Configurare la connessione diretta B2B con un'organizzazione esterna

Si applica a: Tenant della forza lavoro Tenant esterni (altre informazioni)

Usare le impostazioni di accesso tra tenant per gestire la modalità di collaborazione con altre organizzazioni di Microsoft Entra tramite la connessione diretta B2B. Queste impostazioni consentono di determinare il livello di accesso in uscita degli utenti alle organizzazioni esterne. Consentono inoltre di controllare il livello di accesso in ingresso che gli utenti delle organizzazioni esterne di Microsoft Entra devono accedere alle risorse interne.

• Impostazioni predefinite: le impostazioni di accesso tra tenant predefinite si applicano a tutte le organizzazioni esterne di Microsoft Entra, ad eccezione delle organizzazioni per cui si configurano le singole impostazioni. È possibile modificare queste impostazioni predefinite. Per la connessione diretta B2B, in genere si lasciano invariate le impostazioni predefinite e si abilita l'accesso diretto B2B con le impostazioni specifiche dell'organizzazione. Inizialmente, i valori predefiniti sono i seguenti:

  • Impostazioni predefinite iniziali della connessione diretta B2B - Per impostazione predefinita, la connessione diretta B2B in uscita viene bloccata per l'intero tenant e la connessione diretta B2B in ingresso viene bloccata per tutte le organizzazioni esterne di Microsoft Entra.
  • Impostazioni organizzative : nessuna organizzazione viene aggiunta per impostazione predefinita.

• Impostazioni specifiche dell'organizzazione: è possibile configurare impostazioni specifiche dell'organizzazione aggiungendo un'organizzazione e modificando le impostazioni in ingresso e in uscita per tale organizzazione. Le impostazioni a livello di organizzazione hanno la precedenza sulle impostazioni predefinite.

Scopri di più sull'uso delle impostazioni di accesso tra tenant per gestire la connessione diretta B2B.

Importante

Il 30 agostp 2023 Microsoft ha iniziato a spostare i clienti usando le impostazioni di accesso tra tenant a un nuovo modello di archiviazione. Puoi notare una voce nei log di controllo che ti informa che le impostazioni di accesso tra tenant sono state aggiornate mentre la nostra l'attività automatica esegue la migrazione delle impostazioni. Per una breve arco di tempo durante i processi di migrazione, non potrai apportare modifiche alle impostazioni. Se non è possibile apportare una modifica, attendere alcuni istanti e riprovare. Al termine della migrazione, non sarà più possibile aggiungere 25 KB di spazio di archiviazione e non saranno previsti altri limiti per il numero di partner che è possibile aggiungere.

Operazioni preliminari

• Esaminare la sezione Considerazioni importanti nella panoramica dell'accesso tra tenant prima di configurare le impostazioni di accesso tra tenant.
• Decidi il livello di accesso predefinito che vuoi applicare a tutte le organizzazioni esterne di Microsoft Entra.
• Identificare tutte le organizzazioni di Microsoft Entra che necessitano di impostazioni personalizzate.
• Contattare le organizzazioni con cui si vuole configurare la connessione diretta B2B. Poiché la connessione diretta B2B viene stabilita tramite trust reciproco, sia l'utente che l'altra organizzazione devono abilitare la connessione diretta B2B tra loro nelle impostazioni di accesso tra tenant.
• Ottenere le informazioni necessarie dalle organizzazioni esterne. Per applicare le impostazioni di accesso a utenti, gruppi o applicazioni specifici all'interno di un'organizzazione esterna, è necessario ottenere questi ID dall'organizzazione prima di poter configurare le impostazioni di accesso.
• Per configurare le impostazioni di accesso tra tenant nell'interfaccia di amministrazione di Microsoft Entra, è necessario un account con almeno il ruolo Amministratore della sicurezza . Gli amministratori di Teams possono leggere le impostazioni di accesso tra tenant, ma non possono aggiornare queste impostazioni.

Configurare le impostazioni predefinite

Le impostazioni di accesso tra tenant predefinite si applicano a tutte le organizzazioni esterne per le quali hai creato impostazioni personalizzate specifiche dell'organizzazione. Se vuoi modificare le impostazioni predefinite fornite da Microsoft Entra ID, segui questi passaggi.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore della sicurezza.

2. Passare a Entra ID>Identità esterne>Impostazioni di accesso tra tenant.

3. Selezionare la scheda Impostazioni predefinite ed esaminare la pagina di riepilogo.

   

4. Per modificare le impostazioni, selezionare il collegamento Modifica impostazioni predefinite in ingresso o il collegamento Modifica impostazioni predefinite in uscita .

   

5. Modifica le impostazioni predefinite seguendo i passaggi dettagliati descritti in queste sezioni:

   • Modificare le impostazioni di accesso in ingresso
   • Modificare le impostazioni di accesso in uscita

Aggiungere un'organizzazione

Segui questi passaggi per configurare le impostazioni personalizzate per organizzazioni specifiche.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore della sicurezza.

2. Passare a Entra ID>Identità esterne>Impostazioni di accesso tra tenant.

3. Selezionare Impostazioni organizzative.

4. Selezionare Aggiungi organizzazione.

5. Nel riquadro Aggiungi organizzazione digitare il nome di dominio completo (o l'ID tenant) per l'organizzazione.

   

6. Selezionare l'organizzazione nei risultati della ricerca e quindi selezionare Aggiungi.

7. L'organizzazione viene visualizzata nell'elenco Impostazioni dell'organizzazione . A questo punto, tutte le impostazioni di accesso per questa organizzazione vengono ereditate dalle impostazioni predefinite. Per modificare le impostazioni per questa organizzazione, selezionare il collegamento Ereditato dal valore predefinito nella colonna Accesso in ingresso o Accesso in uscita .

   

8. Modifica le impostazioni dell'organizzazione seguendo i passaggi dettagliati descritti in queste sezioni:

   • Modificare le impostazioni di accesso in ingresso
   • Modificare le impostazioni di accesso in uscita

Modificare le impostazioni di accesso in ingresso

Con le impostazioni in ingresso, è possibile selezionare quali utenti e gruppi esterni possono accedere alle applicazioni interne scelte. Sia che si configurino le impostazioni predefinite o le impostazioni specifiche dell'organizzazione, i passaggi per la modifica delle impostazioni di accesso tra tenant in ingresso sono gli stessi. Come descritto in questa sezione, passare alla scheda Predefinita o a un'organizzazione nella scheda Impostazioni dell'organizzazione e quindi apportare le modifiche.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore della sicurezza.

2. Passare a Entra ID>Identità esterne>Impostazioni di accesso tra tenant.

3. Vai alle impostazioni che vuoi modificare:

   • Per modificare le impostazioni predefinite in ingresso, selezionare la scheda Impostazioni predefinite e quindi in Impostazioni di accesso in ingresso selezionare Modifica impostazioni predefinite in ingresso.
   • Per modificare le impostazioni per un'organizzazione specifica, selezionare la scheda Impostazioni dell'organizzazione, individuare l'organizzazione nell'elenco (o aggiungerne una) e quindi selezionare il collegamento nella colonna Accesso in ingresso .

4. Seguire i passaggi dettagliati per le impostazioni da modificare:

   • Per modificare le impostazioni di connessione diretta B2B in ingresso
   • Per modificare le impostazioni di attendibilità in ingresso per MFA e stato del dispositivo

Per modificare le impostazioni di connessione diretta B2B in ingresso

1. Selezionare la scheda Connessione diretta B2B

2. Se si configurano le impostazioni per un'organizzazione, selezionare una delle opzioni seguenti:

   • Impostazioni predefinite: l'organizzazione usa le impostazioni configurate nella scheda Impostazioni predefinite . Se le impostazioni personalizzate sono già state configurate per questa organizzazione, è necessario selezionare Sì per confermare che tutte le impostazioni devono essere sostituite dalle impostazioni predefinite. Selezionare Quindi Salva e ignorare il resto dei passaggi di questa procedura.

   • Personalizzare le impostazioni: è possibile personalizzare le impostazioni da applicare per questa organizzazione invece delle impostazioni predefinite. Continua con il resto dei passaggi di questa procedura.

3. Selezionare Utenti e gruppi esterni.

4. In Stato di accesso selezionare una delle opzioni seguenti:

   • Consenti accesso: consente agli utenti e ai gruppi specificati in Si applica di accedere alla connessione diretta B2B.
   • Blocca l'accesso: blocca gli utenti e i gruppi specificati in Si applica a dall'accesso alla connessione diretta B2B. Il blocco dell'accesso per tutti gli utenti e i gruppi esterni impedisce anche la condivisione di tutte le applicazioni interne tramite connessione diretta B2B.

   

5. In Si applica a selezionare una delle opzioni seguenti:

   • Tutti gli utenti e i gruppi esterni: applica l'azione scelta in Stato di accesso a tutti gli utenti e i gruppi di organizzazioni esterne di Microsoft Entra.
   • Selezionare utenti e gruppi esterni: consente di applicare l'azione scelta in Stato di accesso a utenti e gruppi specifici all'interno dell'organizzazione esterna. Nel tenant configurato è necessaria una licenza microsoft Entra ID P1.

   

6. Se si sceglie Seleziona utenti e gruppi esterni, eseguire le operazioni seguenti per ogni utente o gruppo da aggiungere:

   • Selezionare Aggiungi utenti e gruppi esterni.
   • Nel riquadro Aggiungi altri utenti e gruppi digitare l'ID oggetto utente o l'ID oggetto gruppo nella casella di ricerca.
   • Nel menu accanto alla casella di ricerca scegliere utente o gruppo.
   • Selezionare Aggiungi.

   Nota

   Non puoi specificare come destinazione utenti o gruppi nelle impostazioni predefinite in ingresso.

   

7. Al termine dell'aggiunta di utenti e gruppi, selezionare Invia.

8. Selezionare la scheda Applicazioni .

9. In Stato di accesso selezionare una delle opzioni seguenti:

   • Consenti accesso: consente agli utenti con connessione diretta B2B di accedere alle applicazioni specificate in Si applica a.
   • Blocca l'accesso: impedisce alle applicazioni specificate in Si applica a di accedere agli utenti con connessione diretta B2B.

   

10. In Si applica a selezionare una delle opzioni seguenti:

    • Tutte le applicazioni: applica l'azione scelta in Stato di accesso a tutte le applicazioni.
    • Selezionare le applicazioni (richiede un abbonamento a Microsoft Entra ID P1 o P2): consente di applicare l'azione scelta in Stato di accesso a applicazioni specifiche dell'organizzazione.

    

11. Se si sceglie Seleziona applicazioni, eseguire le operazioni seguenti per ogni applicazione da aggiungere:

    • Selezionare Aggiungi applicazioni Microsoft.
    • Nel riquadro applicazioni digitare il nome dell'applicazione nella casella di ricerca e selezionare l'applicazione nei risultati della ricerca.
    • Al termine della selezione delle applicazioni, scegliere Seleziona.

    

12. Selezionare Salva.

Per modificare le impostazioni di attendibilità in ingresso per MFA e stato del dispositivo

1. Selezionare la scheda Impostazioni attendibilità .

2. Se si configurano le impostazioni per un'organizzazione, selezionare una delle opzioni seguenti:

   • Impostazioni predefinite: l'organizzazione usa le impostazioni configurate nella scheda Impostazioni predefinite . Se le impostazioni personalizzate sono già state configurate per questa organizzazione, è necessario selezionare Sì per confermare che tutte le impostazioni devono essere sostituite dalle impostazioni predefinite. Selezionare Quindi Salva e ignorare il resto dei passaggi di questa procedura.

   • Personalizzare le impostazioni: è possibile personalizzare le impostazioni da applicare per questa organizzazione invece delle impostazioni predefinite. Continua con il resto dei passaggi di questa procedura.

3. Selezionare una o più delle opzioni seguenti:

   • Considera attendibile l'autenticazione a più fattori dai tenant di Microsoft Entra: selezionare questa casella di controllo se i criteri di accesso condizionale richiedono l'autenticazione a più fattori (MFA). Questa impostazione consente ai criteri di accesso condizionale di considerare attendibili le attestazioni MFA da organizzazioni esterne. Durante l'autenticazione, Microsoft Entra ID controlla le credenziali di un utente per un'attestazione che l'utente ha completato l'MFA. In caso contrario, viene avviata una richiesta MFA nel tenant principale dell'utente.

   • Considera attendibili i dispositivi conformi: consente ai criteri di accesso condizionale di considerare attendibili le attestazioni dei dispositivi conformi da un'organizzazione esterna quando gli utenti accedono alle risorse.

   • Considerare attendibili i dispositivi uniti all'ibrido di Microsoft Entra: Ciò consente alle policy di accesso condizionale di considerare attendibili le attestazioni dei dispositivi uniti all'ibrido di Microsoft Entra da un'organizzazione esterna quando i loro utenti accedono alle tue risorse.

   

4. Questo passaggio si applica solo alle impostazioni dell'organizzazione . Esaminare l'opzione Riscatto automatico :

   • Riscatta automaticamente gli inviti con il tenant<tenant>: seleziona questa impostazione se si desidera riscattare automaticamente gli inviti. In tal caso, gli utenti del tenant specificato non devono accettare la richiesta di consenso la prima volta che accedono a questo tenant usando la sincronizzazione tra tenant, la collaborazione B2B o la connessione diretta B2B. Questa impostazione elimina la richiesta di consenso solo se il tenant specificato controlla anche questa impostazione per l'accesso in uscita.

   

5. Selezionare Salva.

Nota

Quando si configurano le impostazioni per un'organizzazione, si noterà una scheda di sincronizzazione tra tenant . Questa scheda non si applica alla configurazione di connessione diretta B2B. Questa funzionalità viene invece usata dalle organizzazioni multi-tenant per abilitare la collaborazione B2B nei tenant. Per altre informazioni, vedere la documentazione dell'organizzazione multitenant.

Modificare le impostazioni di accesso in uscita

Con le impostazioni in uscita, puoi selezionare quali utenti e gruppi riescono ad accedere alle applicazioni esterne scelte. La procedura dettagliata per la modifica delle impostazioni di accesso tra tenant in uscita è la stessa che si stia configurando le impostazioni predefinite o specifiche dell'organizzazione. Come descritto in questa sezione, passare alla scheda Predefinita o a un'organizzazione nella scheda Impostazioni dell'organizzazione e quindi apportare le modifiche.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore della sicurezza.

2. Passare a Entra ID>Identità esterne>Impostazioni di accesso tra tenant.

3. Vai alle impostazioni che vuoi modificare:

   • Per modificare le impostazioni predefinite in uscita, selezionare la scheda Impostazioni predefinite e quindi in Impostazioni di accesso in uscita selezionare Modifica impostazioni predefinite in uscita.

   • Per modificare le impostazioni per un'organizzazione specifica, selezionare la scheda Impostazioni dell'organizzazione, individuare l'organizzazione nell'elenco (o aggiungerne una) e quindi selezionare il collegamento nella colonna Accesso in uscita .

Per modificare le impostazioni di accesso in uscita

1. Selezionare la scheda Connessione diretta B2B .

2. Se si configurano le impostazioni per un'organizzazione, selezionare una delle opzioni seguenti:

   • Impostazioni predefinite: l'organizzazione usa le impostazioni configurate nella scheda Impostazioni predefinite . Se le impostazioni personalizzate sono già state configurate per questa organizzazione, è necessario selezionare Sì per confermare che tutte le impostazioni devono essere sostituite dalle impostazioni predefinite. Selezionare Quindi Salva e ignorare il resto dei passaggi di questa procedura.

   • Personalizzare le impostazioni: è possibile personalizzare le impostazioni per questa organizzazione, che verranno applicate per questa organizzazione invece delle impostazioni predefinite. Continua con il resto dei passaggi di questa procedura.

3. Selezionare Utenti e gruppi.

4. In Stato di accesso selezionare una delle opzioni seguenti:

   • Consenti accesso: consente agli utenti e ai gruppi specificati in Si applica di accedere alla connessione diretta B2B.
   • Blocca l'accesso: impedisce agli utenti e ai gruppi specificati in Si applica a di accedere alla connessione diretta B2B. Il blocco dell'accesso per tutti gli utenti e i gruppi impedisce anche la condivisione di tutte le applicazioni esterne tramite connessione diretta B2B.

   

5. In Si applica a selezionare una delle opzioni seguenti:

   • Tutti gli <utenti dell'organizzazione>: applica l'azione scelta in Stato di accesso a tutti gli utenti e i gruppi.
   • Selezionare <gli utenti e i gruppi dell'organizzazione> (richiede un abbonamento a Microsoft Entra ID P1 o P2): consente di applicare l'azione scelta in Stato di accesso a utenti e gruppi specifici.

   

6. Se scegli < dell'organizzazione>, esegui le operazioni seguenti per ogni utente o gruppo da aggiungere:

   • Seleziona < dell'organizzazione>.
   • Nel riquadro Seleziona digitare il nome utente o il nome del gruppo nella casella di ricerca.
   • Al termine della selezione di utenti e gruppi, scegliere Seleziona.

   Nota

   Quando si mirano utenti e gruppi, non sarà possibile selezionare gli utenti che hanno configurato l'autenticazione basata su SMS. Ciò è dovuto al fatto che gli utenti che dispongono di una "credenziale federata" nell'oggetto utente vengono bloccati per impedire l'aggiunta di utenti esterni alle impostazioni di accesso in uscita. Come soluzione alternativa, è possibile usare l'API Microsoft Graph per aggiungere direttamente l'ID oggetto dell'utente o definire come destinazione un gruppo a cui appartiene l'utente.

7. Selezionare Salva.

8. Selezionare la scheda Applicazioni esterne .

9. In Stato di accesso selezionare una delle opzioni seguenti:

   • Consenti accesso: consente agli utenti con connessione diretta B2B di accedere alle applicazioni specificate in Si applica a.
   • Blocca l'accesso: impedisce alle applicazioni specificate in Si applica a di accedere agli utenti con connessione diretta B2B.

   

10. In Si applica a selezionare una delle opzioni seguenti:

    • Tutte le applicazioni esterne: applica l'azione scelta in Stato di accesso a tutte le applicazioni esterne.
    • Selezionare le applicazioni (richiede un abbonamento a Microsoft Entra ID P1 o P2): consente di applicare l'azione scelta in Stato di accesso a applicazioni esterne specifiche.

    

11. Se si sceglie Seleziona applicazioni esterne, eseguire le operazioni seguenti per ogni applicazione da aggiungere:

    • Selezionare Aggiungi applicazioni Microsoft o Aggiungi altre applicazioni.
    • Nel riquadro applicazioni digitare il nome dell'applicazione nella casella di ricerca e selezionare l'applicazione nei risultati della ricerca.
    • Al termine della selezione delle applicazioni, scegliere Seleziona.

    

12. Selezionare Salva.

Per modificare le impostazioni di attendibilità in uscita

Questa sezione si applica solo alle impostazioni dell'organizzazione .

1. Selezionare la scheda Impostazioni attendibilità .

2. Esaminare l'opzione Riscatto automatico :

   • Riscatta automaticamente gli inviti con il tenant<tenant>: seleziona questa impostazione se si desidera riscattare automaticamente gli inviti. In tal caso, gli utenti di questo tenant non devono accettare la richiesta di consenso la prima volta che accedono al tenant specificato usando la sincronizzazione tra tenant, la collaborazione B2B o la connessione diretta B2B. Questa impostazione elimina la richiesta di consenso solo se il tenant specificato controlla anche questa impostazione per l'accesso in ingresso.

   

3. Selezionare Salva.

Rimuovere un'organizzazione

Quando rimuovi un'organizzazione dalle Impostazioni organizzative, le impostazioni di accesso tra tenant predefinite diventano effettive per tale organizzazione.

Nota

Se l'organizzazione è un provider di servizi cloud per l'organizzazione (la proprietà isServiceProvider nella configurazione specifica del partner Microsoft Graph è true), non sarà possibile rimuovere l'organizzazione.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore della sicurezza.

2. Passare a Entra ID>Identità esterne>Impostazioni di accesso tra tenant.

3. Selezionare la scheda Impostazioni dell'organizzazione .

4. Cerca l'organizzazione nell'elenco e quindi seleziona l'icona del cestino in tale riga.

Passaggi successivi

Configurare le impostazioni di accesso tra tenant per Collaborazione B2B