Настройка прямого подключения B2B к внешней организации
Область применения: клиенты рабочей силы внешние клиенты (дополнительные сведения)
Используйте параметры доступа между клиентами для управления взаимодействием с другими организациями Microsoft Entra с помощью прямого подключения B2B. Эти параметры позволяют определить уровень исходящего доступа пользователей к внешним организациям. Они также позволяют контролировать уровень входящего доступа, которым пользователи во внешних организациях Microsoft Entra должны иметь внутренние ресурсы.
Параметры по умолчанию: параметры доступа между клиентами по умолчанию применяются ко всем внешним организациям Microsoft Entra, за исключением организаций, для которых настраиваются отдельные параметры. Эти параметры по умолчанию можно изменить. Для прямого подключения B2B обычно оставьте параметры по умолчанию как есть и включите прямой доступ К B2B с параметрами конкретной организации. Изначально используются следующие значения параметров по умолчанию:
- Начальные параметры прямого подключения B2B. По умолчанию исходящий прямой подключение B2B блокируется для всего клиента, а входящий прямой подключение B2B блокируется для всех внешних организаций Microsoft Entra.
- Параметры организации. По умолчанию ни одной организации не добавлено.
Параметры для конкретной организации. Вы можете настроить параметры для конкретной организации, добавив организацию и изменив параметры входящего и исходящего трафика для этой организации. Параметры организации имеют приоритет над параметрами по умолчанию.
Ознакомьтесь с дополнительными сведениями об использовании параметров доступа между клиентами для управления прямым соединением B2B.
Внимание
Корпорация Майкрософт начинает переносить клиентов с помощью параметров доступа между клиентами в новую модель хранения 30 августа 2023 года. Вы можете заметить запись в журналах аудита, информируя вас о том, что параметры доступа между клиентами были обновлены, так как наша автоматическая задача переносит параметры. Для краткого окна во время процессов миграции вы не сможете внести изменения в параметры. Если вы не можете внести изменения, необходимо подождите несколько минут и повторите попытку изменения. После завершения миграции вы больше не будете ограничиваться 25 КБ дискового пространства и больше не будет ограничений на количество партнеров, которые можно добавить.
Подготовка к работе
- Прежде чем настраивать параметры доступа между арендаторами, ознакомьтесь с разделом Важные сведения в статье Общие сведения о доступе между арендаторами.
- Определите уровень доступа по умолчанию, который вы хотите применить ко всем внешним организациям Microsoft Entra.
- Определите любые организации Microsoft Entra, которым требуются настраиваемые параметры.
- Свяжитесь с организациями, для которых вы хотите настроить прямое соединение B2B. Так как прямое соединение B2B устанавливается через взаимное доверие, вам и другой организации необходимо включить прямое соединение B2B друг с другом в параметрах доступа между клиентами.
- Получите все необходимые сведения из внешних организаций. Если вы хотите применить параметры доступа к определенным пользователям, группам или приложениям во внешней организации, необходимо получить эти идентификаторы из организации, прежде чем настроить параметры доступа.
- Чтобы настроить параметры доступа между клиентами в Центре администрирования Microsoft Entra, требуется учетная запись с по крайней мере ролью администратора безопасности. Администраторы Teams могут просматривать параметры доступа между клиентами, но не могут изменять их.
Настройка параметров по умолчанию
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Параметры доступа между клиентами по умолчанию применяются ко всем внешним организациям, для которых вы не создали настраиваемые параметры для конкретной организации. Если вы хотите изменить параметры идентификатора Microsoft Entra, предоставленные по умолчанию, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.
Перейдите к параметрам доступа внешних>удостоверений>между клиентами.
Перейдите на вкладку Параметры по умолчанию и просмотрите страницу сводки.
Чтобы изменить параметры, выберите ссылку Изменить параметры по умолчанию для входящего трафика или Изменить параметры по умолчанию для входящего трафика.
Измените параметры по умолчанию, выполнив действия в следующих разделах:
Добавление организации
Выполните приведенные ниже действия, чтобы задать настраиваемые параметры для конкретных организаций.
Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.
Перейдите к параметрам доступа внешних>удостоверений>между клиентами.
Выберите Параметры организации.
Выберите Добавить организацию.
В области Добавить организацию введите полное доменное имя (или идентификатор клиента) для организации.
Выберите организацию в результатах поиска и нажмите кнопку Добавить.
Организация отобразится в списке Параметры организации. На этом этапе все параметры доступа для этой организации наследуются от параметров по умолчанию. Чтобы изменить параметры для этой организации, выберите ссылку Унаследовано от значения по умолчанию в столбце Входящий доступ или Исходящий доступ.
Измените параметры организации, выполнив действия в следующих разделах:
Изменение параметров входящего доступа
При использовании входящих параметров вы выбираете, какие внешние пользователи и группы могут получить доступ к выбранным внутренним приложениям. Действия по изменению параметров входящего доступа между арендаторами одинаковы как для параметров по умолчанию, так и для параметров организации. Как описано в этом разделе, перейдите на вкладку по умолчанию или организацию на вкладке "Параметры организации", а затем внесите изменения.
Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.
Перейдите к параметрам доступа внешних>удостоверений>между клиентами.
Перейдите к параметрам, которые нужно изменить:
- Чтобы изменить параметры входящего доступа по умолчанию, перейдите на вкладку Параметры по умолчанию, а затем в разделе Параметры входящего доступа выберите Изменить параметры по умолчанию для входящего трафика.
- Чтобы изменить параметры для конкретной организации, перейдите на вкладку Параметры организации, найдите организацию в списке (или добавьте ее), а затем выберите ссылку в столбце Входящий доступ.
Следуйте инструкциям для параметров, которые вы хотите изменить:
Изменение параметров входящего доступа для прямого соединения B2B
Перейдите на вкладку Прямое соединение B2B.
Если вы настраиваете параметры для организации, выберите один из следующих вариантов:
Параметры по умолчанию: организация использует параметры, настроенные на вкладке "Параметры по умолчанию ". Если настроенные параметры уже настроены для этой организации, необходимо выбрать "Да ", чтобы убедиться, что все параметры будут заменены параметрами по умолчанию. Затем выберите Сохранитьи пропустите остальные шаги в этой процедуре.
Настройка параметров. Параметры можно настроить для применения для этой организации вместо параметров по умолчанию. Далее выполните остальные шаги этой процедуры.
Выберите Внешние пользователи и группы.
В разделе Состояние доступа выберите один из следующих вариантов:
- Разрешить доступ. Разрешает доступ к прямому соединению B2B пользователям и группам, указанным в разделе Область применения.
- Запретить доступ. Запрещает доступ к прямому соединению B2B пользователям и группам, указанным в разделе Область применения. При блокировке доступа для всех внешних пользователей и групп также блокируется общий доступ к внутренним приложениям через прямое соединение B2B.
В разделе Область применения выберите один из следующих вариантов:
- Все внешние пользователи и группы: применяет действие, выбранное в разделе " Доступ" ко всем пользователям и группам из внешних организаций Microsoft Entra.
- Выбор внешних пользователей и групп. Позволяет применить выбранное в разделе Состояние доступа действие к конкретным пользователям и группам внутри внешней организации. Лицензия Microsoft Entra ID P1 необходима для настраиваемого клиента.
Если вы выбрали Выбор внешних пользователей и групп, выполните следующие действия для каждого добавляемого пользователя или группы:
- Выберите Добавление внешних пользователей и групп.
- В области Добавить прочих пользователей и группы введите идентификатор объекта пользователя или идентификатор объекта группы в поле поиска.
- В меню рядом с полем поиска выберите вариант Пользователь или Группа.
- Выберите Добавить.
Примечание.
Вы не можете использовать целевые пользователи или группы в параметрах по умолчанию для входящего трафика.
Завершив добавление пользователей и групп, нажмите кнопку Отправить.
Выберите вкладку Приложения .
В разделе Состояние доступа выберите один из следующих вариантов:
- Разрешить доступ. Разрешает пользователям с прямым соединением B2B доступ к приложениям, указанным в разделе Область применения.
- Запретить доступ. Запрещает пользователям с прямым соединением B2B доступ к приложениям, указанным в разделе Область применения.
В разделе Область применения выберите один из следующих вариантов:
- Все приложения. Применяет выбранное в разделе Состояние доступа действие ко всем приложениям.
- Выберите приложения (требуется подписка Microsoft Entra ID P1 или P2). Позволяет применить действие, выбранное в разделе "Доступ " к определенным приложениям в вашей организации.
Если вы выбрали Выбор приложений, выполните следующие действия для каждого приложения, которое нужно добавить:
- Выберите Добавить приложения Майкрософт.
- В области "Приложения" введите имя приложения в поле поиска и выберите приложение в результатах поиска.
- Завершив выбор приложений, нажмите кнопку Выбрать.
Выберите Сохранить.
Изменение параметров входящего доверия для MFA и состояний устройств
Перейдите на вкладку Параметры доверия.
Если вы настраиваете параметры для организации, выберите один из следующих вариантов:
Параметры по умолчанию: организация использует параметры, настроенные на вкладке "Параметры по умолчанию ". Если настроенные параметры уже настроены для этой организации, необходимо выбрать "Да ", чтобы убедиться, что все параметры будут заменены параметрами по умолчанию. Затем выберите Сохранитьи пропустите остальные шаги в этой процедуре.
Настройка параметров. Параметры можно настроить для применения для этой организации вместо параметров по умолчанию. Далее выполните остальные шаги этой процедуры.
Выберите один или несколько следующих параметров:
Доверять многофакторной проверке подлинности из клиентов Microsoft Entra. Установите этот флажок, если политики условного доступа требуют многофакторной проверки подлинности (MFA). Этот параметр разрешает политикам условного доступа доверять утверждениям MFA из внешних организаций. Во время проверки подлинности идентификатор Microsoft Entra проверяет учетные данные пользователя для утверждения о том, что пользователь завершил многофакторную проверку подлинности. В противном случае вызов MFA инициируется в домашнем клиенте пользователя.
Доверять устройствам, соответствующим требованиям. Разрешает политикам условного доступа доверять утверждениям устройств из внешней организации, когда их пользователи получают доступ к ресурсам.
Доверять гибридным устройствам Microsoft Entra: позволяет политикам условного доступа доверять утверждениям гибридного присоединенного устройства Microsoft Entra из внешней организации при доступе пользователей к ресурсам.
(Этот шаг применяется к Только параметры организации.) Просмотрите параметр автоматического активации :
- Автоматическое активация приглашений с клиентом клиента<>. Проверьте этот параметр, если вы хотите автоматически активировать приглашения. Если это так, пользователям из указанного клиента не придется принимать запрос согласия при первом доступе к этому клиенту с помощью межтенантной синхронизации, совместной работы B2B или прямого подключения B2B. Этот параметр подавляет только запрос согласия, если указанный клиент проверяет этот параметр для исходящего доступа.
Выберите Сохранить.
Примечание.
При настройке параметров для организации вы заметите вкладку синхронизации между клиентами. Эта вкладка не применяется к конфигурации прямого подключения B2B. Вместо этого эта функция используется мультитенантными организациями для обеспечения совместной работы B2B между клиентами. Дополнительные сведения см. в документации по организации с несколькими клиентами.
Изменение параметров исходящего доступа
При использовании исходящих параметров вы выбираете, какие из пользователей и групп могут получить доступ к выбранным внешним приложениям. Подробные действия по изменению параметров исходящего доступа между арендаторами одинаковы как для параметров по умолчанию, так и для параметров конкретной организации. Как описано в этом разделе, перейдите на вкладку По умолчанию или выберите организацию на вкладке Параметры организации, а затем внесите изменения.
Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.
Перейдите к параметрам доступа внешних>удостоверений>между клиентами.
Перейдите к параметрам, которые нужно изменить:
Чтобы изменить параметры исходящего доступа по умолчанию, перейдите на вкладку Параметры по умолчанию, а затем в разделе Параметры исходящего доступа выберите Изменить параметры по умолчанию для исходящего трафика.
Чтобы изменить параметры для конкретной организации, перейдите на вкладку Параметры организации, найдите организацию в списке (или добавьте ее), а затем выберите ссылку в столбце Исходящий доступ.
Изменение параметров исходящего доступа
Перейдите на вкладку Прямое соединение B2B.
Если вы настраиваете параметры для организации, выберите один из следующих вариантов:
Параметры по умолчанию: организация использует параметры, настроенные на вкладке "Параметры по умолчанию ". Если настроенные параметры уже настроены для этой организации, необходимо выбрать "Да ", чтобы убедиться, что все параметры будут заменены параметрами по умолчанию. Затем выберите Сохранитьи пропустите остальные шаги в этой процедуре.
Настройка параметров. Вы можете настроить параметры для этой организации, которые будут применяться для нее вместо параметров по умолчанию. Далее выполните остальные шаги этой процедуры.
Выберите Пользователи и группы
В разделе Состояние доступа выберите один из следующих вариантов:
- Разрешить доступ. Разрешает доступ к прямому соединению B2B пользователям и группам, указанным в разделе Область применения.
- Запретить доступ. Запрещает доступ к прямому соединению B2B пользователям и группам, указанным в разделе Область применения. При блокировке доступа для всех пользователей и групп также блокируется общий доступ к внешним приложениям через прямое соединение B2B.
В разделе Область применения выберите один из следующих вариантов:
- Все пользователи <вашей организации>. Применяет выбранное действие в разделе Состояние доступа ко всем пользователям и группам.
- Выберите <пользователей и группы организации> (требуется подписка Microsoft Entra ID P1 или P2). Позволяет применить действие, выбранное в разделе "Доступ" для определенных пользователей и групп.
Если вы выбрали Выбор пользователей и групп<вашей организации>, выполните следующие действия для каждого добавляемого пользователя или группы:
- Выберите Добавить пользователей и группы <вашей организации>.
- В области Выбор введите имя пользователя или группы в поле поиска.
- Завершив выбор пользователей и групп, нажмите кнопку Выбрать.
Примечание.
При выборе пользователей и групп нельзя выбрать пользователей, настроивших проверку подлинности на основе SMS. Это связано с тем, что пользователи, у которых есть "федеративные учетные данные" в объекте пользователя, блокируются, чтобы предотвратить добавление внешних пользователей в параметры исходящего доступа. В качестве обходного пути можно использовать API Microsoft Graph для добавления идентификатора объекта пользователя непосредственно или указания группы, к которой принадлежит пользователь.
Выберите Сохранить.
Перейдите на вкладку Внешние приложения.
В разделе Состояние доступа выберите один из следующих вариантов:
- Разрешить доступ. Разрешает пользователям с прямым соединением B2B доступ к приложениям, указанным в разделе Область применения.
- Запретить доступ. Запрещает пользователям с прямым соединением B2B доступ к приложениям, указанным в разделе Область применения.
В разделе Область применения выберите один из следующих вариантов:
- Все внешние приложения. Применяет выбранное в разделе Состояние доступа действие ко всем внешним приложениям.
- Выберите приложения (требуется подписка Microsoft Entra ID P1 или P2): позволяет применить действие, выбранное в разделе "Состояние Access" для определенных внешних приложений.
Если вы выбрали Выбрать внешние приложения, выполните следующие действия для каждого приложения, которое нужно добавить:
- Выберите Добавить приложения Майкрософт или Добавить другие приложения.
- В области "Приложения" введите имя приложения в поле поиска и выберите приложение в результатах поиска.
- Завершив выбор приложений, нажмите кнопку Выбрать.
Выберите Сохранить.
Изменение параметров исходящего доверия
(Этот раздел относится к Только параметры организации.)
Перейдите на вкладку Параметры доверия.
Просмотрите параметр автоматического активации :
- Автоматическое активация приглашений с клиентом клиента<>. Проверьте этот параметр, если вы хотите автоматически активировать приглашения. Если это так, пользователи из этого клиента не должны принимать запрос согласия при первом доступе к указанному клиенту с помощью межтенантной синхронизации, совместной работы B2B или прямого подключения B2B. Этот параметр будет подавлять запрос согласия, только если указанный клиент проверяет этот параметр для входящего доступа.
Выберите Сохранить.
Удаление организации
При удалении организации из параметров организации параметры доступа между клиентами по умолчанию входят в силу для этой организации.
Примечание.
Если организация является поставщиком облачных служб для вашей организации (свойство "isServiceProvider" в конфигурации для конкретного партнера Microsoft Graph имеет значение "true"), то вы не сможете удалить организацию.
Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.
Перейдите к параметрам доступа внешних>удостоверений>между клиентами.
Перейдите на вкладку Параметры организации.
Найдите организацию в списке, а затем нажмите на значок корзины в этой строке.
Следующие шаги
Настройка параметров доступа между арендаторами для службы совместной работы B2B