Información general: Acceso entre inquilinos con id. externa de Microsoft Entra
Se aplica a: inquilinos de recursos de trabajo inquilinos externos (más información)
Las organizaciones Microsoft Entra pueden usar la configuración de acceso entre inquilinos de Id. externa para administrar la colaboración con otras organizaciones de Microsoft Entra y nubes de Microsoft Azure a través de la colaboración B2B y la conexión directa B2B. La configuración de acceso entre inquilinos proporciona un control pormenorizado sobre el acceso de entrada y de salida, lo que te permite confiar en la autenticación multifactor (MFA) y en las notificaciones de dispositivos de otras organizaciones.
En este artículo se la configuración de acceso entre inquilinos para administrar la colaboración B2B y la conexión directa B2B con organizaciones externas de Microsoft Entra, incluyendo las nubes de Microsoft. Hay otras configuraciones disponibles para la colaboración B2B con identidades que no sean de Microsoft Entra (por ejemplo, identidades sociales o cuentas externas no administradas por TI). Esta configuración de colaboración externa incluye opciones para restringir el acceso de los usuarios invitados, especificar quién puede invitar a invitados y permitir o bloquear dominios.
El número de organizaciones que puedes agregar en la configuración de acceso entre inquilinos es ilimitado.
Administración del acceso externo con la configuración de entrada y salida
La configuración de acceso entre inquilinos con identidades externas administra la forma en la que colabora con otras organizaciones de Microsoft Entra. Esta configuración determina tanto el nivel de acceso de entrada a los recursos que tienen los usuarios de las organizaciones de Microsoft Entra externas, como el nivel de acceso de salida que tienen los usuarios a las organizaciones externas.
En el diagrama siguiente se muestra la configuración de acceso de entrada y salida entre inquilinos. El inquilino de recursos de Microsoft Entra es el inquilino que contiene los recursos que se van a compartir. En la colaboración B2B, el inquilino de recursos es el inquilino que invita (por ejemplo, el inquilino corporativo al que desea invitar a los usuarios externos). El inquilino principal del usuario de Microsoft Entra es el inquilino en el que se administran los usuarios externos.
De forma predeterminada, la colaboración B2B con otras Microsoft Entra está habilitada y la conexión directa B2B está bloqueada. Pero la siguiente configuración de administración completa le permite administrar ambas características.
La configuración de acceso saliente controla si los usuarios pueden acceder a los recursos de una organización externa. Puede aplicar esta configuración a todos los usuarios o especificar usuarios, grupos y aplicaciones concretos.
La configuración del acceso de entrada controla si los usuarios de organizaciones externas de Microsoft Entra pueden acceder a los recursos de su organización. Puede aplicar esta configuración a todos los usuarios o especificar usuarios, grupos y aplicaciones concretos.
La configuración de confianza (entrante) determina si las directivas de acceso condicional confían en la autenticación multifactor (MFA), el dispositivo compatible y las notificaciones de dispositivos unidos a Microsoft Entra híbrido de una organización externa si sus usuarios ya han cumplido estos requisitos en sus inquilinos principales. Por ejemplo, cuando se configuran las opciones de confianza para confiar en MFA, las directivas de MFA se siguen aplicando a usuarios externos, pero los usuarios que ya han completado MFA en sus inquilinos principales no tendrán que volver a completar MFA en el inquilino.
Configuración predeterminada
La configuración predeterminada de acceso entre inquilinos se aplica a todas las organizaciones de Microsoft Entra externas al inquilino, excepto las organizaciones para las que ha configurado los ajustes de la organización. Puede cambiar la configuración predeterminada, pero la configuración predeterminada inicial para la colaboración B2B y la conexión directa B2B es la siguiente:
B2B collaboration: Todos sus usuarios internos están habilitados para la colaboración B2B de manera predeterminada. Esta opción significa que los usuarios pueden invitar a invitados externos para acceder a los recursos y se pueden invitar a organizaciones externas como invitados. MFA y las notificaciones de dispositivos de otras organizaciones de Microsoft Entra no son de confianza.
Conexión directa B2B: no se establece ninguna relación de confianza de conexión directa B2B de forma predeterminada. Microsoft Entra ID bloquea todas las funcionalidades de conexión directa B2B entrante y saliente para todos los inquilinos de Microsoft Entra externos.
Configuración organizativa: De manera predeterminada, no se agrega ninguna organización a la configuración de la organización. Por lo tanto, todas las organizaciones externas de Microsoft Entra están habilitadas para la colaboración B2B con su organización.
Sincronización entre inquilinos: en la sincronización entre inquilinos, los usuarios de otros inquilinos no se sincronizan en su inquilino.
Estas configuraciones predeterminadas se aplican a la colaboración B2B con otros inquilinos de Microsoft Entra en la misma nube de Microsoft Azure. En escenarios entre nubes, la configuración predeterminada funciona un poco diferente. Consulte la configuración de la nube de Microsoft más adelante en este artículo.
Configuración de la organización
Para configurar opciones específicas de la organización, agregue una organización y modifique la configuración de entrada y salida de esa organización. La configuración de la organización tiene prioridad sobre la configuración predeterminada.
Colaboración B2B: utilice la configuración de acceso entre inquilinos para administrar la colaboración B2B entrante y saliente y el acceso de ámbito a usuarios, grupos y aplicaciones específicos. Puede establecer una configuración predeterminada que se aplique a todas las organizaciones externas y, a continuación, crear configuraciones individuales específicas de la organización según sea necesario. Mediante la configuración de acceso entre inquilinos, también puede confiar en la autenticación multifactor (MFA) y las notificaciones de dispositivo (notificaciones de compatibilidad y notificaciones de unión a Microsoft Entra híbrido) de otras organizaciones de Microsoft Entra.
Sugerencia
Se recomienda excluir a los usuarios externos de la directiva de registro de MFA de Protección de id. de Microsoft Entra si va a confiar en la MFA para usuarios externos. Cuando ambas directivas están presentes, los usuarios externos no podrán satisfacer los requisitos de acceso.
Conexión directa B2B: para esta conexión, use la configuración de la organización para configurar una relación de confianza mutua con otra organización de Microsoft Entra. Tanto la organización como la organización externa deben habilitar mutuamente la conexión directa B2B mediante la configuración de las opciones de acceso entre inquilinos entrantes y salientes.
Puede usar la configuración de colaboración externa para limitar quién puede invitar a usuarios externos, permitir o bloquear dominios específicos de B2B y establecer restricciones en el acceso de los usuarios invitados al directorio.
Configuración de canje automático
La configuración de canje automático es de tipo de confianza organizativa de entrada y salida. De este modo, se canjean automáticamente invitaciones a fin de que los usuarios no tengan que aceptar el aviso de consentimiento la primera vez que acceden al inquilino de destino o al recurso. Esta configuración es una casilla con el siguiente nombre:
- Canjee automáticamente las invitaciones con el inquilino<inquilino>
Comparación de la configuración en diferentes escenarios
La configuración de canje automático se aplica a la sincronización entre inquilinos, la colaboración B2B y la conexión directa B2B en las situaciones siguientes:
- Cuando los usuarios se crean en un inquilino de destino mediante la sincronización entre inquilinos.
- Cuando los usuarios se agregan a un inquilino de recursos mediante la colaboración B2B.
- Cuando los usuarios acceden a los recursos de un inquilino de recursos mediante la conexión directa B2B.
En la tabla siguiente se muestra la comparación de esta configuración habilitada en los distintos escenarios:
Elemento | Sincronización entre inquilinos | Colaboración B2B | Conexión directa B2B |
---|---|---|---|
Configuración de canje automático | Obligatorio | Opcionales | Opcionales |
Los usuarios reciben un correo electrónico de invitación de colaboración B2B | No | No | N/D |
Los usuarios deben aceptar un mensaje de consentimiento | No | N.º | No |
Los usuarios reciben un correo electrónico de notificación de colaboración B2B | No | Sí | N/D |
Esta configuración no afecta a las experiencias de consentimiento de la aplicación. Para más información, consulte Experiencia de consentimiento para aplicaciones en Microsoft Entra ID. Esta configuración no es compatible con algunas organizaciones en distintos entornos de nube de Microsoft, como Azure Commercial y Azure Government.
¿Cuándo se suprime la solicitud de consentimiento?
La configuración de canje automático solo suprimirá la solicitud de consentimiento y el correo electrónico de invitación si el inquilino de inicio u origen (salida) y el inquilino de destino o recurso (entrada) comprueban esta configuración.
En la tabla siguiente se muestra el comportamiento de la solicitud de consentimiento para los usuarios del inquilino de origen cuando se comprueba la configuración de canje automático para distintas combinaciones de configuración de acceso entre inquilinos.
Inquilino de inicio u origen | Inquilino de recurso o destino | Comportamiento de solicitud de consentimiento para usuarios de inquilinos de origen |
---|---|---|
Outbound | Entrante | |
Suprimida | ||
No suprimida | ||
No suprimida | ||
No suprimida | ||
Entrante | Outbound | |
No suprimida | ||
No suprimida | ||
No suprimida | ||
No suprimida |
Para configurar esta opción mediante Microsoft Graph, consulte la API de actualización crossTenantAccessPolicyConfigurationPartner. Para obtener información sobre cómo crear una experiencia de incorporación propia, consulte Administrador de invitaciones de colaboración B2B.
Para obtener más información, consulte Configuración de sincronización entre inquilinos, Configuración del acceso entre inquilinos para la Colaboración B2B, Configuración de acceso entre inquilinos para la Conexión directa B2B.
Canje configurable
Con el canje configurable, se puede personalizar el orden de los proveedores de identidades con los que los usuarios invitados podrán iniciar sesión cuando acepten la invitación. Se puede habilitar la característica y especificar el orden de canje en la pestaña Orden de canje.
Cuando un usuario invitado selecciona el vínculo Aceptar invitación de un correo electrónico de invitación, Microsoft Entra ID canjea automáticamente la invitación basándose en el orden de canje predeterminado. Al cambiar el orden del proveedor de identidades en la nueva pestaña Orden de canje, el nuevo orden invalidará el orden de canje predeterminado.
Los proveedores de identidades principales y los proveedores de identidades de reserva se encuentran en la pestaña Orden de canje.
Los proveedores de identidades principales son los que tienen federaciones con otros orígenes de autenticación. Los proveedores de identidades de reserva son los que se usan cuando un usuario no coincide con un proveedor de identidades principal.
Los proveedores de identidades de reserva pueden ser una cuenta de Microsoft (MSA), un código de acceso de un solo uso de correo electrónico o ambos. No es posible deshabilitar ambos proveedores de identidades de reserva, pero sí se pueden deshabilitar todos los proveedores de identidades principales y solo usar proveedores de identidades de reserva para opciones de canje.
Al usar esta característica, tenga en cuenta las siguientes limitaciones conocidas:
Si un usuario de Microsoft Entra ID que tiene una sesión de inicio de sesión único (SSO) existente se autentica mediante un código de acceso de un solo uso (OTP) de correo electrónico, debe elegir Usar otra cuenta y volver a escribir su nombre de usuario para desencadenar el flujo de OTP. De lo contrario, el usuario recibirá un error que indica que la cuenta no existe en el inquilino de recursos.
Cuando el usuario tiene el mismo correo electrónico en sus cuentas de Microsoft Entra ID y Microsoft, se le pedirá que elija entre usar su cuenta de Microsoft Entra ID o su cuenta de Microsoft, incluso después de que el administrador haya deshabilitado la cuenta de Microsoft como método de canje. Se permite elegir la cuenta de Microsoft como opción de canje, incluso si el método está deshabilitado.
Federación directa para dominios comprobados de Microsoft Entra ID
La federación del proveedor de identidades SAML/WS-Fed (federación directa) ahora es compatible con los dominios comprobados de Microsoft Entra ID. Esta característica permite configurar una federación directa con un proveedor de identidades externo para un dominio comprobado en Microsoft Entra.
Nota:
Asegúrese de que el dominio no se compruebe en el mismo inquilino en el que esté intentando configurar la Federación directa. Una vez que haya configurado una federación directa, configure la preferencia de canje del inquilino y mueva el proveedor de identidades SAML/WS-Fed a través de Microsoft Entra ID a través de la nueva configuración de acceso entre inquilinos de canje configurable.
Cuando el usuario invitado canjee la invitación, verá una pantalla de consentimiento tradicional y, a continuación, se le redirigirá a la página Aplicaciones. En el inquilino de recursos, el perfil de este usuario de federación directa muestra que la invitación se ha canjeado correctamente y que la federación externa figura como emisor.
Impedir que los usuarios B2B canjeen una invitación mediante cuentas Microsoft
Ahora puede impedir que los usuarios invitados B2B usen las cuentas de Microsoft para canjear invitaciones. En su lugar, usarán un código de acceso de un solo uso enviado a su correo electrónico como proveedor de identidades de reserva. No se les permite usar una cuenta de Microsoft existente para canjear invitaciones ni se les pide que creen una nueva. Para habilitar esta característica en la configuración del orden de canje, desactive las cuentas de Microsoft en las opciones del proveedor de identidades de reserva.
Siempre debe tener al menos un proveedor de identidades de reserva activo. Por lo tanto, si decide deshabilitar las cuentas de Microsoft, debe habilitar la opción de código de acceso de un solo uso por correo electrónico. Los usuarios invitados existentes que ya inician sesión con cuentas de Microsoft siguen haciéndolo para futuros inicios de sesión. Para aplicarles la nueva configuración, debe restablecer su estado de canje.
Configuración de la sincronización entre inquilinos
La configuración de la sincronización entre inquilinos es de tipo organizativa únicamente de entrada para permitir que el administrador de un inquilino de origen sincronice los usuarios en un inquilino de destino. Esta configuración es una casilla con el nombre Permitir que los usuarios se sincronicen en este inquilino especificado en el inquilino de destino. Esta configuración no afecta a las invitaciones B2B creadas mediante otros procesos, como la invitación manual o la administración de derechos de Microsoft Entra.
Para configurar este valor mediante Microsoft Graph, vea la API de actualización crossTenantIdentitySyncPolicyPartner. Para obtener más información, vea Configuración de la sincronización entre inquilinos.
Restricciones de inquilino
Con la configuración de restricciones de inquilino, puede controlar los tipos de cuentas externas que los usuarios pueden usar en los dispositivos que administra, entre los que se incluyen:
- Cuentas que los usuarios han creado en inquilinos desconocidos.
- Cuentas que las organizaciones externas han proporcionado a los usuarios para que puedan acceder a los recursos de esa organización.
Se recomienda configurar las restricciones de inquilino para no permitir estos tipos de cuentas externas y usar la colaboración B2B en su lugar. La colaboración B2B le ofrece la posibilidad de:
- Usar el acceso condicional y forzar la autenticación multifactor para los usuarios de colaboración B2B.
- Administración de los accesos entrantes y salientes.
- Finalizar las sesiones y las credenciales cuando cambie el estado de empleo de un usuario de colaboración B2B o sus credenciales se infringen.
- Usar los registros de inicio de sesión para ver detalles sobre el usuario de colaboración B2B.
Las restricciones de inquilino son independientes de otras opciones de acceso entre inquilinos, por lo que cualquier configuración de entrada, salida o confianza que haya configurado no afectará a las restricciones de inquilino. Para obtener más información sobre cómo configurar las restricciones de inquilino, consulte Configuración de restricciones de inquilino V2.
Configuración de la nube de Microsoft
La configuración de la nube de Microsoft le permite colaborar con organizaciones de diferentes nubes de Microsoft Azure. Con la configuración de la nube de Microsoft, puede establecer una colaboración B2B mutua entre las siguientes nubes:
- La nube comercial de Microsoft Azure y Microsoft Azure Government, que incluye las nubes Office GCC-High y DoD
- Nube comercial Microsoft Azure y Microsoft Azure operado por 21Vianet (operado por 21Vianet)
Nota:
No se admite la conexión directa B2B para la colaboración con inquilinos de Microsoft Entra en otra nube de Microsoft.
Para obtener más información, consulta el artículo Configuración de la nube de Microsoft para la Colaboración B2B.
Consideraciones importantes
Importante
Cambiar la configuración de entrada o salida predeterminada para bloquear el acceso podría bloquear el acceso crítico para la empresa existente a las aplicaciones de su organización u organizaciones asociadas. Asegúrese de usar las herramientas que se describen en este artículo y consulte con las partes interesadas del negocio para identificar el acceso necesario.
Para configurar las opciones de acceso entre inquilinos en Azure Portal, necesitará una cuenta con al menos un administrador de seguridad o un rol personalizado.
Para configurar valores de confianza o aplicar opciones de acceso a usuarios, grupos o aplicaciones específicos, necesitará una licencia Microsoft Entra ID P1. Se requiere la licencia en el inquilino que configure. En el caso de la conexión directa B2B, donde se requiere una relación de confianza mutua con otra organización de Microsoft Entra, necesitará una licencia de Microsoft Entra ID P1 en ambos inquilinos.
La configuración de acceso entre inquilinos se usa para administrar la colaboración B2B y conexión directa B2B con otras organizaciones de Microsoft Entra. Para la colaboración B2B con identidades que no son de Microsoft Entra (por ejemplo, identidades sociales o cuentas externas no administradas por TI), use configuración de colaboración externa. La configuración de colaboración externa incluye opciones de colaboración B2B para restringir el acceso de los usuarios invitados, especificar quién puede invitar a invitados y permitir o bloquear dominios.
Para aplicar la configuración de acceso a usuarios, grupos o aplicaciones específicos de una organización externa, deberá ponerse en contacto con la organización para obtener información antes de realizar la configuración. Obtenga sus identificadores de objeto de usuario, identificadores de objeto de grupo o identificadores de aplicación (identificadores de aplicación cliente o identificadores de aplicación de recursos) para que pueda tener como destino la configuración correctamente.
Sugerencia
Es posible que pueda encontrar los identificadores de aplicación de las aplicaciones en organizaciones externas mediante la comprobación de los registros de inicio de sesión. Consulte la sección Identificación de los inicios de sesión entrantes y salientes.
La configuración de acceso que configure para usuarios y grupos debe coincidir con la configuración de acceso de las aplicaciones. No se permiten configuraciones en conflicto y verá mensajes de advertencia si intenta configurarlas.
Ejemplo 1: si bloquea el acceso a todos los usuarios y grupos externos, también se debe bloquear el acceso a todas las aplicaciones.
Ejemplo 2: si permite el acceso a todos los usuarios (o usuarios o grupos específicos), se le impedirá bloquear todo el acceso a aplicaciones externas; se debe permitir el acceso a al menos una aplicación.
Si quiere permitir la conexión directa B2B con una organización externa y las directivas de acceso condicional requieren MFA, debe configurar los valores de confianza de entrada para aceptar notificaciones de MFA de la organización.
Si bloquea el acceso a todas las aplicaciones de manera predeterminada, los usuarios no podrán leer correos electrónicos cifrados con Microsoft Rights Management Service, también conocido como Cifrado de mensajes de Office 365 (OME). Para evitar este problema, se recomienda configurar las opciones de salida para permitir que los usuarios accedan a este identificador de aplicación: 00000012-0000-0000-c000-000000000000. Si solo permite esta aplicación, el acceso a todas las demás aplicaciones estará bloqueado de forma predeterminada.
Roles personalizados para administrar la configuración de acceso entre inquilinos
Puedes crear roles personalizados para administrar la configuración de acceso entre inquilinos. Más información sobre los roles personalizados recomendados aquí.
Protección de acciones administrativas de acceso entre inquilinos
Las acciones que modifican la configuración de acceso entre inquilinos se consideran acciones protegidas y se pueden proteger además con directivas de acceso condicional. Para obtener más información y los pasos de configuración, consulte Acciones protegidas.
Identificación de los inicios de sesión entrantes y salientes
Hay varias herramientas disponibles para ayudarle a identificar el acceso que necesitan los usuarios y asociados antes de establecer la configuración de acceso entrante y saliente. Para asegurarse de que no quita el acceso que necesitan los usuarios y asociados, debe examinar el comportamiento de inicio de sesión actual. Realizar este paso preliminar ayudará a evitar la pérdida de acceso deseado tanto para los usuarios finales como para los usuarios asociados. Sin embargo, en algunos casos estos registros solo se conservan durante 30 días, por lo que se recomienda encarecidamente que hable con las partes interesadas del negocio para asegurarse de que no se pierde el acceso necesario.
Herramienta | Método |
---|---|
Script de PowerShell de actividad de inicio de sesión entre inquilinos | Para revisar la actividad de inicio de sesión de usuario asociada a organizaciones externas, usa el script de PowerShell de la actividad de inicio de sesión de usuario entre inquilinos de MSIdentityTools. |
Script de PowerShell de registros de inicio de sesión | Para determinar el acceso de los usuarios a organizaciones externas de Microsoft Entra, usa el cmdlet Get-MgAuditLogSignIn. |
Azure Monitor | Si tu organización se suscribe al servicio Azure Monitor, usa el libro de actividades de acceso entre inquilinos. |
Sistemas de administración de eventos e información de seguridad (SIEM) | Si su organización exporta los registros de inicio de sesión a un sistema de administración de eventos e información de seguridad (SIEM), puede recuperar la información necesaria del sistema SIEM. |
Identificación de cambios en la configuración del acceso entre inquilinos
Los registros de auditoría de Microsoft Entra capturan toda la actividad en torno a los cambios y la actividad en la configuración del acceso entre inquilinos. Para auditar los cambios en la configuración del acceso entre inquilinos, use la categoríaCrossTenantAccessSettings para filtrar toda la actividad y mostrar los cambios realizados en la configuración del acceso entre inquilinos.
Pasos siguientes
Configuración del acceso entre inquilinos para la colaboración B2B
Configuración de los valores de acceso entre inquilinos para la conexión directa B2B