Visão geral das configurações de acesso entre locatários

  • Artigo

Namespace: microsoft.graph

Importante

As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.

Na colaboração tradicional Microsoft Entra B2B, qualquer usuário convidado de uma organização poderia usar sua identidade para acessar recursos em organizações externas. Os administradores não tinham controle sobre as identidades do usuário em seu locatário que têm permissão para entrar em organizações externas. Esses controles limitados dificultaram o uso de identidades de sua organização de maneiras não autorizadas.

As configurações de acesso entre locatários permitem controlar e gerenciar a colaboração entre usuários em sua organização e em outras organizações. O controle pode estar em uma ou em uma combinação das seguintes configurações:

  • acesso de saída – como seus usuários colaboram com outras organizações.
  • Acesso de entrada – como outras organizações colaboram com você.
  • acesso a restrições de locatário – como seus usuários colaboram com outras organizações usando outras identidades de organização de sua rede ou dispositivos.

Os controles granulares permitem determinar os usuários, grupos e aplicativos, tanto em sua organização quanto em organizações externas, que podem participar da colaboração entre locatários. Esses controles são implementados por meio de:

  • Configurações de acesso entre locatários padrão que definem as configurações de linha de base para acesso de entrada e saída e restrições de locatário.

    • Em Microsoft Entra colaboração B2B, as configurações de acesso de entrada e de saída são habilitadas por padrão. Essa configuração padrão significa que todos os usuários podem ser convidados para organizações externas e todos os usuários podem convidar usuários convidados.
    • No Microsoft Entra conexão direta B2B, as configurações de acesso de entrada e de saída são desabilitadas por padrão.
    • As configurações padrão do serviço podem ser atualizadas.
    • Em Restrições de Locatário, todas as configurações de acesso são desabilitadas por padrão.
    • As configurações padrão do serviço podem ser atualizadas.

  • Configurações de acesso específicas do parceiro que permitem configurar configurações personalizadas para organizações individuais. Para as organizações configuradas, essa configuração tem precedência sobre as configurações padrão. Portanto, enquanto Microsoft Entra colaboração B2B, Microsoft Entra conexão direta B2B e restrições de locatário podem estar desabilitadas em toda a sua organização, você pode habilitar esses recursos para uma organização externa específica.

Importante

Ao configurar as configurações de saída de conexão direta B2B, você permite que organizações externas com as quais você habilitou as configurações de saída acessem dados de contato limitados sobre seus usuários. A Microsoft compartilha esses dados com essas organizações para ajudá-los a enviar uma solicitação para se conectar com seus usuários. Os dados coletados por organizações externas, incluindo dados de contato limitados, estão sujeitos às políticas e práticas de privacidade dessas organizações.

Configurações de acesso entre locatários padrão

As configurações de acesso entre locatários padrão determinam sua posição para a colaboração de entrada e saída e restrições de locatário com todas as outras organizações Microsoft Entra. Qualquer colaboração externa com uma organização não listada explicitamente em suas configurações de acesso entre locatários herda essas configurações padrão. As configurações padrão são definidas usando o tipo de recurso crossTenantAccessPolicyConfigurationDefault .

Por padrão, Microsoft Entra ID atribui a todos os locatários Microsoft Entra uma configuração padrão de serviço para configurações de acesso entre locatários. Você pode substituir esses padrões de serviço com sua própria configuração para se adequar à sua organização. Você pode confirmar se está usando as configurações padrão do serviço ou as configurações personalizadas examinando a propriedade isServiceDefault retornada ao consultar o ponto de extremidade padrão.

Configurações de acesso entre locatários do parceiro

As configurações de acesso entre locatários específicas do parceiro determinam sua posição para a colaboração de entrada e saída e restrições de locatário com uma organização Microsoft Entra específica. Qualquer colaboração com essa organização herda essas configurações específicas do parceiro. As configurações do parceiro são definidas usando o tipo de recurso crossTenantAccessPolicyConfigurationPartner .

A menos que você configure todas as propriedades do objeto específico do parceiro, algumas de suas configurações padrão ainda podem ser aplicadas. Por exemplo, se você configurar apenas b2bCollaborationInbound para um parceiro em suas configurações de acesso entre locatários, a configuração do parceiro herda as outras configurações das configurações padrão de acesso entre locatários. Ao consultar o ponto de extremidade do parceiro, qualquer propriedade no objeto parceiro herda null as configurações da política padrão.

Configurações de confiança de entrada em configurações de acesso entre locatários

As configurações de confiança de entrada permitem confiar no desempenho dos usuários convidados da MFA em seus diretórios domésticos, impedindo que os usuários convidados tenham que executar o MFA em seus diretórios domésticos e em seu diretório. Com configurações de confiança de entrada, você habilita uma experiência de autenticação perfeita para seus usuários convidados e economiza nos custos de MFA incorridos pela sua organização.

Por exemplo, quando você configura suas configurações de confiança para confiar na MFA, suas políticas de MFA ainda são aplicadas aos usuários convidados, mas os usuários que já concluíram o MFA em seus locatários domésticos não precisam concluir o MFA novamente em seu locatário.

As configurações de confiança de entrada também permitem confiar em dispositivos compatíveis ou Microsoft Entra híbrido ingressado em seus diretórios domésticos. Com configurações de confiança de entrada em configurações de acesso entre locatários, agora você pode proteger o acesso aos seus aplicativos e recursos, exigindo que os usuários convidados usem dispositivos ingressados em conformidade ou Microsoft Entra dispositivos híbridos ingressados.

Sincronização entre locatários de entrada nas configurações de acesso entre locatários

Você pode habilitar a sincronização entre locatários para sincronizar usuários de um locatário parceiro. A sincronização entre locatários é um serviço de sincronização unidirecional em Microsoft Entra ID que automatiza a criação, atualização e exclusão de usuários de colaboração B2B entre locatários em uma organização. Você cria uma política de sincronização de usuário para simplificar a colaboração entre usuários em organizações multilocatários. As configurações de sincronização do usuário parceiro são definidas usando o tipo de recurso crossTenantIdentitySyncPolicyPartner .

Colaborar com organizações usando Microsoft Entra ID em diferentes nuvens da Microsoft

As configurações de acesso entre locatários são usadas para habilitar a colaboração com organizações Microsoft Entra em nuvens separadas da Microsoft. A allowedCloudEndpoints propriedade permite especificar a quais nuvens da Microsoft você gostaria de estender sua colaboração. Há suporte para a colaboração B2B entre as seguintes nuvens da Microsoft:

  • Comercial do Microsoft Azure e Microsoft Azure Governamental
  • Comercial do Microsoft Azure e Microsoft Azure China

Saiba mais sobre como colaborar com organizações de uma nuvem diferente da Microsoft.

Interpretando a resposta à API

A API de acesso entre locatários pode ser usada para configurar várias configurações para permitir ou bloquear o acesso de e para sua organização. A tabela a seguir realça cenários, mostra um exemplo da resposta à API e qual deve ser a interpretação dessa resposta. b2bSetting é usado como espaço reservado para qualquer entrada B2B (b2bCollaborationInbound ou b2bDirectConnectInbound) ou saída (b2bCollaborationOutbound ou b2bDirectConnectOutbound) ou restrições de locatário (tenantRestrictions) configuração.


Cenário Saída de API Interpretação
Bloquear todos os usuários e bloquear todos os aplicativos 
"b2bsetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
-
Permitir todos os usuários e permitir todos os aplicativos 
"b2bsetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
-
Permitir que os usuários no grupo 'g1' acessem qualquer aplicativo 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
Os usuários do grupo 'g1' podem acessar qualquer aplicativo. Todos os outros usuários que não estão no grupo 'g1' estão bloqueados.
Permitir acesso somente ao aplicativo 'a1' 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Todos os usuários só têm permissão para acessar o aplicativo 'a1'
Permitir usuários no grupo 'g1' e bloquear o acesso ao aplicativo 'a1' 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Todos os usuários do grupo 'g1' têm permissão para acessar qualquer aplicativo , exceto o aplicativo 'a1'.
Bloquear usuários no grupo 'g1' de acessar qualquer aplicativo 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": " blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
Os usuários do grupo 'g1' não podem acessar nenhum aplicativo. Outros usuários que não estão no grupo 'g1' têm acesso a todos os aplicativos.
Bloquear usuários no grupo 'g1' e permitir acesso apenas ao aplicativo 'a1' 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Os usuários do grupo 'g1' não podem acessar nenhum aplicativo. Qualquer usuário que não esteja no grupo 'g1' só pode acessar o aplicativo 'a1'.
Permitir que usuários no grupo 'g1' acessem apenas o aplicativo 'a1' 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Os usuários do grupo 'g1' só têm permissão para acessar o aplicativo 'a1'. Todos os usuários, incluindo usuários do grupo 'g1', estão impedidos de acessar qualquer outro aplicativo.
Bloquear usuários no grupo 'g1' de acessar o aplicativo 'a1' 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Os usuários do grupo 'g1' são impedidos de acessar apenas o aplicativo 'a1'. Todos os usuários, incluindo usuários do grupo 'g1' podem acessar qualquer outro aplicativo.
Priorizar o uso de uma federação externa em Azure AD durante o resgate de convite do usuário convidado 
"invitationRedemptionIdentityProviderConfiguration": { 
    "primaryIdentityProviderPrecedenceOrder": [ 
        "externalFederation",
        "azureActiveDirectory", 
        "socialIdentityProviders" 
    ], 
    "fallbackIdentityProvider": "defaultConfiguredIdp" 
}
Verifique se o usuário convidado é de um parceiro federado externamente antes de tentar Azure AD para autenticação.

Configurações de acesso entre locatários versus restrições de locatário

Os controles de saída das configurações de acesso entre locatários são para controlar como as contas da sua organização são usadas para acessar recursos em outras organizações Microsoft Entra. As restrições de locatário são para controlar como seus funcionários usam contas de outras Microsoft Entra organizações enquanto o funcionário está em suas redes ou dispositivos. Criticamente, os controles de saída funcionam o tempo todo porque estão associados às suas contas, enquanto as restrições de locatário exigem mais sinais para serem injetados nas solicitações de autenticação a serem impostas, porque as restrições de locatário são escopo para redes e dispositivos, não contas. Saiba mais sobre restrições de locatário.

Conteúdo relacionado