Konfigurace nastavení přístupu mezi tenanty pro přímé připojení B2B

Pomocí nastavení přístupu mezi tenanty můžete spravovat způsob spolupráce s dalšími Azure AD organizacemi prostřednictvím přímého připojení B2B. Tato nastavení umožňují určit úroveň odchozího přístupu, kterou uživatelé mají k externím organizacím. Umožňují také řídit úroveň příchozího přístupu, kterou uživatelé v externích Azure AD organizacích budou mít k vašim interním prostředkům.

  • Výchozí nastavení: Výchozí nastavení přístupu mezi tenanty platí pro všechny externí Azure AD organizace s výjimkou organizací, pro které jste nakonfigurovali jednotlivá nastavení. Tato výchozí nastavení můžete změnit. U přímého připojení B2B obvykle ponecháte výchozí nastavení tak, jak je, a povolíte přímý přístup B2B s nastavením pro konkrétní organizaci. Výchozí hodnoty jsou zpočátku následující:

    • Počáteční výchozí nastavení přímého připojení B2B – Ve výchozím nastavení je odchozí přímé připojení B2B zablokované pro celého tenanta a příchozí přímé připojení B2B se zablokuje pro všechny externí Azure AD organizace.
    • Nastavení organizace – Ve výchozím nastavení nejsou přidány žádné organizace.
  • Nastavení specifické pro organizaci: Nastavení pro konkrétní organizaci můžete nakonfigurovat přidáním organizace a úpravou příchozího a odchozího nastavení pro danou organizaci. Nastavení organizace má přednost před výchozím nastavením.

Přečtěte si další informace o použití nastavení přístupu mezi tenanty ke správě přímého připojení B2B.

Než začnete

  • Než nakonfigurujete nastavení přístupu mezi tenanty, projděte si část Důležité aspekty v přehledu přístupu mezi tenanty .
  • Rozhodněte se o výchozí úrovni přístupu, kterou chcete použít pro všechny externí Azure AD organizace.
  • Identifikujte všechny organizace Azure AD, které budou potřebovat přizpůsobená nastavení.
  • Obraťte se na organizace, se kterými chcete nastavit přímé připojení B2B. Vzhledem k tomu, že přímé připojení B2B je vytvořeno prostřednictvím vzájemné důvěry, musíte vy i druhá organizace povolit přímé propojení B2B s ostatními v nastavení přístupu mezi tenanty.
  • Získejte všechny požadované informace od externích organizací. Pokud chcete použít nastavení přístupu pro konkrétní uživatele, skupiny nebo aplikace v rámci externí organizace, budete muset před konfigurací nastavení přístupu získat tato ID z organizace.
  • Ke konfiguraci nastavení přístupu mezi tenanty v Azure Portal budete potřebovat účet s rolí Globální správce nebo správce zabezpečení. Správci Teams můžou číst nastavení přístupu mezi tenanty, ale nemůžou tato nastavení aktualizovat.

Konfigurace výchozího nastavení

Výchozí nastavení přístupu mezi tenanty platí pro všechny externí tenanty, pro které jste nevytvořili přizpůsobená nastavení specifická pro organizaci. Pokud chcete upravit výchozí nastavení Azure AD, postupujte takto.

  1. Přihlaste se k Azure Portal pomocí účtu Globální správce nebo správce zabezpečení. Pak otevřete službu Azure Active Directory .

  2. Vyberte externí identity a pak vyberte nastavení přístupu mezi tenanty.

  3. Vyberte kartu Výchozí nastavení a zkontrolujte stránku souhrnu.

    Snímek obrazovky znázorňující kartu Výchozí nastavení přístupu mezi tenanty

  4. Pokud chcete změnit nastavení, vyberte odkaz Upravit výchozí hodnoty příchozích přenosů nebo odkaz Upravit výchozí nastavení odchozích přenosů .

    Snímek obrazovky s tlačítky pro úpravy pro výchozí nastavení

  5. Upravte výchozí nastavení podle podrobných kroků v těchto částech:

Přidání organizace

Podle těchto kroků nakonfigurujte přizpůsobená nastavení pro konkrétní organizace.

  1. Přihlaste se k Azure Portal pomocí účtu Globální správce nebo správce zabezpečení. Pak otevřete službu Azure Active Directory .

  2. Vyberte externí identity a pak vyberte nastavení přístupu mezi tenanty.

  3. Vyberte nastavení organizace.

  4. Vyberte Přidat organizaci.

  5. V podokně Přidat organizaci zadejte úplný název domény (nebo ID tenanta) organizace.

    Snímek obrazovky znázorňující přidání organizace

  6. Ve výsledcích hledání vyberte organizaci a pak vyberte Přidat.

  7. Organizace se zobrazí v seznamu nastavení organizace . V tomto okamžiku se všechna nastavení přístupu pro tuto organizaci dědí z výchozího nastavení. Pokud chcete změnit nastavení pro tuto organizaci, vyberte zděděné z výchozího odkazu ve sloupci Příchozí přístup nebo Odchozí přístup .

    Snímek obrazovky znázorňující organizaci přidanou s výchozím nastavením

  8. Upravte nastavení organizace podle podrobných kroků v těchto částech:

Úprava nastavení příchozího přístupu

Při příchozím nastavení vyberete, kteří externí uživatelé a skupiny budou mít přístup k interním aplikacím, které zvolíte. Bez ohledu na to, jestli konfigurujete výchozí nastavení nebo nastavení specifická pro organizaci, jsou kroky pro změnu příchozího nastavení přístupu mezi tenanty stejné. Jak je popsáno v této části, přejdete na kartu Výchozí nebo organizace na kartě Nastavení organizace a pak provedete změny.

  1. Přihlaste se k Azure Portal pomocí účtu Globální správce nebo správce zabezpečení. Pak otevřete službu Azure Active Directory .

  2. Vyberte externí identity a pak vyberte nastavení přístupu mezi tenanty.

  3. Přejděte na nastavení, která chcete upravit:

    • Pokud chcete upravit výchozí příchozí nastavení, vyberte kartu Výchozí nastavení a potom v části Nastavení příchozího přístupu vyberte Upravit výchozí hodnoty příchozích dat.
    • Pokud chcete upravit nastavení pro určitou organizaci, vyberte kartu Nastavení organizace , vyhledejte organizaci v seznamu (nebo ji přidejte) a pak vyberte odkaz ve sloupci Příchozí přístup .
  4. Postupujte podle podrobných kroků pro nastavení, která chcete změnit:

Změna nastavení přímého připojení B2B pro příchozí spojení

  1. Výběr karty přímé připojení B2B

  2. Pokud konfigurujete nastavení pro organizaci, vyberte jednu z těchto možností:

    • Výchozí nastavení: Organizace použije nastavení nakonfigurovaná na kartě Výchozí nastavení. Pokud jste pro tuto organizaci už nakonfigurovali přizpůsobená nastavení, budete muset vybrat Ano , abyste potvrdili, že chcete všechna nastavení nahradit výchozím nastavením. Pak vyberte Uložit a přeskočte zbývající kroky v tomto postupu.

    • Vlastní nastavení: Můžete přizpůsobit nastavení pro tuto organizaci, která se vynutí pro tuto organizaci místo výchozího nastavení. Pokračujte zbývajícími kroky v tomto postupu.

  3. Vyberte Externí uživatele a skupiny.

  4. V části Stav přístupu vyberte jednu z těchto možností:

    • Povolit přístup: Povolí uživatelům a skupinám zadaným v části Platí pro přístup k přímému připojení B2B.
    • Blokovat přístup: Blokuje uživatele a skupiny zadané v části Platí pro přístup k přímému připojení B2B. Blokování přístupu pro všechny externí uživatele a skupiny také blokuje sdílení všech interních aplikací prostřednictvím přímého připojení B2B.

    Snímek obrazovky znázorňující stav příchozího přístupu pro uživatele přímého připojení b2b

  5. V části Platí pro vyberte jednu z následujících možností:

    • Všichni externí uživatelé a skupiny: Použije akci, kterou jste zvolili v části Stav přístupu, na všechny uživatele a skupiny z externích Azure AD organizací.
    • Výběr externích uživatelů a skupin: Umožňuje použít akci, kterou jste zvolili v části Stav přístupu pro konkrétní uživatele a skupiny v rámci externí organizace. V tenantovi, který nakonfigurujete, se vyžaduje licence Azure AD Premium P1.

    Snímek obrazovky znázorňující výběr cílových uživatelů pro přímé připojení b2b

  6. Pokud jste vybrali možnost Vybrat externí uživatele a skupiny, proveďte následující kroky pro každého uživatele nebo skupinu, kterou chcete přidat:

    • Vyberte Přidat externí uživatele a skupiny.
    • V podokně Přidat další uživatele a skupiny zadejte ID objektu uživatele nebo ID objektu skupiny do vyhledávacího pole.
    • V nabídce vedle vyhledávacího pole zvolte uživatele nebo skupinu.
    • Vyberte Přidat.

    Snímek obrazovky znázorňující přidání externích uživatelů pro příchozí přímé připojení b2b

  7. Až budete hotovi s přidáváním uživatelů a skupin, vyberte Odeslat.

  8. Vyberte kartu Aplikace .

  9. V části Stav přístupu vyberte jednu z následujících možností:

    • Povolit přístup: Povolí aplikacím zadaným v části Platí přístup k uživatelům přímého připojení B2B.
    • Blokování přístupu: Blokuje aplikace zadané v části Platí pro přístup uživatelůM přímého připojení B2B.

    Snímek obrazovky znázorňující stav přístupu příchozích aplikací pro přímé připojení b2b

  10. V části Platí pro vyberte jednu z následujících možností:

    • Všechny aplikace: Použije akci, kterou jste zvolili v části Stav přístupu pro všechny aplikace.
    • Výběr aplikací (vyžaduje předplatné Azure AD Premium): Umožňuje použít akci, kterou jste zvolili v části Stav přístupu pro konkrétní aplikace ve vaší organizaci.

    Snímek obrazovky znázorňující cíle aplikace pro příchozí přístup

  11. Pokud jste zvolili možnost Vybrat aplikace, proveďte následující kroky pro každou aplikaci, kterou chcete přidat:

    • Vyberte Přidat aplikace Microsoftu.
    • V podokně aplikací zadejte název aplikace do vyhledávacího pole a ve výsledcích hledání vyberte aplikaci.
    • Až vyberete aplikace, zvolte Vybrat.

    Snímek obrazovky znázorňující přidání aplikací pro příchozí přímé připojení b2b

  12. Vyberte Uložit.

Změna nastavení příchozí důvěryhodnosti pro MFA a stav zařízení

  1. Vyberte kartu Nastavení důvěryhodnosti .

  2. Pokud konfigurujete nastavení pro organizaci, vyberte jednu z těchto možností:

    • Výchozí nastavení: Organizace použije nastavení nakonfigurovaná na kartě Výchozí nastavení. Pokud jste pro tuto organizaci už nakonfigurovali přizpůsobená nastavení, musíte vybrat Ano , abyste potvrdili, že chcete, aby se všechna nastavení nahradila výchozím nastavením. Pak vyberte Uložit a přeskočte zbývající kroky v tomto postupu.

    • Přizpůsobit nastavení: Nastavení pro tuto organizaci můžete přizpůsobit, která se vynucují pro tuto organizaci místo výchozího nastavení. Pokračujte zbývajícími kroky v tomto postupu.

  3. Vyberte jednu nebo více z následujících možností:

    • Důvěřovat vícefaktorovému ověřování z Azure AD tenantů: Toto políčko zaškrtněte, pokud zásady podmíněného přístupu vyžadují vícefaktorové ověřování (MFA). Toto nastavení umožňuje zásadám podmíněného přístupu důvěřovat deklaracím vícefaktorového ověřování z externích organizací. Během ověřování Azure AD zkontroluje přihlašovací údaje uživatele k deklaraci identity, že uživatel dokončil vícefaktorové ověřování. Pokud ne, spustí se výzva vícefaktorového ověřování v domovském tenantovi uživatele.

    • Důvěryhodná zařízení: Umožňuje zásadám podmíněného přístupu důvěřovat deklaracím zařízení vyhovujícím předpisům z externí organizace, když uživatelé přistupují k vašim prostředkům.

    • Důvěřovat hybridním Azure AD připojeným zařízením: Umožňuje vašim zásadám podmíněného přístupu důvěřovat deklarace identity zařízení připojených k hybridním Azure AD z externí organizace, když uživatelé přistupují k vašim prostředkům.

    Snímek obrazovky znázorňující nastavení příchozí důvěryhodnosti

  4. Vyberte Uložit.

Úprava nastavení odchozího přístupu

V nastavení odchozích přenosů vyberete, kteří uživatelé a skupiny budou mít přístup k externím aplikacím, které zvolíte. Podrobné kroky pro úpravu nastavení přístupu mezi odchozími tenanty jsou stejné, jestli konfigurujete výchozí nastavení nebo nastavení specifické pro organizaci. Jak je popsáno v této části, přejděte na výchozí kartu nebo organizaci na kartě Nastavení organizace a proveďte změny.

  1. Přihlaste se k Azure Portal pomocí účtu Globální správce nebo správce zabezpečení. Pak otevřete službu Azure Active Directory .

  2. Vybertenastavení přístupu mezi tenanty mezi tenanty>.

  3. Přejděte do nastavení, která chcete upravit:

    • Pokud chcete upravit výchozí nastavení odchozích přenosů, vyberte kartu Výchozí nastavení a potom v části Nastavení odchozího přístupu vyberte Upravit výchozí hodnoty odchozích přenosů.

    • Pokud chcete upravit nastavení pro určitou organizaci, vyberte kartu Nastavení organizace , vyhledejte organizaci v seznamu (nebo přidejte jednu) a pak vyberte odkaz ve sloupci Odchozí přístup .

Změna nastavení odchozího přístupu

  1. Vyberte kartu přímé připojení B2B .

  2. Pokud konfigurujete nastavení pro organizaci, vyberte jednu z těchto možností:

    • Výchozí nastavení: Organizace použije nastavení nakonfigurovaná na kartě Výchozí nastavení. Pokud jste pro tuto organizaci už nakonfigurovali přizpůsobená nastavení, musíte vybrat Ano , abyste potvrdili, že chcete, aby se všechna nastavení nahradila výchozím nastavením. Pak vyberte Uložit a přeskočte zbývající kroky v tomto postupu.

    • Přizpůsobit nastavení: Nastavení pro tuto organizaci můžete přizpůsobit, která se vynucují pro tuto organizaci místo výchozího nastavení. Pokračujte zbývajícími kroky v tomto postupu.

  3. Vyberte Uživatelé a skupiny.

  4. V části Stav aplikace Access vyberte jednu z následujících možností:

    • Povolit přístup: Povolí uživatelům a skupinám zadaným v části Platí pro přístup k přímému připojení B2B.
    • Blokování přístupu: Zablokuje uživatele a skupiny zadané v části Platí pro přístup k přímému připojení B2B. Blokování přístupu pro všechny uživatele a skupiny také blokuje sdílení všech externích aplikací prostřednictvím přímého připojení B2B.

    Snímek obrazovky znázorňující stav přístupu uživatelů a skupin pro odchozí přímé připojení b2b

  5. V části Platí pro vyberte jednu z následujících možností:

    • Všichni <uživatelé vaší organizace>: Použije akci, kterou jste zvolili v části Stav přístupu pro všechny vaše uživatele a skupiny.
    • Vyberte <uživatele a skupiny vaší organizace> (vyžaduje předplatné Azure AD Premium): Umožňuje použít akci, kterou jste zvolili v části Stav přístupu pro konkrétní uživatele a skupiny.

    Snímek obrazovky znázorňující výběr cílových uživatelů pro odchozí přístup b2b

  6. Pokud jste vybrali možnost Vybrat <uživatele a skupiny vaší organizace>, udělejte pro každého uživatele nebo skupinu, které chcete přidat:

    • Vyberte Přidat <uživatele a skupiny vaší organizace>.
    • V podokně Vybrat zadejte uživatelské jméno nebo název skupiny do vyhledávacího pole.
    • Až vyberete uživatele a skupiny, zvolte Vybrat.

    Poznámka

    Při cílení na uživatele a skupiny nebudete moct vybrat uživatele, kteří nakonfigurovali ověřování založené na SMS. Důvodem je to, že uživatelé, kteří mají na svém objektu uživatele "federované přihlašovací údaje", jsou zablokovaní, aby se zabránilo přidávání externích uživatelů do nastavení odchozího přístupu. Jako alternativní řešení můžete pomocí Microsoftu Graph API přidat ID objektu uživatele přímo nebo cílovou skupinu, do které uživatel patří.

  7. Vyberte Uložit.

  8. Vyberte kartu Externí aplikace .

  9. V části Stav aplikace Access vyberte jednu z následujících možností:

    • Povolit přístup: Povolí přístup k aplikacím zadaným v části Platí pro přístup uživatelům přímého připojení B2B.
    • Blokování přístupu: Zablokuje aplikace zadané v části Platí pro přístup uživatelům přímého připojení B2B.

    Snímek obrazovky znázorňující stav přístupu aplikací pro odchozí připojení b2b

  10. V části Platí pro vyberte jednu z následujících možností:

    • Všechny externí aplikace: Použije akci, kterou jste zvolili v části Stav přístupu pro všechny externí aplikace.
    • Výběr aplikací (vyžaduje předplatné Azure AD Premium): Umožňuje použít akci, kterou jste zvolili v části Stav Accessu pro konkrétní externí aplikace.

    Snímek obrazovky znázorňující cíle aplikace pro odchozí přímé připojení b2b

  11. Pokud jste zvolili Možnost Vybrat externí aplikace, proveďte následující akce pro každou aplikaci, kterou chcete přidat:

    • Vyberte Přidat aplikace Microsoftu nebo Přidat další aplikace.
    • V podokně aplikací zadejte název aplikace do vyhledávacího pole a ve výsledcích hledání vyberte aplikaci.
    • Až vyberete aplikace, zvolte Vybrat.

    Snímek obrazovky znázorňující přidání externích aplikací pro odchozí přímé připojení b2b

  12. Vyberte Uložit.

Odebrání organizace

Když odeberete organizaci z nastavení organizace, výchozí nastavení přístupu mezi tenanty se pro danou organizaci projeví.

Poznámka

Pokud je organizace poskytovatelem cloudových služeb pro vaši organizaci (vlastnost isServiceProvider v konfiguraci specifické pro partnery Microsoft Graphu je pravdivá), nebudete moct organizaci odebrat.

  1. Přihlaste se k Azure Portal pomocí účtu Globální správce nebo správce zabezpečení. Pak otevřete službu Azure Active Directory .

  2. Vyberte externí identity a pak vyberte nastavení přístupu mezi tenanty.

  3. Vyberte kartu Nastavení organizace .

  4. Najděte organizaci v seznamu a pak vyberte ikonu koše na daném řádku.

Další kroky

Konfigurace nastavení přístupu mezi tenanty pro spolupráci B2B