Общие сведения об API параметров доступа между клиентами

  • Статья

Пространство имен: microsoft.graph

Важно!

API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.

В традиционной Microsoft Entra совместной работы B2B любой приглашенный пользователь из организации может использовать свое удостоверение для доступа к ресурсам во внешних организациях. Администраторы не имели контроля над удостоверениями пользователей в клиенте, которым разрешен вход во внешние организации. Эти ограниченные элементы управления затрудняли несанкционированное использование удостоверений из вашей организации.

Параметры доступа между клиентами позволяют контролировать совместную работу пользователей в организации и других организациях и управлять ими. Элемент управления может находиться в одной или в сочетании следующих конфигураций:

  • исходящий доступ — способ совместной работы пользователей с другими организациями.
  • входящий доступ — как другие организации сотрудничают с вами.
  • ограничения доступа для клиентов — как пользователи работают с другими организациями, используя другие удостоверения организации из вашей сети или устройств.

Детализированные элементы управления позволяют определять пользователей, группы и приложения как в вашей организации, так и во внешних организациях, которые могут участвовать в совместной работе между клиентами. Эти элементы управления реализуются с помощью:

  • Параметры доступа между клиентами по умолчанию , которые задают базовые параметры для входящего и исходящего доступа и ограничений клиента.

    • В Microsoft Entra совместной работы B2B параметры входящего и исходящего доступа включены по умолчанию. Эта конфигурация по умолчанию означает, что все ваши пользователи могут быть приглашены во внешние организации, а все пользователи могут приглашать гостевых пользователей.
    • В Microsoft Entra прямом подключении B2B параметры входящего и исходящего доступа по умолчанию отключены.
    • Параметры службы по умолчанию могут быть обновлены.
    • В разделе Ограничения клиента все параметры доступа отключены по умолчанию.
    • Параметры службы по умолчанию могут быть обновлены.

  • Параметры доступа для партнеров , которые позволяют настраивать настраиваемые параметры для отдельных организаций. Для настроенных организаций эта конфигурация имеет приоритет над параметрами по умолчанию. Таким образом, хотя Microsoft Entra совместной работы B2B, Microsoft Entra прямое подключение B2B и ограничения клиентов могут быть отключены в вашей организации, вы можете включить эти функции для конкретной внешней организации.

Важно!

Настроив параметры прямого подключения B2B, вы разрешаете внешним организациям, с которыми вы включили параметры исходящего трафика, получать доступ к ограниченным контактным данным пользователей. Корпорация Майкрософт предоставляет эти данные этим организациям, чтобы помочь им отправить запрос на подключение к пользователям. Данные, собираемые внешними организациями, включая ограниченные контактные данные, регулируются политиками конфиденциальности и практиками этих организаций.

Параметры доступа между клиентами по умолчанию

Параметры межтенантного доступа по умолчанию определяют вашу позицию для совместной работы входящего и исходящего трафика, а также ограничений клиентов со всеми другими Microsoft Entra организациями. Все внешние операции совместной работы с организацией, не перечисленные явно в параметрах доступа между клиентами, наследуют эти параметры по умолчанию. Параметры по умолчанию определяются с помощью типа ресурса crossTenantAccessPolicyConfigurationDefault .

По умолчанию Microsoft Entra ID назначает всем клиентам Microsoft Entra конфигурацию службы по умолчанию для параметров доступа между клиентами. Эти значения службы по умолчанию можно переопределить с помощью собственной конфигурации в соответствии с вашей организацией. Вы можете проверить, используете ли вы параметры службы по умолчанию или пользовательские параметры, просмотрев свойство isServiceDefault , возвращаемое при запросе конечной точки по умолчанию.

Параметры доступа между клиентами партнеров

Параметры доступа между клиентами, зависящие от партнеров, определяют вашу позицию в отношении совместной работы входящего и исходящего трафика, а также ограничений клиентов с определенной Microsoft Entra организации. Любая совместная работа с этой организацией наследует эти параметры партнера. Параметры партнера определяются с помощью типа ресурса crossTenantAccessPolicyConfigurationPartner .

Если вы не настроите все свойства объекта партнера, некоторые параметры по умолчанию могут по-прежнему применяться. Например, если настроить только b2bCollaborationInbound для партнера в параметрах доступа между арендаторами, конфигурация партнера наследует другие параметры от параметров доступа между клиентами по умолчанию. При запросе конечной точки партнера любое свойство объекта партнера, наследующее null параметры политики по умолчанию.

Параметры входящего доверия в параметрах доступа между клиентами

Параметры входящего доверия позволяют доверять гостевым пользователям MFA в домашних каталогах, что не позволяет гостевым пользователям выполнять MFA как в домашних каталогах, так и в каталоге. С помощью параметров входящего доверия вы обеспечиваете беспроблемную проверку подлинности для гостевых пользователей и экономите затраты на MFA, связанные с вашей организацией.

Например, при настройке параметров доверия mFA политики MFA по-прежнему применяются к гостевым пользователям, но пользователям, которые уже завершили MFA в своих домашних клиентах, не нужно повторно завершать MFA в вашем клиенте.

Параметры входящего доверия также позволяют доверять устройствам, которые соответствуют требованиям или Microsoft Entra гибридным присоединением в домашних каталогах. С помощью параметров входящего доверия в параметрах доступа между арендаторами вы можете защитить доступ к приложениям и ресурсам, требуя, чтобы гостевые пользователи использовали соответствующие требованиям устройства или Microsoft Entra устройства с гибридным присоединением.

Синхронизация входящего трафика между клиентами в параметрах доступа между клиентами

Вы можете включить синхронизацию между клиентами для синхронизации пользователей из клиента партнера. Межтенантная синхронизация — это служба односторонней синхронизации в Microsoft Entra ID, которая автоматизирует создание, обновление и удаление пользователей службы совместной работы B2B в разных клиентах в организации. Вы создаете политику синхронизации пользователей для упрощения совместной работы между пользователями в мультитенантных организациях. Параметры синхронизации пользователей партнера определяются с помощью типа ресурса crossTenantIdentitySyncPolicyPartner .

Совместная работа с организациями с помощью Microsoft Entra ID в разных облаках Майкрософт

Параметры доступа между клиентами используются для обеспечения совместной работы с Microsoft Entra организациями в отдельных облаках Майкрософт. Свойство allowedCloudEndpoints позволяет указать, в каких облаках Майкрософт вы хотите расширить совместную работу. Совместная работа B2B поддерживается между следующими облаками Майкрософт:

  • Microsoft Azure для коммерческих организаций и Microsoft Azure для государственных организаций
  • Microsoft Azure для коммерческих организаций и Microsoft Azure для Китая

Узнайте больше о совместной работе с организациями из другого облака Майкрософт.

Интерпретация ответа API

API параметров доступа между арендаторами можно использовать для настройки нескольких конфигураций для разрешения или блокировки доступа к организации и из нее. В следующей таблице показаны сценарии, показан пример ответа API и его интерпретация. b2bSetting используется в качестве заполнителя для любой входящей конфигурации B2B (b2bCollaborationInbound или b2bDirectConnectInbound) или исходящей конфигурации (b2bCollaborationOutbound или b2bDirectConnectOutbound) или ограничений клиента (tenantRestrictions).


Сценарий Выходные данные API Интерпретации
Блокировка всех пользователей и блокировка всех приложений 
"b2bsetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
-
Разрешить всем пользователям и всем приложениям 
"b2bsetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
-
Разрешить пользователям в группе "g1" доступ к любому приложению 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
Пользователи в группе "g1" могут получить доступ к любому приложению. Все остальные пользователи, которые не входят в группу "g1", блокируются.
Разрешить доступ только приложению "a1" 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Всем пользователям разрешен доступ только к приложению "a1"
Разрешить пользователям в группе "g1" и заблокировать доступ к приложению "a1" 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Всем пользователям в группе "g1" разрешен доступ к любому приложению , кроме приложения "a1".
Запретить пользователям в группе "g1" доступ к любому приложению 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": " blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
Пользователи в группе "g1" не могут получить доступ ни к одному приложению. Другие пользователи, которые не в группе "g1" имеют доступ ко всем приложениям.
Блокировать пользователей в группе "g1" и разрешать доступ только к приложению "a1" 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Пользователи в группе "g1" не могут получить доступ ни к одному приложению. Любой пользователь, который не входит в группу "g1", может получить доступ только к приложению "a1".
Разрешить пользователям в группе "g1" доступ только к приложению "a1" 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Пользователям в группе "g1" разрешен доступ только к приложению "a1". Всем пользователям, включая пользователей в группе "g1", запрещается доступ к любому другому приложению.
Запретить пользователям в группе "g1" доступ к приложению "a1" 
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Пользователям в группе "g1" запрещен доступ только к приложению "a1". Все пользователи, включая пользователей в группе "g1", имеют доступ к любому другому приложению.
Приоритет использования внешней федерации над Azure AD во время активации приглашений гостевого пользователя 
"invitationRedemptionIdentityProviderConfiguration": { 
    "primaryIdentityProviderPrecedenceOrder": [ 
        "externalFederation",
        "azureActiveDirectory", 
        "socialIdentityProviders" 
    ], 
    "fallbackIdentityProvider": "defaultConfiguredIdp" 
}
Проверьте, является ли гостевой пользователь внешним федеративным партнером, прежде чем пытаться Azure AD для проверки подлинности.

Параметры доступа между клиентами и ограничения клиента

Элементы управления исходящими параметрами доступа между клиентами предназначены для контроля использования учетных записей вашей организации для доступа к ресурсам в других Microsoft Entra организациях. Ограничения клиента предназначены для контроля того, как сотрудники используют учетные записи других Microsoft Entra организаций, пока сотрудник находится в ваших сетях или устройствах. Критически важно, что элементы управления исходящим трафиком работают все время, так как они связаны с вашими учетными записями, в то время как ограничения клиента требуют больше сигналов для внедрения в запросы проверки подлинности, так как ограничения клиента ограничены сетями и устройствами, а не учетными записями. Дополнительные сведения об ограничениях клиента.

Связанные материалы