Общие сведения об API параметров доступа между клиентами

  • Статья

Пространство имен: microsoft.graph

В традиционной Microsoft Entra совместной работы B2B любой приглашенный пользователь из организации может использовать свое удостоверение для доступа к ресурсам во внешних организациях. Администраторы не имели контроля над удостоверениями пользователей в клиенте, которым разрешен вход во внешние организации. Эти ограниченные элементы управления затрудняли несанкционированное использование удостоверений из вашей организации.

Параметры доступа между клиентами позволяют контролировать совместную работу пользователей в организации и других организациях и управлять ими. Элемент управления может быть либо исходящим доступом (как пользователи сотрудничают с другими организациями), либо входящим доступом (как другие организации сотрудничают с вами) или и тем, и другим.

Детализированные элементы управления позволяют определять пользователей, группы и приложения как в вашей организации, так и во внешних организациях, которые могут участвовать в совместной работе z B2B и Microsoft Entra прямом подключении B2B. Эти элементы управления реализуются с помощью:

  • Параметры доступа между клиентами по умолчанию , которые задают базовые параметры входящего и исходящего доступа.
    • В Microsoft Entra совместной работы B2B оба параметра доступа включены по умолчанию. Эта конфигурация по умолчанию означает, что все ваши пользователи могут быть приглашены во внешние организации, а все пользователи могут приглашать гостевых пользователей.
    • В Microsoft Entra прямом подключении B2B оба параметра доступа отключены по умолчанию.
    • Параметры службы по умолчанию можно обновить.
  • Параметры доступа для партнеров , которые позволяют настраивать настраиваемые параметры для отдельных организаций. Для настроенных организаций эта конфигурация имеет приоритет над параметрами по умолчанию. Таким образом, хотя Microsoft Entra совместной работы B2B и Microsoft Entra прямое подключение B2B могут быть отключены в вашей организации по умолчанию, эти функции можно включить для конкретной внешней организации.

Важно!

Настроив параметры прямого подключения B2B, вы разрешаете внешним организациям, с которыми вы включили параметры исходящего трафика, получать доступ к ограниченным контактным данным пользователей. Корпорация Майкрософт предоставляет эти данные этим организациям, чтобы помочь им отправить запрос на подключение к пользователям. Данные, собираемые внешними организациями, включая ограниченные контактные данные, регулируются политиками конфиденциальности и практиками этих организаций.

Параметры доступа между клиентами по умолчанию

Параметры межтенантного доступа по умолчанию определяют вашу позицию для входящего и исходящего взаимодействия со всеми другими Microsoft Entra организациями. Все внешние операции совместной работы с организацией, не перечисленные явно в параметрах доступа между клиентами, наследуют эти параметры по умолчанию. Параметры по умолчанию определяются с помощью типа ресурса crossTenantAccessPolicyConfigurationDefault .

По умолчанию Microsoft Entra ID назначает всем клиентам Microsoft Entra конфигурацию службы по умолчанию для параметров доступа между клиентами. Эти значения службы по умолчанию можно переопределить с помощью собственной конфигурации в соответствии с вашей организацией. Вы можете проверить, используете ли вы параметры службы по умолчанию или пользовательские параметры, просмотрев свойство isServiceDefault , возвращаемое при запросе конечной точки по умолчанию.

Параметры доступа между клиентами партнеров

Параметры доступа между клиентами для партнеров определяют вашу позицию для входящего и исходящего взаимодействия с определенной Microsoft Entra организации. Любая совместная работа с этой организацией наследует эти параметры партнера. Параметры партнера определяются с помощью типа ресурса crossTenantAccessPolicyConfigurationPartner .

Если вы не настроите все свойства объекта партнера, некоторые параметры по умолчанию могут по-прежнему применяться. Например, если настроить только b2bCollaborationInbound для партнера в параметрах доступа между арендаторами, конфигурация партнера наследует другие параметры от параметров доступа между клиентами по умолчанию. При запросе конечной точки партнера любое свойство объекта партнера, наследующее null параметры политики по умолчанию.

Параметры входящего доверия в параметрах доступа между клиентами

Параметры входящего доверия позволяют доверять гостевым пользователям MFA в домашних каталогах, что не позволяет гостевым пользователям выполнять MFA как в домашних каталогах, так и в каталоге. С помощью параметров входящего доверия вы обеспечиваете беспроблемную проверку подлинности для гостевых пользователей и экономите затраты на MFA, связанные с вашей организацией.

Например, при настройке параметров доверия mFA политики MFA по-прежнему применяются к гостевым пользователям, но пользователям, которые уже завершили MFA в своих домашних клиентах, не нужно повторно завершать MFA в вашем клиенте.

Параметры входящего доверия также позволяют доверять устройствам, которые соответствуют требованиям или Microsoft Entra гибридным присоединением в домашних каталогах. С помощью параметров входящего доверия в параметрах доступа между арендаторами вы можете защитить доступ к приложениям и ресурсам, требуя, чтобы гостевые пользователи использовали соответствующие требованиям устройства или Microsoft Entra устройства с гибридным присоединением.

Синхронизация входящего трафика между клиентами в параметрах доступа между клиентами

Вы можете включить синхронизацию между клиентами для синхронизации пользователей из клиента партнера. Межтенантная синхронизация — это служба односторонней синхронизации в Microsoft Entra ID, которая автоматизирует создание, обновление и удаление пользователей службы совместной работы B2B в разных клиентах в организации. Вы создаете политику синхронизации пользователей для упрощения совместной работы между пользователями в мультитенантных организациях. Параметры синхронизации пользователей партнера определяются с помощью типа ресурса crossTenantIdentitySyncPolicyPartner .

Совместная работа с организациями с помощью Microsoft Entra ID в разных облаках Майкрософт

Параметры доступа между клиентами используются для обеспечения совместной работы с Microsoft Entra организациями в отдельных облаках Майкрософт. Свойство allowedCloudEndpoints позволяет указать, в каких облаках Майкрософт вы хотите расширить совместную работу. Совместная работа B2B поддерживается между следующими облаками Майкрософт:

  • Microsoft Azure для коммерческих организаций и Microsoft Azure для государственных организаций
  • Microsoft Azure для коммерческих организаций и Microsoft Azure для Китая

Узнайте больше о совместной работе с организациями из другого облака Майкрософт.

Интерпретация ответа API

API параметров доступа между арендаторами можно использовать для настройки нескольких конфигураций для разрешения или блокировки доступа к организации и из нее. В следующей таблице показаны сценарии, показан пример ответа API и его интерпретация. b2bSetting используется в качестве заполнителя для любой входящей конфигурации B2B (b2bCollaborationInbound или b2bDirectConnectInbound) или исходящей конфигурации (b2bCollaborationOutbound или b2bDirectConnectOutbound).


Сценарий Выходные данные API Интерпретации
Блокировка всех пользователей и блокировка всех приложений 
"b2bsetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
-
Разрешить всем пользователям и всем приложениям 
"b2bsetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
-
Разрешить пользователям в группе "g1" доступ к любому приложению 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
Пользователи в группе "g1" могут получить доступ к любому приложению. Все остальные пользователи, которые не входят в группу "g1", блокируются.
Разрешить доступ только приложению "a1" 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Всем пользователям разрешен доступ только к приложению "a1"
Разрешить пользователям в группе "g1" и заблокировать доступ к приложению "a1" 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Всем пользователям в группе "g1" разрешен доступ к любому приложению , кроме приложения "a1".
Запретить пользователям в группе "g1" доступ к любому приложению 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": " blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
Пользователи в группе "g1" не могут получить доступ ни к одному приложению. Другие пользователи, которые не в группе "g1" имеют доступ ко всем приложениям.
Блокировать пользователей в группе "g1" и разрешать доступ только к приложению "a1" 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Пользователи в группе "g1" не могут получить доступ ни к одному приложению. Любой пользователь, который не входит в группу "g1", может получить доступ только к приложению "a1".
Разрешить пользователям в группе "g1" доступ только к приложению "a1" 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Пользователям в группе "g1" разрешен доступ только к приложению "a1". Всем пользователям, включая пользователей в группе "g1", запрещается доступ к любому другому приложению.
Запретить пользователям в группе "g1" доступ к приложению "a1" 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Пользователям в группе "g1" запрещен доступ только к приложению "a1". Все пользователи, включая пользователей в группе "g1", имеют доступ к любому другому приложению.
Приоритет использования внешней федерации над идентификатором Entra во время активации приглашений гостевого пользователя 
"invitationRedemptionIdentityProviderConfiguration": { 
    "primaryIdentityProviderPrecedenceOrder": [ 
        "externalFederation",
        "azureActiveDirectory", 
        "socialIdentityProviders" 
    ], 
    "fallbackIdentityProvider": "defaultConfiguredIdp" 
}
Проверьте, является ли гостевой пользователь внешним федеративным партнером, прежде чем использовать entra ID для проверки подлинности.

Параметры доступа между клиентами и ограничения клиента

Элементы управления исходящими параметрами доступа между клиентами предназначены для контроля использования учетных записей вашей организации для доступа к ресурсам в других Microsoft Entra организациях. Ограничения клиента предназначены для контроля того, как сотрудники используют учетные записи других Microsoft Entra организаций, пока сотрудник находится в ваших сетях или устройствах. Критически важно, что элементы управления для исходящего трафика работают все время, так как они связаны с вашими учетными записями, в то время как ограничения клиента требуют внедрения дополнительных сигналов в запросы на проверку подлинности, так как ограничения клиента относятся к сетям и устройствам, а не учетным записям. Дополнительные сведения об ограничениях клиента.

Связанные материалы