Поделиться через

Обзор: доступ между клиентами с Внешняя идентификация Microsoft Entra

  • Статья

Область применения: Зеленый круг с символом белой галочки. клиенты рабочей силы внешниеБелый круг с серым символом X. клиенты (дополнительные сведения)

Организации Microsoft Entra могут использовать параметры доступа внешнего идентификатора между клиентами для управления совместной работой с другими организациями Microsoft Entra и облаками Microsoft Azure с помощью прямого подключения B2B и B2B. Параметры доступа между клиентами обеспечивают детальный контроль над входящим и исходящим доступом, что позволяет доверять многофакторной проверке подлинности (MFA) и утверждениям устройств из других организаций.

В этой статье рассматриваются параметры доступа между клиентами для управления совместной работой B2B и прямым подключением B2B к внешним организациям Microsoft Entra, включая в облаках Майкрософт. Другие параметры доступны для совместной работы B2B с удостоверениями, отличными от Microsoft Entra (например, удостоверения социальных удостоверений или не управляемых ИТ-учетных записей). Эти параметры внешней совместной работы включают параметры ограничения доступа гостевых пользователей, указание того, кто может приглашать гостей и разрешать или блокировать домены.

Количество организаций, которые можно добавить в параметрах доступа между клиентами, не ограничено.

Управление внешним доступом с помощью параметров входящего и исходящего трафика

Параметры доступа между клиентами внешних удостоверений управляют взаимодействием с другими организациями Microsoft Entra. Эти параметры определяют уровень входящего доступа пользователей во внешних организациях Microsoft Entra для ваших ресурсов, а также уровень исходящего доступа пользователей к внешним организациям.

На следующей схеме показаны параметры входящего и исходящего доступа между клиентами. Клиент Microsoft Entra — это клиент , содержащий общие ресурсы. Для совместной работы B2B клиент ресурсов — это приглашенный клиент (например, корпоративный клиент, где требуется пригласить внешних пользователей). Домашний клиент Microsoft Entra пользователя — это клиент , на котором управляют внешние пользователи.

Обзор схемы параметров доступа между клиентами.

По умолчанию служба совместной работы B2B с другими организациями Microsoft Entra включена, а прямой подключение B2B блокируется. Но следующие комплексные параметры администратора позволяют управлять обеими этими функциями.

  • Параметры исходящего доступа определяют, могут ли пользователи получать доступ к ресурсам во внешней организации. Эти параметры можно применить ко всем пользователям или указать отдельных пользователей, групп и приложений.

  • Параметры входящего доступа определяют, могут ли пользователи из внешних организаций Microsoft Entra получать доступ к ресурсам в вашей организации. Эти параметры можно применить ко всем пользователям или указать отдельных пользователей, групп и приложений.

  • Параметры доверия (входящий трафик) определяют, доверяют ли политики условного доступа многофакторную проверку подлинности (MFA), соответствующее устройству, и утверждения гибридного устройства Microsoft Entra из внешней организации, если их пользователи уже выполнили эти требования в своих домашних клиентах. Например, при настройке параметров доверия для доверия MFA политики MFA по-прежнему применяются к внешним пользователям, но пользователи, которые уже выполнили MFA в своих домашних клиентах, не должны снова завершить MFA в клиенте.

Параметры по умолчанию

Параметры доступа между клиентами по умолчанию применяются ко всем организациям Microsoft Entra, внешним к клиенту, за исключением организаций, для которых настраиваются пользовательские параметры. Вы можете изменить параметры по умолчанию, но начальные параметры по умолчанию для совместной работы B2B и прямого подключения B2B приведены следующим образом:

  • Совместная работа B2B: все внутренние пользователи включены для совместной работы B2B по умолчанию. Этот параметр означает, что пользователи могут приглашать внешних гостей для доступа к ресурсам, и они могут быть приглашены в внешние организации в качестве гостей. Утверждения MFA и устройства из других организаций Microsoft Entra не являются доверенными.

  • Прямое подключение B2B: по умолчанию отношения доверия прямого подключения B2B не устанавливаются. Идентификатор Microsoft Entra блокирует все возможности входящего и исходящего подключения B2B для всех внешних клиентов Microsoft Entra.

  • Параметры организации: организации не добавляются в параметры организации по умолчанию. Поэтому все внешние организации Microsoft Entra включены для совместной работы B2B с вашей организацией.

  • Синхронизация между клиентами: пользователи из других клиентов не синхронизируются с клиентом с синхронизацией между клиентами.

Эти параметры по умолчанию применяются к совместной работе B2B с другими клиентами Microsoft Entra в том же облаке Microsoft Azure. В сценариях с несколькими облаками параметры по умолчанию работают немного иначе. См . параметры облака Майкрософт далее в этой статье.

Параметры организации

Вы можете настроить параметры для конкретной организации, добавив организацию и изменив параметры входящего и исходящего трафика для этой организации. Параметры организации имеют приоритет над параметрами по умолчанию.

  • Совместная работа B2B. Используйте параметры доступа между клиентами для управления входящим и исходящим доступом B2B для совместной работы и области доступа к определенным пользователям, группам и приложениям. Можно задать конфигурацию по умолчанию, которая применяется ко всем внешним организациям, а затем создать отдельные параметры, относящиеся к организации по мере необходимости. Используя параметры доступа между клиентами, можно также доверять многофакторным (MFA) и утверждениям устройств (совместимым утверждениям и гибридным утверждениям Microsoft Entra) из других организаций Microsoft Entra.

    Кончик

    Рекомендуется исключить внешних пользователей из политики регистрации MFA Защита идентификации Microsoft Entra, если вы собираетесь доверять MFA внешним пользователям. При наличии обеих политик внешние пользователи не смогут удовлетворять требованиям для доступа.

  • Прямое подключение B2B: для прямого подключения B2B используйте параметры организации для настройки отношений взаимного доверия с другой организацией Microsoft Entra. Как ваша организация, так и внешняя организация должны взаимно включить прямое подключение B2B, настроив параметры доступа между клиентами для входящего и исходящего трафика.

  • Параметры внешней совместной работы можно использовать для ограничения того, кто может приглашать внешних пользователей, разрешать или блокировать определенные домены B2B и устанавливать ограничения на доступ гостевых пользователей к каталогу.

Параметр автоматического активации

Параметр автоматического активации — это параметр входящего и исходящего доверия организации для автоматического активации приглашений, поэтому пользователям не нужно принимать запрос согласия при первом доступе к ресурсу или целевому клиенту. Этот параметр является флажоком со следующим именем:

  • Автоматическое активация приглашений с помощью клиента<>

Снимок экрана: флажок автоматического активации для входящего трафика.

Сравнение параметров для различных сценариев

Параметр автоматического активации применяется к синхронизации между клиентами, совместной работе B2B и прямому подключению B2B в следующих ситуациях:

  • Когда пользователи создаются в целевом клиенте с помощью межтенантной синхронизации.
  • При добавлении пользователей в клиент ресурсов с помощью совместной работы B2B.
  • Когда пользователи получают доступ к ресурсам в клиенте ресурсов с помощью прямого подключения B2B.

В следующей таблице показано, как этот параметр сравнивается при включении этих сценариев:

Пункт Синхронизация между клиентами Совместная работа B2B Прямое подключение B2B
Параметр автоматического активации Обязательно Необязательный Необязательный
Пользователи получают сообщение электронной почты о приглашении на совместную работу B2B Нет Нет N/A
Пользователи должны принять запрос согласия Нет Нет Нет
Пользователи получают уведомление о совместной работе B2B Нет Да N/A

Этот параметр не влияет на взаимодействие с согласием приложения. Дополнительные сведения см. в разделе "Согласие" для приложений в идентификаторе Microsoft Entra ID. Этот параметр не поддерживается для организаций в разных облачных средах Майкрософт, таких как коммерческая и Azure для государственных организаций Azure.

Параметр автоматического активации будет отключать только запрос согласия и сообщение электронной почты приглашения, если этот параметр проверяет этот параметр как домашний, так и исходный клиент (исходящий) и целевой клиент (входящий).

Схема, показывающая параметр автоматического активации для исходящего и входящего трафика.

В следующей таблице показано поведение запроса согласия для пользователей исходного клиента при проверке параметра автоматического активации для различных сочетаний параметров доступа между клиентами.

Клиент home/source Клиент resource/target Поведение запроса на согласие
для пользователей исходного клиента
Отправляемый за границу Прибывающий
Значок флажка. Значок флажка. Подавлены
Значок флажка. Значок для очистки флажка. Не подавляется
Значок для очистки флажка. Значок флажка. Не подавляется
Значок для очистки флажка. Значок для очистки флажка. Не подавляется
Прибывающий Отправляемый за границу
Значок флажка. Значок флажка. Не подавляется
Значок флажка. Значок для очистки флажка. Не подавляется
Значок для очистки флажка. Значок флажка. Не подавляется
Значок для очистки флажка. Значок для очистки флажка. Не подавляется

Сведения о настройке этого параметра с помощью Microsoft Graph см. в API Update crossTenantAccessPolicyConfigurationPartner . Сведения о создании собственного интерфейса подключения см. в разделе B2B Диспетчер приглашений для совместной работы.

Дополнительные сведения см. в статье "Настройка синхронизации между клиентами", настройка параметров доступа между клиентами для совместной работы B2B и настройка параметров доступа между клиентами для прямого подключения B2B.

Настраиваемое активация

С помощью настраиваемого активации можно настроить порядок поставщиков удостоверений, с которыми могут войти гостевые пользователи при принятии приглашения. Вы можете включить функцию и указать заказ на активацию на вкладке "Заказ активации".

Снимок экрана: вкладка

Когда гостевой пользователь выбирает ссылку "Принять приглашение" по электронной почте приглашения, идентификатор Microsoft Entra ID автоматически активирует приглашение в соответствии с заказом активации по умолчанию. При изменении заказа поставщика удостоверений на новой вкладке "Заказ активации" новый заказ переопределяет порядок активации по умолчанию.

Основные поставщики удостоверений и резервные поставщики удостоверений находятся на вкладке "Заказ активации".

Основными поставщиками удостоверений являются те, которые имеют федерации с другими источниками проверки подлинности. Резервные поставщики удостоверений — это используемые поставщики удостоверений, если пользователь не соответствует основному поставщику удостоверений.

Резервные поставщики удостоверений могут быть учетной записью Майкрософт (MSA), одноразовым секретным кодом электронной почты или обоими. Вы не можете отключить оба резервных поставщика удостоверений, но вы можете отключить все основные поставщики удостоверений и использовать только резервные поставщики удостоверений для вариантов активации.

При использовании этой функции рассмотрите следующие известные ограничения:

  • Если пользователь Идентификатора Microsoft Entra ID, имеющий существующий сеанс единого входа (SSO), выполняет проверку подлинности с помощью секретного кода электронной почты (OTP), он должен выбрать другую учетную запись и повторно отправить имя пользователя, чтобы активировать поток OTP. В противном случае пользователь получает ошибку, указывающую, что учетная запись не существует в клиенте ресурса.

  • Если у пользователя есть одинаковый адрес электронной почты как в идентификаторе Microsoft Entra ID, так и в учетных записях Майкрософт, пользователю будет предложено выбрать один из вариантов использования идентификатора Microsoft Entra или учетной записи Майкрософт даже после того, как администратор отключает учетную запись Майкрософт в качестве метода активации. Выбор учетной записи Майкрософт в качестве варианта активации разрешен, даже если метод отключен.

Прямая федерация для проверенных доменов Идентификатора Microsoft Entra

Федерация поставщика удостоверений SAML/WS-Fed (прямая федерация) теперь поддерживается для проверенных доменов Идентификатора Microsoft Entra. Эта функция позволяет настроить прямую федерацию с внешним поставщиком удостоверений для домена, проверенного в Microsoft Entra.

Заметка

Убедитесь, что домен не проверен в том же клиенте, в котором вы пытаетесь настроить конфигурацию федерации Direct. После настройки прямой федерации можно настроить предпочтения активации клиента и переместить поставщика удостоверений SAML/WS-Fed по идентификатору Microsoft Entra с помощью новых настраиваемых параметров доступа между клиентами.

Когда гостевой пользователь активирует приглашение, он видит традиционный экран согласия и перенаправляется на страницу Мои приложения. В клиенте ресурсов профиль для этого прямого пользователя федерации показывает, что приглашение успешно активировано, с внешней федерацией, указанной в качестве издателя.

Снимок экрана: прямой поставщик федерации под удостоверениями пользователей.

Запретить пользователям B2B активировать приглашение с помощью учетных записей Майкрософт

Теперь вы можете запретить гостевым пользователям B2B использовать учетные записи Майкрософт для активации приглашений. Вместо этого они используют одноразовый секретный код, отправленный в свою электронную почту в качестве резервного поставщика удостоверений. Они не могут использовать существующую учетную запись Майкрософт для активации приглашений, а также не запрашивают создать новую. Эту функцию можно включить в параметрах заказа активации, отключив учетные записи Майкрософт в вариантах резервного поставщика удостоверений.

Снимок экрана: параметр резервных поставщиков удостоверений.

У вас всегда должен быть хотя бы один резервный поставщик удостоверений. Таким образом, если вы решите отключить учетные записи Майкрософт, необходимо включить параметр однократного секретного кода электронной почты. Существующие гостевые пользователи, которые уже войдите с помощью учетных записей Майкрософт, продолжают делать это для будущих входов. Чтобы применить к ним новые параметры, необходимо сбросить состояние активации.

Параметр синхронизации между клиентами

Параметр синхронизации между клиентами — это только входящий параметр организации, позволяющий администратору исходного клиента синхронизировать пользователей с целевым клиентом. Этот параметр — это флажок с именем Allow users sync in this tenant , который указан в целевом клиенте. Этот параметр не влияет на приглашения B2B, созданные с помощью других процессов, таких как ручное приглашение или управление правами Microsoft Entra.

Снимок экрана: вкладка синхронизации между клиентами с флажок

Сведения о настройке этого параметра с помощью Microsoft Graph см. в API Update crossTenantIdentitySyncPolicyPartner . Дополнительные сведения см. в разделе "Настройка синхронизации между клиентами".

Ограничения клиента

С помощью параметров ограничений клиента можно управлять типами внешних учетных записей, которые пользователи могут использовать на управляемых устройствах, включая:

  • Учетные записи пользователей, созданные в неизвестных клиентах.
  • Учетные записи, которые внешние организации предоставили пользователям, чтобы они могли получить доступ к ресурсам этой организации.

Мы рекомендуем настроить ограничения клиента, чтобы запретить эти типы внешних учетных записей и использовать совместную работу B2B. Совместная работа B2B обеспечивает следующие возможности:

  • Используйте условный доступ и принудительно выполните многофакторную проверку подлинности для пользователей совместной работы B2B.
  • Управление входящим и исходящим доступом.
  • Завершение сеансов и учетных данных при изменении состояния занятости пользователя совместной работы B2B или нарушения учетных данных.
  • Используйте журналы входа для просмотра сведений о пользователе совместной работы B2B.

Ограничения клиента не зависят от других параметров доступа между клиентами, поэтому все параметры входящего, исходящего трафика или доверия, которые вы настраиваете, не влияют на ограничения клиента. Дополнительные сведения о настройке ограничений клиента см. в статье Настройка ограничений клиента версии 2.

Параметры облака Майкрософт

Параметры облака Майкрософт позволяют совместно работать с организациями из разных облаков Microsoft Azure. С помощью параметров облака Майкрософт можно установить взаимную совместную работу B2B между следующими облаками:

  • Коммерческое облако Microsoft Azure и Microsoft Azure для государственных организаций, включая облака Office GCC-High и DoD
  • Коммерческое облако Microsoft Azure и Microsoft Azure, управляемые 21Vianet (работает 21Vianet)

Заметка

Прямое подключение B2B не поддерживается для совместной работы с клиентами Microsoft Entra в другом облаке Майкрософт.

Дополнительные сведения см. в статье о настройке параметров облака Майкрософт для совместной работы B2B.

Важные рекомендации

Важный

Изменение параметров входящего или исходящего трафика по умолчанию для блокировки доступа может блокировать существующий критически важный для бизнеса доступ к приложениям в организации или партнерских организациях. Обязательно используйте средства, описанные в этой статье, и обратитесь к заинтересованным лицам компании, чтобы определить необходимый доступ.

  • Чтобы настроить параметры доступа между клиентами в портал Azure, требуется учетная запись с по крайней мере администратором безопасности или настраиваемой ролью.

  • Чтобы настроить параметры доверия или применить параметры доступа к определенным пользователям, группам или приложениям, требуется лицензия Microsoft Entra ID P1. Лицензия необходима для настраиваемого клиента. Для прямого подключения B2B, где требуется взаимная связь доверия с другой организацией Microsoft Entra, требуется лицензия Microsoft Entra ID P1 в обоих клиентах.

  • Параметры доступа между клиентами используются для управления совместной работой B2B и прямым подключением B2B к другим организациям Microsoft Entra. Для совместной работы B2B с удостоверениями, отличными от Microsoft Entra (например, социальных удостоверений или внешних учетных записей, не управляемых ИТ), используйте параметры внешней совместной работы. Параметры внешней совместной работы включают варианты совместной работы B2B для ограничения доступа гостевых пользователей, указания того, кто может приглашать гостей и разрешать или блокировать домены.

  • Чтобы применить параметры доступа к определенным пользователям, группам или приложениям во внешней организации, перед настройкой параметров необходимо связаться с организацией. Получите идентификаторы объектов пользователя, идентификаторы объектов группы или идентификаторы приложений (идентификаторы клиентских приложений или идентификаторы приложений ресурсов), чтобы правильно настроить параметры.

    Кончик

    Вы можете найти идентификаторы приложений для приложений во внешних организациях, проверив журналы входа. См. раздел "Идентификация входящих и исходящих входов".

  • Параметры доступа, настроенные для пользователей и групп, должны соответствовать параметрам доступа для приложений. Конфликтующие параметры не допускаются, и при попытке их настройки отображаются предупреждающие сообщения.

    • Пример 1. Если вы блокируете входящий доступ для всех внешних пользователей и групп, доступ ко всем приложениям также должен быть заблокирован.

    • Пример 2. Если разрешить исходящий доступ для всех пользователей (или определенных пользователей или групп), запретить блокировку доступа ко всем внешним приложениям; доступ к одному приложению должен быть разрешен.

  • Если вы хотите разрешить прямое подключение B2B к внешней организации и политикам условного доступа требуется MFA, необходимо настроить параметры доверия для принятия утверждений MFA из внешней организации.

  • Если по умолчанию вы блокируете доступ ко всем приложениям, пользователи не могут читать сообщения электронной почты, зашифрованные службой Microsoft Rights Management, также известной как шифрование сообщений Office 365 (OME). Чтобы избежать этой проблемы, рекомендуется настроить параметры исходящего трафика, чтобы разрешить пользователям получать доступ к этому идентификатору приложения: 00000012-0000-0000-c000-00000000000000. Если вы разрешаете только это приложение, доступ ко всем другим приложениям блокируется по умолчанию.

Пользовательские роли для управления параметрами доступа между клиентами

Вы можете создавать пользовательские роли для управления параметрами доступа между клиентами. Дополнительные сведения о рекомендуемых пользовательских ролях см. здесь.

Защита административных действий с доступом между клиентами

Все действия, изменяющие параметры доступа между клиентами, считаются защищенными действиями и могут быть дополнительно защищены с помощью политик условного доступа. Дополнительные сведения о действиях по настройке см. в разделе "Защищенные действия".

Определение входящих и исходящих входов

Для идентификации пользователей и партнеров доступны несколько средств, необходимых для настройки параметров входящего и исходящего доступа. Чтобы убедиться, что вам не требуется доступ пользователей и партнеров, следует проверить текущее поведение входа. Этот предварительный шаг помогает предотвратить потерю требуемого доступа для конечных пользователей и партнеров. Однако в некоторых случаях эти журналы хранятся только в течение 30 дней, поэтому мы настоятельно рекомендуем поговорить с заинтересованными лицами вашей компании, чтобы гарантировать, что необходимый доступ не потерян.

Инструмент Метод
Скрипт PowerShell для действий входа между клиентами Чтобы просмотреть действия входа пользователей, связанные с внешними организациями, используйте скрипт PowerShell для входа между клиентами из MSIdentityTools.
Скрипт PowerShell для журналов входа Чтобы определить доступ пользователей к внешним организациям Microsoft Entra, используйте командлет Get-MgAuditLogSignIn .
Azure Monitor Если ваша организация подписывается на службу Azure Monitor, используйте книгу действий доступа между клиентами.
Системы управления сведениями о безопасности и событиями (SIEM) Если ваша организация экспортирует журналы входа в систему управления сведениями и событиями безопасности (SIEM), вы можете получить необходимые сведения из системы SIEM.

Определение изменений параметров доступа между клиентами

Журналы аудита Microsoft Entra фиксируют все действия вокруг параметров доступа между клиентами и действий. Чтобы выполнить аудит изменений в параметрах доступа между клиентами, используйте категорию CrossTenantAccessSettings, чтобы отфильтровать все действия, чтобы отобразить изменения в параметрах доступа между клиентами.

Снимок экрана: журналы аудита для параметров доступа между клиентами.

Дальнейшие действия

Настройка параметров доступа между клиентами для совместной работы B2B

Настройка параметров доступа между клиентами для прямого подключения B2B