Configuración de la conexión directa B2B con una organización externa
Se aplica a: Inquilinos de personal Inquilinos externos (más información)
Usa la configuración de acceso entre inquilinos para administrar cómo colabora con otras organizaciones de Microsoft Entra a través de la conexión directa B2B. Esta configuración te permite determinar el nivel de acceso saliente que los usuarios tienen a organizaciones externas. También permiten controlar el nivel de acceso entrante que los usuarios de organizaciones externas de Microsoft Entra tienen a los recursos internos.
Configuración predeterminada: la configuración de acceso entre inquilinos predeterminada se aplica a todas las organizaciones externas de Microsoft Entra, excepto a las organizaciones para las que se configuran opciones individuales. Puedes cambiar esta configuración predeterminada. Para la conexión directa B2B, normalmente deja la configuración predeterminada tal como está y habilita el acceso de conexión directa B2B con la configuración específica de la organización. Inicialmente, los valores predeterminados son los siguientes:
- Configuración predeterminada inicial de conexión directa B2B: de manera predeterminada, la conexión directa B2B saliente está bloqueada para todo el inquilino y la entrante está bloqueada para todas las organizaciones de Microsoft Entra externas.
- Configuración de la organización: no se agrega ninguna organización de manera predeterminada.
Configuración específica de la organización: puedes configurar la configuración específica de la organización al agregar una organización y al modificar la configuración de entrada y salida para esa organización. La configuración de la organización tiene prioridad sobre la configuración predeterminada.
Obtén más información sobre el uso de la configuración de acceso entre inquilinos para administrar la conexión directa B2B.
Importante
Microsoft comenzará a trasladar a los clientes que utilizan configuraciones de acceso entre inquilinos a un nuevo modelo de almacenamiento el 30 de agosto de 2023. Es posible que observes una entrada en tus registros de auditoría que te informa que tu configuración de acceso entre inquilinos se actualizó a medida que la tarea automatizada migra tu configuración. Durante un breve período mientras se procesa la migración, no podrás realizar cambios en la configuración. Si no puedes realizar un cambio, debes esperar unos momentos e intentarlo nuevamente. Una vez que se complete la migración, ya no tendrás un límite de 25 kb de espacio de almacenamiento y no habrá más límites en la cantidad de socios que puedes agregar.
Antes de empezar
- Examina la sección de consideraciones importantes de la introducción al acceso entre inquilinos antes de configurar dicho acceso.
- Decide el nivel de acceso predeterminado que deseas aplicar a todas las organizaciones de Microsoft Entra externas.
- Identifica las organizaciones de Microsoft Entra que necesiten una configuración personalizada.
- Ponte en contacto con las organizaciones con las que deseas configurar una conexión directa B2B. Dado que la conexión directa B2B se establece a través de la confianza mutua, usted y la otra organización deben habilitar la conexión directa B2B entre sí en la configuración de acceso entre inquilinos.
- Obtén la información necesaria de organizaciones externas. Si deseas aplicar la configuración de acceso a usuarios, grupos o aplicaciones específicos de una organización externa, deberás ponerte en contacto con la organización para obtener información antes de realizar la configuración.
- Para configurar los ajustes de acceso entre inquilinos en el centro de administración de Microsoft Entra, necesitas una cuenta con al menos la función de Administrador de seguridad. Los administradores de los equipos pueden leer la configuración de acceso entre inquilinos, pero no pueden actualizar esta configuración.
Configuración de los valores predeterminados
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
La configuración de acceso entre inquilinos predeterminada se aplica a todas las organizaciones externas para las que no ha creado la configuración personalizada específica de la organización. Si deseas modificar la configuración predeterminada proporcionada por Microsoft Entra, sigue estos pasos.
Inicia sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.
Ve a Identidad>Identidades externas>Configuración del acceso entre inquilinos.
Selecciona la pestaña Configuración predeterminada y examina la página de resumen.
Para cambiar la configuración, selecciona el vínculo Editar valores predeterminados de entrada o el vínculo Editar valores predeterminados de salida.
Sigue los pasos de estas secciones para modificar la configuración predeterminada:
Adición de una organización
Sigue estos pasos para configurar valores personalizados para organizaciones concretas.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.
Vaya a Identidad>Identidades externas>Configuración del acceso entre inquilinos.
Seleccione Organizational settings (Configuración de la organización).
Seleccione Add organization (Agregar organización).
En el panel Add organization (Agregar organización), escriba el nombre de dominio completo (o identificador de inquilino) de la organización.
Seleccione la organización en los resultados de la búsqueda y, después, seleccione Agregar.
La organización aparece en la lista Organizational settings (Configuración de la organización). En este momento, toda la configuración de acceso de esta organización se hereda de la configuración predeterminada. Para cambiar la configuración de esta organización, seleccione el vínculo Inherited from default (Heredado del valor predeterminado) en las columnas Inbound access (Acceso de entrada) o Outbound access (Acceso de salida).
Modifique la configuración de la organización siguiendo los pasos que se detallan en estas secciones:
Modificación de la configuración del acceso de entrada
Con la configuración de entrada, seleccione qué usuarios y grupos externos pueden acceder a las aplicaciones internas que elija. Tanto si va a configurar la configuración predeterminada como la configuración específica de la organización, los pasos para cambiar la configuración de acceso entre inquilinos de entrada son los mismos. Como se describe en esta sección, navegue a la pestaña Predeterminado o a una organización en la pestaña Configuración de la organización y después, realice los cambios.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.
Vaya a Identidad>Identidades externas>Configuración del acceso entre inquilinos.
Vaya a los valores que desea modificar:
- Para modificar la configuración entrante predeterminada, seleccione la pestaña Configuración predeterminada y luego, en Configuración de acceso entrante, seleccione Editar valores predeterminados entrantes.
- Para modificar la configuración de una organización concreta, seleccione la pestaña Configuración de la organización, busque la organización en la lista (o agregue una) y, después, seleccione el vínculo en la columna Acceso de entrada.
Siga los pasos detallados para la configuración que desea cambiar:
Para cambiar la configuración de conexión directa B2B entrante
Seleccione la pestaña conexión directa B2B
Si va a configurar una organización, seleccione una de las siguientes:
Configuración predeterminada: la organización usa las opciones configuradas en la pestaña de configuración Predeterminado. Si ya se han configurado valores personalizados para esta organización, deberá seleccionar Sí para confirmar que desea que todos los valores se reemplacen por los predeterminados. Luego, seleccione Guardar y omita el resto de los pasos del procedimiento.
Personalización de la configuración: puede personalizar la configuración que se va a aplicar a esta organización en lugar de la configuración predeterminada. Continúe con el resto de los pasos de este procedimiento.
Seleccione External users and groups (Seleccionar usuarios y grupos).
En Estado del acceso, seleccione una de estas opciones:
- Permitir acceso: permite que los usuarios y grupos especificados en Se aplica a accedan a la conexión directa B2B.
- Bloquear acceso: impide que los usuarios y grupos especificados en Se aplica a accedan a la conexión directa B2B. Bloquear el acceso a todos los usuarios y grupos externos también impide que todas las aplicaciones internas se compartan a través de la conexión directa B2B.
En Se aplica a, seleccione uno de los siguientes:
- Todos los usuarios y grupos externos: aplica la acción elegida en Estado del acceso a todos los usuarios y grupos de organizaciones de Microsoft Entra externas.
- Seleccionar usuarios y grupos externos: permite aplicar la acción elegida en Estado del acceso a usuarios y grupos específicos dentro de la organización externa. Se requiere una licencia de Microsoft Entra ID P1 en el inquilino que configure.
Si elige Select external users and groups (Seleccionar usuarios y grupos externos), realice las siguientes acciones para cada usuario o grupo que quiera agregar:
- Seleccione Add external users and groups (Agregar usuarios y grupos externos).
- En el panel Agregar otros usuarios y grupos, escriba el id. de objeto de usuario o el id. de objeto de grupo en el cuadro de búsqueda.
- En el menú situado junto al cuadro de búsqueda, elija un usuario o un grupo.
- Seleccione Agregar.
Nota:
No puede dirigirse a usuarios o grupos en la configuración predeterminada de entrada.
Cuando haya terminado de agregar usuarios y grupos, seleccione Submit (Enviar).
Seleccione la pestaña Aplicaciones.
En Access status (Estado del acceso), seleccione una de las opciones siguientes:
- Permitir acceso: permite que los usuarios de conexión directa B2B accedan a las aplicaciones especificadas en Se aplica a.
- Bloquear acceso: bloquea las aplicaciones especificadas en Se aplica a para que los usuarios de conexión directa B2B no accedan a ellas.
En Se aplica a, seleccione uno de los siguientes:
- All applications (Todas las aplicaciones): aplica la acción elegida en Access status (Estado del acceso) a todas las aplicaciones.
- Seleccionar aplicaciones (requiere una suscripción Microsoft Entra ID P1 o P2): permite aplicar la acción elegida en Estado del acceso a aplicaciones específicas de la organización.
Si elige Select applications (Determinadas aplicaciones), realice las siguientes acciones para cada aplicación que quiera agregar:
- Seleccionar Agregar aplicaciones de Microsoft.
- En el panel de aplicaciones, escriba el nombre de la aplicación en el cuadro de búsqueda y seleccione la aplicación en los resultados de la búsqueda.
- Cuando haya terminado de seleccionar aplicaciones, elija Select (Seleccionar).
Seleccione Guardar.
Para cambiar la configuración de confianza entrante para MFA y el estado del dispositivo
Seleccione la pestaña Trust settings (Configuración de confianza).
Si va a configurar una organización, seleccione una de las siguientes:
Configuración predeterminada: la organización usa las opciones configuradas en la pestaña de configuración Predeterminado. Si ya se han configurado valores personalizados para esta organización, deberá seleccionar Sí para confirmar que desea que todos los valores se reemplacen por los predeterminados. Luego, seleccione Guardar y omita el resto de los pasos del procedimiento.
Personalización de la configuración: puede personalizar la configuración que se va a aplicar a esta organización en lugar de la configuración predeterminada. Continúe con el resto de los pasos de este procedimiento.
Seleccione una o varias de las siguientes opciones:
Confiar en la autenticación multifactor de los inquilinos de Microsoft Entra: seleccione esta casilla si las directivas de acceso condicional requieren autenticación multifactor (MFA). Esta configuración permite que las directivas de acceso condicional confíen en las notificaciones de MFA de organizaciones externas. Durante la autenticación, Microsoft Entra ID comprobará si, en las credenciales de un usuario, hay alguna notificación de que el usuario ha completado la autenticación multifactor (MFA). Si no lo ha hecho, se iniciará un desafío de MFA en el inquilino principal del usuario.
Trust compliant devices (Confiar en dispositivos compatibles): permite que las directivas de acceso condicional confíen en las notificaciones de dispositivo compatibles de una organización externa cuando sus usuarios acceden a los recursos.
Confiar en dispositivos unidos a Microsoft Entra híbridos: permite que las directivas de acceso condicional confíen en las notificaciones de dispositivos unidos a Microsoft Entra híbridos de una organización externa cuando sus usuarios acceden a los recursos.
(Este paso solo se aplica a Configuración de la organización). Revise la opción Canje automático:
- Canjear automáticamente invitaciones con el inquilino<inquilino>: Active esta opción si desea canjear automáticamente invitaciones. Si es así, los usuarios del inquilino especificado no tendrán que aceptar la solicitud de consentimiento la primera vez que accedan a este inquilino mediante la sincronización entre inquilinos, la colaboración B2B o la conexión directa B2B. Esta configuración solo suprime la solicitud de consentimiento si el inquilino especificado comprueba también esta configuración para el acceso saliente.
Seleccione Guardar.
Nota
Al configurar las opciones de una organización, observará una pestaña Sincronización entre inquilinos. Esta pestaña no se aplica a la configuración de conexión directa B2B. En su lugar, las organizaciones multiinquilino usan esta característica para habilitar la colaboración B2B en sus inquilinos. Para más información, consulte la documentación de la organización multiinquilino.
Modificación de la configuración del acceso de salida
En la configuración de salida, seleccione cuáles de los usuarios y grupos van a poder acceder a las aplicaciones externas que elija. Los pasos detallados para modificar la configuración de acceso saliente entre inquilinos son los mismos tanto si va a configurar valores predeterminados como específicos de la organización. Como se describe en esta sección, vaya a la pestaña Valor predeterminado o a una organización en la pestaña Configuración de la organización y luego realice los cambios.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.
Vaya a Identidad>Identidades externas>Configuración del acceso entre inquilinos.
Vaya a los valores que desea modificar:
Para modificar la configuración de salida predeterminada, seleccione la pestaña Default settings (Configuración predeterminada) y, después, en Outbound access settings (Configuración del acceso de salida), seleccione Edit outbound defaults (Editar valores predeterminados de salida).
Para modificar la configuración de una organización concreta, seleccione la pestaña Organizational settings (Configuración de la organización), busque la organización en la lista (o agregue una) y, después, seleccione el vínculo en la columna Outbound access (Acceso de salida).
Para cambiar la configuración de acceso de salida
Seleccione la pestaña conexión directa B2B.
Si va a configurar una organización, seleccione una de las siguientes:
Configuración predeterminada: la organización usa las opciones configuradas en la pestaña de configuración Predeterminado. Si ya se han configurado valores personalizados para esta organización, deberá seleccionar Sí para confirmar que desea que todos los valores se reemplacen por los predeterminados. Luego, seleccione Guardar y omita el resto de los pasos del procedimiento.
Customize settings (Personalizar configuración): puede personalizar la configuración de esta organización, que será la que se aplicará en esta organización en lugar de la predeterminada. Continúe con el resto de los pasos de este procedimiento.
Seleccione Usuarios y grupos.
En Access status (Estado del acceso), seleccione una de las opciones siguientes:
- Permitir acceso: permite que sus usuarios y grupos especificados en Se aplica a accedan a la conexión directa B2B.
- Bloquear acceso: impide que sus usuarios y grupos especificados en Se aplica a accedan a la conexión directa B2B. Bloquear el acceso de todos sus usuarios y grupos también impide que todas las aplicaciones externas se compartan a través de la conexión directa B2B.
En Se aplica a, seleccione uno de los siguientes:
- All <your organization> users (Todos los usuarios de
): aplica la acción elegida en Access status (Estado del acceso) a todos los usuarios y grupos. - Seleccione <su organización> usuarios y grupos (requiere una suscripción a Microsoft Entra ID P1 o P2): le permite aplicar la acción elegida en Estado de acceso a usuarios y grupos específicos.
- All <your organization> users (Todos los usuarios de
Si elige Select <your organization> users and groups (Seleccionar usuarios y grupos de
), realice las siguientes acciones para cada usuario o grupo que quiera agregar: - Seleccione Add <your organization> users and groups (Agregar usuarios y grupos de
). - En el panel Seleccionar, escriba el nombre de usuario o el nombre del grupo en el cuadro de búsqueda.
- Cuando haya terminado de seleccionar usuarios y grupos, elija Seleccionar.
Nota
Al dirigirse a los usuarios y grupos, no podrá seleccionar usuarios que hayan configurado la autenticación basada en SMS. Esto se debe a que los usuarios que tienen una "credencial federada" en su objeto de usuario están bloqueados para impedir que los usuarios externos se agreguen a la configuración de acceso saliente. Como solución alternativa, puede usar Microsoft Graph API para agregar el identificador de objeto del usuario directamente o dirigirse a un grupo al que pertenece el usuario.
- Seleccione Add <your organization> users and groups (Agregar usuarios y grupos de
Seleccione Guardar.
Seleccione la pestaña External applications (Aplicaciones externas).
En Access status (Estado del acceso), seleccione una de las opciones siguientes:
- Permitir acceso: permite que los usuarios de conexión directa B2B accedan a las aplicaciones especificadas en Se aplica a.
- Bloquear acceso: bloquea las aplicaciones especificadas en Se aplica a para que los usuarios de conexión directa B2B no accedan a ellas.
En Se aplica a, seleccione uno de los siguientes:
- All external applications (Todas las aplicaciones externas): aplica la acción elegida en Access status (Estado del acceso) a las aplicaciones externas.
- Seleccionar aplicaciones (requiere una suscripción Microsoft Entra ID P1 o P2): permite aplicar la acción elegida en Estado del acceso a aplicaciones externas específicas.
Si elige Select external applications (Determinadas aplicaciones externas), realice las siguientes acciones para cada aplicación que quiera agregar:
- Seleccione Add Microsoft applications (Agregar aplicaciones de Microsoft) o Add other applications (Agregar otras aplicaciones).
- En el panel de aplicaciones, escriba el nombre de la aplicación en el cuadro de búsqueda y seleccione la aplicación en los resultados de la búsqueda.
- Cuando haya terminado de seleccionar aplicaciones, elija Select (Seleccionar).
Seleccione Guardar.
Para cambiar la configuración de la confianza saliente
(Esta sección se aplica solo a Configuraciones de la organización).
Seleccione la pestaña Trust settings (Configuración de confianza).
Revise la opción Canje automático:
- Canjear automáticamente invitaciones con el inquilino<inquilino>: Active esta opción si desea canjear automáticamente invitaciones. Si es así, los usuarios del inquilino no tienen que aceptar la solicitud de consentimiento la primera vez que accedan al inquilino especificado mediante la sincronización entre inquilinos, la colaboración B2B o la conexión directa B2B. Esta configuración solo suprimirá el aviso de consentimiento si el inquilino especificado también marca esta configuración para el acceso entrante.
Seleccione Guardar.
Eliminación de una organización
Al quitar una organización de la configuración de la organización, la configuración de acceso entre inquilinos predeterminada entra en vigor para esa organización.
Nota:
Si la organización es un proveedor de servicios en la nube para su organización (la propiedad isServiceProvider de la configuración específica del asociado de Microsoft Graph es verdadera), no podrá quitar la organización.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.
Vaya a Identidad>Identidades externas>Configuración del acceso entre inquilinos.
Seleccione la pestaña Configuración de la organización.
Busque la organización en la lista y, a continuación, seleccione el icono de papelera en esa fila.
Pasos siguientes
Configuración del acceso entre inquilinos para la colaboración B2B