Edit

Bagikan melalui

Mengelola pengaturan akses lintas penyewa untuk kolaborasi B2B

  • Bagaimana

Berlaku untuk: Lingkaran hijau dengan simbol tanda centang putih. Penyewa Tenaga Kerja Penyewa Lingkaran putih dengan simbol X abu-abu. eksternal (pelajari lebih lanjut)

Gunakan pengaturan akses lintas penyewa External Identities untuk mengelola cara Anda berkolaborasi dengan organisasi Microsoft Entra lainnya melalui kolaborasi B2B. Pengaturan ini menentukan tingkat pengguna akses masuk di organisasi Microsoft Entra eksternal ke sumber daya Anda, dan tingkat akses keluar yang dimiliki pengguna Anda ke organisasi eksternal. Mereka juga memungkinkan Anda mempercayai autentikasi multifaktor (MFA) dan klaim perangkat (klaim yang sesuai dan klaim gabungan hibrid Microsoft Entra) dari organisasi Microsoft Entra lainnya. Untuk pertimbangan detail dan perencanaan, lihat Akses lintas penyewa di ID Eksternal Microsoft Entra.

Kolaborasi di seluruh cloud: Organisasi mitra di cloud Microsoft yang berbeda dapat menyiapkan kolaborasi B2B satu sama lain. Pertama, kedua organisasi harus mengaktifkan kolaborasi satu sama lain seperti yang dijelaskan dalam Mengonfigurasi pengaturan cloud Microsoft. Kemudian setiap organisasi dapat secara opsional mengubah pengaturan akses masuk dan pengaturan akses keluar, seperti yang dijelaskan di bawah ini.

Penting

Microsoft mulai memindahkan pelanggan menggunakan pengaturan akses lintas penyewa ke model penyimpanan baru pada 30 Agustus 2023. Anda mungkin melihat entri dalam log audit yang memberi tahu Anda bahwa pengaturan akses lintas penyewa Anda diperbarui saat tugas otomatis kami memigrasikan pengaturan Anda. Untuk jendela singkat saat migrasi diproses, Anda tidak akan dapat membuat perubahan pada pengaturan Anda. Jika Anda tidak dapat membuat perubahan, Anda harus menunggu beberapa saat dan mencoba perubahan lagi. Setelah migrasi selesai, Anda tidak akan lagi dibatasi dengan ruang penyimpanan 25kb dan tidak akan ada batasan lagi pada jumlah mitra yang dapat Anda tambahkan.

Prasyarat

Perhatian

Mengubah pengaturan masuk atau keluar default ke Memblokir akses dapat memblokir akses penting bisnis yang ada ke aplikasi di organisasi atau organisasi mitra Anda. Pastikan untuk menggunakan alat yang dijelaskan dalam Akses lintas penyewa di ID Eksternal Microsoft Entra dan konsultasikan dengan pemangku kepentingan bisnis Anda untuk mengidentifikasi akses yang diperlukan.

  • Tinjau bagian Pertimbangan penting dalam gambaran umum akses lintas penyewa sebelum mengonfigurasi pengaturan akses lintas penyewa Anda.
  • Gunakan alat dan ikuti rekomendasi dalam Mengidentifikasi masuk masuk dan keluar untuk memahami organisasi dan sumber daya Microsoft Entra eksternal mana yang saat ini diakses pengguna.
  • Tentukan tingkat akses default yang ingin Anda terapkan ke semua organisasi Microsoft Entra eksternal.
  • Identifikasi organisasi Microsoft Entra apa pun yang memerlukan pengaturan yang disesuaikan sehingga Anda dapat mengonfigurasi pengaturan Organisasi untuk organisasi tersebut.
  • Jika Anda ingin menerapkan pengaturan akses ke pengguna, grup, atau aplikasi tertentu di organisasi eksternal, Anda perlu menghubungi organisasi untuk informasi sebelum mengonfigurasi pengaturan Anda. Dapatkan ID objek pengguna, ID objek grup, atau ID aplikasi (ID aplikasi klien atau ID aplikasi sumber daya) sehingga Anda dapat menargetkan pengaturan dengan benar.
  • Jika Anda ingin menyiapkan kolaborasi B2B dengan organisasi mitra di cloud Microsoft Azure eksternal, ikuti langkah-langkah dalam Mengonfigurasi pengaturan cloud Microsoft. Admin di organisasi mitra perlu melakukan hal yang sama untuk penyewa Anda.
  • Daftar izinkan/blokir dan pengaturan akses lintas penyewa dicentang pada saat undangan. Jika domain pengguna berada dalam daftar yang diizinkan, domain tersebut dapat diundang, kecuali domain diblokir secara eksplisit di pengaturan akses lintas penyewa. Jika domain pengguna berada di daftar blokir, domain tersebut tidak dapat diundang terlepas dari pengaturan akses lintas penyewa. Jika pengguna tidak ada dalam salah satu daftar, kami memeriksa pengaturan akses lintas penyewa untuk menentukan apakah mereka dapat diundang.

Mengonfigurasi pengaturan default

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Pengaturan akses lintas penyewa default berlaku untuk semua organisasi eksternal yang belum Anda buat pengaturan khusus organisasi yang disesuaikan. Jika Anda ingin mengubah pengaturan default yang disediakan ID Microsoft Entra, ikuti langkah-langkah ini.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan.

  2. Telusuri ke Pengaturan akses lintas penyewa Identitas Eksternal Identitas>Eksternal>, lalu pilih Pengaturan akses lintas penyewa.

  3. Pilih tab Pengaturan default dan tinjau halaman ringkasan.

    Cuplikan layar yang menunjukkan tab Pengaturan akses lintas penyewa Pengaturan default.

  4. Untuk mengubah pengaturan, pilih tautan Edit default masuk atau tautan Edit default keluar.

    Cuplikan layar yang menunjukkan tombol edit untuk pengaturan Default.

  5. Ubah pengaturan default dengan mengikuti langkah-langkah terperinci di bagian ini:

Menambahkan organisasi

Ikuti langkah-langkah ini untuk mengonfigurasi pengaturan yang disesuaikan untuk organisasi tertentu.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan.

  2. Telusuri ke Pengaturan akses lintas penyewa Identitas Eksternal Identitas>Eksternal>, lalu pilih Pengaturan organisasi.

  3. Pilih Tambah organisasi.

  4. Pada panel Tambahkan organisasi, ketikkan nama domain lengkap (atau ID penyewa) untuk organisasi.

    Cuplikan layar yang menunjukkan penambahan organisasi.

  5. Pilih organisasi di hasil pencarian, lalu pilih Tambahkan.

  6. Organisasi muncul di daftar Pengaturan organisasi. Pada titik ini, semua pengaturan akses untuk organisasi ini diwarisi dari pengaturan default Anda. Untuk mengubah pengaturan pada organisasi ini, pilih tautan Yang diwarisi dari default di bawah kolom Akses masuk atau akses Keluar.

    Cuplikan layar yang menunjukkan organisasi yang ditambahkan dengan pengaturan default.

  7. Ubah pengaturan organisasi dengan mengikuti langkah-langkah terperinci di bagian ini:

Mengubah pengaturan akses masuk

Dengan pengaturan masuk, Anda memilih pengguna dan grup eksternal mana yang dapat mengakses aplikasi internal yang Anda pilih. Baik Anda mengonfigurasi setelan default atau setelan khusus organisasi, langkah-langkah untuk mengubah setelan akses lintas penyewa masuk adalah sama. Seperti yang dijelaskan di bagian ini, Anda menavigasi ke tab Default atau organisasi pada tab Pengaturan organisasi, lalu membuat perubahan Anda.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan.

  2. Telusuri ke Pengaturan akses lintas penyewa Identitas Eksternal Identitas>Eksternal.>

  3. Navigasikan ke pengaturan yang ingin Anda ubah:

    • Pengaturan default: Untuk mengubah pengaturan masuk default, pilih tab Pengaturan default, lalu di bawah Pengaturan akses masuk, pilih Edit default masuk.
    • Pengaturan organisasi: Untuk mengubah pengaturan untuk organisasi tertentu, pilih tab Pengaturan organisasi, temukan organisasi dalam daftar (atau tambahkan), lalu pilih tautan di kolom akses masuk.

  4. Ikuti langkah-langkah terperinci untuk pengaturan masuk yang ingin Anda ubah:

Catatan

Jika Anda menggunakan kapabilitas berbagi asli di Microsoft SharePoint dan Microsoft OneDrive dengan integrasi Microsoft Entra B2B diaktifkan, Anda harus menambahkan domain eksternal ke pengaturan kolaborasi eksternal. Jika tidak, undangan dari aplikasi ini mungkin gagal, bahkan jika penyewa eksternal telah ditambahkan di pengaturan akses lintas penyewa.

Untuk mengubah setelan kolaborasi B2B masuk

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan.

  2. Telusuri ke Pengaturan akses lintas penyewa Identitas Eksternal Identitas>Identitas Eksternal>, lalu pilih Pengaturan organisasi

  3. Pilih tautan di kolom Akses masuk dan tab kolaborasi B2B.

  4. Jika Anda mengonfigurasi pengaturan akses masuk untuk organisasi tertentu, pilih opsi:

    • Pengaturan default: Pilih opsi ini jika Anda ingin organisasi menggunakan pengaturan masuk default (seperti yang dikonfigurasi pada tab Pengaturan default). Jika pengaturan yang dikustomisasi sudah dikonfigurasi untuk organisasi ini, Anda perlu memilih Ya untuk mengonfirmasi bahwa Anda ingin semua pengaturan digantikan oleh pengaturan default. Kemudian pilih Simpan, dan lewati sisa langkah dalam prosedur ini.

    • Kustomisasi pengaturan: Pilih opsi ini jika Anda ingin menyesuaikan pengaturan yang akan diterapkan untuk organisasi ini alih-alih pengaturan default. Lanjutkan dengan sisa langkah dalam prosedur ini.

  5. Pilih Pengguna dan grup eksternal.

  6. Di bawah Status akses, pilih salah satu dari berikut ini:

    • Izinkan akses: Memungkinkan pengguna dan grup yang ditentukan pada Berlaku untuk diundang untuk kolaborasi B2B.
    • Blokir akses: Memblokir pengguna dan grup yang ditentukan pada Berlaku untuk agar tidak diundang ke kolaborasi B2B.

    Cuplikan layar yang menunjukkan pemilihan status akses pengguna untuk kolaborasi B2B.

  7. Pada Berlaku untuk, pilih salah satu dari pilihan berikut:

    • Semua pengguna dan grup eksternal: Menerapkan tindakan yang Anda pilih di bawah Status akses ke semua pengguna dan grup dari organisasi Microsoft Entra eksternal.
    • Pilih pengguna dan grup eksternal (memerlukan langganan Microsoft Entra ID P1 atau P2): Memungkinkan Anda menerapkan tindakan yang Anda pilih di bawah Status akses ke pengguna dan grup tertentu dalam organisasi eksternal.

    Catatan

    Jika memblokir akses untuk semua pengguna dan grup eksternal, Anda juga perlu memblokir akses ke semua aplikasi internal Anda (pada tab Aplikasi).

    Cuplikan layar yang menunjukkan pemilihan pengguna dan grup target.

  8. Jika memilih Pilih pengguna dan grup eksternal, lakukan hal berikut untuk setiap pengguna atau grup yang ingin Anda tambahkan:

    • Pilih Tambahkan pengguna dan grup eksternal.
    • Di panel Tambahkan pengguna dan grup lain, dalam kotak pencarian, ketik ID objek pengguna atau grup yang Anda peroleh dari organisasi mitra.
    • Pada menu di samping kotak pencarian, pilih pengguna atau grup.
    • Pilih Tambahkan.

    Catatan

    Anda tidak dapat menargetkan pengguna atau grup dalam pengaturan default masuk.

    Cuplikan layar yang menunjukkan penambahan pengguna dan grup.

  9. Setelah selesai menambahkan pengguna dan grup, pilih Kirim.

    Cuplikan layar yang menunjukkan pengiriman pengguna dan grup.

  10. Pilih tab Aplikasi.

  11. Di bawah Status akses, pilih salah satu dari berikut ini:

    • Izinkan akses: Memungkinkan aplikasi yang ditentukan pada Berlaku untuk diakses oleh pengguna kolaborasi B2B.
    • Blokir akses: Memblokir aplikasi yang ditentukan pada Berlaku untuk diakses oleh pengguna kolaborasi B2B.

    Cuplikan layar yang menunjukkan status akses aplikasi.

  12. Pada Berlaku untuk, pilih salah satu dari pilihan berikut:

    • Semua aplikasi: Terapkan tindakan yang Anda pilih di bawah Status akses ke semua aplikasi Anda.
    • Pilih aplikasi (memerlukan langganan Microsoft Entra ID P1 atau P2): Memungkinkan Anda menerapkan tindakan yang Anda pilih di bawah Status akses ke aplikasi tertentu di organisasi Anda.

    Catatan

    Jika memblokir akses untuk semua aplikasi, Anda juga perlu memblokir akses ke semua pengguna dan grup eksternal (pada tab Pengguna dan grup eksternal).

    Cuplikan layar yang menunjukkan aplikasi target.

  13. Jika Anda memilih Pilih aplikasi, lakukan hal berikut untuk setiap aplikasi yang ingin Anda tambahkan:

    • Pilih Tambahkan aplikasi Microsoft atau Tambahkan aplikasi lain.
    • Di panel Pilih, ketik nama aplikasi atau ID aplikasi (baik ID aplikasi klien atau ID aplikasi sumber daya) di kotak pencarian. Kemudian pilih aplikasi dalam hasil pencarian. Ulangi untuk setiap aplikasi yang ingin Anda tambahkan.
    • Setelah selesai memilih aplikasi, pilih Pilih.

    Cuplikan layar yang menunjukkan memilih aplikasi.

  14. Pilih Simpan.

Pertimbangan untuk mengizinkan aplikasi Microsoft

Jika Anda ingin mengonfigurasi pengaturan akses lintas penyewa untuk hanya mengizinkan sekumpulan aplikasi yang ditunjuk, pertimbangkan untuk menambahkan aplikasi Microsoft yang diperlihatkan dalam tabel berikut. Misalnya, jika Anda mengonfigurasi daftar izinkan dan hanya mengizinkan SharePoint Online, pengguna tidak dapat mengakses Aplikasi Saya atau mendaftar untuk MFA di penyewa sumber daya. Untuk memastikan pengalaman pengguna akhir yang lancar, sertakan aplikasi berikut dalam pengaturan kolaborasi masuk dan keluar Anda.

Aplikasi ID Sumber Daya Tersedia di portal Detail
Aplikasi Saya 2793995e-0a7d-40d7-bd35-6968ba142197 Ya Halaman arahan default setelah undangan yang ditukarkan. Menentukan akses ke myapplications.microsoft.com.
Panel Akses Aplikasi Microsoft 0000000c-0000-0000-c000-0000000000000 No Digunakan dalam beberapa panggilan yang terlambat terikat saat memuat halaman tertentu dalam Masuk Saya. Misalnya, bilah Info Keamanan atau pengalih Organisasi.
Profil Saya 8c59ead7-d703-4a27-9e55-c96a0054c8d2 Ya Menentukan akses ke myaccount.microsoft.com termasuk Grup Saya dan portal Akses Saya. Beberapa tab dalam Profil Saya mengharuskan aplikasi lain yang tercantum di sini agar berfungsi.
Masuk Saya 19db86c3-b2b9-44cc-b339-36da233a3be2 No Menentukan akses untuk mysignins.microsoft.com menyertakan akses ke Info Keamanan. Izinkan aplikasi ini jika Anda mengharuskan pengguna untuk mendaftar dan menggunakan MFA di penyewa sumber daya (misalnya, MFA tidak tepercaya dari penyewa rumah).

Beberapa aplikasi dalam tabel sebelumnya tidak mengizinkan pilihan dari pusat admin Microsoft Entra. Untuk mengizinkannya, tambahkan dengan Microsoft Graph API seperti yang ditunjukkan dalam contoh berikut:

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

Catatan

Pastikan untuk menyertakan aplikasi tambahan yang ingin Anda izinkan dalam permintaan PATCH karena ini akan menimpa aplikasi yang dikonfigurasi sebelumnya. Aplikasi yang sudah dikonfigurasi dapat diambil secara manual dari portal atau dengan menjalankan permintaan GET pada kebijakan mitra. Misalnya: GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>

Catatan

Aplikasi yang ditambahkan melalui Microsoft Graph API yang tidak memetakan ke aplikasi yang tersedia di pusat admin Microsoft Entra akan ditampilkan sebagai ID aplikasi.

Anda tidak dapat menambahkan aplikasi Portal Admin Microsoft ke pengaturan akses lintas penyewa masuk dan keluar di pusat admin Microsoft Entra. Untuk mengizinkan akses eksternal ke portal admin Microsoft, gunakan Microsoft Graph API untuk menambahkan aplikasi berikut secara individual yang merupakan bagian dari grup aplikasi Portal Admin Microsoft:

  • portal Azure (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Pusat admin Microsoft Entra (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Portal Pertahanan Microsoft 365 (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Pusat Admin Microsoft Intune (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Portal Kepatuhan Microsoft Purview (80ccca67-54bd-44ab-8625-4b79c4dc7775)

Mengonfigurasi urutan penukaran

Untuk menyesuaikan urutan penyedia identitas yang dapat digunakan pengguna tamu Anda untuk masuk saat mereka menerima undangan Anda, ikuti langkah-langkah berikut.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan. Kemudian buka layanan Identitas di sisi kiri.

  2. Pilih External Identities>Pengaturan akses lintas penyewa.

  3. Pada tab Pengaturan default, di bawah Pengaturan akses masuk, pilih Edit default masuk.

  4. Pada tab kolaborasi B2B, pilih tab Urutan penukaran.

  5. Pindahkan penyedia identitas ke atas atau ke bawah untuk mengubah urutan pengguna tamu Anda dapat masuk saat mereka menerima undangan Anda. Anda juga dapat mengatur ulang urutan penukaran ke pengaturan default di sini.

    Cuplikan layar memperlihatkan tab urutan penukaran.

  6. Pilih Simpan.

Anda juga dapat menyesuaikan urutan penukaran melalui Microsoft Graph API.

  1. Buka Microsoft Graph Explorer.

  2. Masuk sebagai setidaknya Administrator Keamanan ke penyewa sumber daya Anda.

  3. Jalankan kueri berikut untuk mendapatkan urutan penukaran saat ini:

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
  1. Dalam contoh ini, kita akan memindahkan federasi IdP SAML/WS-Fed ke bagian atas urutan penukaran di atas IdP Microsoft Entra. Patch URI yang sama dengan isi permintaan ini:
{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}

  1. Untuk memverifikasi perubahan, jalankan kueri GET lagi.

  2. Untuk mengatur ulang urutan penukaran ke pengaturan default, jalankan kueri berikut:

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

Federasi SAML/WS-Fed (Federasi langsung) untuk domain terverifikasi ID Microsoft Entra

Sekarang Anda dapat menambahkan domain terverifikasi ID Microsoft Entra yang terdaftar untuk menyiapkan hubungan federasi langsung. Pertama, Anda perlu menyiapkan konfigurasi federasi Langsung di pusat admin atau melalui API. Pastikan bahwa domain tidak diverifikasi di penyewa yang sama. Setelah konfigurasi disiapkan, Anda dapat menyesuaikan urutan penukaran. IdP SAML/WS-Fed ditambahkan ke urutan penukaran sebagai entri terakhir. Anda dapat memindahkannya ke atas dalam urutan penukaran untuk mengaturnya di atas IdP Microsoft Entra.

Mencegah pengguna B2B Anda menukarkan undangan menggunakan akun Microsoft

Untuk mencegah pengguna tamu B2B Anda menukarkan undangan mereka menggunakan akun Microsoft yang sudah ada atau membuat yang baru untuk menerima undangan, ikuti langkah-langkah di bawah ini.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan. Kemudian buka layanan Identitas di sisi kiri.

  2. Pilih External Identities>Pengaturan akses lintas penyewa.

  3. Di bawah Pengaturan organisasi, pilih tautan di kolom Akses masuk dan tab kolaborasi B2B.

  4. Pilih tab Urutan penukaran.

  5. Di bawah Penyedia identitas fallback menonaktifkan akun layanan Microsoft (MSA).

    Cuplikan layar opsi penyedia identitas fallback.

  6. Pilih Simpan.

Anda harus mengaktifkan setidaknya satu penyedia identitas fallback pada waktu tertentu. Jika Anda ingin menonaktifkan akun Microsoft, Anda harus mengaktifkan kode akses satu kali email. Anda tidak dapat menonaktifkan kedua penyedia identitas fallback. Setiap pengguna tamu yang sudah ada yang masuk dengan akun Microsoft terus menggunakannya selama masuk berikutnya. Anda perlu mengatur ulang status penukarannya agar pengaturan ini diterapkan.

Untuk mengubah pengaturan kepercayaan masuk untuk klaim MFA dan perangkat

  1. Pilih tab Pengaturan kepercayaan.

  2. (Langkah ini hanya berlaku untuk Pengaturan organisasi.) Jika Anda mengonfigurasi pengaturan bagi organisasi tertentu, pilih salah satu hal berikut ini:

    • Pengaturan default: Organisasi menggunakan pengaturan yang dikonfigurasi pada tab Pengaturan default . Jika pengaturan yang dikustomisasi sudah dikonfigurasi untuk organisasi ini, pilih Ya untuk mengonfirmasi bahwa Anda ingin semua pengaturan digantikan oleh pengaturan default. Kemudian pilih Simpan, dan lewati sisa langkah dalam prosedur ini.

    • Kustomisasi pengaturan: Anda dapat menyesuaikan pengaturan yang akan diterapkan untuk organisasi ini alih-alih pengaturan default. Lanjutkan dengan sisa langkah dalam prosedur ini.

  3. Pilih satu atau beberapa opsi berikut:

    • Percayai autentikasi multifaktor dari penyewa Microsoft Entra: Pilih kotak centang ini untuk memungkinkan kebijakan Akses Bersyar Anda mempercayai klaim MFA dari organisasi eksternal. Selama autentikasi, MICROSOFT Entra ID memeriksa kredensial pengguna untuk klaim bahwa pengguna menyelesaikan MFA. Jika tidak, tantangan MFA dimulai di penyewa rumah pengguna. Pengaturan ini tidak diterapkan jika pengguna eksternal masuk menggunakan hak istimewa admin terdelegasi terperinci (GDAP), seperti yang digunakan oleh teknisi di Penyedia Layanan Cloud yang mengelola layanan di penyewa Anda. Saat pengguna eksternal masuk menggunakan GDAP, MFA selalu diperlukan di penyewa rumah pengguna, dan selalu dipercaya dalam penyewa sumber daya. Pendaftaran MFA pengguna GDAP tidak didukung di luar penyewa rumah pengguna. Jika organisasi Anda memiliki persyaratan untuk melarang akses ke teknisi penyedia layanan berdasarkan MFA di penyewa rumah pengguna, Anda dapat menghapus hubungan GDAP di pusat admin Microsoft 365.

    • Memercayai perangkat yang mematuhi: Memungkinkan kebijakan Akses Bersyar Anda mempercayai klaim perangkat yang sesuai dari organisasi eksternal saat pengguna mereka mengakses sumber daya Anda.

    • Percayai perangkat gabungan hibrid Microsoft Entra: Memungkinkan kebijakan Akses Bersyar Anda mempercayai klaim perangkat gabungan hibrid Microsoft Entra dari organisasi eksternal saat pengguna mereka mengakses sumber daya Anda.

    Cuplikan layar yang menunjukkan pengaturan kepercayaan.

  4. (Langkah ini berlaku untuk Pengaturan organisasi saja.) Tinjau opsi Penukaran otomatis:

    • Menukarkan undangan secara otomatis dengan penyewa penyewa<>: Periksa pengaturan ini jika Anda ingin menukarkan undangan secara otomatis. Jika demikian, pengguna dari penyewa yang ditentukan tidak perlu menerima permintaan persetujuan saat pertama kali mereka mengakses penyewa ini menggunakan sinkronisasi lintas penyewa, kolaborasi B2B, atau koneksi langsung B2B. Pengaturan ini hanya menekan prompt persetujuan jika penyewa yang ditentukan juga memeriksa pengaturan ini untuk akses keluar.

    Cuplikan layar yang memperlihatkan kotak centang Penukaran otomatis masuk.

  5. Pilih Simpan.

Perbolehkan pengguna untuk menyinkronkan ke penyewa ini

Jika Anda memilih Akses masuk organisasi yang ditambahkan, Anda akan melihat tab Sinkronisasi lintas penyewa dan kotak centang Perbolehkan pengguna menyinkronkan ke penyewa ini. Sinkronisasi lintas penyewa adalah layanan sinkronisasi satu arah di MICROSOFT Entra ID yang mengotomatiskan pembuatan, pembaruan, dan penghapusan pengguna kolaborasi B2B di seluruh penyewa dalam organisasi. Untuk informasi selengkapnya, lihat Mengonfigurasi sinkronisasi lintas penyewa dan dokumentasi Organisasi multipenyewa.

Cuplikan layar yang memperlihatkan tab Sinkronisasi lintas penyewa dengan kotak centang Perbolehkan pengguna menyinkronkan ke penyewa ini.

Memodifikasi setelan akses keluar

Dengan pengaturan keluar, Anda memilih pengguna dan grup mana yang dapat mengakses aplikasi eksternal yang Anda pilih. Baik Anda mengonfigurasi pengaturan default atau pengaturan khusus organisasi, langkah-langkah untuk mengubah pengaturan akses lintas penyewa keluar adalah sama. Seperti yang dijelaskan di bagian ini, Anda menavigasi ke tab Default atau organisasi pada tab Pengaturan organisasi, lalu membuat perubahan Anda.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan.

  2. Telusuri ke Pengaturan akses lintas penyewa Identitas Eksternal Identitas>Eksternal.>

  3. Navigasikan ke pengaturan yang ingin Anda ubah:

    • Untuk mengubah setelan keluar default, pilih tab Pengaturan default, lalu di bawah Setelan akses keluar, pilih Edit default keluar.

    • Untuk mengubah pengaturan organisasi tertentu, pilih tab Pengaturan organisasi, temukan organisasi dalam daftar (atau tambahkan satu), lalu pilih tautan di kolom Akses keluar.

  4. Pilih tab kolaborasi B2B.

  5. (Langkah ini berlaku untuk Pengaturan organisasi saja.) Jika Anda mengonfigurasi pengaturan untuk organisasi, pilih opsi:

    • Pengaturan default: Organisasi menggunakan pengaturan yang dikonfigurasi pada tab Pengaturan default . Jika pengaturan yang dikustomisasi sudah dikonfigurasi untuk organisasi ini, Anda perlu memilih Ya untuk mengonfirmasi bahwa Anda ingin semua pengaturan digantikan oleh pengaturan default. Kemudian pilih Simpan, dan lewati sisa langkah dalam prosedur ini.

    • Kustomisasi pengaturan: Anda dapat menyesuaikan pengaturan yang akan diterapkan untuk organisasi ini alih-alih pengaturan default. Lanjutkan dengan sisa langkah dalam prosedur ini.

  6. Pilih Pengguna dan grup.

  7. Di bawah Status akses, pilih salah satu dari berikut ini:

    • Izinkan akses: Memungkinkan pengguna dan grup Anda yang ditentukan pada Berlaku untuk diundang ke organisasi eksternal untuk kolaborasi B2B.
    • Blokir akses: Memblokir pengguna dan grup Anda yang ditentukan pada Berlaku untuk agar tidak diundang ke kolaborasi B2B. Jika Anda memblokir akses untuk semua pengguna dan grup, ini juga memblokir semua aplikasi eksternal agar tidak diakses melalui kolaborasi B2B.

    Cuplikan layar yang menunjukkan status akses pengguna dan grup untuk kolaborasi b2b.

  8. Pada Berlaku untuk, pilih salah satu dari pilihan berikut:

    • Semua <pengguna organisasi> Anda: Menerapkan tindakan yang Anda pilih di bawah Status akses ke semua pengguna dan grup Anda.
    • Pilih <pengguna dan grup organisasi> Anda (memerlukan langganan Microsoft Entra ID P1 atau P2): Memungkinkan Anda menerapkan tindakan yang Anda pilih di bawah Status akses untuk pengguna dan grup tertentu.

    Catatan

    Jika memblokir akses untuk semua pengguna dan grup, Anda juga perlu memblokir akses ke semua aplikasi eksternal Anda (pada tab Aplikasi).

    Cuplikan layar yang menunjukkan pemilihan pengguna target untuk kolaborasi b2b.

  9. Jika memilih Pilih <pengguna dan grup> organisasi Anda, lakukan hal berikut untuk setiap pengguna atau grup yang ingin Anda tambahkan:

    • Pilih Tambahkan <pengguna dan grup> organisasi Anda.
    • Di panel Pilih, ketik nama pengguna atau grup dalam kotak pencarian.
    • Pilih pengguna atau grup dalam hasil pencarian.
    • Setelah selesai memilih pengguna dan grup yang ingin Anda tambahkan, pilih Pilih.

    Catatan

    Saat menargetkan pengguna dan grup, Anda tidak akan dapat memilih pengguna yang telah mengonfigurasi autentikasi berbasis SMS. Ini karena pengguna yang memiliki "kredensial federasi" pada objek pengguna mereka diblokir untuk mencegah pengguna eksternal ditambahkan ke pengaturan akses keluar. Sebagai solusinya, Anda dapat menggunakan Microsoft Graph API untuk menambahkan ID objek pengguna secara langsung atau menargetkan grup tempat pengguna berada.

  10. Pilih tab Aplikasi eksternal.

  11. Di bawah Status akses, pilih salah satu dari berikut ini:

    • Izinkan akses: Memungkinkan aplikasi eksternal yang ditentukan pada Berlaku untuk diakses oleh pengguna Anda melalui kolaborasi B2B.
    • Blokir akses: Memblokir aplikasi eksternal yang ditentukan pada Berlaku untuk agar tidak diakses oleh pengguna Anda melalui kolaborasi B2B.

    Cuplikan layar yang menunjukkan status akses aplikasi untuk kolaborasi b2b.

  12. Pada Berlaku untuk, pilih salah satu dari pilihan berikut:

    • Semua aplikasi eksternal: Terapkan tindakan yang Anda pilih di bawah Status akses ke semua aplikasi eksternal.
    • Pilih aplikasi eksternal: Terapkan tindakan yang Anda pilih di bawah Status akses ke semua aplikasi eksternal.

    Catatan

    Jika memblokir akses untuk semua aplikasi eksternal, Anda juga perlu memblokir akses ke semua pengguna dan grup (pada tab Pengguna dan grup).

    Cuplikan layar yang menunjukkan target aplikasi untuk kolaborasi b2b.

  13. Jika Anda memilih Pilih aplikasi eksternal, lakukan hal berikut untuk setiap aplikasi yang ingin Anda tambahkan:

    • Pilih Tambahkan aplikasi Microsoft atau Tambahkan aplikasi lain.
    • Di kotak pencarian, ketik nama atau ID aplikasi (baik ID aplikasi klien atau ID aplikasi sumber daya). Kemudian pilih aplikasi dalam hasil pencarian. Ulangi untuk setiap aplikasi yang ingin Anda tambahkan.
    • Setelah selesai memilih aplikasi, pilih Pilih.

    Cuplikan layar yang menunjukkan pemilihan aplikasi untuk kolaborasi b2b.

  14. Pilih Simpan.

Untuk mengubah pengaturan kepercayaan keluar

(Bagian ini berlaku untuk Pengaturan organisasi saja.)

  1. Pilih tab Pengaturan kepercayaan.

  2. Tinjau opsi Penukaran otomatis:

    • Menukarkan undangan secara otomatis dengan penyewa penyewa<>: Periksa pengaturan ini jika Anda ingin menukarkan undangan secara otomatis. Jika demikian, pengguna dari penyewa ini tidak perlu menerima permintaan persetujuan saat pertama kali mereka mengakses penyewa yang ditentukan menggunakan sinkronisasi lintas penyewa, kolaborasi B2B, atau koneksi langsung B2B. Pengaturan ini hanya menekan prompt persetujuan jika penyewa yang ditentukan juga memeriksa pengaturan ini untuk akses masuk.

      Cuplikan layar yang memperlihatkan kotak centang Penukaran otomatis keluar.

  3. Pilih Simpan.

Menghapus organisasi

Saat Anda menghapus organisasi dari pengaturan Organisasi, pengaturan akses lintas penyewa default berlaku untuk organisasi tersebut.

Catatan

Jika organisasi adalah penyedia layanan cloud untuk organisasi Anda (properti isServiceProvider dalam konfigurasi khusus mitra Microsoft Graph benar), Anda tidak akan dapat menghapus organisasi tersebut.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Keamanan.

  2. Telusuri ke Pengaturan akses lintas penyewa Identitas Eksternal Identitas>Eksternal.>

  3. Pilih tab Pengaturan organisasi.

  4. Temukan organisasi dalam daftar, lalu pilih ikon tempat sampah di baris itu.

Konten terkait