Gerenciar configurações de acesso entre locatários para colaboração B2B

Aplica-se a: Locatários da força de trabalho (saiba mais)

Use as configurações de Acesso entre locatários das Identidades Externas para gerenciar como colaborar com outras organizações do Microsoft Entra por meio da colaboração B2B. Essas configurações determinam o nível de acesso de entrada que os usuários em organizações externas do Microsoft Entra têm aos seus recursos e o nível de acesso de saída que seus usuários têm a organizações externas. Eles também permitem confiar na MFA (autenticação multifator) e declarações de dispositivo (declarações em conformidade e declarações ingressadas híbridas do Microsoft Entra) de outras organizações do Microsoft Entra. Para obter detalhes e considerações de planejamento, consulte o acesso entre locatários na ID Externa do Microsoft Entra.

Colaboração entre nuvens: Organizações parceiras em diferentes nuvens da Microsoft podem configurar a colaboração B2B entre si. Primeiro, ambas as organizações devem habilitar a colaboração entre si, conforme descrito em Definir configurações de nuvem da Microsoft. Em seguida, cada organização pode, opcionalmente, modificar suas configurações de acesso de entrada e configurações de acesso de saída, conforme descrito abaixo.

Importante

A Microsoft está começando a migrar clientes que usam configurações de acesso entre locatários para um novo modelo de armazenamento em 30 de agosto de 2023. Você pode observar uma entrada em seus logs de auditoria informando que suas configurações de acesso entre locatários foram atualizadas à medida que nossa tarefa automatizada migra suas configurações. Por um breve intervalo de tempo, enquanto a migração é processada, você não poderá fazer alterações nas configurações. Se você não conseguir fazer uma alteração, deverá aguardar alguns instantes e tentar a alteração novamente. Depois que a migração for concluída, você não será mais limitado com 25 kb de espaço de armazenamento e não haverá mais limites para o número de parceiros que você pode adicionar.

Pré-requisitos

Cuidado

Alterar as configurações de entrada ou saída padrão para bloquear o acesso pode bloquear o acesso comercialmente crítico existente a aplicativos em sua organização ou organizações parceiras. Use as ferramentas descritas no acesso entre locatários na ID Externa do Microsoft Entra e consulte os stakeholders de negócios para identificar o acesso necessário.

• Examine a seção Considerações importantes na visão geral do acesso entre locatários antes de definir as configurações de acesso entre locatários.
• Use as ferramentas e siga as recomendações em Identificar entradas de entrada e saída para entender quais organizações e recursos externos do Microsoft Entra estão acessando no momento.
• Decida o nível padrão de acesso que deseja aplicar a todas as organizações externas do Microsoft Entra.
• Identifique as organizações do Microsoft Entra que precisam de configurações personalizadas para que você possa definir as configurações organizacionais para elas .
• Caso deseje aplicar as configurações de acesso a usuários, grupos ou aplicativos específicos em uma organização externa, entre em contato com a organização para obter informações antes de definir as configurações. Obtenha suas IDs de objeto de usuário, IDs de objeto de grupo ou IDs de aplicativo (IDs de aplicativo cliente ou IDs de aplicativo de recurso) para que você possa direcionar suas configurações corretamente.
• Se você quiser configurar a colaboração B2B com uma organização parceira em uma nuvem externa do Microsoft Azure, siga as etapas para definir as configurações de nuvem da Microsoft. Um administrador na organização parceira precisa fazer o mesmo para seu locatário.
• As configurações de lista de permissões/bloqueios e de acesso entre locatários são verificadas no momento do convite. Se o domínio de um usuário estiver na lista de permitidos, ele poderá ser convidado, a menos que o domínio esteja explicitamente bloqueado nas configurações de acesso entre locatários. Se o domínio de um usuário estiver na lista de bloqueados, ele não poderá ser convidado, independentemente das configurações de acesso entre locatários. Se um usuário não estiver em nenhuma das listas, vamos verificar as configurações de acesso entre locatários para determinar se ele pode ser convidado.

Definir as configurações padrão

As configurações padrão de acesso multilocatário se aplicam a todas as organizações externas para as quais você não criou configurações personalizadas específicas da organização. Caso deseje modificar as configurações padrão fornecidas pela ID do Microsoft Entra, siga estas etapas.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue atéas configurações de acesso entre locatários das Identidades Externas> da > do Entra e selecione as configurações de acesso entre locatários.

3. Selecione a guia Configurações padrão e examine a página de resumo.

   

4. Para alterar as configurações, selecione o link Editar padrões de entrada ou o link Editar padrões de saída .

   

5. Modifique as configurações padrão seguindo as etapas detalhadas nestas seções:

   • Modificar configurações de acesso de entrada
   • Modificar configurações de acesso de saída

Adicionar uma organização

Siga estas etapas para definir configurações personalizadas para organizações específicas.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue atéas configurações de acesso entre locatários de> da > do Entra e selecione as configurações organizacionais.

3. Selecione Adicionar organização.

4. No painel Adicionar organização , digite o nome de domínio completo (ou ID do locatário) para a organização.

   

5. Selecione a organização nos resultados da pesquisa e selecione Adicionar.

6. A organização aparece na lista de configurações organizacionais . Neste ponto, todas as configurações de acesso dessa organização são herdadas das configurações padrão. Para alterar as configurações dessa organização, selecione o link Herdado do padrãona coluna de acesso de entrada ou de saída .

   

7. Modifique as configurações da organização seguindo as etapas detalhadas nestas seções:

   • Modificar configurações de acesso de entrada
   • Modificar configurações de acesso de saída

Modificar configurações de acesso de entrada

Com as configurações de entrada, selecione quais usuários e grupos externos podem acessar os aplicativos internos escolhidos por você. Se você estiver definindo configurações padrão ou configurações específicas da organização, as etapas para alterar as configurações de acesso entre locatários de entrada serão as mesmas. Conforme descrito nesta seção, você navega até a guia Padrão ou uma organização na guia Configurações organizacionais e, em seguida, faz suas alterações.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue atéas configurações de acesso entre locatários de> da > do Entra.

3. Navegue até as configurações que deseja modificar:

   • Configurações padrão: para modificar as configurações de entrada padrão, selecione a guia Configurações padrão e, em seguida, nas configurações de acesso de entrada, selecione Editar padrões de entrada.
   • Configurações organizacionais: para modificar as configurações de uma organização específica, selecione a guia Configurações organizacionais , localize a organização na lista (ou adicione uma) e selecione o link na coluna de acesso de entrada .

4. Siga as etapas detalhadas para as configurações de entrada que deseja alterar:

   • Para alterar as configurações de colaboração B2B de entrada
   • Para alterar as configurações de confiança de entrada para aceitar declarações de MFA e dispositivo

Observação

Se você estiver usando os recursos de compartilhamento nativo no Microsoft SharePoint e no Microsoft OneDrive com a integração do Microsoft Entra B2B habilitada, adicione os domínios externos às configurações de colaboração externa. Caso contrário, os convites desses aplicativos poderão falhar, mesmo que o locatário externo tenha sido adicionado nas configurações de acesso entre locatários.

Para alterar as configurações da colaboração B2B de entrada

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue atéas configurações de acesso entre locatários de> da > do Entra e selecione as configurações organizacionais

3. Selecione o link na coluna de acesso de entrada e a colaboração B2B Se você bloquear o acesso a todos os usuários e grupos externos, você também precisará bloquear o acesso a todos os seus aplicativos internos.

4. Se estiver definindo configurações de acesso de entrada para uma organização específica, selecione uma opção:

   • Configurações padrão: selecione essa opção se quiser que a organização use as configurações de entrada padrão (conforme configurado nas configurações padrão se você bloquear o acesso para todos os usuários e grupos externos, você também precisará bloquear o acesso a todos os seus aplicativos internos. Se as configurações personalizadas já estiverem configuradas para essa organização, você precisará selecionar Sim para confirmar se deseja que todas as configurações sejam substituídas pelas configurações padrão. Em seguida, selecione Salvar e ignore o restante das etapas neste procedimento.

   • Personalizar configurações: selecione essa opção se você quiser personalizar as configurações a serem impostas para essa organização em vez das configurações padrão. Continue com o restante das etapas deste procedimento.

5. Selecione usuários e grupos externos.

6. No status do Access, selecione um dos seguintes:

   • Permitir acesso: permite que os usuários e grupos especificados em Applies sejam convidados para colaboração B2B.
   • Bloquear o acesso: impede que os usuários e grupos especificados em Applies sejam convidados para colaboração B2B.

   

7. Em Aplica-se a, selecione um dos seguintes:

   • Todos os usuários e grupos externos: aplica a ação escolhida no status do Access a todos os usuários e grupos de organizações externas do Microsoft Entra.
   • Selecione usuários e grupos externos (requer uma assinatura do Microsoft Entra ID P1 ou P2): permite aplicar a ação escolhida no status do Access a usuários e grupos específicos dentro da organização externa.

   Observação

   Se você bloquear o acesso a todos os usuários e grupos externos, também precisará bloquear o acesso a todos os seus aplicativos internos (na guia Aplicativos ). Se você tiver configurado a sincronização entre locatários, bloquear o acesso a todos os usuários e grupos externos poderá bloquear a sincronização entre locatários.

   

8. Se você escolheu Selecionar usuários e grupos externos, faça o seguinte para cada usuário ou grupo que deseja adicionar:

   • Selecione Adicionar usuários e grupos externos.
   • No painel Adicionar outros usuários e grupos , na caixa de pesquisa, digite a ID do objeto de usuário ou a ID do objeto de grupo obtida de sua organização parceira.
   • No menu ao lado da caixa de pesquisa, escolha usuário ou grupo.
   • Selecione Adicionar.

   Observação

   Você não pode direcionar usuários ou grupos nas configurações de entrada padrão.

   

9. Quando terminar de adicionar usuários e grupos, selecione Enviar.

   

10. Selecione a guia Aplicativos .

11. No status do Access, selecione um dos seguintes:

    • Permitir acesso: permite que os aplicativos especificados em Applies sejam acessados por usuários de colaboração B2B.
    • Bloquear o acesso: impede que os aplicativos especificados em Applies sejam acessados por usuários de colaboração B2B.

    

12. Em Aplica-se a, selecione um dos seguintes:

    • Todos os aplicativos: aplica a ação que você escolheu no status do Access a todos os seus aplicativos.
    • Selecionar aplicativos (requer uma assinatura do Microsoft Entra ID P1 ou P2): permite aplicar a ação escolhida no status do Access a aplicativos específicos em sua organização.

    Observação

    Se você bloquear o acesso a todos os aplicativos, também precisará bloquear o acesso a todos os usuários e grupos externos (na guia Usuários e grupos externos ).

    

13. Se você escolheu Selecionar aplicativos, faça o seguinte para cada aplicativo que deseja adicionar:

    • Selecione Adicionar aplicativos da Microsoft ou Adicionar outros aplicativos.
    • No painel Selecionar , digite o nome do aplicativo ou a ID do aplicativo (a ID do aplicativo cliente ou a ID do aplicativo de recurso) na caixa de pesquisa. Em seguida, escolha o aplicativo nos resultados da pesquisa. Repita a etapa para cada aplicativo que deseja adicionar.
    • Quando terminar de selecionar aplicativos, escolha Selecionar.

    

14. Selecione Salvar.

Considerações para permitir aplicativos da Microsoft

Se você quiser definir as configurações de acesso entre locatários para permitir apenas um conjunto designado de aplicativos, considere adicionar os aplicativos da Microsoft mostrados na tabela a seguir. Por exemplo, se você configurar uma lista de permissões e permitir apenas o SharePoint Online, o usuário não poderá acessar Meus Aplicativos ou registrar-se para MFA no locatário do recurso. Para garantir uma experiência tranquila do usuário final, inclua os seguintes aplicativos em suas configurações de colaboração de entrada e saída.

Aplicativo	ID do recurso	Disponível no portal	Detalhes
Meus Aplicativos	2793995E-0A7D-40D7-BD35-6968BA142197	Sim	Página de destino padrão após o convite resgatado. Define o acesso ao myapplications.microsoft.com.
Painel de Acesso do Aplicativo da Microsoft	0000000c-0000-0000-c000-00000000000000000	Não	Usado em algumas chamadas atrasadas ao carregar determinadas páginas em Minhas entradas. Por exemplo, a folha Informações de Segurança ou o alternador Organizações.
Meu Perfil	8c59ead7-d703-4a27-9e55-c96a0054c8d2	Sim	Define o acesso para myaccount.microsoft.com incluir os portais Meus Grupos e Meu Acesso. Algumas guias em Meu perfil exigem os outros aplicativos listados aqui para funcionar.
Meus logins	19db86c3-b2b9-44cc-b339-36da233a3be2	Não	Define o acesso para mysignins.microsoft.com incluir o acesso às informações de segurança. Permita esse aplicativo se você exigir que os usuários se registrem e usem a MFA no locatário do recurso (por exemplo, a MFA não é confiável do locatário inicial).

Alguns dos aplicativos na tabela anterior não permitem a seleção do centro de administração do Microsoft Entra. Para permiti-los, adicione-os com a API do Microsoft Graph, conforme mostrado no exemplo a seguir:

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

Observação

Certifique-se de incluir todos os aplicativos adicionais que deseja permitir na solicitação PATCH, pois isso substituirá todos os aplicativos configurados anteriormente. Os aplicativos que já estão configurados podem ser recuperados manualmente do portal ou executando uma solicitação GET na política de parceiro. Por exemplo, GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>

Observação

Os aplicativos adicionados por meio da API do Microsoft Graph que não são mapeados para um aplicativo disponível no centro de administração do Microsoft Entra serão exibidos como a ID do aplicativo.

Você não pode adicionar o aplicativo Portais de Administração da Microsoft às configurações de acesso entre locatários de entrada e saída no centro de administração do Microsoft Entra. Para permitir o acesso externo aos portais de administração da Microsoft, use a API do Microsoft Graph para adicionar individualmente os seguintes aplicativos que fazem parte do grupo de aplicativos Portais de Administração da Microsoft:

• Portal do Azure (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Centro de administração do Microsoft Entra (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Portal do Microsoft 365 Defender (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Centro de administração do Microsoft Intune (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Portal do Microsoft Purview (80ccca67-54bd-44ab-8625-4b79c4dc7775)

Configurar a ordem de resgate

Para personalizar a ordem dos provedores de identidade que os usuários convidados podem usar para entrar quando aceitarem o convite, siga as seguintes etapas.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue atéas configurações de acesso entre locatários de> da > do Entra.

3. Na guia Configurações padrão , em configurações de acesso de entrada, selecione Editar padrões de entrada.

4. Na guia colaboração B2B , selecione a guia Pedido de Resgate .

5. Mova os provedores de identidade para cima ou para baixo para alterar a ordem em que os usuários convidados podem se conectar quando aceitarem seu convite. Também é possível redefinir a ordem de resgate para as configurações padrão aqui.

   

6. Selecione Salvar.

Você também pode personalizar a ordem de resgate por meio da API do Microsoft Graph.

1. Abra o Microsoft Graph Explorer.

2. Entre como pelo menos um Administrador de Segurança em seu locatário de recurso.

3. Execute a seguinte consulta para obter a ordem de resgate atual:

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default

4. Neste exemplo, moveremos a federação IdP SAML/WS-Fed para a parte superior da ordem de resgate acima do provedor de identidade Microsoft Entra. Corrija o mesmo URI com este corpo da solicitação:

{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}

5. Para verificar as alterações que executam a consulta GET novamente.

6. Para redefinir a ordem de resgate para as configurações padrão, execute a seguinte consulta:

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

Federação SAML/WS-Fed (Federação direta) para domínios verificados do Microsoft Entra ID

Agora você pode adicionar seu domínio verificado Microsoft Entra ID alistado para configurar a relação de federação direta. Primeiro, você precisa configurar a configuração de federação direta no centro de administração ou por meio da API. Verifique se o domínio não está verificado no mesmo locatário. Depois que a configuração for definida, você poderá personalizar a ordem de resgate. O IdP SAML/WS-Fed é adicionado à ordem de resgate como a última entrada. Você pode movê-lo para cima na ordem de resgate para defini-lo acima do provedor de identidade Microsoft Entra.

Impedir que os usuários B2B resgatem um convite usando contas Microsoft

Para impedir que os usuários convidados B2B resgatem seus convites usando suas contas Microsoft existentes ou criem uma nova para aceitar o convite, siga as etapas abaixo.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança

2. Navegue atéas configurações de acesso entre locatários de> da > do Entra.

3. Na guia Configurações padrão , em configurações de acesso de entrada, selecione Editar padrões de entrada.

4. Na guia colaboração B2B , selecione a guia Pedido de Resgate .

5. Em provedores de identidade de Fallback, desabilite a MSA (conta de serviço da Microsoft).

   

6. Selecione Salvar.

É necessário ter pelo menos um provedor de identidade de fallback habilitado a qualquer momento. Se você quiser desabilitar as contas Microsoft, deverá habilitar a senha de uso único de email. Não é possível desabilitar ambos os provedores de identidade de fallback. Todos os usuários convidados existentes conectados com contas da Microsoft continuam usando-o durante as entradas subsequentes. Você precisa redefinir o status de resgate para que essa configuração seja aplicada.

Para alterar as configurações de confiança de entrada para a MFA e as declarações de dispositivo

1. Selecione a guia Configurações de confiança .

2. (Esta etapa se aplica somente às configurações organizacionais .) Se você estiver definindo as configurações de uma organização, selecione uma das seguintes opções:

   • Configurações padrão: a organização usa as configurações definidas na guia Configurações padrão . Se as configurações personalizadas já estiverem configuradas para essa organização, selecione Sim para confirmar se deseja que todas as configurações sejam substituídas pelas configurações padrão. Em seguida, selecione Salvar e ignore o restante das etapas neste procedimento.

   • Personalizar configurações: você pode personalizar as configurações a serem impostas para essa organização em vez das configurações padrão. Continue com o restante das etapas deste procedimento.

3. Selecione uma ou mais das seguintes opções:

   • Confiar na autenticação multifator dos locatários do Microsoft Entra: marque esta caixa de seleção para permitir que suas políticas de Acesso Condicional confiem em declarações de MFA de organizações externas. Durante a autenticação, o Microsoft Entra ID verifica as credenciais de um usuário em busca de uma declaração de que ele concluiu a MFA. Caso contrário, um desafio da MFA é iniciado no locatário inicial do usuário. Essa configuração não será aplicada se um usuário externo entrar usando GDAP (privilégios de administrador delegado granulares), como usado por um técnico em um Provedor de Serviços de Nuvem que administra serviços em seu locatário. Quando um usuário externo entra usando GDAP, a MFA é sempre necessária no locatário inicial do usuário e sempre confiável no locatário do recurso. O registro da MFA de um usuário de GDAP não é aceito fora do locatário inicial do usuário. Se sua organização tiver um requisito para não permitir o acesso a técnicos do provedor de serviços com base na MFA no locatário residencial do usuário, você poderá remover a relação GDAP no Centro de administração do Microsoft 365.

   • Dispositivos compatíveis com a confiança: permite que suas políticas de Acesso Condicional confiem em declarações de dispositivo em conformidade de uma organização externa quando seus usuários acessam seus recursos.

   • Confiar em dispositivos ingressados híbridos do Microsoft Entra: permite que suas políticas de Acesso Condicional confiem em declarações de dispositivo ingressado híbrido do Microsoft Entra de uma organização externa quando seus usuários acessam seus recursos.

   

4. (Esta etapa se aplica somente às configurações organizacionais .) Examine a opção resgate automático :

   • Resgatar convites automaticamente com o locatário<locatário>: verifique essa configuração se você deseja resgatar convites automaticamente. Nesse caso, os usuários do locatário especificado não precisarão aceitar o prompt de consentimento na primeira vez que acessarem esse locatário usando sincronização entre locatários, colaboração B2B ou conexão direta de B2B. Essa configuração só suprimirá a solicitação de consentimento se o locatário especificado também marcar o acesso de saída nessa configuração.

   

5. Selecione Salvar.

Permitir que os usuários sincronizem neste locatário

Se você selecionar o acesso de entrada da organização adicionada, verá a guia Sincronização entre locatários e a caixa permitir que os usuários sincronizem nessa caixa de seleção de locatário. A sincronização entre locatários é um serviço de sincronização unidirecional do Microsoft Entra ID que automatiza a criação, atualização e exclusão de usuários da colaboração B2B nos diversos locatários de uma organização. Para obter mais informações, consulte Configurar a sincronização entre locatários e a documentação de organizações multilocatários.

Modificar as configurações de acesso de saída

Com as configurações de saída, selecione quais usuários e grupos podem acessar os aplicativos externos escolhidos por você. Se você estiver definindo configurações padrão ou configurações específicas da organização, as etapas para alterar as configurações de acesso entre locatários de saída serão as mesmas. Conforme descrito nesta seção, você navega até a guia Padrão ou uma organização na guia Configurações organizacionais e, em seguida, faz suas alterações.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue atéas configurações de acesso entre locatários de> da > do Entra.

3. Navegue até as configurações que deseja modificar:

   • Para modificar as configurações de saída padrão, selecione a guia Configurações padrão e, em seguida, nas configurações de acesso de saída, selecione Editar padrões de saída.

   • Para modificar as configurações de uma organização específica, selecione a guia Configurações organizacionais , localize a organização na lista (ou adicione uma) e selecione o link na coluna de acesso de saída .

4. Selecione a guia colaboração B2B .

5. (Esta etapa se aplica somente às configurações organizacionais .) Se você estiver definindo as configurações de uma organização, selecione uma opção:

   • Configurações padrão: a organização usa as configurações definidas na guia Configurações padrão . Se as configurações personalizadas já estiverem configuradas para essa organização, você precisará selecionar Sim para confirmar se deseja que todas as configurações sejam substituídas pelas configurações padrão. Em seguida, selecione Salvar e ignore o restante das etapas neste procedimento.

   • Personalizar configurações: você pode personalizar as configurações a serem impostas para essa organização em vez das configurações padrão. Continue com o restante das etapas deste procedimento.

6. Selecione Usuários e grupos.

7. No status do Access, selecione um dos seguintes:

   • Permitir acesso: permite que seus usuários e grupos especificados em Applies sejam convidados para organizações externas para colaboração B2B.
   • Bloquear o acesso: bloqueia os usuários e grupos especificados em Aplica-se a serem convidados para a colaboração B2B. Se você bloquear o acesso para todos os usuários e grupos, isso também impedirá que todos os aplicativos externos sejam acessados por meio da colaboração B2B.

   

8. Em Aplica-se a, selecione um dos seguintes:

   • Todos os <usuários da sua organização>: aplica a ação que você escolheu no status do Access a todos os seus usuários e grupos.
   • Selecione <os usuários e grupos da sua organização> (requer uma assinatura do Microsoft Entra ID P1 ou P2): permite aplicar a ação escolhida no status do Access a usuários e grupos específicos.

   Observação

   Se você bloquear o acesso a todos os seus usuários e grupos, também precisará bloquear o acesso a todos os aplicativos externos (na guia Aplicativos externos ).

   

9. Se você escolheu Selecionar <usuários e grupos da sua organização>, faça o seguinte para cada usuário ou grupo que deseja adicionar:

   • Selecione Adicionar <usuários e grupos da sua organização>.
   • No painel Selecionar , digite o nome de usuário ou o nome de grupo na caixa de pesquisa.
   • Escolha o usuário ou o grupo nos resultados da pesquisa.
   • Quando terminar de selecionar os usuários e grupos que deseja adicionar, escolha Selecionar.

   Observação

   Ao direcionar seus usuários e grupos, você não poderá selecionar usuários que configuraram a autenticação baseada em SMS. Isso ocorre porque os usuários que têm uma "credencial federada" em seu objeto de usuário são bloqueados para impedir que usuários externos sejam adicionados às configurações de acesso de saída. Como solução alternativa, você pode usar a API do Microsoft Graph para adicionar a ID de objeto do usuário diretamente ou direcionar um grupo ao qual o usuário pertence.

10. Selecione a guia Aplicativos externos .

11. No status do Access, selecione um dos seguintes:

    • Permitir acesso: permite que os aplicativos externos especificados em Applies sejam acessados por seus usuários por meio da colaboração B2B.
    • Bloquear o acesso: impede que os aplicativos externos especificados em Applies sejam acessados por seus usuários por meio da colaboração B2B.

    

12. Em Aplica-se a, selecione um dos seguintes:

    • Todos os aplicativos externos: aplica a ação que você escolheu no status do Access a todos os aplicativos externos.
    • Selecione aplicativos externos: aplica a ação que você escolheu no status do Access a todos os aplicativos externos.

    Observação

    Se você bloquear o acesso a todos os aplicativos externos, também precisará bloquear o acesso para todos os usuários e grupos (na guia Usuários e grupos ).

    

13. Se você escolheu Selecionar aplicativos externos, faça o seguinte para cada aplicativo que deseja adicionar:

    • Selecione Adicionar aplicativos da Microsoft ou Adicionar outros aplicativos.
    • Na caixa de pesquisa, digite o nome do aplicativo ou a ID do aplicativo (a ID do aplicativo cliente ou a ID do aplicativo de recurso). Em seguida, escolha o aplicativo nos resultados da pesquisa. Repita a etapa para cada aplicativo que deseja adicionar.
    • Quando terminar de selecionar aplicativos, escolha Selecionar.

    

14. Selecione Salvar.

Para alterar configurações de confiança de saída

(Esta seção se aplica somente às configurações organizacionais .)

1. Selecione a guia Configurações de confiança .

2. Examine a opção resgate automático :

   • Resgatar convites automaticamente com o locatário<locatário>: verifique essa configuração se você deseja resgatar convites automaticamente. Nesse caso, os usuários do locatário não precisam aceitar o prompt de consentimento na primeira vez que acessarem o locatário especificado usando a sincronização entre locatários, a colaboração B2B ou a conexão direta de B2B. Essa configuração só suprimirá a solicitação de consentimento se o locatário especificado também marcar o acesso de entrada nessa configuração.

     

3. Selecione Salvar.

Excluir uma organização

Quando você remove uma organização das Configurações organizacionais, as configurações de acesso padrão entre locatários entram em vigor para ela.

Observação

Se a organização for um provedor de serviços de nuvem para sua organização (a propriedade isServiceProvider na configuração específica do parceiro do Microsoft Graph é verdadeira), você não poderá remover a organização.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue atéas configurações de acesso entre locatários de> da > do Entra.

3. Selecione a guia Configurações organizacionais .

4. Localize a organização na lista e, em seguida, selecione o ícone de lixeira na linha.

Conteúdo relacionado

• Definir configurações de colaboração externa
• Definir as configurações de acesso entre locatários para a conexão direta de B2B

Aplica-se a: Locatários da força de trabalho (saiba mais)

Use as configurações de Acesso entre locatários das Identidades Externas para gerenciar como colaborar com outras organizações do Microsoft Entra por meio da colaboração B2B. Essas configurações determinam o nível de acesso de entrada que os usuários em organizações externas do Microsoft Entra têm aos seus recursos e o nível de acesso de saída que seus usuários têm a organizações externas. Eles também permitem confiar na MFA (autenticação multifator) e declarações de dispositivo (declarações em conformidade e declarações ingressadas híbridas do Microsoft Entra) de outras organizações do Microsoft Entra. Para obter detalhes e considerações de planejamento, consulte o acesso entre locatários na ID Externa do Microsoft Entra.

Colaboração entre nuvens: Organizações parceiras em diferentes nuvens da Microsoft podem configurar a colaboração B2B entre si. Primeiro, ambas as organizações devem habilitar a colaboração entre si, conforme descrito em Definir configurações de nuvem da Microsoft. Em seguida, cada organização pode, opcionalmente, modificar suas configurações de acesso de entrada e configurações de acesso de saída, conforme descrito abaixo.

Importante

A Microsoft está começando a migrar clientes que usam configurações de acesso entre locatários para um novo modelo de armazenamento em 30 de agosto de 2023. Você pode observar uma entrada em seus logs de auditoria informando que suas configurações de acesso entre locatários foram atualizadas à medida que nossa tarefa automatizada migra suas configurações. Por um breve intervalo de tempo, enquanto a migração é processada, você não poderá fazer alterações nas configurações. Se você não conseguir fazer uma alteração, deverá aguardar alguns instantes e tentar a alteração novamente. Depois que a migração for concluída, você não será mais limitado com 25 kb de espaço de armazenamento e não haverá mais limites para o número de parceiros que você pode adicionar.

Cuidado

Alterar as configurações de entrada ou saída padrão para bloquear o acesso pode bloquear o acesso comercialmente crítico existente a aplicativos em sua organização ou organizações parceiras. Use as ferramentas descritas no acesso entre locatários na ID Externa do Microsoft Entra e consulte os stakeholders de negócios para identificar o acesso necessário.

• Examine a seção Considerações importantes na visão geral do acesso entre locatários antes de definir as configurações de acesso entre locatários.
• Use as ferramentas e siga as recomendações em Identificar entradas de entrada e saída para entender quais organizações e recursos externos do Microsoft Entra estão acessando no momento.
• Decida o nível padrão de acesso que deseja aplicar a todas as organizações externas do Microsoft Entra.
• Identifique as organizações do Microsoft Entra que precisam de configurações personalizadas para que você possa definir as configurações organizacionais para elas .
• Caso deseje aplicar as configurações de acesso a usuários, grupos ou aplicativos específicos em uma organização externa, entre em contato com a organização para obter informações antes de definir as configurações. Obtenha suas IDs de objeto de usuário, IDs de objeto de grupo ou IDs de aplicativo (IDs de aplicativo cliente ou IDs de aplicativo de recurso) para que você possa direcionar suas configurações corretamente.
• Se você quiser configurar a colaboração B2B com uma organização parceira em uma nuvem externa do Microsoft Azure, siga as etapas para definir as configurações de nuvem da Microsoft. Um administrador na organização parceira precisa fazer o mesmo para seu locatário.
• As configurações de lista de permissões/bloqueios e de acesso entre locatários são verificadas no momento do convite. Se o domínio de um usuário estiver na lista de permitidos, ele poderá ser convidado, a menos que o domínio esteja explicitamente bloqueado nas configurações de acesso entre locatários. Se o domínio de um usuário estiver na lista de bloqueados, ele não poderá ser convidado, independentemente das configurações de acesso entre locatários. Se um usuário não estiver em nenhuma das listas, vamos verificar as configurações de acesso entre locatários para determinar se ele pode ser convidado.

As configurações padrão de acesso multilocatário se aplicam a todas as organizações externas para as quais você não criou configurações personalizadas específicas da organização. Caso deseje modificar as configurações padrão fornecidas pela ID do Microsoft Entra, siga estas etapas.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue atéas configurações de acesso entre locatários das Identidades Externas> da > do Entra e selecione as configurações de acesso entre locatários.

3. Selecione a guia Configurações padrão e examine a página de resumo.

   

4. Para alterar as configurações, selecione o link Editar padrões de entrada ou o link Editar padrões de saída .

   

5. Modifique as configurações padrão seguindo as etapas detalhadas nestas seções:

   • Modificar configurações de acesso de entrada
   • Modificar configurações de acesso de saída

Siga estas etapas para definir configurações personalizadas para organizações específicas.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue atéas configurações de acesso entre locatários de> da > do Entra e selecione as configurações organizacionais.

3. Selecione Adicionar organização.

4. No painel Adicionar organização , digite o nome de domínio completo (ou ID do locatário) para a organização.

   

5. Selecione a organização nos resultados da pesquisa e selecione Adicionar.

6. A organização aparece na lista de configurações organizacionais . Neste ponto, todas as configurações de acesso dessa organização são herdadas das configurações padrão. Para alterar as configurações dessa organização, selecione o link Herdado do padrãona coluna de acesso de entrada ou de saída .

   

7. Modifique as configurações da organização seguindo as etapas detalhadas nestas seções:

   • Modificar configurações de acesso de entrada
   • Modificar configurações de acesso de saída

Com as configurações de entrada, selecione quais usuários e grupos externos podem acessar os aplicativos internos escolhidos por você. Se você estiver definindo configurações padrão ou configurações específicas da organização, as etapas para alterar as configurações de acesso entre locatários de entrada serão as mesmas. Conforme descrito nesta seção, você navega até a guia Padrão ou uma organização na guia Configurações organizacionais e, em seguida, faz suas alterações.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue atéas configurações de acesso entre locatários de> da > do Entra.

3. Navegue até as configurações que deseja modificar:

   • Configurações padrão: para modificar as configurações de entrada padrão, selecione a guia Configurações padrão e, em seguida, nas configurações de acesso de entrada, selecione Editar padrões de entrada.
   • Configurações organizacionais: para modificar as configurações de uma organização específica, selecione a guia Configurações organizacionais , localize a organização na lista (ou adicione uma) e selecione o link na coluna de acesso de entrada .

4. Siga as etapas detalhadas para as configurações de entrada que deseja alterar:

   • Para alterar as configurações de colaboração B2B de entrada
   • Para alterar as configurações de confiança de entrada para aceitar declarações de MFA e dispositivo

Observação

Se você estiver usando os recursos de compartilhamento nativo no Microsoft SharePoint e no Microsoft OneDrive com a integração do Microsoft Entra B2B habilitada, adicione os domínios externos às configurações de colaboração externa. Caso contrário, os convites desses aplicativos poderão falhar, mesmo que o locatário externo tenha sido adicionado nas configurações de acesso entre locatários.

Para alterar as configurações da colaboração B2B de entrada

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue atéas configurações de acesso entre locatários de> da > do Entra e selecione as configurações organizacionais

3. Selecione o link na coluna de acesso de entrada e a colaboração B2B Se você bloquear o acesso a todos os usuários e grupos externos, você também precisará bloquear o acesso a todos os seus aplicativos internos.

4. Se estiver definindo configurações de acesso de entrada para uma organização específica, selecione uma opção:

   • Configurações padrão: selecione essa opção se quiser que a organização use as configurações de entrada padrão (conforme configurado nas configurações padrão se você bloquear o acesso para todos os usuários e grupos externos, você também precisará bloquear o acesso a todos os seus aplicativos internos. Se as configurações personalizadas já estiverem configuradas para essa organização, você precisará selecionar Sim para confirmar se deseja que todas as configurações sejam substituídas pelas configurações padrão. Em seguida, selecione Salvar e ignore o restante das etapas neste procedimento.

   • Personalizar configurações: selecione essa opção se você quiser personalizar as configurações a serem impostas para essa organização em vez das configurações padrão. Continue com o restante das etapas deste procedimento.

5. Selecione usuários e grupos externos.

6. No status do Access, selecione um dos seguintes:

   • Permitir acesso: permite que os usuários e grupos especificados em Applies sejam convidados para colaboração B2B.
   • Bloquear o acesso: impede que os usuários e grupos especificados em Applies sejam convidados para colaboração B2B.

   

7. Em Aplica-se a, selecione um dos seguintes:

   • Todos os usuários e grupos externos: aplica a ação escolhida no status do Access a todos os usuários e grupos de organizações externas do Microsoft Entra.
   • Selecione usuários e grupos externos (requer uma assinatura do Microsoft Entra ID P1 ou P2): permite aplicar a ação escolhida no status do Access a usuários e grupos específicos dentro da organização externa.

   Observação

   Se você bloquear o acesso a todos os usuários e grupos externos, também precisará bloquear o acesso a todos os seus aplicativos internos (na guia Aplicativos ). Se você tiver configurado a sincronização entre locatários, bloquear o acesso a todos os usuários e grupos externos poderá bloquear a sincronização entre locatários.

   

8. Se você escolheu Selecionar usuários e grupos externos, faça o seguinte para cada usuário ou grupo que deseja adicionar:

   • Selecione Adicionar usuários e grupos externos.
   • No painel Adicionar outros usuários e grupos , na caixa de pesquisa, digite a ID do objeto de usuário ou a ID do objeto de grupo obtida de sua organização parceira.
   • No menu ao lado da caixa de pesquisa, escolha usuário ou grupo.
   • Selecione Adicionar.

   Observação

   Você não pode direcionar usuários ou grupos nas configurações de entrada padrão.

   

9. Quando terminar de adicionar usuários e grupos, selecione Enviar.

   

10. Selecione a guia Aplicativos .

11. No status do Access, selecione um dos seguintes:

    • Permitir acesso: permite que os aplicativos especificados em Applies sejam acessados por usuários de colaboração B2B.
    • Bloquear o acesso: impede que os aplicativos especificados em Applies sejam acessados por usuários de colaboração B2B.

    

12. Em Aplica-se a, selecione um dos seguintes:

    • Todos os aplicativos: aplica a ação que você escolheu no status do Access a todos os seus aplicativos.
    • Selecionar aplicativos (requer uma assinatura do Microsoft Entra ID P1 ou P2): permite aplicar a ação escolhida no status do Access a aplicativos específicos em sua organização.

    Observação

    Se você bloquear o acesso a todos os aplicativos, também precisará bloquear o acesso a todos os usuários e grupos externos (na guia Usuários e grupos externos ).

    

13. Se você escolheu Selecionar aplicativos, faça o seguinte para cada aplicativo que deseja adicionar:

    • Selecione Adicionar aplicativos da Microsoft ou Adicionar outros aplicativos.
    • No painel Selecionar , digite o nome do aplicativo ou a ID do aplicativo (a ID do aplicativo cliente ou a ID do aplicativo de recurso) na caixa de pesquisa. Em seguida, escolha o aplicativo nos resultados da pesquisa. Repita a etapa para cada aplicativo que deseja adicionar.
    • Quando terminar de selecionar aplicativos, escolha Selecionar.

    

14. Selecione Salvar.

Considerações para permitir aplicativos da Microsoft

Se você quiser definir as configurações de acesso entre locatários para permitir apenas um conjunto designado de aplicativos, considere adicionar os aplicativos da Microsoft mostrados na tabela a seguir. Por exemplo, se você configurar uma lista de permissões e permitir apenas o SharePoint Online, o usuário não poderá acessar Meus Aplicativos ou registrar-se para MFA no locatário do recurso. Para garantir uma experiência tranquila do usuário final, inclua os seguintes aplicativos em suas configurações de colaboração de entrada e saída.

Aplicativo	ID do recurso	Disponível no portal	Detalhes
Meus Aplicativos	2793995E-0A7D-40D7-BD35-6968BA142197	Sim	Página de destino padrão após o convite resgatado. Define o acesso ao myapplications.microsoft.com.
Painel de Acesso do Aplicativo da Microsoft	0000000c-0000-0000-c000-00000000000000000	Não	Usado em algumas chamadas atrasadas ao carregar determinadas páginas em Minhas entradas. Por exemplo, a folha Informações de Segurança ou o alternador Organizações.
Meu Perfil	8c59ead7-d703-4a27-9e55-c96a0054c8d2	Sim	Define o acesso para myaccount.microsoft.com incluir os portais Meus Grupos e Meu Acesso. Algumas guias em Meu perfil exigem os outros aplicativos listados aqui para funcionar.
Meus logins	19db86c3-b2b9-44cc-b339-36da233a3be2	Não	Define o acesso para mysignins.microsoft.com incluir o acesso às informações de segurança. Permita esse aplicativo se você exigir que os usuários se registrem e usem a MFA no locatário do recurso (por exemplo, a MFA não é confiável do locatário inicial).

Alguns dos aplicativos na tabela anterior não permitem a seleção do centro de administração do Microsoft Entra. Para permiti-los, adicione-os com a API do Microsoft Graph, conforme mostrado no exemplo a seguir:

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

Observação

Certifique-se de incluir todos os aplicativos adicionais que deseja permitir na solicitação PATCH, pois isso substituirá todos os aplicativos configurados anteriormente. Os aplicativos que já estão configurados podem ser recuperados manualmente do portal ou executando uma solicitação GET na política de parceiro. Por exemplo, GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>

Observação

Os aplicativos adicionados por meio da API do Microsoft Graph que não são mapeados para um aplicativo disponível no centro de administração do Microsoft Entra serão exibidos como a ID do aplicativo.

Você não pode adicionar o aplicativo Portais de Administração da Microsoft às configurações de acesso entre locatários de entrada e saída no centro de administração do Microsoft Entra. Para permitir o acesso externo aos portais de administração da Microsoft, use a API do Microsoft Graph para adicionar individualmente os seguintes aplicativos que fazem parte do grupo de aplicativos Portais de Administração da Microsoft:

• Portal do Azure (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Centro de administração do Microsoft Entra (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Portal do Microsoft 365 Defender (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Centro de administração do Microsoft Intune (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Portal do Microsoft Purview (80ccca67-54bd-44ab-8625-4b79c4dc7775)

Configurar a ordem de resgate

Para personalizar a ordem dos provedores de identidade que os usuários convidados podem usar para entrar quando aceitarem o convite, siga as seguintes etapas.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue atéas configurações de acesso entre locatários de> da > do Entra.

3. Na guia Configurações padrão , em configurações de acesso de entrada, selecione Editar padrões de entrada.

4. Na guia colaboração B2B , selecione a guia Pedido de Resgate .

5. Mova os provedores de identidade para cima ou para baixo para alterar a ordem em que os usuários convidados podem se conectar quando aceitarem seu convite. Também é possível redefinir a ordem de resgate para as configurações padrão aqui.

   

6. Selecione Salvar.

Você também pode personalizar a ordem de resgate por meio da API do Microsoft Graph.

1. Abra o Microsoft Graph Explorer.

2. Entre como pelo menos um Administrador de Segurança em seu locatário de recurso.

3. Execute a seguinte consulta para obter a ordem de resgate atual:

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default

4. Neste exemplo, moveremos a federação IdP SAML/WS-Fed para a parte superior da ordem de resgate acima do provedor de identidade Microsoft Entra. Corrija o mesmo URI com este corpo da solicitação:

{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}

5. Para verificar as alterações que executam a consulta GET novamente.

6. Para redefinir a ordem de resgate para as configurações padrão, execute a seguinte consulta:

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

Federação SAML/WS-Fed (Federação direta) para domínios verificados do Microsoft Entra ID

Agora você pode adicionar seu domínio verificado Microsoft Entra ID alistado para configurar a relação de federação direta. Primeiro, você precisa configurar a configuração de federação direta no centro de administração ou por meio da API. Verifique se o domínio não está verificado no mesmo locatário. Depois que a configuração for definida, você poderá personalizar a ordem de resgate. O IdP SAML/WS-Fed é adicionado à ordem de resgate como a última entrada. Você pode movê-lo para cima na ordem de resgate para defini-lo acima do provedor de identidade Microsoft Entra.

Impedir que os usuários B2B resgatem um convite usando contas Microsoft

Para impedir que os usuários convidados B2B resgatem seus convites usando suas contas Microsoft existentes ou criem uma nova para aceitar o convite, siga as etapas abaixo.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança

2. Navegue atéas configurações de acesso entre locatários de> da > do Entra.

3. Na guia Configurações padrão , em configurações de acesso de entrada, selecione Editar padrões de entrada.

4. Na guia colaboração B2B , selecione a guia Pedido de Resgate .

5. Em provedores de identidade de Fallback, desabilite a MSA (conta de serviço da Microsoft).

   

6. Selecione Salvar.

É necessário ter pelo menos um provedor de identidade de fallback habilitado a qualquer momento. Se você quiser desabilitar as contas Microsoft, deverá habilitar a senha de uso único de email. Não é possível desabilitar ambos os provedores de identidade de fallback. Todos os usuários convidados existentes conectados com contas da Microsoft continuam usando-o durante as entradas subsequentes. Você precisa redefinir o status de resgate para que essa configuração seja aplicada.

Para alterar as configurações de confiança de entrada para a MFA e as declarações de dispositivo

1. Selecione a guia Configurações de confiança .

2. (Esta etapa se aplica somente às configurações organizacionais .) Se você estiver definindo as configurações de uma organização, selecione uma das seguintes opções:

   • Configurações padrão: a organização usa as configurações definidas na guia Configurações padrão . Se as configurações personalizadas já estiverem configuradas para essa organização, selecione Sim para confirmar se deseja que todas as configurações sejam substituídas pelas configurações padrão. Em seguida, selecione Salvar e ignore o restante das etapas neste procedimento.

   • Personalizar configurações: você pode personalizar as configurações a serem impostas para essa organização em vez das configurações padrão. Continue com o restante das etapas deste procedimento.

3. Selecione uma ou mais das seguintes opções:

   • Confiar na autenticação multifator dos locatários do Microsoft Entra: marque esta caixa de seleção para permitir que suas políticas de Acesso Condicional confiem em declarações de MFA de organizações externas. Durante a autenticação, o Microsoft Entra ID verifica as credenciais de um usuário em busca de uma declaração de que ele concluiu a MFA. Caso contrário, um desafio da MFA é iniciado no locatário inicial do usuário. Essa configuração não será aplicada se um usuário externo entrar usando GDAP (privilégios de administrador delegado granulares), como usado por um técnico em um Provedor de Serviços de Nuvem que administra serviços em seu locatário. Quando um usuário externo entra usando GDAP, a MFA é sempre necessária no locatário inicial do usuário e sempre confiável no locatário do recurso. O registro da MFA de um usuário de GDAP não é aceito fora do locatário inicial do usuário. Se sua organização tiver um requisito para não permitir o acesso a técnicos do provedor de serviços com base na MFA no locatário residencial do usuário, você poderá remover a relação GDAP no Centro de administração do Microsoft 365.

   • Dispositivos compatíveis com a confiança: permite que suas políticas de Acesso Condicional confiem em declarações de dispositivo em conformidade de uma organização externa quando seus usuários acessam seus recursos.

   • Confiar em dispositivos ingressados híbridos do Microsoft Entra: permite que suas políticas de Acesso Condicional confiem em declarações de dispositivo ingressado híbrido do Microsoft Entra de uma organização externa quando seus usuários acessam seus recursos.

   

4. (Esta etapa se aplica somente às configurações organizacionais .) Examine a opção resgate automático :

   • Resgatar convites automaticamente com o locatário<locatário>: verifique essa configuração se você deseja resgatar convites automaticamente. Nesse caso, os usuários do locatário especificado não precisarão aceitar o prompt de consentimento na primeira vez que acessarem esse locatário usando sincronização entre locatários, colaboração B2B ou conexão direta de B2B. Essa configuração só suprimirá a solicitação de consentimento se o locatário especificado também marcar o acesso de saída nessa configuração.

   

5. Selecione Salvar.

Permitir que os usuários sincronizem neste locatário

Se você selecionar o acesso de entrada da organização adicionada, verá a guia Sincronização entre locatários e a caixa permitir que os usuários sincronizem nessa caixa de seleção de locatário. A sincronização entre locatários é um serviço de sincronização unidirecional do Microsoft Entra ID que automatiza a criação, atualização e exclusão de usuários da colaboração B2B nos diversos locatários de uma organização. Para obter mais informações, consulte Configurar a sincronização entre locatários e a documentação de organizações multilocatários.

Modificar as configurações de acesso de saída

Com as configurações de saída, selecione quais usuários e grupos podem acessar os aplicativos externos escolhidos por você. Se você estiver definindo configurações padrão ou configurações específicas da organização, as etapas para alterar as configurações de acesso entre locatários de saída serão as mesmas. Conforme descrito nesta seção, você navega até a guia Padrão ou uma organização na guia Configurações organizacionais e, em seguida, faz suas alterações.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue atéas configurações de acesso entre locatários de> da > do Entra.

3. Navegue até as configurações que deseja modificar:

   • Para modificar as configurações de saída padrão, selecione a guia Configurações padrão e, em seguida, nas configurações de acesso de saída, selecione Editar padrões de saída.

   • Para modificar as configurações de uma organização específica, selecione a guia Configurações organizacionais , localize a organização na lista (ou adicione uma) e selecione o link na coluna de acesso de saída .

4. Selecione a guia colaboração B2B .

5. (Esta etapa se aplica somente às configurações organizacionais .) Se você estiver definindo as configurações de uma organização, selecione uma opção:

   • Configurações padrão: a organização usa as configurações definidas na guia Configurações padrão . Se as configurações personalizadas já estiverem configuradas para essa organização, você precisará selecionar Sim para confirmar se deseja que todas as configurações sejam substituídas pelas configurações padrão. Em seguida, selecione Salvar e ignore o restante das etapas neste procedimento.

   • Personalizar configurações: você pode personalizar as configurações a serem impostas para essa organização em vez das configurações padrão. Continue com o restante das etapas deste procedimento.

6. Selecione Usuários e grupos.

7. No status do Access, selecione um dos seguintes:

   • Permitir acesso: permite que seus usuários e grupos especificados em Applies sejam convidados para organizações externas para colaboração B2B.
   • Bloquear o acesso: bloqueia os usuários e grupos especificados em Aplica-se a serem convidados para a colaboração B2B. Se você bloquear o acesso para todos os usuários e grupos, isso também impedirá que todos os aplicativos externos sejam acessados por meio da colaboração B2B.

   

8. Em Aplica-se a, selecione um dos seguintes:

   • Todos os <usuários da sua organização>: aplica a ação que você escolheu no status do Access a todos os seus usuários e grupos.
   • Selecione <os usuários e grupos da sua organização> (requer uma assinatura do Microsoft Entra ID P1 ou P2): permite aplicar a ação escolhida no status do Access a usuários e grupos específicos.

   Observação

   Se você bloquear o acesso a todos os seus usuários e grupos, também precisará bloquear o acesso a todos os aplicativos externos (na guia Aplicativos externos ).

   

9. Se você escolheu Selecionar <usuários e grupos da sua organização>, faça o seguinte para cada usuário ou grupo que deseja adicionar:

   • Selecione Adicionar <usuários e grupos da sua organização>.
   • No painel Selecionar , digite o nome de usuário ou o nome de grupo na caixa de pesquisa.
   • Escolha o usuário ou o grupo nos resultados da pesquisa.
   • Quando terminar de selecionar os usuários e grupos que deseja adicionar, escolha Selecionar.

   Observação

   Ao direcionar seus usuários e grupos, você não poderá selecionar usuários que configuraram a autenticação baseada em SMS. Isso ocorre porque os usuários que têm uma "credencial federada" em seu objeto de usuário são bloqueados para impedir que usuários externos sejam adicionados às configurações de acesso de saída. Como solução alternativa, você pode usar a API do Microsoft Graph para adicionar a ID de objeto do usuário diretamente ou direcionar um grupo ao qual o usuário pertence.

10. Selecione a guia Aplicativos externos .

11. No status do Access, selecione um dos seguintes:

    • Permitir acesso: permite que os aplicativos externos especificados em Applies sejam acessados por seus usuários por meio da colaboração B2B.
    • Bloquear o acesso: impede que os aplicativos externos especificados em Applies sejam acessados por seus usuários por meio da colaboração B2B.

    

12. Em Aplica-se a, selecione um dos seguintes:

    • Todos os aplicativos externos: aplica a ação que você escolheu no status do Access a todos os aplicativos externos.
    • Selecione aplicativos externos: aplica a ação que você escolheu no status do Access a todos os aplicativos externos.

    Observação

    Se você bloquear o acesso a todos os aplicativos externos, também precisará bloquear o acesso para todos os usuários e grupos (na guia Usuários e grupos ).

    

13. Se você escolheu Selecionar aplicativos externos, faça o seguinte para cada aplicativo que deseja adicionar:

    • Selecione Adicionar aplicativos da Microsoft ou Adicionar outros aplicativos.
    • Na caixa de pesquisa, digite o nome do aplicativo ou a ID do aplicativo (a ID do aplicativo cliente ou a ID do aplicativo de recurso). Em seguida, escolha o aplicativo nos resultados da pesquisa. Repita a etapa para cada aplicativo que deseja adicionar.
    • Quando terminar de selecionar aplicativos, escolha Selecionar.

    

14. Selecione Salvar.

Para alterar configurações de confiança de saída

(Esta seção se aplica somente às configurações organizacionais .)

1. Selecione a guia Configurações de confiança .

2. Examine a opção resgate automático :

   • Resgatar convites automaticamente com o locatário<locatário>: verifique essa configuração se você deseja resgatar convites automaticamente. Nesse caso, os usuários do locatário não precisam aceitar o prompt de consentimento na primeira vez que acessarem o locatário especificado usando a sincronização entre locatários, a colaboração B2B ou a conexão direta de B2B. Essa configuração só suprimirá a solicitação de consentimento se o locatário especificado também marcar o acesso de entrada nessa configuração.

     

3. Selecione Salvar.

Quando você remove uma organização das Configurações organizacionais, as configurações de acesso padrão entre locatários entram em vigor para ela.

Observação

Se a organização for um provedor de serviços de nuvem para sua organização (a propriedade isServiceProvider na configuração específica do parceiro do Microsoft Graph é verdadeira), você não poderá remover a organização.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

2. Navegue atéas configurações de acesso entre locatários de> da > do Entra.

3. Selecione a guia Configurações organizacionais .

4. Localize a organização na lista e, em seguida, selecione o ícone de lixeira na linha.