Gérer les paramètres d’accès entre locataires pour B2B Collaboration

S’applique à : Les locataires de main-d’œuvre Locataires externes (en savoir plus)

Utilisez les paramètres d’accès entre locataires des identités externes pour gérer la manière dont vous collaborez avec d’autres organisations Microsoft Entra via la collaboration B2B. Ces paramètres déterminent à la fois le niveau d’accès entrant des utilisateurs dans les organisations Microsoft Entra externes à vos ressources, ainsi que le niveau d’accès sortant dont vos utilisateurs ont besoin pour les organisations externes. Ils vous permettent également d’approuver l’authentification multifacteur (MFA) et les revendications d’appareil (revendications conformes et revendications jointes Microsoft Entra hybrides) d’autres organisations Microsoft Entra. Pour plus d’informations et des considérations relatives à la planification, consultez l’accès interlocataire dans l’ID externe Microsoft Entra.

Collaboration entre les clouds : Les organisations partenaires dans différents clouds Microsoft peuvent configurer la collaboration B2B entre elles. Tout d’abord, les deux organisations doivent activer la collaboration entre elles, comme décrit dans Configurer les paramètres cloud Microsoft. Ensuite, chaque organisation peut éventuellement modifier ses paramètres d’accès entrant et ses paramètres d’accès sortant, comme décrit ci-dessous.

Important

Le 30 août 2023, Microsoft commence à déplacer des clients à l’aide des paramètres d’accès interlocataires vers un nouveau modèle de stockage. Vous allez peut-être remarquer qu’une entrée dans vos journaux d’audit vous informe que vos paramètres d’accès interlocataires ont été mis à jour à mesure que notre tâche automatisée effectue une migration de vos paramètres. Pendant un bref instant au cours du processus de migration, vous n’allez pouvoir apporter aucune modification à vos paramètres. Si vous ne parvenez pas à apporter une modification, vous devez attendre quelques instants et réessayer la modification. Une fois la migration terminée, vous ne serez plus limité avec 25 Ko d’espace de stockage et il n’y aura plus de limites sur le nombre de partenaires que vous pouvez ajouter.

Prérequis

Attention

La modification des paramètres entrants ou sortants par défaut pour bloquer l’accès peut bloquer l’accès critique existant aux applications de votre organisation ou organisations partenaires. Veillez à utiliser les outils décrits dans l’accès interlocataire dans Microsoft Entra External ID et à consulter les parties prenantes de votre entreprise pour identifier l’accès requis.

• Passez en revue la section Considérations importantes dans la vue d’ensemble de l’accès interlocataire avant de configurer vos paramètres d’accès inter-locataires.
• Utilisez les outils et suivez les recommandations dans Identifier les connexions entrantes et sortantes pour comprendre les organisations et ressources Microsoft Entra externes auxquelles les utilisateurs accèdent actuellement.
• Décidez du niveau d’accès par défaut que vous souhaitez appliquer à toutes les organisations Microsoft Entra externes.
• Identifiez toutes les organisations Microsoft Entra qui ont besoin de paramètres personnalisés afin de pouvoir configurer les paramètres organisationnels pour eux.
• Si vous souhaitez appliquer des paramètres d’accès à des utilisateurs, des groupes ou des applications spécifiques dans une organisation externe, vous devez contacter l’organisation pour obtenir des informations avant de configurer vos paramètres. Obtenez leurs ID d’objet utilisateur, id d’objet de groupe ou ID d’application (ID d’application cliente ou ID d’application de ressource) afin de pouvoir cibler correctement vos paramètres.
• Si vous souhaitez configurer la collaboration B2B avec une organisation partenaire dans un cloud Microsoft Azure externe, suivez les étapes décrites dans Configurer les paramètres cloud Microsoft. Un administrateur de l’organisation partenaire doit faire de même pour votre locataire.
• Les paramètres de liste d'autorisation/blocage et d'accès entre locataires sont vérifiés au moment de l'invitation. Si le domaine d’un utilisateur figure sur la liste d’autorisation, il peut être invité, sauf si le domaine est explicitement bloqué dans les paramètres d’accès entre tenants. Si le domaine d’un utilisateur figure sur la liste de refus, il ne peut pas être invité, quels que soient les paramètres d’accès entre tenants. Si un utilisateur ne figure sur aucune des listes, nous vérifions les paramètres d’accès entre tenants pour déterminer s’ils peuvent être invités.

Configurer les paramètres par défaut

Les paramètres d’accès inter-locataires par défaut s’appliquent à toutes les organisations externes pour lesquelles vous n’avez pas créé de paramètres personnalisés spécifiques à l’organisation. Si vous souhaitez modifier les paramètres par défaut fournis par Microsoft Entra ID, procédez comme suit.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.

2. Accédez auxparamètres d’accès interlocataire des> externes >, puis sélectionnez Paramètres d’accès entre locataires.

3. Sélectionnez l’onglet Paramètres par défaut et passez en revue la page récapitulative.

   

4. Pour modifier les paramètres, sélectionnez le lien Modifier les valeurs par défaut entrantes ou le lien Modifier les paramètres sortants par défaut .

   

5. Modifiez les paramètres par défaut en suivant les étapes décrites dans les sections suivantes :

   • Modifier les paramètres d’accès entrant
   • Modifier les paramètres d’accès sortant

Ajouter une organisation

Procédez comme suit pour configurer des paramètres personnalisés pour des organisations spécifiques.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.

2. Accédez auxparamètres d’accès interlocataires des> externes >, puis sélectionnez Paramètres organisationnels.

3. Sélectionnez Ajouter une organisation.

4. Dans le volet Ajouter une organisation , tapez le nom de domaine complet (ou l’ID de locataire) de l’organisation.

   

5. Sélectionnez l’organisation dans les résultats de la recherche, puis sélectionnez Ajouter.

6. L’organisation apparaît dans la liste des paramètres de l’organisation . À ce stade, tous les paramètres d’accès de cette organisation sont hérités de vos paramètres par défaut. Pour modifier les paramètres de cette organisation, sélectionnez le lien Hérité à partir du lien par défaut sous la colonne Accès entrant ou Accès sortant .

   

7. Modifiez les paramètres de l’organisation en suivant les étapes décrites dans les sections suivantes :

   • Modifier les paramètres d’accès entrant
   • Modifier les paramètres d’accès sortant

Modifier les paramètres d’accès entrant

Avec les paramètres entrants, vous sélectionnez les utilisateurs et les groupes externes qui peuvent accéder aux applications internes que vous choisissez. Que vous configuriez les paramètres par défaut ou les paramètres spécifiques de l’organisation, les étapes de modification des paramètres d’accès multi-abonné entrants sont les mêmes. Comme décrit dans cette section, vous accédez à l’onglet Par défaut ou à une organisation sous l’onglet Paramètres de l’organisation , puis apportez vos modifications.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.

2. Accédez auxparamètres d’accès interlocataire des> externes >.

3. Accédez aux paramètres que vous souhaitez modifier :

   • Paramètres par défaut : pour modifier les paramètres entrants par défaut, sélectionnez l’onglet Paramètres par défaut, puis, sous Paramètres d’accès entrant, sélectionnez Modifier les paramètres entrants par défaut.
   • Paramètres organisationnels : pour modifier les paramètres d’une organisation spécifique, sélectionnez l’onglet Paramètres de l’organisation, recherchez l’organisation dans la liste (ou ajoutez-en une), puis sélectionnez le lien dans la colonne d’accès entrant .

4. Suivez les étapes détaillées pour les paramètres entrants que vous souhaitez modifier :

   • Pour modifier les paramètres de collaboration B2B entrants
   • Pour modifier les paramètres d’approbation entrant pour accepter l’authentification multifacteur et les revendications d’appareil

Remarque

Si vous utilisez les fonctionnalités de partage natives dans Microsoft SharePoint et Microsoft OneDrive avec l’intégration Microsoft Entra B2B activée, vous devez ajouter les domaines externes aux paramètres de collaboration externe. Sinon, les invitations de ces applications peuvent échouer, même si le locataire externe a été ajouté dans les paramètres d’accès entre locataires.

Pour modifier les paramètres entrants de la collaboration B2B

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.

2. Accédez auxparamètres d’accès interlocataire des> externes > Entra, puis sélectionnez Paramètres organisationnels

3. Sélectionnez le lien dans la colonne d’accès entrant et la collaboration B2B Si vous bloquez l’accès pour tous les utilisateurs et groupes externes, vous devez également bloquer l’accès à toutes vos applications internes.

4. Si vous configurez des paramètres d’accès entrant pour une organisation spécifique, sélectionnez une option :

   • Paramètres par défaut : sélectionnez cette option si vous souhaitez que l’organisation utilise les paramètres entrants par défaut (comme configuré sur les paramètres par défaut si vous bloquez l’accès pour tous les utilisateurs et groupes externes, vous devez également bloquer l’accès à toutes vos applications internes. Si les paramètres personnalisés ont déjà été configurés pour cette organisation, vous devez sélectionner Oui pour confirmer que tous les paramètres doivent être remplacés par les paramètres par défaut. Sélectionnez Ensuite Enregistrer, puis ignorez le reste des étapes de cette procédure.

   • Personnaliser les paramètres : sélectionnez cette option si vous souhaitez personnaliser les paramètres à appliquer pour cette organisation au lieu des paramètres par défaut. Poursuivez l’application des autres étapes de cette procédure.

5. Sélectionnez Utilisateurs et groupes externes.

6. Sous État d’accès, sélectionnez l’une des options suivantes :

   • Autoriser l’accès : autorise les utilisateurs et les groupes spécifiés sous S’applique à être invités pour la collaboration B2B.
   • Bloquer l’accès : empêche les utilisateurs et les groupes spécifiés sous S’appliquer à l’invitation à B2B Collaboration.

   

7. Sous S’applique à, sélectionnez l’une des options suivantes :

   • Tous les utilisateurs et groupes externes : applique l’action que vous avez choisie sous l’état Access à tous les utilisateurs et groupes provenant d’organisations Microsoft Entra externes.
   • Sélectionnez des utilisateurs et des groupes externes (nécessite un abonnement Microsoft Entra ID P1 ou P2) : vous permet d’appliquer l’action que vous avez choisie sous l’état Access à des utilisateurs et groupes spécifiques au sein de l’organisation externe.

   Remarque

   Si vous bloquez l’accès pour tous les utilisateurs et groupes externes, vous devez également bloquer l’accès à toutes vos applications internes (sous l’onglet Applications ). Si vous avez configuré la synchronisation entre locataires, le blocage de l’accès pour tous les utilisateurs et groupes externes peut bloquer la synchronisation entre locataires.

   

8. Si vous avez choisi Sélectionner des utilisateurs et des groupes externes, procédez comme suit pour chaque utilisateur ou groupe que vous souhaitez ajouter :

   • Sélectionnez Ajouter des utilisateurs et des groupes externes.
   • Dans le volet Ajouter d’autres utilisateurs et groupes , dans la zone de recherche, tapez l’ID d’objet utilisateur ou l’ID d’objet de groupe que vous avez obtenu auprès de votre organisation partenaire.
   • Dans le menu en regard de la zone de recherche, choisissez l’utilisateur ou le groupe.
   • Sélectionnez Ajouter.

   Remarque

   Vous ne pouvez pas cibler des utilisateurs ou des groupes dans les paramètres par défaut entrants.

   

9. Lorsque vous avez terminé d’ajouter des utilisateurs et des groupes, sélectionnez Envoyer.

   

10. Sélectionnez l’onglet Applications .

11. Sous État d’accès, sélectionnez l’une des options suivantes :

    • Autoriser l’accès : autorise les applications spécifiées sous S’applique à accéder aux utilisateurs B2B Collaboration.
    • Bloquer l’accès : bloque l’accès aux applications spécifiées sous S’applique aux utilisateurs B2B Collaboration.

    

12. Sous S’applique à, sélectionnez l’une des options suivantes :

    • Toutes les applications : applique l’action que vous avez choisie sous l’état Access à toutes vos applications.
    • Sélectionnez des applications (nécessite un abonnement Microsoft Entra ID P1 ou P2) : vous permet d’appliquer l’action que vous avez choisie sous État Access à des applications spécifiques de votre organisation.

    Remarque

    Si vous bloquez l’accès à toutes les applications, vous devez également bloquer l’accès pour tous les utilisateurs et groupes externes (sous l’onglet Utilisateurs et groupes externes ).

    

13. Si vous avez choisi Sélectionner des applications, procédez comme suit pour chaque application que vous souhaitez ajouter :

    • Sélectionnez Ajouter des applications Microsoft ou Ajouter d’autres applications.
    • Dans le volet Sélectionner , tapez le nom de l’application ou l’ID d’application (l’ID de l’application cliente ou l’ID d’application de ressource) dans la zone de recherche. Sélectionnez ensuite l’application dans les résultats de la recherche. Répétez cette opération pour chaque application que vous souhaitez ajouter.
    • Lorsque vous avez terminé de sélectionner des applications, sélectionnez Sélectionner.

    

14. Sélectionnez Enregistrer.

Considérations relatives à l’autorisation des applications Microsoft

Si vous souhaitez configurer les paramètres d’accès interlocataire pour autoriser uniquement un ensemble d’applications désigné, envisagez d’ajouter les applications Microsoft indiquées dans le tableau suivant. Par exemple, si vous configurez une liste verte et que vous autorisez uniquement SharePoint Online, l’utilisateur ne peut pas accéder à Mes applications ni s’inscrire à l’authentification multifacteur dans le locataire de ressource. Pour garantir une expérience utilisateur final fluide, incluez les applications suivantes dans vos paramètres de collaboration entrante et sortante.

Application	ID de ressource	Disponible dans le portail	Détails
Mes applications	Référence 2793995E-0A7D-40D7-BD35-6968BA142197	Oui	Page d’accueil par défaut après l’invitation échangée. Définit l’accès à myapplications.microsoft.com.
Volet d’accès aux applications Microsoft	0000000c-0000-0000-c000-000000000000000	Non	Utilisé dans certains appels à liaison tardive lors du chargement de certaines pages dans Mes connexions. Par exemple, le panneau Informations de sécurité ou le sélecteur d’organisations.
Mon Profil	8C59EAD7-D703-4A27-9E55-C96A0054C8D2	Oui	Définit l’accès à l’inclusion de myaccount.microsoft.com mes groupes et de mes portails d’accès. Certains onglets dans Mon profil nécessitent que les autres applications répertoriées ici fonctionnent.
Mes connexions	19db86c3-b2b9-44cc-b339-36da233a3be2	Non	Définit l’accès à l’accès aux mysignins.microsoft.com informations de sécurité. Autorisez cette application si vous avez besoin que les utilisateurs s’inscrivent et utilisent l’authentification multifacteur dans le locataire de ressource (par exemple, l’authentification multifacteur n’est pas approuvée à partir du locataire domestique).

Certaines des applications du tableau précédent n’autorisent pas la sélection à partir du Centre d’administration Microsoft Entra. Pour les autoriser, ajoutez-les à l’API Microsoft Graph, comme illustré dans l’exemple suivant :

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

Remarque

Veillez à inclure toutes les applications supplémentaires que vous souhaitez autoriser dans la requête PATCH, car cela remplacera toutes les applications précédemment configurées. Les applications déjà configurées peuvent être récupérées manuellement à partir du portail ou en exécutant une requête GET sur la stratégie de partenaire. Par exemple, GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>

Remarque

Les applications ajoutées via l’API Microsoft Graph qui ne sont pas mappées à une application disponible dans le Centre d’administration Microsoft Entra s’affichent en tant qu’ID d’application.

Vous ne pouvez pas ajouter l’application Portails d’administration Microsoft aux paramètres d’accès entrant et sortant entre locataires dans le Centre d’administration Microsoft Entra. Pour autoriser l’accès externe aux portails d’administration Microsoft, utilisez l’API Microsoft Graph pour ajouter individuellement les applications suivantes qui font partie du groupe d’applications Microsoft Admin Portals :

• Portail Azure (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Centre d’administration Microsoft Entra (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Portail Microsoft 365 Defender (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Centre d’administration Microsoft Intune (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Portail de conformité Microsoft Purview (80ccca67-54bd-44ab-8625-4b79c4dc7775)

Configurer l’ordre d’acceptation

Si vous souhaitez personnaliser l’ordre des fournisseurs d’identité que vos utilisateurs invités peuvent utiliser pour se connecter lorsqu’ils acceptent votre invitation, suivez les étapes suivantes.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.

2. Accédez auxparamètres d’accès interlocataire des> externes >.

3. Sous l’onglet Paramètres par défaut , sous Paramètres d’accès entrant, sélectionnez Modifier les paramètres entrants par défaut.

4. Sous l’onglet Collaboration B2B , sélectionnez l’onglet Ordre d’échange .

5. Déplacez les fournisseurs d’identité vers le haut ou vers le bas pour changer l’ordre dans lequel vos utilisateurs invités peuvent se connecter lorsqu’ils acceptent votre invitation. Vous pouvez également rétablir l’ordre d’acceptation sur les paramètres par défaut ici.

   

6. Sélectionnez Enregistrer.

Vous pouvez également personnaliser l’ordre d’acceptation via l’API Microsoft Graph.

1. Ouvrez l’Explorateur Microsoft Graph .

2. Connectez-vous en tant qu’administrateur de sécurité au moins à votre locataire de ressource.

3. Exécutez la requête suivante pour obtenir l’ordre d’acceptation actuel :

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default

4. Dans cet exemple, vous déplacez la fédération de fournisseur d’identité SAML/WS-Fed au sommet de la hiérarchie d’acceptation au-dessus du fournisseur d’identité Microsoft Entra. Corrigez le même URI avec le corps de la demande :

{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}

5. Pour vérifier les modifications, exécutez la requête GET à nouveau.

6. Pour rétablir l’ordre d’acceptation sur les paramètres par défaut, exécutez la requête suivante :

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

Fédération SAML/WS-Fed (fédération directe) pour des domaines vérifiés Microsoft Entra ID

Vous pouvez maintenant ajouter votre domaine vérifié Microsoft Entra ID inscrit pour configurer la relation de la fédération directe. Tout d’abord, vous devez configurer la configuration de fédération directe dans le centre d’administration ou via l’API. Veillez à ce que le domaine ne soit pas vérifié dans le même tenant. Une fois la configuration effectuée, vous pouvez personnaliser l’ordre d’acceptation. Le fournisseur d’identité SAML/WS-Fed est ajouté à l’ordre d’acceptation en tant que dernière entrée. Vous pouvez le déplacer vers le haut de l’ordre d’acceptation pour le définir au-dessus du fournisseur d’identité Microsoft Entra.

Empêcher vos utilisateurs B2B d’accepter une invitation en utilisant des comptes Microsoft

Pour empêcher vos utilisateurs invités B2B d’accepter leur invitation en utilisant leur compte Microsoft existant ou en créant un autre compte pour accepter l’invitation, suivez les étapes ci-dessous.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins

2. Accédez auxparamètres d’accès interlocataire des> externes >.

3. Sous l’onglet Paramètres par défaut , sous Paramètres d’accès entrant, sélectionnez Modifier les paramètres entrants par défaut.

4. Sous l’onglet Collaboration B2B , sélectionnez l’onglet Ordre d’échange .

5. Sous Fournisseurs d’identité de secours , désactivez le compte de service Microsoft (MSA).

   

6. Sélectionnez Enregistrer.

Vous devez avoir au moins un fournisseur d’identité de secours activé à tout moment. Si vous souhaitez désactiver des comptes Microsoft, vous devez activer un code secret à usage unique par e-mail. Vous ne pouvez pas désactiver les deux fournisseurs d’identité de secours. Tous les utilisateurs invités existants connectés avec des comptes Microsoft continuent de l’utiliser pendant les connexions suivantes. Vous devez réinitialiser son état d’échange pour que ce paramètre s’applique.

Pour modifier les paramètres de confiance entrants pour accepter les revendications MFA et d’appareil

1. Sélectionnez l’onglet Paramètres d’approbation .

2. (Cette étape s’applique uniquement aux paramètres organisationnels .) Si vous configurez des paramètres pour une organisation, sélectionnez l’une des options suivantes :

   • Paramètres par défaut : l’organisation utilise les paramètres configurés sous l’onglet Paramètres par défaut . Si les paramètres personnalisés ont déjà été configurés pour cette organisation, sélectionnez Oui pour confirmer que tous les paramètres doivent être remplacés par les paramètres par défaut. Sélectionnez Ensuite Enregistrer, puis ignorez le reste des étapes de cette procédure.

   • Personnaliser les paramètres : vous pouvez personnaliser les paramètres à appliquer pour cette organisation au lieu des paramètres par défaut. Poursuivez l’application des autres étapes de cette procédure.

3. Sélectionnez une ou plusieurs des options suivantes :

   • Approuver l’authentification multifacteur à partir des locataires Microsoft Entra : cochez cette case pour autoriser vos stratégies d’accès conditionnel à approuver les revendications MFA provenant d’organisations externes. Lors de l'authentification, Microsoft Entra ID vérifie les informations d'identification d'un utilisateur pour confirmer que l'utilisateur a terminé l'authentification MFA. Si ce n’est pas le cas, une stimulation MFA est lancée dans le locataire d’origine de l’utilisateur. Ce paramètre n’est pas appliqué si un utilisateur externe se connecte à l’aide de privilèges d’administrateur délégués granulaires (GDAP), tels qu’utilisés par un technicien auprès d’un fournisseur de services cloud qui administre les services dans votre locataire. Lorsqu’un utilisateur externe se connecte à l’aide de GDAP, l’authentification multifacteur est toujours requise dans le locataire d’origine de l’utilisateur et toujours approuvée dans le locataire de ressources. L’inscription par authentification multifacteur d’un utilisateur GDAP n’est pas prise en charge en dehors du locataire d’origine de l’utilisateur. Si votre organisation doit interdire l’accès aux techniciens du fournisseur de services en fonction de l’authentification multifacteur dans le locataire de domicile de l’utilisateur, vous pouvez supprimer la relation GDAP dans le Centre d’administration Microsoft 365.

   • Approuver les appareils conformes : permet à vos stratégies d’accès conditionnel d’approuver les revendications d’appareil conformes d’une organisation externe lorsque leurs utilisateurs accèdent à vos ressources.

   • Approuver les appareils joints à Microsoft Entra hybride : permet à vos stratégies d’accès conditionnel d’approuver les revendications d’appareils joints hybrides Microsoft Entra à partir d’une organisation externe lorsque leurs utilisateurs accèdent à vos ressources.

   

4. (Cette étape s’applique uniquement aux paramètres organisationnels .) Passez en revue l’option d’échange automatique :

   • Échanger automatiquement des invitations avec le locataire<locataire> : vérifiez ce paramètre si vous souhaitez échanger automatiquement des invitations. Dans ce cas, les utilisateurs du client spécifié n’auront pas à accepter l’invite de consentement la première fois qu’ils accèdent à ce client à l’aide de la synchronisation entre clients, de la collaboration B2B ou de la connexion directe B2B. Ce paramètre supprime l’invite de consentement uniquement si le locataire spécifié coche également ce paramètre pour l’accès sortant.

   

5. Sélectionnez Enregistrer.

Autoriser les utilisateurs à se synchroniser avec ce locataire

Si vous activez l’accès entrant de l’organisation ajoutée, vous voyez l’onglet Synchronisation entre locataires et la case Autoriser la synchronisation des utilisateurs dans ce locataire . La synchronisation entre locataires est un service de synchronisation unidirectionnelle dans Microsoft Entra ID qui automatise la création, la mise à jour et la suppression d’utilisateurs de B2B Collaboration entre les locataires d’une organisation. Pour plus d’informations, consultez Configurer la synchronisation entre locataires et la documentation sur les organisations mutualisées.

Modifier les Paramètres d’accès sortants

Avec les paramètres sortants, vous sélectionnez les utilisateurs et les groupes externes qui pourront accéder aux applications internes que vous choisissez. Que vous configuriez les paramètres par défaut ou les paramètres spécifiques de l’organisation, les étapes de modification des paramètres d’accès multi-abonné sortants sont les mêmes. Comme décrit dans cette section, vous accédez à l’onglet Par défaut ou à une organisation sous l’onglet Paramètres de l’organisation , puis apportez vos modifications.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.

2. Accédez auxparamètres d’accès interlocataire des> externes >.

3. Accédez aux paramètres que vous souhaitez modifier :

   • Pour modifier les paramètres sortants par défaut, sélectionnez l’onglet Paramètres par défaut, puis, sous Paramètres d’accès sortant, sélectionnez Modifier les paramètres sortants par défaut.

   • Pour modifier les paramètres d’une organisation spécifique, sélectionnez l’onglet Paramètres de l’organisation, recherchez l’organisation dans la liste (ou ajoutez-en une), puis sélectionnez le lien dans la colonne d’accès sortant .

4. Sélectionnez l’onglet B2B Collaboration .

5. (Cette étape s’applique uniquement aux paramètres organisationnels .) Si vous configurez des paramètres pour une organisation, sélectionnez une option :

   • Paramètres par défaut : l’organisation utilise les paramètres configurés sous l’onglet Paramètres par défaut . Si les paramètres personnalisés ont déjà été configurés pour cette organisation, vous devez sélectionner Oui pour confirmer que tous les paramètres doivent être remplacés par les paramètres par défaut. Sélectionnez Ensuite Enregistrer, puis ignorez le reste des étapes de cette procédure.

   • Personnaliser les paramètres : vous pouvez personnaliser les paramètres à appliquer pour cette organisation au lieu des paramètres par défaut. Poursuivez l’application des autres étapes de cette procédure.

6. Sélectionnez Utilisateurs et groupes.

7. Sous État d’accès, sélectionnez l’une des options suivantes :

   • Autoriser l’accès : permet à vos utilisateurs et groupes spécifiés sous S’applique à être invités à des organisations externes pour B2B Collaboration.
   • Bloquer l’accès : bloque les utilisateurs et les groupes spécifiés sous S’applique à l’invitation à B2B Collaboration. Si vous bloquez l’accès pour tous les utilisateurs et groupes, cela empêche également l’accès à toutes les applications externes via la collaboration B2B.

   

8. Sous S’applique à, sélectionnez l’une des options suivantes :

   • Tous les <utilisateurs de votre organisation> : applique l’action que vous avez choisie sous l’état Access à tous vos utilisateurs et groupes.
   • Sélectionnez <les utilisateurs et groupes de votre organisation> (nécessite un abonnement Microsoft Entra ID P1 ou P2) : vous permet d’appliquer l’action que vous avez choisie sous l’état Access à des utilisateurs et groupes spécifiques.

   Remarque

   Si vous bloquez l’accès pour tous vos utilisateurs et groupes, vous devez également bloquer l’accès à toutes les applications externes (sous l’onglet Applications externes ).

   

9. Si vous avez choisi De sélectionner <les utilisateurs et groupes de votre organisation>, procédez comme suit pour chaque utilisateur ou groupe que vous souhaitez ajouter :

   • Sélectionnez Ajouter des <utilisateurs et des groupes de votre organisation>.
   • Dans le volet Sélectionner , tapez le nom d’utilisateur ou le nom du groupe dans la zone de recherche.
   • Sélectionnez l’utilisateur ou le groupe dans les résultats de la recherche.
   • Lorsque vous avez terminé de sélectionner les utilisateurs et les groupes que vous souhaitez ajouter, sélectionnez Sélectionner.

   Remarque

   Lorsque vous ciblez vos utilisateurs et groupes, vous ne pourrez pas sélectionner les utilisateurs qui ont configuré l’authentification par SMS. Cela est dû au fait que les utilisateurs qui ont des « informations d’identification fédérées » sur leur objet utilisateur sont bloqués pour empêcher les utilisateurs externes d’être ajoutés aux paramètres d’accès sortant. Pour contourner ce problème, vous pouvez utiliser l’API Microsoft Graph pour ajouter l’ID d’objet de l’utilisateur directement ou cibler un groupe auquel appartient l’utilisateur.

10. Sélectionnez l’onglet Applications externes .

11. Sous État d’accès, sélectionnez l’une des options suivantes :

    • Autoriser l’accès : autorise les applications externes spécifiées sous S’applique à être accessibles par vos utilisateurs via B2B Collaboration.
    • Bloquer l’accès : bloque l’accès aux applications externes spécifiées sous S’applique à ceux auxquels vos utilisateurs accèdent via B2B Collaboration.

    

12. Sous S’applique à, sélectionnez l’une des options suivantes :

    • Toutes les applications externes : applique l’action que vous avez choisie sous l’état Access à toutes les applications externes.
    • Sélectionnez des applications externes : applique l’action que vous avez choisie sous État Access à toutes les applications externes.

    Remarque

    Si vous bloquez l’accès à toutes les applications externes, vous devez également bloquer l’accès pour tous vos utilisateurs et groupes (sous l’onglet Utilisateurs et groupes ).

    

13. Si vous avez choisi Sélectionner des applications externes, procédez comme suit pour chaque application que vous souhaitez ajouter :

    • Sélectionnez Ajouter des applications Microsoft ou Ajouter d’autres applications.
    • Dans la zone de recherche, tapez le nom de l’application ou l’ID d’application (l’ID de l’application cliente ou l’ID d’application de ressource). Sélectionnez ensuite l’application dans les résultats de la recherche. Répétez cette opération pour chaque application que vous souhaitez ajouter.
    • Lorsque vous avez terminé de sélectionner des applications, sélectionnez Sélectionner.

    

14. Sélectionnez Enregistrer.

Pour modifier les paramètres d’approbation sortante

(Cette section s’applique uniquement aux paramètres organisationnels .)

1. Sélectionnez l’onglet Paramètres d’approbation .

2. Passez en revue l’option d’échange automatique :

   • Échanger automatiquement des invitations avec le locataire<locataire> : vérifiez ce paramètre si vous souhaitez échanger automatiquement des invitations. Si c’est le cas, les utilisateurs du client spécifié n’auront pas à accepter l’invite de consentement la première fois qu’ils accèdent à ce client spécifié à l’aide de la synchronisation entre clients, de la collaboration B2B ou de la connexion directe B2B. Ce paramètre supprime l’invite de consentement uniquement si le locataire spécifié coche également ce paramètre pour l’accès entrant.

     

3. Sélectionnez Enregistrer.

Supprimer une organisation

Lorsque vous supprimez une organisation de vos Paramètres organisationnels, les paramètres d’accès multilocataire par défaut entrent en vigueur pour cette organisation.

Remarque

Si l’organisation est un fournisseur de services cloud pour votre organisation (la propriété isServiceProvider dans la configuration spécifique au partenaire Microsoft Graph est vraie), vous ne pourrez pas supprimer l’organisation.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.

2. Accédez auxparamètres d’accès interlocataire des> externes >.

3. Sélectionnez l’onglet Paramètres de l’organisation .

4. Recherchez l’organisation dans la liste, puis sélectionnez l’icône de la corbeille sur cette ligne.

Contenu connexe

• Configurer les paramètres de collaboration externe
• Configurer les paramètres d’accès entre locataires pour la connexion directe B2B

S’applique à : Les locataires de main-d’œuvre Locataires externes (en savoir plus)

Utilisez les paramètres d’accès entre locataires des identités externes pour gérer la manière dont vous collaborez avec d’autres organisations Microsoft Entra via la collaboration B2B. Ces paramètres déterminent à la fois le niveau d’accès entrant des utilisateurs dans les organisations Microsoft Entra externes à vos ressources, ainsi que le niveau d’accès sortant dont vos utilisateurs ont besoin pour les organisations externes. Ils vous permettent également d’approuver l’authentification multifacteur (MFA) et les revendications d’appareil (revendications conformes et revendications jointes Microsoft Entra hybrides) d’autres organisations Microsoft Entra. Pour plus d’informations et des considérations relatives à la planification, consultez l’accès interlocataire dans l’ID externe Microsoft Entra.

Collaboration entre les clouds : Les organisations partenaires dans différents clouds Microsoft peuvent configurer la collaboration B2B entre elles. Tout d’abord, les deux organisations doivent activer la collaboration entre elles, comme décrit dans Configurer les paramètres cloud Microsoft. Ensuite, chaque organisation peut éventuellement modifier ses paramètres d’accès entrant et ses paramètres d’accès sortant, comme décrit ci-dessous.

Important

Le 30 août 2023, Microsoft commence à déplacer des clients à l’aide des paramètres d’accès interlocataires vers un nouveau modèle de stockage. Vous allez peut-être remarquer qu’une entrée dans vos journaux d’audit vous informe que vos paramètres d’accès interlocataires ont été mis à jour à mesure que notre tâche automatisée effectue une migration de vos paramètres. Pendant un bref instant au cours du processus de migration, vous n’allez pouvoir apporter aucune modification à vos paramètres. Si vous ne parvenez pas à apporter une modification, vous devez attendre quelques instants et réessayer la modification. Une fois la migration terminée, vous ne serez plus limité avec 25 Ko d’espace de stockage et il n’y aura plus de limites sur le nombre de partenaires que vous pouvez ajouter.

Attention

La modification des paramètres entrants ou sortants par défaut pour bloquer l’accès peut bloquer l’accès critique existant aux applications de votre organisation ou organisations partenaires. Veillez à utiliser les outils décrits dans l’accès interlocataire dans Microsoft Entra External ID et à consulter les parties prenantes de votre entreprise pour identifier l’accès requis.

• Passez en revue la section Considérations importantes dans la vue d’ensemble de l’accès interlocataire avant de configurer vos paramètres d’accès inter-locataires.
• Utilisez les outils et suivez les recommandations dans Identifier les connexions entrantes et sortantes pour comprendre les organisations et ressources Microsoft Entra externes auxquelles les utilisateurs accèdent actuellement.
• Décidez du niveau d’accès par défaut que vous souhaitez appliquer à toutes les organisations Microsoft Entra externes.
• Identifiez toutes les organisations Microsoft Entra qui ont besoin de paramètres personnalisés afin de pouvoir configurer les paramètres organisationnels pour eux.
• Si vous souhaitez appliquer des paramètres d’accès à des utilisateurs, des groupes ou des applications spécifiques dans une organisation externe, vous devez contacter l’organisation pour obtenir des informations avant de configurer vos paramètres. Obtenez leurs ID d’objet utilisateur, id d’objet de groupe ou ID d’application (ID d’application cliente ou ID d’application de ressource) afin de pouvoir cibler correctement vos paramètres.
• Si vous souhaitez configurer la collaboration B2B avec une organisation partenaire dans un cloud Microsoft Azure externe, suivez les étapes décrites dans Configurer les paramètres cloud Microsoft. Un administrateur de l’organisation partenaire doit faire de même pour votre locataire.
• Les paramètres de liste d'autorisation/blocage et d'accès entre locataires sont vérifiés au moment de l'invitation. Si le domaine d’un utilisateur figure sur la liste d’autorisation, il peut être invité, sauf si le domaine est explicitement bloqué dans les paramètres d’accès entre tenants. Si le domaine d’un utilisateur figure sur la liste de refus, il ne peut pas être invité, quels que soient les paramètres d’accès entre tenants. Si un utilisateur ne figure sur aucune des listes, nous vérifions les paramètres d’accès entre tenants pour déterminer s’ils peuvent être invités.

Les paramètres d’accès inter-locataires par défaut s’appliquent à toutes les organisations externes pour lesquelles vous n’avez pas créé de paramètres personnalisés spécifiques à l’organisation. Si vous souhaitez modifier les paramètres par défaut fournis par Microsoft Entra ID, procédez comme suit.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.

2. Accédez auxparamètres d’accès interlocataire des> externes >, puis sélectionnez Paramètres d’accès entre locataires.

3. Sélectionnez l’onglet Paramètres par défaut et passez en revue la page récapitulative.

   

4. Pour modifier les paramètres, sélectionnez le lien Modifier les valeurs par défaut entrantes ou le lien Modifier les paramètres sortants par défaut .

   

5. Modifiez les paramètres par défaut en suivant les étapes décrites dans les sections suivantes :

   • Modifier les paramètres d’accès entrant
   • Modifier les paramètres d’accès sortant

Procédez comme suit pour configurer des paramètres personnalisés pour des organisations spécifiques.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.

2. Accédez auxparamètres d’accès interlocataires des> externes >, puis sélectionnez Paramètres organisationnels.

3. Sélectionnez Ajouter une organisation.

4. Dans le volet Ajouter une organisation , tapez le nom de domaine complet (ou l’ID de locataire) de l’organisation.

   

5. Sélectionnez l’organisation dans les résultats de la recherche, puis sélectionnez Ajouter.

6. L’organisation apparaît dans la liste des paramètres de l’organisation . À ce stade, tous les paramètres d’accès de cette organisation sont hérités de vos paramètres par défaut. Pour modifier les paramètres de cette organisation, sélectionnez le lien Hérité à partir du lien par défaut sous la colonne Accès entrant ou Accès sortant .

   

7. Modifiez les paramètres de l’organisation en suivant les étapes décrites dans les sections suivantes :

   • Modifier les paramètres d’accès entrant
   • Modifier les paramètres d’accès sortant

Avec les paramètres entrants, vous sélectionnez les utilisateurs et les groupes externes qui peuvent accéder aux applications internes que vous choisissez. Que vous configuriez les paramètres par défaut ou les paramètres spécifiques de l’organisation, les étapes de modification des paramètres d’accès multi-abonné entrants sont les mêmes. Comme décrit dans cette section, vous accédez à l’onglet Par défaut ou à une organisation sous l’onglet Paramètres de l’organisation , puis apportez vos modifications.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.

2. Accédez auxparamètres d’accès interlocataire des> externes >.

3. Accédez aux paramètres que vous souhaitez modifier :

   • Paramètres par défaut : pour modifier les paramètres entrants par défaut, sélectionnez l’onglet Paramètres par défaut, puis, sous Paramètres d’accès entrant, sélectionnez Modifier les paramètres entrants par défaut.
   • Paramètres organisationnels : pour modifier les paramètres d’une organisation spécifique, sélectionnez l’onglet Paramètres de l’organisation, recherchez l’organisation dans la liste (ou ajoutez-en une), puis sélectionnez le lien dans la colonne d’accès entrant .

4. Suivez les étapes détaillées pour les paramètres entrants que vous souhaitez modifier :

   • Pour modifier les paramètres de collaboration B2B entrants
   • Pour modifier les paramètres d’approbation entrant pour accepter l’authentification multifacteur et les revendications d’appareil

Remarque

Si vous utilisez les fonctionnalités de partage natives dans Microsoft SharePoint et Microsoft OneDrive avec l’intégration Microsoft Entra B2B activée, vous devez ajouter les domaines externes aux paramètres de collaboration externe. Sinon, les invitations de ces applications peuvent échouer, même si le locataire externe a été ajouté dans les paramètres d’accès entre locataires.

Pour modifier les paramètres entrants de la collaboration B2B

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.

2. Accédez auxparamètres d’accès interlocataire des> externes > Entra, puis sélectionnez Paramètres organisationnels

3. Sélectionnez le lien dans la colonne d’accès entrant et la collaboration B2B Si vous bloquez l’accès pour tous les utilisateurs et groupes externes, vous devez également bloquer l’accès à toutes vos applications internes.

4. Si vous configurez des paramètres d’accès entrant pour une organisation spécifique, sélectionnez une option :

   • Paramètres par défaut : sélectionnez cette option si vous souhaitez que l’organisation utilise les paramètres entrants par défaut (comme configuré sur les paramètres par défaut si vous bloquez l’accès pour tous les utilisateurs et groupes externes, vous devez également bloquer l’accès à toutes vos applications internes. Si les paramètres personnalisés ont déjà été configurés pour cette organisation, vous devez sélectionner Oui pour confirmer que tous les paramètres doivent être remplacés par les paramètres par défaut. Sélectionnez Ensuite Enregistrer, puis ignorez le reste des étapes de cette procédure.

   • Personnaliser les paramètres : sélectionnez cette option si vous souhaitez personnaliser les paramètres à appliquer pour cette organisation au lieu des paramètres par défaut. Poursuivez l’application des autres étapes de cette procédure.

5. Sélectionnez Utilisateurs et groupes externes.

6. Sous État d’accès, sélectionnez l’une des options suivantes :

   • Autoriser l’accès : autorise les utilisateurs et les groupes spécifiés sous S’applique à être invités pour la collaboration B2B.
   • Bloquer l’accès : empêche les utilisateurs et les groupes spécifiés sous S’appliquer à l’invitation à B2B Collaboration.

   

7. Sous S’applique à, sélectionnez l’une des options suivantes :

   • Tous les utilisateurs et groupes externes : applique l’action que vous avez choisie sous l’état Access à tous les utilisateurs et groupes provenant d’organisations Microsoft Entra externes.
   • Sélectionnez des utilisateurs et des groupes externes (nécessite un abonnement Microsoft Entra ID P1 ou P2) : vous permet d’appliquer l’action que vous avez choisie sous l’état Access à des utilisateurs et groupes spécifiques au sein de l’organisation externe.

   Remarque

   Si vous bloquez l’accès pour tous les utilisateurs et groupes externes, vous devez également bloquer l’accès à toutes vos applications internes (sous l’onglet Applications ). Si vous avez configuré la synchronisation entre locataires, le blocage de l’accès pour tous les utilisateurs et groupes externes peut bloquer la synchronisation entre locataires.

   

8. Si vous avez choisi Sélectionner des utilisateurs et des groupes externes, procédez comme suit pour chaque utilisateur ou groupe que vous souhaitez ajouter :

   • Sélectionnez Ajouter des utilisateurs et des groupes externes.
   • Dans le volet Ajouter d’autres utilisateurs et groupes , dans la zone de recherche, tapez l’ID d’objet utilisateur ou l’ID d’objet de groupe que vous avez obtenu auprès de votre organisation partenaire.
   • Dans le menu en regard de la zone de recherche, choisissez l’utilisateur ou le groupe.
   • Sélectionnez Ajouter.

   Remarque

   Vous ne pouvez pas cibler des utilisateurs ou des groupes dans les paramètres par défaut entrants.

   

9. Lorsque vous avez terminé d’ajouter des utilisateurs et des groupes, sélectionnez Envoyer.

   

10. Sélectionnez l’onglet Applications .

11. Sous État d’accès, sélectionnez l’une des options suivantes :

    • Autoriser l’accès : autorise les applications spécifiées sous S’applique à accéder aux utilisateurs B2B Collaboration.
    • Bloquer l’accès : bloque l’accès aux applications spécifiées sous S’applique aux utilisateurs B2B Collaboration.

    

12. Sous S’applique à, sélectionnez l’une des options suivantes :

    • Toutes les applications : applique l’action que vous avez choisie sous l’état Access à toutes vos applications.
    • Sélectionnez des applications (nécessite un abonnement Microsoft Entra ID P1 ou P2) : vous permet d’appliquer l’action que vous avez choisie sous État Access à des applications spécifiques de votre organisation.

    Remarque

    Si vous bloquez l’accès à toutes les applications, vous devez également bloquer l’accès pour tous les utilisateurs et groupes externes (sous l’onglet Utilisateurs et groupes externes ).

    

13. Si vous avez choisi Sélectionner des applications, procédez comme suit pour chaque application que vous souhaitez ajouter :

    • Sélectionnez Ajouter des applications Microsoft ou Ajouter d’autres applications.
    • Dans le volet Sélectionner , tapez le nom de l’application ou l’ID d’application (l’ID de l’application cliente ou l’ID d’application de ressource) dans la zone de recherche. Sélectionnez ensuite l’application dans les résultats de la recherche. Répétez cette opération pour chaque application que vous souhaitez ajouter.
    • Lorsque vous avez terminé de sélectionner des applications, sélectionnez Sélectionner.

    

14. Sélectionnez Enregistrer.

Considérations relatives à l’autorisation des applications Microsoft

Si vous souhaitez configurer les paramètres d’accès interlocataire pour autoriser uniquement un ensemble d’applications désigné, envisagez d’ajouter les applications Microsoft indiquées dans le tableau suivant. Par exemple, si vous configurez une liste verte et que vous autorisez uniquement SharePoint Online, l’utilisateur ne peut pas accéder à Mes applications ni s’inscrire à l’authentification multifacteur dans le locataire de ressource. Pour garantir une expérience utilisateur final fluide, incluez les applications suivantes dans vos paramètres de collaboration entrante et sortante.

Application	ID de ressource	Disponible dans le portail	Détails
Mes applications	Référence 2793995E-0A7D-40D7-BD35-6968BA142197	Oui	Page d’accueil par défaut après l’invitation échangée. Définit l’accès à myapplications.microsoft.com.
Volet d’accès aux applications Microsoft	0000000c-0000-0000-c000-000000000000000	Non	Utilisé dans certains appels à liaison tardive lors du chargement de certaines pages dans Mes connexions. Par exemple, le panneau Informations de sécurité ou le sélecteur d’organisations.
Mon Profil	8C59EAD7-D703-4A27-9E55-C96A0054C8D2	Oui	Définit l’accès à l’inclusion de myaccount.microsoft.com mes groupes et de mes portails d’accès. Certains onglets dans Mon profil nécessitent que les autres applications répertoriées ici fonctionnent.
Mes connexions	19db86c3-b2b9-44cc-b339-36da233a3be2	Non	Définit l’accès à l’accès aux mysignins.microsoft.com informations de sécurité. Autorisez cette application si vous avez besoin que les utilisateurs s’inscrivent et utilisent l’authentification multifacteur dans le locataire de ressource (par exemple, l’authentification multifacteur n’est pas approuvée à partir du locataire domestique).

Certaines des applications du tableau précédent n’autorisent pas la sélection à partir du Centre d’administration Microsoft Entra. Pour les autoriser, ajoutez-les à l’API Microsoft Graph, comme illustré dans l’exemple suivant :

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

Remarque

Veillez à inclure toutes les applications supplémentaires que vous souhaitez autoriser dans la requête PATCH, car cela remplacera toutes les applications précédemment configurées. Les applications déjà configurées peuvent être récupérées manuellement à partir du portail ou en exécutant une requête GET sur la stratégie de partenaire. Par exemple, GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>

Remarque

Les applications ajoutées via l’API Microsoft Graph qui ne sont pas mappées à une application disponible dans le Centre d’administration Microsoft Entra s’affichent en tant qu’ID d’application.

Vous ne pouvez pas ajouter l’application Portails d’administration Microsoft aux paramètres d’accès entrant et sortant entre locataires dans le Centre d’administration Microsoft Entra. Pour autoriser l’accès externe aux portails d’administration Microsoft, utilisez l’API Microsoft Graph pour ajouter individuellement les applications suivantes qui font partie du groupe d’applications Microsoft Admin Portals :

• Portail Azure (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Centre d’administration Microsoft Entra (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Portail Microsoft 365 Defender (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Centre d’administration Microsoft Intune (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Portail de conformité Microsoft Purview (80ccca67-54bd-44ab-8625-4b79c4dc7775)

Configurer l’ordre d’acceptation

Si vous souhaitez personnaliser l’ordre des fournisseurs d’identité que vos utilisateurs invités peuvent utiliser pour se connecter lorsqu’ils acceptent votre invitation, suivez les étapes suivantes.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.

2. Accédez auxparamètres d’accès interlocataire des> externes >.

3. Sous l’onglet Paramètres par défaut , sous Paramètres d’accès entrant, sélectionnez Modifier les paramètres entrants par défaut.

4. Sous l’onglet Collaboration B2B , sélectionnez l’onglet Ordre d’échange .

5. Déplacez les fournisseurs d’identité vers le haut ou vers le bas pour changer l’ordre dans lequel vos utilisateurs invités peuvent se connecter lorsqu’ils acceptent votre invitation. Vous pouvez également rétablir l’ordre d’acceptation sur les paramètres par défaut ici.

   

6. Sélectionnez Enregistrer.

Vous pouvez également personnaliser l’ordre d’acceptation via l’API Microsoft Graph.

1. Ouvrez l’Explorateur Microsoft Graph .

2. Connectez-vous en tant qu’administrateur de sécurité au moins à votre locataire de ressource.

3. Exécutez la requête suivante pour obtenir l’ordre d’acceptation actuel :

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default

4. Dans cet exemple, vous déplacez la fédération de fournisseur d’identité SAML/WS-Fed au sommet de la hiérarchie d’acceptation au-dessus du fournisseur d’identité Microsoft Entra. Corrigez le même URI avec le corps de la demande :

{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}

5. Pour vérifier les modifications, exécutez la requête GET à nouveau.

6. Pour rétablir l’ordre d’acceptation sur les paramètres par défaut, exécutez la requête suivante :

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

Fédération SAML/WS-Fed (fédération directe) pour des domaines vérifiés Microsoft Entra ID

Vous pouvez maintenant ajouter votre domaine vérifié Microsoft Entra ID inscrit pour configurer la relation de la fédération directe. Tout d’abord, vous devez configurer la configuration de fédération directe dans le centre d’administration ou via l’API. Veillez à ce que le domaine ne soit pas vérifié dans le même tenant. Une fois la configuration effectuée, vous pouvez personnaliser l’ordre d’acceptation. Le fournisseur d’identité SAML/WS-Fed est ajouté à l’ordre d’acceptation en tant que dernière entrée. Vous pouvez le déplacer vers le haut de l’ordre d’acceptation pour le définir au-dessus du fournisseur d’identité Microsoft Entra.

Empêcher vos utilisateurs B2B d’accepter une invitation en utilisant des comptes Microsoft

Pour empêcher vos utilisateurs invités B2B d’accepter leur invitation en utilisant leur compte Microsoft existant ou en créant un autre compte pour accepter l’invitation, suivez les étapes ci-dessous.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins

2. Accédez auxparamètres d’accès interlocataire des> externes >.

3. Sous l’onglet Paramètres par défaut , sous Paramètres d’accès entrant, sélectionnez Modifier les paramètres entrants par défaut.

4. Sous l’onglet Collaboration B2B , sélectionnez l’onglet Ordre d’échange .

5. Sous Fournisseurs d’identité de secours , désactivez le compte de service Microsoft (MSA).

   

6. Sélectionnez Enregistrer.

Vous devez avoir au moins un fournisseur d’identité de secours activé à tout moment. Si vous souhaitez désactiver des comptes Microsoft, vous devez activer un code secret à usage unique par e-mail. Vous ne pouvez pas désactiver les deux fournisseurs d’identité de secours. Tous les utilisateurs invités existants connectés avec des comptes Microsoft continuent de l’utiliser pendant les connexions suivantes. Vous devez réinitialiser son état d’échange pour que ce paramètre s’applique.

Pour modifier les paramètres de confiance entrants pour accepter les revendications MFA et d’appareil

1. Sélectionnez l’onglet Paramètres d’approbation .

2. (Cette étape s’applique uniquement aux paramètres organisationnels .) Si vous configurez des paramètres pour une organisation, sélectionnez l’une des options suivantes :

   • Paramètres par défaut : l’organisation utilise les paramètres configurés sous l’onglet Paramètres par défaut . Si les paramètres personnalisés ont déjà été configurés pour cette organisation, sélectionnez Oui pour confirmer que tous les paramètres doivent être remplacés par les paramètres par défaut. Sélectionnez Ensuite Enregistrer, puis ignorez le reste des étapes de cette procédure.

   • Personnaliser les paramètres : vous pouvez personnaliser les paramètres à appliquer pour cette organisation au lieu des paramètres par défaut. Poursuivez l’application des autres étapes de cette procédure.

3. Sélectionnez une ou plusieurs des options suivantes :

   • Approuver l’authentification multifacteur à partir des locataires Microsoft Entra : cochez cette case pour autoriser vos stratégies d’accès conditionnel à approuver les revendications MFA provenant d’organisations externes. Lors de l'authentification, Microsoft Entra ID vérifie les informations d'identification d'un utilisateur pour confirmer que l'utilisateur a terminé l'authentification MFA. Si ce n’est pas le cas, une stimulation MFA est lancée dans le locataire d’origine de l’utilisateur. Ce paramètre n’est pas appliqué si un utilisateur externe se connecte à l’aide de privilèges d’administrateur délégués granulaires (GDAP), tels qu’utilisés par un technicien auprès d’un fournisseur de services cloud qui administre les services dans votre locataire. Lorsqu’un utilisateur externe se connecte à l’aide de GDAP, l’authentification multifacteur est toujours requise dans le locataire d’origine de l’utilisateur et toujours approuvée dans le locataire de ressources. L’inscription par authentification multifacteur d’un utilisateur GDAP n’est pas prise en charge en dehors du locataire d’origine de l’utilisateur. Si votre organisation doit interdire l’accès aux techniciens du fournisseur de services en fonction de l’authentification multifacteur dans le locataire de domicile de l’utilisateur, vous pouvez supprimer la relation GDAP dans le Centre d’administration Microsoft 365.

   • Approuver les appareils conformes : permet à vos stratégies d’accès conditionnel d’approuver les revendications d’appareil conformes d’une organisation externe lorsque leurs utilisateurs accèdent à vos ressources.

   • Approuver les appareils joints à Microsoft Entra hybride : permet à vos stratégies d’accès conditionnel d’approuver les revendications d’appareils joints hybrides Microsoft Entra à partir d’une organisation externe lorsque leurs utilisateurs accèdent à vos ressources.

   

4. (Cette étape s’applique uniquement aux paramètres organisationnels .) Passez en revue l’option d’échange automatique :

   • Échanger automatiquement des invitations avec le locataire<locataire> : vérifiez ce paramètre si vous souhaitez échanger automatiquement des invitations. Dans ce cas, les utilisateurs du client spécifié n’auront pas à accepter l’invite de consentement la première fois qu’ils accèdent à ce client à l’aide de la synchronisation entre clients, de la collaboration B2B ou de la connexion directe B2B. Ce paramètre supprime l’invite de consentement uniquement si le locataire spécifié coche également ce paramètre pour l’accès sortant.

   

5. Sélectionnez Enregistrer.

Autoriser les utilisateurs à se synchroniser avec ce locataire

Si vous activez l’accès entrant de l’organisation ajoutée, vous voyez l’onglet Synchronisation entre locataires et la case Autoriser la synchronisation des utilisateurs dans ce locataire . La synchronisation entre locataires est un service de synchronisation unidirectionnelle dans Microsoft Entra ID qui automatise la création, la mise à jour et la suppression d’utilisateurs de B2B Collaboration entre les locataires d’une organisation. Pour plus d’informations, consultez Configurer la synchronisation entre locataires et la documentation sur les organisations mutualisées.

Modifier les Paramètres d’accès sortants

Avec les paramètres sortants, vous sélectionnez les utilisateurs et les groupes externes qui pourront accéder aux applications internes que vous choisissez. Que vous configuriez les paramètres par défaut ou les paramètres spécifiques de l’organisation, les étapes de modification des paramètres d’accès multi-abonné sortants sont les mêmes. Comme décrit dans cette section, vous accédez à l’onglet Par défaut ou à une organisation sous l’onglet Paramètres de l’organisation , puis apportez vos modifications.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.

2. Accédez auxparamètres d’accès interlocataire des> externes >.

3. Accédez aux paramètres que vous souhaitez modifier :

   • Pour modifier les paramètres sortants par défaut, sélectionnez l’onglet Paramètres par défaut, puis, sous Paramètres d’accès sortant, sélectionnez Modifier les paramètres sortants par défaut.

   • Pour modifier les paramètres d’une organisation spécifique, sélectionnez l’onglet Paramètres de l’organisation, recherchez l’organisation dans la liste (ou ajoutez-en une), puis sélectionnez le lien dans la colonne d’accès sortant .

4. Sélectionnez l’onglet B2B Collaboration .

5. (Cette étape s’applique uniquement aux paramètres organisationnels .) Si vous configurez des paramètres pour une organisation, sélectionnez une option :

   • Paramètres par défaut : l’organisation utilise les paramètres configurés sous l’onglet Paramètres par défaut . Si les paramètres personnalisés ont déjà été configurés pour cette organisation, vous devez sélectionner Oui pour confirmer que tous les paramètres doivent être remplacés par les paramètres par défaut. Sélectionnez Ensuite Enregistrer, puis ignorez le reste des étapes de cette procédure.

   • Personnaliser les paramètres : vous pouvez personnaliser les paramètres à appliquer pour cette organisation au lieu des paramètres par défaut. Poursuivez l’application des autres étapes de cette procédure.

6. Sélectionnez Utilisateurs et groupes.

7. Sous État d’accès, sélectionnez l’une des options suivantes :

   • Autoriser l’accès : permet à vos utilisateurs et groupes spécifiés sous S’applique à être invités à des organisations externes pour B2B Collaboration.
   • Bloquer l’accès : bloque les utilisateurs et les groupes spécifiés sous S’applique à l’invitation à B2B Collaboration. Si vous bloquez l’accès pour tous les utilisateurs et groupes, cela empêche également l’accès à toutes les applications externes via la collaboration B2B.

   

8. Sous S’applique à, sélectionnez l’une des options suivantes :

   • Tous les <utilisateurs de votre organisation> : applique l’action que vous avez choisie sous l’état Access à tous vos utilisateurs et groupes.
   • Sélectionnez <les utilisateurs et groupes de votre organisation> (nécessite un abonnement Microsoft Entra ID P1 ou P2) : vous permet d’appliquer l’action que vous avez choisie sous l’état Access à des utilisateurs et groupes spécifiques.

   Remarque

   Si vous bloquez l’accès pour tous vos utilisateurs et groupes, vous devez également bloquer l’accès à toutes les applications externes (sous l’onglet Applications externes ).

   

9. Si vous avez choisi De sélectionner <les utilisateurs et groupes de votre organisation>, procédez comme suit pour chaque utilisateur ou groupe que vous souhaitez ajouter :

   • Sélectionnez Ajouter des <utilisateurs et des groupes de votre organisation>.
   • Dans le volet Sélectionner , tapez le nom d’utilisateur ou le nom du groupe dans la zone de recherche.
   • Sélectionnez l’utilisateur ou le groupe dans les résultats de la recherche.
   • Lorsque vous avez terminé de sélectionner les utilisateurs et les groupes que vous souhaitez ajouter, sélectionnez Sélectionner.

   Remarque

   Lorsque vous ciblez vos utilisateurs et groupes, vous ne pourrez pas sélectionner les utilisateurs qui ont configuré l’authentification par SMS. Cela est dû au fait que les utilisateurs qui ont des « informations d’identification fédérées » sur leur objet utilisateur sont bloqués pour empêcher les utilisateurs externes d’être ajoutés aux paramètres d’accès sortant. Pour contourner ce problème, vous pouvez utiliser l’API Microsoft Graph pour ajouter l’ID d’objet de l’utilisateur directement ou cibler un groupe auquel appartient l’utilisateur.

10. Sélectionnez l’onglet Applications externes .

11. Sous État d’accès, sélectionnez l’une des options suivantes :

    • Autoriser l’accès : autorise les applications externes spécifiées sous S’applique à être accessibles par vos utilisateurs via B2B Collaboration.
    • Bloquer l’accès : bloque l’accès aux applications externes spécifiées sous S’applique à ceux auxquels vos utilisateurs accèdent via B2B Collaboration.

    

12. Sous S’applique à, sélectionnez l’une des options suivantes :

    • Toutes les applications externes : applique l’action que vous avez choisie sous l’état Access à toutes les applications externes.
    • Sélectionnez des applications externes : applique l’action que vous avez choisie sous État Access à toutes les applications externes.

    Remarque

    Si vous bloquez l’accès à toutes les applications externes, vous devez également bloquer l’accès pour tous vos utilisateurs et groupes (sous l’onglet Utilisateurs et groupes ).

    

13. Si vous avez choisi Sélectionner des applications externes, procédez comme suit pour chaque application que vous souhaitez ajouter :

    • Sélectionnez Ajouter des applications Microsoft ou Ajouter d’autres applications.
    • Dans la zone de recherche, tapez le nom de l’application ou l’ID d’application (l’ID de l’application cliente ou l’ID d’application de ressource). Sélectionnez ensuite l’application dans les résultats de la recherche. Répétez cette opération pour chaque application que vous souhaitez ajouter.
    • Lorsque vous avez terminé de sélectionner des applications, sélectionnez Sélectionner.

    

14. Sélectionnez Enregistrer.

Pour modifier les paramètres d’approbation sortante

(Cette section s’applique uniquement aux paramètres organisationnels .)

1. Sélectionnez l’onglet Paramètres d’approbation .

2. Passez en revue l’option d’échange automatique :

   • Échanger automatiquement des invitations avec le locataire<locataire> : vérifiez ce paramètre si vous souhaitez échanger automatiquement des invitations. Si c’est le cas, les utilisateurs du client spécifié n’auront pas à accepter l’invite de consentement la première fois qu’ils accèdent à ce client spécifié à l’aide de la synchronisation entre clients, de la collaboration B2B ou de la connexion directe B2B. Ce paramètre supprime l’invite de consentement uniquement si le locataire spécifié coche également ce paramètre pour l’accès entrant.

     

3. Sélectionnez Enregistrer.

Lorsque vous supprimez une organisation de vos Paramètres organisationnels, les paramètres d’accès multilocataire par défaut entrent en vigueur pour cette organisation.

Remarque

Si l’organisation est un fournisseur de services cloud pour votre organisation (la propriété isServiceProvider dans la configuration spécifique au partenaire Microsoft Graph est vraie), vous ne pourrez pas supprimer l’organisation.

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.

2. Accédez auxparamètres d’accès interlocataire des> externes >.

3. Sélectionnez l’onglet Paramètres de l’organisation .

4. Recherchez l’organisation dans la liste, puis sélectionnez l’icône de la corbeille sur cette ligne.