Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a: Tenant del personale
Tenant esterni (scopri di più)
Le organizzazioni di Microsoft Entra possono usare le impostazioni di accesso cross-tenant con ID Esterno per gestire la collaborazione con altre organizzazioni di Microsoft Entra e cloud di Microsoft Azure tramite collaborazione B2B e connessione diretta B2B. Le impostazioni di accesso tra tenant offrono un controllo granulare sull'accesso in ingresso e in uscita, consentendo di considerare attendibili l'autenticazione a più fattori e le attestazioni dei dispositivi di altre organizzazioni.
Questo articolo illustra le impostazioni di accesso tra tenant per la gestione della collaborazione B2B e la connessione diretta B2B con organizzazioni Microsoft Entra esterne, inclusi i cloud Microsoft. Altre impostazioni sono disponibili per la collaborazione B2B con identità non Microsoft Entra (ad esempio, identità di social networking o account esterni non GESTITI DALL'IT). Queste impostazioni di collaborazione esterna includono opzioni per limitare l'accesso degli utenti guest, specificando chi può invitare utenti guest e consentendo o bloccando i domini.
Non esistono limiti al numero di organizzazioni che è possibile aggiungere nelle impostazioni di accesso tra tenant.
Gestire l'accesso esterno con le impostazioni in ingresso e in uscita
Le impostazioni di accesso tra tenant delle identità esterne gestiscono la modalità di collaborazione con altre organizzazioni di Microsoft Entra. Queste impostazioni determinano sia il livello di accesso in ingresso che gli utenti di organizzazioni esterne a Microsoft Entra hanno verso le risorse interne sia il livello di accesso in uscita che gli utenti interni hanno verso organizzazioni esterne.
Il diagramma seguente mostra le impostazioni per l'accesso tra tenant in entrata e in uscita. Il tenant di Microsoft Entra della risorsa è il tenant contenente le risorse da condividere. Per la collaborazione B2B, il tenant delle risorse è il tenant che invita (ad esempio, il tenant aziendale, in cui si vogliono invitare gli utenti esterni). Il tenant principale di Microsoft Entra dell'utente è il tenant in cui vengono gestiti gli utenti esterni.
Per impostazione predefinita, la collaborazione B2B con altre organizzazioni di Microsoft Entra è abilitata e la connessione diretta B2B è bloccata. Tuttavia, le impostazioni di amministrazione complete seguenti consentono di gestire entrambe queste funzionalità.
Le impostazioni di accesso in uscita controllano se gli utenti possono accedere alle risorse in un'organizzazione esterna. È possibile applicare queste impostazioni a tutti o specificare singoli utenti, gruppi e applicazioni.
Le impostazioni di accesso in ingresso controllano se gli utenti di organizzazioni esterne di Microsoft Entra possono accedere alle risorse dell'organizzazione. È possibile applicare queste impostazioni a tutti o specificare singoli utenti, gruppi e applicazioni.
Le impostazioni di attendibilità (in entrata) determinano se i criteri di accesso condizionale considerano attendibile l'autenticazione a più fattori (MFA), il dispositivo conforme e le attestazioni relativi ai dispositivi registrati nell’ambiente ibrido di Microsoft Entra provenienti da un'organizzazione esterna se gli utenti hanno già soddisfatto questi requisiti nei tenant di origine. Ad esempio, quando si configurano le impostazioni di attendibilità per considerare attendibile l'autenticazione a più fattori, i criteri di autenticazione a più fattori vengono ancora applicati agli utenti esterni, ma gli utenti che hanno già completato l'autenticazione a più fattori nei tenant home non devono completare nuovamente l'autenticazione a più fattori nel tenant.
Impostazioni predefinite
Le impostazioni di accesso tra tenant predefinite si applicano a tutte le organizzazioni di Microsoft Entra esterne al tenant, ad eccezione delle organizzazioni per cui si configurano le impostazioni personalizzate. È possibile modificare le impostazioni predefinite, ma le impostazioni predefinite iniziali per collaborazione B2B e connessione diretta B2B sono le seguenti:
Collaborazione B2B: tutti gli utenti interni sono abilitati per la collaborazione B2B per impostazione predefinita. Questa configurazione significa che i tuoi utenti possono invitare ospiti esterni ad accedere alle loro risorse e che gli stessi ospiti possono essere invitati come ospiti presso organizzazioni esterne. Le attestazioni MFA e dei dispositivi di altre organizzazioni di Microsoft Entra non sono attendibili.
Connessione diretta B2B: nessuna relazione di trust con connessione diretta B2B viene stabilita per impostazione predefinita. Microsoft Entra ID blocca tutte le funzionalità di connessione diretta B2B in ingresso e in uscita per tutti i tenant Esterni di Microsoft Entra.
Impostazioni organizzative: nessuna organizzazione viene aggiunta alle impostazioni dell'organizzazione per impostazione predefinita. Pertanto, tutte le organizzazioni Esterne di Microsoft Entra sono abilitate per la collaborazione B2B con l'organizzazione.
Sincronizzazione incrociata tra tenant: nessun utente proveniente da altri tenant viene sincronizzato nel tuo tenant tramite questa sincronizzazione.
Queste impostazioni predefinite si applicano alla collaborazione B2B con altri tenant di Microsoft Entra nello stesso cloud di Microsoft Azure. Negli scenari tra cloud, le impostazioni predefinite funzionano in modo leggermente diverso. Vedere Impostazioni cloud Microsoft più avanti in questo articolo.
Impostazioni dell'organizzazione
È possibile configurare impostazioni specifiche dell'organizzazione aggiungendo un'organizzazione e modificando le impostazioni in ingresso e in uscita per tale organizzazione. Le impostazioni a livello di organizzazione hanno la precedenza sulle impostazioni predefinite.
Collaborazione B2B: usare le impostazioni di accesso tra tenant per gestire la collaborazione B2B in ingresso e in uscita e l'accesso con ambito a utenti, gruppi e applicazioni specifici. È possibile impostare una configurazione predefinita che si applica a tutte le organizzazioni esterne e quindi creare impostazioni specifiche dell'organizzazione in base alle esigenze. Usando le impostazioni di accesso tra tenant, è anche possibile considerare attendibili l'autenticazione multifattore (MFA) e le attestazioni dei dispositivi (attestazioni conformi e ibride di Microsoft Entra) provenienti da altre organizzazioni di Microsoft Entra.
Suggerimento
È consigliabile escludere gli utenti esterni dai criteri di registrazione MFA di Microsoft Entra ID Protection, se si intende considerare attendibile l'autenticazione a più fattori per gli utenti esterni. Quando sono presenti entrambi i criteri, gli utenti esterni non saranno in grado di soddisfare i requisiti per l'accesso.
Connessione diretta B2B: per la connessione diretta B2B, usare le impostazioni dell'organizzazione per configurare una relazione di trust reciproca con un'altra organizzazione di Microsoft Entra. Sia l'organizzazione che l'organizzazione esterna devono abilitare a vicenda la connessione diretta B2B configurando le impostazioni di accesso tra tenant in ingresso e in uscita.
È possibile usare le impostazioni di collaborazione esterna per limitare chi può invitare utenti esterni, consentire o bloccare domini specifici B2B e impostare restrizioni sull'accesso degli utenti guest alla directory.
Impostazione del riscatto automatico
L'impostazione di riscatto automatico è un'impostazione di attendibilità organizzativa in ingresso e in uscita per riscattare automaticamente gli inviti, in modo che gli utenti non devono accettare la richiesta di consenso la prima volta che accedono al tenant di risorsa/destinazione. Questa impostazione è una casella di controllo con il nome seguente:
- Riscattare automaticamente gli inviti con il tenant<tenant>
Confrontare l'impostazione per scenari diversi
L'impostazione di riscatto automatico si applica alla sincronizzazione tra tenant, collaborazione B2B e connessione diretta B2B nelle situazioni seguenti:
- Quando gli utenti sono creati in un tenant di destinazione tramite la sincronizzazione tra tenant.
- Quando gli utenti vengono aggiunti a un tenant di risorse con la collaborazione B2B.
- Quando gli utenti accedono alle risorse in un tenant di risorse con la connessione diretta B2B.
La tabella seguente illustra il confronto di questa impostazione quando è abilitata per questi scenari:
Elemento | Sincronizzazione tra istanze | Collaborazione B2B | Connessione diretta B2B |
---|---|---|---|
Impostazione del riscatto automatico | Obbligatorio | Opzionale | Opzionale |
Gli utenti ricevono un messaggio di posta elettronica di invito alla collaborazione B2B | NO | NO | Non disponibile |
Gli utenti devono accettare una richiesta di consenso | NO | NO | NO |
Gli utenti ricevono un messaggio di posta elettronica di notifica di collaborazione B2B | NO | Sì | Non disponibile |
Questa impostazione non influisce sulle esperienze di consenso dell'applicazione. Per altre informazioni, consultare Esperienza di consenso per applicazioni in Microsoft Entra ID. Questa impostazione è supportata per le organizzazioni in diversi ambienti cloud Microsoft, ad esempio Azure commerciale e Azure per enti pubblici, ma è attualmente in anteprima. Per altre informazioni, consulta Configurare la sincronizzazione tra tenant.
Quando viene eliminata la richiesta di consenso?
L'impostazione di riscatto automatico elimina la richiesta di consenso e il messaggio di posta elettronica di invito solo se sia il tenant principale/di origine (in uscita) che il tenant di risorsa/destinazione (in ingresso) controllano questa impostazione.
La tabella seguente illustra il comportamento della richiesta di consenso per gli utenti del tenant di origine, quando l'impostazione di riscatto automatico viene verificata per diverse combinazioni di impostazioni di accesso tra tenant.
Tenant principale/di origine | Tenant di origine/destinazione | Comportamento della richiesta di consenso per gli utenti del tenant d'origine |
---|---|---|
In uscita | In entrata | |
![]() |
![]() |
Soppresso |
![]() |
![]() |
Non soppresso |
![]() |
![]() |
Non soppresso |
![]() |
![]() |
Non soppresso |
In entrata | In uscita | |
![]() |
![]() |
Non soppresso |
![]() |
![]() |
Non soppresso |
![]() |
![]() |
Non soppresso |
![]() |
![]() |
Non soppresso |
Per configurare questa impostazione usando Microsoft Graph, consulta l'API Aggiorna crossTenantAccessPolicyConfigurationPartner. Per informazioni sulla creazione di un'esperienza di onboarding personalizzata, vedere B2B Collaboration Invitation Manager.
Per altre informazioni, vedere Configurare la sincronizzazione tra tenant, Configurare le impostazioni di accesso tra tenant per collaborazione B2B e Configurare le impostazioni di accesso tra tenant per la connessione diretta B2B.
Riscatto configurabile
Con il riscatto configurabile, è possibile personalizzare l'ordine dei provider di identità con cui gli utenti guest possono accedere quando accettano l'invito. È possibile abilitare la funzionalità e specificare l'ordine di riscatto nella scheda Ordine di riscatto .
Quando un utente guest seleziona il collegamento Accetta invito in un messaggio di posta elettronica di invito, Microsoft Entra ID riscatta automaticamente l'invito in base all'ordine di riscatto predefinito. Quando si modifica l'ordine del provider di identità nella nuova scheda Ordine di rimborso, il nuovo ordine supera l'ordine di rimborso predefinito.
I provider di identità primari e i provider di identità di fallback sono disponibili nella scheda Ordine di riscatto .
I provider di identità primari sono quelli che hanno federazioni con altre fonti di autenticazione. I provider di identità di fallback sono quelli utilizzati quando un utente non corrisponde ai criteri di un provider di identità primario.
I provider di identità di fallback possono essere un account Microsoft (MSA), una password monouso tramite e-mail o entrambi. Non è possibile disabilitare entrambi i provider di identità fallback, ma è possibile disabilitare tutti i provider di identità primari e usare solo i provider di identità fallback per le opzioni di riscatto.
Quando si usa questa funzionalità, considerare le limitazioni note seguenti:
Se un utente di Microsoft Entra ID che ha una sessione esistente di Single Sign-On (SSO) esegue l'autenticazione tramite passcode monouso (OTP), deve scegliere Usa un altro account e immettere nuovamente il proprio nome utente per attivare il flusso OTP. In caso contrario, l'utente riceve un errore che indica che l'account non esiste nel tenant della risorsa.
Quando un utente ha lo stesso indirizzo di posta elettronica negli account Microsoft Entra ID e Microsoft, viene richiesto di scegliere tra l'uso dell'ID Microsoft Entra o il proprio account Microsoft anche dopo che l'amministratore disabilita l'account Microsoft come metodo di riscatto. La scelta dell'account Microsoft come opzione di riscatto è consentita, anche se il metodo è disabilitato.
Federazione diretta per i domini verificati di Microsoft Entra ID
La federazione del provider di identità SAML/WS-Fed (federazione diretta) è ora supportata per i domini verificati di Microsoft Entra ID. Questa funzionalità consente di configurare una federazione diretta con un provider di identità esterno per un dominio verificato in un altro tenant di Microsoft Entra
Annotazioni
Assicurati che il dominio non sia verificato nello stesso tenant in cui si sta tentando di configurare la federazione diretta. Dopo aver configurato una federazione diretta, è possibile impostare la preferenza di riscatto del tenant e trasferire il provider di identità SAML/WS-Fed su Microsoft Entra ID attraverso le nuove impostazioni configurabili di accesso tra tenant.
Quando l'utente guest riscatta l'invito, visualizza una schermata di consenso tradizionale e viene reindirizzato alla pagina App personali. Nel tenant della risorsa, il profilo per questo utente di federazione diretta mostra che l'invito è stato riscattato con successo, con la federazione esterna elencata come emittente.
Impedire agli utenti B2B di riscattare un invito usando gli account Microsoft
È ora possibile impedire agli utenti guest B2B di usare gli account Microsoft per riscattare gli inviti. Usano invece un passcode monouso inviato al proprio email come fornitore di identità alternativo. Non è consentito usare un account Microsoft esistente per riscattare gli inviti, né viene richiesto di crearne uno nuovo. È possibile abilitare questa funzionalità nelle impostazioni dell'ordine di riscatto disattivando gli account Microsoft nelle opzioni del fornitore di identità di fallback.
È necessario avere sempre almeno un provider di identità di riserva attivo. Pertanto, se si decide di disabilitare gli account Microsoft, è necessario abilitare l'opzione passcode monouso tramite posta elettronica. Gli utenti guest esistenti che eseguono già l'accesso con gli account Microsoft continuano a farlo per gli accessi futuri. Per applicare le nuove impostazioni, è necessario reimpostare lo stato di riscatto.
Configurazione della sincronizzazione tra tenant
L'impostazione di sincronizzazione tra tenant è un'impostazione dell'organizzazione solo in ingresso che consente all'amministratore di un tenant di origine di sincronizzare gli utenti in un tenant di destinazione. Questa impostazione è una casella di controllo con il nome Consenti agli utenti di sincronizzare in questo tenant come specificato nel tenant di destinazione. Questa impostazione non influisce sugli inviti B2B creati tramite altri processi, quali invito manuale o gestione delle autorizzazioni di Microsoft Entra.
Per configurare questa impostazione usando Microsoft Graph, consultare l'API Aggiornare crossTenantIdentitySyncPolicyPartner. Per altre informazioni, consulta Configurare la sincronizzazione tra tenant.
Restrizioni tenant
Con le impostazioni Restrizioni tenant , è possibile controllare i tipi di account esterni che gli utenti possono usare nei dispositivi gestiti, tra cui:
- Account creati dagli utenti in tenant sconosciuti.
- Account che le organizzazioni esterne hanno dato agli utenti in modo che possano accedere alle risorse dell'organizzazione.
È consigliabile configurare le restrizioni del tenant per impedire questi tipi di account esterni e usare invece collaborazione B2B. La collaborazione B2B offre la possibilità di:
- Usare l'accesso condizionale e forzare l'autenticazione a più fattori per gli utenti di Collaborazione B2B.
- Gestire l'accesso in ingresso e in uscita.
- Terminare sessioni e credenziali quando lo stato di occupazione di un utente di Collaborazione B2B cambia o le credenziali vengono violate.
- Usare i log di accesso per visualizzare i dettagli sull'utente di Collaborazione B2B.
Le restrizioni del tenant sono indipendenti da altre impostazioni di accesso tra tenant, pertanto le impostazioni di accesso in ingresso, in uscita o attendibilità configurate non influiscono sulle restrizioni del tenant. Per informazioni dettagliate sulla configurazione delle restrizioni del tenant, vedere Configurare le restrizioni del tenant V2.
Impostazioni di Microsoft Cloud
Le impostazioni cloud Microsoft consentono di collaborare con organizzazioni di diversi cloud di Microsoft Azure. Con le impostazioni del cloud Microsoft, è possibile stabilire una collaborazione B2B reciproca tra i cloud seguenti:
- Cloud commerciale di Microsoft Azure e Microsoft Azure per enti pubblici, che include i cloud Office GCC-High e DoD
- Cloud commerciale di Microsoft Azure e Microsoft Azure gestito da 21Vianet (gestito da 21Vianet)
Annotazioni
La connessione diretta B2B non è supportata per la collaborazione con i tenant di Microsoft Entra in un cloud Microsoft diverso.
Per altre informazioni, vedere l'articolo Configurare le impostazioni cloud Microsoft per Collaborazione B2B .
Considerazioni importanti
Importante
La modifica delle impostazioni predefinite in ingresso o in uscita per bloccare l'accesso potrebbe bloccare l'accesso business critical esistente alle app nell'organizzazione o nelle organizzazioni partner. Assicurarsi di usare gli strumenti descritti in questo articolo e consultare gli stakeholder aziendali per identificare l'accesso necessario.
Per configurare le impostazioni di accesso tra tenant nel portale di Azure, è necessario un account con almeno un amministratore della sicurezza o un ruolo personalizzato.
Per configurare le impostazioni di attendibilità o applicare le impostazioni di accesso a utenti, gruppi o applicazioni specifici, è necessaria una licenza Microsoft Entra ID P1. La licenza è necessaria nel tenant configurato. Per la connessione diretta B2B, in cui è necessaria una relazione di fiducia reciproca con un'altra organizzazione di Microsoft Entra, è richiesta una licenza Microsoft Entra ID P1 per entrambi i tenant.
Le impostazioni di accesso tra tenant vengono usate per gestire la collaborazione B2B e la connessione diretta B2B con altre organizzazioni di Microsoft Entra. Per la collaborazione B2B con identità non Microsoft Entra (ad esempio, identità di social networking o account esterni non IT gestiti), usare le impostazioni di collaborazione esterna. Le impostazioni di collaborazione esterna includono opzioni di collaborazione B2B per limitare l'accesso degli utenti guest, specificando chi può invitare utenti guest e consentendo o bloccando i domini.
Per applicare le impostazioni di accesso a utenti, gruppi o applicazioni specifici in un'organizzazione esterna, è necessario contattare l'organizzazione per informazioni prima di configurare le impostazioni. Ottenere gli ID oggetto utente, gli ID oggetto gruppo o gli ID applicazione (ID app client o ID app per le risorse), in modo da poter impostare correttamente le impostazioni.
Suggerimento
È possibile trovare gli ID applicazione per le app nelle organizzazioni esterne controllando i log di accesso. Vedere la sezione Identificare gli accessi in ingresso e in uscita .
Le impostazioni di accesso configurate per utenti e gruppi devono corrispondere alle impostazioni di accesso per le applicazioni. Le impostazioni in conflitto non sono consentite e i messaggi di avviso vengono visualizzati se si tenta di configurarli.
Esempio 1: se si blocca l'accesso in ingresso per tutti gli utenti e i gruppi esterni, è necessario bloccare anche l'accesso a tutte le applicazioni.
Esempio 2: se si consente l'accesso in uscita per tutti gli utenti (o utenti o gruppi specifici), non è possibile bloccare l'accesso a tutte le applicazioni esterne; l'accesso ad almeno un'applicazione deve essere consentito.
Se si vuole consentire la connessione diretta B2B con un'organizzazione esterna e i criteri di accesso condizionale richiedono l'autenticazione a più fattori, è necessario configurare le impostazioni di attendibilità per accettare attestazioni MFA dall'organizzazione esterna.
Se si blocca l'accesso a tutte le app per impostazione predefinita, gli utenti non riescono a leggere i messaggi di posta elettronica crittografati con Microsoft Rights Management Service, noto anche come Office 365 Message Encryption (OME). Per evitare questo problema, è consigliabile configurare le impostazioni in uscita per consentire agli utenti di accedere a questo ID app: 00000012-0000-0000-c000-000000000000000. Se si consente solo questa applicazione, l'accesso a tutte le altre app viene bloccato per impostazione predefinita.
Se un'organizzazione richiede l'autenticazione a più fattori o condizioni per l'utilizzo (ToU) dai criteri di accesso condizionale, gli utenti potrebbero non registrare metodi MFA o fornire il consenso a ToU. Per evitare questo problema, configurare le impostazioni in uscita (tenant principale) e le impostazioni in ingresso (tenant delle risorse) per consentire agli utenti di accedere all'ID app 000000c-0000-0000-c0000-000000000000 (pannello di accesso alle app Microsoft) per la registrazione MFA e l'ID app d52792f4-ba38-424d-8140-ada5b883f293 (Condizioni per l'utilizzo AAD) per ToU. La configurazione delle impostazioni in uscita può essere ottenuta tramite l'interfaccia di amministrazione di Microsoft Entra selezionando "Aggiungi altre applicazioni" e specificando l'ID app. A causa di una limitazione dell'interfaccia utente corrente, è necessario eseguire la configurazione delle impostazioni in ingresso tramite le API Di Microsoft Graph.
Ruoli personalizzati per la gestione delle impostazioni di accesso tra tenant
È possibile creare ruoli personalizzati per gestire le impostazioni di accesso tra tenant. Altre informazioni sui ruoli personalizzati consigliati sono disponibili qui.
Proteggere le azioni amministrative di accesso tra tenant
Tutte le azioni che modificano le impostazioni di accesso tra tenant vengono considerate azioni protette e possono essere protette anche con i criteri di accesso condizionale. Per altre informazioni sui passaggi di configurazione, vedere Azioni protette.
Identificare gli accessi in ingresso e in uscita
Sono disponibili diversi strumenti per identificare l'accesso necessario agli utenti e ai partner prima di impostare le impostazioni di accesso in ingresso e in uscita. Per assicurarsi di non rimuovere l'accesso necessario agli utenti e ai partner, è necessario esaminare il comportamento di accesso corrente. L'esecuzione di questo passaggio preliminare consente di evitare la perdita di accesso desiderato per gli utenti finali e gli utenti partner. Tuttavia, in alcuni casi questi log vengono conservati solo per 30 giorni, quindi è consigliabile parlare con gli stakeholder aziendali per garantire che l'accesso richiesto non venga perso.
Strumento | Metodo |
---|---|
Script di PowerShell per l'attività di accesso tra tenant | Per esaminare l'attività di accesso utente associata alle organizzazioni esterne, usare lo script di PowerShell per l'attività di accesso utente tra tenant da MSIdentityTools. |
Script di PowerShell per i log di accesso | Per determinare l'accesso degli utenti alle organizzazioni esterne di Microsoft Entra, usare il cmdlet Get-MgAuditLogSignIn . |
Monitoraggio di Azure | Se la vostra organizzazione sottoscrive il servizio Azure Monitor, usare la cartella di lavoro per le attività di accesso tra tenant. |
Sistemi SIEM (Security Information and Event Management) | Se l'organizzazione esporta i log di accesso in un sistema SIEM (Security Information and Event Management), è possibile recuperare le informazioni necessarie dal sistema SIEM. |
Identificare le modifiche alle impostazioni di accesso tra tenant
I log di controllo di Microsoft Entra acquisiscono tutte le attività relative alle modifiche delle impostazioni di accesso cross-tenant. Per controllare le modifiche apportate alle impostazioni di accesso tra tenant, usare la categoriaCrossTenantAccessSettings per filtrare tutte le attività per visualizzare le modifiche alle impostazioni di accesso tra tenant.
Passaggi successivi
Configurare le impostazioni di accesso tra tenant per Collaborazione B2B
Configurare le impostazioni di accesso tra tenant per la connessione diretta B2B