Freigeben über


Übersicht über mandantenübergreifende Zugriffseinstellungen

Namespace: microsoft.graph

Wichtig

Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.

Bei der herkömmlichen Microsoft Entra B2B-Zusammenarbeit kann jeder eingeladene Benutzer einer Organisation seine Identität verwenden, um auf Ressourcen in externen Organisationen zuzugreifen. Administratoren hatten keine Kontrolle über die Benutzeridentitäten in ihrem Mandanten, die sich bei externen Organisationen anmelden dürfen. Diese eingeschränkten Kontrollen erschwerten es, zu verhindern, dass Identitäten aus Ihrer Organisation nicht autorisiert verwendet werden.

Mit mandantenübergreifenden Zugriffseinstellungen können Sie die Zusammenarbeit zwischen Benutzern in Ihrer Organisation und anderen Organisationen steuern und verwalten. Das Steuerelement kann eine oder eine Kombination der folgenden Konfigurationen aufweisen:

  • ausgehender Zugriff : Wie Ihre Benutzer mit anderen Organisationen zusammenarbeiten.
  • eingehender Zugriff : Wie andere Organisationen mit Ihnen zusammenarbeiten.
  • Zugriff auf Mandanteneinschränkungen : Wie Ihre Benutzer mit anderen Organisationen zusammenarbeiten, die andere Organisationsidentitäten aus Ihrem Netzwerk oder Ihren Geräten verwenden.

Mit präzisen Steuerelementen können Sie die Benutzer, Gruppen und Apps sowohl in Ihrer Organisation als auch in externen Organisationen bestimmen, die an der mandantenübergreifenden Zusammenarbeit teilnehmen können. Diese Steuerelemente werden implementiert durch:

  • Mandantenübergreifende Standardzugriffseinstellungen , die die Baselineeinstellungen für eingehenden und ausgehenden Zugriff sowie Mandanteneinschränkungen festlegen.

    • In Microsoft Entra B2B Collaboration sind sowohl die Einstellungen für den eingehenden als auch den ausgehenden Zugriff standardmäßig aktiviert. Diese Standardkonfiguration bedeutet, dass alle Ihre Benutzer zu externen Organisationen eingeladen werden können, und alle Ihre Benutzer können Gastbenutzer einladen.
    • In Microsoft Entra B2B Direct Connect sind die Einstellungen für eingehenden und ausgehenden Zugriff standardmäßig deaktiviert.
    • Die Standardeinstellungen des Diensts werden möglicherweise aktualisiert.
    • Unter Mandanteneinschränkungen sind alle Zugriffseinstellungen standardmäßig deaktiviert.
  • Partnerspezifische Zugriffseinstellungen , mit denen Sie benutzerdefinierte Einstellungen für einzelne Organisationen konfigurieren können. Für die konfigurierten Organisationen hat diese Konfiguration Vorrang vor den Standardeinstellungen. Daher können Sie diese Features für eine bestimmte externe Organisation aktivieren, während Microsoft Entra B2B Collaboration, Microsoft Entra B2B Direct Connect und Mandanteneinschränkungen in Ihrer Organisation deaktiviert sind.

Wichtig

Durch das Konfigurieren der Einstellungen für ausgehende B2B-Verbindungen ermöglichen Sie externen Organisationen, mit denen Sie ausgehende Einstellungen aktiviert haben, den Zugriff auf eingeschränkte Kontaktdaten über Ihre Benutzer. Microsoft gibt diese Daten für diese Organisationen weiter, um ihnen zu helfen, eine Anforderung zum Herstellen einer Verbindung mit Ihren Benutzern zu senden. Daten, die von externen Organisationen gesammelt werden, einschließlich eingeschränkter Kontaktdaten, unterliegen den Datenschutzrichtlinien und -praktiken dieser Organisationen.

Mandantenübergreifende Standardzugriffseinstellungen

Mandantenübergreifende Standardzugriffseinstellungen bestimmen Ihre Einstellung für die ein- und ausgehende Zusammenarbeit und Mandanteneinschränkungen mit allen anderen Microsoft Entra-Organisationen. Jede externe Zusammenarbeit mit einer Organisation, die nicht explizit in Ihren mandantenübergreifenden Zugriffseinstellungen aufgeführt ist, erben diese Standardeinstellungen. Standardeinstellungen werden mithilfe des Ressourcentyps crossTenantAccessPolicyConfigurationDefault definiert.

Standardmäßig weist Microsoft Entra ID allen Microsoft Entra-Mandanten eine Dienststandardkonfiguration für mandantenübergreifende Zugriffseinstellungen zu. Sie können diese Dienststandardeinstellungen mit Ihrer eigenen Konfiguration außer Kraft setzen, die ihrer Organisation entspricht. Sie können überprüfen, ob Sie die Standardeinstellungen des Diensts oder benutzerdefinierte Einstellungen verwenden, indem Sie sich die eigenschaft isServiceDefault ansehen, die beim Abfragen des Standardendpunkts zurückgegeben wird.

Mandantenübergreifende Zugriffseinstellungen für Partner

Partnerspezifische mandantenübergreifende Zugriffseinstellungen bestimmen Ihre Einstellung für die ein- und ausgehende Zusammenarbeit und Mandanteneinschränkungen mit einer bestimmten Microsoft Entra-Organisation. Jede Zusammenarbeit mit dieser Organisation erbt diese partnerspezifischen Einstellungen. Partnereinstellungen werden mithilfe des Ressourcentyps crossTenantAccessPolicyConfigurationPartner definiert.

Wenn Sie nicht alle Eigenschaften des partnerspezifischen Objekts konfigurieren, gelten möglicherweise einige Ihrer Standardeinstellungen weiterhin. Wenn Sie beispielsweise nur b2bCollaborationInbound für einen Partner in Ihren mandantenübergreifenden Zugriffseinstellungen konfigurieren, erbt die Partnerkonfiguration die anderen Einstellungen von den mandantenübergreifenden Standardzugriffseinstellungen. Beim Abfragen des Partnerendpunkts werden alle Eigenschaften des Partnerobjekts, die null Einstellungen von der Standardrichtlinie erbt, übernommen.

Einstellungen für eingehende Vertrauensstellungen in mandantenübergreifenden Zugriffseinstellungen

Mit den Einstellungen für eingehende Vertrauensstellungen können Sie den MFA-Gastbenutzern vertrauen, die in ihren Basisverzeichnissen ausgeführt werden, sodass Gastbenutzer keine MFA sowohl in ihren Basisverzeichnissen als auch in Ihrem Verzeichnis ausführen müssen. Mit eingehenden Vertrauenseinstellungen ermöglichen Sie eine nahtlose Authentifizierungserfahrung für Ihre Gastbenutzer und sparen die MFA-Kosten, die Für Ihre Organisation anfallen.

Wenn Sie beispielsweise Ihre Vertrauenseinstellungen so konfigurieren, dass MFA als vertrauenswürdig eingestuft wird, werden Ihre MFA-Richtlinien weiterhin auf Gastbenutzer angewendet, aber Benutzer, die die MFA bereits in ihren Basismandanten abgeschlossen haben, müssen die MFA nicht erneut in Ihrem Mandanten abschließen.

Einstellungen für eingehende Vertrauensstellungen ermöglichen es Ihnen auch, Geräten zu vertrauen, die kompatibel sind oder mit Microsoft Entra hybrid in ihre Basisverzeichnisse eingebunden sind. Mit Eingehenden Vertrauenseinstellungen in mandantenübergreifenden Zugriffseinstellungen können Sie jetzt den Zugriff auf Ihre Apps und Ressourcen schützen, indem Sie verlangen, dass Gastbenutzer kompatible oder hybrid in Microsoft Entra eingebundene Geräte verwenden.

Mandantenübergreifende eingehende Synchronisierung in mandantenübergreifenden Zugriffseinstellungen

Sie können die mandantenübergreifende Synchronisierung aktivieren, um Benutzer von einem Partnermandanten zu synchronisieren. Bei der mandantenübergreifenden Synchronisierung handelt es sich um einen unidirektionalen Synchronisierungsdienst in Microsoft Entra ID, der das Erstellen, Aktualisieren und Löschen von Benutzern für die B2B-Zusammenarbeit mandantenübergreifend in einer Organisation automatisiert. Sie erstellen eine Benutzersynchronisierungsrichtlinie, um die Zusammenarbeit zwischen Benutzern in mehrinstanzenfähigen Organisationen zu optimieren. Partnerbenutzersynchronisierungseinstellungen werden mithilfe des Ressourcentyps crossTenantIdentitySyncPolicyPartner definiert.

Zusammenarbeiten mit Organisationen, die Microsoft Entra ID in verschiedenen Microsoft-Clouds verwenden

Mandantenübergreifende Zugriffseinstellungen werden verwendet, um die Zusammenarbeit mit Microsoft Entra-Organisationen in separaten Microsoft-Clouds zu ermöglichen. Mit allowedCloudEndpoints der -Eigenschaft können Sie angeben, auf welche Microsoft-Clouds Sie Ihre Zusammenarbeit erweitern möchten. Die B2B-Zusammenarbeit wird zwischen den folgenden Microsoft-Clouds unterstützt:

  • Microsoft Azure Commercial und Microsoft Azure Government
  • Kommerzielles Microsoft Azure und Microsoft Azure China

Erfahren Sie mehr über die Zusammenarbeit mit Organisationen aus einer anderen Microsoft-Cloud.

Interpretieren der API-Antwort

Die API für mandantenübergreifende Zugriffseinstellungen kann verwendet werden, um mehrere Konfigurationen zum Zulassen oder Blockieren des Zugriffs auf und von Ihrer Organisation einzurichten. Die folgende Tabelle zeigt Szenarien, ein Beispiel für die API-Antwort und die Interpretation dieser Antwort. b2bSetting wird als Platzhalter für alle B2B-Konfigurationen für eingehende (b2bCollaborationInbound oder b2bDirectConnectInbound) oder ausgehende (b2bCollaborationOutbound oder b2bDirectConnectOutbound) oder Mandanteneinschränkungen (tenantRestrictions) verwendet.


Szenario API-Ausgabe Interpretation
Alle Benutzer blockieren und alle Anwendungen blockieren
"b2bsetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
-
Alle Benutzer zulassen und alle Anwendungen zulassen
"b2bsetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
-
Benutzern in der Gruppe "g1" den Zugriff auf eine beliebige App gestatten
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
Benutzer in der Gruppe "g1" können auf jede beliebige App zugreifen. Alle anderen Benutzer, die nicht der Gruppe "g1" angehören, werden blockiert.
Zugriff nur auf die Anwendung "a1" zulassen
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Alle Benutzer dürfen nur auf die Anwendung "a1" zugreifen.
Zulassen von Benutzern in der Gruppe "g1" und Blockieren des Zugriffs auf die Anwendung "a1"
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Alle Benutzer in der Gruppe "g1" dürfen auf eine beliebige Anwendung mit Ausnahme der Anwendung "a1" zugreifen.
Blockieren des Zugriffs von Benutzern in der Gruppe "g1" auf eine beliebige Anwendung
"b2bSetting": {
    "usersAndGroups": {
        "accessType": " blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
Benutzer in der Gruppe "g1" können auf keine Anwendung zugreifen. Andere Benutzer, die sich nicht in der Gruppe "g1" befinden, haben Zugriff auf alle Anwendungen.
Blockieren von Benutzern in der Gruppe "g1" und Zulassen des Zugriffs auf die Anwendung "a1"
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Benutzer in der Gruppe "g1" können auf keine Anwendung zugreifen. Jeder Benutzer, der sich nicht in der Gruppe "g1" befindet, kann nur auf die Anwendung "a1" zugreifen.
Benutzern in der Gruppe "g1" den Zugriff auf die Anwendung "a1" gestatten
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Benutzer in der Gruppe "g1" dürfen nur auf die Anwendung "a1" zugreifen. Alle Benutzer, einschließlich der Benutzer in der Gruppe "g1", können nicht auf andere Anwendungen zugreifen.
Blockieren des Zugriffs auf die Anwendung "a1" durch Benutzer in der Gruppe "g1"
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Benutzer in der Gruppe "g1" können nur auf die Anwendung "a1" zugreifen. Alle Benutzer, einschließlich der Benutzer in der Gruppe "g1", können auf jede andere Anwendung zugreifen.
Priorisieren eines externen Verbunds gegenüber Azure AD während der Einlösung von Gastbenutzereinladungen
"invitationRedemptionIdentityProviderConfiguration": { 
    "primaryIdentityProviderPrecedenceOrder": [ 
        "externalFederation",
        "azureActiveDirectory", 
        "socialIdentityProviders" 
    ], 
    "fallbackIdentityProvider": "defaultConfiguredIdp" 
} 
Überprüfen Sie, ob der Gastbenutzer von einem externen Partner stammt, bevor Sie Azure AD für die Authentifizierung testen.

Mandantenübergreifende Zugriffseinstellungen im Vergleich zu Mandanteneinschränkungen

Mandantenübergreifende Zugriffseinstellungen für ausgehende Zugriffe dienen dazu, zu steuern, wie die Konten Ihrer Organisation für den Zugriff auf Ressourcen in anderen Microsoft Entra-Organisationen verwendet werden. Mandanteneinschränkungen dienen dazu, zu steuern, wie Ihre Mitarbeiter die Konten anderer Microsoft Entra-Organisationen verwenden, während sich der Mitarbeiter in Ihren Netzwerken oder Geräten befindet. Wichtig ist, dass ausgehende Steuerelemente ständig funktionieren, da sie Ihren Konten zugeordnet sind, während Mandanteneinschränkungen erfordern, dass mehr Signale in die Authentifizierungsanforderungen eingefügt werden, um erzwungen werden zu können, da Mandanteneinschränkungen auf Netzwerke und Geräte und nicht auf Konten beschränkt sind. Erfahren Sie mehr über Mandanteneinschränkungen.