規劃商務夥伴和外部使用者的新治理案例
概觀:商務夥伴和外部使用者案例的概觀
一般而言,某些時候,所有商務程式都需要與合作夥伴、承包商或廠商合作。 為了協助這項工作,商務夥伴和外部使用者可能需要存取您的組織。 合作夥伴、廠商和外部使用者的商務規劃牽涉到設計和實作技術解決方案,讓組織與合作夥伴之間能夠有效共同作業、整合及調整目標。
Microsoft會根據與貴組織的關係定義下列角色。
- 工作力。 您組織的全職員工、兼職員工或承包商。
- 商務夥伴。 與企業有業務關係的組織。 這些組織可以包含與企業共同作業以達成共同目標的供應商、廠商、顧問和策略聯盟。
- 外部使用者。 貴組織外部的使用者,例如商務夥伴和取用者。
商務程式與商務夥伴和外部使用者案例範例
來賓案例或外部存取案例是特定使用案例,其中商務夥伴或外部使用者與組織的資源互動,且需要在組織的其中一個Microsoft Entra 租使用者中表示。 這些案例幾乎橫跨商務程式的各個層面。
請考慮下列每個商務程式,以及合作夥伴規劃和互動如何發揮作用的範例。 下表提供涉及商務夥伴和外部用戶的這些流程和範例案例的細目。
| 商務程序 | 定義 | 商務夥伴和外部用戶範例 |
|---|---|---|
| 商務程式管理 | 改善組織的工作流程和作業的系統化方法。 | 與信用評分機構合作的金融服務公司,以簡化貸款核准程式。 |
| 整合式商務規劃 | 整體方法,可配合組織的戰略目標、營運計劃和財務預測,以建立一個統一、統一的決策架構。 | 零售公司透過整合規劃平臺與供應商分享銷售預測和庫存水準。 |
| 客戶關係管理 | 管理組織與客戶互動的策略方法和系統。 | 汽車公司協調、支持和優化其與經銷商的互動。 |
| 供應鏈協調流程 | 協調管理所有供應鏈程式,以確保從採購到交付的所有階段的效率、可見度和回應性。 | 任何擁有供應鏈且需要與供應商協調的公司。 |
| Business Partner 帳戶生命週期 | 管理組織與其外部商務夥伴之間關聯性與互動的端對端程式。 | 與軟體廠商合作以增強其產品供應專案的科技公司。 |
| 與其他組織 B2B 共同作業 | 兩個或多個企業之間的戰略夥伴關係,透過共用資源、資訊和努力實現共同目標。 | 當地一家咖啡店,與麵包店合作,以加強兩家企業的供應專案。 |
瞭解您的案例有助於設計適當的訪問控制,並確保與外部人員順暢地共同作業。
商務夥伴和外部使用者的新治理案例領域
新的商務夥伴和外部用戶解決方案通常涉及下列領域。 畫面如下:
- 探索您的商務需求 - 識別您目前的生命週期和外部身分識別治理程式。 本練習將協助您判斷適用的案例、可行性和範圍。
- 判斷您的安全性狀態 - 依案例評估組織的安全性和共同作業需求。
- 讓商務夥伴和外部用戶 上線 - 在來賓或外部身分識別方面,上線是在組織系統中設定這些身分識別的程式或程式。
- 下架商務夥伴和外部使用者 - 關於來賓或外部身分識別的下線,是從組織系統移除這些身分識別的程序或程式。
授權需求
使用下列某些功能需要 Microsoft Entra ID 控管 或Microsoft Entra Suite 授權。 若要尋找您需求的正確授權,請參閱 Microsoft Entra ID 控管 授權基本概念
後續步驟
探索:識別商務夥伴和外部使用者的目前生命週期和治理程式
識別您目前外部身分識別的生命週期和治理程式。 本練習將協助您判斷適用的案例、可行性和範圍。
檢閱控管員工和來賓生命週期,並強調外部身分識別 Microsoft Entra ID 控管。 來賓使用者、供應商和其他外部使用者也需要此處涵蓋的程式,讓他們能夠共同作業或存取資源。 本文件涵蓋您可以採取的動作來探索治理程式。
因為商務夥伴和外部使用者的治理案例使用權利管理,因此您也應該檢閱 權利管理中的常見案例。 這會根據使用者的角色提供權利管理的常見案例。 規劃解決方案時,您應該考慮這些。
您也可以使用下表作為評估目前狀態時要考慮的其他區域指南。
| 處理 | 描述 |
|---|---|
| 判斷誰起始外部共同作業 | 一般而言,尋求外部共同作業的使用者會知道要使用的應用程式,以及存取結束的時間。 因此,判斷誰是有委派權限的使用者,以邀請外部使用者、建立存取套件,以及完成存取檢閱。 |
| 列舉商務夥伴和外部使用者 | 外部使用者可能是具有合作夥伴管理認證的Microsoft Entra B2B 使用者,或具有本機佈建認證的外部使用者。 這些使用者通常的 UserType 是 [來賓]。 |
| 使用電子郵件網域和 companyName 屬性 | 您可以根據外部使用者電子郵件地址的網域名稱來決定外部組織。 |
| 使用允許清單、封鎖清單和權利管理 | 使用允許清單或封鎖清單,讓您的組織能夠與租用戶層級的組織共同作業或封鎖組織。 |
| 判斷外部使用者存取 | 透過外部使用者和組織清查,判斷授與使用者的存取權。 |
| 列舉應用程式權限 | 調查敏感性應用程式的存取權,以了解外部存取。 |
| 偵測非正式共用 | 如果您的電子郵件和網路方案已啟用,您便可透過電子郵件,或透過未經授權軟體即服務 (SaaS) 應用程式來調查共用的內容。 |
如需詳細資訊,請參閱 探索組織中外部共同作業的目前狀態
範例 - 識別目前的生命週期和治理程式
您是一家繁華的科技公司 Contoso 的 IT 系統管理員,而且經常面臨有效率且安全地將商務外部使用者上線的挑戰,例如顧問、廠商和合作夥伴。 目前的上線程式分散且不一致,導致安全性弱點和效率不佳。 若要解決此問題,您可以開始探索階段,以識別關鍵需求,並瞭解您如何利用Microsoft Entra。
您的一些重要需求包括:
- 具有不同部門需要獨特存取層級的不同來賓上線需求。
- 確保來賓使用者具有執行其工作所需的最低許可權非常重要,而且需要健全的條件式存取原則和多重要素驗證來保護敏感數據。
- 身為IT系統管理員和外部用戶的順暢且方便用戶的上線程式。 外部使用者應該能夠快速且輕鬆地存取所需的資源,而不會造成不必要的延遲。
- 與現有的共同作業工具整合,例如 Microsoft Teams 和 SharePoint,以及自助式註冊選項 (SSSU)
- 透過定期監視來賓用戶活動來管理來賓的功能、設定存取到期和定期存取權檢閱,確保來賓存取會隨著時間保持適當。 如需詳細資訊,請參閱使用 Microsoft Entra ID 控管 控管員工和來賓生命週期,以及探索組織中外部共同作業的目前狀態
考慮到這些重要需求,以下是需要考慮的兩件事:
- 將外部用戶上線至租使用者
- 取得外部使用者對資源的存取權
視商務案例而定,有不同的選項。 讓我們深入探討外部用戶的上線,以及可用的選項。
後續步驟
安全性狀態:判斷商務夥伴和外部使用者的安全性狀態
當您考慮治理外部存取時,請依案例評定貴組織的安全性和共同作業需求。 您可以從 IT 小組在終端使用者的日常共同作業中所擁有的控制層級開始進行。 高管制產業中的組織可能需要較多 IT 小組控制。
例如:
- 防禦承包商可以要求積極識別並記錄外部使用者、其存取權和移除存取權。
- 諮詢機構可以使用特定功能,讓終端使用者判斷他們所共同作業的外部使用者。
- 銀行的承包商可能需要比軟體公司的承包商更多的控制權
注意
高度控制共同作業可能會導致 IT 預算升高、生產力降低,以及業務成果延誤。 當終端使用者認為官方共同作業通道很繁重時,隨即會傾向規避官方通道。 例如,終端使用者透過電子郵件傳送不安全的文件。
以案例為基礎的規劃
IT 小組可以委派合作夥伴存取權,讓員工能夠與合作夥伴共同作業。 在發生此委派之際,同時會維持足夠的安全性來保護智慧財產權。
編譯及評估貴組織的案例,以協助評估員工與商務夥伴對資源的存取權。 金融機構可能有合規性標準,限制員工存取帳戶資訊等資源。 反之,相同的機構可以啟用委派的合作夥伴存取專案,例如行銷活動。
案例考量
使用下列清單來協助測量存取控制層級。
- 資訊敏感度及其暴露的相關風險
- 合作夥伴存取其他終端使用者的相關資訊
- 違規的成本與集中控制和使用者摩擦的額外負荷
組織可以在一開始採用高度管理的控制,以達成合規性目標,等過一段時間後,再將部分控制權委派給終端使用者。 組織中可能會有同時存取管理模型。
架構考量
適當的安全性架構設計是確保安全商務夥伴和外部使用者案例的重要元件。 您應該在起草安全性計劃時熟悉不同類型的建議架構。 使用 Microsoft Identity Governance 的建議架構如下:
- 員工和共同作業導向的架構考慮 - 讓您的員工能夠與外部組織的商務合作夥伴共同作業。
- 商務夥伴 的隔離存取 - 隔離外部使用者與組織的租使用者
建議的檔
最後,您應該檢閱下列檔。 檢閱此檔可讓您設計和建立安全性計劃,以搭配您的商務夥伴和 exteranl 使用者案例使用。
後續步驟
上線:將商務夥伴和外部用戶上線
讓商務夥伴和外部用戶上線是身分識別和存取管理的重要層面,有助於維護組織內的安全性、合規性和營運效率。 商務夥伴和外部用戶的上線可細分為下列各項:
- 開發上線程式以新增外部合作夥伴。
- 開發上線程式,將外部使用者新增至您的系統。
商務合作夥伴的上線程式
下列專案是一般步驟清單,在從您的組織上線商務夥伴時,應該考慮這些步驟。
- 判斷與商務夥伴合作的開始日期。
- 通知所有相關部門特定開始時間和日期。
- 協調所有系統的商務夥伴存取權的起始 (入口網站、工具、API)
- 已新增合作夥伴連結帳戶,並核准角色和指派
外部用戶的上線程式
下列專案是將組織外部用戶上線時應考慮的一般步驟清單。
- 判斷開始日期。
- 通知 IT 將個別使用者存取權新增至系統。 這可以透過存取套件和使用自我要求來自動化。
- 記錄所採取的上線步驟。
- 取得人力資源、IT 和任何相關部門的最終核准,確保上架的所有層面都已完成。
使用權利管理來協助上線
權利管理會使用目錄、存取套件和原則來:
- 控制誰可以存取資源
- 自動授與使用者存取權
- 拿掉使用者的存取權
- 向非管理員委派建立存取套件的能力。
- 選取其使用者可以要求存取權的已連線組織。
如需詳細資訊,請參閱 什麼是權利管理?
目錄、存取套件和原則
在權利管理中,存取套件可以有多個原則,而且每個原則都會建立使用者取得存取套件指派的方式,以及多久時間。 權利管理可以設定為將商務夥伴和外部用戶上線,並將其訪問許可權及其帳戶新增至您的租使用者。
一般存取套件可能包含下列專案:
- 已新增與套件相關聯的所有資源存取權
- 使用者會新增至所需的任何群組
- 帳戶會新增至來賓用戶目錄
- 使用稽核記錄進行合規性
- 系統會傳送通知以確認成功上線
目錄是資源和存取套件的容器。 當您想要將相關資源和存取套件分組時,您可以建立目錄。 例如,您可以為與 Contoso 等其他組織打交道的組織建立商務夥伴目錄。 在此目錄內,您可以建立存取套件。 存取套件可讓您只要將資源和原則設定一次,就能在存取套件存在期間內自動管理存取權。 這些存取套件可以針對 Contoso 內的各種外部使用者和合作夥伴,以及整個 Contoso 組織本身量身打造。 例如,您可能會有 Contoso 廠商的存取套件,以及 Contoso 承包商的存取套件,以及 Contoso 組織的存取套件。 如需詳細資訊,請參閱 在權利管理中建立和管理資源目錄
存取套件可讓您只要將資源和原則設定一次,就能在存取套件存在期間內自動管理存取權。 所有存取套件都必須位於稱為目錄的容器中。 存取套件可用來將存取權指派給目錄中多個資源的角色。 所有存取套件都至少必須有一個原則來將使用者指派給它們。 如需詳細資訊,請參閱 在權利管理中建立存取套件
原則會指定可要求存取套件的人員以及核准和生命週期設定,或是如何自動指派存取。
如需詳細資訊,請參閱 使用權利管理將外部用戶上線
為商務夥伴和外部使用者提供上線存取權
透過權利管理,您可以定義一個原則,讓組織的用戶能夠自助存取套件。 此原則包括是否需要核准、是否需要存取權檢閱,以及存取是否有到期日。
如需詳細資訊,請參閱 管理權利管理中管理外部使用者的存取權
如需特定範例,請參閱 教學課程 - 透過核准程式將外部用戶上線至 Microsoft Entra ID
使用生命週期工作流程協助上線工作
生命週期工作流程是一項身分識別治理功能,可讓組織透過自動化這三個基本生命週期程式來管理 Microsoft Entra 使用者:
- 加入者:當個人進入需要存取權的範圍時。 例如,新員工加入公司或組織。
- 移動者:當個人在組織內的界限之間移動時。 此移動可能需要更多存取權或授權。 例如,目前為行銷人員且現在是業務組織成員的使用者。
- 離開者:當個人離開需要存取權的範圍時。 此移動可能需要移除存取權。 範例包括即將離職的員工或已離職的員工。
工作流程包含特定的程序,這些程序會在使用者進入其生命週期時自動對使用者執行。 工作流程是由「工作」和「執行條件」所組成。
許多可讓商務夥伴和外部用戶開始使用的工作,都可以使用生命週期工作流程自動化。 如需詳細資訊,請參閱 什麼是生命週期工作流程?
如需如何自動化這些和其他工作的詳細資訊,請參閱 自動化員工和來賓上線工作
透過直接指派來反覆運算其他資源
您現在可能需要指派給來賓用戶的額外需求。 這可透過使用 Access 套件和權利管理來完成。
例如,您可能擁有指派給一般使用者的存取套件,而且您想要將類似的套件指派給來賓使用者。 您可以使用權利管理,將來賓使用者指派給這些存取套件。 請參閱 權利管理中存取套件的檢視、新增和移除指派
您可以選擇建立新的套件,而不會觸及您現有的套件,並將來賓使用者指派給該套件。 如需詳細資訊,請參閱:
下列各節提供您可以讓來賓用戶上線的各種方式範例
範例 - 使用權利管理布建使用者
身為IT系統管理員,您已識別出需要從 Fabrikam 上線外部顧問才能共同作業的專案。 請務必擁有自動化存取管理、核准工作流程和生命週期管理。 使用Microsoft Entra 的權利管理,您可以建立一個存取套件,讓您組合多個資源(例如群組、應用程式和 SharePoint 網站),包括核准工作流程,確保存取要求在授與存取權之前,由適當的個人檢閱和核准,並設定存取期限。
您傳送邀請給顧問,這些顧問會收到包含接受存取套件連結的電子郵件。 約翰,其中一個顧問,遵循鏈接,驗證他的身份,並在幾分鐘內獲得必要的資源存取權。 上架程序很順暢且安全,可讓顧問立即開始共同作業。 該項目開始不延遲,確保 Contoso 與 Fabrikam 之間的生產力合作關係。
如需詳細資訊,請參閱
- 使用權利管理將外部用戶上線
- 在權利管理中設定存取套件的自動指派原則
- 教學課程:透過核准程序將外部使用者加入 Microsoft Entra ID
- Microsoft Entra 部署案例 - 所有應用程式的員工和來賓上線、身分識別,以及存取生命週期治理
範例 - 用戶導向的共同作業
針對另一個設計項目,設計小組經理要求您作為IT系統管理員,從全域解決方案新增John Doe以共同作業。 主要目標是邀請使用者加入目錄並共同作業。 您可以使用電子郵件邀請外部使用者 John 作為來賓使用者。 電子郵件邀請既簡單又有彈性,可讓您邀請來自各種網域和身分識別提供者的使用者,包括 Gmail 或 Microsoft 帳戶等社交身分識別。 John 使用自己的認證安全地登入,而不需要密碼維護或帳戶生命週期管理,以簡化上線程式。
如需詳細資訊,請參閱 在 Microsoft Entra 系統管理中心 新增 B2B 共同作業用戶和 設定外部共同作業設定
範例 - 透過直接指派來反覆運算其他資源
現在,身為IT系統管理員需要略過存取要求,並直接將特定使用者指派給存取套件,並授與外部小組立即存取權。 您將在存取套件中建立第一個存取套件指派原則。 您可以檢閱存取套件的原則,以確認它允許直接新增外部使用者。
隨著所有專案就緒,Emma 移至 [指派] 索引標籤。她輸入外部小組成員的電子郵件位址,以確保他們已正確列出。 在最後一次檢閱之後,她按兩下 [指派] 按鈕。
幾乎立即,外部合作夥伴收到了他們的邀請。 他們順暢地加入目錄,並取得必要資源的存取權,而不會有任何延遲。 這種有效率的設定可讓兩個小組立即開始共同作業,培養生產力和創新的環境。 如需詳細資訊,請參閱:
後續步驟
下架:有效率地將商務合作夥伴和外部使用者下架。
下架商務夥伴和外部使用者是身分識別和存取管理的重要層面,可協助維護組織內的安全性、合規性和營運效率。 商務夥伴和外部使用者的下線可細分為下列各項:
- 開發離線程式以移除外部合作夥伴。
- 開發離線程式,以從您的系統移除外部使用者。
商務合作夥伴的下線程式
下列專案是一般步驟清單,當您從組織卸除商務夥伴時,應該考慮這些步驟。
- 判斷與商務夥伴合作的結束日期。
- 通知所有相關部門特定結束時間和日期。
- 協調商務夥伴對所有系統的終止存取權(入口網站、工具、API)
- 已移除合作夥伴連結帳戶,並撤銷角色和指派
- 檢閱與合作夥伴共享的數據,並判斷是否應保留或安全地刪除任何數據。
- 從合作夥伴的系統收集任何專屬或敏感數據
- 確認已執行數據刪除以確保合規性。
外部使用者的下架程式
下列專案是一般步驟清單,當您從組織卸除外部使用者時,應該考慮這些步驟。
- 判斷結束日期。
- 確保已完成任何擱置的交付專案或工作。
- 通知 IT 從系統移除個別使用者存取權。 這可以使用存取套件自動化
- 確認外部用戶擁有的任何數據都已傳輸或傳回。
- 請確定已停用外部使用者專屬的所有帳戶,而不會影響來自相同組織的其他使用者。
- 記錄所採取下架步驟。
- 取得人力資源、IT 和任何相關部門的最終核准,確保離線的所有層面都已完成。
使用權利管理來加速下線
在權利管理中,存取套件可以有多個原則,而且每個原則都會建立使用者取得存取套件指派的方式,以及多久時間。 當來賓使用者上次存取套件指派到期時,權利管理可以設定為自動卸除來賓使用者,從您的租使用者移除其訪問許可權和來賓用戶帳戶。
存取套件到期時,下架程式應該包含下列專案:
- 撤銷與過期套件相關聯的所有資源存取權
- 使用者已從他們所屬的任何群組中移除
- 帳戶已從來賓用戶目錄移除
- 使用稽核記錄進行合規性
- 系統會傳送通知以確認成功下架
如需詳細資訊,請參閱 管理權利管理中管理外部使用者的存取權
使用生命週期工作流程協助下架工作
生命週期工作流程是一項身分識別控管功能,可讓組織藉由自動化一些基本生命週期程式來管理 Microsoft Entra 使用者。
工作流程包含特定的程序,這些程序會在使用者進入其生命週期時自動對使用者執行。 工作流程是由「工作」和「執行條件」所組成。
如需詳細資訊,請參閱 使用 Microsoft Entra 系統管理中心,將員工下架工作自動化
範例 - 下線來賓帳戶
John 是存取套件已過期的來賓。 然後,系統會撤銷 John 存取連結至該套件的所有資源。 約翰被從他所屬的任何群體中除名。 一旦他的最後一個使用中套件到期,John 的帳戶就會從來賓用戶目錄移除。
如需詳細資訊,請參閱 使用存取權檢閱 管理使用者和來賓使用者存取權,以及 使用 Microsoft Entra 系統管理中心將員工下架工作自動化