目录
3.适用于企业来宾注册的 Microsoft Entra 权利管理
6.用于 B2B 协作和 B2B Direct Connect 的条件访问
11.用于 B2B 协作的 Microsoft Entra Microsoft Graph API
Microsoft Entra External ID 是一个很有用的工具,主要是帮助公司和组织跟外部的人打交道、一起合作。比如说,你可以让公司外面的人,像合作伙伴、客户或者消费者,安全地使用你们公司的应用程序和资源。
这些外部的人可以用他们自己的身份登录,身份的种类很多,比如公司或者政府给他们发的账号,也可以是像谷歌、脸书这些社交平台的账号。
接下来讲讲它的具体用途:
-
面向创建消费者应用程序的组织或开发人员:假如你是开发一个给普通消费者用的应用程序的人或者公司,你可以用 Microsoft Entra External ID 快速地给你的应用程序加上身份验证的功能,也就是让用户能安全登录。还能管理用户的身份和访问权限,这叫客户身份与访问管理(CIAM)。你可以在外部配置里注册你的应用,然后创建一个特别的登录界面,让用户用起来更方便。而且,你管理这些应用用户的 Microsoft Entra 租户(可以理解为一个管理空间)是和你公司内部管理员工和资源的那个租户分开的,互不干扰。
-
面向让员工和业务伙伴、来宾协作的企业:要是你的公司想让员工和外面的业务伙伴、来宾一起合作,就可以用 Microsoft Entra External ID 的 B2B 协作功能。具体来说,你可以通过邀请或者让他们自己注册的方式,让这些外部人员安全地访问你们公司的企业应用程序。你还能决定这些来宾能访问到你们公司 Microsoft Entra 租户(就是管理员工和组织资源的那个空间)里的哪些东西,给他们设置不同的访问级别。
总的来说,Microsoft Entra External ID 是一个很灵活的工具,对于开发面向消费者应用程序并且需要身份验证和管理用户身份权限的人来说很有用,对于那些想和外部人员安全地进行企业间合作的公司也非常有帮助。
为消费者和企业客户保护您的应用程序
对于组织和开发人员而言,当他们要把应用程序提供给消费者和企业客户使用的时候,有一种很方便的方法,就是利用外部租户中的External ID来作为管理客户身份和访问的解决方案,也就是CIAM。
具体来说,可以在外部配置里专门创建一个独立的Microsoft Entra租户。这个租户就像是一个独立的空间,在这里可以单独管理应用程序和用户账户,和管理公司内部员工的部分是分开的,这样管理起来更清晰、更方便。
在这个专门的租户里,还能做很多很有用的事情:
- **设置自助注册流程**:就是规定客户注册的时候要走哪些步骤,以及他们能用什么方式登录。比如可以让客户用电子邮件加上密码来注册登录,也可以用一次性密码,或者直接用他们的谷歌、脸书这些社交平台的账号来登录。这样客户就可以选择自己觉得最方便的方式来使用应用程序。
- **创建自定义外观**:可以给应用程序的登录界面进行个性化设置。就像装修房子一样,能给登录界面换上自己公司的背景图像、喜欢的颜色,加上公司的标志,还能修改显示的文字内容。这样一来,用户在登录应用的时候,就能看到很有公司特色的界面,有不一样的体验。
- **收集客户信息**:在客户注册的过程中,可以从一些已经设置好的用户属性里挑选需要的信息来收集,也可以自己另外添加一些特殊的、想要了解的信息。通过这些信息,能更好地了解客户,为客户提供更合适的服务。
- **分析数据**:还能对用户使用应用程序的活动情况和参与程度进行分析。通过这些分析可以发现很多有价值的信息,比如用户喜欢用哪些功能,在哪些地方停留的时间比较长等等。这些信息能帮助公司做出更正确的战略决策,让业务发展得更好,赚更多的钱。
有了External ID这个工具,客户就能用他们本来就有的身份来登录应用程序,不用再重新注册一个新的复杂账号。组织和开发人员呢,又可以按照自己的想法来定制和控制客户注册、登录的方式。而且因为这些管理客户身份和访问的功能都是External ID自带的,所以还能享受到Microsoft Entra平台带来的其他好处,像安全性更高了,更符合各种规定要求,以后如果业务要扩大、功能要增加,也很容易扩展。
什么是“员工”和“外部”租户?
简单来说,“员工”租户和“外部”租户可以这样理解:
-
“员工”租户
-
性质:就像是公司内部的一个专属空间,是标准的Microsoft Entra租户。
-
包含内容:里面有公司的员工信息,就好像是一本记录了所有公司内部人员的花名册。还有公司内部使用的业务应用程序,比如财务部门用来算账的软件、人力资源部门用来管理员工考勤和档案的系统等,以及其他各种属于公司组织的资源,像公司的内部文件存储库、一些只有内部人员才能访问的数据库等。
-
作用:在这个空间里,公司内部的员工可以利用B2B协作功能,和公司外部的业务合作伙伴以及来宾进行合作。比如说,公司要和另一家公司一起做一个项目,就可以通过这个“员工”租户里的B2B协作功能,给合作公司的人员一定的访问权限,让他们能和本公司员工一起在相关的应用程序或资源里协同工作。
-
-
“外部”租户
-
性质:是专门为了把应用程序提供给消费者或者企业客户而设立的特殊空间,虽然也遵循标准的Microsoft Entra租户模型,但和“员工”租户的用途不太一样。
-
包含内容:这里面主要是存放着那些要提供给外面用户使用的应用程序的注册信息,就好比是一个记录着所有对外提供的应用程序的清单,每个应用程序都在这个清单里有自己的登记信息。还有就是消费者或者企业客户的帐户目录,就像是一个记录了所有使用这些应用程序的外部用户信息的大本子,里面有用户的各种注册信息等。
-
作用:主要是为了让外部的消费者或企业客户能够使用这些应用程序。比如说,一个做在线购物的公司,它把购物应用程序发布给消费者,这些消费者要注册、登录使用这个购物应用,相关的管理和配置工作就是在“外部”租户里进行的。企业客户使用相关应用的情况也是类似,“外部”租户把应用程序提供给他们,并管理他们的使用账户等信息。
-
比较 External ID 功能集
| 对比项 | 员工租户中的外部 ID | 外部租户中的外部 ID |
|---|---|---|
| 主要方案 | 助力员工与商务客人协作,让来宾能用偏好身份登录组织资源,访问 Microsoft 或自开发应用。例:邀请来宾登录 Microsoft 应用或加入 Teams 成为来宾成员 | 借助 External ID 向外部使用者和企业客户发布应用,给予身份体验,为非微软第一方的现代 SaaS 或自定义应用提供身份与访问管理。例:为消费者移动应用用户打造自定义登录体验并监控应用使用状况 |
| 适用于 | 与外部组织(如供应商、合作伙伴等)的业务伙伴协作,这些伙伴可能有无 Microsoft Entra ID 或托管 IT | 应用的消费者及企业客户,在为外部应用和用户配置的 Microsoft Entra 租户中管理 |
| 用户管理 | B2B 协作用户与员工同属一个员工租户管理,多作为来宾用户批注,管理方式和员工一致,可加入相同组等,跨租户访问设置决定用户访问权限 | 应用程序用户在为使用者创建的外部租户中管理,默认权限与 Workforce 租户用户不同,独立于组织员工目录 |
| 单点登录 (SSO) | 支持所有 Microsoft Entra 连接的应用程序 SSO,如 Microsoft 365、本地应用及其他 SaaS 应用 | 仅支持外部租户中注册的应用程序 SSO,不支持登录 Microsoft 365 或其他 Microsoft SaaS 应用 |
| 公司品牌 | 身份验证默认是 Microsoft 外观,管理员可自定义公司品牌的来宾登录体验 | 默认品牌中性,无 Microsoft 现有品牌,管理员可按组织或应用程序自定义品牌 |
| Microsoft 云设置 | 支持 | 不适用 |
| 权利管理 | 支持 | 不适用 |
相关技术
有几种 Microsoft Entra 技术与与外部用户和组织的协作相关。在设计 External ID 协作模型时,请考虑以下其他功能。
1.B2B 直连
B2B直连(B2B Direct Connect )是一种在不同组织间基于Microsoft Entra实现的便捷协作方式,主要用于方便不同组织的人员在Teams里协作,你可以这样理解:
功能作用
想象有两个公司,公司A和公司B,它们都在使用Microsoft Entra组织相关服务。以前,要是两个公司的员工想一起在Teams(一个办公协作软件)上聊天、分享文件啥的,会比较麻烦。但有了B2B直连,就可以在这两个公司的Microsoft Entra组织之间建立一个双向信任的“桥梁”。这样一来,就能启用Teams Connect共享通道功能,让两边公司的员工可以更方便地在共享频道里交流协作,比如聊天、打电话、分享文件和应用程序等。
身份验证和加入方式
在B2B直连里,当两个组织启用这个功能后,员工还是用自己公司的身份验证方式登录(就是用自己公司给的账号密码登录自己公司的系统),然后从对方公司(资源组织)那里拿到一个能访问共享频道的“通行证”(令牌)。而且和普通的B2B协作不一样,这些通过B2B直连来协作的用户,不会被当成客人加到对方公司的员工目录里,就像是两个公司的员工在一个公共的“协作空间”交流,但又不会互相干扰各自公司的员工管理体系。
在Teams共享频道的操作
-
添加用户:共享频道的负责人(就像班级的班长),可以在Teams软件里搜索另一个公司里被允许加入的员工,然后把他们拉进共享频道。
-
访问资源:被拉进共享频道的外部公司员工,不需要切换到对方公司的账号体系,直接就能访问共享频道。在频道里,他们可以通过“文件”选项卡去查看和使用里面的文件和应用程序,不过能访问到什么程度,是由共享频道的相关规定(策略)来决定的。
管理和计费
-
信任关系管理:每个组织可以通过跨租户访问设置这个工具,来管理和其他Microsoft Entra组织的信任关系,还能制定一些规则,比如哪些外部组织的人能进来(入站策略),自己公司的人能去哪些外部组织的共享频道(出站策略)。
-
计费方式:B2B直连的收费是按照每个月实际使用的人数(每月活跃用户,MAU)来计算的 。
2.Azure Active Directory B2C
Azure Active Directory B2C(Azure AD B2C)是微软推出的一个管理客户身份和访问权限的工具,你可以这么理解:
用途和定位
当公司开发了面向消费者或者客户群体的应用或服务时,需要管理这些外部客户如何登录、注册以及访问资源 ,Azure AD B2C就是专门解决这类问题的。它和管理公司内部员工账号的系统不同,是侧重于管理外部客户的身份信息。
目录管理
它有一个单独的、专门给外部使用者准备的“信息库”(目录)。公司的管理员可以通过Azure 门户(一个网页管理界面)里的Azure AD B2C服务,来管理这个“信息库”,比如添加或删除客户账号,设置客户注册和登录的规则等。而且每个公司的Azure AD B2C这个“信息库”都是独立的,和其他公司的Microsoft Entra ID(微软的身份管理相关服务)以及别的Azure AD B2C“信息库”都不一样。
界面和特色
Azure AD B2C的管理界面(门户体验)和Microsoft Entra ID有点像,但也有特别的地方。比如它能使用Identity Experience Framework(身份体验框架),这就像一个装修工具,能让公司按照自己的需求,给客户的注册、登录等流程(用户旅程)进行个性化设计,让客户使用起来更符合公司的业务特点和品牌风格。
3.适用于企业来宾注册的 Microsoft Entra 权利管理
假如你是一家公司(邀请组织),和别的公司有合作,你需要让合作公司的员工能访问你公司的一些资源,但你又没办法提前知道具体是哪些人要来访问。这时候,Microsoft Entra 权利管理就派上用场了。你可以用它设置一些规则(策略),让合作公司的员工自己来申请访问权限。等申请通过后,系统就会给他们创建来宾账号,并且把他们分配到对应的组、应用程序或者SharePoint Online站点,这样他们就能访问相应资源了。
4.条件访问
企业为了让外部用户访问资源时更安全,会制定一些规则,只有满足这些规则,外部用户才能访问,这些规则就叫条件访问策略。比如要求外部用户必须进行多重身份验证(MFA),像除了输入密码,还得用手机接收验证码之类的,这就是一种条件访问。多因素身份验证(Multi - Factor Authentication)
5.外部租户中的条件访问和 MFA
在专门管理外部客户的租户(外部租户)里,企业可以设置条件访问策略,并且强制要求客户进行多重身份验证(MFA)。有两种常用的验证方式:
-
电子邮件一次性密码:客户用邮箱和密码登录后,系统会往邮箱里发一个临时密码,客户得输入这个密码才能继续访问。
-
基于 SMS 的身份验证:如果客户用邮箱密码、邮箱一次性密码或者社交账号(比如谷歌、脸书)登录,系统会提示他们用手机短信接收验证码来进行二次验证。
(基于短消息服务(Short Message Service)的身份验证)
MFA 的全称是多因素认证(Multi-Factor Authentication)
MFA的全称是多因素认证(Multi-Factor Authentication),也被称为多因素身份验证或多因子认证。
MFA是一种通过使用多种不同类型的身份验证因素来验证用户身份的方法,以增加系统或应用程序的安全性,降低未经授权访问的风险。常见的认证因素包括:
-
知识因素(Something you know):例如密码、PIN码、安全问题答案等,这是用户所知道的信息。
-
拥有因素(Something you have):如智能卡、硬件令牌、手机等,是用户所拥有的物理设备。基于SMS的身份验证就属于此类,用户需要拥有与账号绑定的手机来接收验证码。
-
固有因素(Something you are):主要指生物特征,像指纹、面部识别、虹膜扫描等,是用户本身所具有的生理特征。
通过结合这些不同类型的因素进行身份验证,MFA可以提供比单一因素(如仅使用密码)更高的安全性。例如,用户在登录时不仅需要输入密码(知识因素),还可能需要使用手机获取验证码(拥有因素),或者通过指纹识别(固有因素)来完成身份验证。
6.用于 B2B 协作和 B2B Direct Connect 的条件访问
在管理公司员工和外部合作的租户(员工租户)里,对于和外部公司进行B2B协作或者B2B直连的用户,企业也可以设置条件访问策略,和管理公司内部员工的方式差不多。如果策略要求多重身份验证(MFA)或者设备符合一定标准(设备合规性),当外部用户来访问时,系统会检查他们所在公司提供的MFA和设备合规信息。如果符合要求,外部用户就能直接登录访问资源;不符合的话,就得在他们自己公司的系统里完成MFA或者设备检查。
7.多租户应用程序
假如你开发了一个软件即服务(SaaS)应用程序,想让很多不同公司(组织)都能用,你可以把应用程序设置成能接受来自各个公司(任何Microsoft Entra租户)的用户登录,这就是多租户应用程序。只要这些公司的用户同意用自己的账号来使用你的应用,就能登录进去。
8.多租户组织
有些公司规模很大,或者业务分布在不同的云环境或者地理位置,会有多个Microsoft Entra ID实例,这样的公司就是多租户组织。多租户组织能让公司在Microsoft 365等软件里更方便地进行跨区域协作,提升员工在Microsoft Teams和Microsoft Viva Engage等应用里的协作体验。而且还有跨租户同步功能,能让用户更方便地访问资源,不用老是接收邀请邮件或者一次次去同意访问提示。
9.Microsoft Graph API
它就像是一个“自动化助手”,除了少数功能外,大部分External ID的功能都可以通过它来实现自动化操作。比如自动处理用户的访问请求之类的。
10.Microsoft Graph 中不支持的功能
有一些External ID功能,Microsoft Graph API不支持。比如确定你属于哪个组织,在员工租户里,得用特定的Azure资源管理器API或者Get tenantReferences Microsoft Graph API来处理。
11.用于 B2B 协作的 Microsoft Entra Microsoft Graph API
-
跨租户访问设置 API:它可以让你通过编程的方式,设置和在Azure门户里一样的B2B协作和B2B直连策略,比如决定哪些人能访问,哪些人不能访问,还能接受其他组织的MFA和设备声明。
-
B2B 协作邀请管理器:你可以用它的API来自己设计邀请外部业务来宾的流程,比如自动给B2B用户发送定制的邀请邮件,或者用相关链接来制作自己的邀请方式 。
扫一扫
196
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
