Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Comprendre la collaboration permet de sécuriser l’accès externe à vos ressources. Utilisez les informations de cet article pour déplacer la collaboration externe vers Microsoft Entra B2B Collaboration.
- Cf. Vue d’ensemble de B2B Collaboration.
- En savoir plus sur les identités externes dans Microsoft Entra ID
Avant de commencer
Cet article est le numéro 5 dans une série de 10 articles. Nous vous recommandons de consulter les articles dans l’ordre. Accédez à la section Étapes suivantes pour voir la série entière.
Collaboration de contrôle
Vous pouvez limiter les organisations avec lesquelles vos utilisateurs collaborent (entrants et sortants) et qui, dans votre organisation, peuvent inviter des invités. La plupart des organisations permettent aux unités commerciales de décider de la collaboration, et de déléguer l’approbation et la supervision. Par exemple, les organisations du gouvernement, de l’éducation et des finances n’autorisent souvent pas la collaboration ouverte. Vous pouvez utiliser les fonctionnalités De Microsoft Entra pour contrôler la collaboration.
Pour contrôler l’accès à votre locataire, déployez une ou plusieurs des solutions suivantes :
- Paramètres de collaboration externe : restreindre les domaines de messagerie auxquels les invitations sont envoyées
- Paramètres d’accès entre locataires distincts : contrôlez l’accès aux applications pour les utilisateurs invités par utilisateur, groupe ou locataire (entrant). Contrôler l'accès des utilisateurs au locataire et aux applications Microsoft Entra externes (trafic sortant).
- Organisations connectées : déterminer ce que les organisations peuvent demander des packages d’accès dans Gestion des droits d’utilisation
Déterminer les partenaires de collaboration
Documentez les organisations avec lesquelles vous collaborez et les domaines des utilisateurs de l’organisation, si nécessaire. Les restrictions basées sur un domaine peuvent ne pas être pratiques. Un partenaire de collaboration peut avoir plusieurs domaines et un partenaire peut ajouter des domaines. Par exemple, un partenaire avec plusieurs unités commerciales, avec des domaines distincts, peut ajouter d’autres domaines lors de la configuration de la synchronisation.
Si vos utilisateurs utilisent Microsoft Entra B2B, vous pouvez découvrir les locataires Microsoft Entra externes avec lesquels ils collaborent, en utilisant les journaux de connexion, PowerShell ou un rapport. Pour en savoir plus:
Vous pouvez activer la collaboration future avec :
- Organisations externes - plus inclusives
- Organisations externes, mais pas dites "organisations refusées"
- Organisations externes spécifiques - plus restrictives
Remarque
Si vos paramètres de collaboration sont très restrictifs, vos utilisateurs peuvent sortir de l’infrastructure de collaboration. Nous vous recommandons d’activer une collaboration étendue que vos exigences de sécurité autorisent.
Les limites d’un domaine peuvent empêcher la collaboration autorisée avec les organisations qui ont d’autres domaines non liés. Par exemple, le point de contact initial avec Contoso peut être un employé basé aux États-Unis avec un e-mail qui a un .com domaine. Toutefois, si vous autorisez uniquement le .com domaine, vous pouvez omettre les employés canadiens qui ont le .ca domaine.
Vous pouvez autoriser des partenaires de collaboration spécifiques pour un sous-ensemble d’utilisateurs. Par exemple, une université peut restreindre les comptes étudiants d’accéder à des locataires externes, mais peut permettre aux enseignants de collaborer avec des organisations externes.
Liste verte et liste de blocage avec les paramètres de collaboration externe
Vous pouvez utiliser une liste blanche ou une liste noire pour les organisations. Vous pouvez utiliser une liste blanche ou une liste noire, pas les deux.
- Liste d'autorisation : limitez la collaboration à une liste de domaines. D’autres domaines se trouvent sur la liste de blocage.
- Liste de blocage - autoriser la collaboration avec des domaines qui ne figurent pas sur la liste de blocage
En savoir plus : Autoriser ou bloquer les invitations aux utilisateurs B2B provenant d’organisations spécifiques
Important
Les listes d’autorisation et les listes de blocage ne s’appliquent pas aux utilisateurs de votre annuaire. Par défaut, ils ne s’appliquent pas à OneDrive Entreprise et à sharePoint allowlist ou blocklists ; ces listes sont distinctes. Toutefois, vous pouvez activer SharePoint-OneDrive intégration B2B.
Certaines organisations disposent d'une liste noire de domaines malveillants d'un fournisseur de sécurité géré. Par exemple, si l’organisation s’occupe de Contoso et utilise un .com domaine, une organisation non liée peut utiliser le .org domaine et tenter une attaque par hameçonnage.
Paramètres d’accès interlocataire
Vous pouvez contrôler l’accès entrant et sortant à l’aide des paramètres d’accès interlocataire. En outre, vous pouvez approuver l'authentification multifacteur, un appareil conforme et les déclarations d'appareil joint hybride à Microsoft Entra (HAAJD) issues de locataires externes de Microsoft Entra. Lorsque vous configurez une stratégie d’organisation, elle s’applique au locataire Microsoft Entra et s’applique aux utilisateurs de ce locataire, quel que soit le suffixe de domaine.
Vous pouvez activer la collaboration entre les clouds Microsoft, tels que Microsoft Azure géré par 21Vianet ou Azure Government. Déterminez si vos partenaires de collaboration résident dans un autre cloud Microsoft.
Pour en savoir plus:
- Microsoft Azure géré par 21Vianet
- Guide du développeur Azure Government
- Configurez les paramètres Microsoft Cloud pour B2B Collaboration (préversion).
Vous pouvez autoriser l’accès entrant à des locataires spécifiques (allowlist) et définir la stratégie par défaut pour bloquer l’accès. Ensuite, créez des stratégies d’organisation qui autorisent l’accès par utilisateur, groupe ou application.
Vous pouvez bloquer l’accès aux locataires (liste de blocage). Définissez la stratégie par défaut sur Autoriser , puis créez des stratégies d’organisation qui bloquent l’accès à certains locataires.
Remarque
Les paramètres d'accès entre locataires n'empêchent pas l'accès entrant des utilisateurs pour envoyer des invitations, ni d’être acceptées. Toutefois, il contrôle l’accès aux applications et indique si un jeton est émis à l’utilisateur invité. Si l’invité peut échanger une invitation, la stratégie bloque l’accès aux applications.
Pour contrôler l'accès des utilisateurs des organisations externes, configurez des stratégies d'accès sortant de la même façon que pour l'accès entrant : liste blanche et liste de blocage. Configurez les stratégies par défaut et spécifiques à l’organisation.
En savoir plus : Configurer les paramètres d’accès entre locataires pour B2B Collaboration
Remarque
Les paramètres d’accès entre locataires s’appliquent aux locataires Microsoft Entra. Pour contrôler l’accès aux partenaires qui n’utilisent pas Microsoft Entra ID, utilisez les paramètres de collaboration externe.
Gestion des droits d’utilisation et organisations connectées
Utilisez la gestion des droits d’utilisation pour garantir la gouvernance automatique du cycle de vie des invités. Créez des packages d’accès et diffusez-les aux utilisateurs externes ou aux organisations connectées, assurant la prise en charge des locataires Microsoft Entra et d’autres domaines. Lorsque vous créez un package d’accès, limitez l’accès aux organisations connectées.
En savoir plus : Qu’est-ce que la gestion des droits d’utilisation ?
Contrôler l’accès des utilisateurs externes
Pour commencer la collaboration, inviter ou autoriser un partenaire à accéder aux ressources. Les utilisateurs obtiennent l’accès par :
- Acceptation d’invitation à Microsoft Entra B2B Collaboration
- Inscription en libre-service
- Demande d’accès à un package d’accès dans la gestion des droits d’utilisation
Lorsque vous activez Microsoft Entra B2B, vous pouvez inviter des utilisateurs invités avec des liens et des invitations par e-mail. L’inscription en libre-service et la publication de packages d’accès sur le portail My Access nécessitent davantage de configuration.
Remarque
La libre inscription n'impose aucune liste d'autorisation ni liste de blocage dans les paramètres de collaboration externe. Utilisez plutôt les paramètres d’accès entre locataires. Vous pouvez intégrer des listes d’autorisation et des listes de blocs à l’inscription en libre-service à l’aide de connecteurs d’API personnalisés. Voir, Ajouter un connecteur d’API à un flux utilisateur.
Invitations de l’utilisateur invité
Déterminez qui peut inviter des utilisateurs invités à accéder aux ressources.
- Le plus restrictif : Autoriser uniquement les administrateurs et les utilisateurs avec le rôle Inviteur d’invités
- Si les exigences de sécurité sont autorisées, autorisez tous les UserType membres à inviter des invités
- Déterminer si Guest UserType peut inviter des invités
L’invité est le compte d’utilisateur Microsoft Entra B2B par défaut
Informations utilisateur externes
Utilisez la gestion des droits d’utilisation de Microsoft Entra pour configurer les questions auxquelles les utilisateurs externes répondent. Les questions semblent être posées aux approbateurs pour les aider à prendre une décision. Vous pouvez configurer des ensembles de questions pour chaque stratégie de package d’accès, afin que les approbateurs disposent d’informations pertinentes pour l’accès qu’ils approuvent. Par exemple, demandez aux fournisseurs le numéro de contrat de leur fournisseur.
En savoir plus : Modifier les paramètres d’informations d’approbation et de demandeur pour un package d’accès dans la gestion des droits d’utilisation
Si vous utilisez un portail libre-service, utilisez des connecteurs d’API pour collecter des attributs utilisateur lors de l’inscription. Utilisez les attributs pour attribuer l’accès. Vous pouvez créer des attributs personnalisés dans le portail Azure et les utiliser dans vos flux d’utilisateurs d’inscription en libre-service. Lisez et écrivez ces attributs à l’aide de l’API Microsoft Graph.
Pour en savoir plus:
- Utiliser des connecteurs d’API pour personnaliser et étendre l’inscription en libre-service
- Gérer Azure AD B2C avec Microsoft Graph
Résoudre les problèmes d’acceptation d’invitation pour les utilisateurs de Microsoft Entra
Les utilisateurs invités d’un partenaire de collaboration peuvent avoir des difficultés à échanger une invitation. Consultez la liste suivante pour connaître les atténuations.
- Le domaine utilisateur n'est pas sur une liste d'autorisation
- Les restrictions de location du partenaire empêchent la collaboration externe.
- L’utilisateur n’est pas dans le client partenaire Microsoft Entra. Par exemple, les utilisateurs de contoso.com se trouvent dans Active Directory.
- Ils peuvent échanger des invitations avec le mot de passe à usage unique (OTP) par e-mail.
- Voir le processus d'acceptation des invitations de collaboration B2B Microsoft Entra
Accès des utilisateurs externes
En règle générale, il existe des ressources que vous pouvez partager avec des utilisateurs externes, et certaines ne peuvent pas. Vous pouvez contrôler l'accès des utilisateurs externes.
En savoir plus : Gérer l’accès externe avec la gestion des droits d’utilisation
Par défaut, les utilisateurs invités voient des informations et des attributs sur les membres du locataire et d’autres partenaires, y compris les appartenances aux groupes. Envisagez de limiter l’accès des utilisateurs externes à ces informations.
Nous vous recommandons les restrictions d’utilisateur invité suivantes :
- Limiter l’accès invité aux groupes de navigation et à d’autres propriétés dans le répertoire
- Utiliser des paramètres de collaboration externe pour restreindre les invités des groupes de lecture dont ils ne sont pas membres
- Bloquer l’accès aux applications réservées uniquement aux employés
- Créer une stratégie d’accès conditionnel pour bloquer l’accès aux applications intégrées Microsoft Entra pour les utilisateurs non invités
- Bloquer l’accès au portail Azure
- Vous pouvez effectuer des exceptions nécessaires
- Créez une stratégie d’accès conditionnel avec tous les utilisateurs invités et externes. Implémentez une stratégie pour bloquer l’accès.
En savoir plus : Accès conditionnel : Applications cloud, actions et contexte d’authentification
Supprimer les utilisateurs qui n’ont pas besoin d’accès
Établissez un processus de révision et de suppression des utilisateurs qui n’ont pas besoin d’accès. Incluez des utilisateurs externes dans votre locataire en tant qu’invités et des utilisateurs avec des comptes membres.
En savoir plus : Utiliser Microsoft Entra ID Governance pour passer en revue et supprimer des utilisateurs externes qui n’ont plus accès aux ressources
Certaines organisations ajoutent des utilisateurs externes en tant que membres (fournisseurs, partenaires et sous-traitants). Attribuez un attribut ou un nom d’utilisateur :
- Fournisseurs - v-alias@contoso.com
- Partenaires - p-alias@contoso.com
- Contractants - c-alias@contoso.com
Évaluez les utilisateurs externes avec des comptes de membres pour déterminer l’accès. Vous pouvez avoir des utilisateurs invités qui n’ont pas été invités par le biais de la gestion des droits d’utilisation ou de Microsoft Entra B2B.
Pour trouver ces utilisateurs :
- Utiliser Microsoft Entra ID Governance pour passer en revue et supprimer des utilisateurs externes qui n’ont plus accès aux ressources
- Utiliser un exemple de script PowerShell sur access-reviews-samples/ExternalIdentityUse/
Transition des utilisateurs externes actuels vers Microsoft Entra B2B
Si vous n’utilisez pas Microsoft Entra B2B, vous avez probablement des utilisateurs non-employés dans votre locataire. Nous vous recommandons de transférer ces comptes vers des comptes d’utilisateur externes Microsoft Entra B2B, puis de changer leur UserType en Invité. Utilisez l’ID Microsoft Entra et Microsoft 365 pour gérer les utilisateurs externes.
Inclure ou exclure :
- Utilisateurs invités dans les stratégies d’accès conditionnel
- Utilisateurs invités dans les paquets d'accès et examens d'accès
- Accès externe à Microsoft Teams, SharePoint et autres ressources
Vous pouvez transférer ces utilisateurs internes tout en conservant l’accès actuel, le nom d’utilisateur principal (UPN) et les appartenances aux groupes.
En savoir plus : Inviter des utilisateurs externes à la collaboration B2B
Désactiver les méthodes de collaboration
Pour effectuer la transition vers la collaboration régie, désactivez les méthodes de collaboration indésirables. La désaffectation est basée sur le niveau de contrôle à exercer sur la collaboration et la posture de sécurité. Voir, déterminer votre posture de sécurité pour l’accès externe.
Invitation à Microsoft Teams
Par défaut, Teams autorise l’accès externe. L’organisation peut communiquer avec des domaines externes. Pour restreindre ou autoriser des domaines pour Teams, utilisez le Centre d’administration Teams.
Partage via SharePoint et OneDrive
Le partage via SharePoint et OneDrive ajoute des utilisateurs non dans le processus de gestion des droits d’utilisation.
- Sécuriser l’accès externe à Microsoft Teams, SharePoint et OneDrive Entreprise
- Bloquer l’utilisation de OneDrive à partir d’Office
Documents électroniques et étiquettes de confidentialité
Les utilisateurs envoient des documents à des utilisateurs externes par e-mail. Vous pouvez utiliser des étiquettes de confidentialité pour restreindre et chiffrer l’accès aux documents.
Apprenez-en plus sur les étiquettes de sensibilité.
Outils de collaboration non approuvés
Certains utilisateurs utilisent probablement Google Docs, Dropbox, Slack ou Zoom. Vous pouvez bloquer l’utilisation de ces outils à partir d’un réseau d’entreprise, au niveau du pare-feu et avec la gestion des applications mobiles pour les appareils gérés par l’organisation. Toutefois, cette action bloque les instances approuvées et ne bloque pas l’accès à partir d’appareils non gérés. Bloquez les outils que vous ne souhaitez pas et créez des stratégies pour aucune utilisation non approuvée.
Pour plus d’informations sur la gouvernance des applications, consultez :
Étapes suivantes
Utilisez la série d’articles suivante pour découvrir la sécurisation de l’accès externe aux ressources. Nous vous recommandons de suivre l’ordre indiqué.
Déterminer votre posture de sécurité pour l’accès externe avec Microsoft Entra ID
Découvrir l’état actuel de la collaboration externe avec votre organisation
Créer un plan de sécurité pour l’accès externe aux ressources
Accès externe sécurisé avec des groupes dans Microsoft Entra ID et Microsoft 365
Transition vers la collaboration régie avec Microsoft Entra B2B Collaboration (vous êtes ici)
Gérer les accès externes avec la gestion des droits Microsoft Entra
Gérer l’accès externe à des ressources avec des stratégies d’accès conditionnel
Contrôler l'accès externe aux ressources dans Microsoft Entra ID avec des étiquettes de sensibilité
Accès externe sécurisé à Microsoft Teams, SharePoint et OneDrive Entreprise avec Microsoft Entra ID
Convertir les comptes invités locaux en comptes invités Microsoft Entra B2B