Definir as configurações de acesso entre locatários para a conexão direta de B2B

Use configurações de acesso entre locatários para gerenciar como você colabora com outras organizações do Microsoft Entra por meio da conexão direta de B2B. Essas configurações permitem que você determine o nível de acesso de saída que seus usuários têm a organizações externas. Elas também permitem que você controle o nível de acesso de entrada que os usuários de organizações externas do Microsoft Entra terão aos recursos internos.

• Configurações padrão: as configurações padrão de acesso entre locatários se aplicam a todas as organizações externas do Microsoft Entra, exceto àquelas para as quais você definir configurações individuais. Você pode alterar essas configurações padrão. Para a conexão direta de B2B, normalmente, você manterá as configurações padrão e habilitará o acesso da conexão direta de B2B com as configurações específicas da organização. Inicialmente, os valores padrão são os seguintes:

  • Configurações padrão iniciais da conexão direta de B2B: por padrão, a conexão direta de B2B de saída é bloqueada para todo o locatário e a conexão direta de B2B de entrada é bloqueada para todas as organizações externas do Microsoft Entra.
  • Configurações organizacionais - Nenhuma organização é adicionada por padrão.

• Configurações específicas da organização: é possível definir configurações específicas da organização adicionando uma organização e modificando as configurações de entrada e saída para essa organização. As configurações organizacionais têm precedência sobre as configurações padrão.

Saiba mais sobre como usar configurações de acesso entre locatários para gerenciar a conexão direta B2B.

Importante

A Microsoft está começando a migrar clientes que usam configurações de acesso entre locatários para um novo modelo de armazenamento em 30 de agosto de 2023. Você pode observar uma entrada em seus logs de auditoria informando que suas configurações de acesso entre locatários foram atualizadas à medida que nossa tarefa automatizada migra suas configurações. Por um breve intervalo de tempo, enquanto a migração é processada, você não poderá fazer alterações nas configurações. Se você não conseguir fazer uma alteração, deverá aguardar alguns instantes e tentar a alteração novamente. Depois que a migração for concluída, você não estará mais limitado a 25 KB de espaço de armazenamento, e não haverá mais limites para o número de parceiros que você pode adicionar.

Antes de começar

• Revise a seção Considerações importantes na visão geral do acesso entre locatários antes de definir as configurações de acesso entre locatários.
• Decida o nível padrão de acesso que deseja aplicar a todas as organizações externas do Microsoft Entra.
• Identifique as organizações do Microsoft Entra que precisam de configurações personalizadas.
• Contate as organizações com as quais você deseja configurar o B2B Direct Connect. Como o B2B Direct Connect é estabelecido por meio de confiança mútua, você e a outra organização precisam habilitar a conexão direta B2B entre si em suas configurações de acesso entre locatários.
• Obtenha todas as informações necessárias de organizações externas. Caso deseje aplicar as configurações de acesso a usuários, grupos ou aplicativos específicos em uma organização externa, entre em contato com a organização para obter essas IDs, a fim de definir as configurações de acesso.
• Para definir as configurações de acesso entre locatários no centro de administração do Microsoft Entra, é necessária uma conta com uma função de Administrador Global ou Administrador da Segurança. Teams administradores podem ler configurações de acesso entre locatários, mas não podem atualizar essas configurações.

Definir as configurações padrão

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

As configurações padrão de acesso entre locatários aplicam-se a todos os locatários externos para os quais você não criou configurações personalizadas específicas da organização. Caso deseje modificar as configurações padrão fornecidas pela ID do Microsoft Entra, siga estas etapas.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.

2. Navegue até Identidades>Identidades Externas>Configurações de acesso entre locatários.

3. Escolha a guia Configurações padrão e revise a página de resumo.

   

4. Para alterar as configurações, selecione o link Editar padrões de entrada ou o link Editar padrões de saída.

   

5. Modifique as configurações padrão seguindo as etapas detalhadas nestas seções:

   • Modificar as configurações de acesso de entrada
   • Modificar as configurações de acesso de saída

Adicionar uma organização

Siga estas etapas para definir configurações personalizadas para organizações específicas.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.

2. Navegue até Identidades>Identidades Externas>Configurações de acesso entre locatários.

3. Escolha Configurações organizacionais.

4. Selecione Adicionar organização.

5. No painel Adicionar organização, digite o nome de domínio completo (ou a ID de locatário) da organização.

   

6. Selecione a organização nos resultados da pesquisa e escolha Adicionar.

7. A organização será exibida na lista Configurações organizacionais. Neste ponto, todas as configurações de acesso dessa organização são herdadas das configurações padrão. Para alterar as configurações dessa organização, selecione o link Herdado do padrão na coluna Acesso de entrada ou Acesso de saída.

   

8. Modifique as configurações da organização seguindo as etapas detalhadas nestas seções:

   • Modificar as configurações de acesso de entrada
   • Modificar as configurações de acesso de saída

Modificar configurações de acesso de entrada

Com as configurações de entrada, selecione quais usuários e grupos externos podem acessar os aplicativos internos escolhidos por você. Se você estiver definindo configurações padrão ou configurações específicas da organização, as etapas para alterar as configurações de acesso entre locatários de entrada serão as mesmas. Conforme descrito nesta seção, você navegará até a guia Padrão ou até uma organização na guia Configurações organizacionais e fará as alterações.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.

2. Navegue até Identidades>Identidades Externas>Configurações de acesso entre locatários.

3. Navegue até as configurações que deseja modificar:

   • Para modificar as configurações de entrada padrão, selecione a guia Configurações padrão e, em Configurações de acesso de entrada, escolha Editar padrões de entrada.
   • Para modificar as configurações de uma organização específica, selecione a guia Configurações organizacionais, encontre a organização na lista (ou adicione uma) e escolha o link na coluna Acesso de saída.

4. Siga as etapas detalhadas para as configurações de entrada que deseja alterar:

   • Para alterar as configurações de conexão direta B2B de entrada
   • Para alterar as configurações de confiança de entrada para a MFA e as declarações de dispositivo

Para alterar as configurações de conexão direta B2B de entrada

1. Selecione a guia conexão direta B2B

2. Se estiver definindo as configurações para uma organização, selecione uma das seguintes opções:

   • Configurações padrão: a organização usa as configurações definidas na guia Configurações padrão. Se já foram definidas configurações personalizadas para essa organização, selecione Sim para confirmar que deseja substituir todas as configurações pelas configurações padrão. Em seguida, selecione Salvar e ignore o restante das etapas neste procedimento.

   • Personalizar configurações: você pode personalizar as configurações a serem impostas a essa organização em vez das configurações padrão. Continue com o restante das etapas deste procedimento.

3. Selecione Usuários e grupos externos.

4. Em Status do acesso, escolha uma das seguintes opções:

   • Permitir acesso: permite que os usuários e grupos especificados em Aplica-se a acessem o B2B Direct Connect.
   • Bloquear o acesso: bloqueia os usuários e grupos especificados em Aplica-se a do acesso ao B2B Direct Connect. O bloqueio de acesso para todos os usuários e grupos externos também impede que todos os seus aplicativos internos sejam compartilhados via conexão direta B2B.

   

5. Em Aplica-se a, selecione uma das seguintes opções:

   • Todos os usuários e grupos externos: aplica a ação escolhida em Status do acesso a todos os usuários e grupos de organizações externas do Microsoft Entra.
   • Selecionar usuários e grupos externos: permite aplicar a ação escolhida em Status do acesso aos usuários e aos grupos específicos na organização externa. Uma licença P1 do Microsoft Entra ID é necessária no locatário que será configurado.

   

6. Se você escolher Selecionar usuários e grupos externos, faça o seguinte para cada usuário ou grupo que deseja adicionar:

   • Selecione Adicionar usuários e grupos externos.
   • No painel Adicionar outros usuários e grupos, na caixa de pesquisa, digite a ID de objeto de usuário ou a ID de objeto de grupo obtida na organização parceira.
   • No menu ao lado da caixa de pesquisa, escolha usuário ou grupo.
   • Selecione Adicionar.

   Observação

   Você não pode direcionar usuários ou grupos nas configurações de entrada padrão.

   

7. Quando terminar de adicionar usuários e grupos, selecione Enviar.

8. Selecione a guia Aplicativos.

9. Em Status do acesso, escolha uma das seguintes opções:

   • Permitir acesso: permite que os aplicativos especificados em Aplica-se a sejam acessados pelos usuários da colaboração B2B.
   • Bloquear acesso: impede que os aplicativos especificados em Aplica-se a sejam acessados pelos usuários da colaboração B2B.

   

10. Em Aplica-se a, selecione uma das seguintes opções:

    • Todos os aplicativos: aplica a ação escolhida em Status do acesso a todos os seus aplicativos.
    • Selecionar aplicativos (exige uma assinatura P1 ou P2 da ID do Microsoft Entra): permite aplicar a ação escolhida em Status do acesso a aplicativos específicos da sua organização.

    

11. Se você escolher Selecionar aplicativos, faça o seguinte para cada aplicativo que deseja adicionar:

    • Selecione Adicionar aplicativos da Microsoft.
    • No painel aplicativos, digite o nome do aplicativo na caixa de pesquisa e selecione o aplicativo nos resultados da pesquisa.
    • Quando terminar de selecionar aplicativos, escolha Selecionar.

    

12. Selecione Salvar.

Para alterar as configurações de confiança de entrada para a MFA e as declarações de dispositivo

1. Selecione a guia Configurações de confiança.

2. Se estiver definindo as configurações para uma organização, selecione uma das seguintes opções:

   • Configurações padrão: a organização usa as configurações definidas na guia Configurações padrão. Se já foram definidas configurações personalizadas para essa organização, selecione Sim para confirmar que deseja substituir todas as configurações pelas configurações padrão. Em seguida, selecione Salvar e ignore o restante das etapas neste procedimento.

   • Personalizar configurações: você pode personalizar as configurações a serem impostas a essa organização em vez das configurações padrão. Continue com o restante das etapas deste procedimento.

3. Selecione uma ou mais das seguintes opções:

   • Confiar na autenticação multifator dos locatários do Microsoft Entra: marque essa caixa de seleção se as suas políticas de acesso condicional exigirem a MFA (autenticação multifator). Essa configuração permite que suas políticas de acesso condicional confiem em declarações de MFA de organizações externas. Durante a autenticação, o Microsoft Entra ID verifica as credenciais de um usuário em busca de uma declaração de que ele concluiu a MFA. Caso contrário, um desafio da MFA é iniciado no locatário inicial do usuário.

   • Confiar em dispositivos em conformidade: permite que as suas políticas de acesso condicional confiem nas declarações de dispositivo em conformidade de uma organização externa quando os usuários acessarem seus recursos.

   • Confiar em dispositivos ingressados no Microsoft Entra híbrido: permite que suas políticas de acesso condicional confiem nas declarações de dispositivo ingressadas no Microsoft Entra híbrido em uma organização externa quando os usuários acessarem seus recursos.

   

4. (Esta etapa se aplica somente a Configurações organizacionais.) Revise a opção Resgate automático:

   • Resgatar convites automaticamente com o locatário<locatário>: ative essa configuração se quiser resgatar convites automaticamente. Nesse caso, os usuários do locatário especificado não precisarão aceitar o prompt de consentimento na primeira vez que acessarem esse locatário usando sincronização entre locatários, colaboração B2B ou conexão direta de B2B. Essa configuração só suprimirá a solicitação de consentimento se o locatário especificado marcar o acesso de saída nessa configuração também.

   

5. Selecione Salvar.

Observação

Ao definir as configurações de uma organização, você observará uma guia Sincronização entre locatários. Essa guia não se aplica à configuração de conexão direta de B2B. Em vez disso, esse recurso é usado por organizações multilocatários para habilitar a colaboração B2B em seus locatários. Para saber mais, confira a documentação da organização multilocatário.

Modificar as configurações de acesso de saída

Com as configurações de saída, selecione quais usuários e grupos podem acessar os aplicativos externos escolhidos por você. Se você estiver definindo configurações padrão ou configurações específicas da organização, as etapas para alterar as configurações de acesso entre locatários de saída serão as mesmas. Conforme descrito nesta seção, você navegará até a guia Padrão ou até uma organização na guia Configurações organizacionais e fará as alterações.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.

2. Navegue até Identidades>Identidades Externas>Configurações de acesso entre locatários.

3. Navegue até as configurações que deseja modificar:

   • Para modificar as configurações de saída padrão, selecione a guia Configurações padrão e, em Configurações de acesso de saída, escolha Editar padrões de saída.

   • Para modificar as configurações de uma organização específica, selecione a guia Configurações organizacionais, encontre a organização na lista (ou adicione uma) e escolha o link na coluna Acesso de saída.

Para alterar as configurações de acesso de saída

1. Selecione a guia conexão direta B2B.

2. Se estiver definindo as configurações para uma organização, selecione uma das seguintes opções:

   • Configurações padrão: a organização usa as configurações definidas na guia Configurações padrão. Se já foram definidas configurações personalizadas para essa organização, selecione Sim para confirmar que deseja substituir todas as configurações pelas configurações padrão. Em seguida, selecione Salvar e ignore o restante das etapas neste procedimento.

   • Personalizar as configurações: você pode personalizar as configurações dessa organização, que serão impostas para a organização em vez das configurações padrão. Continue com o restante das etapas deste procedimento.

3. Selecione Usuários e grupos.

4. Em Status do acesso, escolha uma das seguintes opções:

   • Permitir acesso: permite que os usuários e grupos especificados em aplicam-se a para acessar o B2B Direct Connect.
   • Bloquear o acesso: bloqueia os usuários e grupos especificados em aplica-se a do acesso ao B2B Direct Connect. O bloqueio de acesso para todos os usuários e grupos externos também impede que todos os seus aplicativos internos sejam compartilhados via conexão direta B2B.

   

5. Em Aplica-se a, selecione uma das seguintes opções:

   • Todos os usuários <da sua organização>: aplica a ação escolhida em Status do acesso a todos os usuários e grupos.
   • Selecionar usuários e grupos <da sua organização> (exige uma assinatura P1 ou P2 da ID do Microsoft Entra): permite aplicar a ação escolhida em Status do acesso a usuários e grupos específicos.

   

6. Se você escolher Selecionar usuários e grupos <da sua organização>, faça o seguinte para cada usuário ou grupo que deseja adicionar:

   • Escolha Adicionar usuários e grupos <da sua organização>.
   • No painel Selecionar, digite o nome de usuário ou o nome do grupo na caixa de pesquisa.
   • Quando você terminar de selecionar usuários e grupos, escolha Selecionar.

   Observação

   Ao direcionar seus usuários e grupos, você não poderá selecionar usuários que configuraram a autenticação baseada em SMS. Isso ocorre porque os usuários que têm uma "credencial federada" em seu objeto de usuário são bloqueados para impedir que usuários externos sejam adicionados às configurações de acesso de saída. Como solução alternativa, você pode usar a API do Microsoft Graph para adicionar a ID de objeto do usuário diretamente ou direcionar um grupo ao qual o usuário pertence.

7. Clique em Salvar.

8. Selecione a guia Aplicativos externos.

9. Em Status do acesso, escolha uma das seguintes opções:

   • Permitir acesso: permite que os aplicativos especificados em Aplica-se a sejam acessados pelos usuários da colaboração B2B.
   • Bloquear acesso: impede que os aplicativos especificados em Aplica-se a sejam acessados pelos usuários da colaboração B2B.

   

10. Em Aplica-se a, selecione uma das seguintes opções:

    • Todos os aplicativos externos: aplica a ação escolhida em Status do acesso a todos os aplicativos externos.
    • Selecionar aplicativos (exige uma assinatura P1 ou P2 do Microsoft Entra ID): permite aplicar a ação escolhida em Status do acesso a aplicativos específicos da sua organização.

    

11. Se você escolher Selecionar aplicativos externos, faça o seguinte para cada aplicativo que deseja adicionar:

    • Escolha Adicionar aplicativos da Microsoft ou Adicionar outros aplicativos.
    • No painel aplicativos, digite o nome do aplicativo na caixa de pesquisa e selecione o aplicativo nos resultados da pesquisa.
    • Quando terminar de selecionar aplicativos, escolha Selecionar.

    

12. Selecione Salvar.

Para alterar configurações de confiança de saída

(Essa seção só se aplica a Configurações organizacionais.)

1. Selecione a guia Configurações de confiança.

2. Revise a opção Resgate automático:

   • Resgatar convites automaticamente com o locatário<locatário>: ative essa configuração se quiser resgatar convites automaticamente. Nesse caso, os usuários do locatário não precisam aceitar o prompt de consentimento na primeira vez que acessarem o locatário especificado usando a sincronização entre locatários, a colaboração B2B ou a conexão direta de B2B. Essa configuração suprimirá apenas o prompt de consentimento se o locatário especificado verificar nessa configuração o acesso de entrada também.

   

3. Selecione Salvar.

Excluir uma organização

Quando você remove uma organização das Configurações organizacionais, as configurações de acesso padrão entre locatários entram em vigor para ela.

Observação

se a organização for um provedor de serviços de nuvem para sua organização (a propriedade isServiceProvider no Microsoft Graph configuração específica de parceiro for verdadeira), você não poderá remover a organização.

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.

2. Navegue até Identidades>Identidades Externas>Configurações de acesso entre locatários.

3. Selecione a guia Configurações organizacionais.

4. Localize a organização na lista e, em seguida, selecione o ícone de lixeira na linha.

Próximas etapas

Definir as configurações de acesso entre locatários para a colaboração B2B