Visão geral: Acesso entre locatários com ID Externa do Microsoft Entra
As organizações do Microsoft Entra podem usar as configurações de acesso entre locatários de ID Externa para gerenciar como colaboram com outras organizações do Microsoft Entra e outras nuvens do Microsoft Azure por meio da colaboração B2B e da conexão direta B2B. As configurações de acesso entre locatários oferecem controle granular sobre como as organizações externas do Microsoft Entra colaboram com você (acesso de entrada) e como seus usuários colaboram com organizações externas do Microsoft Entra (acesso de saída). Essas configurações também permitem que você confie na autenticação multifator (MFA) e nas declarações de dispositivo (declarações compatíveis e declarações unidas híbridas do Microsoft Entra) de outras organizações do Microsoft Entra.
Este artigo descreve as configurações de acesso entre locatários, que são usadas para gerenciar a colaboração B2B e a conexão direta B2B com organizações externas do Microsoft Entra, inclusive em nuvens da Microsoft. Mais configurações estão disponíveis para colaboração B2B com identidades não Microsoft Entra (por exemplo, identidades sociais ou contas externas não gerenciadas por TI). Essas configurações de colaboração externa incluem opções para restringir o acesso de usuários convidados, especificar quem pode convidar convidados e permitir ou bloquear domínios.
Importante
A Microsoft começou a mover os clientes que usam configurações de acesso entre locatários para um novo modelo de armazenamento em 30 de agosto de 2023. Você pode notar uma entrada em seus logs de auditoria informando que suas configurações de acesso entre locatários foram atualizadas à medida que nossa tarefa automatizada migra suas configurações. Por uma breve janela durante os processos de migração, você não poderá fazer alterações em suas configurações. Se você não conseguir fazer uma alteração, aguarde alguns momentos e tente a alteração novamente. Quando a migração for concluída, você não estará mais limitado a 25 kb de espaço de armazenamento e não haverá mais limites para o número de parceiros que você pode adicionar.
Gerencie o acesso externo com configurações de entrada e saída
As configurações de acesso entre locatários de identidades externas gerenciam como você colabora com outras organizações do Microsoft Entra. Essas configurações determinam o nível de acesso de entrada que os usuários em organizações externas do Microsoft Entra têm para seus recursos e o nível de acesso de saída que seus usuários têm para organizações externas.
O diagrama a seguir mostra as configurações de entrada e saída de acesso entre locatários. O locatário do Resource Microsoft Entra é o locatário que contém os recursos a serem compartilhados. No caso da colaboração B2B, o locatário de recurso é o locatário convidado (por exemplo, seu locatário corporativo, onde você deseja convidar os usuários externos). O locatário inicial do Microsoft Entra é o locatário onde os usuários externos são gerenciados.
Por padrão, a colaboração B2B com outras organizações do Microsoft Entra está habilitada e a conexão direta B2B é bloqueada. Mas as seguintes configurações de administrador abrangentes permitem que você gerencie esses dois recursos.
As configurações de acesso de saída controlam se os usuários podem acessar recursos em uma organização externa. Você pode aplicar essas configurações a todos ou especificar usuários, grupos e aplicativos individuais.
As configurações de acesso de entrada controlam se os usuários de organizações externas do Microsoft Entra podem acessar recursos em sua organização. Você pode aplicar essas configurações a todos ou especificar usuários, grupos e aplicativos individuais.
As configurações de confiança (entrada) determinam se suas políticas de Acesso Condicional confiarão na autenticação multifator (MFA), dispositivo compatível e declarações de dispositivo híbrido ingressado no Microsoft Entra de uma organização externa se seus usuários já tiverem atendido a esses requisitos em seus locatários domésticos. Por exemplo, quando você define suas configurações de confiança para confiar na MFA, suas políticas de MFA ainda são aplicadas a usuários externos, mas os usuários que já concluíram a MFA em seus locatários domésticos não precisarão concluir a MFA novamente em seu locatário.
Configurações padrão
As configurações padrão de acesso entre locatários aplicam-se a todas as organizações do Microsoft Entra externas ao seu locatário, exceto aquelas para as quais você definiu as configurações organizacionais. Você pode alterar suas configurações padrão, mas as configurações padrão iniciais para colaboração B2B e conexão direta B2B são as seguintes:
Colaboração B2B: Todos os seus usuários internos estão habilitados para colaboração B2B por padrão. Essa configuração significa que seus usuários podem convidar convidados externos para acessar seus recursos e eles podem ser convidados para organizações externas como convidados. As declarações de MFA e de dispositivo de outras organizações do Microsoft Entra não são confiáveis.
Conexão direta B2B: Nenhuma relação de confiança de conexão direta B2B é estabelecida por padrão. O Microsoft Entra ID bloqueia todos os recursos de conexão direta B2B de entrada e saída para todos os locatários externos do Microsoft Entra.
Configurações organizacionais: Nenhuma organização é adicionada às suas configurações organizacionais por padrão. Isso significa que todas as organizações externas do Microsoft Entra estão habilitadas para colaboração B2B com sua organização.
Sincronização entre locatários: Nenhum usuário de outros locatários é sincronizado em seu locatário com a sincronização entre locatários.
Os comportamentos descritos acima se aplicam à colaboração B2B com outros locatários do Microsoft Entra na mesma nuvem do Microsoft Azure. Em cenários entre nuvens, as configurações padrão funcionam de forma um pouco diferente. Consulte Configurações de nuvem da Microsoft mais adiante neste artigo.
Configurações organizacionais
Você pode definir configurações específicas da organização adicionando uma organização e modificando as configurações de entrada e saída dessa organização. As configurações organizacionais têm precedência sobre as configurações padrão.
Colaboração B2B: Para colaboração B2B com outras organizações do Microsoft Entra, use configurações de acesso entre locatários para gerenciar a colaboração B2B de entrada e saída e o acesso ao escopo de usuários, grupos e aplicativos específicos. Você pode definir uma configuração padrão que se aplique a todas as organizações externas e, em seguida, criar configurações individuais específicas da organização, conforme necessário. Usando configurações de acesso entre locatários, você também pode confiar em declarações multifator (MFA) e dispositivo (declarações compatíveis e declarações unidas híbridas do Microsoft Entra) de outras organizações do Microsoft Entra.
Gorjeta
Recomendamos excluir usuários externos da política de registro de MFA de Proteção de Identidade, se você for confiar em MFA para usuários externos. Quando ambas as políticas estiverem presentes, os usuários externos não poderão satisfazer os requisitos de acesso.
Conexão direta B2B: Para conexão direta B2B, use as configurações organizacionais para configurar uma relação de confiança mútua com outra organização do Microsoft Entra. Tanto a sua organização quanto a organização externa precisam habilitar mutuamente a conexão direta B2B configurando as configurações de acesso entre locatários de entrada e saída.
Você pode usar as configurações de colaboração externa para limitar quem pode convidar usuários externos, permitir ou bloquear domínios específicos B2B e definir restrições no acesso de usuários convidados ao seu diretório.
Configuração de resgate automático
A configuração de resgate automático é uma configuração de confiança organizacional de entrada e saída para resgatar automaticamente convites para que os usuários não precisem aceitar o prompt de consentimento na primeira vez que acessarem o recurso/locatário de destino. Essa configuração é uma caixa de seleção com o seguinte nome:
- Resgatar convites automaticamente com o locatário locatário<>
Comparar configurações para diferentes cenários
A configuração de resgate automático se aplica à sincronização entre locatários, colaboração B2B e conexão direta B2B nas seguintes situações:
- Quando os usuários são criados em um locatário de destino usando a sincronização entre locatários.
- Quando os usuários são adicionados a um locatário de recurso usando a colaboração B2B.
- Quando os usuários acessam recursos em um locatário de recursos usando a conexão direta B2B.
A tabela a seguir mostra como essa configuração se compara quando habilitada para esses cenários:
| Item | Sincronização entre inquilinos | Colaboração B2B | Conexão direta B2B |
|---|---|---|---|
| Configuração de resgate automático | Obrigatório | Opcional | Opcional |
| Os usuários recebem um e-mail de convite de colaboração B2B | No | No | N/A |
| Os usuários devem aceitar um prompt de consentimento | No | No | Não |
| Os usuários recebem um e-mail de notificação de colaboração B2B | Não | Sim | N/A |
Essa configuração não afeta as experiências de consentimento do aplicativo. Para obter mais informações, consulte Experiência de consentimento para aplicativos no Microsoft Entra ID. Essa configuração não é suportada para organizações em diferentes ambientes de nuvem da Microsoft, como o Azure comercial e o Azure Government.
Quando o prompt de consentimento é suprimido?
A configuração de resgate automático só suprimirá o prompt de consentimento e o e-mail de convite se o locatário de origem/origem (saída) e o locatário de recurso/destino (entrada) verificarem essa configuração.
A tabela a seguir mostra o comportamento do prompt de consentimento para usuários locatários de origem quando a configuração de resgate automático é verificada para diferentes combinações de configurações de acesso entre locatários.
| Inquilino de origem/inquilino de origem | Locatário de recurso/destino | Comportamento de prompt de consentimento Para usuários locatários de origem |
|---|---|---|
| Saída | Entrada | |
 |
|
Suprimido |
|
 |
Não suprimido |
|
|
Não suprimido |
|
|
Não suprimido |
| Entrada | Saída | |
|
|
Não suprimido |
|
|
Não suprimido |
|
|
Não suprimido |
|
|
Não suprimido |
Para definir essa configuração usando o Microsoft Graph, consulte a API Update crossTenantAccessPolicyConfigurationPartner . Para obter informações sobre como criar sua própria experiência de integração, consulte Gerenciador de convites de colaboração B2B.
Para obter mais informações, consulte Configurar sincronização entre locatários, Configurar configurações de acesso entre locatários para colaboração B2B e Configurar configurações de acesso entre locatários para conexão direta B2B.
Resgate configurável
Com o resgate configurável, você pode personalizar a ordem dos provedores de identidade com os quais os usuários convidados podem entrar quando aceitarem seu convite. Você pode ativar o recurso e especificar a ordem de resgate na guia Ordem de resgate .
Quando um usuário convidado seleciona o link Aceitar convite em um email de convite, o Microsoft Entra ID resgata automaticamente o convite com base na ordem de resgate padrão. Quando você altera a ordem do provedor de identidade na nova guia Ordem de resgate, a nova ordem substitui a ordem de resgate padrão.
Você encontra provedores de identidade principais e provedores de identidade de fallback na guia Ordem de resgate .
Os provedores de identidade primários são aqueles que têm federações com outras fontes de autenticação. Os provedores de identidade de fallback são aqueles que são usados, quando um usuário não corresponde a um provedor de identidade principal.
Os provedores de identidade de fallback podem ser conta da Microsoft (MSA), senha única de email ou ambos. Você não pode desabilitar ambos os provedores de identidade de fallback, mas pode desabilitar todos os provedores de identidade principais e usar apenas provedores de identidade de fallback para opções de resgate.
Abaixo estão as limitações conhecidas no recurso:
Se um usuário do Microsoft Entra ID que tenha uma sessão de logon único (SSO) existente estiver se autenticando usando a OTP (código de acesso único) de email, ele precisará escolher Usar outra conta e inserir novamente seu nome de usuário para acionar o fluxo de OTP. Caso contrário, o usuário receberá um erro indicando que sua conta não existe no locatário do recurso.
Se os usuários convidados só puderem usar uma senha de email para resgatar um convite, eles serão impedidos de usar o SharePoint no momento. Isso é específico para usuários do Microsoft Entra ID resgatando via OTP. Todos os outros usuários não são afetados.
Em cenários em que um usuário tem o mesmo email em suas contas Microsoft Entra ID e Microsoft, mesmo depois que o administrador tiver desabilitado a conta da Microsoft como um método de resgate, o usuário será solicitado a escolher entre usar sua ID do Microsoft Entra ou sua conta da Microsoft. Se escolherem a conta Microsoft, esta será permitida como opção de resgate, mesmo que esteja desativada.
Federação direta para domínios verificados pelo Microsoft Entra ID
A federação do provedor de identidade SAML/WS-Fed (federação direta) agora é suportada para domínios verificados pelo Microsoft Entra ID. Esse recurso permite que você configure uma federação direta com um provedor de identidade externo para um domínio verificado no Microsoft Entra.
Nota
Verifique se o domínio não está verificado no mesmo locatário no qual você está tentando configurar a configuração de federação direta. Depois de configurar uma federação direta, você pode configurar a preferência de resgate do locatário e mover o provedor de identidade SAML/WS-Fed sobre o ID do Microsoft Entra por meio das novas configurações de acesso entre locatários de resgate configuráveis.
Quando o usuário convidado resgatar o convite, ele verá uma tela de consentimento tradicional e será redirecionado para a página Meus Aplicativos. Se você entrar no perfil de usuário desse usuário de federação direta no locatário de recurso, notará que o usuário agora é resgatado com federação externa sendo o emissor.
Impedir que seus usuários B2B resgatem um convite usando contas da Microsoft
Agora você pode impedir que seus usuários convidados B2B resgatem seus convites usando contas da Microsoft. Isso significa que qualquer novo usuário convidado B2B usará a senha única de email como seu provedor de identidade de fallback e não poderá resgatar um convite usando suas contas da Microsoft existentes ou ser solicitado a criar uma nova conta da Microsoft. Você pode fazer isso desativando as contas da Microsoft nos provedores de identidade de fallback da configuração de ordem de resgate.
Observe que, a qualquer momento, precisa haver um provedor de identidade de fallback habilitado. Isto significa que, se pretender desativar as contas Microsoft, terá de ativar o código de acesso único do e-mail. Todos os utilizadores convidados existentes com sessão iniciada com contas Microsoft continuarão a utilizá-lo durante os inícios de sessão subsequentes. Você precisará redefinir o status de resgate para que essa configuração seja aplicada.
Configuração de sincronização entre locatários
A configuração de sincronização entre locatários é uma configuração organizacional somente de entrada para permitir que o administrador de um locatário de origem sincronize usuários em um locatário de destino. Essa configuração é uma caixa de seleção com o nome Permitir que os usuários sincronizem com este locatário especificado no locatário de destino. Essa configuração não afeta os convites B2B criados por meio de outros processos, como convite manual ou gerenciamento de direitos do Microsoft Entra.
Para definir essa configuração usando o Microsoft Graph, consulte a API Update crossTenantIdentitySyncPolicyPartner . Para obter mais informações, consulte Configurar a sincronização entre locatários.
Restrições de inquilino
Com as definições de Restrições de Inquilino , pode controlar os tipos de contas externas que os seus utilizadores podem utilizar nos dispositivos que gere, incluindo:
- Contas que seus usuários criaram em locatários desconhecidos.
- Contas que organizações externas forneceram aos seus usuários para que eles possam acessar os recursos dessa organização.
Recomendamos configurar suas restrições de locatário para não permitir esses tipos de contas externas e usar a colaboração B2B. A colaboração B2B dá-lhe a capacidade de:
- Use o Acesso Condicional e force a autenticação multifator para usuários de colaboração B2B.
- Gerencie o acesso de entrada e saída.
- Encerre sessões e credenciais quando o status de emprego de um usuário de colaboração B2B for alterado ou suas credenciais forem violadas.
- Use os logs de entrada para exibir detalhes sobre o usuário de colaboração B2B.
As restrições de locatário são independentes de outras configurações de acesso entre locatários, portanto, quaisquer configurações de entrada, saída ou confiança que você tenha configurado não afetarão as restrições de locatário. Para obter detalhes sobre como configurar restrições de locatário, consulte Configurar restrições de locatário V2.
Configurações de nuvem da Microsoft
As configurações de nuvem da Microsoft permitem que você colabore com organizações de diferentes nuvens do Microsoft Azure. Com as configurações de nuvem da Microsoft, você pode estabelecer colaboração B2B mútua entre as seguintes nuvens:
- Nuvem comercial do Microsoft Azure e Microsoft Azure Government
- Nuvem comercial do Microsoft Azure e Microsoft Azure operado pela 21Vianet (operado pela 21Vianet)
Nota
O Microsoft Azure Government inclui as nuvens Office, GCC-High e DoD.
Para configurar a colaboração B2B, ambas as organizações configuram suas configurações de nuvem da Microsoft para habilitar a nuvem do parceiro. Em seguida, cada organização usa o ID de locatário do parceiro para localizar e adicionar o parceiro às suas configurações organizacionais. A partir daí, cada organização pode permitir que suas configurações padrão de acesso entre locatários se apliquem ao parceiro ou podem definir configurações de entrada e saída específicas do parceiro. Depois de estabelecer a colaboração B2B com um parceiro em outra nuvem, você poderá:
- Use a colaboração B2B para convidar um usuário no locatário parceiro para acessar recursos em sua organização, incluindo aplicativos de linha de negócios da Web, aplicativos SaaS e sites, documentos e arquivos do SharePoint Online.
- Use a colaboração B2B para compartilhar conteúdo do Power BI com um usuário no locatário parceiro.
- Aplique políticas de Acesso Condicional ao usuário de colaboração B2B e opte por confiar na autenticação multifator ou nas declarações de dispositivo (declarações compatíveis e declarações de associação híbrida do Microsoft Entra) do locatário doméstico do usuário.
Nota
A conexão direta B2B não é suportada para colaboração com locatários do Microsoft Entra em uma nuvem diferente da Microsoft.
Para obter as etapas de configuração, consulte Definir configurações de nuvem da Microsoft para colaboração B2B.
Configurações padrão em cenários entre nuvens
Para colaborar com um locatário parceiro em uma nuvem diferente do Microsoft Azure, ambas as organizações precisam habilitar mutuamente a colaboração B2B entre si. O primeiro passo é habilitar a nuvem do parceiro em suas configurações entre locatários. Quando você habilita outra nuvem pela primeira vez, a colaboração B2B é bloqueada para todos os locatários nessa nuvem. Você precisa adicionar o locatário com o qual deseja colaborar às suas configurações organizacionais e, nesse momento, suas configurações padrão entrarão em vigor apenas para esse locatário. Você pode permitir que as configurações padrão permaneçam em vigor ou pode modificar as configurações organizacionais para o locatário.
Considerações importantes
Importante
Alterar as configurações padrão de entrada ou saída para bloquear o acesso pode bloquear o acesso crítico para os negócios existente a aplicativos em sua organização ou organizações parceiras. Certifique-se de usar as ferramentas descritas neste artigo e consulte as partes interessadas da sua empresa para identificar o acesso necessário.
Para definir as configurações de acesso entre locatários no portal do Azure, você precisará de uma conta com um Administrador Global, Administrador de Segurança ou uma função personalizada que você definiu.
Para definir configurações de confiança ou aplicar configurações de acesso a usuários, grupos ou aplicativos específicos, você precisará de uma licença P1 do Microsoft Entra ID. A licença é necessária no locatário que você configurar. Para conexão direta B2B, onde a relação de confiança mútua com outra organização do Microsoft Entra é necessária, você precisará de uma licença P1 do Microsoft Entra ID em ambos os locatários.
As configurações de acesso entre locatários são usadas para gerenciar a colaboração B2B e a conexão direta B2B com outras organizações do Microsoft Entra. Para colaboração B2B com identidades Entra que não sejam da Microsoft (por exemplo, identidades sociais ou contas externas não gerenciadas por TI), use configurações de colaboração externas. As configurações de colaboração externa incluem opções de colaboração B2B para restringir o acesso de usuários convidados, especificar quem pode convidar convidados e permitir ou bloquear domínios.
Se desejar aplicar configurações de acesso a usuários, grupos ou aplicativos específicos em uma organização externa, você precisará entrar em contato com a organização para obter informações antes de definir suas configurações. Obtenha suas IDs de objeto de usuário, IDs de objeto de grupo ou IDs de aplicativo (IDs de aplicativo cliente ou IDs de aplicativo de recurso) para que você possa direcionar suas configurações corretamente.
Gorjeta
Talvez você consiga encontrar as IDs de aplicativos em organizações externas verificando seus logs de entrada. Consulte a seção Identificar entradas e saídas de entrada .
As configurações de acesso definidas para usuários e grupos devem corresponder às configurações de acesso para aplicativos. Configurações conflitantes não são permitidas e você verá mensagens de aviso se tentar configurá-las.
Exemplo 1: Se você bloquear o acesso de entrada para todos os usuários e grupos externos, o acesso a todos os seus aplicativos também deverá ser bloqueado.
Exemplo 2: Se você permitir o acesso de saída para todos os seus usuários (ou usuários ou grupos específicos), você será impedido de bloquear todo o acesso a aplicativos externos, o acesso a pelo menos um aplicativo deve ser permitido.
Se você quiser permitir a conexão direta B2B com uma organização externa e suas políticas de Acesso Condicional exigirem MFA, você deverá definir suas configurações de confiança para que suas políticas de Acesso Condicional aceitem declarações de MFA da organização externa.
Se você bloquear o acesso a todos os aplicativos por padrão, os usuários não poderão ler emails criptografados com o Microsoft Rights Management Service (também conhecido como Criptografia de Mensagem do Office 365 ou OME). Para evitar esse problema, recomendamos configurar as configurações de saída para permitir que os usuários acessem este ID do aplicativo: 00000012-0000-0000-c000-000000000000. Se este for o único aplicativo permitido, o acesso a todos os outros aplicativos será bloqueado por padrão.
Funções personalizadas para gerenciar configurações de acesso entre locatários
As configurações de acesso entre locatários podem ser gerenciadas com funções personalizadas definidas pela sua organização. Isso permite que você defina suas próprias funções com escopo preciso para gerenciar configurações de acesso entre locatários em vez de usar uma das funções internas para gerenciamento. Sua organização pode definir funções personalizadas para gerenciar configurações de acesso entre locatários. Isso permite que você crie suas próprias funções com escopo preciso para gerenciar configurações de acesso entre locatários em vez de usar funções internas para gerenciamento.
Funções personalizadas recomendadas
Administrador de acesso entre locatários
Essa função pode gerenciar tudo nas configurações de acesso entre locatários, incluindo configurações padrão e baseadas na organização. Essa função deve ser atribuída a usuários que precisam gerenciar todas as configurações em configurações de acesso entre locatários.
Veja abaixo a lista de ações recomendadas para esta função.
| Ações |
|---|
| microsoft.directory.tenantRelationships/standard/read |
| microsoft.directory/crossTenantAccessPolicy/standard/read |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update |
| microsoft.directory/crossTenantAccessPolicy/basic/update |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update |
| microsoft.directory/crossTenantAccessPolicy/partners/create |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update |
| microsoft.directory/crossTenantAccessPolicy/partners/delete |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update |
Leitor de acesso entre locatários
Essa função pode ler tudo nas configurações de acesso entre locatários, incluindo configurações padrão e baseadas na organização. Essa função deve ser atribuída a usuários que só precisam revisar as configurações nas configurações de acesso entre locatários, mas não gerenciá-las.
Veja abaixo a lista de ações recomendadas para esta função.
| Ações |
|---|
| microsoft.directory.tenantRelationships/standard/read |
| microsoft.directory/crossTenantAccessPolicy/standard/read |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
Administrador de parceiro de acesso entre locatários
Essa função pode gerenciar tudo relacionado aos parceiros e ler as configurações padrão. Essa função deve ser atribuída a usuários que precisam gerenciar configurações baseadas em organização, mas não podem alterar as configurações padrão.
Veja abaixo a lista de ações recomendadas para esta função.
| Ações |
|---|
| microsoft.directory.tenantRelationships/standard/read |
| microsoft.directory/crossTenantAccessPolicy/standard/read |
| microsoft.directory/crossTenantAccessPolicy/basic/update |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update |
| microsoft.directory/crossTenantAccessPolicy/partners/create |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update |
| microsoft.directory/crossTenantAccessPolicy/partners/delete |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update |
Proteger ações administrativas de acesso entre locatários
Todas as ações que modificam as configurações de acesso entre locatários são consideradas ações protegidas e podem ser adicionalmente protegidas com políticas de Acesso Condicional. Para obter mais informações e etapas de configuração, consulte ações protegidas.
Identificar entradas e saídas
Várias ferramentas estão disponíveis para ajudá-lo a identificar o acesso de que seus usuários e parceiros precisam antes de definir as configurações de acesso de entrada e saída. Para garantir que não remove o acesso de que os seus utilizadores e parceiros necessitam, deve examinar o comportamento de início de sessão atual. Tomar esta etapa preliminar ajudará a evitar a perda de acesso desejado para seus usuários finais e usuários parceiros. No entanto, em alguns casos, esses logs são retidos apenas por 30 dias, portanto, recomendamos que você fale com as partes interessadas da sua empresa para garantir que o acesso necessário não seja perdido.
Script PowerShell de atividade de entrada entre locatários
Para rever a atividade de início de sessão do utilizador associada a inquilinos externos, utilize o script PowerShell da atividade de início de sessão do utilizador entre inquilinos. Por exemplo, para exibir todos os eventos de entrada disponíveis para atividade de entrada (usuários externos acessando recursos no locatário local) e atividade de saída (usuários locais acessando recursos em um locatário externo), execute o seguinte comando:
Get-MSIDCrossTenantAccessActivity -SummaryStats -ResolveTenantId
A saída é um resumo de todos os eventos de entrada disponíveis para atividades de entrada e saída, listados por ID de locatário externo e nome de locatário externo.
Script PowerShell de logs de entrada
Para determinar o acesso dos usuários a organizações externas do Microsoft Entra, use o cmdlet Get-MgAuditLogSignIn no SDK do Microsoft Graph PowerShell para exibir dados de seus logs de entrada dos últimos 30 dias. Por exemplo, execute o seguinte comando:
#Initial connection
Connect-MgGraph -Scopes "AuditLog.Read.All"
Select-MgProfile -Name "beta"
#Get external access
$TenantId = "<replace-with-your-tenant-ID>"
Get-MgAuditLogSignIn -Filter "ResourceTenantId ne '$TenantID'" -All:$True |
Group-Object ResourceTenantId,AppDisplayName,UserPrincipalName |
Select-Object count,@{n='Ext TenantID/App User Pair';e={$_.name}}
A saída é uma lista de entradas de saída iniciadas por seus usuários para aplicativos em locatários externos.
Azure Monitor
Se sua organização se inscrever no serviço Azure Monitor, use a pasta de trabalho de atividade de acesso entre locatários (disponível na galeria de pastas de trabalho de monitoramento no portal do Azure) para explorar visualmente as entradas de entrada e saída por períodos de tempo mais longos.
Sistemas de Gestão de Informações e Eventos de Segurança (SIEM)
Se sua organização exportar logs de entrada para um sistema SIEM (Gerenciamento de Informações e Eventos de Segurança), você poderá recuperar as informações necessárias do seu sistema SIEM.
Identificar alterações nas configurações de acesso entre locatários
Os logs de auditoria do Microsoft Entra capturam toda a atividade em torno das alterações e atividades de configuração de acesso entre locatários. Para auditar as alterações nas configurações de acesso entre locatários, use a categoria CrossTenantAccessSettings para filtrar todas as atividades e mostrar as alterações nas configurações de acesso entre locatários.
Próximos passos
Definir configurações de acesso entre locatários para colaboraçãoB2B Configurar configurações de acesso entre locatários para conexão direta B2B