Konfigurowanie ustawień dostępu między dzierżawami na potrzeby współpracy B2B

Użyj ustawień dostępu między dzierżawami zewnętrznych tożsamości, aby zarządzać sposobem współpracy z innymi organizacjami firmy Microsoft Entra za pośrednictwem współpracy B2B. Te ustawienia określają zarówno poziom dostępu przychodzącego użytkowników w zewnętrznych organizacjach firmy Microsoft Entra do zasobów, jak i poziom dostępu wychodzącego użytkowników do organizacji zewnętrznych. Umożliwiają one również zaufanie do uwierzytelniania wieloskładnikowego (MFA) i oświadczeń urządzeń (zgodnych oświadczeń i oświadczeń dołączonych hybrydowych firmy Microsoft Entra) z innych organizacji firmy Microsoft Entra. Aby uzyskać szczegółowe informacje i zagadnienia dotyczące planowania, zobacz Dostęp między dzierżawami w Tożsamość zewnętrzna Microsoft Entra.

Ważne

Firma Microsoft zaczyna przenosić klientów przy użyciu ustawień dostępu między dzierżawami do nowego modelu magazynu 30 sierpnia 2023 r. Możesz zauważyć wpis w dziennikach inspekcji informujący o tym, że ustawienia dostępu między dzierżawami zostały zaktualizowane w miarę migrowania ustawień przez nasze automatyczne zadanie. W przypadku krótkiego okna podczas procesów migracji nie będzie można wprowadzać zmian w ustawieniach. Jeśli nie możesz wprowadzić zmiany, poczekaj chwilę i spróbuj ponownie wprowadzić zmianę. Po zakończeniu migracji nie będzie już ograniczona do 25 kb miejsca do magazynowania i nie będzie więcej limitów liczby partnerów, które można dodać.

Zanim rozpoczniesz

Uwaga

Zmiana domyślnych ustawień ruchu przychodzącego lub wychodzącego na Wartość Blokuj dostęp może zablokować istniejący dostęp krytyczny dla działania firmy do aplikacji w organizacji lub organizacjach partnerskich. Pamiętaj, aby użyć narzędzi opisanych w artykule Dostęp między dzierżawami w Tożsamość zewnętrzna Microsoft Entra i skonsultować się z osobami biorącymi udział w projekcie biznesowym, aby zidentyfikować wymagany dostęp.

  • Przed skonfigurowaniem ustawień dostępu między dzierżawami zapoznaj się z sekcją Ważne zagadnienia w przeglądzie dostępu między dzierżawami.
  • Skorzystaj z narzędzi i postępuj zgodnie z zaleceniami w temacie Identyfikowanie logowania przychodzącego i wychodzącego, aby zrozumieć, do których zewnętrznych organizacji i zasobów firmy Microsoft są obecnie dostępni użytkownicy.
  • Zdecyduj o domyślnym poziomie dostępu, który chcesz zastosować do wszystkich zewnętrznych organizacji firmy Microsoft Entra.
  • Zidentyfikuj wszystkie organizacje firmy Microsoft Entra, które wymagają dostosowanych ustawień, aby można było skonfigurować dla nich ustawienia organizacyjne.
  • Jeśli chcesz zastosować ustawienia dostępu do określonych użytkowników, grup lub aplikacji w organizacji zewnętrznej, musisz skontaktować się z organizacją, aby uzyskać informacje przed skonfigurowaniem ustawień. Uzyskaj identyfikatory obiektów użytkownika, identyfikatory obiektów grupy lub identyfikatory aplikacji (identyfikatory aplikacji klienckiej lub identyfikatory aplikacji zasobów), aby umożliwić prawidłowe określanie ustawień.
  • Jeśli chcesz skonfigurować współpracę B2B z organizacją partnerów w zewnętrznej chmurze platformy Microsoft Azure, wykonaj kroki opisane w temacie Konfigurowanie ustawień chmury firmy Microsoft. Administrator w organizacji partnerskiej musi wykonać to samo dla dzierżawy.
  • Ustawienia listy dozwolonych/zablokowanych i dostępu między dzierżawami są sprawdzane w momencie zaproszenia. Jeśli domena użytkownika znajduje się na liście dozwolonych, można je zaprosić, chyba że domena zostanie jawnie zablokowana w ustawieniach dostępu między dzierżawami. Jeśli domena użytkownika znajduje się na liście zablokowanych, nie można ich zaprosić niezależnie od ustawień dostępu między dzierżawami. Jeśli użytkownik nie znajduje się na żadnej liście, sprawdzamy ustawienia dostępu między dzierżawami, aby określić, czy można je zaprosić.

Konfiguruj ustawienia domyślne

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Domyślne ustawienia dostępu między dzierżawami mają zastosowanie do wszystkich dzierżaw zewnętrznych, dla których nie utworzono dostosowanych ustawień specyficznych dla organizacji. Jeśli chcesz zmodyfikować ustawienia domyślne podane przez identyfikator entra firmy Microsoft, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zabezpieczeń.

  2. Przejdź do pozycji Identity External Identities Cross-tenant access settings (Tożsamości zewnętrzne tożsamości>między dzierżawami>), a następnie wybierz pozycję Cross-tenant access settings (Ustawienia dostępu między dzierżawami).

  3. Wybierz kartę Ustawienia domyślne i przejrzyj stronę podsumowania.

    Screenshot showing the Cross-tenant access settings Default settings tab.

  4. Aby zmienić ustawienia, wybierz link Edytuj wartości domyślne dla ruchu przychodzącego lub link Edytuj wartości domyślne dla ruchu wychodzącego .

    Screenshot showing edit buttons for Default settings.

  5. Zmodyfikuj ustawienia domyślne, wykonując szczegółowe kroki opisane w poniższych sekcjach:

Dodawanie organizacji

Wykonaj następujące kroki, aby skonfigurować dostosowane ustawienia dla określonych organizacji.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zabezpieczeń.

  2. Przejdź do pozycji Tożsamość>Tożsamości zewnętrzne tożsamości Między dzierżawami>ustawienia dostępu, a następnie wybierz pozycję Ustawienia organizacyjne.

  3. Wybierz pozycję Dodaj organizację.

  4. W okienku Dodawanie organizacji wpisz pełną nazwę domeny (lub identyfikator dzierżawy) dla organizacji.

    Screenshot showing adding an organization.

  5. Wybierz organizację w wynikach wyszukiwania, a następnie wybierz pozycję Dodaj.

  6. Organizacja zostanie wyświetlona na liście Ustawienia organizacyjne. W tym momencie wszystkie ustawienia dostępu dla tej organizacji są dziedziczone z ustawień domyślnych. Aby zmienić ustawienia dla tej organizacji, wybierz link Dziedziczony od domyślnego w kolumnie Dostęp przychodzący lub Dostęp wychodzący.

    Screenshot showing an organization added with default settings.

  7. Zmodyfikuj ustawienia organizacji, wykonując szczegółowe kroki opisane w poniższych sekcjach:

Modyfikowanie ustawień dostępu przychodzącego

W przypadku ustawień ruchu przychodzącego można wybrać, którzy zewnętrzni użytkownicy i grupy mogą uzyskiwać dostęp do wybranych aplikacji wewnętrznych. Niezależnie od tego, czy konfigurujesz ustawienia domyślne, czy ustawienia specyficzne dla organizacji, kroki zmiany ustawień dostępu przychodzącego między dzierżawami są takie same. Zgodnie z opisem w tej sekcji przejdź do karty Domyślne lub organizacji na karcie Ustawienia organizacyjne, a następnie wprowadź zmiany.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zabezpieczeń.

  2. Przejdź do pozycji Identity External Identities Cross-tenant access settings (Tożsamości zewnętrzne tożsamości między dzierżawami) settings (Ustawienia> dostępu między dzierżawami).>

  3. Przejdź do ustawień, które chcesz zmodyfikować:

    • Ustawienia domyślne: Aby zmodyfikować domyślne ustawienia ruchu przychodzącego, wybierz kartę Ustawienia domyślne , a następnie w obszarze Ustawienia dostępu przychodzącego wybierz pozycję Edytuj wartości domyślne dla ruchu przychodzącego.
    • Ustawienia organizacyjne: aby zmodyfikować ustawienia dla określonej organizacji, wybierz kartę Ustawienia organizacyjne, znajdź organizację na liście (lub dodaj ją), a następnie wybierz link w kolumnie Dostęp przychodzący.
  4. Postępuj zgodnie ze szczegółowymi instrukcjami dotyczącymi ustawień ruchu przychodzącego, które chcesz zmienić:

Aby zmienić ustawienia współpracy B2B dla ruchu przychodzącego

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zabezpieczeń.

  2. Przejdź do ustawień tożsamości>zewnętrznych tożsamości między dzierżawami>, a następnie wybierz pozycję Ustawienia organizacyjne

  3. Wybierz link w kolumnie Dostęp przychodzący i kartę Współpraca B2B.

  4. Jeśli konfigurujesz ustawienia dostępu przychodzącego dla określonej organizacji, wybierz opcję:

    • Ustawienia domyślne: wybierz tę opcję, jeśli chcesz, aby organizacja korzystała z domyślnych ustawień ruchu przychodzącego (zgodnie z konfiguracją na karcie Ustawienia domyślne ). Jeśli niestandardowe ustawienia zostały już skonfigurowane dla tej organizacji, musisz wybrać pozycję Tak , aby potwierdzić, że wszystkie ustawienia mają zostać zastąpione przez ustawienia domyślne. Następnie wybierz pozycję Zapisz i pomiń pozostałe kroki opisane w tej procedurze.

    • Dostosuj ustawienia: wybierz tę opcję, jeśli chcesz dostosować ustawienia do wymuszania dla tej organizacji zamiast ustawień domyślnych. Wykonaj pozostałe kroki opisane w tej procedurze.

  5. Wybierz pozycję Zewnętrzni użytkownicy i grupy.

  6. W obszarze Stan dostępu wybierz jedną z następujących pozycji:

    • Zezwalaj na dostęp: umożliwia użytkownikom i grupom określonym w obszarze Dotyczy zaproszenia do współpracy B2B.
    • Blokuj dostęp: blokuje użytkowników i grupy określone w obszarze Dotyczy od zapraszania do współpracy B2B.

    Screenshot showing selecting the user access status for B2B collaboration.

  7. W obszarze Dotyczy wybierz jedną z następujących pozycji:

    • Wszyscy użytkownicy zewnętrzni i grupy: stosuje akcję wybraną w obszarze Stan dostępu do wszystkich użytkowników i grup zewnętrznych organizacji firmy Microsoft Entra.
    • Wybierz użytkowników zewnętrznych i grupy (wymaga subskrypcji Microsoft Entra ID P1 lub P2): Umożliwia zastosowanie akcji wybranej w obszarze Stan dostępu do określonych użytkowników i grup w organizacji zewnętrznej.

    Uwaga

    Jeśli zablokujesz dostęp dla wszystkich użytkowników zewnętrznych i grup, musisz również zablokować dostęp do wszystkich aplikacji wewnętrznych (na karcie Aplikacje ).

    Screenshot showing selecting the target users and groups.

  8. W przypadku wybrania opcji Wybierz zewnętrznych użytkowników i grup wykonaj następujące czynności dla każdego użytkownika lub grupy, którą chcesz dodać:

    • Wybierz pozycję Dodaj zewnętrznych użytkowników i grupy.
    • W okienku Dodawanie innych użytkowników i grup w polu wyszukiwania wpisz identyfikator obiektu użytkownika lub identyfikator obiektu grupy uzyskany z organizacji partnerskiej.
    • W menu obok pola wyszukiwania wybierz użytkownika lub grupę.
    • Wybierz Dodaj.

    Uwaga

    Nie można kierować użytkowników lub grup do ustawień domyślnych dla ruchu przychodzącego.

    Screenshot showing adding users and groups.

  9. Po zakończeniu dodawania użytkowników i grup wybierz pozycję Prześlij.

    Screenshot showing submitting users and groups.

  10. Wybierz kartę Aplikacje .

  11. W obszarze Stan dostępu wybierz jedną z następujących pozycji:

    • Zezwalaj na dostęp: umożliwia aplikacjom określonym w obszarze Dotyczy dostęp użytkowników współpracy B2B.
    • Blokuj dostęp: blokuje aplikacje określone w obszarze Dotyczy dostępu użytkowników współpracy B2B.

    Screenshot showing applications access status.

  12. W obszarze Dotyczy wybierz jedną z następujących pozycji:

    • Wszystkie aplikacje: stosuje akcję wybraną w obszarze Stan dostępu do wszystkich aplikacji.
    • Wybierz aplikacje (wymaga subskrypcji Microsoft Entra ID P1 lub P2): Umożliwia zastosowanie akcji wybranej w obszarze Stan dostępu do określonych aplikacji w organizacji.

    Uwaga

    Jeśli zablokujesz dostęp do wszystkich aplikacji, musisz również zablokować dostęp dla wszystkich użytkowników zewnętrznych i grup (na karcie Użytkownicy zewnętrzni i grupy ).

    Screenshot showing target applications.

  13. W przypadku wybrania pozycji Wybierz aplikacje wykonaj następujące czynności dla każdej aplikacji, którą chcesz dodać:

    • Wybierz pozycję Dodaj aplikacje firmy Microsoft lub Dodaj inne aplikacje.
    • W okienku Wybierz wpisz nazwę aplikacji lub identyfikator aplikacji ( identyfikator aplikacji klienckiej lub identyfikator aplikacji zasobu) w polu wyszukiwania. Następnie wybierz aplikację w wynikach wyszukiwania. Powtórz dla każdej aplikacji, którą chcesz dodać.
    • Po zakończeniu wybierania aplikacji wybierz pozycję Wybierz.

    Screenshot showing selecting applications.

  14. Wybierz pozycję Zapisz.

Dodawanie aplikacji Microsoft Administracja Portals do współpracy B2B

Nie można bezpośrednio dodać aplikacji Microsoft Administracja Portals do ustawień dostępu przychodzącego i wychodzącego między dzierżawami w centrum administracyjnym firmy Microsoft Entra. Możesz jednak dodać aplikacje wymienione poniżej indywidualnie przy użyciu interfejsu API programu Microsoft Graph.

Następujące aplikacje są częścią grupy aplikacji Microsoft Administracja Portals:

  • Azure Portal (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Microsoft Entra Administracja Center (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Portal usługi Microsoft 365 Defender (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Microsoft Intune Administracja Center (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Microsoft Purview Compliance Portal (80ccca67-54bd-44ab-8625-4b79c4dc7775)

Konfigurowanie zamówienia realizacji (wersja zapoznawcza)

Aby dostosować kolejność dostawców tożsamości, których użytkownicy-goście mogą używać do logowania się po zaakceptowaniu zaproszenia, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra przy użyciu konta globalnego Administracja istratora lub Administracja istratora zabezpieczeń. Następnie otwórz usługę Identity po lewej stronie.

  2. Wybierz pozycję Tożsamości>zewnętrzne Ustawienia dostępu między dzierżawami.

  3. W obszarze Ustawienia organizacyjne wybierz link w kolumnie Dostęp przychodzący i kartę Współpraca B2B.

  4. Wybierz kartę Zamówienie realizacji.

  5. Przenieś dostawców tożsamości w górę lub w dół, aby zmienić kolejność, w jakiej użytkownicy-goście mogą się zalogować po zaakceptowaniu zaproszenia. Możesz również zresetować zamówienie realizacji do ustawień domyślnych tutaj.

    Screenshot showing the redemption order tab.

  6. Wybierz pozycję Zapisz.

Możesz również dostosować zamówienie realizacji za pomocą interfejsu API programu Microsoft Graph.

  1. Otwórz Eksploratora programu Microsoft Graph.

  2. Zaloguj się przy użyciu konta globalnego Administracja istratora lub Administracja istratora zabezpieczeń w dzierżawie zasobów.

  3. Uruchom następujące zapytanie, aby uzyskać bieżące zamówienie realizacji:

    GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
    
  4. W tym przykładzie przeniesiemy federację SAML/WS-Fed IdP na początku zamówienia realizacji powyżej dostawcy tożsamości Firmy Microsoft Entra. Popraw ten sam identyfikator URI przy użyciu tej treści żądania:

    {
      "invitationRedemptionIdentityProviderConfiguration":
      {
      "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
      "fallbackIdentityProvider": "defaultConfiguredIdp "
      }
    }
    
  5. Aby sprawdzić, czy zmiany ponownie uruchom zapytanie GET.

  6. Aby zresetować zamówienie realizacji do ustawień domyślnych, uruchom następujące zapytanie:

       {
       "invitationRedemptionIdentityProviderConfiguration": {
       "primaryIdentityProviderPrecedenceOrder": [
       "azureActiveDirectory",
       "externalFederation",
       "socialIdentityProviders"
       ],
       "fallbackIdentityProvider": "defaultConfiguredIdp"
       }
       }
    

Federacja SAML/WS-Fed (federacja bezpośrednia) dla domen zweryfikowanych przez identyfikator entra firmy Microsoft (wersja zapoznawcza)

Teraz możesz dodać domenę zweryfikowaną przez entra ID firmy Microsoft, aby skonfigurować bezpośrednią relację federacji. Najpierw należy skonfigurować konfigurację federacji bezpośredniej w centrum administracyjnym lub za pośrednictwem interfejsu API. Upewnij się, że domena nie została zweryfikowana w tej samej dzierżawie. Po skonfigurowaniu konfiguracji można dostosować zamówienie realizacji. Dostawca tożsamości SAML/WS-Fed jest dodawany do zamówienia wykupu jako ostatni wpis. Możesz przenieść go w górę w zamówieniu realizacji, aby ustawić go powyżej dostawcy tożsamości Firmy Microsoft Entra.

Uniemożliwianie użytkownikom B2B realizacji zaproszenia przy użyciu kont Microsoft (wersja zapoznawcza)

Aby uniemożliwić użytkownikom-gościom B2B realizowanie zaproszenia przy użyciu istniejących kont Microsoft lub utworzenie nowego w celu zaakceptowania zaproszenia, wykonaj poniższe kroki.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra przy użyciu konta globalnego Administracja istratora lub Administracja istratora zabezpieczeń. Następnie otwórz usługę Identity po lewej stronie.

  2. Wybierz pozycję Tożsamości>zewnętrzne Ustawienia dostępu między dzierżawami.

  3. W obszarze Ustawienia organizacyjne wybierz link w kolumnie Dostęp przychodzący i kartę Współpraca B2B.

  4. Wybierz kartę Zamówienie realizacji.

  5. W obszarze Rezerwowi dostawcy tożsamości wyłącz konto usługi Microsoft (MSA).

    Screenshot of the fallback identity providers option.

  6. Wybierz pozycję Zapisz.

W danym momencie musi być włączony co najmniej jeden rezerwowy dostawca tożsamości. Jeśli chcesz wyłączyć konta Microsoft, musisz włączyć jednorazowy kod dostępu poczty e-mail. Nie można wyłączyć obu rezerwowych dostawców tożsamości. Wszyscy istniejący użytkownicy-goście zalogowani przy użyciu kont Microsoft nadal korzystają z niego podczas kolejnych logów. Aby to ustawienie było stosowane, należy zresetować ich stan realizacji.

Aby zmienić ustawienia zaufania dla ruchu przychodzącego dla uwierzytelniania wieloskładnikowego i oświadczeń urządzeń

  1. Wybierz kartę Ustawienia zaufania.

  2. (Ten krok dotyczy Tylko ustawienia organizacyjne). Jeśli konfigurujesz ustawienia dla organizacji, wybierz jedną z następujących opcji:

    • Ustawienia domyślne: Organizacja używa ustawień skonfigurowanych na karcie Ustawienia domyślne . Jeśli niestandardowe ustawienia zostały już skonfigurowane dla tej organizacji, wybierz pozycję Tak , aby potwierdzić, że wszystkie ustawienia mają zostać zastąpione przez ustawienia domyślne. Następnie wybierz pozycję Zapisz i pomiń pozostałe kroki opisane w tej procedurze.

    • Dostosuj ustawienia: możesz dostosować ustawienia, aby wymusić dla tej organizacji zamiast ustawień domyślnych. Wykonaj pozostałe kroki opisane w tej procedurze.

  3. Wybierz co najmniej jedną z następujących opcji:

    • Ufaj uwierzytelnianiu wieloskładnikowemu z dzierżaw firmy Microsoft Entra: zaznacz to pole wyboru, aby zezwolić zasadom dostępu warunkowego na zaufanie oświadczeń uwierzytelniania wieloskładnikowego z organizacji zewnętrznych. Podczas uwierzytelniania identyfikator Entra firmy Microsoft sprawdza poświadczenia użytkownika pod kątem oświadczenia, że użytkownik ukończył uwierzytelnianie wieloskładnikowe. Jeśli nie, wyzwanie uwierzytelniania wieloskładnikowego jest inicjowane w dzierżawie głównej użytkownika.

    • Urządzenia zgodne ze zgodnością zaufania: umożliwia zasadom dostępu warunkowego zaufanie oświadczeń zgodnych urządzeń z organizacji zewnętrznej, gdy ich użytkownicy uzyskują dostęp do zasobów.

    • Ufaj urządzeniom dołączonym hybrydowym firmy Microsoft Entra: umożliwia zasadom dostępu warunkowego zaufanie oświadczeń urządzeń dołączonych hybrydą firmy Microsoft Entra z organizacji zewnętrznej, gdy ich użytkownicy uzyskują dostęp do zasobów.

    Screenshot showing trust settings.

  4. (Ten krok dotyczy Tylko ustawienia organizacyjne). Zapoznaj się z opcją Automatycznego realizacji :

    • Automatyczne realizowanie zaproszeń w dzierżawie> dzierżawy<: sprawdź to ustawienie, jeśli chcesz automatycznie zrealizować zaproszenia. Jeśli tak, użytkownicy z określonej dzierżawy nie będą musieli akceptować monitu o wyrażenie zgody przy pierwszym uzyskiwaniu dostępu do tej dzierżawy przy użyciu synchronizacji między dzierżawami, współpracy B2B lub bezpośredniego połączenia B2B. To ustawienie pomija tylko monit o wyrażenie zgody, jeśli określona dzierżawa sprawdza również to ustawienie dla dostępu wychodzącego.

    Screenshot that shows the inbound Automatic redemption check box.

  5. Wybierz pozycję Zapisz.

Zezwalaj użytkownikom na synchronizację z tą dzierżawą

W przypadku wybrania opcji Dostęp przychodzący do dodanej organizacji zostanie wyświetlona karta Synchronizacja między dzierżawami i pole wyboru Zezwalaj użytkownikom na synchronizację z tą dzierżawą . Synchronizacja między dzierżawami to jednokierunkowa usługa synchronizacji w usłudze Microsoft Entra ID, która automatyzuje tworzenie, aktualizowanie i usuwanie użytkowników współpracy B2B między dzierżawami w organizacji. Aby uzyskać więcej informacji, zobacz Konfigurowanie synchronizacji między dzierżawami i dokumentacji organizacji wielodostępnych.

Screenshot that shows the Cross-tenant sync tab with the Allow users sync into this tenant check box.

Modyfikowanie ustawień dostępu wychodzącego

W przypadku ustawień ruchu wychodzącego możesz wybrać, którzy użytkownicy i grupy będą mogli uzyskiwać dostęp do wybranych aplikacji zewnętrznych. Niezależnie od tego, czy konfigurujesz ustawienia domyślne, czy ustawienia specyficzne dla organizacji, kroki zmiany ustawień dostępu między dzierżawami dla ruchu wychodzącego są takie same. Zgodnie z opisem w tej sekcji przejdź do karty Domyślne lub organizacji na karcie Ustawienia organizacyjne, a następnie wprowadź zmiany.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zabezpieczeń.

  2. Przejdź do pozycji Identity External Identities Cross-tenant access settings (Tożsamości zewnętrzne tożsamości między dzierżawami) settings (Ustawienia> dostępu między dzierżawami).>

  3. Przejdź do ustawień, które chcesz zmodyfikować:

    • Aby zmodyfikować domyślne ustawienia ruchu wychodzącego, wybierz kartę Ustawienia domyślne, a następnie w obszarze Ustawienia dostępu wychodzącego wybierz pozycję Edytuj wartości domyślne dla ruchu wychodzącego.

    • Aby zmodyfikować ustawienia dla określonej organizacji, wybierz kartę Ustawienia organizacyjne, znajdź organizację na liście (lub dodaj ją), a następnie wybierz link w kolumnie Dostęp wychodzący.

  4. Wybierz kartę Współpraca B2B.

  5. (Ten krok dotyczy Tylko ustawienia organizacyjne). Jeśli konfigurujesz ustawienia dla organizacji, wybierz opcję:

    • Ustawienia domyślne: Organizacja używa ustawień skonfigurowanych na karcie Ustawienia domyślne . Jeśli niestandardowe ustawienia zostały już skonfigurowane dla tej organizacji, musisz wybrać pozycję Tak , aby potwierdzić, że wszystkie ustawienia mają zostać zastąpione przez ustawienia domyślne. Następnie wybierz pozycję Zapisz i pomiń pozostałe kroki opisane w tej procedurze.

    • Dostosuj ustawienia: możesz dostosować ustawienia, aby wymusić dla tej organizacji zamiast ustawień domyślnych. Wykonaj pozostałe kroki opisane w tej procedurze.

  6. Wybierz pozycję Użytkownicy i grupy.

  7. W obszarze Stan dostępu wybierz jedną z następujących pozycji:

    • Zezwalaj na dostęp: umożliwia użytkownikom i grupom określonym w obszarze Dotyczy zapraszania do organizacji zewnętrznych na potrzeby współpracy B2B.
    • Blokuj dostęp: blokuje użytkowników i grupy określone w obszarze Dotyczy zaproszenia do współpracy B2B. Jeśli zablokujesz dostęp dla wszystkich użytkowników i grup, spowoduje to również zablokowanie dostępu do wszystkich aplikacji zewnętrznych za pośrednictwem współpracy B2B.

    Screenshot showing users and groups access status for b2b collaboration.

  8. W obszarze Dotyczy wybierz jedną z następujących pozycji:

    • Wszyscy <użytkownicy organizacji>: stosuje akcję wybraną w obszarze Stan dostępu do wszystkich użytkowników i grup.
    • Wybierz <użytkowników i grupy organizacji> (wymaga subskrypcji Microsoft Entra ID P1 lub P2): Umożliwia zastosowanie akcji wybranej w obszarze Stan dostępu do określonych użytkowników i grup.

    Uwaga

    Jeśli zablokujesz dostęp dla wszystkich użytkowników i grup, musisz również zablokować dostęp do wszystkich aplikacji zewnętrznych (na karcie Aplikacje zewnętrzne).

    Screenshot showing selecting the target users for b2b collaboration.

  9. W przypadku wybrania opcji Wybierz <użytkowników i grupy organizacji> wykonaj następujące czynności dla każdego użytkownika lub grupy, którą chcesz dodać:

    • Wybierz pozycję Dodaj <użytkowników i grupy organizacji>.
    • W okienku Wybierz wpisz nazwę użytkownika lub nazwę grupy w polu wyszukiwania.
    • Wybierz użytkownika lub grupę w wynikach wyszukiwania.
    • Po zakończeniu wybierania użytkowników i grup, które chcesz dodać, wybierz pozycję Wybierz.

    Uwaga

    W przypadku określania docelowych użytkowników i grup nie będzie można wybrać użytkowników, którzy skonfigurowali uwierzytelnianie oparte na wiadomościACH SMS. Dzieje się tak, ponieważ użytkownicy, którzy mają "poświadczenia federacyjne" w obiekcie użytkownika, są blokowani, aby uniemożliwić użytkownikom zewnętrznym dodawanie do ustawień dostępu wychodzącego. Aby obejść ten problem, możesz użyć interfejsu API programu Microsoft Graph, aby dodać identyfikator obiektu użytkownika bezpośrednio lub określić grupę, do której należy użytkownik.

  10. Wybierz kartę Aplikacje zewnętrzne.

  11. W obszarze Stan dostępu wybierz jedną z następujących pozycji:

    • Zezwalaj na dostęp: zezwala na dostęp do aplikacji zewnętrznych określonych w obszarze Dotyczy, do których użytkownicy uzyskują dostęp za pośrednictwem współpracy B2B.
    • Blokuj dostęp: blokuje aplikacje zewnętrzne określone w obszarze Dotyczy dostępu użytkowników za pośrednictwem współpracy B2B.

    Screenshot showing applications access status for b2b collaboration.

  12. W obszarze Dotyczy wybierz jedną z następujących pozycji:

    • Wszystkie aplikacje zewnętrzne: stosuje akcję wybraną w obszarze Stan dostępu do wszystkich aplikacji zewnętrznych.
    • Wybierz aplikacje zewnętrzne: stosuje akcję wybraną w obszarze Stan dostępu do wszystkich aplikacji zewnętrznych.

    Uwaga

    Jeśli zablokujesz dostęp do wszystkich aplikacji zewnętrznych, musisz również zablokować dostęp dla wszystkich użytkowników i grup (na karcie Użytkownicy i grupy ).

    Screenshot showing application targets for b2b collaboration.

  13. W przypadku wybrania pozycji Wybierz aplikacje zewnętrzne wykonaj następujące czynności dla każdej aplikacji, którą chcesz dodać:

    • Wybierz pozycję Dodaj aplikacje firmy Microsoft lub Dodaj inne aplikacje.
    • W polu wyszukiwania wpisz nazwę aplikacji lub identyfikator aplikacji ( identyfikator aplikacji klienckiej lub identyfikator aplikacji zasobu). Następnie wybierz aplikację w wynikach wyszukiwania. Powtórz dla każdej aplikacji, którą chcesz dodać.
    • Po zakończeniu wybierania aplikacji wybierz pozycję Wybierz.

    Screenshot showing selecting applications for b2b collaboration.

  14. Wybierz pozycję Zapisz.

Aby zmienić ustawienia zaufania ruchu wychodzącego

(Ta sekcja ma zastosowanie do Tylko ustawienia organizacyjne).

  1. Wybierz kartę Ustawienia zaufania.

  2. Zapoznaj się z opcją Automatycznego realizacji :

    • Automatyczne realizowanie zaproszeń w dzierżawie> dzierżawy<: sprawdź to ustawienie, jeśli chcesz automatycznie zrealizować zaproszenia. Jeśli tak, użytkownicy z tej dzierżawy nie muszą akceptować monitu o wyrażenie zgody przy pierwszym uzyskiwaniu dostępu do określonej dzierżawy przy użyciu synchronizacji między dzierżawami, współpracy B2B lub bezpośredniego połączenia B2B. To ustawienie pomija tylko monit o wyrażenie zgody, jeśli określona dzierżawa sprawdza również to ustawienie dla dostępu przychodzącego.

    Screenshot that shows the outbound Automatic redemption check box.

  3. Wybierz pozycję Zapisz.

Usuwanie organizacji

Po usunięciu organizacji z ustawień organizacyjnych domyślne ustawienia dostępu między dzierżawami będą obowiązywać dla tej organizacji.

Uwaga

Jeśli organizacja jest dostawcą usług w chmurze dla Twojej organizacji (właściwość isServiceProvider w konfiguracji specyficznej dla partnera programu Microsoft Graph jest prawdziwa), nie będzie można usunąć organizacji.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zabezpieczeń.

  2. Przejdź do pozycji Identity External Identities Cross-tenant access settings (Tożsamości zewnętrzne tożsamości między dzierżawami) settings (Ustawienia> dostępu między dzierżawami).>

  3. Wybierz kartę Ustawienia organizacyjne.

  4. Znajdź organizację na liście, a następnie wybierz ikonę kosza w tym wierszu.

Następne kroki