Com as configurações de entrada, selecione quais usuários e grupos externos podem acessar os aplicativos internos escolhidos por você. Se você estiver definindo configurações padrão ou configurações específicas da organização, as etapas para alterar as configurações de acesso entre locatários de entrada serão as mesmas. Conforme descrito nesta seção, você navegará até a guia Padrão ou até uma organização na guia Configurações organizacionais e fará as alterações.
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
Navegue até Identidades>Identidades Externas>Configurações de acesso entre locatários.
Navegue até as configurações que deseja modificar:
- Configurações padrão: para modificar as configurações de entrada padrão, selecione a guia Configurações padrão e, em Configurações de acesso de entrada, escolha Editar padrões de entrada.
- Configurações organizacionais: para modificar as configurações de uma organização específica, selecione a guia Configurações organizacionais, localize a organização na lista (ou adicione uma) e escolha o link na coluna Acesso de entrada.
Siga as etapas detalhadas para as configurações de entrada que deseja alterar:
Para alterar as configurações da colaboração B2B de entrada
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
Navegue até Identidade>Identidades Externas>Configurações de acesso entre locatários e selecione Configurações organizacionais
Selecione o link na coluna Acesso de entrada e a guia Colaboração B2B.
Se estiver definindo configurações de acesso de entrada para uma organização específica, selecione uma opção:
Configurações padrão: selecione esta opção caso deseje que a organização use as configurações de entrada padrão (conforme definido na guia de configurações Padrão). Se já foram definidas configurações personalizadas para essa organização, selecione Sim para confirmar que deseja substituir todas as configurações pelas configurações padrão. Em seguida, selecione Salvar e ignore o restante das etapas neste procedimento.
Personalizar configurações: selecione essa opção se quiser personalizar as configurações a serem impostas para essa organização em vez das configurações padrão. Continue com o restante das etapas deste procedimento.
Selecione Usuários e grupos externos.
Em Status do acesso, escolha uma das seguintes opções:
- Permitir acesso: permite que os usuários e os grupos especificados em Aplica-se a sejam convidados para a colaboração B2B.
- Bloquear acesso: impede que os usuários e os grupos especificados em Aplica-se a sejam convidados para a colaboração B2B.
Em Aplica-se a, selecione uma das seguintes opções:
- Todos os usuários e grupos externos: aplica a ação escolhida em Status do acesso a todos os usuários e grupos de organizações externas do Microsoft Entra.
- Selecionar usuários e grupos externos (exige uma assinatura P1 ou P2 da ID do Microsoft Entra): permite aplicar a ação escolhida em Status do acesso aos usuários e aos grupos específicos da organização externa.
Observação
Se você bloquear o acesso a todos os usuários e grupos externos, também precisará bloquear o acesso a todos os seus aplicativos internos (na guia Aplicativos).
Se você escolher Selecionar usuários e grupos externos, faça o seguinte para cada usuário ou grupo que deseja adicionar:
- Selecione Adicionar usuários e grupos externos.
- No painel Adicionar outros usuários e grupos, na caixa de pesquisa, digite a ID de objeto de usuário ou a ID de objeto de grupo obtida na organização parceira.
- No menu ao lado da caixa de pesquisa, escolha usuário ou grupo.
- Selecione Adicionar.
Observação
Você não pode direcionar usuários ou grupos nas configurações de entrada padrão.
Quando terminar de adicionar usuários e grupos, selecione Enviar.
Selecione a guia Aplicativos.
Em Status do acesso, escolha uma das seguintes opções:
- Permitir acesso: permite que os aplicativos especificados em Aplica-se a sejam acessados pelos usuários da colaboração B2B.
- Bloquear acesso: impede que os aplicativos especificados em Aplica-se a sejam acessados pelos usuários da colaboração B2B.
Em Aplica-se a, selecione uma das seguintes opções:
- Todos os aplicativos: aplica a ação escolhida em Status do acesso a todos os seus aplicativos.
- Selecionar aplicativos (exige uma assinatura P1 ou P2 da ID do Microsoft Entra): permite aplicar a ação escolhida em Status do acesso a aplicativos específicos da sua organização.
Observação
Se você bloquear o acesso a todos os aplicativos, também precisará bloquear o acesso a todos os usuários e grupos externos (na guia Usuários e grupos externos).
Se você escolher Selecionar aplicativos, faça o seguinte para cada aplicativo que deseja adicionar:
- Escolha Adicionar aplicativos da Microsoft ou Adicionar outros aplicativos.
- No painel Selecionar, digite o nome do aplicativo ou a ID do aplicativo (a ID do aplicativo cliente ou a ID do aplicativo de recurso) na caixa de pesquisa. Em seguida, escolha o aplicativo nos resultados da pesquisa. Repita a etapa para cada aplicativo que deseja adicionar.
- Quando terminar de selecionar aplicativos, escolha Selecionar.
Selecione Salvar.
Adicionar o aplicativo Portais de Administração da Microsoft à colaboração B2B
Você não pode adicionar diretamente o aplicativo Portais de Administração da Microsoft às configurações de acesso entre locatários de entrada e saída no centro de administração do Microsoft Entra. No entanto, você pode adicionar os aplicativos listados abaixo individualmente usando a API do Microsoft Graph.
Os aplicativos a seguir fazem parte do grupo de aplicativos dos Portais de Administração da Microsoft:
- Portal do Azure (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
- Centro de administração do Microsoft Entra (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
- Portal do Microsoft 365 Defender (80ccca67-54bd-44ab-8625-4b79c4dc7775)
- Centro de administração do Microsoft Intune (80ccca67-54bd-44ab-8625-4b79c4dc7775)
- Portal de conformidade do Microsoft Purview (80ccca67-54bd-44ab-8625-4b79c4dc7775)
Para personalizar a ordem dos provedores de identidade que os usuários convidados podem usar para entrar quando aceitarem o convite, siga as seguintes etapas.
Entre no Centro de administração do Microsoft Entra usando uma conta de Administrador global ou de Administrador de segurança. Em seguida, abra o serviço de Identidade no lado esquerdo.
Selecione Identidades Externas>Configurações de acesso entre locatários.
Nas configurações organizacionais, selecione o link na coluna Acesso de entrada e na guia Colaboração B2B.
Selecione a guia Ordem de resgate.
Mova os provedores de identidade para cima ou para baixo para alterar a ordem em que os usuários convidados podem se conectar quando aceitarem seu convite. Também é possível redefinir a ordem de resgate para as configurações padrão aqui.
Selecione Salvar.
Você também pode personalizar a ordem de resgate por meio da API do Microsoft Graph.
Abra o Microsoft Graph Explorer.
Entre com uma conta de Administrador global ou de Administrador da segurança no seu locatário de recurso.
Execute a seguinte consulta para obter a ordem de resgate atual:
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
- Neste exemplo, moveremos a federação IdP SAML/WS-Fed para a parte superior da ordem de resgate acima do provedor de identidade Microsoft Entra. Corrija o mesmo URI com este corpo da solicitação:
{
"invitationRedemptionIdentityProviderConfiguration":
{
"primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
"fallbackIdentityProvider": "defaultConfiguredIdp "
}
}
Para verificar as alterações que executam a consulta GET novamente.
Para redefinir a ordem de resgate para as configurações padrão, execute a seguinte consulta:
{
"invitationRedemptionIdentityProviderConfiguration": {
"primaryIdentityProviderPrecedenceOrder": [
"azureActiveDirectory",
"externalFederation",
"socialIdentityProviders"
],
"fallbackIdentityProvider": "defaultConfiguredIdp"
}
}
Federação SAML/WS-Fed (Federação direta) para domínios verificados do Microsoft Entra ID
Agora você pode adicionar seu domínio verificado Microsoft Entra ID alistado para configurar a relação de federação direta. Primeiro, defina a configuração de federação direta no centro de administração ou por meio da API. Verifique se o domínio não está verificado no mesmo locatário.
Depois que a configuração for definida, você poderá personalizar a ordem de resgate. O IdP SAML/WS-Fed é adicionado à ordem de resgate como a última entrada. Você pode movê-lo para cima na ordem de resgate para defini-lo acima do provedor de identidade Microsoft Entra.
Impedir que os usuários B2B resgatem um convite usando contas Microsoft
Para impedir que os usuários convidados B2B resgatem seus convites usando suas contas Microsoft existentes ou criem uma nova para aceitar o convite, siga as etapas abaixo.
Entre no Centro de administração do Microsoft Entra usando uma conta de Administrador global ou de Administrador de segurança. Em seguida, abra o serviço de Identidade no lado esquerdo.
Selecione Identidades Externas>Configurações de acesso entre locatários.
Nas configurações organizacionais, selecione o link na coluna Acesso de entrada e na guia Colaboração B2B.
Selecione a guia Ordem de resgate.
Em Provedores de identidade de fallback, desabilite a MSA (conta Microsoft).
Selecione Salvar.
É necessário ter pelo menos um provedor de identidade de fallback habilitado a qualquer momento. Se você quiser desabilitar as contas Microsoft, deverá habilitar a senha de uso único de email. Não é possível desabilitar ambos os provedores de identidade de fallback. Todos os usuários convidados existentes conectados com as contas Microsoft continuam a usá-la durante as entradas subsequentes. Você precisa redefinir o status de resgate para que essa configuração seja aplicada.
Para alterar as configurações de confiança de entrada para a MFA e as declarações de dispositivo
Selecione a guia Configurações de confiança.
(Esta etapa se aplica apenas às Configurações organizacionais.) Se você estiver definindo as configurações de uma organização, selecione uma das seguintes opções:
Configurações padrão: a organização usa as configurações definidas na guia Configurações padrão. Se já foram definidas configurações personalizadas para essa organização, selecione Sim para confirmar que deseja substituir todas as configurações pelas configurações padrão. Em seguida, selecione Salvar e ignore o restante das etapas neste procedimento.
Personalizar configurações: você pode personalizar as configurações a serem impostas a essa organização em vez das configurações padrão. Continue com o restante das etapas deste procedimento.
Selecione uma ou mais das seguintes opções:
Confiar na autenticação multifator nos locatários do Microsoft Entra: marque essa caixa de seleção para permitir que suas políticas de acesso condicional confiem nas declarações da MFA em organizações externas. Durante a autenticação, o Microsoft Entra ID verifica as credenciais de um usuário em busca de uma declaração de que ele concluiu a MFA. Caso contrário, um desafio da MFA é iniciado no locatário inicial do usuário.
Confiar em dispositivos em conformidade: permite que as suas políticas de Acesso Condicional confiem nas declarações de dispositivo em conformidade de uma organização externa quando os usuários acessarem seus recursos.
Confiar em dispositivos ingressados no Microsoft Entra híbrido: permite que suas políticas de acesso condicional confiem nas declarações de dispositivo ingressadas no Microsoft Entra híbrido em uma organização externa quando os usuários acessarem seus recursos.
(Esta etapa se aplica somente a Configurações organizacionais.) Revise a opção Resgate automático:
- Resgatar convites automaticamente com o locatário<locatário>: ative essa configuração se quiser resgatar convites automaticamente. Nesse caso, os usuários do locatário especificado não precisarão aceitar o prompt de consentimento na primeira vez que acessarem esse locatário usando sincronização entre locatários, colaboração B2B ou conexão direta de B2B. Essa configuração só suprimirá a solicitação de consentimento se o locatário especificado também marcar o acesso de saída nessa configuração.
Selecione Salvar.
Permitir que os usuários sincronizem neste locatário
Se você selecionar Acesso de entrada da organização adicionada, verá a guia Sincronização entre locatários e a caixa de seleção Permitir que os usuários sincronizem nesse locatário. A sincronização entre locatários é um serviço de sincronização unidirecional do Microsoft Entra ID que automatiza a criação, atualização e exclusão de usuários da colaboração B2B nos diversos locatários de uma organização. Para saber mais, confira Configurar sincronização entre locatários e a documentação Organizações multilocatário.
Modificar as configurações de acesso de saída
Com as configurações de saída, selecione quais usuários e grupos podem acessar os aplicativos externos escolhidos por você. Se você estiver definindo configurações padrão ou configurações específicas da organização, as etapas para alterar as configurações de acesso entre locatários de saída serão as mesmas. Conforme descrito nesta seção, você navegará até a guia Padrão ou até uma organização na guia Configurações organizacionais e fará as alterações.
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
Navegue até Identidades>Identidades Externas>Configurações de acesso entre locatários.
Navegue até as configurações que deseja modificar:
Para modificar as configurações de saída padrão, selecione a guia Configurações padrão e, em Configurações de acesso de saída, escolha Editar padrões de saída.
Para modificar as configurações de uma organização específica, selecione a guia Configurações organizacionais, encontre a organização na lista (ou adicione uma) e escolha o link na coluna Acesso de saída.
Selecione a guia Colaboração B2B.
(Essa etapa só se aplica a Configurações organizacionais.) Se você estiver definindo as configurações de uma organização, selecione uma opção:
Configurações padrão: a organização usa as configurações definidas na guia Configurações padrão. Se já foram definidas configurações personalizadas para essa organização, selecione Sim para confirmar que deseja substituir todas as configurações pelas configurações padrão. Em seguida, selecione Salvar e ignore o restante das etapas neste procedimento.
Personalizar configurações: você pode personalizar as configurações a serem impostas a essa organização em vez das configurações padrão. Continue com o restante das etapas deste procedimento.
Selecione Usuários e grupos.
Em Status do acesso, escolha uma das seguintes opções:
- Permitir acesso: permite que os usuários e os grupos especificados em Aplica-se a sejam convidados para organizações externas para a colaboração B2B.
- Bloquear acesso: impede que os usuários e os grupos especificados em Aplica-se a sejam convidados para a colaboração B2B. Se você bloquear o acesso para todos os usuários e grupos, isso também impedirá que todos os aplicativos externos sejam acessados por meio da colaboração B2B.
Em Aplica-se a, selecione uma das seguintes opções:
- Todos os usuários <da sua organização>: aplica a ação escolhida em Status do acesso a todos os usuários e grupos.
- Selecionar usuários e grupos <da sua organização> (exige uma assinatura P1 ou P2 da ID do Microsoft Entra): permite aplicar a ação escolhida em Status do acesso a usuários e grupos específicos.
Observação
Se você bloquear o acesso a todos os usuários e grupos, também precisará bloquear o acesso a todos os aplicativos externos (na guia Aplicativos externos).
Se você escolher Selecionar usuários e grupos <da sua organização>, faça o seguinte para cada usuário ou grupo que deseja adicionar:
- Escolha Adicionar usuários e grupos <da sua organização>.
- No painel Selecionar, digite o nome de usuário ou o nome do grupo na caixa de pesquisa.
- Escolha o usuário ou o grupo nos resultados da pesquisa.
- Quando terminar de selecionar os usuários e os grupos que deseja adicionar, escolha Selecionar.
Observação
Ao direcionar seus usuários e grupos, você não poderá selecionar usuários que configuraram a autenticação baseada em SMS. Isso ocorre porque os usuários que têm uma "credencial federada" em seu objeto de usuário são bloqueados para impedir que usuários externos sejam adicionados às configurações de acesso de saída. Como solução alternativa, você pode usar a API do Microsoft Graph para adicionar a ID de objeto do usuário diretamente ou direcionar um grupo ao qual o usuário pertence.
Selecione a guia Aplicativos externos.
Em Status do acesso, escolha uma das seguintes opções:
- Permitir acesso: permite que os aplicativos externos especificados em Aplica-se a sejam acessados pelos usuários por meio da colaboração B2B.
- Bloquear acesso: impede que os aplicativos externos especificados em Aplica-se a sejam acessados pelos usuários por meio da colaboração B2B.
Em Aplica-se a, selecione uma das seguintes opções:
- Todos os aplicativos externos: aplica a ação escolhida em Status do acesso a todos os aplicativos externos.
- Selecionar aplicativos externos: aplica a ação escolhida em Status do acesso a todos os aplicativos externos.
Observação
Se você bloquear o acesso a todos os aplicativos externos, também precisará bloquear o acesso a todos os usuários e grupos (na guia Usuários e grupos).
Se você escolher Selecionar aplicativos externos, faça o seguinte para cada aplicativo que deseja adicionar:
- Escolha Adicionar aplicativos da Microsoft ou Adicionar outros aplicativos.
- Na caixa de pesquisa, digite o nome do aplicativo ou a ID do aplicativo (a ID do aplicativo cliente ou a ID do aplicativo de recurso). Em seguida, escolha o aplicativo nos resultados da pesquisa. Repita a etapa para cada aplicativo que deseja adicionar.
- Quando terminar de selecionar aplicativos, escolha Selecionar.
Clique em Salvar.
Para alterar configurações de confiança de saída
(Essa seção só se aplica a Configurações organizacionais.)
