Обзор: доступ между клиентами с Внешняя идентификация Microsoft Entra
Организации Microsoft Entra могут использовать параметры доступа внешнего идентификатора между клиентами для управления взаимодействием с другими организациями Microsoft Entra и другими облаками Microsoft Azure с помощью B2B совместной работы и прямого подключения B2B. Параметры доступа между клиентами обеспечивают детальный контроль над тем, как внешние организации Microsoft Entra сотрудничают с вами (входящий доступ) и как пользователи взаимодействуют с внешними организациями Microsoft Entra (исходящий доступ). Эти параметры также позволяют доверять многофакторной проверке подлинности (MFA) и утверждениям устройств (совместимым утверждениям и гибридным утверждениям Microsoft Entra) из других организаций Microsoft Entra.
В этой статье описываются параметры доступа между клиентами, которые используются для управления совместной работой B2B и прямым подключением B2B к внешним организациям Microsoft Entra, включая в облаках Майкрософт. Дополнительные параметры доступны для совместной работы B2B с удостоверениями, отличными от Microsoft Entra (например, удостоверения социальных удостоверений или внешних учетных записей, не управляемых ИТ- службой). Эти параметры внешней совместной работы позволяют ограничить доступ гостевых пользователей, выбрать пользователей, которые могут приглашать гостей, а также разрешать или блокировать определенные домены.
Внимание
Корпорация Майкрософт начала перемещать клиентов с помощью параметров доступа между клиентами в новую модель хранения 30 августа 2023 года. Вы можете заметить запись в журналах аудита, информируя вас о том, что параметры доступа между клиентами были обновлены, так как наша автоматическая задача переносит параметры. Для краткого окна во время процессов миграции вы не сможете внести изменения в параметры. Если вы не можете внести изменения, подождите несколько минут и повторите попытку изменения. После завершения миграции вы больше не будете ограничиваться 25 КБ дискового пространства и больше не будет ограничений на количество партнеров, которые можно добавить.
Управление внешним доступом с помощью параметров входящего и исходящего трафика
Параметры доступа между клиентами внешних удостоверений управляют взаимодействием с другими организациями Microsoft Entra. Эти параметры определяют уровень входящего доступа пользователей во внешних организациях Microsoft Entra для ваших ресурсов, а также уровень исходящего доступа пользователей к внешним организациям.
На следующей схеме показаны параметры входящего и исходящего доступа между арендаторами. Клиент Microsoft Entra — это клиент , содержащий общие ресурсы. В случае совместной работы B2B клиент ресурсов — это приглашенный клиент (например, корпоративный клиент, где вы хотите пригласить внешних пользователей). Домашний клиент Microsoft Entra пользователя — это клиент , на котором управляют внешние пользователи.
По умолчанию служба совместной работы B2B с другими организациями Microsoft Entra включена, а прямой подключение B2B блокируется. Но следующие параметры администрирования позволяют управлять многими аспектами этих функций.
Параметры исходящего доступа управляют тем, могут ли пользователи получать доступ к ресурсам во внешней организации. Эти параметры можно применить ко всем пользователям или только к отдельным пользователям, группам и приложениям.
Параметры входящего доступа определяют, могут ли пользователи из внешних организаций Microsoft Entra получать доступ к ресурсам в вашей организации. Эти параметры можно применить ко всем пользователям или только к отдельным пользователям, группам и приложениям.
Параметры доверия (входящий трафик) определяют, будут ли политики условного доступа доверять многофакторной проверке подлинности (MFA), соответствующим устройствам и утверждениям гибридного устройства Microsoft Entra из внешней организации, если их пользователи уже выполнили эти требования в своих домашних клиентах. Например, при настройке параметров доверия для доверия MFA ваши политики MFA все равно применяются к внешним пользователям, но пользователям, которые уже выполнили MFA в своих домашних арендаторах, не нужно будет повторно выполнять MFA в вашем арендаторе.
Параметры по умолчанию
Параметры доступа между клиентами по умолчанию применяются ко всем организациям Microsoft Entra, внешним к вашему клиенту, за исключением тех, для которых настроены параметры организации. Вы можете изменить параметры по умолчанию, но по умолчанию для служб совместной работы B2B и прямого соединения B2B используются следующие параметры:
Совместная работа B2B: все внутренние пользователи могут использовать службу совместной работы B2B по умолчанию. Этот параметр означает, что ваши пользователи могут отправить внешним гостям приглашение для доступа к вашим ресурсам, а также могут быть приглашены в качестве гостей во внешние организации. Утверждения MFA и устройства из других организаций Microsoft Entra не являются доверенными.
Прямое соединение B2B: отношения доверия для прямого соединения B2B не настраиваются по умолчанию. Идентификатор Microsoft Entra блокирует все возможности входящего и исходящего подключения B2B для всех внешних клиентов Microsoft Entra.
Параметры организации: в параметры организации по умолчанию не будут добавляться организации. Это означает, что все внешние организации Microsoft Entra включены для совместной работы B2B с вашей организацией.
Синхронизация между клиентами: пользователи из других клиентов не синхронизируются с клиентом с синхронизацией между клиентами.
Описанные выше действия применяются к совместной работе B2B с другими клиентами Microsoft Entra в том же облаке Microsoft Azure. В сценариях взаимодействия между облаками параметры по умолчанию работают немного иначе. См. раздел Параметры облака Майкрософт далее в этой статье.
Параметры организации
Вы можете настроить параметры организации, добавив организацию и изменив параметры входящего и исходящего трафика для такой организации. Параметры организации имеют приоритет над параметрами по умолчанию.
Совместная работа B2B. Для совместной работы B2B с другими организациями Microsoft Entra используйте параметры доступа между клиентами для управления входящим и исходящим взаимодействием B2B и область доступ к определенным пользователям, группам и приложениям. Вы можете задать конфигурацию по умолчанию, которая применяется ко всем внешним организациям, и по мере необходимости создавать индивидуальные параметры для конкретных организаций. Используя параметры доступа между клиентами, можно также доверять многофакторным (MFA) и утверждениям устройств (совместимым утверждениям и гибридным утверждениям Microsoft Entra) из других организаций Microsoft Entra.
Совет
Рекомендуется исключить внешних пользователей из политики регистрации MFA защиты идентификации, если вы собираетесь доверять MFA внешним пользователям. При наличии обеих политик внешние пользователи не смогут удовлетворять требованиям для доступа.
Прямое подключение B2B: для прямого подключения B2B используйте параметры организации для настройки отношений взаимного доверия с другой организацией Microsoft Entra. В вашей организации и во внешней организации необходимо включить взаимное прямое соединение B2B, настроив параметры входящего и исходящего доступа между арендаторами.
Параметры внешней совместной работы можно использовать для ограничения того, кто может приглашать внешних пользователей, разрешать или блокировать определенные домены B2B и устанавливать ограничения на доступ гостевых пользователей к каталогу.
Параметр автоматического активации
Параметр автоматического активации — это параметр входящего и исходящего доверия организации для автоматического активации приглашений, поэтому пользователям не нужно принимать запрос согласия при первом доступе к ресурсу или целевому клиенту. Этот параметр представляет собой поле проверка со следующим именем:
- Автоматическое активация приглашений с помощью клиента<>
Сравнение параметров для различных сценариев
Параметр автоматического активации применяется к синхронизации между клиентами, совместной работе B2B и прямому подключению B2B в следующих ситуациях:
- Когда пользователи создаются в целевом клиенте с помощью межтенантной синхронизации.
- При добавлении пользователей в клиент ресурсов с помощью совместной работы B2B.
- Когда пользователи получают доступ к ресурсам в клиенте ресурсов с помощью прямого подключения B2B.
В следующей таблице показано, как этот параметр сравнивается при включении этих сценариев:
| Товар | Синхронизация клиентов | служба совместной работы Azure AD B2B; | Прямое соединение B2B |
|---|---|---|---|
| Параметр автоматического активации | Обязательное поле | Необязательно | Необязательно |
| Пользователи получают сообщение электронной почты о приглашении на совместную работу B2B | No | Нет | Н/П |
| Пользователи должны принять запрос согласия | No | No | No |
| Пользователи получают уведомление о совместной работе B2B | No | Да | Н/П |
Этот параметр не влияет на взаимодействие с согласием приложения. Дополнительные сведения см. в разделе "Согласие" для приложений в идентификаторе Microsoft Entra ID. Этот параметр не поддерживается для организаций в разных облачных средах Майкрософт, таких как коммерческая и Azure для государственных организаций Azure.
Когда запрос согласия подавляется?
Параметр автоматического активации будет отключать только запрос согласия и сообщение электронной почты приглашения, если этот параметр проверка для домашнего или исходного клиента (исходящего) и целевого клиента (входящего трафика).
В следующей таблице показано поведение запроса согласия для пользователей исходного клиента, если параметр автоматического активации проверка для различных сочетаний параметров доступа между клиентами.
| Клиент home/source | Клиент resource/target | Поведение запроса на согласие для пользователей исходного клиента |
|---|---|---|
| Исходящая | Входящая | |
 |
|
Подавлены |
|
 |
Не подавляется |
|
|
Не подавляется |
|
|
Не подавляется |
| Входящая | Исходящая | |
|
|
Не подавляется |
|
|
Не подавляется |
|
|
Не подавляется |
|
|
Не подавляется |
Сведения о настройке этого параметра с помощью Microsoft Graph см. в API Update crossTenantAccessPolicyConfigurationPartner . Сведения о создании собственного интерфейса подключения см. в разделе B2B Диспетчер приглашений для совместной работы.
Дополнительные сведения см. в статье "Настройка синхронизации между клиентами", настройка параметров доступа между клиентами для совместной работы B2B и настройка параметров доступа между клиентами для прямого подключения B2B.
Настраиваемое активация
С помощью настраиваемого активации можно настроить порядок поставщиков удостоверений, с которыми могут войти гостевые пользователи при принятии приглашения. Вы можете включить функцию и указать заказ на активацию на вкладке "Заказ активации".
Когда гостевой пользователь выбирает ссылку "Принять приглашение" по электронной почте приглашения, идентификатор Microsoft Entra ID автоматически активирует приглашение в соответствии с заказом активации по умолчанию. При изменении заказа поставщика удостоверений на новой вкладке "Заказ активации" новый заказ переопределяет порядок активации по умолчанию.
Основные поставщики удостоверений и резервные поставщики удостоверений находятся на вкладке "Заказ активации".
Основными поставщиками удостоверений являются те, которые имеют федерации с другими источниками проверки подлинности. Резервные поставщики удостоверений — это используемые поставщики удостоверений, если пользователь не соответствует основному поставщику удостоверений.
Резервные поставщики удостоверений могут быть учетной записью Майкрософт (MSA), одноразовым секретным кодом электронной почты или обоими. Вы не можете отключить оба резервных поставщика удостоверений, но вы можете отключить все основные поставщики удостоверений и использовать только резервные поставщики удостоверений для вариантов активации.
Ниже приведены известные ограничения в функции:
Если пользователь Microsoft Entra ID, имеющий существующий сеанс единого входа (SSO), выполняет проверку подлинности с помощью однократного секретного кода электронной почты (OTP), он должен выбрать другую учетную запись и повторно ввести имя пользователя, чтобы активировать поток OTP. В противном случае пользователь получит сообщение об ошибке, указывающее, что учетная запись не существует в клиенте ресурса.
Если гостевые пользователи могут использовать только один секретный код электронной почты для активации приглашения, они в настоящее время будут заблокированы с помощью SharePoint. Это зависит от пользователей идентификатора Microsoft Entra ID, которые активируется с помощью OTP. Все остальные пользователи не затронуты.
В сценариях, когда пользователь имеет одно и то же сообщение электронной почты как в идентификаторе Microsoft, так и в учетных записях Майкрософт, даже если администратор отключил учетную запись Майкрософт в качестве метода активации, пользователю будет предложено выбрать вариант между использованием идентификатора Microsoft Entra или учетной записи Майкрософт. Если они выбирают учетную запись Майкрософт, она будет разрешена в качестве варианта активации, даже если отключена.
Прямая федерация для проверенных доменов Идентификатора Microsoft Entra
Федерация поставщика удостоверений SAML/WS-Fed (прямая федерация) теперь поддерживается для проверенных доменов Идентификатора Microsoft Entra. Эта функция позволяет настроить прямую федерацию с внешним поставщиком удостоверений для домена, проверенного в Microsoft Entra.
Примечание.
Убедитесь, что домен не проверен в том же клиенте, в котором вы пытаетесь настроить конфигурацию федерации Direct. После настройки прямой федерации можно настроить предпочтения активации клиента и переместить поставщика удостоверений SAML/WS-Fed по идентификатору Microsoft Entra с помощью новых настраиваемых параметров доступа между клиентами.
Когда гостевой пользователь активирует приглашение, он увидит традиционный экран согласия и будет перенаправлен на страницу Мои приложения. Если вы перейдете в профиль пользователя этой федерации Direct в клиенте ресурса, вы заметите, что пользователь теперь активируется с внешней федерацией, являющейся издателем.
Запретить пользователям B2B активировать приглашение с помощью учетных записей Майкрософт
Теперь вы можете запретить гостевым пользователям B2B активировать приглашение с помощью учетных записей Майкрософт. Это означает, что любой новый гостевой пользователь B2B будет использовать одноразовый секретный код электронной почты в качестве резервного поставщика удостоверений и не сможет активировать приглашение с помощью существующих учетных записей Майкрософт или попросить создать новую учетную запись Майкрософт. Это можно сделать, отключив учетные записи Майкрософт в резервных поставщиках удостоверений параметра заказа на активацию.
Обратите внимание, что в любое время необходимо включить один резервный поставщик удостоверений. Это означает, что если вы хотите отключить учетные записи Майкрософт, необходимо включить одноразовый секретный код электронной почты. Все существующие гостевые пользователи, вошедшего в систему с помощью учетных записей Майкрософт, будут продолжать использовать его во время последующих входов. Необходимо сбросить состояние активации для применения этого параметра.
Параметр синхронизации между клиентами
Параметр синхронизации между клиентами — это только входящий параметр организации, позволяющий администратору исходного клиента синхронизировать пользователей с целевым клиентом. Этот параметр представляет собой поле проверка с именем Allow users sync in this tenant, который указан в целевом клиенте. Этот параметр не влияет на приглашения B2B, созданные с помощью других процессов, таких как ручное приглашение или управление правами Microsoft Entra.
Сведения о настройке этого параметра с помощью Microsoft Graph см. в API Update crossTenantIdentitySyncPolicyPartner . Дополнительные сведения см. в разделе "Настройка синхронизации между клиентами".
Ограничения клиента
С помощью параметров ограничений клиента можно управлять типами внешних учетных записей, которые пользователи могут использовать на управляемых устройствах, включая:
- Учетные записи, созданные пользователями в неизвестных клиентах.
- Учетные записи, предоставленные внешним организациям пользователям, чтобы они могли получить доступ к ресурсам этой организации.
Мы рекомендуем настроить ограничения клиента, чтобы запретить эти типы внешних учетных записей и использовать совместную работу B2B. Совместная работа B2B обеспечивает следующие возможности:
- Используйте условный доступ и принудительно выполните многофакторную проверку подлинности для пользователей совместной работы B2B.
- Управление входящим и исходящим доступом.
- Завершение сеансов и учетных данных при изменении состояния занятости пользователя совместной работы B2B или нарушения учетных данных.
- Используйте журналы входа для просмотра сведений о пользователе совместной работы B2B.
Ограничения клиента не зависят от других параметров доступа между клиентами, поэтому любые параметры входящего трафика, исходящего трафика или доверия, настроенные вами, не влияют на ограничения клиента. Дополнительные сведения о настройке ограничений клиента см. в статье Настройка ограничений клиента версии 2.
Параметры облака Майкрософт
Параметры облака Майкрософт позволяют совместно работать с организациями из разных облаков Microsoft Azure. С помощью параметров облака Майкрософт можно установить взаимную совместную работу B2B между следующими облаками:
- Коммерческое облако Microsoft Azure и Microsoft Azure для государственных организаций
- Коммерческое облако Microsoft Azure и Microsoft Azure, управляемые 21Vianet (работает 21Vianet)
Примечание.
Microsoft Azure для государственных организаций включает облака Office GCC-High и DoD.
Чтобы настроить совместную работу B2B, обе организации настраивают свои параметры облака Майкрософт для взаимодействия с облаком партнера. Затем каждая организация использует идентификатор арендатора партнера для поиска и добавления партнера в свои параметры организации. Там каждая организация может разрешить применение своих параметров доступа между арендаторами по умолчанию к партнеру либо настроить для партнера индивидуальные параметры входящего и исходящего трафика. Организовав совместную работу B2B с партнером в другом облаке, вы сможете:
- использовать совместную работу B2B, чтобы пригласить пользователя в арендатор партнера для доступа к ресурсам в вашей организации, включая веб-бизнес-приложения, приложения SaaS, а также документы, файлы и веб-сайты SharePoint Online;
- Используйте совместную работу B2B для совместного использования содержимого Power BI пользователем в клиенте партнера.
- Примените политики условного доступа к пользователю совместной работы B2B и решите доверять многофакторной проверке подлинности или утверждениям устройств (совместимым утверждениям и гибридным утверждениям Microsoft Entra) из домашнего клиента пользователя.
Примечание.
Прямое подключение B2B не поддерживается для совместной работы с клиентами Microsoft Entra в другом облаке Майкрософт.
Инструкции по настройке см. в разделе "Настройка параметров облака Майкрософт для совместной работы B2B".
Параметры по умолчанию в сценариях взаимодействия между облаками
Для совместной работы с арендатором партнера в другом облаке Microsoft Azure обе организации должны взаимно включить совместную работу B2B друг с другом. Первым шагом является включение облака партнера в ваших параметрах взаимодействия между арендаторами. При первом включении другого облака совместная работа B2B блокируется для всех арендаторов в этом облаке. Нужно добавить арендатор, с которым вы хотите сотрудничать, в ваши параметры организации, при этом ваши параметры по умолчанию входят в силу только для данного арендатора. Вы можете оставить параметры по умолчанию в силе или изменить параметры организации для арендатора.
Важные замечания
Внимание
Изменение параметров входящего или исходящего трафика по умолчанию для блокировки доступа может заблокировать существующий критически важный для бизнеса доступ к приложениям в организации или партнерских организациях. Обязательно используйте средства, описанные в этой статье, и привлеките заинтересованных лиц бизнеса для определения необходимых возможностей доступа.
Чтобы настроить параметры доступа между клиентами в портал Azure, вам потребуется учетная запись с глобальным Администратор istrator, security Администратор istrator или настраиваемой ролью, которую вы определили.
Чтобы настроить параметры доверия или применить параметры доступа к определенным пользователям, группам или приложениям, потребуется лицензия Microsoft Entra ID P1. Для настраиваемого арендатора требуется лицензия. Для прямого подключения B2B, где требуется взаимное доверие с другой организацией Microsoft Entra, вам потребуется лицензия Microsoft Entra ID P1 в обоих клиентах.
Параметры доступа между клиентами используются для управления совместной работой B2B и прямым подключением B2B к другим организациям Microsoft Entra. Для совместной работы B2B с удостоверениями, отличными от Microsoft Entra (например, социальных удостоверений или внешних учетных записей, не управляемых ИТ), используйте параметры внешней совместной работы. Параметры внешней совместной работы включают параметры совместной работы B2B для ограничения доступа гостевых пользователей, определения пользователей, которые могут приглашать гостей, а также разрешения или блокировки доменов.
Если вы хотите применить параметры доступа к конкретным пользователям, группам или приложениям во внешней организации, перед настройкой параметров необходимо обратиться к организации за информацией. Получите идентификаторы объектов пользователей, идентификаторы групп или идентификаторы приложений (идентификаторы клиентских приложений или идентификаторы приложений-ресурсов), чтобы можно было правильно выбрать параметры.
Совет
Вы можете найти идентификаторы приложений для приложений во внешних организациях в журналах входа. См. раздел Выявление входящих и исходящих входов.
Параметры доступа, которые вы настраиваете для пользователей и групп, должны совпадать с параметрами доступа для приложений. Конфликтующие параметры запрещены, и вы увидите сообщение с предупреждением, если попытаетесь настроить их.
Пример 1. Если вы заблокировали входящий доступ для всех внешних пользователей и групп, доступ ко всем вашим приложениям также нужно заблокировать.
Пример 2. Если вы разрешили исходящий доступ для всех пользователей (или определенных пользователей и групп), вы не сможете заблокировать доступ ко всем внешним приложениям (необходимо разрешить доступ по меньшей мере к одному приложению).
Если вы хотите разрешить прямое соединение B2B для внешней организации, а корпоративные политики условного доступа требуют использовать MFA, необходимо настроить параметры доверия таким образом, чтобы политики условного доступа принимали утверждения MFA из внешней организации.
Если вы заблокировали доступ ко всем приложениям по умолчанию, пользователи не смогут читать сообщения, зашифрованные с помощью службы Microsoft Rights Management Service (также известной как шифрование сообщений Office 365, OME). Чтобы избежать этой проблемы, мы рекомендуем разрешить в параметрах исходящего трафика доступ пользователей к такому идентификатору приложения: 00000012-0000-0000-C000-000000000000. Если это единственное разрешенное приложение, доступ ко всем другим приложениям будет заблокирован по умолчанию.
Пользовательские роли для управления параметрами доступа между клиентами
Параметры доступа между клиентами можно управлять пользовательскими ролями, определенными вашей организацией. Это позволяет определять собственные точно область роли для управления параметрами доступа между клиентами вместо использования одной из встроенных ролей для управления. Ваша организация может определять пользовательские роли для управления параметрами доступа между клиентами. Это позволяет создавать собственные точно область роли для управления параметрами доступа между клиентами вместо использования встроенных ролей для управления.
Рекомендуемые пользовательские роли
Администратор доступа между клиентами
Эта роль может управлять всеми параметрами доступа между клиентами, включая параметры на основе по умолчанию и организации. Эта роль должна быть назначена пользователям, которым необходимо управлять всеми параметрами доступа между клиентами.
Найдите список рекомендуемых действий для этой роли ниже.
| Действия |
|---|
| microsoft.directory.tenantRelationships/standard/read |
| microsoft.directory/crossTenantAccessPolicy/standard/read |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update |
| microsoft.directory/crossTenantAccessPolicies/basic/update |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update |
| microsoft.directory/crossTenantAccessPolicy/partners/create |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update |
| microsoft.directory/crossTenantAccessPolicy/partners/delete |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update |
Средство чтения доступа между клиентами
Эта роль может читать все данные в параметрах доступа между клиентами, включая параметры на основе по умолчанию и организации. Эта роль должна быть назначена пользователям, которым нужно только просматривать параметры в параметрах доступа между клиентами, но не управлять ими.
Найдите список рекомендуемых действий для этой роли ниже.
| Действия |
|---|
| microsoft.directory.tenantRelationships/standard/read |
| microsoft.directory/crossTenantAccessPolicy/standard/read |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
Администратор партнера по межтенантному доступу
Эта роль может управлять всеми связанными с партнерами и читать параметры по умолчанию. Эта роль должна быть назначена пользователям, которым необходимо управлять параметрами на основе организации, но не иметь возможности изменять параметры по умолчанию.
Найдите список рекомендуемых действий для этой роли ниже.
| Действия |
|---|
| microsoft.directory.tenantRelationships/standard/read |
| microsoft.directory/crossTenantAccessPolicy/standard/read |
| microsoft.directory/crossTenantAccessPolicies/basic/update |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update |
| microsoft.directory/crossTenantAccessPolicy/partners/create |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update |
| microsoft.directory/crossTenantAccessPolicy/partners/delete |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update |
Защита административных действий с доступом между клиентами
Все действия, изменяющие параметры доступа между клиентами, считаются защищенными действиями и могут быть дополнительно защищены с помощью политик условного доступа. Дополнительные сведения и действия по настройке см. в защищенных действиях.
Выявления входящих и исходящих входов
Для определения необходимого уровня доступа для пользователей и партнеров до настройки параметров доступа к входящему и исходящему трафику доступно несколько средств. Чтобы не удалить возможности доступа, необходимые вашим пользователям и партнерам, вы можете изучить текущее поведение входа. Такой предварительный шаг позволит предотвратить утрату доступа для конечных пользователей и партнеров. Но в некоторых случаях такие журналы сохраняются только за последние 30 дней, поэтому мы настоятельно рекомендуем обратиться к заинтересованным лицам бизнеса и подтвердить, что нужный уровень доступа сохранен.
Скрипт PowerShell для действий входа между арендаторами
Чтобы проверить действия входа пользователей, связанные с внешними арендаторами, вы можете использовать скрипт PowerShell для действий входа пользователей между арендаторами. Например, чтобы просмотреть все доступные события входа для действий входящего трафика (внешние пользователи, получающие доступ к ресурсам в локальном арендаторе) и исходящего трафика (локальные пользователи, получающие доступ к ресурсам во внешнем арендаторе), используйте следующую команду:
Get-MSIDCrossTenantAccessActivity -SummaryStats -ResolveTenantId
Она выводит сводку по доступным событиям входа для действий входящего и исходящего трафика с сортировкой по идентификатору и имени внешнего арендатора.
Скрипт PowerShell для журналов входа
Чтобы определить доступ пользователей к внешним организациям Microsoft Entra, используйте командлет Get-MgAuditLogSignIn в пакете SDK Microsoft Graph PowerShell для просмотра данных из журналов входа за последние 30 дней. Например, выполните следующую команду:
#Initial connection
Connect-MgGraph -Scopes "AuditLog.Read.All"
Select-MgProfile -Name "beta"
#Get external access
$TenantId = "<replace-with-your-tenant-ID>"
Get-MgAuditLogSignIn -Filter "ResourceTenantId ne '$TenantID'" -All:$True |
Group-Object ResourceTenantId,AppDisplayName,UserPrincipalName |
Select-Object count,@{n='Ext TenantID/App User Pair';e={$_.name}}
Она выводит список исходящих входов, инициированных пользователями к приложениям во внешних арендаторах.
Azure Monitor
Если ваша организация подписана на службу Azure Monitor, используйте книгу действий доступа между арендаторами (доступна в коллекции книг мониторинга на портале Azure), чтобы просмотреть визуальное представление входящих и исходящих входов за длительные периоды времени.
Системы управления информационной безопасностью и событиями безопасности (SIEM)
Если ваша организация экспортирует журналы входа в систему управления информационной безопасностью и событиями безопасности (SIEM), вы можете получить нужные сведения из системы SIEM.
Выявление изменений в параметрах доступа между арендаторами
Журналы аудита Microsoft Entra фиксируют все действия вокруг параметров доступа между клиентами и действий. Чтобы выполнить аудит изменений в параметрах доступа между арендаторами, используйте категориюCrossTenantAccessSettings для фильтрации всех действий в целях отображения изменений в параметрах доступа между арендаторами.
Следующие шаги
Настройка параметров доступа между арендаторами для совместной работы B2BНастройка параметров доступа между арендаторами для прямого соединения B2B