Introducción a la API de configuración de acceso entre inquilinos

  • Artículo

Espacio de nombres: microsoft.graph

En la colaboración B2B Microsoft Entra tradicional, cualquier usuario invitado de una organización podría usar su identidad para acceder a los recursos de organizaciones externas. Los administradores no tenían control sobre las identidades de usuario en su inquilino que pueden iniciar sesión en organizaciones externas. Estos controles limitados dificultaban el uso de identidades de su organización de maneras no autorizadas.

La configuración de acceso entre inquilinos le permite controlar y administrar la colaboración entre los usuarios de su organización y otras organizaciones. El control puede estar en el acceso saliente (cómo colaboran los usuarios con otras organizaciones), el acceso entrante (cómo colaboran otras organizaciones con usted) o ambas.

Los controles pormenorizados permiten determinar los usuarios, grupos y aplicaciones, tanto en su organización como en organizaciones externas que pueden participar en la colaboración Z B2B y Microsoft Entra conexión directa B2B. Estos controles se implementan a través de:

  • Configuración predeterminada de acceso entre inquilinos que establece la configuración de acceso de entrada y salida de línea base.
    • En Microsoft Entra colaboración B2B, ambas opciones de acceso están habilitadas de forma predeterminada. Esta configuración predeterminada significa que todos los usuarios pueden ser invitados a organizaciones externas y todos los usuarios pueden invitar a usuarios invitados.
    • En Microsoft Entra conexión directa B2B, ambas opciones de acceso están deshabilitadas de forma predeterminada.
    • La configuración predeterminada del servicio se puede actualizar.
  • Opciones de acceso específicas del asociado que le permiten configurar opciones personalizadas para organizaciones individuales. Para las organizaciones configuradas, esta configuración tiene prioridad sobre la configuración predeterminada. Por lo tanto, aunque Microsoft Entra colaboración B2B y Microsoft Entra conexión directa B2B podrían deshabilitarse en toda la organización de forma predeterminada, puede habilitar estas características para una organización externa específica.

Importante

Al configurar la configuración de salida de conexión directa B2B, permite que las organizaciones externas con las que ha habilitado la configuración de salida accedan a datos de contacto limitados sobre los usuarios. Microsoft comparte estos datos con esas organizaciones para ayudarles a enviar una solicitud para conectarse con los usuarios. Los datos recopilados por organizaciones externas, incluidos los datos de contacto limitados, están sujetos a las directivas y prácticas de privacidad de esas organizaciones.

Configuración predeterminada de acceso entre inquilinos

La configuración predeterminada de acceso entre inquilinos determina la posición de la colaboración entrante y saliente con todas las demás organizaciones de Microsoft Entra. Cualquier colaboración externa con una organización que no aparezca explícitamente en la configuración de acceso entre inquilinos hereda esta configuración predeterminada. La configuración predeterminada se define mediante el tipo de recurso crossTenantAccessPolicyConfigurationDefault .

De forma predeterminada, Microsoft Entra ID asigna a todos los inquilinos de Microsoft Entra una configuración predeterminada de servicio para la configuración de acceso entre inquilinos. Puede invalidar estos valores predeterminados de servicio con su propia configuración para adaptarse a su organización. Puede confirmar si usa la configuración predeterminada del servicio o la configuración personalizada examinando la propiedad isServiceDefault devuelta al consultar el punto de conexión predeterminado.

Configuración de acceso entre inquilinos de asociados

La configuración de acceso entre inquilinos específica del asociado determina la posición de la colaboración entrante y saliente con una organización Microsoft Entra específica. Cualquier colaboración con esta organización hereda esta configuración específica del asociado. La configuración del asociado se define mediante el tipo de recurso crossTenantAccessPolicyConfigurationPartner .

A menos que configure todas las propiedades del objeto específico del asociado, es posible que todavía se apliquen algunas de las opciones predeterminadas. Por ejemplo, si configura solo b2bCollaborationInbound para un asociado en la configuración de acceso entre inquilinos, la configuración del asociado hereda la otra configuración de la configuración predeterminada de acceso entre inquilinos. Al consultar el punto de conexión de asociado, cualquier propiedad del objeto de asociado que herede null la configuración de la directiva predeterminada.

Configuración de confianza de entrada en la configuración de acceso entre inquilinos

La configuración de confianza entrante le permite confiar en que los usuarios invitados de MFA realizan en sus directorios principales, lo que impide que los usuarios invitados tengan que realizar MFA tanto en sus directorios principales como en el directorio. Con la configuración de confianza entrante, habilitará una experiencia de autenticación sin problemas para los usuarios invitados y ahorrará en los costos de MFA incurridos por su organización.

Por ejemplo, al configurar los valores de confianza para confiar en MFA, las directivas de MFA se siguen aplicando a los usuarios invitados, pero los usuarios que ya han completado MFA en sus inquilinos domésticos no tienen que volver a completar MFA en el inquilino.

La configuración de confianza entrante también le permite confiar en dispositivos compatibles o Microsoft Entra híbrido unido en sus directorios principales. Con la configuración de confianza entrante en la configuración de acceso entre inquilinos, ahora puede proteger el acceso a las aplicaciones y los recursos al requerir que los usuarios invitados usen dispositivos compatibles o Microsoft Entra dispositivos unidos a híbridos.

Sincronización entre inquilinos entrante en la configuración de acceso entre inquilinos

Puede habilitar la sincronización entre inquilinos para sincronizar usuarios de un inquilino asociado. La sincronización entre inquilinos es un servicio de sincronización unidireccional en Microsoft Entra ID que automatiza la creación, actualización y eliminación de usuarios de colaboración B2B entre inquilinos de una organización. Cree una directiva de sincronización de usuarios para simplificar la colaboración entre usuarios de organizaciones multiinquilino. La configuración de sincronización de usuarios asociados se define mediante el tipo de recurso crossTenantIdentitySyncPolicyPartner .

Colaboración con organizaciones mediante Microsoft Entra ID en diferentes nubes de Microsoft

La configuración de acceso entre inquilinos se usa para habilitar la colaboración con Microsoft Entra organizaciones en nubes independientes de Microsoft. La allowedCloudEndpoints propiedad permite especificar a qué nubes de Microsoft desea ampliar la colaboración. La colaboración B2B se admite entre las siguientes nubes de Microsoft:

  • Microsoft Azure commercial y Microsoft Azure Government
  • Microsoft Azure commercial y Microsoft Azure China

Obtenga más información sobre cómo colaborar con organizaciones de otra nube de Microsoft.

Interpretación de la respuesta de la API

La API de configuración de acceso entre inquilinos se puede usar para configurar varias configuraciones para permitir o bloquear el acceso a la organización y desde ella. En la tabla siguiente se resaltan los escenarios, se muestra un ejemplo de la respuesta de LA API y cuál debe ser la interpretación de esa respuesta. b2bSetting se usa como marcador de posición para cualquier configuración de entrada B2B (b2bCollaborationInbound o b2bDirectConnectInbound) o saliente (b2bCollaborationOutbound o b2bDirectConnectOutbound).


Escenario Salida de API Interpretación
Bloquear a todos los usuarios y bloquear todas las aplicaciones 
"b2bsetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
-
Permitir a todos los usuarios y permitir todas las aplicaciones 
"b2bsetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
-
Permitir que los usuarios del grupo "g1" accedan a cualquier aplicación 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
Los usuarios del grupo "g1" pueden acceder a cualquier aplicación. Todos los demás usuarios que no están en el grupo "g1" están bloqueados.
Permitir el acceso solo a la aplicación 'a1' 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Solo se permite a todos los usuarios acceder a la aplicación 'a1'
Permitir a los usuarios del grupo 'g1' y bloquear el acceso a la aplicación 'a1' 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Todos los usuarios del grupo "g1" pueden acceder a cualquier aplicación excepto a la aplicación 'a1'.
Impedir que los usuarios del grupo "g1" accedan a cualquier aplicación 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": " blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
Los usuarios del grupo "g1" no pueden acceder a ninguna aplicación. Otros usuarios que no están en el grupo "g1" tienen acceso a todas las aplicaciones.
Bloquear usuarios en el grupo "g1" y permitir el acceso solo a la aplicación 'a1' 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Los usuarios del grupo "g1" no pueden acceder a ninguna aplicación. Cualquier usuario que no esté en el grupo "g1" solo puede acceder a la aplicación "a1".
Permitir que los usuarios del grupo 'g1' accedan solo a la aplicación 'a1' 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Los usuarios del grupo "g1" solo pueden acceder a la aplicación "a1". A todos los usuarios, incluidos los usuarios del grupo "g1", se les impide acceder a cualquier otra aplicación.
Impedir que los usuarios del grupo 'g1' accedan a la aplicación 'a1' 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
A los usuarios del grupo "g1" solo se les impide acceder a la aplicación "a1". Todos los usuarios, incluidos los usuarios del grupo "g1", pueden acceder a cualquier otra aplicación.
Priorizar el uso de una federación externa sobre el identificador de entra durante el canje de invitación del usuario invitado 
"invitationRedemptionIdentityProviderConfiguration": { 
    "primaryIdentityProviderPrecedenceOrder": [ 
        "externalFederation",
        "azureActiveDirectory", 
        "socialIdentityProviders" 
    ], 
    "fallbackIdentityProvider": "defaultConfiguredIdp" 
}
Compruebe si el usuario invitado procede de un asociado federado externamente antes de intentar la autenticación con El identificador de entra.

Configuración de acceso entre inquilinos frente a restricciones de inquilino

Los controles salientes de la configuración de acceso entre inquilinos son para controlar cómo se usan las cuentas de su organización para acceder a los recursos de otras organizaciones Microsoft Entra. Las restricciones de inquilino son para controlar cómo los empleados usan las cuentas de otras organizaciones Microsoft Entra mientras el empleado está en sus redes o dispositivos. Críticamente, los controles salientes funcionan todo el tiempo porque están asociados a las cuentas, mientras que las restricciones de inquilino requieren que se inserten señales adicionales en las solicitudes de autenticación que se van a aplicar, ya que las restricciones de inquilino están limitadas a redes y dispositivos, no a cuentas. Obtenga más información sobre las restricciones de inquilinos.

Contenido relacionado