Overzicht: Toegang tussen tenants met Microsoft Entra Externe ID
Van toepassing op: Externe tenants van werknemers (meer informatie)
Microsoft Entra-organisaties kunnen instellingen voor externe id-toegang tussen tenants gebruiken om samenwerking met andere Microsoft Entra-organisaties en Microsoft Azure-clouds te beheren via B2B-samenwerking en B2B direct connect. De toegangsinstellingen voor meerdere tenants bieden gedetailleerde controle over binnenkomende en uitgaande toegang, zodat u meervoudige verificatie (MFA) en apparaatclaims van andere organisaties kunt vertrouwen.
In dit artikel worden instellingen voor toegang tussen tenants beschreven voor het beheren van B2B-samenwerking en B2B direct verbinding maken met externe Microsoft Entra-organisaties, waaronder in microsoft-clouds. Andere instellingen zijn beschikbaar voor B2B-samenwerking met niet-Microsoft Entra-identiteiten (bijvoorbeeld sociale identiteiten of niet-door IT beheerde externe accounts). Deze instellingen voor externe samenwerking omvatten opties voor het beperken van de toegang van gastgebruikers, het opgeven van wie gasten kan uitnodigen en het toestaan of blokkeren van domeinen.
Er zijn geen limieten voor het aantal organisaties dat u kunt toevoegen in instellingen voor toegang tussen tenants.
Externe toegang beheren met instellingen voor inkomend en uitgaand verkeer
De instellingen voor externe identiteiten voor toegang tot meerdere tenants beheren hoe u samenwerkt met andere Microsoft Entra-organisaties. Deze instellingen bepalen het niveau van binnenkomende toegangsgebruikers in externe Microsoft Entra-organisaties voor uw resources en het niveau van uitgaande toegang die uw gebruikers hebben voor externe organisaties.
In het volgende diagram ziet u de instellingen voor inkomend en uitgaand verkeer tussen tenants. De Resource Microsoft Entra-tenant is de tenant die de resources bevat die moeten worden gedeeld. Voor B2B-samenwerking is de resourcetenant de uitnodigende tenant (bijvoorbeeld uw zakelijke tenant, waar u de externe gebruikers wilt uitnodigen). De Microsoft Entra-tenant van de gebruiker is de tenant waar de externe gebruikers worden beheerd.
B2B-samenwerking met andere Microsoft Entra-organisaties is standaard ingeschakeld en B2B direct connect wordt geblokkeerd. Maar met de volgende uitgebreide beheerinstellingen kunt u beide functies beheren.
Instellingen voor uitgaande toegang bepalen of uw gebruikers toegang hebben tot resources in een externe organisatie. U kunt deze instellingen op iedereen toepassen of afzonderlijke gebruikers, groepen en toepassingen opgeven.
Instellingen voor binnenkomende toegang bepalen of gebruikers van externe Microsoft Entra-organisaties toegang hebben tot resources in uw organisatie. U kunt deze instellingen op iedereen toepassen of afzonderlijke gebruikers, groepen en toepassingen opgeven.
Vertrouwensinstellingen (inkomend) bepalen of uw beleid voor voorwaardelijke toegang de meervoudige verificatie (MFA), compatibele apparaten en aan Microsoft Entra gekoppelde apparaatclaims van een externe organisatie vertrouwen als hun gebruikers al aan deze vereisten in hun thuistenant voldoen. Wanneer u bijvoorbeeld uw vertrouwensinstellingen configureert om MFA te vertrouwen, worden uw MFA-beleidsregels nog steeds toegepast op externe gebruikers, maar gebruikers die MFA al hebben voltooid in hun thuistenant hoeven MFA niet opnieuw in uw tenant te voltooien.
Standaardinstellingen
De standaardinstellingen voor toegang tot meerdere tenants zijn van toepassing op alle Microsoft Entra-organisaties buiten uw tenant, met uitzondering van organisaties waarvoor u aangepaste instellingen configureert. U kunt uw standaardinstellingen wijzigen, maar de eerste standaardinstellingen voor B2B-samenwerking en B2B directe verbinding zijn als volgt:
B2B-samenwerking: al uw interne gebruikers zijn standaard ingeschakeld voor B2B-samenwerking. Deze instelling betekent dat uw gebruikers externe gasten kunnen uitnodigen voor toegang tot uw resources en dat ze als gast kunnen worden uitgenodigd voor externe organisaties. MFA- en apparaatclaims van andere Microsoft Entra-organisaties worden niet vertrouwd.
B2B directe verbinding: er worden standaard geen B2B direct connect-vertrouwensrelaties tot stand gebracht. Microsoft Entra ID blokkeert alle binnenkomende en uitgaande B2B-mogelijkheden voor directe verbinding voor alle externe Microsoft Entra-tenants.
Organisatie-instellingen: er worden standaard geen organisaties toegevoegd aan uw organisatie-instellingen. Daarom zijn alle externe Microsoft Entra-organisaties ingeschakeld voor B2B-samenwerking met uw organisatie.
Synchronisatie tussen tenants: er worden geen gebruikers van andere tenants gesynchroniseerd in uw tenant met synchronisatie tussen tenants.
Deze standaardinstellingen zijn van toepassing op B2B-samenwerking met andere Microsoft Entra-tenants in dezelfde Microsoft Azure-cloud. In scenario's tussen clouds werken standaardinstellingen iets anders. Zie Microsoft-cloudinstellingen verderop in dit artikel.
Organisatie-instellingen
U kunt organisatiespecifieke instellingen configureren door een organisatie toe te voegen en de instellingen voor inkomend en uitgaand verkeer voor die organisatie te wijzigen. Organisatie-instellingen hebben voorrang op standaardinstellingen.
B2B-samenwerking: gebruik instellingen voor toegang tussen tenants voor het beheren van binnenkomende en uitgaande B2B-samenwerking en bereiktoegang tot specifieke gebruikers, groepen en toepassingen. U kunt een standaardconfiguratie instellen die van toepassing is op alle externe organisaties en vervolgens afzonderlijke, organisatiespecifieke instellingen maken, indien nodig. Met behulp van toegangsinstellingen voor meerdere tenants kunt u ook multifactor (MFA) en apparaatclaims (compatibele claims en aan Microsoft Entra gekoppelde claims) vertrouwen van andere Microsoft Entra-organisaties.
Fooi
We raden u aan externe gebruikers uit te sluiten van het MFA-registratiebeleid voor Microsoft Entra ID Protection, als u MFA voor externe gebruikers gaat vertrouwen. Wanneer beide beleidsregels aanwezig zijn, kunnen externe gebruikers niet voldoen aan de vereisten voor toegang.
B2B directe verbinding: voor B2B directe verbinding gebruikt u organisatie-instellingen om een wederzijdse vertrouwensrelatie met een andere Microsoft Entra-organisatie in te stellen. Zowel uw organisatie als de externe organisatie moeten B2B direct verbinding maken door binnenkomende en uitgaande toegangsinstellingen voor meerdere tenants te configureren.
U kunt instellingen voor externe samenwerking gebruiken om te beperken wie externe gebruikers kan uitnodigen, B2B-specifieke domeinen mag toestaan of blokkeren en beperkingen voor de toegang van gastgebruikers tot uw adreslijst kan instellen.
Instelling voor automatisch inwisselen
De instelling voor automatisch inwisselen is een instelling voor binnenkomende en uitgaande organisatorische vertrouwensrelaties om uitnodigingen automatisch in te wisselen, zodat gebruikers de toestemmingsprompt niet hoeven te accepteren wanneer ze de eerste keer dat ze toegang hebben tot de resource/doeltenant. Deze instelling is een selectievakje met de volgende naam:
- Uitnodigingen automatisch inwisselen met de tenanttenant<>
Instelling voor verschillende scenario's vergelijken
De instelling voor automatische inwisseling is van toepassing op synchronisatie tussen tenants, B2B-samenwerking en B2B directe verbinding in de volgende situaties:
- Wanneer gebruikers worden gemaakt in een doeltenant met behulp van synchronisatie tussen tenants.
- Wanneer gebruikers worden toegevoegd aan een resourcetenant met B2B-samenwerking.
- Wanneer gebruikers toegang hebben tot resources in een resourcetenant met B2B direct connect.
In de volgende tabel ziet u hoe deze instelling zich verhoudt wanneer deze optie is ingeschakeld voor deze scenario's:
Item | Synchronisatie tussen tenants | B2B-samenwerking | B2B directe verbinding |
---|---|---|---|
Instelling voor automatisch inwisselen | Vereist | Facultatief | Facultatief |
Gebruikers ontvangen een uitnodigingsmail voor B2B-samenwerking | Nee | Nee | N.V.T |
Gebruikers moeten een toestemmingsprompt accepteren | Nee | Nee | Nee |
Gebruikers ontvangen een e-mailmelding voor B2B-samenwerking | Nee | Ja | N.V.T |
Deze instelling heeft geen invloed op ervaringen met toepassingstoestemming. Zie Toestemmingservaring voor toepassingen in Microsoft Entra ID voor meer informatie. Deze instelling wordt niet ondersteund voor organisaties in verschillende Microsoft-cloudomgevingen, zoals commerciële Azure-omgevingen en Azure Government.
Wanneer wordt toestemmingsprompt onderdrukt?
De instelling voor automatisch inwisselen onderdrukt alleen de toestemmingsprompt en uitnodigings-e-mail als zowel de basis-/brontenant (uitgaand) als de resource/doeltenant (inkomend) deze instelling controleert.
In de volgende tabel ziet u het gedrag van de toestemmingsprompt voor brontenantgebruikers wanneer de instelling voor automatische inwisseling wordt gecontroleerd op verschillende combinaties van toegangsinstellingen voor meerdere tenants.
Tenant voor thuisgebruik/bron | Resource/doeltenant | Gedrag van toestemmingsprompt voor gebruikers van brontenant |
---|---|---|
Uitgaande | Inkomende | |
Onderdrukt | ||
Niet onderdrukt | ||
Niet onderdrukt | ||
Niet onderdrukt | ||
Inkomende | Uitgaande | |
Niet onderdrukt | ||
Niet onderdrukt | ||
Niet onderdrukt | ||
Niet onderdrukt |
Zie de API CrossTenantAccessPolicyConfigurationPartner bijwerken om deze instelling te configureren met Behulp van Microsoft Graph. Zie B2B-uitnodigingsmanager voor samenwerking voor informatie over het bouwen van uw eigen onboarding-ervaring.
Zie Synchronisatie tussen tenants configureren, instellingen voor toegang tussen tenants configureren voor B2B-samenwerking en instellingen voor crosstenanttoegang configureren voor directe B2B-verbindingen voor meer informatie.
Configureerbare inwisseling
Met configureerbare inwisseling kunt u de volgorde van id-providers aanpassen waarmee uw gastgebruikers zich kunnen aanmelden wanneer ze uw uitnodiging accepteren. U kunt de functie inschakelen en de inwisselingsorder opgeven op het tabblad Inwisselvolgorde .
Wanneer een gastgebruiker de koppeling Uitnodiging accepteren selecteert in een uitnodigings-e-mail , wisselt Microsoft Entra ID de uitnodiging automatisch in op basis van de standaardinwisselorder. Wanneer u de id-providerorder wijzigt op het tabblad Nieuwe inwisselingsorder, overschrijft de nieuwe order de standaard inwisselingsorder.
U vindt zowel primaire id-providers als terugval-id-providers op het tabblad Inwisselvolgorde .
Primaire id-providers zijn de providers die federaties hebben met andere verificatiebronnen. Fallback-id-providers zijn de providers die worden gebruikt, wanneer een gebruiker niet overeenkomt met een primaire id-provider.
Fallback-id-providers kunnen een Microsoft-account (MSA), eenmalige wachtwoordcode of beide zijn. U kunt beide terugval-id-providers niet uitschakelen, maar u kunt alle primaire id-providers uitschakelen en alleen terugval-id-providers gebruiken voor inwisselingsopties.
Houd bij het gebruik van deze functie rekening met de volgende bekende beperkingen:
Als een Microsoft Entra ID-gebruiker die een bestaande eenmalige aanmeldingssessie (SSO) heeft, wordt geverifieerd met behulp van een eenmalige wachtwoordcode (OTP) van e-mail, moet hij of zij een ander account gebruiken en de gebruikersnaam opnieuw opgeven om de OTP-stroom te activeren. Anders krijgt de gebruiker een foutmelding die aangeeft dat het account niet bestaat in de resourcetenant.
Wanneer een gebruiker hetzelfde e-mailadres heeft in zowel de Microsoft Entra-id als de Microsoft-account, wordt hij gevraagd om te kiezen tussen het gebruik van de Microsoft Entra-id of het Microsoft-account, zelfs nadat de beheerder het Microsoft-account heeft uitgeschakeld als een inwisselingsmethode. Het kiezen van Een Microsoft-account als inwisselingsoptie is toegestaan, zelfs als de methode is uitgeschakeld.
Directe federatie voor geverifieerde domeinen van Microsoft Entra ID
SAML/WS-Fed identity provider federation (Directe federatie) wordt nu ondersteund voor geverifieerde domeinen van Microsoft Entra ID. Met deze functie kunt u een directe federatie instellen met een externe id-provider voor een domein dat is geverifieerd in Microsoft Entra.
Notitie
Zorg ervoor dat het domein niet is geverifieerd in dezelfde tenant waarin u de directe federatieconfiguratie wilt instellen. Zodra u een directe federatie hebt ingesteld, kunt u de inwisselingsvoorkeur van de tenant configureren en SAML/WS-Fed-id via Microsoft Entra-id verplaatsen via de nieuwe configureerbare toegangsinstellingen voor meerdere tenants.
Wanneer de gastgebruiker de uitnodiging inwisselt, zien ze een traditioneel toestemmingsscherm en worden ze omgeleid naar de Mijn apps pagina. In de resourcetenant ziet u in het profiel voor deze directe federatiegebruiker dat de uitnodiging is ingewisseld, waarbij externe federatie wordt vermeld als de verlener.
Voorkomen dat uw B2B-gebruikers een uitnodiging inwisselen met behulp van Microsoft-accounts
U kunt nu voorkomen dat uw B2B-gastgebruikers Microsoft-accounts gebruiken om uitnodigingen in te wisselen. In plaats daarvan gebruiken ze een eenmalige wachtwoordcode die naar hun e-mail wordt verzonden als de terugval-id-provider. Ze mogen geen bestaand Microsoft-account gebruiken om uitnodigingen in te wisselen, noch worden ze gevraagd om een nieuw account te maken. U kunt deze functie inschakelen in de instellingen van uw inwisselorder door Microsoft-accounts uit te schakelen in de opties van de fallback-id-provider.
U moet altijd ten minste één terugval-id-provider actief hebben. Dus als u besluit Microsoft-accounts uit te schakelen, moet u de optie voor eenmalige wachtwoordcode voor e-mail inschakelen. Bestaande gastgebruikers die zich al aanmelden met Microsoft-accounts, blijven dit doen voor toekomstige aanmeldingen. Als u de nieuwe instellingen wilt toepassen, moet u de inwisselingsstatus opnieuw instellen.
Synchronisatie-instelling voor meerdere tenants
De synchronisatie-instelling voor meerdere tenants is een binnenkomende organisatie-instelling waarmee de beheerder van een brontenant gebruikers kan synchroniseren met een doeltenant. Deze instelling is een selectievakje met de naam Toestaan dat gebruikers worden gesynchroniseerd met deze tenant die is opgegeven in de doeltenant. Deze instelling heeft geen invloed op B2B-uitnodigingen die zijn gemaakt via andere processen, zoals handmatige uitnodiging of Microsoft Entra-rechtenbeheer.
Zie de Update crossTenantIdentitySyncPolicyPartner-API om deze instelling te configureren met Behulp van Microsoft Graph. Zie Synchronisatie tussen tenants configureren voor meer informatie.
Tenantbeperkingen
Met instellingen voor tenantbeperkingen kunt u bepalen welke typen externe accounts uw gebruikers kunnen gebruiken op de apparaten die u beheert, waaronder:
- Accounts die uw gebruikers hebben gemaakt in onbekende tenants.
- Accounts die externe organisaties aan uw gebruikers hebben gegeven, zodat ze toegang hebben tot de resources van die organisatie.
U wordt aangeraden uw tenantbeperkingen te configureren om deze typen externe accounts niet toe te laten en in plaats daarvan B2B-samenwerking te gebruiken. B2B-samenwerking biedt u de mogelijkheid om:
- Gebruik voorwaardelijke toegang en dwing meervoudige verificatie af voor B2B-samenwerkingsgebruikers.
- Binnenkomende en uitgaande toegang beheren.
- Beëindig sessies en referenties wanneer de werkstatus van een B2B-samenwerkingsgebruiker wordt gewijzigd of hun referenties worden geschonden.
- Gebruik aanmeldingslogboeken om details weer te geven over de B2B-samenwerkingsgebruiker.
Tenantbeperkingen zijn onafhankelijk van andere instellingen voor toegang tussen tenants, dus eventuele binnenkomende, uitgaande of vertrouwensinstellingen die u configureert, zijn niet van invloed op tenantbeperkingen. Zie Tenantbeperkingen instellen V2 voor meer informatie over het configureren van tenantbeperkingen.
Microsoft-cloudinstellingen
Met Microsoft-cloudinstellingen kunt u samenwerken met organisaties uit verschillende Microsoft Azure-clouds. Met Microsoft-cloudinstellingen kunt u wederzijdse B2B-samenwerking tot stand brengen tussen de volgende clouds:
- Commerciële Cloud van Microsoft Azure en Microsoft Azure Government, waaronder de Office GCC-High- en DoD-clouds
- Commerciële Microsoft Azure-cloud en Microsoft Azure beheerd door 21Vianet (beheerd door 21Vianet)
Notitie
B2B direct connect wordt niet ondersteund voor samenwerking met Microsoft Entra-tenants in een andere Microsoft-cloud.
Zie het artikel Microsoft-cloudinstellingen configureren voor B2B-samenwerking voor meer informatie.
Belangrijke overwegingen
Belangrijk
Als u de standaardinstellingen voor inkomend of uitgaand verkeer wijzigt om de toegang te blokkeren, kan bestaande bedrijfskritieke toegang tot apps in uw organisatie of partnerorganisaties worden geblokkeerd. Zorg ervoor dat u de hulpprogramma's gebruikt die in dit artikel worden beschreven en neem contact op met uw zakelijke belanghebbenden om de vereiste toegang te identificeren.
Als u instellingen voor meerdere tenanttoegang in Azure Portal wilt configureren, hebt u een account met ten minste beveiligingsbeheerder of een aangepaste rol nodig.
Als u vertrouwensinstellingen wilt configureren of toegangsinstellingen wilt toepassen op specifieke gebruikers, groepen of toepassingen, hebt u een Microsoft Entra ID P1-licentie nodig. De licentie is vereist voor de tenant die u configureert. Voor B2B directe verbinding, waarbij wederzijdse vertrouwensrelatie met een andere Microsoft Entra-organisatie is vereist, hebt u een Microsoft Entra ID P1-licentie in beide tenants nodig.
Instellingen voor toegang tussen tenants worden gebruikt voor het beheren van B2B-samenwerking en B2B directe verbinding met andere Microsoft Entra-organisaties. Voor B2B-samenwerking met niet-Microsoft Entra-identiteiten (bijvoorbeeld sociale identiteiten of niet-door IT beheerde externe accounts), gebruikt u instellingen voor externe samenwerking. Instellingen voor externe samenwerking omvatten B2B-samenwerkingsopties voor het beperken van de toegang van gastgebruikers, opgeven wie gasten kan uitnodigen en domeinen toestaan of blokkeren.
Als u toegangsinstellingen wilt toepassen op specifieke gebruikers, groepen of toepassingen in een externe organisatie, moet u contact opnemen met de organisatie voor informatie voordat u uw instellingen configureert. Haal hun gebruikersobject-id's, groepsobject-id's of toepassings-id's (client-app-id's of resource-app-id's) op, zodat u uw instellingen correct kunt instellen.
Fooi
Mogelijk kunt u de toepassings-id's voor apps in externe organisaties vinden door uw aanmeldingslogboeken te controleren. Zie de sectie Binnenkomende en uitgaande aanmeldingen identificeren.
De toegangsinstellingen die u voor gebruikers en groepen configureert, moeten overeenkomen met de toegangsinstellingen voor toepassingen. Conflicterende instellingen zijn niet toegestaan en er worden waarschuwingsberichten weergegeven als u ze probeert te configureren.
Voorbeeld 1: Als u binnenkomende toegang blokkeert voor alle externe gebruikers en groepen, moet ook de toegang tot al uw toepassingen worden geblokkeerd.
Voorbeeld 2: Als u uitgaande toegang toestaat voor al uw gebruikers (of specifieke gebruikers of groepen), kunt u niet alle toegang tot externe toepassingen blokkeren. Toegang tot ten minste één toepassing moet zijn toegestaan.
Als u B2B direct verbinding wilt laten maken met een externe organisatie en uw beleid voor voorwaardelijke toegang MFA vereist, moet u uw vertrouwensinstellingen configureren om MFA-claims van de externe organisatie te accepteren.
Als u standaard de toegang tot alle apps blokkeert, kunnen gebruikers geen e-mailberichten lezen die zijn versleuteld met Microsoft Rights Management Service, ook wel bekend als Office 365 Message Encryption (OME). U kunt dit probleem voorkomen door de uitgaande instellingen te configureren zodat uw gebruikers toegang hebben tot deze app-id: 00000012-0000-0000-c000-00000000000000. Als u alleen deze toepassing toestaat, wordt de toegang tot alle andere apps standaard geblokkeerd.
Aangepaste rollen voor het beheren van toegangsinstellingen voor meerdere tenants
U kunt aangepaste rollen maken om toegangsinstellingen voor meerdere tenants te beheren. Meer informatie over de aanbevolen aangepaste rollen vindt u hier.
Beheeracties voor toegang tussen tenants beveiligen
Acties die de toegangsinstellingen voor meerdere tenants wijzigen, worden beschouwd als beveiligde acties en kunnen ook worden beveiligd met beleid voor voorwaardelijke toegang. Zie beveiligde acties voor meer informatie over configuratiestappen.
Binnenkomende en uitgaande aanmeldingen identificeren
Er zijn verschillende hulpprogramma's beschikbaar waarmee u de toegang kunt identificeren die uw gebruikers en partners nodig hebben voordat u instellingen voor binnenkomende en uitgaande toegang instelt. Om ervoor te zorgen dat u de toegang die uw gebruikers en partners nodig hebben niet verwijdert, moet u het huidige aanmeldingsgedrag onderzoeken. Als u deze voorbereidende stap uitvoert, voorkomt u verlies van gewenste toegang voor uw eindgebruikers en partnergebruikers. In sommige gevallen worden deze logboeken echter slechts 30 dagen bewaard, dus we raden u ten zeerste aan om te spreken met uw zakelijke belanghebbenden om ervoor te zorgen dat de vereiste toegang niet verloren gaat.
Werktuig | Methode |
---|---|
PowerShell-script voor aanmeldingsactiviteit tussen tenants | Als u de aanmeldingsactiviteit van gebruikers wilt controleren die is gekoppeld aan externe organisaties, gebruikt u het PowerShell-script voor aanmeldingsactiviteiten voor meerdere tenants vanuit msIdentityTools. |
PowerShell-script voor aanmeldingslogboeken | Gebruik de cmdlet Get-MgAuditLogSignIn om de toegang van uw gebruikers tot externe Microsoft Entra-organisaties te bepalen. |
Azure Monitor | Als uw organisatie zich abonneert op de Azure Monitor-service, gebruikt u de werkmap voor toegangsactiviteiten tussen tenants. |
SIEM-systemen (Security Information and Event Management) | Als uw organisatie aanmeldingslogboeken exporteert naar een SIEM-systeem (Security Information and Event Management), kunt u de vereiste gegevens ophalen uit uw SIEM-systeem. |
Wijzigingen in toegangsinstellingen voor meerdere tenants identificeren
In de Auditlogboeken van Microsoft Entra worden alle activiteiten vastgelegd rond wijzigingen in de instelling voor toegang tussen tenants en activiteiten. Als u wijzigingen in uw instellingen voor toegang tussen tenants wilt controleren, gebruikt u de categorie CrossTenantAccessSettings om alle activiteiten te filteren om wijzigingen in instellingen voor toegang tussen tenants weer te geven.
Volgende stappen
Toegangsinstellingen voor meerdere tenants configureren voor B2B-samenwerking
Instellingen voor toegang tussen tenants configureren voor B2B-directe verbinding