Con le impostazioni in ingresso, è possibile selezionare gli utenti e i gruppi esterni in grado di accedere alle applicazioni interne scelte. Sia che si configurino le impostazioni predefinite o le impostazioni specifiche dell'organizzazione, i passaggi per la modifica delle impostazioni di accesso tra tenant in ingresso sono gli stessi. Come descritto in questa sezione, passare alla scheda Predefinita o a un'organizzazione nella scheda Impostazioni dell'organizzazione e quindi apportare le modifiche.
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di sicurezza.
Passare a Identità>esterne identità>impostazioni di accesso tra tenant.
Passare alle impostazioni da modificare:
- Impostazioni predefinite: per modificare le impostazioni predefinite in ingresso, selezionare la scheda Impostazioni predefinite e quindi in Impostazioni di accesso in ingresso selezionare Modifica impostazioni predefinite in ingresso.
- Impostazioni dell'organizzazione: per modificare le impostazioni per un'organizzazione specifica, selezionare la scheda Impostazioni organizzative, trovare l'organizzazione nell'elenco (o aggiungerne una) e quindi selezionare il collegamento nella colonna Accesso in ingresso.
Seguire i passaggi dettagliati per le impostazioni in ingresso da modificare:
Per modificare le impostazioni di collaborazione B2B in ingresso
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di sicurezza.
Passare a Identità>esterne Identità>impostazioni di accesso tra tenant e quindi selezionare Impostazioni organizzative
Selezionare il collegamento nella colonna Accesso in ingresso e nella scheda Collaborazione B2B.
Se si configurano le impostazioni di accesso in ingresso per un'organizzazione specifica, selezionare un'opzione:
Impostazioni predefinite: selezionare questa opzione se si vuole che l'organizzazione usi le impostazioni in ingresso predefinite (come configurato nella scheda Impostazioni predefinite). Se le impostazioni personalizzate sono già state configurate per questa organizzazione, è necessario selezionare Sì per confermare che tutte le impostazioni devono essere sostituite dalle impostazioni predefinite. Selezionare Quindi Salva e ignorare il resto dei passaggi di questa procedura.
Personalizza impostazioni: selezionare questa opzione se si desidera personalizzare le impostazioni da applicare per questa organizzazione invece delle impostazioni predefinite. Continuare con il resto dei passaggi di questa procedura.
Selezionare Utenti e gruppi esterni.
In Stato di accesso selezionare una delle opzioni seguenti:
- Consenti accesso: consente agli utenti e ai gruppi specificati in Si applica di essere invitati per la collaborazione B2B.
- Blocca l'accesso: impedisce agli utenti e ai gruppi specificati in Si applica a di essere invitato alla collaborazione B2B.
In Si applica a selezionare una delle opzioni seguenti:
- Tutti gli utenti e i gruppi esterni: applica l'azione scelta in Stato di accesso a tutti gli utenti e i gruppi di organizzazioni esterne di Microsoft Entra.
- Selezionare utenti e gruppi esterni (richiede una sottoscrizione microsoft Entra ID P1 o P2): consente di applicare l'azione scelta in Stato di accesso a utenti e gruppi specifici all'interno dell'organizzazione esterna.
Nota
Se si blocca l'accesso per tutti gli utenti e i gruppi esterni, è anche necessario bloccare l'accesso a tutte le applicazioni interne (nella scheda Applicazioni ).
Se si sceglie Seleziona utenti e gruppi esterni, eseguire le operazioni seguenti per ogni utente o gruppo da aggiungere:
- Selezionare Aggiungi utenti e gruppi esterni.
- Nella casella di ricerca del riquadro Aggiungi altri utenti e gruppi digitare l'ID oggetto utente o l'ID oggetto gruppo ottenuto dall'organizzazione partner.
- Nel menu accanto alla casella di ricerca scegliere utente o gruppo.
- Seleziona Aggiungi.
Nota
Non è possibile impostare come destinazione utenti o gruppi nelle impostazioni predefinite in ingresso.
Al termine dell'aggiunta di utenti e gruppi, selezionare Invia.
Selezionare la scheda Applicazioni .
In Stato di accesso selezionare una delle opzioni seguenti:
- Consenti accesso: consente alle applicazioni specificate in Si applica di accedere agli utenti di Collaborazione B2B.
- Blocca l'accesso: blocca l'accesso alle applicazioni specificate in Si applica a dagli utenti di Collaborazione B2B.
In Si applica a selezionare una delle opzioni seguenti:
- Tutte le applicazioni: applica l'azione scelta in Stato di accesso a tutte le applicazioni.
- Selezionare le applicazioni (richiede un abbonamento a Microsoft Entra ID P1 o P2): consente di applicare l'azione scelta in Stato di accesso a applicazioni specifiche dell'organizzazione.
Nota
Se si blocca l'accesso a tutte le applicazioni, è anche necessario bloccare l'accesso per tutti gli utenti e i gruppi esterni (nella scheda Utenti e gruppi esterni).
Se si sceglie Seleziona applicazioni, eseguire le operazioni seguenti per ogni applicazione da aggiungere:
- Selezionare Aggiungi applicazioni Microsoft o Aggiungi altre applicazioni.
- Nel riquadro Seleziona digitare il nome dell'applicazione o l'ID applicazione (ID app client o ID app risorsa) nella casella di ricerca. Selezionare quindi l'applicazione nei risultati della ricerca. Ripetere per ogni applicazione da aggiungere.
- Al termine della selezione delle applicazioni, scegliere Seleziona.
Seleziona Salva.
Aggiungere l'app Microsoft Amministrazione Portals a Collaborazione B2B
Non è possibile aggiungere direttamente l'app Microsoft Amministrazione Portals alle impostazioni di accesso tra tenant in ingresso e in uscita nell'interfaccia di amministrazione di Microsoft Entra. Tuttavia, è possibile aggiungere le app elencate di seguito singolarmente usando l'API Microsoft Graph.
Le app seguenti fanno parte del gruppo di app Microsoft Amministrazione Portals:
- Portale di Azure (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
- Microsoft Entra Amministrazione Center (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
- Portale di Microsoft 365 Defender (80ccca67-54bd-44ab-8625-4b79c4dc7775)
- Microsoft Intune Amministrazione Center (80ccca67-54bd-44ab-8625-4b79c4dc7775)
- Portale di conformità di Microsoft Purview (80ccca67-54bd-44ab-8625-4b79c4dc7775)
Per personalizzare l'ordine dei provider di identità che gli utenti guest possono usare per accedere quando accettano l'invito, seguire questa procedura.
Accedere all'interfaccia di amministrazione di Microsoft Entra usando un account Global Amministrazione istrator o Security Amministrazione istrator. Aprire quindi il servizio Identità sul lato sinistro.
Selezionare Identità>esterne Impostazioni di accesso tra tenant.
In Impostazioni organizzative selezionare il collegamento nella colonna Accesso in ingresso e nella scheda Collaborazione B2B.
Selezionare la scheda Ordine di riscatto.
Spostare i provider di identità verso l'alto o verso il basso per modificare l'ordine in cui gli utenti guest possono accedere quando accettano l'invito. È anche possibile reimpostare l'ordine di riscatto alle impostazioni predefinite qui.
Seleziona Salva.
È anche possibile personalizzare l'ordine di riscatto tramite l'API Microsoft Graph.
Aprire Microsoft Graph Explorer.
Accedere con un account globale Amministrazione istrator o security Amministrazione istrator al tenant della risorsa.
Eseguire la query seguente per ottenere l'ordine di riscatto corrente:
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
- In questo esempio la federazione SAML/WS-Fed IdP verrà spostata all'inizio dell'ordine di riscatto sopra il provider di identità Microsoft Entra. Applicare patch allo stesso URI con questo corpo della richiesta:
{
"invitationRedemptionIdentityProviderConfiguration":
{
"primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
"fallbackIdentityProvider": "defaultConfiguredIdp "
}
}
Per verificare le modifiche, eseguire di nuovo la query GET.
Per reimpostare l'ordine di riscatto sulle impostazioni predefinite, eseguire la query seguente:
{
"invitationRedemptionIdentityProviderConfiguration": {
"primaryIdentityProviderPrecedenceOrder": [
"azureActiveDirectory",
"externalFederation",
"socialIdentityProviders"
],
"fallbackIdentityProvider": "defaultConfiguredIdp"
}
}
Federazione SAML/WS-Fed (federazione diretta) per i domini verificati di Microsoft Entra ID
È ora possibile aggiungere il dominio verificato dell'ID Microsoft Entra nell'elenco per configurare la relazione di federazione diretta. Prima di tutto è necessario configurare la configurazione della federazione diretta nell'interfaccia di amministrazione o tramite l'API. Assicurarsi che il dominio non sia verificato nello stesso tenant.
Dopo aver configurato la configurazione, è possibile personalizzare l'ordine di riscatto. L'IDP SAML/WS-Fed viene aggiunto all'ordine di riscatto come ultima voce. È possibile spostarlo verso l'alto nell'ordine di riscatto per impostarlo sopra il provider di identità Microsoft Entra.
Impedire agli utenti B2B di riscattare un invito usando account Microsoft
Per impedire agli utenti guest B2B di riscattare l'invito usando gli account Microsoft esistenti o crearne uno nuovo per accettare l'invito, seguire questa procedura.
Accedere all'interfaccia di amministrazione di Microsoft Entra usando un account Global Amministrazione istrator o Security Amministrazione istrator. Aprire quindi il servizio Identità sul lato sinistro.
Selezionare Identità>esterne Impostazioni di accesso tra tenant.
In Impostazioni organizzative selezionare il collegamento nella colonna Accesso in ingresso e nella scheda Collaborazione B2B.
Selezionare la scheda Ordine di riscatto.
In Fallback identity providers disable Microsoft service account (MSA).
Seleziona Salva.
È necessario avere almeno un provider di identità di fallback abilitato in qualsiasi momento. Se si desidera disabilitare gli account Microsoft, è necessario abilitare il passcode monouso tramite posta elettronica. Non è possibile disabilitare entrambi i provider di identità di fallback. Tutti gli utenti guest esistenti che hanno eseguito l'accesso con gli account Microsoft continuano a usarlo durante gli accessi successivi. È necessario reimpostare lo stato di riscatto per applicare questa impostazione.
Per modificare le impostazioni di attendibilità in ingresso per mfa e attestazioni del dispositivo
Selezionare la scheda Impostazioni attendibilità.
Questo passaggio si applica a Solo le impostazioni dell'organizzazione. Se si configurano le impostazioni per un'organizzazione, selezionare una delle opzioni seguenti:
Impostazioni predefinite: l'organizzazione usa le impostazioni configurate nella scheda Impostazioni predefinite. Se le impostazioni personalizzate sono già state configurate per questa organizzazione, selezionare Sì per confermare che tutte le impostazioni devono essere sostituite dalle impostazioni predefinite. Selezionare Quindi Salva e ignorare il resto dei passaggi di questa procedura.
Personalizzare le impostazioni: è possibile personalizzare le impostazioni da applicare per questa organizzazione invece delle impostazioni predefinite. Continuare con il resto dei passaggi di questa procedura.
Selezionare una o più delle opzioni seguenti:
Considera attendibile l'autenticazione a più fattori dai tenant di Microsoft Entra: selezionare questa casella di controllo per consentire ai criteri di accesso condizionale di considerare attendibili le attestazioni MFA da organizzazioni esterne. Durante l'autenticazione, Microsoft Entra ID controlla le credenziali di un utente per un'attestazione che l'utente ha completato l'autenticazione a più fattori. In caso contrario, viene avviata una richiesta di autenticazione a più fattori nel tenant principale dell'utente.
Considera attendibili i dispositivi conformi: consente ai criteri di accesso condizionale di considerare attendibili le attestazioni dei dispositivi conformi da un'organizzazione esterna quando gli utenti accedono alle risorse.
Considerare attendibili i dispositivi aggiunti all'ibrido Microsoft Entra: consente ai criteri di accesso condizionale di considerare attendibili le attestazioni dei dispositivi aggiunti all'ambiente ibrido di Microsoft Entra da un'organizzazione esterna quando gli utenti accedono alle risorse.
Questo passaggio si applica a Solo le impostazioni dell'organizzazione. Esaminare l'opzione Riscatto automatico:
- Riscattare automaticamente gli inviti con il tenant del tenant<>: controllare questa impostazione se si desidera riscattare automaticamente gli inviti. In tal caso, gli utenti del tenant specificato non dovranno accettare la richiesta di consenso la prima volta che accedono a questo tenant usando la sincronizzazione tra tenant, Collaborazione B2B o Connessione diretta B2B. Questa impostazione elimina la richiesta di consenso solo se il tenant specificato controlla anche questa impostazione per l'accesso in uscita.
Seleziona Salva.
Consentire agli utenti di eseguire la sincronizzazione in questo tenant
Se si seleziona Accesso in ingresso dell'organizzazione aggiunta, viene visualizzata la scheda Sincronizzazione tra tenant e la casella di controllo Consenti sincronizzazione utenti in questo tenant . La sincronizzazione tra tenant è un servizio di sincronizzazione unidirezionale in Microsoft Entra ID che automatizza la creazione, l'aggiornamento e l'eliminazione di utenti di Collaborazione B2B tra tenant in un'organizzazione. Per altre informazioni, vedere Configurare la sincronizzazione tra tenant e la documentazione sulle organizzazioni multi-tenant.
Modificare le impostazioni di accesso in uscita
Con le impostazioni in uscita, è possibile selezionare quali utenti e gruppi sono in grado di accedere alle applicazioni esterne scelte. Sia che si configurino le impostazioni predefinite o le impostazioni specifiche dell'organizzazione, i passaggi per la modifica delle impostazioni di accesso tra tenant in uscita sono gli stessi. Come descritto in questa sezione, passare alla scheda Predefinita o a un'organizzazione nella scheda Impostazioni dell'organizzazione e quindi apportare le modifiche.
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di sicurezza.
Passare a Identità>esterne identità>impostazioni di accesso tra tenant.
Passare alle impostazioni da modificare:
Per modificare le impostazioni predefinite in uscita, selezionare la scheda Impostazioni predefinite e quindi in Impostazioni di accesso in uscita selezionare Modifica impostazioni predefinite in uscita.
Per modificare le impostazioni per un'organizzazione specifica, selezionare la scheda Impostazioni dell'organizzazione, individuare l'organizzazione nell'elenco (o aggiungerne una) e quindi selezionare il collegamento nella colonna Accesso in uscita.
Selezionare la scheda Collaborazione B2B.
Questo passaggio si applica a Solo le impostazioni dell'organizzazione. Se si configurano le impostazioni per un'organizzazione, selezionare un'opzione:
Impostazioni predefinite: l'organizzazione usa le impostazioni configurate nella scheda Impostazioni predefinite. Se le impostazioni personalizzate sono già state configurate per questa organizzazione, è necessario selezionare Sì per confermare che tutte le impostazioni devono essere sostituite dalle impostazioni predefinite. Selezionare Quindi Salva e ignorare il resto dei passaggi di questa procedura.
Personalizzare le impostazioni: è possibile personalizzare le impostazioni da applicare per questa organizzazione invece delle impostazioni predefinite. Continuare con il resto dei passaggi di questa procedura.
Selezionare Utenti e gruppi.
In Stato di accesso selezionare una delle opzioni seguenti:
- Consenti accesso: consente agli utenti e ai gruppi specificati in Si applica di essere invitati alle organizzazioni esterne per la collaborazione B2B.
- Blocca l'accesso: impedisce agli utenti e ai gruppi specificati in Si applica a di essere invitato alla collaborazione B2B. Se si blocca l'accesso per tutti gli utenti e i gruppi, questa operazione impedisce anche l'accesso a tutte le applicazioni esterne tramite Collaborazione B2B.
In Si applica a selezionare una delle opzioni seguenti:
- Tutti gli <utenti dell'organizzazione>: applica l'azione scelta in Stato di accesso a tutti gli utenti e i gruppi.
- Selezionare <gli utenti e i gruppi dell'organizzazione> (richiede un abbonamento a Microsoft Entra ID P1 o P2): consente di applicare l'azione scelta in Stato di accesso a utenti e gruppi specifici.
Nota
Se si blocca l'accesso per tutti gli utenti e i gruppi, è anche necessario bloccare l'accesso a tutte le applicazioni esterne (nella scheda Applicazioni esterne).
Se si sceglie Seleziona <utenti e gruppi dell'organizzazione>, eseguire le operazioni seguenti per ogni utente o gruppo da aggiungere:
- Selezionare Aggiungi <utenti e gruppi dell'organizzazione>.
- Nel riquadro Seleziona digitare il nome utente o il nome del gruppo nella casella di ricerca.
- Selezionare l'utente o il gruppo nei risultati della ricerca.
- Al termine della selezione degli utenti e dei gruppi da aggiungere, scegliere Seleziona.
Nota
Quando la destinazione è utenti e gruppi, non sarà possibile selezionare gli utenti che hanno configurato l'autenticazione basata su SMS. Ciò è dovuto al fatto che gli utenti che dispongono di una "credenziale federata" nell'oggetto utente vengono bloccati per impedire l'aggiunta di utenti esterni alle impostazioni di accesso in uscita. Come soluzione alternativa, è possibile usare l'API Microsoft Graph per aggiungere direttamente l'ID oggetto dell'utente o definire come destinazione un gruppo a cui appartiene l'utente.
Selezionare la scheda Applicazioni esterne.
In Stato di accesso selezionare una delle opzioni seguenti:
- Consenti accesso: consente alle applicazioni esterne specificate in Si applica di accedere agli utenti tramite Collaborazione B2B.
- Blocca l'accesso: blocca l'accesso alle applicazioni esterne specificate in Si applica a dall'accesso degli utenti tramite Collaborazione B2B.
In Si applica a selezionare una delle opzioni seguenti:
- Tutte le applicazioni esterne: applica l'azione scelta in Stato di accesso a tutte le applicazioni esterne.
- Selezionare applicazioni esterne: applica l'azione scelta in Stato di accesso a tutte le applicazioni esterne.
Nota
Se si blocca l'accesso a tutte le applicazioni esterne, è anche necessario bloccare l'accesso per tutti gli utenti e i gruppi (nella scheda Utenti e gruppi ).
Se si sceglie Seleziona applicazioni esterne, eseguire le operazioni seguenti per ogni applicazione da aggiungere:
- Selezionare Aggiungi applicazioni Microsoft o Aggiungi altre applicazioni.
- Nella casella di ricerca digitare il nome dell'applicazione o l'ID applicazione (ID app client o ID app risorsa). Selezionare quindi l'applicazione nei risultati della ricerca. Ripetere per ogni applicazione da aggiungere.
- Al termine della selezione delle applicazioni, scegliere Seleziona.
Seleziona Salva.
Per modificare le impostazioni di attendibilità in uscita
(Questa sezione si applica a Solo le impostazioni dell'organizzazione.