Přehled: Přístup mezi tenanty pomocí Microsoft Entra Externí ID
Organizace Microsoft Entra můžou pomocí nastavení přístupu mezi tenanty externího ID spravovat způsob spolupráce s jinými organizacemi Microsoft Entra a dalšími cloudy Microsoft Azure prostřednictvím spolupráce B2B a přímého připojení B2B. Nastavení přístupu mezi tenanty umožňují podrobnou kontrolu nad tím, jak s vámi externí organizace Microsoft Entra spolupracují (příchozí přístup) a jak vaši uživatelé spolupracují s externími organizacemi Microsoft Entra (odchozí přístup). Tato nastavení také umožňují důvěřovat vícefaktorovým ověřováním (MFA) a deklaracím zařízení (kompatibilní deklarace identity a deklarace identity hybridního připojení Microsoft Entra) z jiných organizací Microsoft Entra.
Tento článek popisuje nastavení přístupu mezi tenanty, která slouží ke správě spolupráce B2B a přímého propojení B2B s externími organizacemi Microsoft Entra, včetně cloudů Microsoftu. Další nastavení jsou k dispozici pro spolupráci B2B s identitami mimo Microsoft Entra (například sociální identity nebo externí účty nespravované it). Tato nastavení externí spolupráce zahrnují možnosti omezení přístupu uživatelů typu host, určení, kdo může pozvat hosty a povolit nebo blokovat domény.
Důležité
Microsoft začal přesouvat zákazníky pomocí nastavení přístupu mezi tenanty na nový model úložiště 30. srpna 2023. Můžete si všimnout položky v protokolech auditu, které vás informují o tom, že vaše nastavení přístupu mezi tenanty se aktualizovalo, protože naše automatizovaná úloha migruje vaše nastavení. V případě krátkého okna během procesu migrace nebudete moct provádět změny nastavení. Pokud nemůžete provést změnu, chvíli počkejte a zkuste změnu zopakovat. Po dokončení migrace už nebudete omezeni 25 kB prostoru úložiště a počet partnerů, které můžete přidat, už nebudete mít žádné další limity.
Správa externího přístupu s příchozím a odchozím nastavením
Nastavení přístupu mezi tenanty externí identity spravují způsob spolupráce s jinými organizacemi Microsoft Entra. Tato nastavení určují úroveň příchozího přístupu uživatelů v externích organizacích Microsoft Entra, které mají vaše prostředky, a úroveň odchozího přístupu, která uživatelé mají k externím organizacím.
Následující diagram znázorňuje příchozí a odchozí nastavení přístupu mezi tenanty. Tenant Microsoft Entra prostředku je tenant obsahující prostředky, které se mají sdílet. V případě spolupráce B2B je tenantem prostředku pozvaný tenant (například firemní tenant, do kterého chcete pozvat externí uživatele). Domovský tenant Microsoft Entra uživatele je tenant , ve kterém jsou externí uživatelé spravováni.
Ve výchozím nastavení je povolená spolupráce B2B s jinými organizacemi Microsoft Entra a přímé připojení B2B je blokované. Následující komplexní nastavení správy vám ale umožní spravovat obě tyto funkce.
Nastavení odchozího přístupu řídí, jestli mají uživatelé přístup k prostředkům v externí organizaci. Tato nastavení můžete použít pro všechny uživatele, skupiny a aplikace.
Nastavení příchozího přístupu řídí, jestli uživatelé z externích organizací Microsoft Entra mají přístup k prostředkům ve vaší organizaci. Tato nastavení můžete použít pro všechny uživatele, skupiny a aplikace.
Nastavení důvěryhodnosti (příchozí) určují, jestli zásady podmíněného přístupu budou důvěřovat vícefaktorovým ověřováním (MFA), vyhovujícím zařízením a deklaracem identity zařízení připojených k Hybridnímu připojení Microsoft Entra z externí organizace, pokud jejich uživatelé už tyto požadavky splnili ve svých domácích tenantech. Když například nakonfigurujete nastavení důvěryhodnosti tak, aby vícefaktorové ověřování důvěřovala vícefaktorovým ověřováním, zásady MFA se stále použijí pro externí uživatele, ale uživatelé, kteří už ve svém domovském tenantovi dokončili vícefaktorové ověřování, už v tenantovi nebudou muset vícefaktorové ověřování dokončit.
Výchozí nastavení
Výchozí nastavení přístupu mezi tenanty platí pro všechny organizace Microsoft Entra, které jsou pro vašeho tenanta externí, s výjimkou těch, pro které jste nakonfigurovali nastavení organizace. Výchozí nastavení můžete změnit, ale počáteční výchozí nastavení pro spolupráci B2B a přímé připojení B2B jsou následující:
Spolupráce B2B: Ve výchozím nastavení mají všichni interní uživatelé povolenou spolupráci B2B. Toto nastavení znamená, že vaši uživatelé můžou pozvat externí hosty, aby měli přístup k vašim prostředkům, a jako hosty je můžou pozvat do externích organizací. Vícefaktorové ověřování a deklarace identity zařízení od jiných organizací Microsoft Entra nejsou důvěryhodné.
Přímé připojení B2B: Ve výchozím nastavení nejsou vytvořeny žádné vztahy důvěryhodnosti přímého připojení B2B. Microsoft Entra ID blokuje všechny možnosti přímého a odchozího připojení B2B pro všechny externí tenanty Microsoft Entra.
Nastavení organizace: Do nastavení organizace se ve výchozím nastavení nepřidávají žádné organizace. To znamená, že všechny externí organizace Microsoft Entra mají povolenou spolupráci B2B s vaší organizací.
Synchronizace mezi tenanty: Do tenanta se nesynchronizují žádní uživatelé z jiných tenantů pomocí synchronizace mezi tenanty.
Výše popsané chování platí pro spolupráci B2B s jinými tenanty Microsoft Entra ve stejném cloudu Microsoft Azure. Ve scénářích mezi cloudy fungují výchozí nastavení trochu jinak. Podívejte se na nastavení cloudu Microsoftu dále v tomto článku.
Nastavení organizace
Nastavení pro konkrétní organizaci můžete nakonfigurovat přidáním organizace a úpravou nastavení příchozích a odchozích přenosů pro danou organizaci. Nastavení organizace má přednost před výchozím nastavením.
Spolupráce B2B: Pro spolupráci B2B s jinými organizacemi Microsoft Entra použijte nastavení přístupu mezi tenanty ke správě příchozí a odchozí spolupráce B2B a rozsahu přístupu konkrétním uživatelům, skupinám a aplikacím. Můžete nastavit výchozí konfiguraci, která se vztahuje na všechny externí organizace, a podle potřeby vytvořit individuální nastavení specifická pro organizaci. Pomocí nastavení přístupu mezi tenanty můžete také důvěřovat vícefaktorovým ověřováním (MFA) a deklaracím zařízení (kompatibilní deklarace identity a deklarace identity hybridního připojení Microsoft Entra) z jiných organizací Microsoft Entra.
Přímé připojení B2B: Pro přímé připojení B2B použijte nastavení organizace k nastavení vzájemného vztahu důvěryhodnosti s jinou organizací Microsoft Entra. Vaše organizace i externí organizace musí vzájemně povolit přímé připojení B2B konfigurací příchozího a odchozího nastavení přístupu mezi tenanty.
Pomocí nastavení externí spolupráce můžete omezit, kdo může pozvat externí uživatele, povolit nebo blokovat konkrétní domény B2B a nastavit omezení přístupu uživatelů typu host do vašeho adresáře.
Nastavení automatického uplatnění
Nastavení automatického uplatnění je příchozí a odchozí nastavení důvěryhodnosti organizace, které automaticky uplatní pozvánky, aby uživatelé nemuseli při prvním přístupu k prostředku nebo cílovému tenantovi přijmout výzvu k vyjádření souhlasu. Toto nastavení je zaškrtávací políčko s následujícím názvem:
- Automatické uplatnění pozvánek u tenanta tenanta<>
Porovnání nastavení pro různé scénáře
Nastavení automatického uplatnění se vztahuje na synchronizaci mezi tenanty, spolupráci B2B a přímé připojení B2B v následujících situacích:
- Když se uživatelé vytvoří v cílovém tenantovi pomocí synchronizace mezi tenanty.
- Když se uživatelé přidají do tenanta prostředků pomocí spolupráce B2B.
- Když uživatelé přistupují k prostředkům v tenantovi prostředků pomocí přímého připojení B2B.
Následující tabulka ukazuje, jak se toto nastavení porovnává, když je povoleno pro tyto scénáře:
| Položka | Synchronizace mezi tenanty | Spolupráce B2B | Přímé připojení B2B |
|---|---|---|---|
| Nastavení automatického uplatnění | Požadováno | Volitelné | Volitelné |
| Uživatelé dostanou e-mail s pozvánkou na spolupráci B2B. | No | No | – |
| Uživatelé musí přijmout výzvu k vyjádření souhlasu . | No | No | Ne |
| Uživatelům přijde e-mail s oznámením o spolupráci B2B. | No | Ano | – |
Toto nastavení nemá vliv na prostředí souhlasu aplikace. Další informace naleznete v tématu Prostředí souhlasu pro aplikace v Microsoft Entra ID. Toto nastavení není podporováno pro organizace v různých cloudových prostředích Microsoftu, jako jsou komerční prostředí Azure a Azure Government.
Kdy se potlačí výzva k vyjádření souhlasu?
Nastavení automatického uplatnění potlačí výzvu k vyjádření souhlasu a e-mail s pozvánkou jenom v případě, že toto nastavení zkontroluje domácí/zdrojový tenant (odchozí) i cílový tenant (příchozí).
Následující tabulka ukazuje chování výzvy k vyjádření souhlasu pro uživatele zdrojového tenanta, když je zaškrtnuté nastavení automatického uplatnění pro různé kombinace nastavení přístupu mezi tenanty.
| Home/source tenant | Tenant prostředku nebo cíle | Chování výzvy k vyjádření souhlasu pro uživatele zdrojového tenanta |
|---|---|---|
| Odchozí | Příchozí | |
 |
|
Potlačena |
|
 |
Nepotlačeno |
|
|
Nepotlačeno |
|
|
Nepotlačeno |
| Příchozí | Odchozí | |
|
|
Nepotlačeno |
|
|
Nepotlačeno |
|
|
Nepotlačeno |
|
|
Nepotlačeno |
Pokud chcete toto nastavení nakonfigurovat pomocí Microsoft Graphu, podívejte se na rozhraní API Update crossTenantAccessPolicyConfigurationPartner . Informace o vytváření vlastního prostředí pro onboarding najdete v tématu Správce pozvánek na spolupráci B2B.
Další informace najdete v tématu Konfigurace synchronizace mezi tenanty, Konfigurace nastavení přístupu mezi tenanty pro spolupráci B2B a Konfigurace nastavení přístupu mezi tenanty pro přímé připojení B2B.
Konfigurovatelné uplatnění
S konfigurovatelným uplatněním můžete přizpůsobit pořadí zprostředkovatelů identity, se kterými se uživatelé typu host můžou při přijetí pozvánky přihlásit. Tuto funkci můžete povolit a zadat objednávku uplatnění na kartě Uplatnění objednávky .
Když uživatel typu host vybere odkaz Přijmout pozvánku v e-mailu s pozvánkou, Microsoft Entra ID automaticky uplatní pozvánku na základě výchozí objednávky uplatnění. Když změníte pořadí zprostředkovatele identity na nové kartě Pořadí uplatnění, přepíše nová objednávka výchozí pořadí uplatnění.
Primární zprostředkovatele identity i náhradní zprostředkovatele identity najdete na kartě Pořadí uplatnění.
Primární zprostředkovatelé identit jsou ti, kteří mají federace s jinými zdroji ověřování. Náhradní zprostředkovatelé identit jsou ty, které se používají, když uživatel neodpovídá zprostředkovateli primární identity.
Náhradními zprostředkovateli identity můžou být účet Microsoft (MSA), jednorázové heslo e-mailu nebo obojí. Nemůžete zakázat oba zprostředkovatele náhradní identity, ale můžete zakázat všechny primární zprostředkovatele identity a použít pouze náhradní zprostředkovatele identity pro možnosti uplatnění.
Níže jsou známá omezení funkce:
Pokud uživatel Microsoft Entra ID, který má existující relaci jednotného přihlašování (SSO), ověřuje pomocí jednorázového hesla e-mailu (OTP), bude muset zvolit Použít jiný účet a znovu zadat své uživatelské jméno, aby aktivoval tok jednorázovým heslem. Jinak se uživateli zobrazí chyba oznamující, že jeho účet v tenantovi prostředků neexistuje.
Pokud uživatelé typu host můžou k uplatnění pozvánky použít jenom jedno heslo e-mailu, budou v současné době blokovaní v používání SharePointu. To je specifické pro uživatele Microsoft Entra ID uplatněné prostřednictvím jednorázového hesla. Všichni ostatní uživatelé nejsou ovlivněni.
Ve scénářích, kdy má uživatel v účtech Microsoft Entra ID i Microsoft stejný e-mail, i když správce účet Microsoft zakázal jako metodu uplatnění, zobrazí se uživateli výzva, aby si vybral mezi použitím svého ID Microsoft Entra nebo účtu Microsoft. Pokud zvolí účet Microsoft, bude povolen jako možnost uplatnění, i když je zakázaná.
Přímá federace pro ověřené domény Microsoft Entra ID
Federace zprostředkovatele identity SAML/WS-Fed (přímá federace) je teď podporovaná pro ověřené domény Microsoft Entra ID. Tato funkce umožňuje nastavit přímou federaci s externím zprostředkovatelem identity pro doménu ověřenou v Microsoft Entra.
Poznámka:
Ujistěte se, že doména není ověřená ve stejném tenantovi, ve kterém se pokoušíte nastavit konfiguraci přímé federace. Jakmile nastavíte přímou federaci, můžete nakonfigurovat předvolbu uplatnění tenanta a přesunout zprostředkovatele identity SAML/WS-Fed přes ID Microsoft Entra prostřednictvím nového konfigurovatelného nastavení přístupu mezi tenanty.
Když uživatel typu host pozvánku uplatní, zobrazí se tradiční obrazovka souhlasu a pak se přesměruje na Moje aplikace stránku. Pokud přejdete do profilu uživatele tohoto přímého federačního uživatele v tenantovi prostředků, všimnete si, že uživatel je teď uplatněný s externí federací, která je vystavitelem.
Zabránit uživatelům B2B v uplatnění pozvánky pomocí účtů Microsoft
Teď můžete uživatelům typu host B2B zabránit v uplatnění pozvánky pomocí účtů Microsoft. To znamená, že každý nový uživatel typu host B2B použije jako záložního zprostředkovatele identity e-mail jednorázově a nebude moct uplatnit pozvánku pomocí stávajících účtů Microsoft nebo bude požádán o vytvoření nového účtu Microsoft. Můžete to udělat tak, že zakážete účty Microsoft ve zprostředkovatelů náhradní identity nastavení vaší objednávky uplatnění.
Mějte na paměti, že v každém okamžiku musí být povolený jeden záložní zprostředkovatel identity. To znamená, že pokud chcete zakázat účty Microsoft, budete muset povolit jednorázové heslo e-mailu. Všichni stávající uživatelé typu host, kteří se přihlásili pomocí účtů Microsoft, ho budou dál používat při dalších přihlášeních. Abyste mohli toto nastavení použít, budete muset resetovat jejich stav uplatnění.
Nastavení synchronizace mezi tenanty
Nastavení synchronizace mezi tenanty je příchozí nastavení organizace, které správci zdrojového tenanta umožní synchronizovat uživatele s cílovým tenantem. Toto nastavení je zaškrtávací políčko s názvem Povolit uživatelům synchronizaci s tímto tenantem , který je zadaný v cílovém tenantovi. Toto nastavení nemá vliv na pozvánky B2B vytvořené prostřednictvím jiných procesů, jako je ruční pozvání nebo správa nároků Microsoft Entra.
Pokud chcete toto nastavení nakonfigurovat pomocí Microsoft Graphu , přečtěte si téma Aktualizace rozhraní API crossTenantIdentitySyncPolicyPartner . Další informace najdete v tématu Konfigurace synchronizace mezi tenanty.
Omezení tenanta
Pomocí nastavení Omezení tenanta můžete řídit typy externích účtů, které můžou uživatelé používat na spravovaných zařízeních, včetně těchto:
- Účty, které uživatelé vytvořili v neznámých tenantech.
- Účty, které externí organizace poskytly vašim uživatelům, aby měli přístup k prostředkům organizace.
Doporučujeme nakonfigurovat omezení tenanta tak, aby nepovolovala tyto typy externích účtů a místo toho používala spolupráci B2B. Spolupráce B2B umožňuje:
- Použijte podmíněný přístup a vynuťte vícefaktorové ověřování pro uživatele spolupráce B2B.
- Správa příchozího a odchozího přístupu
- Ukončete relace a přihlašovací údaje, když se změní stav zaměstnání uživatele spolupráce B2B nebo dojde k porušení jejich přihlašovacích údajů.
- Protokoly přihlašování slouží k zobrazení podrobností o uživateli spolupráce B2B.
Omezení tenanta jsou nezávislá na jiných nastaveních přístupu mezi tenanty, takže žádná příchozí, odchozí nebo důvěryhodná nastavení, která jste nakonfigurovali, nebudou mít vliv na omezení tenanta. Podrobnosti o konfiguraci omezení tenanta najdete v tématu Nastavení omezení tenanta V2.
Nastavení cloudu Microsoftu
Nastavení cloudu Microsoftu vám umožní spolupracovat s organizacemi z různých cloudů Microsoft Azure. Pomocí nastavení cloudu Microsoftu můžete vytvořit vzájemnou spolupráci B2B mezi následujícími cloudy:
- Komerční cloud Microsoft Azure a Microsoft Azure Government
- Komerční cloud Microsoft Azure a Microsoft Azure provozovaný společností 21Vianet (provozovaný společností 21Vianet)
Poznámka:
Microsoft Azure Government zahrnuje cloudy Office GCC-High a DoD.
Pokud chcete nastavit spolupráci B2B, obě organizace nakonfigurují nastavení cloudu Microsoftu tak, aby umožňovaly cloud partnera. Každá organizace pak pomocí ID tenanta partnera najde a přidá partnera do nastavení organizace. Odsud může každá organizace povolit výchozí nastavení přístupu mezi tenanty pro partnera nebo může nakonfigurovat příchozí a odchozí nastavení pro konkrétního partnera. Po navázání spolupráce B2B s partnerem v jiném cloudu budete moct:
- Pomocí spolupráce B2B můžete pozvat uživatele v partnerském tenantovi, aby měli přístup k prostředkům ve vaší organizaci, včetně webových obchodních aplikací, aplikací SaaS a webů SharePointu Online, dokumentů a souborů.
- Pomocí spolupráce B2B můžete sdílet obsah Power BI s uživatelem v partnerském tenantovi.
- Použijte zásady podmíněného přístupu pro uživatele spolupráce B2B a vyžádejte si důvěryhodnost vícefaktorového ověřování nebo deklarací identity zařízení (vyhovující deklarace identity a deklarace identity hybridního připojení Microsoft Entra) z domovského tenanta uživatele.
Poznámka:
Přímé připojení B2B není podporováno pro spolupráci s tenanty Microsoft Entra v jiném cloudu Microsoftu.
Postup konfigurace najdete v tématu Konfigurace nastavení cloudu Microsoftu pro spolupráci B2B.
Výchozí nastavení ve scénářích napříč cloudy
Aby bylo možné spolupracovat s partnerským tenantem v jiném cloudu Microsoft Azure, musí obě organizace vzájemně spolupracovat na B2B. Prvním krokem je povolení cloudu partnera v nastaveních mezi tenanty. Při prvním povolení jiného cloudu se spolupráce B2B zablokuje pro všechny tenanty v daném cloudu. Musíte přidat tenanta, se kterým chcete spolupracovat, do nastavení organizace a v tomto okamžiku se výchozí nastavení projeví jenom pro tohoto tenanta. Můžete povolit, aby výchozí nastavení zůstalo v platnosti, nebo můžete upravit nastavení organizace pro tenanta.
Důležitá poznámka
Důležité
Změna výchozího nastavení příchozích nebo odchozích přenosů tak, aby blokovala přístup, může blokovat stávající přístup k aplikacím v organizaci nebo partnerských organizacích, které jsou pro důležité obchodní informace. Nezapomeňte použít nástroje popsané v tomto článku a poradit se se zúčastněnými stranami vaší firmy a identifikovat požadovaný přístup.
Pokud chcete nakonfigurovat nastavení přístupu mezi tenanty na webu Azure Portal, budete potřebovat účet s globálním Správa istratorem, Správa istratorem zabezpečení nebo vlastní rolí, kterou jste definovali.
Pokud chcete nakonfigurovat nastavení důvěryhodnosti nebo použít nastavení přístupu pro konkrétní uživatele, skupiny nebo aplikace, budete potřebovat licenci Microsoft Entra ID P1. Licence se vyžaduje v tenantovi, kterého konfigurujete. Pro přímé propojení B2B, kde je vyžadován vztah vzájemné důvěry s jinou organizací Microsoft Entra, budete potřebovat licenci Microsoft Entra ID P1 v obou tenantech.
Nastavení přístupu mezi tenanty slouží ke správě spolupráce B2B a přímého propojení B2B s jinými organizacemi Microsoft Entra. Pro spolupráci B2B s identitami jiných společností než Microsoft Entra (například sociální identity nebo externími účty spravovanými mimo IT) použijte nastavení externí spolupráce. Nastavení externí spolupráce zahrnuje možnosti spolupráce B2B pro omezení přístupu uživatelů typu host, určení, kdo může pozvat hosty a povolit nebo blokovat domény.
Pokud chcete nastavení přístupu použít pro konkrétní uživatele, skupiny nebo aplikace v externí organizaci, budete muset před konfigurací nastavení kontaktovat organizaci. Získejte ID uživatelských objektů, ID objektů skupiny nebo ID aplikací (ID klientských aplikací nebo ID aplikací prostředků), abyste mohli správně cílit na nastavení.
Tip
Id aplikací pro aplikace můžete najít v externích organizacích kontrolou protokolů přihlašování. Viz část Identifikace příchozích a odchozích přihlášení.
Nastavení přístupu, které nakonfigurujete pro uživatele a skupiny, musí odpovídat nastavení přístupu pro aplikace. Konfliktní nastavení nejsou povolená a pokud se je pokusíte nakonfigurovat, zobrazí se upozornění.
Příklad 1: Pokud zablokujete příchozí přístup pro všechny externí uživatele a skupiny, musí být také zablokován přístup ke všem aplikacím.
Příklad 2: Pokud povolíte odchozí přístup všem uživatelům (nebo konkrétním uživatelům nebo skupinám), nebudete moct blokovat veškerý přístup k externím aplikacím. Přístup k alespoň jedné aplikaci musí být povolený.
Pokud chcete povolit přímé připojení B2B s externí organizací a zásady podmíněného přístupu vyžadují vícefaktorové ověřování, musíte nakonfigurovat nastavení důvěryhodnosti tak, aby zásady podmíněného přístupu přijímaly deklarace vícefaktorového ověřování z externí organizace.
Pokud ve výchozím nastavení zablokujete přístup ke všem aplikacím, uživatelé nebudou moct číst e-maily zašifrované službou Microsoft Rights Management Service (označované také jako Šifrování zpráv Office 365 nebo OME). Pokud se chcete tomuto problému vyhnout, doporučujeme nakonfigurovat nastavení odchozích přenosů tak, aby uživatelé měli přístup k tomuto ID aplikace: 000000012-0000-0000-c000-00000000000000. Pokud je to jediná aplikace, kterou povolíte, přístup ke všem ostatním aplikacím se ve výchozím nastavení zablokuje.
Vlastní role pro správu nastavení přístupu mezi tenanty
Nastavení přístupu mezi tenanty je možné spravovat pomocí vlastních rolí definovaných vaší organizací. Díky tomu můžete definovat vlastní jemně vymezené role pro správu nastavení přístupu mezi tenanty místo použití jedné z předdefinovaných rolí pro správu. Vaše organizace může definovat vlastní role pro správu nastavení přístupu mezi tenanty. Díky tomu můžete vytvářet vlastní jemně vymezené role pro správu nastavení přístupu mezi tenanty místo použití předdefinovaných rolí pro správu.
Doporučené vlastní role
Správce přístupu mezi tenanty
Tato role může spravovat všechno v nastavení přístupu mezi tenanty, včetně výchozích a organizačních nastavení. Tato role by měla být přiřazena uživatelům, kteří potřebují spravovat všechna nastavení v nastavení přístupu mezi tenanty.
Níže najdete seznam doporučených akcí pro tuto roli.
| Akce |
|---|
| microsoft.directory.tenantRelationships/standard/read |
| microsoft.directory/crossTenantAccessPolicy/standard/read |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update |
| microsoft.directory/crossTenantAccessPolicy/basic/update |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirect Připojení/update |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect Připojení/update |
| microsoft.directory/crossTenantAccessPolicy/partners/create |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update |
| microsoft.directory/crossTenantAccessPolicy/partners/delete |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update |
Čtenář přístupu mezi tenanty
Tato role může číst všechno v nastavení přístupu mezi tenanty, včetně výchozích a organizačních nastavení. Tato role by měla být přiřazena uživatelům, kteří potřebují jenom zkontrolovat nastavení v nastavení přístupu mezi tenanty, ale ne spravovat je.
Níže najdete seznam doporučených akcí pro tuto roli.
| Akce |
|---|
| microsoft.directory.tenantRelationships/standard/read |
| microsoft.directory/crossTenantAccessPolicy/standard/read |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
Správce partnera pro přístup mezi tenanty
Tato role může spravovat všechno, co souvisí s partnery, a číst výchozí nastavení. Tato role by měla být přiřazena uživatelům, kteří potřebují spravovat nastavení založená na organizaci, ale nemůžou měnit výchozí nastavení.
Níže najdete seznam doporučených akcí pro tuto roli.
| Akce |
|---|
| microsoft.directory.tenantRelationships/standard/read |
| microsoft.directory/crossTenantAccessPolicy/standard/read |
| microsoft.directory/crossTenantAccessPolicy/basic/update |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect Připojení/update |
| microsoft.directory/crossTenantAccessPolicy/partners/create |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update |
| microsoft.directory/crossTenantAccessPolicy/partners/delete |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update |
Ochrana akcí správy přístupu mezi tenanty
Všechny akce, které upravují nastavení přístupu mezi tenanty, se považují za chráněné akce a dají se navíc chránit pomocí zásad podmíněného přístupu. Další informace a kroky konfigurace najdete v tématu Chráněné akce.
Identifikace příchozích a odchozích přihlášení
K dispozici je několik nástrojů, které vám pomůžou identifikovat přístup uživatelů a partnerů, než nastavíte nastavení příchozího a odchozího přístupu. Abyste měli jistotu, že neodeberete přístup, který vaši uživatelé a partneři potřebují, měli byste zkontrolovat aktuální chování přihlašování. Provedením tohoto předběžného kroku zabráníte ztrátě požadovaného přístupu pro koncové uživatele a uživatele partnera. V některých případech se ale tyto protokoly uchovávají jenom po dobu 30 dnů, proto důrazně doporučujeme, abyste se svými obchodními účastníky mluvili, abyste se ujistili, že se požadovaný přístup neztratí.
Skript PowerShellu pro přihlášení mezi tenanty
Pokud chcete zkontrolovat přihlašovací aktivitu uživatele přidruženou k externím organizacím, použijte skript PowerShellu pro přihlášení uživatele mezi tenanty. Pokud například chcete zobrazit všechny dostupné události přihlášení pro příchozí aktivitu (externí uživatelé přistupující k prostředkům v místním tenantovi) a odchozí aktivitu (místní uživatelé přistupující k prostředkům v externí organizaci), spusťte následující příkaz:
Get-MSIDCrossTenantAccessActivity -SummaryStats -ResolveTenantId
Výstupem je souhrn všech dostupných událostí přihlášení pro příchozí a odchozí aktivitu uvedenou podle ID externí organizace a názvu externí organizace.
Protokoly přihlášení – skript PowerShellu
Pokud chcete určit přístup uživatelů k externím organizacím Microsoft Entra, použijte rutinu Get-MgAuditLogSignIn v sadě Microsoft Graph PowerShell SDK k zobrazení dat z protokolů přihlašování za posledních 30 dnů. Spusťte například následující příkaz:
#Initial connection
Connect-MgGraph -Scopes "AuditLog.Read.All"
Select-MgProfile -Name "beta"
#Get external access
$TenantId = "<replace-with-your-tenant-ID>"
Get-MgAuditLogSignIn -Filter "ResourceTenantId ne '$TenantID'" -All:$True |
Group-Object ResourceTenantId,AppDisplayName,UserPrincipalName |
Select-Object count,@{n='Ext TenantID/App User Pair';e={$_.name}}
Výstup je seznam odchozích přihlášení iniciovaných uživateli do aplikací v externích organizacích.
Azure Monitor
Pokud se vaše organizace přihlásí k odběru služby Azure Monitor, použijte sešit aktivit přístupu mezi tenanty (dostupný v galerii monitorovacích sešitů na webu Azure Portal) k vizuálnímu prozkoumání příchozích a odchozích přihlášení po delší časové období.
Systémy siEM (Security Information and Event Management)
Pokud vaše organizace exportuje protokoly přihlášení do systému SIEM (Security Information and Event Management), můžete z systému SIEM načíst požadované informace.
Identifikace změn nastavení přístupu mezi tenanty
Protokoly auditu Microsoft Entra zaznamenávají všechny aktivity související s nastavením přístupu mezi tenanty a aktivitou. Pokud chcete auditovat změny nastavení přístupu mezi tenanty, použijte kategorii CrossTenantAccess Nastavení k filtrování všech aktivit a zobrazení změn nastavení přístupu mezi tenanty.
Další kroky
Konfigurace nastavení přístupu mezi tenanty pro spolupráciB2B Konfigurace nastavení přístupu mezi tenanty pro přímé připojení B2B