Áttekintés: Bérlők közötti hozzáférés Microsoft Entra Külső ID
A Microsoft Entra-szervezetek külső azonosítók bérlők közötti hozzáférési beállításaival kezelhetik, hogyan működnek együtt más Microsoft Entra-szervezetekkel és más Microsoft Azure-felhőkkel b2B együttműködéssel és közvetlen B2B-kapcsolattal. A bérlők közötti hozzáférési beállítások részletesen szabályozhatják, hogy a külső Microsoft Entra-szervezetek hogyan működnek együtt Önnel (bejövő hozzáférés), és hogy a felhasználók hogyan működnek együtt külső Microsoft Entra-szervezetekkel (kimenő hozzáférés). Ezek a beállítások lehetővé teszik a többtényezős hitelesítés (MFA) és az eszközjogcímek (megfelelő jogcímek és a Microsoft Entra hibrid csatlakoztatott jogcímek) megbízhatóságát más Microsoft Entra-szervezetektől.
Ez a cikk a bérlők közötti hozzáférési beállításokat ismerteti, amelyek a B2B-együttműködés és a B2B közvetlen kapcsolatának kezelésére szolgálnak külső Microsoft Entra-szervezetekkel, beleértve a Microsoft-felhőket is. További beállítások érhetők el a B2B-együttműködéshez nem Microsoft Entra-identitásokkal (például közösségi identitásokkal vagy nem informatikai felügyelettel rendelkező külső fiókokkal). Ezek a külső együttműködési beállítások a vendégfelhasználói hozzáférés korlátozására, a vendégek meghívásának megadására, valamint a tartományok engedélyezésére vagy letiltására vonatkozó beállításokat tartalmaznak.
Fontos
A Microsoft 2023. augusztus 30-án elkezdte áthelyezni a bérlők közötti hozzáférési beállításokat használó ügyfeleket egy új tárolási modellbe. Előfordulhat, hogy az auditnaplókban egy bejegyzés jelenik meg, amely arról tájékoztatja, hogy a bérlők közötti hozzáférési beállítások frissültek, amikor az automatizált feladat áttelepíti a beállításokat. A migrálási folyamatok során rövid ideig nem módosíthatja a beállításokat. Ha nem tud módosítani, várjon néhány percet, és próbálkozzon újra a módosítással. A migrálás befejeződése után a továbbiakban nem lesz 25kb tárterülettel leképezve, és a felvehető partnerek száma nem lesz korlátozva.
Külső hozzáférés kezelése bejövő és kimenő beállításokkal
A külső identitások bérlők közötti hozzáférési beállításai kezelik, hogyan működik együtt más Microsoft Entra-szervezetekkel. Ezek a beállítások határozzák meg, hogy a külső Microsoft Entra-szervezetek bejövő hozzáférési felhasználóinak milyen szintű hozzáféréssel kell rendelkezniük az erőforrásokhoz, és hogy a felhasználók milyen szintű kimenő hozzáféréssel rendelkeznek a külső szervezetekhez.
Az alábbi ábrán a bérlők közötti hozzáférés bejövő és kimenő beállításai láthatók. A Microsoft Entra erőforrás-bérlője a megosztani kívánt erőforrásokat tartalmazó bérlő. B2B-együttműködés esetén az erőforrás-bérlő a meghívó bérlő (például a vállalati bérlő, ahol meg szeretné hívni a külső felhasználókat). A felhasználó otthoni Microsoft Entra-bérlője az a bérlő, ahol a külső felhasználókat kezelik.
Alapértelmezés szerint a B2B más Microsoft Entra-szervezetekkel való együttműködés engedélyezve van, és a B2B közvetlen csatlakozás le van tiltva. Az alábbi átfogó rendszergazdai beállítások azonban lehetővé teszik mindkét funkció kezelését.
A kimenő hozzáférési beállítások szabályozzák, hogy a felhasználók hozzáférhetnek-e külső szervezet erőforrásaihoz. Ezeket a beállításokat mindenkire alkalmazhatja, vagy egyéni felhasználókat, csoportokat és alkalmazásokat is megadhat.
A bejövő hozzáférési beállítások azt szabályozzák, hogy a külső Microsoft Entra-szervezetek felhasználói hozzáférhetnek-e a szervezet erőforrásaihoz. Ezeket a beállításokat mindenkire alkalmazhatja, vagy egyéni felhasználókat, csoportokat és alkalmazásokat is megadhat.
A megbízhatósági beállítások (bejövő) határozzák meg, hogy a feltételes hozzáférési szabályzatok megbíznak-e a többtényezős hitelesítésben (MFA), a megfelelő eszközben és a Microsoft Entra hibrid csatlakoztatott eszközjogcímekben egy külső szervezettől, ha a felhasználóik már eleget tettek ezeknek a követelményeknek az otthoni bérlőiken. Ha például úgy konfigurálja a megbízhatósági beállításokat, hogy megbízzanak az MFA-ban, az MFA-szabályzatok továbbra is érvényesek lesznek a külső felhasználókra, de azok a felhasználók, akik már befejezték az MFA-t az otthoni bérlőikben, nem kell újra elvégezniük az MFA-t a bérlőben.
Alapértelmezett beállítások
Az alapértelmezett bérlőközi hozzáférési beállítások a bérlőn kívüli összes Microsoft Entra-szervezetre vonatkoznak, kivéve azokat, amelyeknél a szervezeti beállításokat konfigurálta. Módosíthatja az alapértelmezett beállításokat, de a B2B-együttműködés és a közvetlen B2B-csatlakozás kezdeti alapértelmezett beállításai a következők:
B2B-együttműködés: Alapértelmezés szerint minden belső felhasználó engedélyezve van a B2B-együttműködéshez. Ez a beállítás azt jelenti, hogy a felhasználók meghívhatnak külső vendégeket az erőforrások eléréséhez, és meghívhatják őket külső szervezetekbe vendégként. Más Microsoft Entra-szervezetek MFA- és eszközjogcímei nem megbízhatók.
B2B közvetlen csatlakozás: Alapértelmezés szerint nincs B2B közvetlen kapcsolati megbízhatósági kapcsolat. A Microsoft Entra-azonosító blokkolja az összes külső Microsoft Entra-bérlő bejövő és kimenő B2B közvetlen kapcsolódási képességeit.
Szervezeti beállítások: Alapértelmezés szerint egyetlen szervezet sem lesz hozzáadva a szervezeti beállításokhoz. Ez azt jelenti, hogy minden külső Microsoft Entra-szervezet engedélyezve van a B2B-együttműködéshez a szervezettel.
Bérlők közötti szinkronizálás: Más bérlők felhasználói nem szinkronizálódnak a bérlőbe bérlők közötti szinkronizálással.
A fent leírt viselkedések a B2B-vel való együttműködésre vonatkoznak az ugyanazon Microsoft Azure-felhőben lévő többi Microsoft Entra-bérlővel. A felhők közötti forgatókönyvekben az alapértelmezett beállítások kissé másképp működnek. A cikk későbbi részében tekintse meg a Microsoft felhőbeállításai című témakört.
Szervezeti beállítások
Szervezetspecifikus beállításokat úgy konfigurálhat, hogy hozzáad egy szervezetet, és módosítja az adott szervezet bejövő és kimenő beállításait. A szervezeti beállítások elsőbbséget élveznek az alapértelmezett beállításokkal szemben.
B2B-együttműködés: A többi Microsoft Entra-szervezettel való B2B-együttműködéshez használja a bérlők közötti hozzáférési beállításokat a bejövő és kimenő B2B-együttműködés kezeléséhez, valamint az adott felhasználókhoz, csoportokhoz és alkalmazásokhoz való hatókör-hozzáférés kezeléséhez. Beállíthatja az összes külső szervezetre vonatkozó alapértelmezett konfigurációt, majd szükség szerint egyéni, szervezetspecifikus beállításokat hozhat létre. A bérlők közötti hozzáférési beállítások használatával megbízhat más Microsoft Entra-szervezetek többtényezős (MFA) és eszközjogcímeiben (megfelelő jogcímek és Microsoft Entra hibrid csatlakoztatott jogcímek).
Tipp.
Javasoljuk, hogy zárja ki a külső felhasználókat az Identity Protection MFA regisztrációs szabályzatából, ha megbízik az MFA-ben a külső felhasználók számára. Ha mindkét házirend jelen van, a külső felhasználók nem fognak tudni megfelelni a hozzáférés követelményeinek.
Közvetlen B2B-kapcsolat: A közvetlen B2B-kapcsolat esetén a szervezeti beállítások használatával állítson be kölcsönös megbízhatósági kapcsolatot egy másik Microsoft Entra-szervezettel. Mind a szervezetnek, mind a külső szervezetnek kölcsönösen engedélyeznie kell a közvetlen B2B-kapcsolatot a bejövő és a kimenő bérlők közötti hozzáférési beállítások konfigurálásával.
A külső együttműködési beállítások használatával korlátozhatja, hogy ki hívhat meg külső felhasználókat, engedélyezheti vagy letilthatja a B2B-specifikus tartományokat, és korlátozásokat állíthat be a vendégfelhasználók címtárhoz való hozzáférésére vonatkozóan.
Automatikus beváltás beállítása
Az automatikus visszaváltási beállítás egy bejövő és kimenő szervezeti megbízhatósági beállítás, amely automatikusan beváltja a meghívókat, így a felhasználóknak nem kell elfogadniuk a hozzájárulási kérést az erőforrás/cél bérlő első elérésekor. Ez a beállítás a következő nevű jelölőnégyzet:
- Meghívók automatikus beváltása a bérlői<bérlővel>
Különböző forgatókönyvek beállításának összehasonlítása
Az automatikus visszaváltási beállítás a bérlők közötti szinkronizálásra, a B2B-együttműködésre és a közvetlen B2B-csatlakozásra vonatkozik a következő helyzetekben:
- Ha a felhasználók bérlőközi szinkronizálással jönnek létre egy célbérlében.
- Ha a felhasználók B2B-együttműködéssel kerülnek egy erőforrás-bérlőbe.
- Amikor a felhasználók közvetlen B2B-kapcsolattal férnek hozzá egy erőforrás-bérlő erőforrásaihoz.
Az alábbi táblázat bemutatja, hogy ez a beállítás hogyan hasonlítható össze, ha engedélyezve van ezekhez a forgatókönyvekhez:
Elem | Bérlők közötti szinkronizálás | B2B-együttműködés | B2B közvetlen csatlakozás |
---|---|---|---|
Automatikus beváltás beállítása | Kötelező | Lehetséges | Lehetséges |
A felhasználók B2B együttműködési meghívó e-mailt kapnak | Nem | Nem | N.A. |
A felhasználóknak hozzájárulási kérést kell elfogadniuk | Nem | Nem | Nem |
A felhasználók B2B együttműködési értesítési e-mailt kapnak | Nem | Igen | n/a |
Ez a beállítás nem befolyásolja az alkalmazás hozzájárulási élményét. További információkért tekintse meg a Microsoft Entra ID-ban található alkalmazások jóváhagyási felületét. Ez a beállítás nem támogatott a különböző Microsoft-felhőkörnyezetekben, például az Azure kereskedelmi és az Azure Governmentben lévő szervezetek számára.
Mikor tiltják le a hozzájárulási kérést?
Az automatikus visszaváltási beállítás csak akkor tiltja le a hozzájárulási kérést és a meghívó e-mailt, ha az otthoni/forrásbérlési (kimenő) és az erőforrás-/célbérlési (bejövő) bérlő is ellenőrzi ezt a beállítást.
Az alábbi táblázat a forrásbérlési felhasználók hozzájárulási kérésének viselkedését mutatja be, amikor az automatikus visszaváltási beállítás különböző bérlők közötti hozzáférési beállítások kombinációit ellenőrzi.
Kezdőlap/forrásbérl | Erőforrás/célbérlemény | Hozzájárulás kérésének viselkedése forrás-bérlői felhasználók számára |
---|---|---|
Kimenő | Bejövő | |
Elnyomott | ||
Nincs letiltva | ||
Nincs letiltva | ||
Nincs letiltva | ||
Bejövő | Kimenő | |
Nincs letiltva | ||
Nincs letiltva | ||
Nincs letiltva | ||
Nincs letiltva |
A beállítás Microsoft Graph használatával történő konfigurálásához tekintse meg a CrossTenantAccessPolicyConfigurationPartner API frissítését. A saját előkészítési felület kialakításáról további információt a B2B együttműködési meghívókezelőjében talál.
További információt a bérlők közötti szinkronizálás konfigurálása, a bérlők közötti hozzáférési beállítások konfigurálása a B2B-együttműködéshez és a bérlők közötti hozzáférési beállítások konfigurálása a közvetlen B2B-csatlakozáshoz című témakörben talál.
Konfigurálható visszaváltás
A konfigurálható beváltással testre szabhatja az identitásszolgáltatók sorrendjét, amelyekkel a vendégfelhasználók bejelentkezhetnek, amikor elfogadják a meghívást. Engedélyezheti a funkciót, és megadhatja a beváltás sorrendjét a Beváltás megrendelése lapon.
Amikor egy vendégfelhasználó kiválasztja a meghívó e-mailben a Meghívó elfogadása hivatkozást, a Microsoft Entra ID automatikusan beváltja a meghívót az alapértelmezett beváltési sorrend alapján. Amikor módosítja az identitásszolgáltatói rendelést az új beváltási rendelés lapon, az új rendelés felülírja az alapértelmezett beváltási sorrendet.
Az elsődleges identitásszolgáltatókat és a tartalék identitásszolgáltatókat is megtalálja a Beváltás rendelés lapján.
Az elsődleges identitásszolgáltatók azok, amelyek más hitelesítési forrásokkal rendelkező összevonásokkal rendelkeznek. A tartalék identitásszolgáltatók azok, amelyeket akkor használnak, ha egy felhasználó nem egyezik meg az elsődleges identitásszolgáltatóval.
A tartalék identitásszolgáltatók lehetnek Microsoft-fiók (MSA), egyszeri e-mail-jelszó, vagy mindkettő. Mindkét tartalék identitásszolgáltatót nem tilthatja le, de az összes elsődleges identitásszolgáltatót letilthatja, és csak tartalék identitásszolgáltatókat használhat a beváltáshoz.
Az alábbiakban ismert korlátozások találhatók a funkcióban:
Ha egy Olyan Microsoft Entra-azonosítós felhasználó, aki már rendelkezik egyszeri bejelentkezési (SSO) munkamenettel, egyszeri jelszóval (OTP) hitelesíti az e-maileket, akkor másik fiók használata lehetőséget kell választania, és újra meg kell adnia a felhasználónevét az OTP-folyamat aktiválásához. Ellenkező esetben a felhasználó hibaüzenetet kap, amely jelzi, hogy a fiókja nem létezik az erőforrás-bérlőben.
Ha a vendégfelhasználók csak egyszer használhatják az e-mailes jelszót a meghívás beváltásához, akkor a rendszer jelenleg letiltja a SharePoint használatát. Ez az OTP-n keresztül beváltott Microsoft Entra ID-felhasználókra vonatkozik. A többi felhasználóra nincs hatással.
Olyan esetekben, amikor a felhasználó ugyanazt az e-mailt használja a Microsoft Entra-azonosítójában és a Microsoft-fiókjában is, még akkor is, ha a rendszergazda letiltotta a Microsoft-fiókot beváltási módszerként, a felhasználónak választania kell a Microsoft Entra-azonosító vagy a Microsoft-fiók használata között. Ha a Microsoft-fiókot választják, akkor a rendszer akkor is jogosult a beváltásra, ha le van tiltva.
Közvetlen összevonás ellenőrzött Microsoft Entra-azonosítójú tartományokhoz
Az SAML/WS-Fed identitásszolgáltatói összevonás (közvetlen összevonás) mostantól támogatott a Microsoft Entra ID által ellenőrzött tartományok esetében. Ez a funkció lehetővé teszi, hogy közvetlen összevonást állítson be egy külső identitásszolgáltatóval egy olyan tartományhoz, amelyet a Microsoft Entra ellenőriz.
Feljegyzés
Győződjön meg arról, hogy a tartomány nincs ellenőrizve ugyanabban a bérlőben, amelyben a Közvetlen összevonási konfigurációt szeretné beállítani. Miután beállította a Közvetlen összevonást, konfigurálhatja a bérlő beváltásának beállításait, és áthelyezheti az SAML/WS-Fed identitásszolgáltatót a Microsoft Entra-azonosító fölé az új konfigurálható, bérlők közötti visszaváltási hozzáférési beállításokon keresztül.
Amikor a vendégfelhasználó beváltja a meghívást, megjelenik egy hagyományos hozzájárulási képernyő, majd a rendszer átirányítja őket a Saját alkalmazások lapra. Ha a közvetlen összevonási felhasználó felhasználói profiljába lép az erőforrás-bérlőben, láthatja, hogy a felhasználót külső összevonással váltotta be a rendszer.
A B2B-felhasználók meghívás beváltásának megakadályozása Microsoft-fiókok használatával
Mostantól megakadályozhatja, hogy a B2B-vendégfelhasználók Microsoft-fiókok használatával beváltsák a meghívásukat. Ez azt jelenti, hogy minden új B2B-vendégfelhasználó egyszeri e-mail-pin-kódot fog használni tartalék identitásszolgáltatóként, és nem tudja beváltani a meghívót a meglévő Microsoft-fiókjaival, vagy új Microsoft-fiók létrehozására kéri. Ezt úgy teheti meg, hogy letiltja a Microsoft-fiókokat a visszaváltási rendelési beállítás tartalék identitásszolgáltatóiban.
Vegye figyelembe, hogy egy tartalék identitásszolgáltatónak bármikor engedélyezve kell lennie. Ez azt jelenti, hogy ha le szeretné tiltani a Microsoft-fiókokat, engedélyeznie kell az e-maileket egyszeri pin-kóddal. A Microsoft-fiókokkal bejelentkezett meglévő vendégfelhasználók a későbbi bejelentkezések során is használni fogják. A beállítás alkalmazásához alaphelyzetbe kell állítania a visszaváltási állapotukat .
Bérlők közötti szinkronizálás beállítása
A bérlők közötti szinkronizálási beállítás csak bejövő szervezeti beállítás, amely lehetővé teszi, hogy a forrásbérlelő rendszergazdája szinkronizálja a felhasználókat egy célbérlelőbe. Ez a beállítás egy jelölőnégyzet, amelynek a neve Engedélyezi a felhasználók szinkronizálását ebbe a bérlőbe , amely a célbérlelőben van megadva. Ez a beállítás nem befolyásolja a más folyamatok, például a manuális meghívás vagy a Microsoft Entra jogosultságkezelése révén létrehozott B2B-meghívókat.
A beállítás Microsoft Graph használatával történő konfigurálásához tekintse meg a CrossTenantIdentitySyncPolicyPartner API frissítését. További információ: Bérlők közötti szinkronizálás konfigurálása.
Bérlőkorlátozások
A Bérlőkorlátozások beállításokkal szabályozhatja, hogy a felhasználók milyen típusú külső fiókokat használhatnak a felügyelt eszközökön, például:
- A felhasználók ismeretlen bérlőkben létrehozott fiókokat.
- A külső szervezetek által a felhasználók számára átadott fiókok, hogy hozzáférhessenek a szervezet erőforrásaihoz.
Javasoljuk, hogy konfigurálja a bérlői korlátozásokat az ilyen típusú külső fiókok letiltásához és a B2B-együttműködés helyett. A B2B-együttműködés lehetővé teszi a következő lehetőségeket:
- Használja a feltételes hozzáférést, és kényszerítse a többtényezős hitelesítést a B2B együttműködési felhasználók számára.
- Bejövő és kimenő hozzáférés kezelése.
- Munkamenetek és hitelesítő adatok leállása, ha egy B2B együttműködési felhasználó foglalkoztatási állapota megváltozik, vagy a hitelesítő adataik sérülnek.
- A bejelentkezési naplók segítségével megtekintheti a B2B együttműködési felhasználó adatait.
A bérlői korlátozások függetlenek a bérlők közötti egyéb hozzáférési beállításoktól, így a konfigurált bejövő, kimenő vagy megbízhatósági beállítások nem befolyásolják a bérlői korlátozásokat. A bérlőkorlátozások konfigurálásával kapcsolatos részletekért lásd: Bérlőkorlátozások beállítása v2.
A Microsoft felhőbeállításai
A Microsoft felhőbeállításai lehetővé teszik, hogy együttműködjön a különböző Microsoft Azure-felhőkből származó szervezetekkel. A Microsoft felhőbeállításaival kölcsönös B2B-együttműködést hozhat létre a következő felhők között:
- Microsoft Azure kereskedelmi felhő és Microsoft Azure Government
- A Microsoft Azure kereskedelmi felhő és a 21Vianet által üzemeltetett Microsoft Azure (amelyet a 21Vianet üzemeltet)
Feljegyzés
A Microsoft Azure Government tartalmazza az Office GCC-High és DoD felhőket.
A B2B-együttműködés beállításához mindkét szervezet konfigurálja a Microsoft felhőbeállításait a partner felhőjének engedélyezéséhez. Ezután minden szervezet a partner bérlőazonosítójával keresi meg és adja hozzá a partnert a szervezeti beállításokhoz. Innen minden szervezet engedélyezheti, hogy a bérlők közötti alapértelmezett hozzáférési beállítások vonatkozzanak a partnerre, vagy konfigurálhatják a partnerspecifikus bejövő és kimenő beállításokat. Miután egy másik felhőben létesített B2B-együttműködést egy partnerrel, a következő lehetőségeket fogja biztosítani:
- A B2B-együttműködéssel meghívhat egy felhasználót a partnerbérlében, hogy hozzáférjen a szervezet erőforrásaihoz, beleértve az üzletági alkalmazásokat, az SaaS-alkalmazásokat és a SharePoint Online-webhelyeket, dokumentumokat és fájlokat.
- A B2B-együttműködéssel Power BI-tartalmakat oszthat meg egy felhasználóval a partnerbérlében.
- Feltételes hozzáférési szabályzatokat alkalmazhat a B2B együttműködési felhasználóra, és dönthet úgy, hogy megbízhatónak tekinti a többtényezős hitelesítést vagy az eszközjogcímeket (a megfelelő jogcímeket és a Microsoft Entra hibrid csatlakoztatott jogcímeket) a felhasználó otthoni bérlőjében.
Feljegyzés
A közvetlen B2B-csatlakozás nem támogatott a Microsoft Entra-bérlőkkel való együttműködéshez egy másik Microsoft-felhőben.
A konfigurációs lépésekről a Microsoft felhőbeállításainak konfigurálása a B2B-együttműködéshez című témakörben olvashat.
Alapértelmezett beállítások felhők közötti forgatókönyvekben
Ahhoz, hogy egy partnerbérlõvel egy másik Microsoft Azure-felhőben működjön együtt, mindkét szervezetnek kölcsönösen engedélyeznie kell a B2B-együttműködést egymással. Az első lépés a partner felhőjének engedélyezése a bérlők közötti beállításokban. Amikor először engedélyez egy másik felhőt, a B2B-együttműködés le lesz tiltva az adott felhő összes bérlője számára. A szervezeti beállításokhoz hozzá kell adnia azt a bérlőt, akivel együtt szeretne működni, és ezen a ponton az alapértelmezett beállítások csak az adott bérlőre lesznek érvényben. Engedélyezheti, hogy az alapértelmezett beállítások érvényben maradjanak, vagy módosíthatja a bérlő szervezeti beállításait.
Fontos tényezők
Fontos
Ha módosítja az alapértelmezett bejövő vagy kimenő beállításokat a hozzáférés letiltásához, az letilthatja a szervezet vagy partnerszervezetek alkalmazásainak meglévő, üzleti szempontból kritikus fontosságú elérését. Mindenképpen használja a cikkben leírt eszközöket, és forduljon az üzleti érdekelt felekhez a szükséges hozzáférés azonosításához.
Ha bérlők közötti hozzáférési beállításokat szeretne konfigurálni az Azure Portalon, szüksége lesz egy legalább biztonsági Rendszergazda istrator nevű fiókra vagy egy ön által meghatározott egyéni szerepkörre.
A megbízhatósági beállítások konfigurálásához vagy a hozzáférési beállítások adott felhasználókra, csoportokra vagy alkalmazásokra való alkalmazásához Microsoft Entra ID P1 licencre lesz szüksége. A licencre a konfigurált bérlőn van szükség. A közvetlen B2B-kapcsolatokhoz, ahol kölcsönös megbízhatósági kapcsolatra van szükség egy másik Microsoft Entra-szervezettel, mindkét bérlőben Microsoft Entra-azonosítójú P1 licencre lesz szüksége.
A bérlők közötti hozzáférési beállítások a B2B-együttműködés és a B2B más Microsoft Entra-szervezetekkel való közvetlen kapcsolatának kezelésére szolgálnak. A nem Microsoft Entra-identitásokkal (például közösségi identitásokkal vagy nem informatikai felügyelettel rendelkező külső fiókokkal) folytatott B2B-együttműködéshez használja a külső együttműködési beállításokat. A külső együttműködési beállítások közé tartoznak a B2B együttműködési lehetőségek a vendégfelhasználói hozzáférés korlátozására, a vendégek meghívásának megadására, valamint a tartományok engedélyezésére vagy letiltására.
Ha hozzáférési beállításokat szeretne alkalmazni egy külső szervezet adott felhasználóira, csoportjaira vagy alkalmazására, a beállítások konfigurálása előtt kapcsolatba kell lépnie a szervezettel. Szerezze be a felhasználói objektumazonosítókat, csoportobjektum-azonosítókat vagy alkalmazásazonosítókat (ügyfélalkalmazás-azonosítókat vagy erőforrásalkalmazás-azonosítókat), hogy megfelelően célozhassa meg a beállításokat.
Tipp.
Előfordulhat, hogy a bejelentkezési naplók ellenőrzésével megkeresheti a külső szervezetek alkalmazásazonosítóit az alkalmazásokhoz. Lásd a bejövő és kimenő bejelentkezések azonosítása szakaszt .
A felhasználók és csoportok számára konfigurált hozzáférési beállításoknak meg kell egyeznie az alkalmazások hozzáférési beállításaival. Az ütköző beállítások nem engedélyezettek, és a konfigurálásukkor figyelmeztető üzenetek jelennek meg.
1. példa: Ha minden külső felhasználó és csoport bejövő hozzáférését letiltja, az összes alkalmazáshoz való hozzáférést is le kell tiltani.
2. példa: Ha minden felhasználó (vagy adott felhasználó vagy csoport) számára engedélyezi a kimenő hozzáférést, a külső alkalmazásokhoz való minden hozzáférést letilthat; legalább egy alkalmazáshoz engedélyezni kell a hozzáférést.
Ha engedélyezni szeretné, hogy a B2B közvetlen kapcsolatot létesítsen egy külső szervezettel, és a feltételes hozzáférési szabályzatok MFA-t igényelnek, konfigurálnia kell a megbízhatósági beállításokat, hogy a feltételes hozzáférési szabályzatok elfogadják a külső szervezet MFA-jogcímeit.
Ha alapértelmezés szerint letiltja az összes alkalmazáshoz való hozzáférést, a felhasználók nem tudják olvasni a Microsoft Rights Management Service-lel titkosított e-maileket (más néven Office 365 Üzenettitkosítást vagy OME-t). A probléma elkerülése érdekében javasoljuk, hogy konfigurálja a kimenő beállításokat, hogy a felhasználók elérhessék ezt az alkalmazásazonosítót: 00000012-0000-0000-c000-00000000000. Ha ez az egyetlen engedélyezett alkalmazás, az összes többi alkalmazáshoz való hozzáférés alapértelmezés szerint le lesz tiltva.
Egyéni szerepkörök bérlők közötti hozzáférési beállítások kezeléséhez
A bérlők közötti hozzáférési beállítások a szervezet által meghatározott egyéni szerepkörökkel kezelhetők. Ez lehetővé teszi, hogy saját, részletes hatókörű szerepköröket definiáljon a bérlők közötti hozzáférési beállítások kezeléséhez ahelyett, hogy az egyik beépített szerepkört használjuk a felügyelethez. A szervezet egyéni szerepköröket határozhat meg a bérlők közötti hozzáférési beállítások kezeléséhez. Ez lehetővé teszi, hogy saját, részletes hatókörű szerepköröket hozzon létre a bérlők közötti hozzáférési beállítások kezeléséhez ahelyett, hogy beépített szerepköröket használ a felügyelethez.
Ajánlott egyéni szerepkörök
Bérlők közötti hozzáférési rendszergazda
Ez a szerepkör mindent képes kezelni a bérlők közötti hozzáférési beállításokban, beleértve az alapértelmezett és a szervezeti beállításokat is. Ezt a szerepkört olyan felhasználókhoz kell hozzárendelni, akiknek a bérlők közötti hozzáférési beállítások összes beállítását kezelniük kell.
A szerepkörhöz javasolt műveletek listáját alább találja.
Műveletek |
---|
microsoft.directory.tenantRelationships/standard/read |
microsoft.directory/crossTenantAccessPolicy/standard/read |
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update |
microsoft.directory/crossTenantAccessPolicy/basic/update |
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update |
microsoft.directory/crossTenantAccessPolicy/default/b2bDirect Csatlakozás/update |
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update |
microsoft.directory/crossTenantAccessPolicy/default/standard/read |
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update |
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update |
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect Csatlakozás/update |
microsoft.directory/crossTenantAccessPolicy/partners/create |
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update |
microsoft.directory/crossTenantAccessPolicy/partners/delete |
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update |
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create |
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update |
Bérlők közötti hozzáférés-olvasó
Ez a szerepkör mindent beolvashat a bérlők közötti hozzáférési beállításokban, beleértve az alapértelmezett és a szervezeti beállításokat is. Ezt a szerepkört olyan felhasználókhoz kell hozzárendelni, akiknek csak a bérlők közötti hozzáférési beállítások beállításait kell áttekintenie, de nem kell kezelniük őket.
A szerepkörhöz javasolt műveletek listáját alább találja.
Műveletek |
---|
microsoft.directory.tenantRelationships/standard/read |
microsoft.directory/crossTenantAccessPolicy/standard/read |
microsoft.directory/crossTenantAccessPolicy/default/standard/read |
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
Bérlők közötti hozzáférési partner rendszergazdája
Ez a szerepkör képes kezelni a partnerekre vonatkozó összes adatot, és elolvasni az alapértelmezett beállításokat. Ezt a szerepkört olyan felhasználókhoz kell hozzárendelni, akiknek szervezeti beállításokat kell kezelniük, de nem tudják módosítani az alapértelmezett beállításokat.
A szerepkörhöz javasolt műveletek listáját alább találja.
Műveletek |
---|
microsoft.directory.tenantRelationships/standard/read |
microsoft.directory/crossTenantAccessPolicy/standard/read |
microsoft.directory/crossTenantAccessPolicy/basic/update |
microsoft.directory/crossTenantAccessPolicy/default/standard/read |
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update |
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect Csatlakozás/update |
microsoft.directory/crossTenantAccessPolicy/partners/create |
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update |
microsoft.directory/crossTenantAccessPolicy/partners/delete |
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update |
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create |
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update |
Bérlők közötti hozzáférés felügyeleti műveleteinek védelme
A bérlők közötti hozzáférési beállításokat módosító műveletek védett műveletnek minősülnek, és feltételes hozzáférési szabályzatokkal is védhetők. További információkért és konfigurációs lépésekért lásd a védett műveleteket.
Bejövő és kimenő bejelentkezések azonosítása
Számos eszköz áll rendelkezésre a felhasználók és partnerek számára szükséges hozzáférés azonosításához a bejövő és kimenő hozzáférési beállítások megadása előtt. Annak érdekében, hogy ne távolítsa el a felhasználók és partnerek számára szükséges hozzáférést, meg kell vizsgálnia az aktuális bejelentkezési viselkedést. Az előzetes lépéssel megelőzheti a végfelhasználók és a partnerfelhasználók számára a kívánt hozzáférés elvesztését. Bizonyos esetekben azonban ezek a naplók csak 30 napig maradnak meg, ezért határozottan javasoljuk, hogy beszéljen az üzleti érdekelt felekkel, hogy a szükséges hozzáférés ne vesszenek el.
Bérlők közötti bejelentkezési tevékenység PowerShell-szkriptje
A külső szervezetekhez társított felhasználói bejelentkezési tevékenységek áttekintéséhez használja a bérlők közötti felhasználói bejelentkezési tevékenység PowerShell-szkriptet. Ha például meg szeretné tekinteni a bejövő tevékenységek (a helyi bérlő erőforrásaihoz hozzáférő külső felhasználók) és a kimenő tevékenységek (külső szervezet erőforrásaihoz hozzáférő helyi felhasználók) összes elérhető bejelentkezési eseményét, futtassa a következő parancsot:
Get-MSIDCrossTenantAccessActivity -SummaryStats -ResolveTenantId
A kimenet a bejövő és kimenő tevékenységekhez elérhető összes bejelentkezési esemény összegzése, amelyet a külső szervezet azonosítója és a külső szervezet neve sorol fel.
Bejelentkezési naplók PowerShell-szkript
A felhasználók külső Microsoft Entra-szervezetekhez való hozzáférésének meghatározásához használja a Microsoft Graph PowerShell SDK Get-MgAuditLogSignIn parancsmagját az elmúlt 30 nap bejelentkezési naplóiból származó adatok megtekintéséhez. Futtassa például a következő parancsot:
#Initial connection
Connect-MgGraph -Scopes "AuditLog.Read.All"
Select-MgProfile -Name "beta"
#Get external access
$TenantId = "<replace-with-your-tenant-ID>"
Get-MgAuditLogSignIn -Filter "ResourceTenantId ne '$TenantID'" -All:$True |
Group-Object ResourceTenantId,AppDisplayName,UserPrincipalName |
Select-Object count,@{n='Ext TenantID/App User Pair';e={$_.name}}
A kimenet a külső szervezetek alkalmazásaiban a felhasználók által kezdeményezett kimenő bejelentkezések listája.
Azure Monitor
Ha szervezete feliratkozik az Azure Monitor szolgáltatásra, használja a bérlők közötti hozzáférési tevékenység munkafüzetét (amely az Azure Portal Figyelési munkafüzetek gyűjteményében érhető el) a bejövő és kimenő bejelentkezések vizuális feltárásához hosszabb ideig.
Biztonsági információ- és eseménykezelési (SIEM) rendszerek
Ha a szervezet biztonsági információ- és eseménykezelési (SIEM) rendszerbe exportálja a bejelentkezési naplókat, a szükséges információkat lekérheti a SIEM-rendszerből.
Bérlők közötti hozzáférési beállítások módosításainak azonosítása
A Microsoft Entra naplózási naplói rögzítik a bérlők közötti hozzáférési beállítások módosításaival és tevékenységével kapcsolatos összes tevékenységet. A bérlők közötti hozzáférési beállítások módosításainak naplózásához használja a CrossTenantAccess kategóriát Gépház az összes tevékenység szűréséhez a bérlők közötti hozzáférési beállítások módosításainak megjelenítéséhez.
Következő lépések
Bérlők közötti hozzáférési beállítások konfigurálása a B2B-együttműködéshezBérlők közötti hozzáférési beállítások konfigurálása közvetlen B2B-csatlakozáshoz