Общие сведения об API параметров доступа между клиентами
Пространство имен: microsoft.graph
В традиционной совместной работе Microsoft Entra B2B любой приглашенный пользователь из организации может использовать свое удостоверение для доступа к ресурсам во внешних организациях. Администраторы не имели контроля над удостоверениями пользователей в клиенте, которым разрешен вход во внешние организации. Эти ограниченные элементы управления затрудняли несанкционированное использование удостоверений из вашей организации.
Параметры доступа между клиентами позволяют контролировать совместную работу пользователей в организации и других организациях и управлять ими. Элемент управления может находиться в одной или в сочетании следующих конфигураций:
- исходящий доступ — способ совместной работы пользователей с другими организациями.
- входящий доступ — как другие организации сотрудничают с вами.
- ограничения доступа для клиентов — как пользователи работают с другими организациями, используя другие удостоверения организации из вашей сети или устройств.
Детализированные элементы управления позволяют определять пользователей, группы и приложения как в вашей организации, так и во внешних организациях, которые могут участвовать в совместной работе между клиентами. Эти элементы управления реализуются с помощью:
Параметры доступа между клиентами по умолчанию , которые задают базовые параметры для входящего и исходящего доступа и ограничений клиента.
- В совместной работе Microsoft Entra B2B параметры входящего и исходящего доступа включены по умолчанию. Эта конфигурация по умолчанию означает, что все ваши пользователи могут быть приглашены во внешние организации, а все пользователи могут приглашать гостевых пользователей.
- В прямом подключении Microsoft Entra B2B параметры входящего и исходящего доступа отключены по умолчанию.
- Параметры службы по умолчанию могут быть обновлены.
- В разделе Ограничения клиента все параметры доступа отключены по умолчанию.
Параметры доступа для партнеров , которые позволяют настраивать настраиваемые параметры для отдельных организаций. Для настроенных организаций эта конфигурация имеет приоритет над параметрами по умолчанию. Таким образом, хотя совместная работа Microsoft Entra B2B, прямое подключение Microsoft Entra B2B и ограничения клиентов могут быть отключены в вашей организации, вы можете включить эти функции для конкретной внешней организации.
Важно!
Настроив параметры прямого подключения B2B, вы разрешаете внешним организациям, с которыми вы включили параметры исходящего трафика, получать доступ к ограниченным контактным данным пользователей. Корпорация Майкрософт предоставляет эти данные этим организациям, чтобы помочь им отправить запрос на подключение к пользователям. Данные, собираемые внешними организациями, включая ограниченные контактные данные, регулируются политиками конфиденциальности и практиками этих организаций.
Параметры доступа между клиентами по умолчанию
Параметры доступа между клиентами по умолчанию определяют вашу позицию для совместной работы входящего и исходящего трафика, а также ограничений клиентов со всеми другими организациями Microsoft Entra. Любое внешнее сотрудничество с организацией, не указанной явно в параметрах доступа между клиентами, наследует эти параметры по умолчанию. Параметры по умолчанию определяются с помощью типа ресурса crossTenantAccessPolicyConfigurationDefault .
По умолчанию идентификатор Microsoft Entra назначает всем клиентам Microsoft Entra конфигурацию службы по умолчанию для параметров доступа между клиентами. Эти значения службы по умолчанию можно переопределить с помощью собственной конфигурации в соответствии с вашей организацией. Вы можете проверить, используете ли вы параметры службы по умолчанию или пользовательские параметры, просмотрев свойство isServiceDefault , возвращаемое при запросе конечной точки по умолчанию.
Параметры доступа между клиентами партнеров
Параметры доступа между клиентами, зависящие от партнеров, определяют вашу позицию для совместной работы входящего и исходящего трафика, а также ограничений клиентов в конкретной организации Microsoft Entra. Любая совместная работа с этой организацией наследует эти параметры партнера. Параметры партнера определяются с помощью типа ресурса crossTenantAccessPolicyConfigurationPartner .
Если вы не настроите все свойства объекта партнера, некоторые параметры по умолчанию могут по-прежнему применяться. Например, если настроить только b2bCollaborationInbound для партнера в параметрах доступа между арендаторами, конфигурация партнера наследует другие параметры от параметров доступа между клиентами по умолчанию. При запросе конечной точки партнера любое свойство объекта партнера, наследующее null
параметры политики по умолчанию.
Параметры входящего доверия в параметрах доступа между клиентами
Параметры входящего доверия позволяют доверять гостевым пользователям MFA в домашних каталогах, что не позволяет гостевым пользователям выполнять MFA как в домашних каталогах, так и в каталоге. С помощью параметров входящего доверия вы обеспечиваете беспроблемную проверку подлинности для гостевых пользователей и экономите затраты на MFA, связанные с вашей организацией.
Например, при настройке параметров доверия mFA политики MFA по-прежнему применяются к гостевым пользователям, но пользователям, которые уже завершили MFA в своих домашних клиентах, не нужно повторно завершать MFA в вашем клиенте.
Параметры входящего доверия также позволяют доверять устройствам, которые соответствуют требованиям, или гибридному присоединению Microsoft Entra в домашних каталогах. С помощью параметров входящего доверия в параметрах доступа между арендаторами вы можете защитить доступ к приложениям и ресурсам, требуя, чтобы гостевые пользователи использовали совместимые устройства или устройства с гибридным присоединением к Microsoft Entra.
Синхронизация входящего трафика между клиентами в параметрах доступа между клиентами
Вы можете включить синхронизацию между клиентами для синхронизации пользователей из клиента партнера. Межтенантная синхронизация — это служба односторонней синхронизации в Идентификаторе Microsoft Entra, которая автоматизирует создание, обновление и удаление пользователей службы совместной работы B2B в разных клиентах в организации. Вы создаете политику синхронизации пользователей для упрощения совместной работы между пользователями в мультитенантных организациях. Параметры синхронизации пользователей партнера определяются с помощью типа ресурса crossTenantIdentitySyncPolicyPartner .
Совместная работа с организациями с помощью Microsoft Entra ID в разных облаках Майкрософт
Параметры доступа между клиентами используются для обеспечения совместной работы с организациями Microsoft Entra в отдельных облаках Майкрософт. Свойство allowedCloudEndpoints
позволяет указать, в каких облаках Майкрософт вы хотите расширить совместную работу. Совместная работа B2B поддерживается между следующими облаками Майкрософт:
- Microsoft Azure для коммерческих организаций и Microsoft Azure для государственных организаций
- Microsoft Azure для коммерческих организаций и Microsoft Azure для Китая
Узнайте больше о совместной работе с организациями из другого облака Майкрософт.
Интерпретация ответа API
API параметров доступа между арендаторами можно использовать для настройки нескольких конфигураций для разрешения или блокировки доступа к организации и из нее. В следующей таблице показаны сценарии, показан пример ответа API и его интерпретация. b2bSetting используется в качестве заполнителя для любой входящей конфигурации B2B (b2bCollaborationInbound или b2bDirectConnectInbound) или исходящей конфигурации (b2bCollaborationOutbound или b2bDirectConnectOutbound) или ограничений клиента (tenantRestrictions).
Сценарий | Выходные данные API | Интерпретации |
---|---|---|
Блокировка всех пользователей и блокировка всех приложений |
|
- |
Разрешить всем пользователям и всем приложениям |
|
- |
Разрешить пользователям в группе "g1" доступ к любому приложению |
|
Пользователи в группе "g1" могут получить доступ к любому приложению. Все остальные пользователи, которые не входят в группу "g1", блокируются. |
Разрешить доступ только приложению "a1" |
|
Всем пользователям разрешен доступ только к приложению "a1" |
Разрешить пользователям в группе "g1" и заблокировать доступ к приложению "a1" |
|
Всем пользователям в группе "g1" разрешен доступ к любому приложению , кроме приложения "a1". |
Запретить пользователям в группе "g1" доступ к любому приложению |
|
Пользователи в группе "g1" не могут получить доступ ни к одному приложению. Другие пользователи, которые не в группе "g1" имеют доступ ко всем приложениям. |
Блокировать пользователей в группе "g1" и разрешать доступ только к приложению "a1" |
|
Пользователи в группе "g1" не могут получить доступ ни к одному приложению. Любой пользователь, который не входит в группу "g1", может получить доступ только к приложению "a1". |
Разрешить пользователям в группе "g1" доступ только к приложению "a1" |
|
Пользователям в группе "g1" разрешен доступ только к приложению "a1". Всем пользователям, включая пользователей в группе "g1", запрещается доступ к любому другому приложению. |
Запретить пользователям в группе "g1" доступ к приложению "a1" |
|
Пользователям в группе "g1" запрещен доступ только к приложению "a1". Все пользователи, включая пользователей в группе "g1", имеют доступ к любому другому приложению. |
Приоритет использования внешней федерации над идентификатором Entra во время активации приглашений гостевого пользователя |
|
Проверьте, является ли гостевой пользователь внешним федеративным партнером, прежде чем использовать entra ID для проверки подлинности. |
Параметры доступа между клиентами и ограничения клиента
Элементы управления исходящими параметрами доступа между клиентами предназначены для контроля использования учетных записей вашей организации для доступа к ресурсам в других организациях Microsoft Entra. Ограничения клиентов предназначены для управления тем, как сотрудники используют учетные записи других организаций Microsoft Entra, пока сотрудник находится в ваших сетях или устройствах. Критически важно, что элементы управления для исходящего трафика работают все время, так как они связаны с вашими учетными записями, в то время как ограничения клиента требуют внедрения других сигналов в запросы на проверку подлинности, так как ограничения клиента ограничены сетями и устройствами, а не учетными записями. Дополнительные сведения об ограничениях клиента.