Bérlők közötti hozzáférési beállítások kezelése a B2B-együttműködéshez

A következőkre vonatkozik: Munkaerő-bérlők (további információ)

A külső identitások bérlők közötti hozzáférési beállításaival kezelheti, hogyan működik együtt más Microsoft Entra-szervezetekkel b2B-együttműködéssel. Ezek a beállítások határozzák meg, hogy a külső Microsoft Entra-szervezetek bejövő hozzáférési felhasználóinak milyen szintű hozzáféréssel kell rendelkezniük az erőforrásokhoz, és hogy a felhasználók milyen szintű kimenő hozzáféréssel rendelkeznek a külső szervezetekhez. Emellett lehetővé teszik a többtényezős hitelesítés (MFA) és az eszközjogcímek (megfelelő jogcímek és a Microsoft Entra hibrid csatlakoztatott jogcímek) megbízhatóságát más Microsoft Entra-szervezetektől. További részletekért és tervezési szempontokért tekintse meg a bérlők közötti hozzáférést a Microsoft Entra külső azonosítójában.

Együttműködés felhők között: A különböző Microsoft-felhők partnerszervezetei B2B-együttműködést állíthatnak be egymással. Először is mindkét szervezetnek engedélyeznie kell az együttműködést egymással a Microsoft felhőbeállításainak konfigurálása című cikkben leírtak szerint. Ezután minden szervezet tetszés szerint módosíthatja a bejövő hozzáférési beállításait és a kimenő hozzáférési beállításait az alábbiak szerint.

Fontos

A Microsoft 2023. augusztus 30-án kezdi áthelyezni a bérlők közötti hozzáférési beállításokat használó ügyfeleket egy új tárolási modellbe. Előfordulhat, hogy az auditnaplókban egy bejegyzés jelenik meg, amely arról tájékoztatja, hogy a bérlők közötti hozzáférési beállítások frissültek, amikor az automatizált feladat áttelepíti a beállításokat. A migrálási folyamatok során rövid ideig nem módosíthatja a beállításokat. Ha nem tud módosítani, várjon néhány percet, és próbálkozzon újra a módosítással. A migrálás befejezése után a továbbiakban nem lesz 25kb tárterülettel leképezve , és a felvehető partnerek száma nem lesz korlátozva.

Előfeltételek

Figyelemfelhívás

Ha az alapértelmezett bejövő vagy kimenő beállításokat letiltja a hozzáférés letiltására , az letilthatja a szervezet vagy partnerszervezetek alkalmazásainak meglévő, üzleti szempontból kritikus fontosságú elérését. Ügyeljen arra, hogy a Microsoft Entra külső azonosítójában a bérlők közötti hozzáférésben leírt eszközöket használja, és forduljon az üzleti érdekelt felekhez a szükséges hozzáférés azonosításához.

• Tekintse át a bérlők közötti hozzáférés áttekintésénekFontos szempontok szakaszát, mielőtt konfigurálja a bérlők közötti hozzáférési beállításokat.
• Használja az eszközöket, és kövesse a bejövő és kimenő bejelentkezések azonosítása című témakörben található javaslatokat annak megértéséhez, hogy mely külső Microsoft Entra-szervezetek és -erőforrások felhasználói férnek hozzá jelenleg.
• Döntse el, hogy milyen alapértelmezett hozzáférési szintet szeretne alkalmazni az összes külső Microsoft Entra-szervezetre.
• Azonosítsa azokat a Microsoft Entra-szervezeteket, amelyeknek testre szabott beállításokra van szükségük, hogy konfigurálhassa a szervezeti beállításokat .
• Ha hozzáférési beállításokat szeretne alkalmazni egy külső szervezet adott felhasználóira, csoportjaira vagy alkalmazására, a beállítások konfigurálása előtt kapcsolatba kell lépnie a szervezettel. Szerezze be a felhasználói objektumazonosítókat, csoportobjektum-azonosítókat vagy alkalmazásazonosítókat (ügyfélalkalmazás-azonosítókat vagy erőforrásalkalmazás-azonosítókat), hogy megfelelően célozhassa meg a beállításokat.
• Ha egy külső Microsoft Azure-felhőben szeretné beállítani a B2B-együttműködést egy partnerszervezettel, kövesse a Microsoft felhőbeállításainak konfigurálásához szükséges lépéseket. A partnerszervezet rendszergazdájának ugyanezt kell tennie a bérlőjénél.
• Az engedélyezési/tiltólista és a bérlők közötti hozzáférési beállításokat a rendszer a meghíváskor ellenőrzi. Ha egy felhasználó tartománya szerepel az engedélyezési listán, meghívhatók, kivéve, ha a tartomány kifejezetten le van tiltva a bérlők közötti hozzáférési beállításokban. Ha egy felhasználó tartománya szerepel a tiltólistán, a bérlők közötti hozzáférési beállításoktól függetlenül nem hívhatók meg. Ha egy felhasználó egyik listában sem szerepel, a bérlők közötti hozzáférési beállításokat ellenőrizve megállapítjuk, hogy meghívhatók-e.

Alapértelmezett beállítások konfigurálása

A bérlők közötti alapértelmezett hozzáférési beállítások az összes olyan külső szervezetre vonatkoznak, amelyeknél nem hozott létre szervezetspecifikus testreszabott beállításokat. Ha módosítani szeretné a Microsoft Entra által megadott alapértelmezett beállításokat, kövesse az alábbi lépéseket.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.

2. Keresse meg az Entra ID>Külső identitások>bérlők közötti hozzáférési beállításait, majd válassza a Bérlők közötti hozzáférési beállításokat.

3. Válassza az Alapértelmezett beállítások lapot, és tekintse át az összefoglaló lapot.

   

4. A beállítások módosításához válassza a Bejövő alapértelmezett fájlok szerkesztése hivatkozást vagy a Kimenő alapértelmezett értékek szerkesztése hivatkozást.

   

5. Módosítsa az alapértelmezett beállításokat az alábbi szakaszok részletes lépéseinek követésével:

   • Bejövő hozzáférési beállítások módosítása
   • Kimenő hozzáférési beállítások módosítása

Szervezet hozzáadása

Az alábbi lépéseket követve konfigurálhatja az adott szervezetekre vonatkozó testreszabott beállításokat.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.

2. Keresse meg az Entra ID>Külső identitások>bérlők közötti hozzáférési beállításait, majd válassza a Szervezeti beállítások lehetőséget.

3. Válassza a Szervezet hozzáadása lehetőséget.

4. A Szervezet hozzáadása panelen írja be a szervezet teljes tartománynevét (vagy bérlőazonosítóját).

   

5. Válassza ki a szervezetet a keresési eredmények között, majd válassza a Hozzáadás lehetőséget.

6. A szervezet megjelenik a Szervezeti beállítások listában. Ezen a ponton a szervezet összes hozzáférési beállítása öröklődik az alapértelmezett beállításoktól. A szervezet beállításainak módosításához válassza a Bejövő vagyKimenő hozzáférés oszlopban az alapértelmezetttől örökölt hivatkozást.

   

7. Módosítsa a szervezet beállításait az alábbi szakaszokban leírt részletes lépések végrehajtásával:

   • Bejövő hozzáférési beállítások módosítása
   • Kimenő hozzáférési beállítások módosítása

Bejövő hozzáférési beállítások módosítása

Bejövő beállításokkal kiválaszthatja, hogy mely külső felhasználók és csoportok férhetnek hozzá a választott belső alkalmazásokhoz. Akár az alapértelmezett beállításokat, akár a szervezetspecifikus beállításokat konfigurálja, a bejövő bérlők közötti hozzáférési beállítások módosításának lépései ugyanazok. Az ebben a szakaszban leírtaknak megfelelően lépjen az Alapértelmezett lapra vagy egy szervezetre a Szervezeti beállítások lapon, majd végezze el a módosításokat.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.

2. Keresse meg az Entra ID>Külső identitások>bérlők közötti hozzáférési beállításait.

3. Keresse meg a módosítani kívánt beállításokat:

   • Alapértelmezett beállítások: Az alapértelmezett bejövő beállítások módosításához válassza az Alapértelmezett beállítások lapot, majd a Bejövő hozzáférési beállítások területen válassza a Bejövő alapértelmezett beállítások szerkesztése lehetőséget.
   • Szervezeti beállítások: Ha módosítani szeretné egy adott szervezet beállításait, válassza a Szervezeti beállítások lapot, keresse meg a szervezetet a listában (vagy adjon hozzá egyet), majd válassza ki a hivatkozást a Bejövő hozzáférés oszlopban.

4. Kövesse a módosítani kívánt bejövő beállítások részletes lépéseit:

   • Bejövő B2B együttműködési beállítások módosítása
   • Az MFA és az eszközjogcímek elfogadásának bejövő megbízhatósági beállításainak módosítása

Feljegyzés

Ha a Microsoft SharePointban és a Microsoft OneDrive-ban a natív megosztási képességeket használja, és engedélyezve van a Microsoft Entra B2B integrációja , a külső tartományokat hozzá kell adnia a külső együttműködési beállításokhoz. Ellenkező esetben előfordulhat, hogy az alkalmazások meghívásai meghiúsulnak, még akkor is, ha a külső bérlőt hozzáadták a bérlők közötti hozzáférési beállításokhoz.

Bejövő B2B együttműködési beállítások módosítása

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.

2. Tallózással keresse meg az Entra ID>Külső identitások>bérlők közötti hozzáférési beállításait, majd válassza a Szervezeti beállítások lehetőséget

3. Válassza ki a hivatkozást a Bejövő hozzáférés oszlopban és a B2B együttműködésben Ha minden külső felhasználó és csoport hozzáférését letiltja, akkor az összes belső alkalmazáshoz való hozzáférést is le kell tiltania.

4. Ha egy adott szervezet bejövő hozzáférési beállításait konfigurálja, válasszon egy lehetőséget:

   • Alapértelmezett beállítások: Válassza ezt a beállítást, ha azt szeretné, hogy a szervezet az alapértelmezett bejövő beállításokat használja (az alapértelmezett beállítások szerint Ha minden külső felhasználó és csoport számára letiltja a hozzáférést, akkor az összes belső alkalmazáshoz is le kell tiltania a hozzáférést. Ha a testre szabott beállítások már konfigurálva lettek ehhez a szervezethez, az Igen elemet kell választania, hogy meggyőződjön arról, hogy az összes beállítást az alapértelmezett beállításokkal szeretné lecserélni. Ezután válassza a Mentés lehetőséget, és hagyja ki az eljárás többi lépését.

   • Beállítások testreszabása: Válassza ezt a beállítást, ha az alapértelmezett beállítások helyett testre szeretné szabni a szervezetre vonatkozó kényszerítési beállításokat. Folytassa az eljárás többi lépésével.

5. Válassza ki a külső felhasználókat és csoportokat.

6. Az Access állapotában válasszon az alábbiak közül:

   • Hozzáférés engedélyezése: Lehetővé teszi, hogy az A2B-együttműködéshez az Applies szakaszban megadott felhasználók és csoportok meghívhatók legyenek.
   • Hozzáférés letiltása: Letiltja az A2B-együttműködésre való meghívást az Applies alatt megadott felhasználók és csoportok számára.

   

7. Az Érintett területen válasszon az alábbiak közül:

   • Minden külső felhasználó és csoport: Az Access állapotában kiválasztott műveletet alkalmazza a külső Microsoft Entra-szervezetek összes felhasználója és csoportja számára.
   • Külső felhasználók és csoportok kiválasztása (P1 vagy P2 Microsoft Entra-azonosítót igényel): Lehetővé teszi, hogy az Access állapotában kiválasztott műveletet a külső szervezet adott felhasználóira és csoportjaira alkalmazza.

   Feljegyzés

   Ha letiltja az összes külső felhasználó és csoport hozzáférését, akkor az összes belső alkalmazáshoz (az Alkalmazások lapon) is le kell tiltania a hozzáférést. Ha bérlők közötti szinkronizálást konfigurált, az összes külső felhasználó és csoport hozzáférésének letiltása blokkolhatja a bérlők közötti szinkronizálást.

   

8. Ha a Külső felhasználók és csoportok kiválasztása lehetőséget választotta, tegye a következőket minden hozzáadni kívánt felhasználóhoz vagy csoporthoz:

   • Válassza a Külső felhasználók és csoportok hozzáadása lehetőséget.
   • A További felhasználók és csoportok hozzáadása panel keresőmezőbe írja be a partnerszervezettől beszerzett felhasználói objektumazonosítót vagy csoportobjektum-azonosítót.
   • A keresőmező melletti menüben válassza ki a felhasználót vagy a csoportot.
   • Válassza a Hozzáadás lehetőséget.

   Feljegyzés

   A bejövő alapértelmezett beállításokban nem célozhat meg felhasználókat vagy csoportokat.

   

9. Ha befejezte a felhasználók és csoportok hozzáadását, válassza a Küldés lehetőséget.

   

10. Válassza az Alkalmazások lapot.

11. Az Access állapotában válasszon az alábbiak közül:

    • Hozzáférés engedélyezése: Lehetővé teszi, hogy az Applies szakaszban megadott alkalmazásokat a B2B együttműködési felhasználók elérhessék.
    • Hozzáférés letiltása: Megakadályozza, hogy a B2B együttműködési felhasználók hozzáférjenek az Applies alatt megadott alkalmazásokhoz.

    

12. Az Érintett területen válasszon az alábbiak közül:

    • Minden alkalmazás: Az Access állapotában kiválasztott műveletet alkalmazza az összes alkalmazásra.
    • Alkalmazások kiválasztása (P1- vagy P2-előfizetést igényel a Microsoft Entra-azonosítóhoz): Lehetővé teszi, hogy az Access állapotában kiválasztott műveletet a szervezet bizonyos alkalmazásaira alkalmazza.

    Feljegyzés

    Ha letiltja az összes alkalmazáshoz való hozzáférést, akkor az összes külső felhasználó és csoport hozzáférését is blokkolnia kell (a Külső felhasználók és csoportok lapon).

    

13. Ha az Alkalmazások kiválasztása lehetőséget választotta, tegye a következőket minden hozzáadni kívánt alkalmazáshoz:

    • Válassza a Microsoft-alkalmazások hozzáadása vagy más alkalmazások hozzáadása lehetőséget.
    • A Kiválasztás panelen írja be az alkalmazás nevét vagy az alkalmazásazonosítót (az ügyfélalkalmazás azonosítóját vagy az erőforrásalkalmazás azonosítóját) a keresőmezőbe. Ezután válassza ki az alkalmazást a keresési eredmények között. Ismételje meg a műveletet minden hozzáadni kívánt alkalmazás esetében.
    • Ha végzett az alkalmazások kiválasztásával, válassza a Kiválasztás lehetőséget.

    

14. Válassza a Mentés lehetőséget.

A Microsoft-alkalmazások engedélyezésének szempontjai

Ha bérlők közötti hozzáférési beállításokat szeretne konfigurálni, hogy csak egy meghatározott alkalmazáskészletet engedélyezzen, vegye fel a microsoftos alkalmazásokat az alábbi táblázatban. Ha például konfigurál egy engedélyezési listát, és csak a SharePoint Online-t engedélyezi, a felhasználó nem férhet hozzá a Saját alkalmazásokhoz, és nem regisztrálhat MFA-ra az erőforrás-bérlőben. A zökkenőmentes végfelhasználói élmény érdekében vegye fel a következő alkalmazásokat a bejövő és kimenő együttműködési beállításokba.

Alkalmazás	Erőforrás-azonosító	Elérhető a portálon	Részletek
Saját alkalmazások	2793995e-0a7d-40d7-bd35-6968ba142197	Igen	Alapértelmezett kezdőlap a beváltott meghívás után. A hozzáférés definiálása.myapplications.microsoft.com
Microsoft App hozzáférési panel	0000000c-0000-0000-c000-000000000	Nem	Néhány késői hívásban használatos, amikor bizonyos lapokat tölt be a Saját bejelentkezések mappába. Például a Biztonsági adatok panel vagy a Szervezetek kapcsoló.
Profilom	8C59EAD7-D703-4A27-9E55-C96A0054C8D2	Igen	Meghatározza a saját csoportok és a myaccount.microsoft.com saját hozzáférési portálok hozzáférését. A Saját profil egyes lapjaihoz az itt felsorolt többi alkalmazásra van szükség a működéshez.
Saját bejelentkezések	19db86c3-b2b9-44cc-b339-36da233a3be2	Nem	Meghatározza a biztonsági adatokhoz mysignins.microsoft.com való hozzáférést is. Engedélyezze ezt az alkalmazást, ha megköveteli, hogy a felhasználók regisztráljanak az erőforrás-bérlőben, és használják az MFA-t (például az MFA nem megbízható az otthoni bérlőtől).

Az előző táblázat egyes alkalmazásai nem teszik lehetővé a Microsoft Entra felügyeleti központból való kiválasztást. Az engedélyezéshez vegye fel őket a Microsoft Graph API-val az alábbi példában látható módon:

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

Feljegyzés

Ügyeljen arra, hogy a PATCH-kérelembe minden további, engedélyezni kívánt alkalmazást is belefoglaljon, mivel ez felülírja a korábban konfigurált alkalmazásokat. A már konfigurált alkalmazásokat manuálisan lehet lekérni a portálról, vagy egy GET kérés futtatásával a partnerházirendben. Például: GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>

Feljegyzés

A Microsoft Graph API-n keresztül hozzáadott, a Microsoft Entra felügyeleti központban elérhető alkalmazáshoz nem leképezett alkalmazások alkalmazásazonosítóként jelennek meg.

A Microsoft Entra Felügyeleti központ bejövő és kimenő bérlők közötti hozzáférési beállításaihoz nem adhatja hozzá a Microsoft Felügyeleti portálok alkalmazást. A Microsoft felügyeleti portálokhoz való külső hozzáférés engedélyezéséhez a Microsoft Graph API-val egyenként adja hozzá az alábbi alkalmazásokat, amelyek a Microsoft Felügyeleti portálok alkalmazáscsoport részét képezik:

• Azure Portal (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Microsoft Entra felügyeleti központ (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Microsoft 365 Defender portál (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Microsoft Intune Felügyeleti központ (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Microsoft Purview portál (80ccca67-54bd-44ab-8625-4b79c4dc7775)

Beváltás sorrendjének konfigurálása

Ha testre szeretné szabni az identitásszolgáltatók sorrendjét, amellyel a vendégfelhasználók bejelentkezhetnek a meghívás elfogadásakor, kövesse az alábbi lépéseket.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.

2. Keresse meg az Entra ID>Külső identitások>bérlők közötti hozzáférési beállításait.

3. Az Alapértelmezett beállítások lap Bejövő hozzáférési beállítások csoportjában válassza a Bejövő alapértelmezett beállítások szerkesztése lehetőséget.

4. A B2B együttműködés lapján válassza a Beváltás sorrend lapfület .

5. Az identitásszolgáltatókat felfelé vagy lefelé mozgatva módosíthatja azt a sorrendet, amelyben a vendégfelhasználók bejelentkezhetnek, amikor elfogadják a meghívást. A beváltás sorrendjét itt is visszaállíthatja az alapértelmezett beállításokra.

   

6. Válassza a Mentés lehetőséget.

A beváltás sorrendjét a Microsoft Graph API-n keresztül is testre szabhatja.

1. Nyissa meg a Microsoft Graph Explorert.

2. Jelentkezzen be legalább biztonsági rendszergazdaként az erőforrás-bérlőbe.

3. Futtassa a következő lekérdezést az aktuális beváltási sorrend lekéréséhez:

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default

4. Ebben a példában az SAML/WS-Fed IdP összevonást a beváltás sorrendjének tetejére fogjuk helyezni a Microsoft Entra identitásszolgáltatója felett. Azonos URI javítása ezzel a kéréstörzsgel:

{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}

5. A módosítások ellenőrzéséhez futtassa újra a GET lekérdezést.

6. A beváltási sorrend alapértelmezett beállításokra való visszaállításához futtassa a következő lekérdezést:

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

SAML/WS-Fed összevonás (közvetlen összevonás) ellenőrzött Microsoft Entra-azonosítójú tartományokhoz

A közvetlen összevonási kapcsolat beállításához mostantól hozzáadhatja a microsoft entra-azonosítóval hitelesített tartományt. Először be kell állítania a Közvetlen összevonási konfigurációt a felügyeleti központban vagy az API-val. Győződjön meg arról, hogy a tartomány nincs ellenőrizve ugyanabban a bérlőben. A konfiguráció beállítása után testre szabhatja a beváltás sorrendjét. Az SAML/WS-Fed idP az utolsó tételként hozzáadódik a visszaváltási rendeléshez. A beváltás sorrendjében feljebb helyezheti, hogy a Microsoft Entra identitásszolgáltatója fölé állítsa.

A B2B-felhasználók meghívás beváltásának megakadályozása Microsoft-fiókok használatával

Ha meg szeretné akadályozni, hogy a B2B-vendégfelhasználók a meglévő Microsoft-fiókjukkal beváltsák a meghívásukat, vagy újat hozzanak létre a meghívás elfogadásához, kövesse az alábbi lépéseket.

1. Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább biztonsági rendszergazdaként

2. Keresse meg az Entra ID>Külső identitások>bérlők közötti hozzáférési beállításait.

3. Az Alapértelmezett beállítások lap Bejövő hozzáférési beállítások csoportjában válassza a Bejövő alapértelmezett beállítások szerkesztése lehetőséget.

4. A B2B együttműködés lapján válassza a Beváltás sorrend lapfület .

5. A Tartalék identitásszolgáltatók területen tiltsa le a Microsoft-szolgáltatásfiókot (MSA).

   

6. Válassza a Mentés lehetőséget.

Legalább egy tartalék identitásszolgáltatót bármikor engedélyeznie kell. Ha le szeretné tiltani a Microsoft-fiókokat, engedélyeznie kell az egyszeri e-mail-jelszót. Nem tilthatja le mindkét tartalék identitásszolgáltatót. A Microsoft-fiókokkal bejelentkezett meglévő vendégfelhasználók továbbra is használják azt a későbbi bejelentkezések során. A beállítás alkalmazásához alaphelyzetbe kell állítania a visszaváltási állapotukat .

Az MFA és az eszközjogcímek bejövő megbízhatósági beállításainak módosítása

1. Válassza a Megbízhatósági beállítások lapot.

2. (Ez a lépés csak a szervezeti beállításokra vonatkozik.) Ha egy szervezet beállításait konfigurálja, válasszon az alábbiak közül:

   • Alapértelmezett beállítások: A szervezet az Alapértelmezett beállítások lapon konfigurált beállításokat használja. Ha a testre szabott beállítások már konfigurálva lettek ehhez a szervezethez, válassza az Igen lehetőséget annak ellenőrzéséhez, hogy az összes beállítást az alapértelmezett beállításokkal szeretné-e lecserélni. Ezután válassza a Mentés lehetőséget, és hagyja ki az eljárás többi lépését.

   • Beállítások testreszabása: Az alapértelmezett beállítások helyett testre szabhatja a szervezetre vonatkozó kényszerítési beállításokat. Folytassa az eljárás többi lépésével.

3. Válasszon egy vagy több lehetőséget a következő lehetőségek közül:

   • Megbízható többtényezős hitelesítés a Microsoft Entra-bérlőktől: Jelölje be ezt a jelölőnégyzetet, hogy a feltételes hozzáférési szabályzatok megbízhassanak a külső szervezetek MFA-jogcímeiben. A hitelesítés során a Microsoft Entra-azonosító ellenőrzi a felhasználó hitelesítő adatait, hogy a felhasználó teljesítette-e az MFA-t. Ha nem, az MFA-feladat a felhasználó otthoni bérlőjében lesz elindítva. Ez a beállítás nem lesz alkalmazva, ha egy külső felhasználó részletes delegált rendszergazdai jogosultságokkal (GDAP) jelentkezik be, például egy felhőszolgáltató szakembere használja, aki a bérlőben felügyeli a szolgáltatásokat. Amikor egy külső felhasználó bejelentkezik a GDAP használatával, az MFA-ra mindig szükség van a felhasználó otthoni bérlőjében, és mindig megbízható az erőforrás-bérlőben. A GDAP-felhasználók MFA-regisztrációja nem támogatott a felhasználó otthoni bérlőjén kívül. Ha a szervezetnek meg kell tiltania a szolgáltatói technikusok hozzáférését a felhasználó otthoni bérlőjében lévő MFA alapján, eltávolíthatja a GDAP-kapcsolatot a Microsoft 365 Felügyeleti központban.

   • Megfelelő eszközök megbízhatósága: Lehetővé teszi, hogy a feltételes hozzáférési szabályzatok megbízhatónak minősítsék egy külső szervezet megfelelő eszközjogcímeit , amikor a felhasználók hozzáférnek az erőforrásokhoz.

   • Megbízható microsoft entra hibrid csatlakoztatott eszközök: Lehetővé teszi a feltételes hozzáférési szabályzatok számára, hogy megbízhatók a Microsoft Entra hibrid csatlakoztatott eszköz jogcímei egy külső szervezettől, amikor a felhasználók hozzáférnek az erőforrásokhoz.

   

4. (Ez a lépés csak a szervezeti beállításokra vonatkozik.) Tekintse át az Automatikus beváltás lehetőséget:

   • Meghívók automatikus beváltása a bérlővel<bérlő>: Ellenőrizze ezt a beállítást, ha automatikusan be szeretné váltani a meghívókat. Ha igen, a megadott bérlő felhasználóinak nem kell elfogadniuk a hozzájárulási kérést, amikor először férnek hozzá a bérlőhöz bérlőközi szinkronizálás, B2B együttműködés vagy közvetlen B2B-kapcsolat használatával. Ez a beállítás csak akkor tiltja le a hozzájárulási kérést, ha a megadott bérlő is ellenőrzi a kimenő hozzáférést.

   

5. Válassza a Mentés lehetőséget.

A felhasználók szinkronizálásának engedélyezése ebbe a bérlőbe

Ha a hozzáadott szervezet bejövő hozzáférését választja, megjelenik a Bérlőközi szinkronizálás lap, és a Felhasználók szinkronizálásának engedélyezése ebbe a bérlőbe jelölőnégyzet. A bérlők közötti szinkronizálás egy egyirányú szinkronizálási szolgáltatás a Microsoft Entra-azonosítóban, amely automatizálja a B2B együttműködési felhasználók létrehozását, frissítését és törlését a vállalat bérlői között. További információ: Bérlők közötti szinkronizálás konfigurálása és a több-bérlős szervezetek dokumentációja.

Kimenő hozzáférési beállítások módosítása

Kimenő beállításokkal kiválaszthatja, hogy mely felhasználók és csoportok férhetnek hozzá a választott külső alkalmazásokhoz. Akár az alapértelmezett beállításokat, akár a szervezetspecifikus beállításokat konfigurálja, a bérlők közötti kimenő hozzáférési beállítások módosításának lépései ugyanazok. Az ebben a szakaszban leírtaknak megfelelően lépjen az Alapértelmezett lapra vagy egy szervezetre a Szervezeti beállítások lapon, majd végezze el a módosításokat.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.

2. Keresse meg az Entra ID>Külső identitások>bérlők közötti hozzáférési beállításait.

3. Keresse meg a módosítani kívánt beállításokat:

   • Az alapértelmezett kimenő beállítások módosításához válassza az Alapértelmezett beállítások lapot, majd a Kimenő hozzáférési beállítások területen válassza a Kimenő alapértelmezett beállítások szerkesztése lehetőséget.

   • Ha módosítani szeretné egy adott szervezet beállításait, válassza a Szervezeti beállítások lapot, keresse meg a szervezetet a listában (vagy adjon hozzá egyet), majd válassza ki a hivatkozást a Kimenő hozzáférés oszlopban.

4. Válassza a B2B együttműködés lapfület.

5. (Ez a lépés csak a szervezeti beállításokra vonatkozik.) Ha egy szervezet beállításait konfigurálja, válasszon egy lehetőséget:

   • Alapértelmezett beállítások: A szervezet az Alapértelmezett beállítások lapon konfigurált beállításokat használja. Ha a testre szabott beállítások már konfigurálva lettek ehhez a szervezethez, az Igen elemet kell választania, hogy meggyőződjön arról, hogy az összes beállítást az alapértelmezett beállításokkal szeretné lecserélni. Ezután válassza a Mentés lehetőséget, és hagyja ki az eljárás többi lépését.

   • Beállítások testreszabása: Az alapértelmezett beállítások helyett testre szabhatja a szervezetre vonatkozó kényszerítési beállításokat. Folytassa az eljárás többi lépésével.

6. Válassza a Felhasználók és csoportok lehetőséget.

7. Az Access állapotában válasszon az alábbiak közül:

   • Hozzáférés engedélyezése: Lehetővé teszi, hogy az Applies szakaszban megadott felhasználókat és csoportokat meghívják külső szervezetekbe a B2B-együttműködéshez.
   • Hozzáférés letiltása: Megakadályozza, hogy az Applies alatt megadott felhasználókat és csoportokat meghívják a B2B-együttműködésbe. Ha letiltja az összes felhasználó és csoport hozzáférését, az azt is megakadályozza, hogy az összes külső alkalmazás B2B-együttműködésen keresztül legyen elérhető.

   

8. Az Érintett területen válasszon az alábbiak közül:

   • Minden <szervezeti> felhasználó: Az Access állapotában kiválasztott műveletet alkalmazza az összes felhasználóra és csoportra.
   • Válassza ki <a szervezet> felhasználóit és csoportjait (P1 vagy P2 microsoft Entra-azonosítójú előfizetést igényel): Lehetővé teszi, hogy az Access állapotában kiválasztott műveletet bizonyos felhasználókra és csoportokra alkalmazza.

   Feljegyzés

   Ha letiltja az összes felhasználó és csoport hozzáférését, akkor az összes külső alkalmazáshoz (a Külső alkalmazások lapon) is le kell tiltania a hozzáférést.

   

9. Ha a Szervezeti< felhasználók és csoportok kiválasztása >lehetőséget választotta, tegye a következőket minden hozzáadni kívánt felhasználóhoz vagy csoporthoz:

   • Válassza < hozzáadása >lehetőséget.
   • A Kiválasztás panelen írja be a felhasználónevet vagy a csoportnevet a keresőmezőbe.
   • Válassza ki a felhasználót vagy csoportot a keresési eredmények között.
   • Ha végzett a hozzáadni kívánt felhasználók és csoportok kiválasztásával, válassza a Kiválasztás lehetőséget.

   Feljegyzés

   A felhasználók és csoportok megcélzásakor nem fogja tudni kiválasztani az SMS-alapú hitelesítést konfiguráló felhasználókat. Ennek az az oka, hogy azok a felhasználók, akik "összevont hitelesítő adatokkal" rendelkeznek a felhasználói objektumon, le vannak tiltva, hogy a külső felhasználók ne legyenek hozzáadva a kimenő hozzáférési beállításokhoz. Áthidaló megoldásként a Microsoft Graph API használatával közvetlenül hozzáadhatja a felhasználó objektumazonosítóját, vagy megcélzhatja azt a csoportot, amelyhez a felhasználó tartozik.

10. Válassza a Külső alkalmazások lapot.

11. Az Access állapotában válasszon az alábbiak közül:

    • Hozzáférés engedélyezése: Lehetővé teszi, hogy az Applies szakaszban megadott külső alkalmazások B2B-együttműködésen keresztül férhessenek hozzá a felhasználókhoz.
    • Hozzáférés letiltása: Megakadályozza, hogy a felhasználók B2B-együttműködésen keresztül elérhessék az Applies alatt megadott külső alkalmazásokat.

    

12. Az Érintett területen válasszon az alábbiak közül:

    • Minden külső alkalmazás: Az Access állapotában kiválasztott műveletet alkalmazza az összes külső alkalmazásra.
    • Külső alkalmazások kiválasztása: Az Access állapotában kiválasztott műveletet alkalmazza az összes külső alkalmazásra.

    Feljegyzés

    Ha letiltja az összes külső alkalmazáshoz való hozzáférést, akkor az összes felhasználó és csoport hozzáférését is le kell tiltania (a Felhasználók és csoportok lapon).

    

13. Ha a Külső alkalmazások kiválasztása lehetőséget választotta, tegye a következőket minden hozzáadni kívánt alkalmazáshoz:

    • Válassza a Microsoft-alkalmazások hozzáadása vagy más alkalmazások hozzáadása lehetőséget.
    • A keresőmezőbe írja be az alkalmazás nevét vagy az alkalmazásazonosítót (az ügyfélalkalmazás azonosítóját vagy az erőforrásalkalmazás azonosítóját). Ezután válassza ki az alkalmazást a keresési eredmények között. Ismételje meg a műveletet minden hozzáadni kívánt alkalmazás esetében.
    • Ha végzett az alkalmazások kiválasztásával, válassza a Kiválasztás lehetőséget.

    

14. Válassza a Mentés lehetőséget.

Kimenő megbízhatósági beállítások módosítása

(Ez a szakasz csak a szervezeti beállításokra vonatkozik.)

1. Válassza a Megbízhatósági beállítások lapot.

2. Tekintse át az Automatikus beváltás lehetőséget:

   • Meghívók automatikus beváltása a bérlővel<bérlő>: Ellenőrizze ezt a beállítást, ha automatikusan be szeretné váltani a meghívókat. Ha igen, a bérlő felhasználóinak nem kell elfogadniuk a hozzájárulási kérést, amikor először férnek hozzá a megadott bérlőhöz bérlőközi szinkronizálás, B2B-együttműködés vagy közvetlen B2B-kapcsolat használatával. Ez a beállítás csak akkor tiltja le a hozzájárulási kérést, ha a megadott bérlő is ellenőrzi a bejövő hozzáférést.

     

3. Válassza a Mentés lehetőséget.

Szervezet eltávolítása

Amikor eltávolít egy szervezetet a szervezeti beállítások közül, az alapértelmezett bérlőközi hozzáférési beállítások lépnek érvénybe az adott szervezet számára.

Feljegyzés

Ha a szervezet a szervezet felhőszolgáltatója (a Microsoft Graph partnerspecifikus konfigurációjában az isServiceProvider tulajdonság igaz), nem fogja tudni eltávolítani a szervezetet.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.

2. Keresse meg az Entra ID>Külső identitások>bérlők közötti hozzáférési beállításait.

3. Válassza a Szervezeti beállítások lapot.

4. Keresse meg a szervezetet a listában, majd válassza a kuka ikont a sorban.

Kapcsolódó tartalom

• Külső együttműködési beállítások konfigurálása
• Bérlők közötti hozzáférési beállítások konfigurálása közvetlen B2B-csatlakozáshoz

A következőkre vonatkozik: Munkaerő-bérlők (további információ)

A külső identitások bérlők közötti hozzáférési beállításaival kezelheti, hogyan működik együtt más Microsoft Entra-szervezetekkel b2B-együttműködéssel. Ezek a beállítások határozzák meg, hogy a külső Microsoft Entra-szervezetek bejövő hozzáférési felhasználóinak milyen szintű hozzáféréssel kell rendelkezniük az erőforrásokhoz, és hogy a felhasználók milyen szintű kimenő hozzáféréssel rendelkeznek a külső szervezetekhez. Emellett lehetővé teszik a többtényezős hitelesítés (MFA) és az eszközjogcímek (megfelelő jogcímek és a Microsoft Entra hibrid csatlakoztatott jogcímek) megbízhatóságát más Microsoft Entra-szervezetektől. További részletekért és tervezési szempontokért tekintse meg a bérlők közötti hozzáférést a Microsoft Entra külső azonosítójában.

Együttműködés felhők között: A különböző Microsoft-felhők partnerszervezetei B2B-együttműködést állíthatnak be egymással. Először is mindkét szervezetnek engedélyeznie kell az együttműködést egymással a Microsoft felhőbeállításainak konfigurálása című cikkben leírtak szerint. Ezután minden szervezet tetszés szerint módosíthatja a bejövő hozzáférési beállításait és a kimenő hozzáférési beállításait az alábbiak szerint.

Fontos

A Microsoft 2023. augusztus 30-án kezdi áthelyezni a bérlők közötti hozzáférési beállításokat használó ügyfeleket egy új tárolási modellbe. Előfordulhat, hogy az auditnaplókban egy bejegyzés jelenik meg, amely arról tájékoztatja, hogy a bérlők közötti hozzáférési beállítások frissültek, amikor az automatizált feladat áttelepíti a beállításokat. A migrálási folyamatok során rövid ideig nem módosíthatja a beállításokat. Ha nem tud módosítani, várjon néhány percet, és próbálkozzon újra a módosítással. A migrálás befejezése után a továbbiakban nem lesz 25kb tárterülettel leképezve , és a felvehető partnerek száma nem lesz korlátozva.

Figyelemfelhívás

Ha az alapértelmezett bejövő vagy kimenő beállításokat letiltja a hozzáférés letiltására , az letilthatja a szervezet vagy partnerszervezetek alkalmazásainak meglévő, üzleti szempontból kritikus fontosságú elérését. Ügyeljen arra, hogy a Microsoft Entra külső azonosítójában a bérlők közötti hozzáférésben leírt eszközöket használja, és forduljon az üzleti érdekelt felekhez a szükséges hozzáférés azonosításához.

• Tekintse át a bérlők közötti hozzáférés áttekintésénekFontos szempontok szakaszát, mielőtt konfigurálja a bérlők közötti hozzáférési beállításokat.
• Használja az eszközöket, és kövesse a bejövő és kimenő bejelentkezések azonosítása című témakörben található javaslatokat annak megértéséhez, hogy mely külső Microsoft Entra-szervezetek és -erőforrások felhasználói férnek hozzá jelenleg.
• Döntse el, hogy milyen alapértelmezett hozzáférési szintet szeretne alkalmazni az összes külső Microsoft Entra-szervezetre.
• Azonosítsa azokat a Microsoft Entra-szervezeteket, amelyeknek testre szabott beállításokra van szükségük, hogy konfigurálhassa a szervezeti beállításokat .
• Ha hozzáférési beállításokat szeretne alkalmazni egy külső szervezet adott felhasználóira, csoportjaira vagy alkalmazására, a beállítások konfigurálása előtt kapcsolatba kell lépnie a szervezettel. Szerezze be a felhasználói objektumazonosítókat, csoportobjektum-azonosítókat vagy alkalmazásazonosítókat (ügyfélalkalmazás-azonosítókat vagy erőforrásalkalmazás-azonosítókat), hogy megfelelően célozhassa meg a beállításokat.
• Ha egy külső Microsoft Azure-felhőben szeretné beállítani a B2B-együttműködést egy partnerszervezettel, kövesse a Microsoft felhőbeállításainak konfigurálásához szükséges lépéseket. A partnerszervezet rendszergazdájának ugyanezt kell tennie a bérlőjénél.
• Az engedélyezési/tiltólista és a bérlők közötti hozzáférési beállításokat a rendszer a meghíváskor ellenőrzi. Ha egy felhasználó tartománya szerepel az engedélyezési listán, meghívhatók, kivéve, ha a tartomány kifejezetten le van tiltva a bérlők közötti hozzáférési beállításokban. Ha egy felhasználó tartománya szerepel a tiltólistán, a bérlők közötti hozzáférési beállításoktól függetlenül nem hívhatók meg. Ha egy felhasználó egyik listában sem szerepel, a bérlők közötti hozzáférési beállításokat ellenőrizve megállapítjuk, hogy meghívhatók-e.

A bérlők közötti alapértelmezett hozzáférési beállítások az összes olyan külső szervezetre vonatkoznak, amelyeknél nem hozott létre szervezetspecifikus testreszabott beállításokat. Ha módosítani szeretné a Microsoft Entra által megadott alapértelmezett beállításokat, kövesse az alábbi lépéseket.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.

2. Keresse meg az Entra ID>Külső identitások>bérlők közötti hozzáférési beállításait, majd válassza a Bérlők közötti hozzáférési beállításokat.

3. Válassza az Alapértelmezett beállítások lapot, és tekintse át az összefoglaló lapot.

   

4. A beállítások módosításához válassza a Bejövő alapértelmezett fájlok szerkesztése hivatkozást vagy a Kimenő alapértelmezett értékek szerkesztése hivatkozást.

   

5. Módosítsa az alapértelmezett beállításokat az alábbi szakaszok részletes lépéseinek követésével:

   • Bejövő hozzáférési beállítások módosítása
   • Kimenő hozzáférési beállítások módosítása

Az alábbi lépéseket követve konfigurálhatja az adott szervezetekre vonatkozó testreszabott beállításokat.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.

2. Keresse meg az Entra ID>Külső identitások>bérlők közötti hozzáférési beállításait, majd válassza a Szervezeti beállítások lehetőséget.

3. Válassza a Szervezet hozzáadása lehetőséget.

4. A Szervezet hozzáadása panelen írja be a szervezet teljes tartománynevét (vagy bérlőazonosítóját).

   

5. Válassza ki a szervezetet a keresési eredmények között, majd válassza a Hozzáadás lehetőséget.

6. A szervezet megjelenik a Szervezeti beállítások listában. Ezen a ponton a szervezet összes hozzáférési beállítása öröklődik az alapértelmezett beállításoktól. A szervezet beállításainak módosításához válassza a Bejövő vagyKimenő hozzáférés oszlopban az alapértelmezetttől örökölt hivatkozást.

   

7. Módosítsa a szervezet beállításait az alábbi szakaszokban leírt részletes lépések végrehajtásával:

   • Bejövő hozzáférési beállítások módosítása
   • Kimenő hozzáférési beállítások módosítása

Bejövő beállításokkal kiválaszthatja, hogy mely külső felhasználók és csoportok férhetnek hozzá a választott belső alkalmazásokhoz. Akár az alapértelmezett beállításokat, akár a szervezetspecifikus beállításokat konfigurálja, a bejövő bérlők közötti hozzáférési beállítások módosításának lépései ugyanazok. Az ebben a szakaszban leírtaknak megfelelően lépjen az Alapértelmezett lapra vagy egy szervezetre a Szervezeti beállítások lapon, majd végezze el a módosításokat.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.

2. Keresse meg az Entra ID>Külső identitások>bérlők közötti hozzáférési beállításait.

3. Keresse meg a módosítani kívánt beállításokat:

   • Alapértelmezett beállítások: Az alapértelmezett bejövő beállítások módosításához válassza az Alapértelmezett beállítások lapot, majd a Bejövő hozzáférési beállítások területen válassza a Bejövő alapértelmezett beállítások szerkesztése lehetőséget.
   • Szervezeti beállítások: Ha módosítani szeretné egy adott szervezet beállításait, válassza a Szervezeti beállítások lapot, keresse meg a szervezetet a listában (vagy adjon hozzá egyet), majd válassza ki a hivatkozást a Bejövő hozzáférés oszlopban.

4. Kövesse a módosítani kívánt bejövő beállítások részletes lépéseit:

   • Bejövő B2B együttműködési beállítások módosítása
   • Az MFA és az eszközjogcímek elfogadásának bejövő megbízhatósági beállításainak módosítása

Feljegyzés

Ha a Microsoft SharePointban és a Microsoft OneDrive-ban a natív megosztási képességeket használja, és engedélyezve van a Microsoft Entra B2B integrációja , a külső tartományokat hozzá kell adnia a külső együttműködési beállításokhoz. Ellenkező esetben előfordulhat, hogy az alkalmazások meghívásai meghiúsulnak, még akkor is, ha a külső bérlőt hozzáadták a bérlők közötti hozzáférési beállításokhoz.

Bejövő B2B együttműködési beállítások módosítása

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.

2. Tallózással keresse meg az Entra ID>Külső identitások>bérlők közötti hozzáférési beállításait, majd válassza a Szervezeti beállítások lehetőséget

3. Válassza ki a hivatkozást a Bejövő hozzáférés oszlopban és a B2B együttműködésben Ha minden külső felhasználó és csoport hozzáférését letiltja, akkor az összes belső alkalmazáshoz való hozzáférést is le kell tiltania.

4. Ha egy adott szervezet bejövő hozzáférési beállításait konfigurálja, válasszon egy lehetőséget:

   • Alapértelmezett beállítások: Válassza ezt a beállítást, ha azt szeretné, hogy a szervezet az alapértelmezett bejövő beállításokat használja (az alapértelmezett beállítások szerint Ha minden külső felhasználó és csoport számára letiltja a hozzáférést, akkor az összes belső alkalmazáshoz is le kell tiltania a hozzáférést. Ha a testre szabott beállítások már konfigurálva lettek ehhez a szervezethez, az Igen elemet kell választania, hogy meggyőződjön arról, hogy az összes beállítást az alapértelmezett beállításokkal szeretné lecserélni. Ezután válassza a Mentés lehetőséget, és hagyja ki az eljárás többi lépését.

   • Beállítások testreszabása: Válassza ezt a beállítást, ha az alapértelmezett beállítások helyett testre szeretné szabni a szervezetre vonatkozó kényszerítési beállításokat. Folytassa az eljárás többi lépésével.

5. Válassza ki a külső felhasználókat és csoportokat.

6. Az Access állapotában válasszon az alábbiak közül:

   • Hozzáférés engedélyezése: Lehetővé teszi, hogy az A2B-együttműködéshez az Applies szakaszban megadott felhasználók és csoportok meghívhatók legyenek.
   • Hozzáférés letiltása: Letiltja az A2B-együttműködésre való meghívást az Applies alatt megadott felhasználók és csoportok számára.

   

7. Az Érintett területen válasszon az alábbiak közül:

   • Minden külső felhasználó és csoport: Az Access állapotában kiválasztott műveletet alkalmazza a külső Microsoft Entra-szervezetek összes felhasználója és csoportja számára.
   • Külső felhasználók és csoportok kiválasztása (P1 vagy P2 Microsoft Entra-azonosítót igényel): Lehetővé teszi, hogy az Access állapotában kiválasztott műveletet a külső szervezet adott felhasználóira és csoportjaira alkalmazza.

   Feljegyzés

   Ha letiltja az összes külső felhasználó és csoport hozzáférését, akkor az összes belső alkalmazáshoz (az Alkalmazások lapon) is le kell tiltania a hozzáférést. Ha bérlők közötti szinkronizálást konfigurált, az összes külső felhasználó és csoport hozzáférésének letiltása blokkolhatja a bérlők közötti szinkronizálást.

   

8. Ha a Külső felhasználók és csoportok kiválasztása lehetőséget választotta, tegye a következőket minden hozzáadni kívánt felhasználóhoz vagy csoporthoz:

   • Válassza a Külső felhasználók és csoportok hozzáadása lehetőséget.
   • A További felhasználók és csoportok hozzáadása panel keresőmezőbe írja be a partnerszervezettől beszerzett felhasználói objektumazonosítót vagy csoportobjektum-azonosítót.
   • A keresőmező melletti menüben válassza ki a felhasználót vagy a csoportot.
   • Válassza a Hozzáadás lehetőséget.

   Feljegyzés

   A bejövő alapértelmezett beállításokban nem célozhat meg felhasználókat vagy csoportokat.

   

9. Ha befejezte a felhasználók és csoportok hozzáadását, válassza a Küldés lehetőséget.

   

10. Válassza az Alkalmazások lapot.

11. Az Access állapotában válasszon az alábbiak közül:

    • Hozzáférés engedélyezése: Lehetővé teszi, hogy az Applies szakaszban megadott alkalmazásokat a B2B együttműködési felhasználók elérhessék.
    • Hozzáférés letiltása: Megakadályozza, hogy a B2B együttműködési felhasználók hozzáférjenek az Applies alatt megadott alkalmazásokhoz.

    

12. Az Érintett területen válasszon az alábbiak közül:

    • Minden alkalmazás: Az Access állapotában kiválasztott műveletet alkalmazza az összes alkalmazásra.
    • Alkalmazások kiválasztása (P1- vagy P2-előfizetést igényel a Microsoft Entra-azonosítóhoz): Lehetővé teszi, hogy az Access állapotában kiválasztott műveletet a szervezet bizonyos alkalmazásaira alkalmazza.

    Feljegyzés

    Ha letiltja az összes alkalmazáshoz való hozzáférést, akkor az összes külső felhasználó és csoport hozzáférését is blokkolnia kell (a Külső felhasználók és csoportok lapon).

    

13. Ha az Alkalmazások kiválasztása lehetőséget választotta, tegye a következőket minden hozzáadni kívánt alkalmazáshoz:

    • Válassza a Microsoft-alkalmazások hozzáadása vagy más alkalmazások hozzáadása lehetőséget.
    • A Kiválasztás panelen írja be az alkalmazás nevét vagy az alkalmazásazonosítót (az ügyfélalkalmazás azonosítóját vagy az erőforrásalkalmazás azonosítóját) a keresőmezőbe. Ezután válassza ki az alkalmazást a keresési eredmények között. Ismételje meg a műveletet minden hozzáadni kívánt alkalmazás esetében.
    • Ha végzett az alkalmazások kiválasztásával, válassza a Kiválasztás lehetőséget.

    

14. Válassza a Mentés lehetőséget.

A Microsoft-alkalmazások engedélyezésének szempontjai

Ha bérlők közötti hozzáférési beállításokat szeretne konfigurálni, hogy csak egy meghatározott alkalmazáskészletet engedélyezzen, vegye fel a microsoftos alkalmazásokat az alábbi táblázatban. Ha például konfigurál egy engedélyezési listát, és csak a SharePoint Online-t engedélyezi, a felhasználó nem férhet hozzá a Saját alkalmazásokhoz, és nem regisztrálhat MFA-ra az erőforrás-bérlőben. A zökkenőmentes végfelhasználói élmény érdekében vegye fel a következő alkalmazásokat a bejövő és kimenő együttműködési beállításokba.

Alkalmazás	Erőforrás-azonosító	Elérhető a portálon	Részletek
Saját alkalmazások	2793995e-0a7d-40d7-bd35-6968ba142197	Igen	Alapértelmezett kezdőlap a beváltott meghívás után. A hozzáférés definiálása.myapplications.microsoft.com
Microsoft App hozzáférési panel	0000000c-0000-0000-c000-000000000	Nem	Néhány késői hívásban használatos, amikor bizonyos lapokat tölt be a Saját bejelentkezések mappába. Például a Biztonsági adatok panel vagy a Szervezetek kapcsoló.
Profilom	8C59EAD7-D703-4A27-9E55-C96A0054C8D2	Igen	Meghatározza a saját csoportok és a myaccount.microsoft.com saját hozzáférési portálok hozzáférését. A Saját profil egyes lapjaihoz az itt felsorolt többi alkalmazásra van szükség a működéshez.
Saját bejelentkezések	19db86c3-b2b9-44cc-b339-36da233a3be2	Nem	Meghatározza a biztonsági adatokhoz mysignins.microsoft.com való hozzáférést is. Engedélyezze ezt az alkalmazást, ha megköveteli, hogy a felhasználók regisztráljanak az erőforrás-bérlőben, és használják az MFA-t (például az MFA nem megbízható az otthoni bérlőtől).

Az előző táblázat egyes alkalmazásai nem teszik lehetővé a Microsoft Entra felügyeleti központból való kiválasztást. Az engedélyezéshez vegye fel őket a Microsoft Graph API-val az alábbi példában látható módon:

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

Feljegyzés

Ügyeljen arra, hogy a PATCH-kérelembe minden további, engedélyezni kívánt alkalmazást is belefoglaljon, mivel ez felülírja a korábban konfigurált alkalmazásokat. A már konfigurált alkalmazásokat manuálisan lehet lekérni a portálról, vagy egy GET kérés futtatásával a partnerházirendben. Például: GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>

Feljegyzés

A Microsoft Graph API-n keresztül hozzáadott, a Microsoft Entra felügyeleti központban elérhető alkalmazáshoz nem leképezett alkalmazások alkalmazásazonosítóként jelennek meg.

A Microsoft Entra Felügyeleti központ bejövő és kimenő bérlők közötti hozzáférési beállításaihoz nem adhatja hozzá a Microsoft Felügyeleti portálok alkalmazást. A Microsoft felügyeleti portálokhoz való külső hozzáférés engedélyezéséhez a Microsoft Graph API-val egyenként adja hozzá az alábbi alkalmazásokat, amelyek a Microsoft Felügyeleti portálok alkalmazáscsoport részét képezik:

• Azure Portal (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Microsoft Entra felügyeleti központ (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Microsoft 365 Defender portál (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Microsoft Intune Felügyeleti központ (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Microsoft Purview portál (80ccca67-54bd-44ab-8625-4b79c4dc7775)

Beváltás sorrendjének konfigurálása

Ha testre szeretné szabni az identitásszolgáltatók sorrendjét, amellyel a vendégfelhasználók bejelentkezhetnek a meghívás elfogadásakor, kövesse az alábbi lépéseket.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.

2. Keresse meg az Entra ID>Külső identitások>bérlők közötti hozzáférési beállításait.

3. Az Alapértelmezett beállítások lap Bejövő hozzáférési beállítások csoportjában válassza a Bejövő alapértelmezett beállítások szerkesztése lehetőséget.

4. A B2B együttműködés lapján válassza a Beváltás sorrend lapfület .

5. Az identitásszolgáltatókat felfelé vagy lefelé mozgatva módosíthatja azt a sorrendet, amelyben a vendégfelhasználók bejelentkezhetnek, amikor elfogadják a meghívást. A beváltás sorrendjét itt is visszaállíthatja az alapértelmezett beállításokra.

   

6. Válassza a Mentés lehetőséget.

A beváltás sorrendjét a Microsoft Graph API-n keresztül is testre szabhatja.

1. Nyissa meg a Microsoft Graph Explorert.

2. Jelentkezzen be legalább biztonsági rendszergazdaként az erőforrás-bérlőbe.

3. Futtassa a következő lekérdezést az aktuális beváltási sorrend lekéréséhez:

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default

4. Ebben a példában az SAML/WS-Fed IdP összevonást a beváltás sorrendjének tetejére fogjuk helyezni a Microsoft Entra identitásszolgáltatója felett. Azonos URI javítása ezzel a kéréstörzsgel:

{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}

5. A módosítások ellenőrzéséhez futtassa újra a GET lekérdezést.

6. A beváltási sorrend alapértelmezett beállításokra való visszaállításához futtassa a következő lekérdezést:

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

SAML/WS-Fed összevonás (közvetlen összevonás) ellenőrzött Microsoft Entra-azonosítójú tartományokhoz

A közvetlen összevonási kapcsolat beállításához mostantól hozzáadhatja a microsoft entra-azonosítóval hitelesített tartományt. Először be kell állítania a Közvetlen összevonási konfigurációt a felügyeleti központban vagy az API-val. Győződjön meg arról, hogy a tartomány nincs ellenőrizve ugyanabban a bérlőben. A konfiguráció beállítása után testre szabhatja a beváltás sorrendjét. Az SAML/WS-Fed idP az utolsó tételként hozzáadódik a visszaváltási rendeléshez. A beváltás sorrendjében feljebb helyezheti, hogy a Microsoft Entra identitásszolgáltatója fölé állítsa.

A B2B-felhasználók meghívás beváltásának megakadályozása Microsoft-fiókok használatával

Ha meg szeretné akadályozni, hogy a B2B-vendégfelhasználók a meglévő Microsoft-fiókjukkal beváltsák a meghívásukat, vagy újat hozzanak létre a meghívás elfogadásához, kövesse az alábbi lépéseket.

1. Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább biztonsági rendszergazdaként

2. Keresse meg az Entra ID>Külső identitások>bérlők közötti hozzáférési beállításait.

3. Az Alapértelmezett beállítások lap Bejövő hozzáférési beállítások csoportjában válassza a Bejövő alapértelmezett beállítások szerkesztése lehetőséget.

4. A B2B együttműködés lapján válassza a Beváltás sorrend lapfület .

5. A Tartalék identitásszolgáltatók területen tiltsa le a Microsoft-szolgáltatásfiókot (MSA).

   

6. Válassza a Mentés lehetőséget.

Legalább egy tartalék identitásszolgáltatót bármikor engedélyeznie kell. Ha le szeretné tiltani a Microsoft-fiókokat, engedélyeznie kell az egyszeri e-mail-jelszót. Nem tilthatja le mindkét tartalék identitásszolgáltatót. A Microsoft-fiókokkal bejelentkezett meglévő vendégfelhasználók továbbra is használják azt a későbbi bejelentkezések során. A beállítás alkalmazásához alaphelyzetbe kell állítania a visszaváltási állapotukat .

Az MFA és az eszközjogcímek bejövő megbízhatósági beállításainak módosítása

1. Válassza a Megbízhatósági beállítások lapot.

2. (Ez a lépés csak a szervezeti beállításokra vonatkozik.) Ha egy szervezet beállításait konfigurálja, válasszon az alábbiak közül:

   • Alapértelmezett beállítások: A szervezet az Alapértelmezett beállítások lapon konfigurált beállításokat használja. Ha a testre szabott beállítások már konfigurálva lettek ehhez a szervezethez, válassza az Igen lehetőséget annak ellenőrzéséhez, hogy az összes beállítást az alapértelmezett beállításokkal szeretné-e lecserélni. Ezután válassza a Mentés lehetőséget, és hagyja ki az eljárás többi lépését.

   • Beállítások testreszabása: Az alapértelmezett beállítások helyett testre szabhatja a szervezetre vonatkozó kényszerítési beállításokat. Folytassa az eljárás többi lépésével.

3. Válasszon egy vagy több lehetőséget a következő lehetőségek közül:

   • Megbízható többtényezős hitelesítés a Microsoft Entra-bérlőktől: Jelölje be ezt a jelölőnégyzetet, hogy a feltételes hozzáférési szabályzatok megbízhassanak a külső szervezetek MFA-jogcímeiben. A hitelesítés során a Microsoft Entra-azonosító ellenőrzi a felhasználó hitelesítő adatait, hogy a felhasználó teljesítette-e az MFA-t. Ha nem, az MFA-feladat a felhasználó otthoni bérlőjében lesz elindítva. Ez a beállítás nem lesz alkalmazva, ha egy külső felhasználó részletes delegált rendszergazdai jogosultságokkal (GDAP) jelentkezik be, például egy felhőszolgáltató szakembere használja, aki a bérlőben felügyeli a szolgáltatásokat. Amikor egy külső felhasználó bejelentkezik a GDAP használatával, az MFA-ra mindig szükség van a felhasználó otthoni bérlőjében, és mindig megbízható az erőforrás-bérlőben. A GDAP-felhasználók MFA-regisztrációja nem támogatott a felhasználó otthoni bérlőjén kívül. Ha a szervezetnek meg kell tiltania a szolgáltatói technikusok hozzáférését a felhasználó otthoni bérlőjében lévő MFA alapján, eltávolíthatja a GDAP-kapcsolatot a Microsoft 365 Felügyeleti központban.

   • Megfelelő eszközök megbízhatósága: Lehetővé teszi, hogy a feltételes hozzáférési szabályzatok megbízhatónak minősítsék egy külső szervezet megfelelő eszközjogcímeit , amikor a felhasználók hozzáférnek az erőforrásokhoz.

   • Megbízható microsoft entra hibrid csatlakoztatott eszközök: Lehetővé teszi a feltételes hozzáférési szabályzatok számára, hogy megbízhatók a Microsoft Entra hibrid csatlakoztatott eszköz jogcímei egy külső szervezettől, amikor a felhasználók hozzáférnek az erőforrásokhoz.

   

4. (Ez a lépés csak a szervezeti beállításokra vonatkozik.) Tekintse át az Automatikus beváltás lehetőséget:

   • Meghívók automatikus beváltása a bérlővel<bérlő>: Ellenőrizze ezt a beállítást, ha automatikusan be szeretné váltani a meghívókat. Ha igen, a megadott bérlő felhasználóinak nem kell elfogadniuk a hozzájárulási kérést, amikor először férnek hozzá a bérlőhöz bérlőközi szinkronizálás, B2B együttműködés vagy közvetlen B2B-kapcsolat használatával. Ez a beállítás csak akkor tiltja le a hozzájárulási kérést, ha a megadott bérlő is ellenőrzi a kimenő hozzáférést.

   

5. Válassza a Mentés lehetőséget.

A felhasználók szinkronizálásának engedélyezése ebbe a bérlőbe

Ha a hozzáadott szervezet bejövő hozzáférését választja, megjelenik a Bérlőközi szinkronizálás lap, és a Felhasználók szinkronizálásának engedélyezése ebbe a bérlőbe jelölőnégyzet. A bérlők közötti szinkronizálás egy egyirányú szinkronizálási szolgáltatás a Microsoft Entra-azonosítóban, amely automatizálja a B2B együttműködési felhasználók létrehozását, frissítését és törlését a vállalat bérlői között. További információ: Bérlők közötti szinkronizálás konfigurálása és a több-bérlős szervezetek dokumentációja.

Kimenő hozzáférési beállítások módosítása

Kimenő beállításokkal kiválaszthatja, hogy mely felhasználók és csoportok férhetnek hozzá a választott külső alkalmazásokhoz. Akár az alapértelmezett beállításokat, akár a szervezetspecifikus beállításokat konfigurálja, a bérlők közötti kimenő hozzáférési beállítások módosításának lépései ugyanazok. Az ebben a szakaszban leírtaknak megfelelően lépjen az Alapértelmezett lapra vagy egy szervezetre a Szervezeti beállítások lapon, majd végezze el a módosításokat.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.

2. Keresse meg az Entra ID>Külső identitások>bérlők közötti hozzáférési beállításait.

3. Keresse meg a módosítani kívánt beállításokat:

   • Az alapértelmezett kimenő beállítások módosításához válassza az Alapértelmezett beállítások lapot, majd a Kimenő hozzáférési beállítások területen válassza a Kimenő alapértelmezett beállítások szerkesztése lehetőséget.

   • Ha módosítani szeretné egy adott szervezet beállításait, válassza a Szervezeti beállítások lapot, keresse meg a szervezetet a listában (vagy adjon hozzá egyet), majd válassza ki a hivatkozást a Kimenő hozzáférés oszlopban.

4. Válassza a B2B együttműködés lapfület.

5. (Ez a lépés csak a szervezeti beállításokra vonatkozik.) Ha egy szervezet beállításait konfigurálja, válasszon egy lehetőséget:

   • Alapértelmezett beállítások: A szervezet az Alapértelmezett beállítások lapon konfigurált beállításokat használja. Ha a testre szabott beállítások már konfigurálva lettek ehhez a szervezethez, az Igen elemet kell választania, hogy meggyőződjön arról, hogy az összes beállítást az alapértelmezett beállításokkal szeretné lecserélni. Ezután válassza a Mentés lehetőséget, és hagyja ki az eljárás többi lépését.

   • Beállítások testreszabása: Az alapértelmezett beállítások helyett testre szabhatja a szervezetre vonatkozó kényszerítési beállításokat. Folytassa az eljárás többi lépésével.

6. Válassza a Felhasználók és csoportok lehetőséget.

7. Az Access állapotában válasszon az alábbiak közül:

   • Hozzáférés engedélyezése: Lehetővé teszi, hogy az Applies szakaszban megadott felhasználókat és csoportokat meghívják külső szervezetekbe a B2B-együttműködéshez.
   • Hozzáférés letiltása: Megakadályozza, hogy az Applies alatt megadott felhasználókat és csoportokat meghívják a B2B-együttműködésbe. Ha letiltja az összes felhasználó és csoport hozzáférését, az azt is megakadályozza, hogy az összes külső alkalmazás B2B-együttműködésen keresztül legyen elérhető.

   

8. Az Érintett területen válasszon az alábbiak közül:

   • Minden <szervezeti> felhasználó: Az Access állapotában kiválasztott műveletet alkalmazza az összes felhasználóra és csoportra.
   • Válassza ki <a szervezet> felhasználóit és csoportjait (P1 vagy P2 microsoft Entra-azonosítójú előfizetést igényel): Lehetővé teszi, hogy az Access állapotában kiválasztott műveletet bizonyos felhasználókra és csoportokra alkalmazza.

   Feljegyzés

   Ha letiltja az összes felhasználó és csoport hozzáférését, akkor az összes külső alkalmazáshoz (a Külső alkalmazások lapon) is le kell tiltania a hozzáférést.

   

9. Ha a Szervezeti< felhasználók és csoportok kiválasztása >lehetőséget választotta, tegye a következőket minden hozzáadni kívánt felhasználóhoz vagy csoporthoz:

   • Válassza < hozzáadása >lehetőséget.
   • A Kiválasztás panelen írja be a felhasználónevet vagy a csoportnevet a keresőmezőbe.
   • Válassza ki a felhasználót vagy csoportot a keresési eredmények között.
   • Ha végzett a hozzáadni kívánt felhasználók és csoportok kiválasztásával, válassza a Kiválasztás lehetőséget.

   Feljegyzés

   A felhasználók és csoportok megcélzásakor nem fogja tudni kiválasztani az SMS-alapú hitelesítést konfiguráló felhasználókat. Ennek az az oka, hogy azok a felhasználók, akik "összevont hitelesítő adatokkal" rendelkeznek a felhasználói objektumon, le vannak tiltva, hogy a külső felhasználók ne legyenek hozzáadva a kimenő hozzáférési beállításokhoz. Áthidaló megoldásként a Microsoft Graph API használatával közvetlenül hozzáadhatja a felhasználó objektumazonosítóját, vagy megcélzhatja azt a csoportot, amelyhez a felhasználó tartozik.

10. Válassza a Külső alkalmazások lapot.

11. Az Access állapotában válasszon az alábbiak közül:

    • Hozzáférés engedélyezése: Lehetővé teszi, hogy az Applies szakaszban megadott külső alkalmazások B2B-együttműködésen keresztül férhessenek hozzá a felhasználókhoz.
    • Hozzáférés letiltása: Megakadályozza, hogy a felhasználók B2B-együttműködésen keresztül elérhessék az Applies alatt megadott külső alkalmazásokat.

    

12. Az Érintett területen válasszon az alábbiak közül:

    • Minden külső alkalmazás: Az Access állapotában kiválasztott műveletet alkalmazza az összes külső alkalmazásra.
    • Külső alkalmazások kiválasztása: Az Access állapotában kiválasztott műveletet alkalmazza az összes külső alkalmazásra.

    Feljegyzés

    Ha letiltja az összes külső alkalmazáshoz való hozzáférést, akkor az összes felhasználó és csoport hozzáférését is le kell tiltania (a Felhasználók és csoportok lapon).

    

13. Ha a Külső alkalmazások kiválasztása lehetőséget választotta, tegye a következőket minden hozzáadni kívánt alkalmazáshoz:

    • Válassza a Microsoft-alkalmazások hozzáadása vagy más alkalmazások hozzáadása lehetőséget.
    • A keresőmezőbe írja be az alkalmazás nevét vagy az alkalmazásazonosítót (az ügyfélalkalmazás azonosítóját vagy az erőforrásalkalmazás azonosítóját). Ezután válassza ki az alkalmazást a keresési eredmények között. Ismételje meg a műveletet minden hozzáadni kívánt alkalmazás esetében.
    • Ha végzett az alkalmazások kiválasztásával, válassza a Kiválasztás lehetőséget.

    

14. Válassza a Mentés lehetőséget.

Kimenő megbízhatósági beállítások módosítása

(Ez a szakasz csak a szervezeti beállításokra vonatkozik.)

1. Válassza a Megbízhatósági beállítások lapot.

2. Tekintse át az Automatikus beváltás lehetőséget:

   • Meghívók automatikus beváltása a bérlővel<bérlő>: Ellenőrizze ezt a beállítást, ha automatikusan be szeretné váltani a meghívókat. Ha igen, a bérlő felhasználóinak nem kell elfogadniuk a hozzájárulási kérést, amikor először férnek hozzá a megadott bérlőhöz bérlőközi szinkronizálás, B2B-együttműködés vagy közvetlen B2B-kapcsolat használatával. Ez a beállítás csak akkor tiltja le a hozzájárulási kérést, ha a megadott bérlő is ellenőrzi a bejövő hozzáférést.

     

3. Válassza a Mentés lehetőséget.

Amikor eltávolít egy szervezetet a szervezeti beállítások közül, az alapértelmezett bérlőközi hozzáférési beállítások lépnek érvénybe az adott szervezet számára.

Feljegyzés

Ha a szervezet a szervezet felhőszolgáltatója (a Microsoft Graph partnerspecifikus konfigurációjában az isServiceProvider tulajdonság igaz), nem fogja tudni eltávolítani a szervezetet.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.

2. Keresse meg az Entra ID>Külső identitások>bérlők közötti hozzáférési beállításait.

3. Válassza a Szervezeti beállítások lapot.

4. Keresse meg a szervezetet a listában, majd válassza a kuka ikont a sorban.