Modifier

Partager via

Gérer les paramètres d’accès entre locataires pour B2B Collaboration

  • Guide pratique

S’applique à :Cercle vert avec un symbole de coche blanche. Locataires de main-d’œuvre Cercle blanc avec un symbole X gris. Locataires externes (en savoir plus)

Utilisez les paramètres d’accès entre locataires des identités externes pour gérer la manière dont vous collaborez avec d’autres organisations Microsoft Entra via la collaboration B2B. Ces paramètres déterminent à la fois le niveau d’accès entrant dont disposent les utilisateurs des organisations Microsoft Entra externes à vos ressources et le niveau d’accès sortant dont disposent vos utilisateurs aux organisations externes. Ils vous permettent également de faire confiance à l'authentification multifacteur (MFA) et aux revendications d'appareil (revendications conformes et revendications jointes hybrides Microsoft Entra) provenant d'autres organisations Microsoft Entra. Pour plus de détails et de considérations de planification, consultez Accès entre locataires dans Microsoft Entra External ID.

Collaboration entre les clouds : les organisations partenaires dans différents clouds Microsoft peuvent configurer la collaboration B2B entre elles. Tout d’abord, les deux organisations doivent activer la collaboration entre elles, comme décrit dans Configurer les paramètres du cloud Microsoft. Ensuite, chaque organisation peut éventuellement modifier ses paramètres d’accès entrant et d’accès sortant, comme décrit ci-dessous.

Important

Le 30 août 2023, Microsoft commence à déplacer des clients à l’aide des paramètres d’accès interlocataires vers un nouveau modèle de stockage. Vous allez peut-être remarquer qu’une entrée dans vos journaux d’audit vous informe que vos paramètres d’accès interlocataires ont été mis à jour à mesure que notre tâche automatisée effectue une migration de vos paramètres. Pendant un bref instant au cours du processus de migration, vous n’allez pouvoir apporter aucune modification à vos paramètres. Si vous ne parvenez pas à apporter une modification, vous devez attendre quelques instants et réessayer la modification. Une fois la migration terminée, vous n’allez plus être limité à 25 Kb d’espace de stockage et le nombre de partenaires que vous pouvez ajouter ne va plus être limité.

Prérequis

Attention

La modification des paramètres d’entrée ou de sortie par défaut pour Bloquer l’accès peut bloquer l’accès stratégique existant aux applications de votre organisation ou de vos organisations partenaires. Assurez-vous d'utiliser les outils décrits dans Accès entre locataires dans Microsoft Entra External ID et consultez les parties prenantes de votre entreprise pour identifier l'accès requis.

  • Examinez la section Considérations importantes de la vue d’ensemble de l’accès multi-abonné avant de configurer les paramètres d’accès inter-abonnés.
  • Utilisez les outils et suivez les recommandations dans Identifier les connexions entrantes et sortantes pour comprendre à quelles organisations et ressources Microsoft Entra externes les utilisateurs accèdent actuellement.
  • Décidez du niveau d’accès par défaut que vous souhaitez appliquer à toutes les organisations Microsoft Entra externes.
  • Identifiez toutes les organisations Microsoft Entra qui ont besoin de paramètres personnalisés afin de pouvoir configurer les paramètres organisationnels pour elles.
  • Si vous souhaitez appliquer des paramètres d’accès à des utilisateurs, des groupes ou des applications spécifiques dans une organisation externe, vous devez contacter l’organisation pour obtenir des informations avant de configurer vos paramètres. Obtenez leurs ID d’objet utilisateur, ID d’objet de groupe ou ID d’application (ID d’application cliente ou ID d’application de ressource) afin de pouvoir cibler correctement vos paramètres.
  • Si vous souhaitez configurer la collaboration B2B avec une organisation partenaire dans un cloud Microsoft Azure externe, suivez les étapes décrites dans Configurer les paramètres du cloud Microsoft. Un administrateur de l’organisation partenaire doit faire de même pour votre locataire.
  • Les paramètres de liste d'autorisation/blocage et d'accès entre locataires sont vérifiés au moment de l'invitation. Si le domaine d’un utilisateur figure sur la liste d’autorisation, il peut être invité, sauf si le domaine est explicitement bloqué dans les paramètres d’accès entre tenants. Si le domaine d’un utilisateur figure sur la liste de refus, il ne peut pas être invité, quels que soient les paramètres d’accès entre tenants. Si un utilisateur ne figure sur aucune des listes, nous vérifions les paramètres d’accès entre tenants pour déterminer s’ils peuvent être invités.

Configurer les paramètres par défaut

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Les paramètres d’accès inter-locataires par défaut s’appliquent à toutes les organisations externes pour lesquelles vous n’avez pas créé de paramètres personnalisés spécifiques à l’organisation. Si vous souhaitez modifier les paramètres par défaut fournis par Microsoft Entra ID, procédez comme suit.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

  2. Accédez à Identité>External Identities>Paramètres d'accès interlocataire, puis sélectionnez Paramètres d’accès interlocataire.

  3. Sélectionnez l’onglet Paramètres par défaut et passez en revue la page Résumé.

    Capture d’écran montrant l’onglet Paramètres par défaut des paramètres d’accès interlocataire.

  4. Pour modifier les paramètres, sélectionnez le lien Modifier les valeurs par défaut entrantes ou Modifier les valeurs par défaut sortantes .

    Capture d’écran montrant les boutons de modification des paramètres par défaut.

  5. Modifiez les paramètres par défaut en suivant les étapes décrites dans les sections suivantes :

Ajouter une organisation

Procédez comme suit pour configurer des paramètres personnalisés pour des organisations spécifiques.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

  2. Accédez à Identité>Azure Active Directory for External Identities>Paramètres d'accès entre locataires, puis sélectionnez Paramètres organisationnels.

  3. Sélectionnez Ajouter une organisation.

  4. Dans le volet Ajouter une organisation, tapez le nom de domaine complet (ou ID de l’abonné) de l’organisation.

    Capture d’écran montrant l’ajout d’une organisation.

  5. Sélectionnez l’organisation dans les résultats de la recherche, puis sélectionnez Ajouter.

  6. L’organisation apparaît dans la liste Paramètres organisationnels . À ce stade, tous les paramètres d’accès de cette organisation sont hérités de vos paramètres par défaut. Pour modifier les paramètres de cette organisation, sélectionnez le lien Hérité de la valeur par défaut sous la colonne Accès entrant ou Accès sortant.

    Capture d’écran montrant une organisation ajoutée avec les paramètres par défaut.

  7. Modifiez les paramètres de l’organisation en suivant les étapes décrites dans les sections suivantes :

Modifier les paramètres d’accès entrant

Avec les paramètres entrants, vous sélectionnez les utilisateurs et les groupes externes qui peuvent accéder aux applications internes que vous choisissez. Que vous configuriez les paramètres par défaut ou les paramètres spécifiques de l’organisation, les étapes de modification des paramètres d’accès multi-abonné entrants sont les mêmes. Comme décrit dans cette section, vous accédez à l’onglet Par défaut ou à une organisation sur l’onglet Paramètres organisationnels, puis apportez vos modifications.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

  2. Accédez à Identité>Identités externes>Paramètres d’accès multilocataire.

  3. Accédez aux paramètres que vous souhaitez modifier :

    • Paramètres par défaut : pour modifier les paramètres entrants par défaut, sélectionnez l’onglet Paramètres par défautet sous Paramètres d’accès entrant, sélectionnez Modifier les valeurs entrantes par défaut.
    • Paramètres organisationnels : pour modifier les paramètres d’une organisation spécifique, sélectionnez l’onglet Paramètres organisationnels, recherchez l’organisation dans la liste (ou ajoutez-en une), puis sélectionnez le lien dans la colonne Accès entrant .

  4. Suivez les étapes détaillées pour les paramètres entrants que vous souhaitez modifier :

Remarque

Si vous utilisez les fonctionnalités de partage natives dans Microsoft SharePoint et Microsoft OneDrive avec l’intégration Microsoft Entra B2B activée, vous devez ajouter les domaines externes aux paramètres de collaboration externe. Sinon, les invitations de ces applications peuvent échouer, même si le locataire externe a été ajouté dans les paramètres d’accès entre locataires.

Pour modifier les paramètres entrants de la collaboration B2B

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

  2. Accéder à Identité>Identités externes>Paramètres d’accès interlocataire, puis sélectionnez Paramètres organisationnels

  3. Sélectionnez le lien dans la colonne Accès entrant et l’onglet Collaboration B2B.

  4. Si vous configurez des paramètres d’accès entrant pour une organisation spécifique, sélectionnez une option :

    • Paramètres par défaut : sélectionnez cette option si vous souhaitez que l’organisation utilise les paramètres entrants par défaut (comme configuré dans l’onglet des paramètres Par défaut). Si des paramètres personnalisés ont déjà été configurés pour cette organisation, vous devez sélectionner Oui pour confirmer que vous souhaitez que tous les paramètres soient remplacés par les paramètres par défaut. Sélectionnez ensuite Enregistrer, puis ignorez les étapes restantes de cette procédure.

    • Personnaliser les paramètres : sélectionnez cette option si vous souhaitez personnaliser les paramètres à appliquer pour cette organisation au lieu des paramètres par défaut. Poursuivez l’application des autres étapes de cette procédure.

  5. Sélectionner Utilisateurs et groupes externes.

  6. Sous État de l’accès, sélectionnez l’une des options suivantes :

    • Autoriser l’accès : Permet aux utilisateurs et groupes spécifiés sous S’applique à d’être invités pour la collaboration B2B.
    • Bloquer l’accès : Empêche les utilisateurs et groupes spécifiés sous S’applique à d’être invités à la collaboration B2B.

    Capture d’écran montrant la sélection de l’état de l’accès des utilisateurs pour la collaboration B2B.

  7. Sous S’applique à, sélectionnez l’une des options suivantes :

    • Tous les utilisateurs et groupes externes : applique l’action que vous avez choisie sous Statut d’accès à tous les utilisateurs et groupes des organisations Microsoft Entra externes.
    • Sélectionner des utilisateurs et des groupes externes (nécessite un abonnement Microsoft Entra ID P1 ou P2) : vous permet d'appliquer l'action que vous avez choisie sous Statut d'accès à des utilisateurs et des groupes spécifiques au sein de l'organisation externe.

    Remarque

    Si vous bloquez l’accès à tous les utilisateurs et groupes externes, vous devez également bloquer l’accès à toutes vos applications internes (sous l’onglet Applications ).

    Capture d’écran montrant la sélection des utilisateurs et des groupes cibles.

  8. Si vous avez choisi Sélectionner des utilisateurs et des groupes externes, procédez comme suit pour chaque utilisateur ou groupe que vous souhaitez ajouter :

    • Sélectionnez Ajouter des utilisateurs et groupes externes.
    • Dans le volet Ajouter d’autres utilisateurs et groupes, dans la zone de recherche, tapez l’ID d’objet utilisateur ou l’ID d’objet de groupe que vous avez obtenu auprès de votre organisation partenaire.
    • Dans le menu en regard de la zone de recherche, choisissez utilisateur ou groupe.
    • Sélectionnez Ajouter.

    Remarque

    Vous ne pouvez pas cibler des utilisateurs ou des groupes dans les paramètres par défaut entrants.

    Capture d’écran montrant l’ajout d’utilisateurs et de groupes.

  9. Lorsque vous avez terminé d’ajouter des utilisateurs et des groupes, sélectionnez Envoyer.

    Capture d’écran montrant l’ajout d’utilisateurs et de groupes à soumettre.

  10. Sélectionnez l'onglet Applications.

  11. Sous État de l’accès, sélectionnez l’une des options suivantes :

    • Autoriser l’accès : Permet aux utilisateurs de la collaboration B2B d’accéder aux applications spécifiées sous S’applique à.
    • Bloquer l’accès : Empêche les utilisateurs de la collaboration B2B d’accéder aux applications spécifiées sous S’applique à.

    Capture d’écran montrant l’état de l’accès des applications.

  12. Sous S’applique à, sélectionnez l’une des options suivantes :

    • Toutes les applications : applique l’action que vous avez choisie sous État de l’accès à toutes vos applications.
    • Sélectionner des applications (nécessite un abonnement Microsoft Entra ID P1 ou P2) : vous permet d'appliquer l'action que vous avez choisie sous Statut d'accès à des applications spécifiques de votre organisation.

    Remarque

    Si vous bloquez l’accès à toutes les applications, vous devez également bloquer l’accès à tous les utilisateurs et groupes externes (sous l’onglet Utilisateurs et groupes externes).

    Capture d’écran montrant les applications cibles.

  13. Si vous avez choisi Sélectionner des applications, procédez comme suit pour chaque application que vous souhaitez ajouter :

    • Sélectionnez Ajouter des applications Microsoft ou Ajouter d’autres applications.
    • Dans le volet Sélectionner, tapez le nom de l’application ou l’ID de l’application (ID de l’application cliente ou ID de l’application de ressource) dans la zone de recherche. Sélectionnez ensuite l’application dans les résultats de la recherche. Répétez cette opération pour chaque application que vous souhaitez ajouter.
    • Lorsque vous avez terminé de sélectionner des applications, choisissez Sélectionner.

    Capture d’écran montrant la sélection des applications.

  14. Cliquez sur Enregistrer.

Considérations relatives à l’autorisation des applications Microsoft

Si vous souhaitez configurer les paramètres d’accès interlocataire pour autoriser uniquement un ensemble d’applications désigné, envisagez d’ajouter les applications Microsoft indiquées dans le tableau suivant. Par exemple, si vous configurez une liste verte et que vous autorisez uniquement SharePoint Online, l’utilisateur ne peut pas accéder à Mes applications ni s’inscrire à l’authentification multifacteur dans le locataire de ressource. Pour garantir une expérience utilisateur final fluide, incluez les applications suivantes dans vos paramètres de collaboration entrante et sortante.

Application ID de ressource Disponible dans le portail Détails
Mes applications 2793995e-0a7d-40d7-bd35-6968ba142197 Oui Page d’accueil par défaut après l’invitation échangée. Définit l’accès à myapplications.microsoft.com.
Volet d’accès aux applications Microsoft 0000000c-0000-0000-c000-000000000000000 Non Utilisé dans certains appels à liaison tardive lors du chargement de certaines pages dans Mes connexions. Par exemple, le panneau Informations de sécurité ou le sélecteur d’organisations.
Mon Profil 8c59ead7-d703-4a27-9e55-c96a0054c8d2 Oui Définit l’accès à l’inclusion de myaccount.microsoft.com mes groupes et de mes portails d’accès. Certains onglets dans Mon profil nécessitent que les autres applications répertoriées ici fonctionnent.
Mes connexions 19db86c3-b2b9-44cc-b339-36da233a3be2 Non Définit l’accès à l’accès aux mysignins.microsoft.com informations de sécurité. Autorisez cette application si vous avez besoin que les utilisateurs s’inscrivent et utilisent l’authentification multifacteur dans le locataire de ressource (par exemple, l’authentification multifacteur n’est pas approuvée à partir du locataire domestique).

Certaines des applications du tableau précédent n’autorisent pas la sélection à partir du Centre d’administration Microsoft Entra. Pour les autoriser, ajoutez-les à l’API Microsoft Graph, comme illustré dans l’exemple suivant :

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

Remarque

Veillez à inclure toutes les applications supplémentaires que vous souhaitez autoriser dans la requête PATCH, car cela remplacera toutes les applications précédemment configurées. Les applications déjà configurées peuvent être récupérées manuellement à partir du portail ou en exécutant une requête GET sur la stratégie de partenaire. Par exemple, GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>

Remarque

Les applications ajoutées via l’API Microsoft Graph qui ne sont pas mappées à une application disponible dans le Centre d’administration Microsoft Entra s’affichent en tant qu’ID d’application.

Vous ne pouvez pas ajouter l’application Portails d’administration Microsoft aux paramètres d’accès entrant et sortant entre locataires dans le Centre d’administration Microsoft Entra. Pour autoriser l’accès externe aux portails d’administration Microsoft, utilisez l’API Microsoft Graph pour ajouter individuellement les applications suivantes qui font partie du groupe d’applications Microsoft Admin Portals :

  • Portail Azure (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Centre d’administration Microsoft Entra (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Portail Microsoft 365 Defender (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Centre d’administration Microsoft Intune (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Portail de conformité Microsoft Purview (80ccca67-54bd-44ab-8625-4b79c4dc7775)

Configurer l’ordre d’acceptation

Si vous souhaitez personnaliser l’ordre des fournisseurs d’identité que vos utilisateurs invités peuvent utiliser pour se connecter lorsqu’ils acceptent votre invitation, suivez les étapes suivantes.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité. Ouvrez ensuite le service Identité sur le côté gauche.

  2. Sélectionnez Identités externes>Paramètres d’accès interlocataire.

  3. Sous l’onglet Paramètres par défaut, sous Paramètres d’accès entrant, sélectionnez Modifier les valeurs par défaut entrantes.

  4. Sous l’onglet B2B Collaboration, sélectionnez l’onglet Ordre d’échange.

  5. Déplacez les fournisseurs d’identité vers le haut ou vers le bas pour changer l’ordre dans lequel vos utilisateurs invités peuvent se connecter lorsqu’ils acceptent votre invitation. Vous pouvez également rétablir l’ordre d’acceptation sur les paramètres par défaut ici.

    Capture d’écran montrant l’onglet de l’ordre d’acceptation.

  6. Sélectionnez Enregistrer.

Vous pouvez également personnaliser l’ordre d’acceptation via l’API Microsoft Graph.

  1. Ouvrez l’Explorateur Microsoft Graph.

  2. Connectez-vous en tant qu’Administrateur de sécurité au moins à votre locataire de ressource.

  3. Exécutez la requête suivante pour obtenir l’ordre d’acceptation actuel :

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
  1. Dans cet exemple, vous déplacez la fédération de fournisseur d’identité SAML/WS-Fed au sommet de la hiérarchie d’acceptation au-dessus du fournisseur d’identité Microsoft Entra. Corrigez le même URI avec le corps de la demande :
{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}

  1. Pour vérifier les modifications, exécutez la requête GET à nouveau.

  2. Pour rétablir l’ordre d’acceptation sur les paramètres par défaut, exécutez la requête suivante :

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

Fédération SAML/WS-Fed (fédération directe) pour des domaines vérifiés Microsoft Entra ID

Vous pouvez maintenant ajouter votre domaine vérifié Microsoft Entra ID inscrit pour configurer la relation de la fédération directe. Vous devez d’abord configurer la configuration de la fédération directe dans le centre d’administration ou via l’API. Veillez à ce que le domaine ne soit pas vérifié dans le même tenant. Une fois la configuration effectuée, vous pouvez personnaliser l’ordre d’acceptation. Le fournisseur d’identité SAML/WS-Fed est ajouté à l’ordre d’acceptation en tant que dernière entrée. Vous pouvez le déplacer vers le haut de l’ordre d’acceptation pour le définir au-dessus du fournisseur d’identité Microsoft Entra.

Empêcher vos utilisateurs B2B d’accepter une invitation en utilisant des comptes Microsoft

Pour empêcher vos utilisateurs invités B2B d’accepter leur invitation en utilisant leur compte Microsoft existant ou en créant un autre compte pour accepter l’invitation, suivez les étapes ci-dessous.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité. Ouvrez ensuite le service Identité sur le côté gauche.

  2. Sélectionnez Identités externes>Paramètres d’accès entre locataires.

  3. Sous Paramètres de l’organisation, sélectionnez le lien dans la colonne Accès entrant et l’onglet Collaboration B2B.

  4. Sélectionnez l’onglet Ordre d’acceptation.

  5. Sous Fournisseurs d’identité de secours, désactivez un compte de service Microsoft (MSA).

    Capture d’écran de l’option des fournisseurs d’identité de secours.

  6. Sélectionnez Enregistrer.

Vous devez avoir au moins un fournisseur d’identité de secours activé à tout moment. Si vous souhaitez désactiver des comptes Microsoft, vous devez activer un code secret à usage unique par e-mail. Vous ne pouvez pas désactiver les deux fournisseurs d’identité de secours. Tout utilisateur invité existant connecté avec un compte Microsoft continue de l’utiliser pendant les connexions suivantes. Vous devez rétablir son état d’acceptation pour appliquer ce paramètre.

Pour modifier les paramètres de confiance entrants pour accepter les revendications MFA et d’appareil

  1. Sélectionnez l’onglet Paramètres de confiance.

  2. (Cette étape s’applique seulement aux paramètres de l’organisation.) Si vous configurez les paramètres pour une organisation, sélectionnez une des options suivantes :

    • Paramètres par défaut : l’organisation utilise les paramètres configurés sous l’onglet paramètres Par défaut. Si des paramètres personnalisés ont déjà été configurés pour cette organisation, vous devez sélectionner Oui pour confirmer que vous souhaitez que tous les paramètres soient remplacés par les paramètres par défaut. Sélectionnez ensuite Enregistrer, puis ignorez les étapes restantes de cette procédure.

    • Personnaliser les paramètres : vous pouvez personnaliser les paramètres à appliquer pour cette organisation au lieu des paramètres par défaut. Poursuivez l’application des autres étapes de cette procédure.

  3. Sélectionnez une ou plusieurs des options suivantes :

    • Faire confiance à l’authentification multifacteur des locataires Microsoft Entra : cochez cette case pour permettre à vos stratégies d’accès conditionnel de faire confiance aux revendications MFA d’organisations externes. Lors de l'authentification, Microsoft Entra ID vérifie les informations d'identification d'un utilisateur pour confirmer que l'utilisateur a terminé l'authentification MFA. Si ce n’est pas le cas, une stimulation MFA est lancée dans le locataire d’origine de l’utilisateur. Notez que ce paramètre n’est pas appliqué si un utilisateur externe se connecte à l’aide de privilèges d’administrateur délégué granulaires (GDAP), par exemple un technicien d’un fournisseur de services cloud qui administre les services dans votre locataire. Lorsqu’un utilisateur externe se connecte à l’aide de GDAP, l’authentification multifacteur est toujours requise dans le locataire d’origine de l’utilisateur et toujours approuvée dans le locataire de ressources. L’inscription par authentification multifacteur d’un utilisateur GDAP n’est pas prise en charge en dehors du locataire d’origine de l’utilisateur. Si votre organisation doit interdire l’accès aux techniciens des fournisseurs de services basé sur l’authentification multifacteur dans le locataire d’origine de l’utilisateur, vous pouvez supprimer la relation GDAP dans le centre d’administration Microsoft 365.

    • Faire confiance aux appareils conformes : permet à vos stratégies d’accès conditionnel de faire confiance à des revendications de conformité d’appareils d’une organisation externe lorsque leurs utilisateurs accèdent à vos ressources.

    • Faire confiance aux appareils joints hybrides Microsoft Entra : permet à vos stratégies d’accès conditionnel de faire confiance aux revendications d’appareils joints hybrides Microsoft Entra provenant d’une organisation externe lorsque leurs utilisateurs accèdent à vos ressources.

    Capture d’écran montrant les paramètres d’approbation.

  4. (Cette étape s’applique uniquement aux paramètres organisationnels.) Vérifiez l’option d’échange automatique :

    • Échanger automatiquement des invitations avec le client <client> : vérifiez ce paramètre si vous souhaitez utiliser automatiquement les invitations. Dans ce cas, les utilisateurs du client spécifié n’auront pas à accepter l’invite de consentement la première fois qu’ils accèdent à ce client à l’aide de la synchronisation entre clients, de la collaboration B2B ou de la connexion directe B2B. Ce paramètre supprime l’invite de consentement uniquement si le locataire spécifié coche également ce paramètre pour l’accès sortant.

    Capture d’écran de la case à cocher de l’acceptation automatique du trafic entrant.

  5. Sélectionnez Enregistrer.

Autoriser les utilisateurs à se synchroniser avec ce locataire

Si vous sélectionnez Accès entrant pour l’organisation ajoutée, vous voyez l’onglet Synchronisation entre clients et la case à cocher Autoriser les utilisateurs à se synchroniser avec ce client. La synchronisation entre locataires est un service de synchronisation unidirectionnelle dans Microsoft Entra ID qui automatise la création, la mise à jour et la suppression d’utilisateurs de B2B Collaboration entre les locataires d’une organisation. Pour plus d’informations, consultez Configurer la synchronisation entre clients et la documentation sur les organisations multi-clients.

Capture d’écran montrant l’onglet Synchronisation entre clients avec la case à cocher Autoriser les utilisateurs à se synchroniser avec ce client.

Modifier les Paramètres d’accès sortants

Avec les paramètres sortants, vous sélectionnez les utilisateurs et les groupes externes qui pourront accéder aux applications internes que vous choisissez. Que vous configuriez les paramètres par défaut ou les paramètres spécifiques de l’organisation, les étapes de modification des paramètres d’accès multi-abonné sortants sont les mêmes. Comme décrit dans cette section, vous accédez à l’onglet Par défaut ou à une organisation sur l’onglet Paramètres organisationnels, puis apportez vos modifications.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

  2. Accédez à Identité>Identités externes>Paramètres d’accès multilocataire.

  3. Accédez aux paramètres que vous souhaitez modifier :

    • Pour modifier les paramètres sortants par défaut, sélectionnez l’ongletParamètres par défaut et sous Paramètres d’accès sortants sélectionnez Modifier les valeurs sortantes par défaut.

    • Pour modifier les paramètres d’une organisation spécifique, sélectionnez l’onglet Paramètres organisationnels recherchez l’organisation dans la liste (ou ajoutez-en une), puis sélectionnez le lien dans la colonne Accès sortant.

  4. Sélectionnez l’onglet Collaboration B2B.

  5. (Cette étape s’applique uniquement aux Paramètres de l'organisation uniquement.) Si vous configurez les paramètres d’une organisation, sélectionnez une option :

    • Paramètres par défaut : l’organisation utilise les paramètres configurés sous l’onglet paramètres Par défaut. Si des paramètres personnalisés ont déjà été configurés pour cette organisation, vous devez sélectionner Oui pour confirmer que vous souhaitez que tous les paramètres soient remplacés par les paramètres par défaut. Sélectionnez ensuite Enregistrer, puis ignorez les étapes restantes de cette procédure.

    • Personnaliser les paramètres : vous pouvez personnaliser les paramètres à appliquer pour cette organisation au lieu des paramètres par défaut. Poursuivez l’application des autres étapes de cette procédure.

  6. Sélectionnez Utilisateurs et groupes.

  7. Sous État de l’accès, sélectionnez l’une des options suivantes :

    • Autoriser l’accès : Permet à vos utilisateurs et groupes spécifiés sous S’applique à d’être invités à des organisations externes pour la collaboration B2B.
    • Bloquer l’accès : Empêche vos utilisateurs et groupes spécifiés sous S’applique à d’être invités à la collaboration B2B. Si vous bloquez l’accès pour tous les utilisateurs et groupes, cela empêche également l’accès à toutes les applications externes via la collaboration B2B.

    Capture d’écran montrant l’état de l’accès des utilisateurs et des groupes pour la collaboration B2B.

  8. Sous S’applique à, sélectionnez l’une des options suivantes :

    • Tous <les utilisateurs> de votre organisation  : applique l’action que vous avez choisie sous État de l’accès à tous vos utilisateurs et groupes.
    • Sélectionnez les utilisateurs et les groupes de <votre organisation> (nécessite un abonnement Microsoft Entra ID P1 ou P2) : vous permet d'appliquer l'action que vous avez choisie sous Statut d'accès à des utilisateurs et des groupes spécifiques.

    Remarque

    Si vous bloquez l’accès à tous vos utilisateurs et groupes, vous devez également bloquer l’accès à toutes vos applications externes (sous l’onglet Applications externes).

    Capture d’écran montrant la sélection des utilisateurs cibles pour la collaboration B2B.

  9. Si vous avez choisi Sélectionner <les utilisateurs et groupes>de votre organisation, procédez comme suit pour chaque utilisateur ou groupe que vous souhaitez ajouter :

    • Sélectionnez Ajouter <les utilisateurs et les groupes> de votre organisation .
    • Dans le volet Sélectionner, tapez le nom d’utilisateur ou le nom de groupe dans la zone de recherche.
    • Sélectionnez l’utilisateur ou le groupe dans les résultats de la recherche.
    • Lorsque vous avez terminé de sélectionner les utilisateurs et les groupes que vous souhaitez ajouter, choisissez Sélectionner.

    Notes

    Lorsque vous ciblez vos utilisateurs et groupes, vous ne pourrez pas sélectionner les utilisateurs qui ont configuré l’authentification par SMS. Cela est dû au fait que les utilisateurs qui ont des « informations d’identification fédérées » sur leur objet utilisateur sont bloqués pour empêcher les utilisateurs externes d’être ajoutés aux paramètres d’accès sortant. En guise de solution de contournement, vous pouvez utiliser l’API Microsoft Graph pour ajouter l’ID d’objet de l’utilisateur directement ou cibler un groupe auquel appartient l’utilisateur.

  10. Sélectionnez l’onglet Applications externes.

  11. Sous État de l’accès, sélectionnez l’une des options suivantes :

    • Autoriser l’accès : Permet à vos utilisateurs d’avoir accès aux applications externes spécifiées sous S’applique à via la collaboration B2B.
    • Bloquer l’accès : Empêche vos utilisateurs d’avoir accès aux applications externes spécifiées sous S’applique à via la collaboration B2B.

    Capture d’écran montrant l’état de l’accès des applications pour la collaboration B2B.

  12. Sous S’applique à, sélectionnez l’une des options suivantes :

    • Toutes les applications externes : applique l’action que vous avez choisie sous État de l’accès à toutes les applications externes.
    • Sélectionner des applications externes : applique l’action que vous avez choisie sous État de l’accès à toutes les applications externes.

    Notes

    Si vous bloquez l’accès à toutes les applications externes, vous devez également bloquer l’accès à tous vos utilisateurs et groupes (sous l’onglet Utilisateurs et groupes).

    Capture d’écran montrant le ciblage des applications pour la collaboration B2B.

  13. Si vous avez choisi Sélectionner des applications externes, procédez comme suit pour chaque application que vous souhaitez ajouter :

    • Sélectionnez Ajouter des applications Microsoft ou Ajouter d’autres applications.
    • Dans la zone de recherche, saisissez le nom de l’application ou l’ID de l’application (soit l’ID de l’application cliente soit l’ID de l’application de ressource). Sélectionnez ensuite l’application dans les résultats de la recherche. Répétez cette opération pour chaque application que vous souhaitez ajouter.
    • Lorsque vous avez terminé de sélectionner des applications, choisissez Sélectionner.

    Capture d’écran montrant la sélection d’applications pour la collaboration B2B.

  14. Sélectionnez Enregistrer.

Pour modifier les paramètres d’approbation sortante

(Cette section s’applique uniquement aux paramètres organisationnels.)

  1. Sélectionnez l’onglet Paramètres de confiance.

  2. Examinez l’option d’échange automatique :

    • Échanger automatiquement des invitations avec le client <client> : vérifiez ce paramètre si vous souhaitez utiliser automatiquement les invitations. Si c’est le cas, les utilisateurs du client spécifié n’auront pas à accepter l’invite de consentement la première fois qu’ils accèdent à ce client spécifié à l’aide de la synchronisation entre clients, de la collaboration B2B ou de la connexion directe B2B. Ce paramètre supprime l’invite de consentement uniquement si le locataire spécifié coche également ce paramètre pour l’accès entrant.

      Capture d’écran de la case à cocher de l’acceptation automatique du trafic sortant.

  3. Sélectionnez Enregistrer.

Supprimer une organisation

Lorsque vous supprimez une organisation de vos Paramètres organisationnels, les paramètres d’accès multilocataire par défaut entrent en vigueur pour cette organisation.

Remarque

Si l’organisation est un fournisseur de services cloud pour votre organisation (la propriété isServiceProvider dans la configuration spécifique au partenaire Microsoft Graph a la valeur true), vous ne pouvez pas supprimer l’organisation.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

  2. Accédez à Identité>Identités externes>Paramètres d’accès multilocataire.

  3. Sélectionnez l’onglet Paramètres organisationnels.

  4. Recherchez l’organisation dans la liste, puis sélectionnez l’icône de la corbeille sur cette ligne.

Contenu connexe