garantir o acesso correto.
• Governe o ciclo de vida dos funcionários com o Microsoft O Entra ID Governance explica como o Identity Governance pode ajudar as organizações a equilibrar a produtividade e a segurança.
• Governar o acesso para usuários externos no gerenciamento de direitos descreve as configurações para governar o acesso de usuários externos.

Considerações sobre a força de trabalho e a arquitetura orientada à colaboração

Ciclo de vida da conta

Os usuários podem convidar parceiros de negócios para o locatário em cenários de colaboração ad-hoc. Defina processos personalizados para rastrear e desligar usuários externos convidados. Gerenciar acesso de convidado com avaliações de acesso descreve como garantir que os usuários convidados tenham acesso apropriado.

Os parceiros de negócios também podem ser integrados por meio de pacotes de acesso ao Gerenciamento de Direitos com controles integrados, como fluxos de trabalho de aprovação. As contas de utilizador integradas com a Gestão de Direitos têm um ciclo de vida de acompanhamento e desembarque incorporado depois de perderem o acesso aos pacotes de acesso.

Os administradores também podem habilitar fluxos de entrada/inscrição de autoatendimento para aplicativos específicos. As organizações precisam definir processos personalizados para rastrear e desligar usuários externos integrados dessa forma usando recursos como revisões de acesso ou chamadas para o Microsoft Graph.

Fornecedores de identidade externos

A força de trabalho e a arquitetura orientada à colaboração oferecem suporte a parceiros de negócios de organizações que têm o Microsoft Entra ou um provedor de identidade SAML/WS-Federation.

Os parceiros de negócios que têm endereços de e-mail organizacionais, mas não têm provedores de identidade, podem acessar seu locatário com uma senha única de e-mail.

Se necessário, pode configurar o seu inquilino para integrar parceiros de negócios com contas Microsoft, Google ou fornecedores de identidade social do Facebook.

Os administradores têm controles granulares sobre provedores de identidade.

Gestão de credenciais

Se você precisar que os usuários de parceiros de negócios executem MFA, poderá optar por confiar na declaração do método de autenticação MFA da organização específica do parceiro de negócios. Caso contrário, imponha essas contas de usuário para se registrar para métodos de autenticação adicionais para MFA no Microsoft Entra ID.

A Microsoft recomenda impor a autenticação multifator para usuários externos. Autenticação e Acesso Condicional para usuários B2B descreve como criar políticas de acesso condicional direcionadas a convidados.

Colaboração ad hoc

Essa arquitetura é otimizada para que os usuários da força de trabalho interajam com parceiros de negócios usando serviços de colaboração da Microsoft, como Microsoft 365, Microsoft Teams e Power BI.

Atribuição de recursos baseada em função

Conceda acesso a parceiros de negócios com pacotes de acesso do Gerenciamento de Direitos que tenham controles internos, como atribuição de função de aplicativo por tempo limitado e separação de funções para organizações externas específicas.

Gestão de riscos

Determine se os parceiros de negócios em seu locatário organizacional afetam o escopo de conformidade com as regulamentações aplicáveis. Implementar controlos técnicos preventivos e detetivos adequados.

Depois de integrados, os parceiros de negócios poderão acessar aplicativos e recursos em ambientes com amplos conjuntos de permissões. Para mitigar a exposição não intencional, implemente controles preventivos e detectivos. Aplique consistentemente as permissões adequadas a todos os recursos e aplicativos do ambiente.

Existem muitos métodos que podem ser usados para ajudar a mitigar o risco, dependendo do resultado da análise de risco:

• Para evitar tentativas maliciosas ou acidentais de enumeração e técnicas de reconhecimento semelhantes, restrinja o acesso do convidado às propriedades e associações de seus próprios objetos de diretório.
• Limite quem pode convidar hóspedes no inquilino. No mínimo, não permita que os hóspedes convidem outros hóspedes.
• Aplique controles específicos do aplicativo para restringir a colaboração, como o Microsoft Purview Information Barriers.
• Implemente uma abordagem de lista de permissões para organizações com escopo permitido para colaboração externa com recursos como configurações de acesso entre locatários e listagem de permissões de domínio. Transição para colaboração governada com a colaboração B2B do Microsoft Entra descreve como proteger o acesso externo aos seus recursos.

Outras considerações

Recursos que as identidades externas usam podem adicionar às suas cobranças mensais, dependendo da atividade delas. O modelo de cobrança do Microsoft Entra External ID baseado em usuários ativos mensais pode afetar sua decisão de implementar recursos de identidade externa.

Acesso isolado para parceiros de negócios

A arquitetura orientada para a força de trabalho pode ser estendida quando você exige que os usuários externos sejam isolados do locatário organizacional, de modo que haja um limite claro de acesso e visibilidade entre os recursos destinados a usuários internos ou externos. Isso permite a integração seletiva de contas de usuário de funcionários do locatário da força de trabalho para coexistir com contas de usuário externas, se os funcionários também precisarem gerenciar ou acessar aplicativos externos.

Nessa arquitetura, você cria um locatário adicional configurado pela força de trabalho do Microsoft Entra ID como um limite. Ele hospeda aplicativos e recursos, isolados do locatário organizacional, disponíveis para usuários externos para atender a requisitos de segurança, conformidade e similares. Você pode configurar a atribuição de acesso estruturado com base em funções comerciais predefinidas. Você pode usar a sincronização entre locatários para integrar os usuários da força de trabalho do locatário corporativo ao locatário adicional.

O diagrama a seguir ilustra um exemplo dessa arquitetura. A Contoso inicia uma nova joint venture onde usuários externos e um subconjunto reduzido de usuários da Contoso acessam aplicativos de joint venture.

O gerenciamento da cadeia de suprimentos é um exemplo dessa arquitetura, na qual você concede acesso a usuários externos de diferentes fornecedores e a um subconjunto de usuários da força de trabalho integrados seletivamente a aplicativos e recursos da cadeia de suprimentos.

Em ambos os exemplos, o locatário adicional para acesso de parceiro fornece isolamento de recursos, políticas de segurança e funções de gerenciamento.

Configure a Governança de Identidade do Microsoft Entra e a ID Externa do Microsoft Entra no locatário adicional com controles mais rígidos, como:

• Restringir perfis de usuário convidado
• Permitir organizações e aplicativos para colaboração
• Definir o ciclo de vida da conta de convidado, limitar o tempo de atribuição de recursos, agendar revisões periódicas de acesso
• Aplicar conjuntos mais rígidos de atestados como parte da integração de usuários externos

Você pode expandir essa arquitetura com locatários de colaboração para criar vários limites de isolamento com base nos requisitos de negócios (por exemplo, isolar por região, por parceiro, por jurisdição de conformidade).

Acesso isolado para recursos de implementação de parceiros de negócios

• Plan a Microsoft Entra B2B collaboration deployment descreve as práticas de governança para reduzir os riscos de segurança, atender às metas de conformidade e garantir o acesso correto.
• O que é uma sincronização entre locatários no Microsoft Entra ID descreve como criar, atualizar e excluir automaticamente usuários de colaboração B2B do Microsoft Entra entre locatários.
• Governe o ciclo de vida dos funcionários com o Microsoft O Entra ID Governance explica como o Identity Governance pode ajudar as organizações a equilibrar a produtividade e a segurança.
• Governar o acesso para usuários externos no gerenciamento de direitos descreve as configurações para governar o acesso de usuários externos.

Acesso isolado para considerações de parceiros de negócios

Ciclo de vida da conta

Integração com escopo de usuários da força de trabalho que são integrados a locatários adicionais por meio da sincronização entre locatários. Eles podem ser sincronizados para sincronizá-los para ter um tipo de usuário membro com mapeamentos de atributos consistentes com seu tipo de usuário no locatário organizacional.

Os parceiros de negócios podem ser integrados por meio de pacotes de acesso ao Gerenciamento de Direitos com controles integrados, como fluxos de trabalho de aprovação. As contas de usuário integradas ao Gerenciamento de Direitos têm o ciclo de vida interno de rastreamento e desembarque depois que perdem o acesso a recursos por políticas de pacote de acesso.

Embora essa arquitetura não seja otimizada para a colaboração ad hoc dos usuários da força de trabalho no locatário adicional, os parceiros de negócios podem ser convidados pelos membros. As organizações precisam definir processos personalizados para rastrear e desintegrar usuários externos integrados dessa forma usando recursos como Revisões do Access ou chamadas para o Microsoft Graph.

Os administradores também podem habilitar fluxos de entrada/inscrição de autoatendimento para aplicativos específicos. As organizações precisam definir processos personalizados para rastrear e desintegrar usuários externos integrados dessa forma usando recursos como Revisões do Access ou chamadas para o Microsoft Graph.

Fornecedores de identidade externos

Essa arquitetura oferece suporte a parceiros de negócios de organizações que têm o Microsoft Entra ou um provedor de identidade SAML/WS-Federation.

Os parceiros de negócios que têm endereços de e-mail organizacionais, mas não têm provedores de identidade, podem acessar seu locatário com uma senha única de e-mail.

Os parceiros de negócios podem integrar as Contas Microsoft, o Google ou os provedores de identidade social do Facebook.

Gestão de credenciais

Se você precisar que os usuários executem MFA, poderá optar por confiar na declaração do método de autenticação MFA proveniente da organização parceira de negócios específica. Para usuários que você não configura como contas confiáveis ou não tem um provedor de identidade, eles podem registrar outros métodos de autenticação para autenticação multifator (MFA).

Os administradores podem optar por confiar nos métodos de autenticação MFA e nos estados do dispositivo para os usuários da força de trabalho provenientes do locatário corporativo.

Os administradores podem optar por confiar nos métodos de autenticação MFA de parceiros de negócios de organizações específicas.

Crie políticas de acesso condicional direcionadas a convidados para impor a autenticação multifator para usuários externos. Autenticação e Acesso Condicional para usuários B2B descreve o fluxo de autenticação para usuários externos que acessam recursos em sua organização.

Colaboração ad hoc

A colaboração ad-hoc que os usuários da força de trabalho iniciam é possível nessa arquitetura. No entanto, ele não é otimizado devido ao atrito da experiência do usuário ao trocar de locatário. Em vez disso, use a atribuição de recursos baseada em função para conceder acesso a repositórios de conteúdo criados pelo usuário (como sites do SharePoint) com base em funções comerciais.

Atribuição de recursos baseada em função

Conceda acesso a parceiros de negócios com pacotes de acesso do Gerenciamento de Direitos que tenham controles internos. Exemplos de controles incluem atribuição de função de recurso por tempo limitado e separação de funções para organizações externas específicas.

Gestão de riscos

Essa arquitetura reduz o risco de parceiros de negócios obterem acesso não autorizado (intencional ou maliciosamente) a recursos no locatário corporativo devido ao limite de segurança separado fornecido por locatários adicionais. Tenha um locatário separado para ajudar a conter o escopo da regulamentação aplicável no locatário corporativo.

Implemente uma abordagem de lista de permissões para organizações com escopo permitido para colaboração externa com recursos como configurações de acesso entre locatários e listagem de permissões de domínio. Transição para colaboração governada com a colaboração B2B do Microsoft Entra descreve como proteger o acesso externo aos seus recursos.

Para evitar tentativas maliciosas ou acidentais de enumeração e técnicas de reconhecimento semelhantes, restrinja o acesso do convidado às propriedades e associações de seus próprios objetos de diretório.

Depois de integrados, os parceiros de negócios poderão acessar aplicativos e recursos no ambiente que tenham um amplo conjunto de permissões. Para mitigar a exposição não intencional, implemente controles preventivos e detectivos. Aplique consistentemente as permissões adequadas a todos os recursos e aplicativos do ambiente.

Outro

Locatários adicionais em seu ambiente aumentam a sobrecarga operacional e a complexidade geral.

Esforce-se para criar o menor número possível de locatários para atender às necessidades do seu negócio. Planeje organizações multilocatárias no Microsoft 365 se você tiver usuários da força de trabalho representados como convidados em locatários adicionais separados do locatário organizacional.

Recursos que as identidades externas usam podem adicionar às suas cobranças mensais, dependendo da atividade delas. O modelo de cobrança do Microsoft Entra External ID fornece detalhes.

Arquitetura orientada para o consumidor

A arquitetura orientada ao consumidor é mais adequada para atender aplicativos a consumidores individuais nos quais você pode precisar dos seguintes componentes:

• Identidade visual altamente personalizada em páginas de autenticação, incluindo autenticação baseada em API para aplicativos nativos e domínios DNS (Sistema de Nomes de Domínio) personalizados.
• Bases de usuários que são vastas em tamanho (potencialmente mais de um milhão de usuários).
• Suporte para inscrição de autoatendimento com email e senha locais ou federação com provedores de identidade social, como Conta da Microsoft, Facebook e Google.

Na arquitetura orientada ao consumidor, um locatário externo configurado fornece serviços de identidade para aplicativos e recursos que os consumidores dos aplicativos usam.

O diagrama a seguir ilustra um exemplo de arquitetura orientada ao consumidor.

Recursos de implementação de arquitetura orientada para o consumidor

• Proteger seus aplicativos usando a ID externa em um locatário externo descreve como a solução de gerenciamento de acesso e identidade do cliente (CIAM) da Microsoft ajuda a disponibilizar aplicativos para consumidores e clientes empresariais. Os benefícios dos recursos da plataforma incluem segurança, conformidade e escalabilidade aprimoradas.
• Neste projeto guiado -- Crie um aplicativo de exemplo para avaliar a ID Externa do Microsoft Entra para inscrição e entrada contínuas e seguras para os consumidores, descubra como a ID Externa do Microsoft Entra pode fornecer experiências de entrada seguras e contínuas para seus consumidores e clientes empresariais. Explore a criação de inquilinos, o registo de aplicações, a personalização de fluxos e a segurança da conta.

Considerações sobre arquitetura orientada ao consumidor

Ciclo de vida da conta

Ofereça suporte à personalização profunda de experiências de inscrição e entrada de consumidores, como domínios de URL personalizados, autenticação nativa para aplicativos móveis e lógica personalizada para coleta de atributos.

Use convites para integrar contas de consumidor.

As experiências offboarding precisam de desenvolvimento de aplicativos personalizados.

Fornecedores de identidade externos

Os consumidores cadastram uma conta local com e-mail e senha locais.

Os consumidores que têm um endereço de e-mail válido podem usar uma senha única de e-mail.

Os consumidores autenticam-se com os logins do Google e do Facebook.

Gestão de credenciais

Os consumidores com contas locais podem usar senhas.

Todas as contas de consumidor podem registrar métodos de autenticação adicionais, como verificação de e-mail, para autenticação multifator.

Colaboração ad hoc

A arquitetura orientada para o consumidor não é otimizada para colaboração ad hoc. Não suporta o Microsoft 365.

Os aplicativos precisam de lógica personalizada para oferecer recursos de colaboração, como localização/seleção de usuários e fluxos de trabalho centrados em conteúdo para compartilhar/gerenciar o acesso.

Atribuição de recursos baseada em função

Os aplicativos podem oferecer suporte a funções ou grupos de aplicativos. O uso do controle de acesso baseado em função para aplicativos descreve como a ID Externa do Microsoft Entra permite que você defina funções de aplicativo para seu aplicativo e atribua essas funções a usuários e grupos.

Use lógica ou fluxos de trabalho personalizados para atribuir usuários a funções ou grupos.

Gestão de riscos

Os usuários só podem visualizar e gerenciar seus próprios perfis de usuário.

Os aplicativos precisam desenvolver uma lógica personalizada para permitir que os usuários interajam uns com os outros.

Outro

Para Recursos do Azure que dão suporte à sua infraestrutura de aplicativo, como Aplicativos Web do Azure, hospede em uma Assinatura do Azure que você vincula a um locatário da força de trabalho.

Combinações de arquitetura

O conjunto agregado de requisitos da sua organização pode não se encaixar em apenas uma arquitetura. Talvez seja necessário usar várias arquiteturas ou implantar várias instâncias das arquiteturas descritas neste artigo.

Por exemplo, uma grande empresa de consultoria pode implantar as seguintes arquiteturas:

• Força de trabalho e arquitetura orientada para colaboração para força de trabalho e colaboradores externos, como agências de marketing e consultores.
• Acesso isolado para parceiros de negócios para projetos como joint ventures que exigem acesso necessário e isolamento onde cada joint venture precisa ter um limite separado.

Em outro exemplo, um grande varejista pode implantar as seguintes arquiteturas:

• Força de trabalho e arquitetura orientada para a colaboração para a força de trabalho e colaboradores externos, como agências de marketing e consultores.
• Arquitetura orientada ao consumidor para permitir programas de fidelidade, comércio eletrônico e recursos semelhantes focados no consumidor. Os varejistas que têm várias marcas ou trabalham em várias regiões podem precisar de instâncias de arquitetura separadas.

Próximos passos

Para obter orientações adicionais, consulte os planos de implantação do Microsoft Entra.