Omówienie: dostęp między dzierżawami za pomocą Tożsamość zewnętrzna Microsoft Entra
Organizacje firmy Microsoft Entra mogą używać ustawień dostępu między dzierżawami identyfikatorów zewnętrznych, aby zarządzać sposobem współpracy z innymi organizacjami firmy Microsoft Entra i innymi chmurami platformy Microsoft Azure za pośrednictwem współpracy B2B i bezpośredniego połączenia B2B. Ustawienia dostępu między dzierżawami zapewniają szczegółową kontrolę nad sposobem współpracy zewnętrznych organizacji firmy Microsoft Entra z Tobą (dostęp przychodzący) oraz współpracy użytkowników z zewnętrznymi organizacjami firmy Microsoft Entra (dostęp wychodzący). Te ustawienia umożliwiają również zaufanie do uwierzytelniania wieloskładnikowego (MFA) i oświadczeń urządzeń (zgodnych oświadczeń i oświadczeń dołączonych hybrydowych firmy Microsoft Entra) z innych organizacji firmy Microsoft Entra.
W tym artykule opisano ustawienia dostępu między dzierżawami, które służą do zarządzania funkcją współpracy B2B i bezpośredniego łączenia B2B z zewnętrznymi organizacjami firmy Microsoft Entra, w tym w chmurach firmy Microsoft. Więcej ustawień jest dostępnych na potrzeby współpracy B2B z tożsamościami firm innych niż Microsoft (na przykład tożsamościami społecznościowymi lub kontami zewnętrznymi niezarządzanymi przez it). Te ustawienia współpracy zewnętrznej obejmują opcje ograniczania dostępu użytkowników-gości, określania, kto może zapraszać gości i zezwalać na domeny lub blokować je.
Ważne
Firma Microsoft zaczęła przenosić klientów przy użyciu ustawień dostępu między dzierżawami do nowego modelu magazynu 30 sierpnia 2023 r. Możesz zauważyć wpis w dziennikach inspekcji informujący o tym, że ustawienia dostępu między dzierżawami zostały zaktualizowane w miarę migrowania ustawień przez nasze automatyczne zadanie. W krótkim oknie podczas procesów migracji nie będzie można wprowadzać zmian w ustawieniach. Jeśli nie możesz wprowadzić zmiany, zaczekaj chwilę i spróbuj ponownie wprowadzić zmianę. Po zakończeniu migracji nie będzie już ograniczona 25 kb miejsca do magazynowania i nie będzie więcej limitów liczby partnerów, które można dodać.
Zarządzanie dostępem zewnętrznym przy użyciu ustawień ruchu przychodzącego i wychodzącego
Ustawienia dostępu między dzierżawami umożliwiają zarządzanie sposobem współpracy z innymi organizacjami firmy Microsoft Entra. Te ustawienia określają zarówno poziom dostępu przychodzącego użytkowników w zewnętrznych organizacjach firmy Microsoft Entra do zasobów, jak i poziom dostępu wychodzącego użytkowników do organizacji zewnętrznych.
Na poniższym diagramie przedstawiono ustawienia ruchu przychodzącego i wychodzącego dostępu między dzierżawami. Dzierżawa usługi Resource Microsoft Entra to dzierżawa zawierająca zasoby, które mają być współużytkowane. W przypadku współpracy B2B dzierżawa zasobów jest dzierżawą zapraszania (na przykład dzierżawą firmową, w której chcesz zaprosić użytkowników zewnętrznych). Główna dzierżawa firmy Microsoft Entra użytkownika to dzierżawa , w której są zarządzani użytkownicy zewnętrzni.
Domyślnie współpraca B2B z innymi organizacjami firmy Microsoft Entra jest włączona, a bezpośrednie połączenie B2B jest blokowane. Jednak następujące kompleksowe ustawienia administratora umożliwiają zarządzanie obydwoma tymi funkcjami.
Ustawienia dostępu wychodzącego określają, czy użytkownicy mogą uzyskiwać dostęp do zasobów w organizacji zewnętrznej. Te ustawienia można zastosować do wszystkich użytkowników lub określić poszczególnych użytkowników, grup i aplikacji.
Ustawienia dostępu przychodzącego określają, czy użytkownicy z zewnętrznych organizacji firmy Microsoft Entra mogą uzyskiwać dostęp do zasobów w organizacji. Te ustawienia można zastosować do wszystkich użytkowników lub określić poszczególnych użytkowników, grup i aplikacji.
Ustawienia zaufania (przychodzące) określają, czy zasady dostępu warunkowego będą ufać uwierzytelnianiu wieloskładnikowemu, zgodnemu urządzeniu i oświadczeniam urządzeń dołączonych hybrydowych firmy Microsoft Entra z organizacji zewnętrznej, jeśli ich użytkownicy spełnili już te wymagania w dzierżawach domowych. Na przykład podczas konfigurowania ustawień zaufania w celu zaufania uwierzytelniania wieloskładnikowego zasady uwierzytelniania wieloskładnikowego są nadal stosowane do użytkowników zewnętrznych, ale użytkownicy, którzy już ukończyli uwierzytelnianie wieloskładnikowe w swoich dzierżawach domowych, nie będą musieli ponownie wykonywać uwierzytelniania wieloskładnikowego w dzierżawie.
Ustawienia domyślne
Domyślne ustawienia dostępu między dzierżawami dotyczą wszystkich organizacji firmy Microsoft spoza dzierżawy, z wyjątkiem tych, dla których skonfigurowano ustawienia organizacyjne. Możesz zmienić ustawienia domyślne, ale początkowe ustawienia domyślne współpracy B2B i połączenia bezpośredniego B2B są następujące:
Współpraca B2B: wszyscy użytkownicy wewnętrzni są domyślnie włączeni do współpracy B2B. To ustawienie oznacza, że użytkownicy mogą zapraszać gości zewnętrznych w celu uzyskania dostępu do zasobów i mogą być zapraszani do organizacji zewnętrznych jako goście. Oświadczenia uwierzytelniania wieloskładnikowego i urządzeń z innych organizacji firmy Microsoft Entra nie są zaufane.
Bezpośrednie połączenie B2B: domyślnie nie są ustanawiane żadne relacje zaufania połączenia bezpośredniego B2B. Identyfikator entra firmy Microsoft blokuje wszystkie możliwości połączeń przychodzących i wychodzących B2B dla wszystkich zewnętrznych dzierżaw firmy Microsoft Entra.
Ustawienia organizacyjne: domyślnie żadne organizacje nie są dodawane do ustawień organizacyjnych. Oznacza to, że wszystkie zewnętrzne organizacje firmy Microsoft Entra są włączone na potrzeby współpracy B2B z twoją organizacją.
Synchronizacja między dzierżawami: żadni użytkownicy z innych dzierżaw nie są synchronizowani z dzierżawą z synchronizacją między dzierżawami.
Opisane powyżej zachowania dotyczą współpracy B2B z innymi dzierżawami firmy Microsoft Entra w tej samej chmurze platformy Microsoft Azure. W scenariuszach obejmujących wiele chmur ustawienia domyślne działają nieco inaczej. Zobacz Ustawienia chmury firmy Microsoft w dalszej części tego artykułu.
Ustawienia organizacyjne
Ustawienia specyficzne dla organizacji można skonfigurować, dodając organizację i modyfikując ustawienia ruchu przychodzącego i wychodzącego dla tej organizacji. Ustawienia organizacyjne mają pierwszeństwo przed ustawieniami domyślnymi.
Współpraca B2B: W przypadku współpracy B2B z innymi organizacjami firmy Microsoft Entra użyj ustawień dostępu między dzierżawami, aby zarządzać funkcją współpracy B2B dla ruchu przychodzącego i wychodzącego oraz zakresu dostępu do określonych użytkowników, grup i aplikacji. Możesz ustawić domyślną konfigurację, która ma zastosowanie do wszystkich organizacji zewnętrznych, a następnie w razie potrzeby utworzyć indywidualne ustawienia specyficzne dla organizacji. Za pomocą ustawień dostępu między dzierżawami można również ufać oświadczeniami wieloskładnikowymi (MFA) i urządzeniami (zgodnymi oświadczeniami i oświadczeniami dołączonymi hybrydowo firmy Microsoft Entra) z innych organizacji firmy Microsoft Entra.
Napiwek
Zalecamy wykluczenie użytkowników zewnętrznych z zasad rejestracji uwierzytelniania wieloskładnikowego usługi Identity Protection, jeśli zamierzasz ufać uwierzytelnianie wieloskładnikowe dla użytkowników zewnętrznych. Gdy obie zasady są obecne, użytkownicy zewnętrzni nie będą mogli spełnić wymagań dotyczących dostępu.
Bezpośrednie połączenie B2B: w przypadku połączenia bezpośredniego B2B użyj ustawień organizacyjnych, aby skonfigurować relację wzajemnego zaufania z inną organizacją firmy Microsoft Entra. Zarówno organizacja, jak i organizacja zewnętrzna muszą wzajemnie włączać bezpośrednie połączenie B2B, konfigurując ustawienia dostępu przychodzącego i wychodzącego między dzierżawami.
Możesz użyć ustawień współpracy zewnętrznej, aby ograniczyć, kto może zapraszać użytkowników zewnętrznych, zezwalać na domeny specyficzne dla usługi B2B lub blokować je oraz ustawiać ograniczenia dostępu użytkowników-gości do katalogu.
Ustawienie automatycznego wykupu
Ustawienie automatycznego realizacji jest ustawieniem zaufania organizacji dla ruchu przychodzącego i wychodzącego, aby automatycznie zrealizować zaproszenia, dzięki czemu użytkownicy nie muszą akceptować monitu o wyrażenie zgody przy pierwszym uzyskiwaniu dostępu do dzierżawy zasobu/celu. To ustawienie jest polem wyboru o następującej nazwie:
- Automatyczne realizowanie zaproszeń w dzierżawie dzierżawy<>
Porównanie ustawień dla różnych scenariuszy
Ustawienie automatycznego realizacji dotyczy synchronizacji między dzierżawami, współpracy B2B i bezpośredniego połączenia B2B w następujących sytuacjach:
- Po utworzeniu użytkowników w dzierżawie docelowej przy użyciu synchronizacji między dzierżawami.
- Gdy użytkownicy są dodawani do dzierżawy zasobów przy użyciu współpracy B2B.
- Gdy użytkownicy uzyskują dostęp do zasobów w dzierżawie zasobów przy użyciu bezpośredniego połączenia B2B.
W poniższej tabeli pokazano, jak to ustawienie jest porównywane w przypadku włączenia dla tych scenariuszy:
| Towar | Synchronizacja między dzierżawami | Współpraca B2B | Bezpośrednie połączenie B2B |
|---|---|---|---|
| Ustawienie automatycznego wykupu | Wymagania | Opcjonalnie | Opcjonalnie |
| Użytkownicy otrzymują wiadomość e-mail z zaproszeniem do współpracy B2B | Nie | Nie | Nie dotyczy |
| Użytkownicy muszą zaakceptować monit o wyrażenie zgody | Nie | Nie. | Nie. |
| Użytkownicy otrzymują wiadomość e-mail z powiadomieniem o współpracy B2B | Nie. | Tak | Nie dotyczy |
To ustawienie nie ma wpływu na środowiska zgody aplikacji. Aby uzyskać więcej informacji, zobacz Środowisko wyrażania zgody dla aplikacji w usłudze Microsoft Entra ID. To ustawienie nie jest obsługiwane w przypadku organizacji w różnych środowiskach chmury firmy Microsoft, takich jak platforma Azure komercyjna i platforma Azure Government.
Kiedy monit o wyrażenie zgody jest pomijany?
Ustawienie automatycznego realizacji spowoduje pominięcie monitu o wyrażenie zgody i wiadomości e-mail z zaproszeniem, jeśli to ustawienie sprawdza zarówno dzierżawa domowa/źródłowa (wychodząca), jak i dzierżawa/docelowa (ruch przychodzący).
W poniższej tabeli przedstawiono zachowanie monitu o wyrażenie zgody dla użytkowników dzierżawy źródłowej, gdy ustawienie automatycznego realizacji jest sprawdzane pod kątem różnych kombinacji ustawień dostępu między dzierżawami.
| Dzierżawa główna/źródłowa | Dzierżawa zasobów/docelowa | Zachowanie monitu o wyrażenie zgody dla użytkowników dzierżawy źródłowej |
|---|---|---|
| Wychodzące | Przychodzące | |
 |
|
Pomijane |
|
 |
Nie pominięto |
|
|
Nie pominięto |
|
|
Nie pominięto |
| Przychodzące | Wychodzące | |
|
|
Nie pominięto |
|
|
Nie pominięto |
|
|
Nie pominięto |
|
|
Nie pominięto |
Aby skonfigurować to ustawienie przy użyciu programu Microsoft Graph, zobacz interfejs API Update crossTenantAccessPolicyConfigurationPartner . Aby uzyskać informacje na temat tworzenia własnego środowiska dołączania, zobacz Menedżer zaproszeń do współpracy B2B.
Aby uzyskać więcej informacji, zobacz Konfigurowanie synchronizacji między dzierżawami, Konfigurowanie ustawień dostępu między dzierżawami na potrzeby współpracy B2B i Konfigurowanie ustawień dostępu między dzierżawami dla połączenia bezpośredniego B2B.
Możliwość skonfigurowania realizacji
Dzięki konfigurowalnemu wykupowi można dostosować kolejność dostawców tożsamości, za pomocą których użytkownicy-goście mogą się zalogować, gdy zaakceptują zaproszenie. Możesz włączyć tę funkcję i określić zamówienie realizacji na karcie Zamówienie realizacji.
Gdy użytkownik-gość wybierze link Akceptuj zaproszenie w wiadomości e-mail z zaproszeniem, identyfikator Entra firmy Microsoft automatycznie zrealizowa zaproszenie na podstawie domyślnego zamówienia realizacji. Po zmianie zamówienia dostawcy tożsamości na nowej karcie Zamówienie wykupu nowe zamówienie zastępuje domyślne zamówienie realizacji.
Na karcie Zamówienie realizacji znajdziesz zarówno podstawowych dostawców tożsamości, jak i rezerwowych dostawców tożsamości.
Dostawcy tożsamości podstawowej to dostawcy, którzy mają federacje z innymi źródłami uwierzytelniania. Rezerwowi dostawcy tożsamości to dostawcy, którzy są używane, gdy użytkownik nie jest zgodny z podstawowym dostawcą tożsamości.
Dostawcy rezerwowych tożsamości mogą być kontem Microsoft (MSA), jednorazowym kodem dostępu poczty e-mail lub obydwoma. Nie można wyłączyć obu rezerwowych dostawców tożsamości, ale można wyłączyć wszystkich podstawowych dostawców tożsamości i używać tylko rezerwowych dostawców tożsamości do opcji realizacji.
Poniżej przedstawiono znane ograniczenia dotyczące funkcji:
Jeśli użytkownik microsoft Entra ID, który ma istniejącą sesję logowania jednokrotnego (SSO), uwierzytelnia się przy użyciu jednorazowego kodu dostępu poczty e-mail (OTP), należy wybrać pozycję Użyj innego konta i ponownie wprowadzić nazwę użytkownika, aby wyzwolić przepływ OTP. W przeciwnym razie użytkownik otrzyma błąd wskazujący, że jego konto nie istnieje w dzierżawie zasobów.
Jeśli użytkownicy-goście mogą używać tylko jednorazowego kodu dostępu do wiadomości e-mail w celu realizacji zaproszenia, będą oni obecnie blokowani przy użyciu programu SharePoint. Jest to specyficzne dla użytkowników usługi Microsoft Entra ID korzystających z protokołu OTP. Nie ma to wpływu na wszystkich innych użytkowników.
W scenariuszach, w których użytkownik ma tę samą wiadomość e-mail zarówno w swoich kontach Microsoft Entra ID, jak i Microsoft, nawet po wyłączeniu konta Microsoft jako metody realizacji, użytkownik zostanie poproszony o wybranie między użyciem identyfikatora Microsoft Entra ID lub konta Microsoft. Jeśli wybierze konto Microsoft, będzie ono dozwolone jako opcja wykupu, nawet jeśli jest wyłączona.
Federacja bezpośrednia dla domen zweryfikowanych przez identyfikator entra firmy Microsoft
Federacja dostawcy tożsamości SAML/WS-Fed (federacja bezpośrednia) jest teraz obsługiwana dla domen zweryfikowanych przez identyfikator entra firmy Microsoft. Ta funkcja umożliwia skonfigurowanie federacji bezpośredniej z zewnętrznym dostawcą tożsamości dla domeny zweryfikowanej w usłudze Microsoft Entra.
Uwaga
Upewnij się, że domena nie została zweryfikowana w tej samej dzierżawie, w której próbujesz skonfigurować konfigurację federacji bezpośredniej. Po skonfigurowaniu federacji bezpośredniej można skonfigurować preferencje realizacji dzierżawy i przenieść dostawcę tożsamości SAML/WS-Fed za pośrednictwem identyfikatora Microsoft Entra za pomocą nowych konfigurowalnych ustawień dostępu między dzierżawami.
Gdy użytkownik-gość zrealizowa zaproszenie, zobaczy tradycyjny ekran zgody, a następnie zostanie przekierowany do strony Moje aplikacje. Jeśli przejdziesz do profilu użytkownika tej federacji bezpośredniej w dzierżawie zasobów, zauważysz, że użytkownik jest teraz zrealizowany z federacją zewnętrzną będącą wystawcą.
Uniemożliwianie użytkownikom B2B realizacji zaproszenia przy użyciu kont Microsoft
Możesz teraz uniemożliwić użytkownikom-gościom B2B realizowanie zaproszenia przy użyciu kont Microsoft. Oznacza to, że każdy nowy użytkownik-gość B2B użyje jednorazowego kodu dostępu e-mail jako rezerwowego dostawcy tożsamości i nie będzie mógł zrealizować zaproszenia przy użyciu istniejących kont Microsoft lub zostanie poproszony o utworzenie nowego konta Microsoft. Można to zrobić, wyłączając konta Microsoft w rezerwowym dostawcy tożsamości ustawienia zamówienia wykupu.
Należy pamiętać, że w danym momencie musi być włączony jeden rezerwowy dostawca tożsamości. Oznacza to, że jeśli chcesz wyłączyć konta Microsoft, musisz włączyć jednorazowy kod dostępu poczty e-mail. Wszyscy istniejący użytkownicy-goście zalogowani przy użyciu kont Microsoft będą nadal używać go podczas kolejnych logów. Aby to ustawienie było stosowane, należy zresetować ich stan realizacji.
Ustawienie synchronizacji między dzierżawami
Ustawienie synchronizacji między dzierżawami jest ustawieniem organizacyjnym tylko dla ruchu przychodzącego, aby umożliwić administratorowi dzierżawy źródłowej synchronizowanie użytkowników z dzierżawą docelową. To ustawienie jest polem wyboru o nazwie Zezwalaj użytkownikom na synchronizację z tą dzierżawą określoną w dzierżawie docelowej. To ustawienie nie ma wpływu na zaproszenia B2B utworzone za pośrednictwem innych procesów, takich jak ręczne zaproszenie lub zarządzanie upoważnieniami firmy Microsoft Entra.
Aby skonfigurować to ustawienie przy użyciu programu Microsoft Graph, zobacz interfejs API Update crossTenantIdentitySyncPolicyPartner . Aby uzyskać więcej informacji, zobacz Konfigurowanie synchronizacji między dzierżawami.
Ograniczenia dzierżawy
Za pomocą ustawień ograniczeń dzierżawy można kontrolować typy kont zewnętrznych, których użytkownicy mogą używać na zarządzanych urządzeniach, w tym:
- Konta utworzone przez użytkowników w nieznanych dzierżawach.
- Konta, które organizacje zewnętrzne przekazały użytkownikom, aby mogli uzyskiwać dostęp do zasobów tej organizacji.
Zalecamy skonfigurowanie ograniczeń dzierżawy w celu uniemożliwienia tego typu kont zewnętrznych i zamiast tego używania współpracy B2B. Współpraca B2B umożliwia:
- Użyj dostępu warunkowego i wymuś uwierzytelnianie wieloskładnikowe dla użytkowników współpracy B2B.
- Zarządzanie dostępem przychodzącym i wychodzącym.
- Kończenie sesji i poświadczeń w przypadku zmiany stanu zatrudnienia użytkownika współpracy B2B lub naruszenia ich poświadczeń.
- Użyj dzienników logowania, aby wyświetlić szczegółowe informacje o użytkowniku współpracy B2B.
Ograniczenia dzierżawy są niezależne od innych ustawień dostępu między dzierżawami, więc wszystkie skonfigurowane ustawienia ruchu przychodzącego, wychodzącego lub zaufania nie będą mieć wpływu na ograniczenia dzierżawy. Aby uzyskać szczegółowe informacje na temat konfigurowania ograniczeń dzierżawy, zobacz Konfigurowanie ograniczeń dzierżawy w wersji 2.
Ustawienia chmury firmy Microsoft
Ustawienia chmury firmy Microsoft umożliwiają współpracę z organizacjami z różnych chmur platformy Microsoft Azure. Za pomocą ustawień chmury firmy Microsoft można ustanowić wspólną współpracę B2B między następującymi chmurami:
- Chmura komercyjna platformy Microsoft Azure i platforma Microsoft Azure Government
- Chmura komercyjna platformy Microsoft Azure i platforma Microsoft Azure obsługiwana przez firmę 21Vianet (obsługiwana przez firmę 21Vianet)
Uwaga
Platforma Microsoft Azure Government obejmuje chmury Office GCC-High i DoD.
Aby skonfigurować współpracę B2B, obie organizacje konfigurują ustawienia chmury firmy Microsoft w celu włączenia chmury partnera. Następnie każda organizacja używa identyfikatora dzierżawy partnera, aby znaleźć i dodać partnera do ustawień organizacji. Z tego miejsca każda organizacja może zezwolić na stosowanie domyślnych ustawień dostępu między dzierżawami do partnera lub skonfigurować ustawienia ruchu przychodzącego i wychodzącego specyficzne dla partnera. Po ustanowieniu współpracy B2B z partnerem w innej chmurze będziesz mieć możliwość:
- Współpraca B2B umożliwia zapraszanie użytkownika w dzierżawie partnera w celu uzyskania dostępu do zasobów w organizacji, w tym aplikacji biznesowych, aplikacji SaaS i witryn usługi SharePoint Online, dokumentów i plików.
- Współpraca B2B umożliwia udostępnianie zawartości usługi Power BI użytkownikowi w dzierżawie partnera.
- Zastosuj zasady dostępu warunkowego do użytkownika współpracy B2B i zdecyduj się na zaufanie uwierzytelniania wieloskładnikowego lub oświadczeń urządzeń (zgodnych oświadczeń i oświadczeń dołączonych hybrydowych firmy Microsoft Entra) z dzierżawy macierzystej użytkownika.
Uwaga
Bezpośrednie połączenie B2B nie jest obsługiwane w przypadku współpracy z dzierżawami firmy Microsoft Entra w innej chmurze firmy Microsoft.
Aby uzyskać instrukcje konfiguracji, zobacz Konfigurowanie ustawień chmury firmy Microsoft na potrzeby współpracy B2B.
Ustawienia domyślne w scenariuszach obejmujących chmurę
Aby współpracować z dzierżawą partnerów w innej chmurze platformy Microsoft Azure, obie organizacje muszą wzajemnie włączyć współpracę B2B ze sobą. Pierwszym krokiem jest włączenie chmury partnera w ustawieniach między dzierżawami. Po pierwszym włączeniu innej chmury współpraca B2B jest blokowana dla wszystkich dzierżaw w tej chmurze. Musisz dodać dzierżawę, z którą chcesz współpracować z ustawieniami organizacji, a w tym momencie ustawienia domyślne będą obowiązywać tylko dla tej dzierżawy. Możesz zezwolić na zachowanie domyślnych ustawień lub zmodyfikować ustawienia organizacji dla dzierżawy.
Ważne uwagi
Ważne
Zmiana domyślnych ustawień ruchu przychodzącego lub wychodzącego w celu zablokowania dostępu może zablokować istniejący dostęp krytyczny dla działania firmy do aplikacji w organizacji lub organizacjach partnerskich. Pamiętaj, aby użyć narzędzi opisanych w tym artykule i skonsultować się z uczestnikami projektu biznesowego w celu zidentyfikowania wymaganego dostępu.
Aby skonfigurować ustawienia dostępu między dzierżawami w witrynie Azure Portal, musisz mieć konto z zdefiniowanym administratorem globalnym Administracja istratorem, Administracja istratorem zabezpieczeń lub rolą niestandardową.
Aby skonfigurować ustawienia zaufania lub zastosować ustawienia dostępu do określonych użytkowników, grup lub aplikacji, musisz mieć licencję Microsoft Entra ID P1. Licencja jest wymagana w skonfigurowanej dzierżawie. W przypadku połączenia bezpośredniego B2B, w którym wymagana jest relacja wzajemnego zaufania z inną organizacją firmy Microsoft Entra, musisz mieć licencję Microsoft Entra ID P1 w obu dzierżawach.
Ustawienia dostępu między dzierżawami służą do zarządzania współpracą B2B i bezpośrednim połączeniem B2B z innymi organizacjami firmy Microsoft Entra. W przypadku współpracy B2B z tożsamościami firm innych niż Microsoft (na przykład tożsamościami społecznościowymi lub kontami zewnętrznymi niezarządzanymi przez it) użyj ustawień współpracy zewnętrznej. Ustawienia współpracy zewnętrznej obejmują opcje współpracy B2B dotyczące ograniczania dostępu użytkowników-gości, określania, kto może zapraszać gości i zezwalać na domeny lub blokować je.
Jeśli chcesz zastosować ustawienia dostępu do określonych użytkowników, grup lub aplikacji w organizacji zewnętrznej, musisz skontaktować się z organizacją, aby uzyskać informacje przed skonfigurowaniem ustawień. Uzyskaj identyfikatory obiektów użytkownika, identyfikatory obiektów grupy lub identyfikatory aplikacji (identyfikatory aplikacji klienckiej lub identyfikatory aplikacji zasobów), aby umożliwić prawidłowe określanie ustawień.
Napiwek
Możesz znaleźć identyfikatory aplikacji dla aplikacji w organizacjach zewnętrznych, sprawdzając dzienniki logowania. Zobacz sekcję Identyfikowanie logów przychodzących i wychodzących .
Ustawienia dostępu skonfigurowane dla użytkowników i grup muszą być zgodne z ustawieniami dostępu dla aplikacji. Ustawienia powodujące konflikt nie są dozwolone i w przypadku próby ich skonfigurowania będą wyświetlane komunikaty ostrzegawcze.
Przykład 1: Jeśli zablokujesz dostęp przychodzący dla wszystkich użytkowników zewnętrznych i grup, dostęp do wszystkich aplikacji musi być również zablokowany.
Przykład 2: Jeśli zezwolisz na dostęp wychodzący dla wszystkich użytkowników (lub określonych użytkowników lub grup), uniemożliwisz zablokowanie dostępu do wszystkich aplikacji zewnętrznych; dostęp do co najmniej jednej aplikacji musi być dozwolony.
Jeśli chcesz zezwolić na bezpośrednie łączenie B2B z organizacją zewnętrzną, a zasady dostępu warunkowego wymagają uwierzytelniania wieloskładnikowego, musisz skonfigurować ustawienia zaufania, aby zasady dostępu warunkowego akceptowały oświadczenia uwierzytelniania wieloskładnikowego z organizacji zewnętrznej.
Jeśli domyślnie zablokujesz dostęp do wszystkich aplikacji, użytkownicy nie będą mogli odczytywać wiadomości e-mail zaszyfrowanych za pomocą usługi Microsoft Rights Management (nazywanej również szyfrowaniem komunikatów usługi Office 365 lub OME). Aby uniknąć tego problemu, zalecamy skonfigurowanie ustawień ruchu wychodzącego, aby umożliwić użytkownikom dostęp do tego identyfikatora aplikacji: 00000012-0000-0000-c000-000000000000000000000. Jeśli jest to jedyna dozwolona aplikacja, dostęp do wszystkich innych aplikacji zostanie domyślnie zablokowany.
Role niestandardowe do zarządzania ustawieniami dostępu między dzierżawami
Ustawienia dostępu między dzierżawami można zarządzać za pomocą ról niestandardowych zdefiniowanych przez organizację. Dzięki temu można zdefiniować własne precyzyjne role, aby zarządzać ustawieniami dostępu między dzierżawami zamiast używać jednej z wbudowanych ról do zarządzania. Twoja organizacja może definiować role niestandardowe do zarządzania ustawieniami dostępu między dzierżawami. Umożliwia to tworzenie własnych ról o określonym zakresie w celu zarządzania ustawieniami dostępu między dzierżawami zamiast używania wbudowanych ról do zarządzania.
Zalecane role niestandardowe
Administrator dostępu między dzierżawami
Ta rola może zarządzać wszystkimi ustawieniami dostępu między dzierżawami, w tym ustawieniami domyślnymi i organizacyjnymi. Ta rola powinna być przypisana do użytkowników, którzy muszą zarządzać wszystkimi ustawieniami w ustawieniach dostępu między dzierżawami.
Poniżej znajduje się lista zalecanych akcji dla tej roli.
| Akcje |
|---|
| microsoft.directory.tenantRelationships/standard/read |
| microsoft.directory/crossTenantAccessPolicy/standard/read |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update |
| microsoft.directory/crossTenantAccessPolicy/basic/update |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirect Połączenie/update |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect Połączenie/update |
| microsoft.directory/crossTenantAccessPolicy/partners/create |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update |
| microsoft.directory/crossTenantAccessPolicy/partners/delete |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update |
Czytelnik dostępu między dzierżawami
Ta rola może odczytywać wszystkie elementy w ustawieniach dostępu między dzierżawami, w tym ustawienia domyślne i organizacyjne. Ta rola powinna być przypisana do użytkowników, którzy muszą przeglądać tylko ustawienia w ustawieniach dostępu między dzierżawami, ale nie zarządzać nimi.
Poniżej znajduje się lista zalecanych akcji dla tej roli.
| Akcje |
|---|
| microsoft.directory.tenantRelationships/standard/read |
| microsoft.directory/crossTenantAccessPolicy/standard/read |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
Administrator partnera dostępu między dzierżawami
Ta rola może zarządzać wszystkimi elementami związanymi z partnerami i odczytywać ustawienia domyślne. Ta rola powinna być przypisana do użytkowników, którzy muszą zarządzać ustawieniami organizacji, ale nie mogą zmieniać ustawień domyślnych.
Poniżej znajduje się lista zalecanych akcji dla tej roli.
| Akcje |
|---|
| microsoft.directory.tenantRelationships/standard/read |
| microsoft.directory/crossTenantAccessPolicy/standard/read |
| microsoft.directory/crossTenantAccessPolicy/basic/update |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect Połączenie/update |
| microsoft.directory/crossTenantAccessPolicy/partners/create |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update |
| microsoft.directory/crossTenantAccessPolicy/partners/delete |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update |
Ochrona akcji administracyjnych dotyczących dostępu między dzierżawami
Wszelkie akcje modyfikujące ustawienia dostępu między dzierżawami są traktowane jako akcje chronione i mogą być dodatkowo chronione za pomocą zasad dostępu warunkowego. Aby uzyskać więcej informacji i kroków konfiguracji, zobacz chronione akcje.
Identyfikowanie logów przychodzących i wychodzących
Dostępnych jest kilka narzędzi, które ułatwiają identyfikowanie dostępu użytkowników i partnerów potrzebnych przed ustawieniem ustawień dostępu przychodzącego i wychodzącego. Aby upewnić się, że nie usuniesz dostępu, którego potrzebują użytkownicy i partnerzy, sprawdź bieżące zachowanie logowania. Wykonanie tego wstępnego kroku pomoże zapobiec utracie żądanego dostępu dla użytkowników końcowych i użytkowników partnerskich. Jednak w niektórych przypadkach te dzienniki są przechowywane tylko przez 30 dni, dlatego zdecydowanie zalecamy rozmowę z uczestnikami projektu biznesowego w celu zapewnienia, że wymagany dostęp nie zostanie utracony.
Skrypt programu PowerShell działania logowania między dzierżawami
Aby przejrzeć działanie logowania użytkownika skojarzone z dzierżawami zewnętrznymi, użyj skryptu programu PowerShell dla logowania między dzierżawami. Aby na przykład wyświetlić wszystkie dostępne zdarzenia logowania dla działań przychodzących (użytkownicy zewnętrzni uzyskują dostęp do zasobów w dzierżawie lokalnej) i aktywność ruchu wychodzącego (użytkownicy lokalni uzyskują dostęp do zasobów w dzierżawie zewnętrznej), uruchom następujące polecenie:
Get-MSIDCrossTenantAccessActivity -SummaryStats -ResolveTenantId
Dane wyjściowe to podsumowanie wszystkich dostępnych zdarzeń logowania dla działań przychodzących i wychodzących wymienionych według zewnętrznego identyfikatora dzierżawy i zewnętrznej nazwy dzierżawy.
Dzienniki logowania skrypt programu PowerShell
Aby określić dostęp użytkowników do zewnętrznych organizacji firmy Microsoft Entra, użyj polecenia cmdlet Get-MgAuditLogSignIn w zestawie SDK programu PowerShell programu Microsoft Graph, aby wyświetlić dane z dzienników logowania z ostatnich 30 dni. Na przykład uruchom następujące polecenie:
#Initial connection
Connect-MgGraph -Scopes "AuditLog.Read.All"
Select-MgProfile -Name "beta"
#Get external access
$TenantId = "<replace-with-your-tenant-ID>"
Get-MgAuditLogSignIn -Filter "ResourceTenantId ne '$TenantID'" -All:$True |
Group-Object ResourceTenantId,AppDisplayName,UserPrincipalName |
Select-Object count,@{n='Ext TenantID/App User Pair';e={$_.name}}
Dane wyjściowe to lista logów wychodzących inicjowanych przez użytkowników do aplikacji w dzierżawach zewnętrznych.
Azure Monitor
Jeśli Twoja organizacja subskrybuje usługę Azure Monitor, użyj skoroszytu działań dostępu między dzierżawami (dostępnego w galerii skoroszytów monitorowania w witrynie Azure Portal), aby wizualnie eksplorować logowania przychodzące i wychodzące przez dłuższy czas.
Systemy zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM)
Jeśli organizacja eksportuje dzienniki logowania do systemu zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), możesz pobrać wymagane informacje z systemu SIEM.
Identyfikowanie zmian ustawień dostępu między dzierżawami
Dzienniki inspekcji firmy Microsoft Entra przechwytują wszystkie działania związane ze zmianami i działaniami dotyczącymi ustawień dostępu między dzierżawami. Aby przeprowadzić inspekcję zmian w ustawieniach dostępu między dzierżawami, użyj kategoriiCrossTenantAccess Ustawienia aby przefiltrować wszystkie działania, aby wyświetlić zmiany ustawień dostępu między dzierżawami.
Następne kroki
Konfigurowanie ustawień dostępu między dzierżawami na potrzeby współpracyB2B Konfigurowanie ustawień dostępu między dzierżawami dla połączeń bezpośrednich B2B