Editar

Compartir por


Administración de la configuración de acceso entre inquilinos para la colaboración B2B

Se aplica a: Círculo verde con un símbolo de marca de verificación blanca. Inquilinos de personal Círculo blanco con un símbolo X gris. Inquilinos externos (obtener más información)

Use la configuración de acceso entre inquilinos de External Identities para administrar la forma en que va colaborar con otras organizaciones de Microsoft Entra a través de la colaboración B2B. Esta configuración determina tanto el nivel de acceso de entrada a los recursos que tienen los usuarios de las organizaciones de Microsoft Entra externas, como el nivel de acceso de salida que tienen los usuarios a las organizaciones externas. También le permiten confiar en la autenticación multifactor (MFA) y las notificaciones de dispositivo (notificaciones de compatibilidad y notificaciones de unión a Microsoft Entra híbrido) de otras organizaciones de Microsoft Entra. Para más información y consideraciones sobre el planeamiento, consulte Acceso entre inquilinos en Microsoft Entra External ID.

Colaboración entre nubes: las organizaciones asociadas de diferentes nubes de Microsoft pueden configurar la colaboración B2B entre sí. En primer lugar, ambas organizaciones deben habilitar la colaboración entre sí, como se describe en Configuración de la configuración de la nube de Microsoft. A continuación, cada organización puede modificar opcionalmente su configuración de acceso entrante y configuración de acceso saliente, como se describe a continuación.

Importante

Microsoft comenzará a trasladar a los clientes que utilizan configuraciones de acceso entre inquilinos a un nuevo modelo de almacenamiento el 30 de agosto de 2023. Es posible que observes una entrada en tus registros de auditoría que te informa que tu configuración de acceso entre inquilinos se actualizó a medida que la tarea automatizada migra tu configuración. Durante un breve período mientras se procesa la migración, no podrás realizar cambios en la configuración. Si no puedes realizar un cambio, debes esperar unos momentos e intentarlo nuevamente. Una vez que se complete la migración, ya no tendrá un límite de 25 kb de espacio de almacenamiento y no habrá más límites en la cantidad de socios que puede agregar.

Requisitos previos

Precaución

Cambiar la configuración predeterminada de entrada o salida para bloquear el acceso podría bloquear el acceso crítico para la empresa existente a las aplicaciones tanto de su organización como de las de los asociados. Asegúrese de usar las herramientas que se describen en el artículo sobre el acceso entre inquilinos en Microsoft Entra External ID y de consultar con las partes interesadas del negocio para identificar el acceso necesario.

  • Examine la sección de consideraciones importantes de la introducción al acceso entre inquilinos antes de configurar dicho acceso.
  • Use las herramientas y siga las recomendaciones de la sección sobre la identificación de los inicios de sesión entrantes y salientes para saber a qué recursos y organizaciones de Microsoft Entra externos acceden actualmente los usuarios.
  • Decida el nivel de acceso predeterminado que desea aplicar a todas las organizaciones de Microsoft Entra externas.
  • Identifique todas las organizaciones de Microsoft Entra que necesitan una configuración personalizada para que pueda definir su configuración de la organización.
  • Si desea aplicar la configuración de acceso a usuarios, grupos o aplicaciones específicos de una organización externa, deberá ponerse en contacto con la organización para obtener información antes de realizar la configuración. Obtenga sus identificadores de objeto de usuario, identificadores de objeto de grupo o identificadores de aplicación (identificadores de aplicación cliente o identificadores de aplicación de recursos) para que pueda tener como destino la configuración correctamente.
  • Si desea configurar la colaboración B2B con una organización asociada en una nube de Microsoft Azure externa, siga los pasos descritos en Configuración de la nube de Microsoft. Un administrador de la organización asociada tendrá que hacer lo mismo para el inquilino.
  • Tanto la lista de permitidos/bloqueados como la configuración de acceso entre inquilinos se comprueban en el momento de la invitación. Si el dominio de un usuario está en la lista de permitidos, se puede invitar, a menos que el dominio se bloquee explícitamente en la configuración de acceso entre inquilinos. Si el dominio de un usuario está en la lista de bloqueados, no se puede invitar independientemente de la configuración de acceso entre inquilinos. Si un usuario no está en ninguna de las listas, se comprueba la configuración de acceso entre inquilinos para determinar si se pueden invitar.

Configuración de los valores predeterminados

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

La configuración de acceso entre inquilinos predeterminada se aplica a todas las organizaciones externas para las que no ha creado la configuración personalizada específica de la organización. Si desea modificar la configuración predeterminada proporcionada por Microsoft Entra, siga estos pasos.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.

  2. Vaya a Identidad>Identidades externas>Configuración del acceso entre inquilinos y, a continuación, seleccione Configuración del acceso entre inquilinos.

  3. Seleccione la pestaña Default settings (Configuración predeterminada) y examine la página de resumen.

    Captura de pantalla que muestra la pestaña de configuración de acceso entre inquilinos predeterminada.

  4. Para cambiar la configuración, seleccione el vínculo Edit inbound defaults (Editar valores predeterminados de entrada) o el vínculo Edit outbound defaults (Editar valores predeterminados de salida).

    Captura de pantalla que muestra los botones de edición de la configuración predeterminada.

  5. Siga los pasos de estas secciones para modificar la configuración predeterminada:

Adición de una organización

Siga estos pasos para configurar valores personalizados para organizaciones concretas.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.

  2. Vaya a Identidad>Identidades externas>Configuración del acceso entre inquilinos y, a continuación, seleccione Configuración de la organización.

  3. Seleccione Add organization (Agregar organización).

  4. En el panel Add organization (Agregar organización), escriba el nombre de dominio completo (o identificador de inquilino) de la organización.

    Captura de pantalla que muestra la adición de una organización.

  5. Seleccione la organización en los resultados de la búsqueda y, después, seleccione Agregar.

  6. La organización aparece en la lista Organizational settings (Configuración de la organización). En este momento, toda la configuración de acceso de esta organización se hereda de la configuración predeterminada. Para cambiar la configuración de esta organización, seleccione el vínculo Inherited from default (Heredado del valor predeterminado) en las columnas Inbound access (Acceso de entrada) o Outbound access (Acceso de salida).

    Captura de pantalla que muestra una organización agregada con la configuración predeterminada.

  7. Modifique la configuración de la organización siguiendo los pasos que se detallan en estas secciones:

Modificación de la configuración del acceso de entrada

En la configuración de entrada, puede seleccionar los usuarios y grupos externos que van a poder acceder a las aplicaciones internas que elija. Tanto si va a configurar la configuración predeterminada como la configuración específica de la organización, los pasos para cambiar la configuración de acceso entre inquilinos de entrada son los mismos. Como se describe en esta sección, navegue a la pestaña Predeterminado o a una organización en la pestaña Configuración de la organización y después, realice los cambios.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.

  2. Vaya a Identidad>Identidades externas>Configuración del acceso entre inquilinos.

  3. Vaya a los valores que desea modificar:

    • Default settings (Configuración predeterminada): para modificar la configuración de entrada predeterminada, seleccione la pestaña Default settings (Configuración predeterminada) y, después, en Inbound access settings (Configuración del acceso de entrada), seleccione Edit inbound defaults (Editar valores predeterminados de entrada).
    • Organizational settings (Configuración de la organización): para modificar la configuración de una organización concreta, seleccione la pestaña Organizational settings (Configuración de la organización), busque la organización en la lista (o agregue una) y, después, seleccione el vínculo en la columna Inbound access (Acceso de entrada).
  4. Siga los pasos detallados para la configuración de entrada que desea cambiar:

Nota:

Si utiliza las funcionalidades de uso compartido nativo en Microsoft SharePoint y Microsoft OneDrive con la integración de Microsoft Entra B2B habilitada, debe agregar los dominios externos a la configuración de colaboración externa. De lo contrario, es posible que se produzca un error en las invitaciones de estas aplicaciones, incluso si el inquilino externo se ha agregado en la configuración de acceso entre inquilinos.

Para cambiar la configuración de colaboración B2B entrante

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.

  2. Vaya a Identidad>Identidades externas>Configuración del acceso entre inquilinos y, a continuación, seleccione Configuración de la organización.

  3. Seleccione el vínculo de la columna Acceso de entrada y la pestaña Colaboración B2B.

  4. Si va a configurar el acceso de entrada de una organización específica, seleccione una de las siguientes opciones:

    • Default settings (Configuración predeterminada): seleccione esta opción si desea que la organización use la configuración de entrada predeterminada (como se configura en la pestaña Configuración predeterminada). Si ya se han configurado valores personalizados para esta organización, deberá seleccionar para confirmar que desea que todos los valores se reemplacen por los predeterminados. Luego, seleccione Guardar y omita el resto de los pasos del procedimiento.

    • Personalización de la configuración: seleccione esta opción si desea personalizar la configuración, que será la que se aplicará en esta organización en lugar de la predeterminada. Continúe con el resto de los pasos de este procedimiento.

  5. Seleccione External users and groups (Seleccionar usuarios y grupos).

  6. En Access status (Estado del acceso), seleccione una de las opciones siguientes:

    • Permitir acceso: permite que los usuarios y grupos especificados en Se aplica a sean invitados a la colaboración B2B.
    • Bloquear acceso: impide que los usuarios y grupos especificados en Se aplica a sean invitados a la colaboración B2B.

    Captura de pantalla que muestra la selección del estado de acceso del usuario para la colaboración B2B.

  7. En Se aplica a, seleccione uno de los siguientes:

    • Todos los usuarios y grupos externos: aplica la acción elegida en Estado del acceso a todos los usuarios y grupos de organizaciones de Microsoft Entra externas.
    • Select external users and groups (Seleccionar usuarios y grupos externos) (requiere una suscripción P1 o P2 de Microsoft Entra ID): permite aplicar la acción elegida en Access status (Estado del acceso) a usuarios y grupos específicos dentro de la organización externa.

    Nota:

    Si bloqueas el acceso a todos los usuarios y grupos externos, también debes bloquearlo a todas las aplicaciones internas (en la pestaña Aplicaciones).

    Captura de pantalla que muestra la selección de los usuarios y grupos de destino.

  8. Si eliges Seleccionar usuarios y grupos externos, realiza las siguientes acciones para cada usuario o grupo que quieras agregar:

    • Selecciona Agregar usuarios y grupos externos.
    • En el panel Agregar otros usuarios y grupos, en el cuadro de búsqueda, escribe el identificador de objeto de usuario o el identificador de objeto de grupo que obtuviste de la organización asociada.
    • En el menú situado junto al cuadro de búsqueda, elige un usuario o un grupo.
    • Selecciona Agregar.

    Nota:

    No puede dirigirse a usuarios o grupos en la configuración predeterminada de entrada.

    Captura de pantalla en la que se muestra la adición de usuarios y grupos.

  9. Cuando hayas terminado de agregar usuarios y grupos, selecciona Enviar.

    Captura de pantalla que muestra el envío de usuarios y grupos.

  10. Selecciona la pestaña Aplicaciones.

  11. En Estado del acceso, selecciona una de las opciones siguientes:

    • Permitir acceso: permite que los usuarios de colaboración B2B accedan a las aplicaciones especificadas en Se aplica a.
    • Bloquear acceso: bloquea las aplicaciones especificadas en Se aplica a para que los usuarios de colaboración B2B no accedan a ellas.

    Captura de pantalla que muestra el estado de acceso a las aplicaciones.

  12. En Se aplica a, selecciona uno de los siguientes:

    • Todas las aplicaciones: aplica la acción elegida en Estado del acceso a todas las aplicaciones.
    • Seleccionar aplicaciones (requiere una suscripción Microsoft Entra ID P1 o P2): permite aplicar la acción elegida en Estado del acceso a aplicaciones específicas de la organización.

    Nota:

    Si bloqueas el acceso a todas las aplicaciones, también debes bloquearlo a todos los usuarios y grupos externos (en la pestaña Usuarios y grupos externos).

    Captura de pantalla que muestra las aplicaciones de destino.

  13. Si eliges Seleccionar aplicaciones, realiza las siguientes acciones para cada aplicación que quieras agregar:

    • Selecciona Agregar aplicaciones de Microsoft o Agregar otras aplicaciones.
    • En el panel Seleccionar, escribe el nombre de la aplicación o el identificador de la aplicación (ya sea el identificador de aplicación cliente o el identificador de la aplicación de recursos) en el cuadro de búsqueda. Luego, selecciona la aplicación en los resultados de la búsqueda. Repite el proceso para cada aplicación que quieras agregar.
    • Cuando hayas terminado de seleccionar aplicaciones, elige Selecionar.

    Captura de pantalla que muestra la selección de aplicaciones.

  14. Seleccione Guardar.

Consideraciones para permitir aplicaciones de Microsoft

Si desea configurar las opciones de acceso entre inquilinos para permitir solo un conjunto designado de aplicaciones, considere la posibilidad de agregar las aplicaciones de Microsoft que se muestran en la tabla siguiente. Por ejemplo, si configura una lista de permitidos y solo permite SharePoint Online, el usuario no puede acceder a Mis aplicaciones ni registrarse para MFA en el inquilino de recursos. Para garantizar una experiencia de usuario final fluida, incluya las siguientes aplicaciones en la configuración de colaboración entrante y saliente.

Application Identificador del recurso Disponible en el portal Detalles
Mis aplicaciones 2793995e-0a7d-40d7-bd35-6968ba142197 Página de aterrizaje predeterminada después de la invitación canjeada. Define el acceso a myapplications.microsoft.com.
Panel de acceso a aplicaciones de Microsoft 0000000c-0000-0000-c000-000000000000 No Se usa en algunas llamadas enlazadas en tiempo de ejecución al cargar determinadas páginas dentro de Mis inicios de sesión. Por ejemplo, la hoja Información de seguridad o el conmutador Organizaciones.
My Profile 8c59ead7-d703-4a27-9e55-c96a0054c8d2 Define el acceso a myaccount.microsoft.com los portales Mis grupos y Mis accesos. Algunas pestañas de Mi perfil requieren las demás aplicaciones que aparecen aquí para poder funcionar.
Mis inicios de sesión 19db86c3-b2b9-44cc-b339-36da233a3be2 No Define el acceso para mysignins.microsoft.com incluir el acceso a la información de seguridad. Permitir esta aplicación si necesita que los usuarios se registren y usen MFA en el inquilino de recursos (por ejemplo, MFA no es de confianza del inquilino principal).

Algunas de las aplicaciones de la tabla anterior no permiten la selección del Centro de administración de Microsoft Entra. Para permitirles, agréguelos con Microsoft Graph API como se muestra en el ejemplo siguiente:

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

Nota:

Asegúrese de incluir las aplicaciones adicionales que quiera permitir en la solicitud PATCH, ya que esto sobrescribirá las aplicaciones configuradas anteriormente. Las aplicaciones que ya están configuradas se pueden recuperar manualmente desde el portal o mediante la ejecución de una solicitud GET en la directiva de asociado. Por ejemplo: GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>

Nota:

Las aplicaciones agregadas a través de Microsoft Graph API que no se asignan a una aplicación disponible en el Centro de administración de Microsoft Entra se mostrarán como el identificador de la aplicación.

No puede agregar la aplicación Portales de administración de Microsoft a la configuración de acceso entre inquilinos entrante y saliente en el Centro de administración de Microsoft Entra. Para permitir el acceso externo a los portales de administración de Microsoft, use Microsoft Graph API para agregar individualmente las siguientes aplicaciones que forman parte del grupo de aplicaciones De portales de administración de Microsoft:

  • Azure Portal (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Centro de administración Microsoft Entra (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Portal de Microsoft 365 Defender (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Centro de administración de Microsoft Intune (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Portal de cumplimiento de Microsoft Purview (80ccca67-54bd-44ab-8625-4b79c4dc7775)

Configuración del orden de canje

Para personalizar el orden de los proveedores de identidades con los que los usuarios invitados pueden iniciar sesión cuando acepten la invitación, sigue los pasos siguientes.

  1. Inicia sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad. A continuación, abre el servicio de Identidaden el lado izquierdo.

  2. Selecciona External Identities>Configuración de acceso entre espacios empresariales.

  3. En la pestaña Configuración predeterminada, en Configuración de acceso entrante, selecciona Editar valores predeterminados de entrada.

  4. En la pestaña Colaboración B2B, selecciona la pestaña Orden de canje.

  5. Mueve los proveedores de identidades hacia arriba o hacia abajo para cambiar el orden en el que los usuarios invitados podrán iniciar sesión cuando acepten la invitación. También se puede restablecer el orden de canje a la configuración predeterminada aquí.

    Captura de pantalla que muestra la pestaña de orden del canje.

  6. Seleccione Guardar.

También es posible personalizar el pedido de canje a través de Microsoft Graph API.

  1. Abra el Explorador de Microsoft Graph.

  2. Inicie sesión como Administrador de seguridad como mínimo en su inquilino de recursos.

  3. Ejecute la consulta siguiente para obtener el orden de canje actual:

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
  1. En este ejemplo, moveremos la federación de IdP de SAML/WS-Fed a la parte superior del orden de canje anterior al proveedor de identidades de Microsoft Entra. Revise el mismo URI con este cuerpo de la solicitud:
{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}
  1. Para comprobar los cambios, vuelva a ejecutar la consulta GET.

  2. Para restablecer el orden de canje a la configuración predeterminada, ejecute la consulta siguiente:

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

Federación SAML/WS-Fed (federación directa) para dominios comprobados de Microsoft Entra ID

Ahora es posible agregar el dominio comprobado de Microsoft Entra ID inscrito para configurar la relación de federación directa. En primer lugar, se debe configurar la configuración de federación directa en el centro de administración o a través de la API. Asegúrese de que el dominio no esté comprobado en el mismo inquilino. Una vez configurada la configuración, se puede personalizar el orden de canje. El IdP de SAML/WS-Fed se agregará al orden de canje como última entrada. Súbalo en el orden de canje para establecerlo por encima del proveedor de identidades de Microsoft Entra.

Impida que los usuarios B2B canjeen invitaciones con cuentas Microsoft

Para evitar que los usuarios B2B invitados canjeen su invitación mediante cuentas de Microsoft existentes o creen una nueva para aceptar la invitación, siga estos pasos.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad. A continuación, abre el servicio de Identidaden el lado izquierdo.

  2. Seleccione External Identities>Configuración de acceso entre espacios empresariales.

  3. En Configuración de la organización, seleccione el vínculo de la columna Acceso de entrada y la pestaña Colaboración B2B.

  4. Seleccione la pestaña Orden del canje.

  5. En Proveedores de identidades de reserva deshabilite Cuenta de servicio de Microsoft (MSA).

    Captura de pantalla de la opción proveedores de identidades de reserva.

  6. Seleccione Guardar.

Deberá tener al menos un proveedor de identidades de reserva habilitado en un momento dado. Si se desean deshabilitar cuentas de Microsoft, se tendrá que habilitar el código de acceso de un solo uso de correo electrónico. No se pueden deshabilitar ambos proveedores de identidades de reserva. Los usuarios invitados existentes que hayan iniciado sesión con cuentas de Microsoft seguirán usándolo durante los inicios de sesión posteriores. Tendrá que restablecer su estado de canje para que se aplique este valor.

Para cambiar la configuración de confianza de entrada para notificaciones de MFA y dispositivos

  1. Seleccione la pestaña Trust settings (Configuración de confianza).

  2. (Este paso solo se aplica a la configuración de la organización). Si va a configurar las opciones para una organización, seleccione una de las siguientes opciones:

    • Configuración predeterminada: la organización usa las opciones configuradas en la pestaña de configuración Predeterminado. Si ya se han configurado valores personalizados para esta organización, deberá seleccionar para confirmar que desea que todos los valores se reemplacen por los predeterminados. Luego, seleccione Guardar y omita el resto de los pasos del procedimiento.

    • Personalización de la configuración: puede personalizar la configuración que se va a aplicar a esta organización en lugar de la configuración predeterminada. Continúe con el resto de los pasos de este procedimiento.

  3. Seleccione una o varias de las siguientes opciones:

    • Confiar en la autenticación multifactor de inquilinos de Microsoft Entra: active esta casilla para que las directivas de acceso condicional puedan confiar en las notificaciones de MFA de organizaciones externas. Durante la autenticación, Microsoft Entra ID comprobará si, en las credenciales de un usuario, hay alguna notificación de que el usuario ha completado la autenticación multifactor (MFA). Si no lo ha hecho, se iniciará un desafío de MFA en el inquilino principal del usuario. Este valor no se aplica si un usuario externo inicia sesión mediante privilegios administrativos delegados pormenorizados (GDAP), como los que usa un técnico de un proveedor de servicios en la nube que administra servicios en el inquilino. Cuando un usuario externo inicia sesión con GDAP, MFA siempre es necesario en el inquilino principal del usuario y siempre es de confianza en el inquilino de recursos. El registro de MFA de un usuario de GDAP no se admite fuera del inquilino principal del usuario. Si la organización tiene un requisito para no permitir el acceso a los técnicos del proveedor de servicios en función de MFA en el inquilino principal del usuario, puede quitar la relación de GDAP en Centro de administración de Microsoft 365.

    • Confiar en dispositivos conformes: permite que las directivas de acceso condicional confíen en las notificaciones de dispositivos conformes de una organización externa cuando sus usuarios acceden a los recursos.

    • Confiar en dispositivos unidos a Microsoft Entra híbridos: permite que las directivas de acceso condicional confíen en las notificaciones de dispositivos unidos a Microsoft Entra híbridos de una organización externa cuando sus usuarios acceden a los recursos.

    Captura de pantalla que muestra la configuración de la confianza.

  4. (Este paso solo se aplica a Configuración de la organización). Revise la opción Canje automático:

    • Canjear automáticamente invitaciones con el inquilino<inquilino>: Active esta opción si desea canjear automáticamente invitaciones. Si es así, los usuarios del inquilino especificado no tendrán que aceptar la solicitud de consentimiento la primera vez que accedan a este inquilino mediante la sincronización entre inquilinos, la colaboración B2B o la conexión directa B2B. Este valor solo suprime la solicitud de consentimiento si el inquilino especificado también marca el valor para el acceso saliente.

    Captura de pantalla que muestra la casilla Canje automático de entrada.

  5. Seleccione Guardar.

Permitir que los usuarios se sincronicen en este inquilino

Si selecciona Acceso entrante de la organización agregada, verá la pestaña Sincronización entre inquilinos y la casilla Allow users sync into this tenant (Permitir que los usuarios se sincronicen en este inquilino). La sincronización entre inquilinos es un servicio de sincronización unidireccional en Microsoft Entra ID que automatiza la creación, la actualización y la eliminación de usuarios de colaboración B2B entre inquilinos de una organización. Para más información, consulte Configuración de la sincronización entre inquilinos y la Documentación de organizaciones multiinquilino.

Captura de pantalla que muestra la pestaña de sincronización entre inquilinos con la casilla Permitir que los usuarios se sincronicen en este inquilino.

Modificación de la configuración del acceso de salida

En la configuración de salida, seleccione cuáles de los usuarios y grupos van a poder acceder a las aplicaciones externas que elija. Tanto si va a configurar los valores predeterminados como los específicos de la organización, los pasos para cambiar la configuración de acceso entre inquilinos de entrada son los mismos. Como se describe en esta sección, navegue a la pestaña Predeterminado o a una organización en la pestaña Configuración de la organización y, después, realice los cambios.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.

  2. Vaya a Identidad>Identidades externas>Configuración del acceso entre inquilinos.

  3. Vaya a los valores que desea modificar:

    • Para modificar la configuración de salida predeterminada, seleccione la pestaña Default settings (Configuración predeterminada) y, después, en Outbound access settings (Configuración del acceso de salida), seleccione Edit outbound defaults (Editar valores predeterminados de salida).

    • Para modificar la configuración de una organización concreta, seleccione la pestaña Organizational settings (Configuración de la organización), busque la organización en la lista (o agregue una) y, después, seleccione el vínculo en la columna Outbound access (Acceso de salida).

  4. Seleccione la pestaña Colaboración B2B.

  5. [Este paso solo se aplica a Organizational settings (Configuración de la organización)]. Si va a configurar una organización, seleccione una de las siguientes opciones:

    • Configuración predeterminada: la organización usa las opciones configuradas en la pestaña de configuración Predeterminado. Si ya se han configurado valores personalizados para esta organización, deberá seleccionar para confirmar que desea que todos los valores se reemplacen por los predeterminados. Luego, seleccione Guardar y omita el resto de los pasos del procedimiento.

    • Personalización de la configuración: puede personalizar la configuración que se va a aplicar a esta organización en lugar de la configuración predeterminada. Continúe con el resto de los pasos de este procedimiento.

  6. Seleccione Usuarios y grupos.

  7. En Access status (Estado del acceso), seleccione una de las opciones siguientes:

    • Permitir acceso: permite que los usuarios y grupos especificados en Se aplica a sean invitados a organizaciones externas para la colaboración B2B.
    • Bloquear acceso: bloquea a los usuarios y grupos especificados en Se aplica a para que no sean invitados a la colaboración B2B. Si bloquea el acceso de todos los usuarios y grupos, también impedirá que se acceda a todas las aplicaciones externas a través de la colaboración B2B.

    Captura de pantalla que muestra el estado del acceso de los usuarios y grupos para la colaboración B2B.

  8. En Se aplica a, seleccione uno de los siguientes:

    • All <your organization> users (Todos los usuarios de ): aplica la acción elegida en Access status (Estado del acceso) a todos los usuarios y grupos.
    • Seleccione <su organización> usuarios y grupos (requiere una suscripción a Microsoft Entra ID P1 o P2): le permite aplicar la acción elegida en Estado de acceso a usuarios y grupos específicos.

    Nota:

    Si bloquea el acceso a todos los usuarios y grupos, también debe bloquearlo a todas las aplicaciones externas (en la pestaña Aplicaciones externas).

    Captura de pantalla que muestra la selección de los usuarios de destino para la colaboración B2B.

  9. Si elige Select <your organization> users and groups (Seleccionar usuarios y grupos de ), realice las siguientes acciones para cada usuario o grupo que quiera agregar:

    • Seleccione Add <your organization> users and groups (Agregar usuarios y grupos de ).
    • En el panel Select (Seleccionar), escriba el nombre de usuario o el nombre del grupo en el cuadro de búsqueda.
    • Seleccione el usuario o grupo en los resultados de la búsqueda.
    • Cuando haya terminado de seleccionar los usuarios y grupos que desea agregar, elija Select (Seleccionar).

    Nota

    Al dirigirse a los usuarios y grupos, no podrá seleccionar usuarios que hayan configurado la autenticación basada en SMS. Esto se debe a que los usuarios que tienen una "credencial federada" en su objeto de usuario están bloqueados para impedir que los usuarios externos se agreguen a la configuración de acceso saliente. Como solución alternativa, puede usar Microsoft Graph API para agregar el identificador de objeto del usuario directamente o dirigirse a un grupo al que pertenece el usuario.

  10. Seleccione la pestaña External applications (Aplicaciones externas).

  11. En Access status (Estado del acceso), seleccione una de las opciones siguientes:

    • Permitir acceso: permite que los usuarios accedan a las aplicaciones externas especificadas en Se aplica a a través de la colaboración B2B.
    • Bloquear acceso: bloquea las aplicaciones externas especificadas en Se aplica a para que sus usuarios no accedan a través de la colaboración B2B.

    Captura de pantalla que muestra el estado de acceso a las aplicaciones para la colaboración B2B.

  12. En Se aplica a, seleccione uno de los siguientes:

    • All external applications (Todas las aplicaciones externas): aplica la acción elegida en Access status (Estado del acceso) a las aplicaciones externas.
    • Select external applications (Determinadas aplicaciones externas): aplica la acción elegida en Access status (Estado del acceso) a algunas aplicaciones externas.

    Nota

    Si bloquea el acceso a todas las aplicaciones externas, también debe bloquearlo a todos los usuarios y grupos (en la pestaña Usuarios y grupos).

    Captura de pantalla que muestra los destinos de la aplicación para la colaboración B2B.

  13. Si elige Select external applications (Determinadas aplicaciones externas), realice las siguientes acciones para cada aplicación que quiera agregar:

    • Seleccione Add Microsoft applications (Agregar aplicaciones de Microsoft) o Add other applications (Agregar otras aplicaciones).
    • En el cuadro de búsqueda, escriba el nombre o el identificador de la aplicación (ya sea el identificador de aplicación cliente o el identificador de la aplicación de recursos). Luego, seleccione la aplicación en los resultados de la búsqueda. Repite el proceso para cada aplicación que quieras agregar.
    • Cuando haya terminado de seleccionar aplicaciones, elija Select (Seleccionar).

    Captura de pantalla que muestra la selección de aplicaciones para la colaboración B2B.

  14. Seleccione Guardar.

Para cambiar la configuración de la confianza saliente

(Esta sección se aplica solo a Configuraciones de la organización).

  1. Seleccione la pestaña Trust settings (Configuración de confianza).

  2. Revise la opción Canje automático:

    • Canjear automáticamente invitaciones con el inquilino<inquilino>: Active esta opción si desea canjear automáticamente invitaciones. Si es así, los usuarios del inquilino no tienen que aceptar la solicitud de consentimiento la primera vez que accedan al inquilino especificado mediante la sincronización entre inquilinos, la colaboración B2B o la conexión directa B2B. Este valor solo suprimirá la solicitud de consentimiento si el inquilino especificado también marca el valor para el acceso entrante.

      Captura de pantalla que muestra la casilla Canje automático de salida.

  3. Seleccione Guardar.

Eliminación de una organización

Al quitar una organización de la configuración de la organización, la configuración de acceso entre inquilinos predeterminada entra en vigor para esa organización.

Nota:

Si la organización es un proveedor de servicios en la nube para su organización (la propiedad isServiceProvider de la configuración específica del asociado de Microsoft Graph es verdadera), no podrá quitar la organización.

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.

  2. Vaya a Identidad>Identidades externas>Configuración del acceso entre inquilinos.

  3. Seleccione la pestaña Configuración de la organización.

  4. Busque la organización en la lista y, a continuación, seleccione el icono de papelera en esa fila.