Concevoir une solution pour les identités externes

  • 13 minutes

Les organisations collaborent fréquemment avec des partenaires externes, des clients et d’autres parties qui n’ont pas de comptes dans l’annuaire de l’organisation. En tant qu’architecte de sécurité, vous concevez des solutions qui permettent un accès externe sécurisé tout en conservant la gouvernance et le contrôle des ressources organisationnelles. L’ID externe Microsoft Entra est la solution principale pour travailler avec des personnes extérieures à votre organisation.

Considérations relatives à la conception pour les identités externes

Votre conception d’identité externe dépend de plusieurs facteurs clés qui déterminent l’approche de solution appropriée :

Facteur Impact sur la conception
Type de relation Les partenaires et les fournisseurs ont généralement besoin d'une collaboration B2B dans votre espace de travail. Les applications grand public ont besoin d’un locataire externe distinct pour la gestion des identités et des accès des clients (CIAM).
Propriété de l’identité Les utilisateurs externes doivent apporter leurs propres identités dans la mesure du possible, ce qui réduit la surcharge administrative et élimine la gestion des mots de passe pour les comptes externes.
Configuration des locataires Les locataires de main-d’œuvre accueillent les employés et les invités B2B ensemble. Les locataires externes isolent les identités des clients séparément de vos ressources organisationnelles.
Mise à l’échelle et performances B2B Collaboration convient à des milliers de partenaires. Les locataires externes sont étendus pour atteindre des millions de clients avec des caractéristiques de performance améliorées.
Exigences en matière de marque B2B Collaboration utilise la marque Microsoft de votre organisation par défaut. Les locataires externes prennent en charge une personnalisation complète et une image de marque neutre pour chaque application.
Accès aux applications Les invités B2B peuvent accéder aux applications Microsoft 365 et d’entreprise. Les utilisateurs clients externes accèdent uniquement aux applications inscrites dans ce locataire, et non à Microsoft 365 ou à d’autres applications Microsoft SaaS.

ID externe Microsoft Entra

Microsoft Entra External ID combine des solutions puissantes pour travailler avec des personnes extérieures à votre organisation. Les utilisateurs peuvent apporter leurs propres identités, allant de comptes d’entreprise ou gouvernementaux à des fournisseurs d’identité sociale tels que Google ou Facebook.

L’ID externe traite deux scénarios principaux par le biais de configurations de locataire différentes :

Scénario Type de client Cas d’usage principal
Collaboration B2B Locataire de main-d’œuvre Partenaires, fournisseurs et sous-traitants accédant aux applications Microsoft 365 de votre organisation, SharePoint, Teams et applications métier de votre organisation
Identité du client (CIAM) Locataire externe Consommateurs et clients professionnels accédant à vos applications personnalisées avec des expériences de connexion personnalisées

Diagramme illustrant la représentation des deux scénarios d'identification externe et du type de locataire correspondant. La collaboration avec les invités professionnels utilise une configuration de locataire d'entreprise. Les applications à destination externe utilisent une configuration de locataire externe.

Collaboration B2B dans les locataires de main-d’œuvre

B2B Collaboration permet à votre personnel de travailler en toute sécurité avec des partenaires commerciaux externes. Vous invitez les invités à se connecter à votre organisation Microsoft Entra à l’aide de leurs propres informations d’identification, en leur accordant l’accès aux applications et aux ressources que vous choisissez de partager.

Avec B2B Collaboration, le partenaire utilise sa propre solution de gestion des identités. Vous ne gérez pas les comptes externes, les comptes de synchronisation ou gérez les réinitialisations de mot de passe. Les utilisateurs invités s’authentifient auprès de leur organisation ou fournisseur d’identité, tandis que votre organisation contrôle l’accès aux ressources via des stratégies. Cela signifie que les invités B2B sont soumis à vos stratégies d’accès conditionnel, exigences MFA, conditions d’utilisation et autres contrôles de sécurité, tout comme vos utilisateurs internes.

Diagramme montrant une représentation de B2B Collaboration.

Authentification pour la collaboration B2B

Lorsque vous invitez un utilisateur invité, il échange l’invitation à l’aide de ses informations d’identification existantes. Microsoft Entra ID crée un objet utilisateur dans votre répertoire représentant l’invité. Cet objet a un type d’utilisateur « invité » et un nom d’utilisateur principal contenant l’identificateur #EXT#.

Les utilisateurs invités peuvent s’authentifier à l’aide de :

  • ID Microsoft Entra de leur organisation d’origine
  • Comptes Microsoft (comptes personnels)
  • Code secret à usage unique par e-mail : activé par défaut pour tous les locataires comme méthode de secours
  • Fournisseurs d’identité sociale - Google, Facebook et autres que vous configurez
  • Fédération SAML/WS-Fed - Fédération directe avec des fournisseurs d’identité externes

Paramètres d’accès interlocataire

Les paramètres d’accès inter-locataires fournissent un contrôle granulaire sur la collaboration B2B avec d’autres organisations Microsoft Entra. Ces paramètres déterminent à la fois le niveau d’accès entrant que les utilisateurs externes ont à vos ressources et l’accès sortant dont vos utilisateurs ont besoin pour les organisations externes.

Les paramètres d’accès entrant contrôlent si les utilisateurs des organisations Microsoft Entra externes peuvent accéder aux ressources de votre organisation. Vous pouvez appliquer ces paramètres à tout le monde ou spécifier des utilisateurs, des groupes et des applications individuels.

Les paramètres d’accès sortant contrôlent si vos utilisateurs peuvent accéder aux ressources d’une organisation externe. Comme les paramètres entrants, vous pouvez les étendre à des utilisateurs, groupes et applications spécifiques.

Les paramètres d’approbation déterminent si vos stratégies d’accès conditionnel approuvent les revendications des organisations externes :

  • Revendications MFA : accepter l’authentification multifacteur achevée dans le locataire principal de l’utilisateur
  • Déclarations de conformité des appareils - Faire confiance à l'état de conformité des appareils des organisations partenaires
  • Réclamations pour appareils hybrides Microsoft Entra : accepter le statut de jointure hybride à partir de locataires externes

Lorsque les paramètres d’approbation sont activés, les utilisateurs qui répondent déjà à ces exigences dans leur locataire d'origine ne sont pas confrontés à des invites d’authentification redondantes. Cela crée une expérience de collaboration transparente tout en conservant la sécurité.

L’échange automatique supprime l’invite de consentement lorsque les deux organisations activent ce paramètre. Les utilisateurs ne reçoivent pas d’e-mails d’invitation ni d’invites de consentement. Ils accèdent simplement aux ressources après l’authentification auprès de leur organisation d’origine.

Connexion directe B2B

La connexion directe B2B crée des relations de confiance bilatérales avec d’autres organisations Microsoft Entra pour les canaux partagés Teams. Contrairement à B2B Collaboration, les utilisateurs de connexion directe B2B ne sont pas ajoutés en tant qu’invités à votre annuaire. Ils s’authentifient dans leur organisation d’origine et reçoivent un jeton de votre organisation pour l’accès.

Les deux organisations doivent activer mutuellement la connexion directe B2B via les paramètres d’accès interlocataire. Cette fonctionnalité permet :

  • Les propriétaires de canaux partagés peuvent rechercher et ajouter des utilisateurs à partir d’organisations externes
  • Les utilisateurs externes accèdent aux canaux partagés Teams sans changer d’organisation ni se connecter avec différents comptes
  • Les fichiers et les applications sont accessibles via l’onglet Fichiers du canal partagé

Identité du client dans les locataires externes

Lors de la création d’applications pour les consommateurs ou les clients professionnels, Microsoft Entra External ID dans un locataire externe fournit des fonctionnalités de gestion des identités et des accès client (CIAM). Cette configuration isole les identités des clients de votre annuaire de personnel.

Diagramme montrant une représentation de l'identifiant externe dans un locataire externe.

Caractéristiques du locataire externe

Un locataire externe est un locataire Microsoft Entra dédié configuré exclusivement pour les applications que vous publiez auprès des consommateurs ou des clients professionnels :

  • Répertoire isolé - Les comptes clients sont distincts des employés et des ressources internes
  • Personnalisation par défaut neutre - Aucune marque Microsoft par défaut ; apparence entièrement personnalisable
  • Optimisé pour la mise à l’échelle - Conçu pour gérer des centaines de milliers ou des millions d’utilisateurs
  • Accès axé sur les applications - Les utilisateurs accèdent uniquement aux applications inscrites dans le tenant externe

Fonctionnalités CIAM

Les locataires externes prennent en charge une gestion complète des identités client :

Les flux d’inscription en libre-service définissent les étapes d’inscription que les clients suivent et les méthodes de connexion qu’ils peuvent utiliser :

  • E-mail et mot de passe avec vérification de l’e-mail
  • Code secret à usage unique de l’e-mail (sans mot de passe)
  • Comptes sociaux de Google, Facebook ou Apple

Marque d'entreprise personnalise l’expérience de connexion avec votre propre identité :

  • Images et couleurs d’arrière-plan
  • Logos de l’entreprise
  • Texte personnalisé dans toutes vos applications

Les attributs utilisateur collectent des informations lors de l’inscription à l’aide d’attributs intégrés ou d’attributs personnalisés que vous définissez.

L’analytique fournit des données d’activité et d’engagement des utilisateurs pour prendre en charge les décisions stratégiques et la croissance de l’entreprise.

Méthodes d’authentification pour les clients

Les locataires externes prennent en charge l’authentification multifacteur via des stratégies d’accès conditionnel avec deux méthodes pour le second facteur :

  • Code secret à usage unique par e-mail : après la connexion avec e-mail et mot de passe, les utilisateurs reçoivent un code secret envoyé à leur e-mail
  • Authentification par SMS : les utilisateurs vérifient par SMS, disponibles pour les utilisateurs qui se connectent avec un e-mail, un code secret à usage unique ou des identités sociales

Identité décentralisée avec l’ID vérifié Microsoft Entra

Pour les scénarios nécessitant la vérification de l’identité de préservation de la confidentialité, l’ID vérifié Microsoft Entra permet aux utilisateurs de présenter des revendications vérifiables par chiffrement sans nécessiter de communication directe entre le vérificateur et l’émetteur.

Diagramme montrant le flux pour l’émission et la vérification d’un justificatif vérifiable.

Quand utiliser l’ID vérifié

Considérez l’identité décentralisée quand :

  • Vous devez vérifier les revendications sans stocker de données personnelles (vérification de l’âge, validation des informations d’identification)
  • La réduction de la responsabilité des données est importante : moins les données stockées signifient une réduction de l’impact sur les violations
  • Plusieurs organisations doivent approuver les mêmes informations d’identification sans partager de bases de données
  • Les utilisateurs doivent contrôler leurs données d’identité, en présentant uniquement ce qui est requis
  • La conformité réglementaire impose la minimisation des données

Fonctionnalités d’ID vérifiées

L’ID vérifié Microsoft Entra fournit :

  • Émission de justificatifs basée sur les normes de justificatifs vérifiables W3C
  • Vérification des informations d’identification pour les revendications présentées par les utilisateurs
  • Intégration à l’infrastructure Microsoft Entra ID existante
  • Prise en charge du portefeuille pour les applications mobiles qui stockent les informations d’identification de l’utilisateur

Régir l’accès externe avec Microsoft Entra ID Governance

Microsoft Entra ID Governance est une suite distincte de gouvernance des identités qui complète l’ID externe Microsoft Entra. Bien que l’ID externe gère l’authentification et la gestion des identités pour les utilisateurs externes, la gouvernance des ID fournit des fonctionnalités de gestion du cycle de vie et de contrôle d’accès pour les utilisateurs internes et externes.

Gestion des droits d’utilisation pour l’accès externe

La gestion des droits d’utilisation, une fonctionnalité de gouvernance des ID Microsoft Entra, automatise le cycle de vie des accès externes lorsque vous ne savez pas à l’avance quels utilisateurs externes ont besoin d’un accès. Il s’intègre à B2B Collaboration en approvisionnant automatiquement des comptes invités lorsque l’accès est approuvé.

Les fonctionnalités clés sont les suivantes :

  • Paquets d'accès qui regroupent des ressources (groupes, applications, sites SharePoint) avec des stratégies et des approbations
  • Le portail libre-service permet aux utilisateurs externes de demander l’accès sans intervention de l’administrateur
  • Les flux de travail d’approbation acheminent les demandes vers les propriétaires ou les gestionnaires d’entreprise appropriés
  • L’expiration automatique supprime l’accès après une période définie
  • Les révisions d’accès invitent les propriétaires de ressources à recertifier régulièrement l’accès invité

Lors de l’approbation, la gestion des droits d’utilisation crée des comptes invités via B2B Collaboration et affecte automatiquement des utilisateurs aux groupes, applications et sites SharePoint appropriés. Lorsque l’accès expire ou est révoqué, le compte invité peut être supprimé automatiquement.

Intégration de l’ID vérifié à la gestion des droits d’utilisation

La gestion des droits d’utilisation s’intègre à l’ID vérifié Microsoft Entra pour exiger la vérification des identités pendant les demandes d’accès. Les gestionnaires de package d’accès peuvent exiger que les demandeurs présentent des justificatifs vérifiables auprès d’émetteurs approuvés, tels que des certifications de formation, une autorisation professionnelle ou des licences professionnelles, avant d’accorder l’accès. Cette combinaison fournit une vérification de haute assurance pour les ressources sensibles sans stocker de données personnelles dans votre annuaire.

Contrôles de sécurité pour les identités externes

Appliquez ces contrôles, quelle que soit votre approche d’identité externe :

Contrôle Implementation
Accès conditionnel Créer des stratégies ciblant spécifiquement les utilisateurs invités ou les connexions client avec des restrictions appropriées
Conditions requises pour MFA Exigez l’authentification multifacteur pour les utilisateurs externes ou faites confiance à l’authentification MFA du locataire d’origine par le biais des paramètres d’accès inter-locataires pour les invités B2B.
Conditions d’utilisation Exiger l’acceptation des stratégies d’utilisation acceptable avant d’accéder aux ressources
Révisions d’accès Passez régulièrement en revue l’accès invité et supprimez les utilisateurs qui n’ont plus besoin d’accéder
Contrôles de session Limiter la durée de session pour les utilisateurs externes
Restrictions du locataire Contrôler les comptes externes auxquels les utilisateurs peuvent accéder à partir d’appareils gérés