Übersicht über mandantenübergreifende Zugriffseinstellungen

  • Artikel

Namespace: microsoft.graph

In der herkömmlichen Microsoft Entra B2B-Zusammenarbeit kann jeder eingeladene Benutzer aus einem organization seine Identität verwenden, um auf Ressourcen in externen Organisationen zuzugreifen. Administratoren hatten keine Kontrolle über die Benutzeridentitäten in ihrem Mandanten, die sich bei externen Organisationen anmelden dürfen. Diese eingeschränkten Kontrollen erschwerten es, zu verhindern, dass Identitäten aus Ihrer organization nicht autorisiert verwendet werden.

Mit mandantenübergreifenden Zugriffseinstellungen können Sie die Zusammenarbeit zwischen Benutzern in Ihrem organization und anderen Organisationen steuern und verwalten. Die Steuerung kann entweder für ausgehenden Zugriff (wie Ihre Benutzer mit anderen Organisationen zusammenarbeiten), eingehenden Zugriff (wie andere Organisationen mit Ihnen zusammenarbeiten) oder beides erfolgen.

Mit präzisen Steuerelementen können Sie die Benutzer, Gruppen und Apps sowohl in Ihrem organization als auch in externen Organisationen bestimmen, die an z B2B Collaboration und Microsoft Entra B2B Direct Connect teilnehmen können. Diese Steuerelemente werden implementiert durch:

  • Mandantenübergreifende Standardzugriffseinstellungen , die die Baselineeinstellungen für eingehenden und ausgehenden Zugriff festlegen.
    • In Microsoft Entra B2B-Zusammenarbeit sind beide Zugriffseinstellungen standardmäßig aktiviert. Diese Standardkonfiguration bedeutet, dass alle Ihre Benutzer zu externen Organisationen eingeladen werden können, und alle Ihre Benutzer können Gastbenutzer einladen.
    • In Microsoft Entra B2B Direct Connect sind beide Zugriffseinstellungen standardmäßig deaktiviert.
    • Die Standardeinstellungen des Diensts können aktualisiert werden.
  • Partnerspezifische Zugriffseinstellungen , mit denen Sie benutzerdefinierte Einstellungen für einzelne Organisationen konfigurieren können. Für die konfigurierten Organisationen hat diese Konfiguration Vorrang vor den Standardeinstellungen. Während Microsoft Entra B2B-Zusammenarbeit und Microsoft Entra direkten B2B-Verbindung in Ihrem organization standardmäßig deaktiviert ist, können Sie diese Features für eine bestimmte externe organization aktivieren.

Wichtig

Durch das Konfigurieren der Einstellungen für ausgehende B2B-Verbindungen ermöglichen Sie externen Organisationen, mit denen Sie ausgehende Einstellungen aktiviert haben, den Zugriff auf eingeschränkte Kontaktdaten über Ihre Benutzer. Microsoft gibt diese Daten für diese Organisationen weiter, um ihnen zu helfen, eine Anforderung zum Herstellen einer Verbindung mit Ihren Benutzern zu senden. Daten, die von externen Organisationen gesammelt werden, einschließlich eingeschränkter Kontaktdaten, unterliegen den Datenschutzrichtlinien und -praktiken dieser Organisationen.

Mandantenübergreifende Standardzugriffseinstellungen

Mandantenübergreifende Standardzugriffseinstellungen bestimmen Ihre Einstellung für die ein- und ausgehende Zusammenarbeit mit allen anderen Microsoft Entra Organisationen. Jede externe Zusammenarbeit mit einem organization nicht explizit in Ihren mandantenübergreifenden Zugriffseinstellungen aufgeführt, erben diese Standardeinstellungen. Standardeinstellungen werden mithilfe des Ressourcentyps crossTenantAccessPolicyConfigurationDefault definiert.

Standardmäßig weist Microsoft Entra ID allen Microsoft Entra Mandanten eine Dienststandardkonfiguration für mandantenübergreifende Zugriffseinstellungen zu. Sie können diese Dienststandardeinstellungen mit Ihrer eigenen Konfiguration überschreiben, um Ihren organization zu entsprechen. Sie können überprüfen, ob Sie die Standardeinstellungen des Diensts oder benutzerdefinierte Einstellungen verwenden, indem Sie sich die eigenschaft isServiceDefault ansehen, die beim Abfragen des Standardendpunkts zurückgegeben wird.

Mandantenübergreifende Zugriffseinstellungen für Partner

Partnerspezifische mandantenübergreifende Zugriffseinstellungen bestimmen Ihre Einstellung für die ein- und ausgehende Zusammenarbeit mit einem bestimmten Microsoft Entra organization. Jede Zusammenarbeit mit diesem organization erbt diese partnerspezifischen Einstellungen. Partnereinstellungen werden mithilfe des Ressourcentyps crossTenantAccessPolicyConfigurationPartner definiert.

Wenn Sie nicht alle Eigenschaften des partnerspezifischen Objekts konfigurieren, gelten möglicherweise einige Ihrer Standardeinstellungen weiterhin. Wenn Sie beispielsweise nur b2bCollaborationInbound für einen Partner in Ihren mandantenübergreifenden Zugriffseinstellungen konfigurieren, erbt die Partnerkonfiguration die anderen Einstellungen von den mandantenübergreifenden Standardzugriffseinstellungen. Beim Abfragen des Partnerendpunkts werden alle Eigenschaften des Partnerobjekts, die null Einstellungen von der Standardrichtlinie erbt, übernommen.

Einstellungen für eingehende Vertrauensstellungen in mandantenübergreifenden Zugriffseinstellungen

Mit den Einstellungen für eingehende Vertrauensstellungen können Sie den MFA-Gastbenutzern vertrauen, die in ihren Basisverzeichnissen ausgeführt werden, sodass Gastbenutzer keine MFA sowohl in ihren Basisverzeichnissen als auch in Ihrem Verzeichnis ausführen müssen. Mit eingehenden Vertrauenseinstellungen ermöglichen Sie eine nahtlose Authentifizierungserfahrung für Ihre Gastbenutzer und sparen die MFA-Kosten, die für Ihre organization anfallen.

Wenn Sie beispielsweise Ihre Vertrauenseinstellungen so konfigurieren, dass MFA als vertrauenswürdig eingestuft wird, werden Ihre MFA-Richtlinien weiterhin auf Gastbenutzer angewendet, aber Benutzer, die die MFA bereits in ihren Basismandanten abgeschlossen haben, müssen die MFA nicht erneut in Ihrem Mandanten abschließen.

Einstellungen für eingehende Vertrauensstellungen ermöglichen es Ihnen auch, Geräten zu vertrauen, die kompatibel sind oder Microsoft Entra hybrid in ihren Basisverzeichnissen eingebunden sind. Mit eingehenden Vertrauenseinstellungen in mandantenübergreifenden Zugriffseinstellungen können Sie jetzt den Zugriff auf Ihre Apps und Ressourcen schützen, indem Sie verlangen, dass Gastbenutzer kompatible oder Microsoft Entra hybrid eingebundene Geräte verwenden.

Mandantenübergreifende eingehende Synchronisierung in mandantenübergreifenden Zugriffseinstellungen

Sie können die mandantenübergreifende Synchronisierung aktivieren, um Benutzer von einem Partnermandanten zu synchronisieren. Bei der mandantenübergreifenden Synchronisierung handelt es sich um einen unidirektionalen Synchronisierungsdienst in Microsoft Entra ID, der das Erstellen, Aktualisieren und Löschen von Benutzern für die B2B-Zusammenarbeit mandantenübergreifend in einem organization automatisiert. Sie erstellen eine Benutzersynchronisierungsrichtlinie, um die Zusammenarbeit zwischen Benutzern in mehrinstanzenfähigen Organisationen zu optimieren. Partnerbenutzersynchronisierungseinstellungen werden mithilfe des Ressourcentyps crossTenantIdentitySyncPolicyPartner definiert.

Zusammenarbeiten mit Organisationen, die Microsoft Entra ID in verschiedenen Microsoft-Clouds verwenden

Mandantenübergreifende Zugriffseinstellungen werden verwendet, um die Zusammenarbeit mit Microsoft Entra Organisationen in separaten Microsoft-Clouds zu ermöglichen. Mit allowedCloudEndpoints der -Eigenschaft können Sie angeben, auf welche Microsoft-Clouds Sie Ihre Zusammenarbeit erweitern möchten. Die B2B-Zusammenarbeit wird zwischen den folgenden Microsoft-Clouds unterstützt:

  • Microsoft Azure commercial und Microsoft Azure Government
  • Kommerzielles Microsoft Azure und Microsoft Azure China

Erfahren Sie mehr über die Zusammenarbeit mit Organisationen aus einer anderen Microsoft-Cloud.

Interpretieren der API-Antwort

Die API für mandantenübergreifende Zugriffseinstellungen kann verwendet werden, um mehrere Konfigurationen zum Zulassen oder Blockieren des Zugriffs auf und von Ihren organization einzurichten. Die folgende Tabelle zeigt Szenarien, ein Beispiel für die API-Antwort und die Interpretation dieser Antwort. b2bSetting wird als Platzhalter für alle B2B-Konfigurationen inbound (b2bCollaborationInbound oder b2bDirectConnectInbound) oder outbound (b2bCollaborationOutbound oder b2bDirectConnectOutbound) verwendet.


Szenario API-Ausgabe Interpretation
Alle Benutzer blockieren und alle Anwendungen blockieren 
"b2bsetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
-
Alle Benutzer zulassen und alle Anwendungen zulassen 
"b2bsetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
-
Benutzern in der Gruppe "g1" den Zugriff auf eine beliebige App gestatten 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
Benutzer in der Gruppe "g1" können auf jede beliebige App zugreifen. Alle anderen Benutzer, die nicht der Gruppe "g1" angehören, werden blockiert.
Zugriff nur auf die Anwendung "a1" zulassen 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Alle Benutzer dürfen nur auf die Anwendung "a1" zugreifen.
Zulassen von Benutzern in der Gruppe "g1" und Blockieren des Zugriffs auf die Anwendung "a1" 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Alle Benutzer in der Gruppe "g1" dürfen auf eine beliebige Anwendung mit Ausnahme der Anwendung "a1" zugreifen.
Blockieren des Zugriffs von Benutzern in der Gruppe "g1" auf eine beliebige Anwendung 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": " blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
Benutzer in der Gruppe "g1" können auf keine Anwendung zugreifen. Andere Benutzer, die sich nicht in der Gruppe "g1" befinden, haben Zugriff auf alle Anwendungen.
Blockieren von Benutzern in der Gruppe "g1" und Zulassen des Zugriffs auf die Anwendung "a1" 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Benutzer in der Gruppe "g1" können auf keine Anwendung zugreifen. Jeder Benutzer, der sich nicht in der Gruppe "g1" befindet, kann nur auf die Anwendung "a1" zugreifen.
Benutzern in der Gruppe "g1" den Zugriff auf die Anwendung "a1" gestatten 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Benutzer in der Gruppe "g1" dürfen nur auf die Anwendung "a1" zugreifen. Alle Benutzer, einschließlich der Benutzer in der Gruppe "g1", können nicht auf andere Anwendungen zugreifen.
Blockieren des Zugriffs auf die Anwendung "a1" durch Benutzer in der Gruppe "g1" 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Benutzer in der Gruppe "g1" können nur auf die Anwendung "a1" zugreifen. Alle Benutzer, einschließlich der Benutzer in der Gruppe "g1", können auf jede andere Anwendung zugreifen.
Priorisieren der Verwendung eines externen Verbunds gegenüber der Entra-ID während der Einlösung von Gastbenutzereinladungen 
"invitationRedemptionIdentityProviderConfiguration": { 
    "primaryIdentityProviderPrecedenceOrder": [ 
        "externalFederation",
        "azureActiveDirectory", 
        "socialIdentityProviders" 
    ], 
    "fallbackIdentityProvider": "defaultConfiguredIdp" 
}
Überprüfen Sie, ob der Gastbenutzer von einem externen Partner stammt, bevor Sie die Entra-ID für die Authentifizierung testen.

Mandantenübergreifende Zugriffseinstellungen im Vergleich zu Mandanteneinschränkungen

Mandantenübergreifende Zugriffseinstellungen für ausgehende Zugriffe dienen dazu, zu steuern, wie die Konten Ihrer organization für den Zugriff auf Ressourcen in anderen Microsoft Entra Organisationen verwendet werden. Mandanteneinschränkungen dienen dazu, zu steuern, wie Ihre Mitarbeiter die Konten anderer Microsoft Entra Organisationen verwenden, während sich der Mitarbeiter in Ihren Netzwerken oder Geräten befindet. Wichtig ist, dass ausgehende Steuerelemente ständig funktionieren, da sie Ihren Konten zugeordnet sind, während Mandanteneinschränkungen erfordern, dass zusätzliche Signale in die Authentifizierungsanforderungen eingefügt werden, um erzwungen werden, da Mandanteneinschränkungen auf Netzwerke und Geräte und nicht auf Konten beschränkt sind. Erfahren Sie mehr über Mandanteneinschränkungen.

Verwandte Inhalte