Panoramica: accesso tra tenant con l'ID esterno di Microsoft Entra
Si applica a: Tenant delle risorse Tenant esterni (altre informazioni)
Le organizzazioni di Microsoft Entra possono usare le impostazioni di accesso tra tenant per ID esterni per gestire la collaborazione con altre organizzazioni di Microsoft Entra e altri cloud Microsoft Azure tramite la collaborazione B2B e la connessione diretta B2B. Le impostazioni di accesso tra tenant offrono un controllo granulare sull'accesso in ingresso e in uscita, consentendo all'utente di considerare attendibili l'autenticazione a più fattori (MFA) e le attestazioni dei dispositivi di altre organizzazioni.
Questo articolo illustra le impostazioni di accesso tra tenant per la gestione della collaborazione B2B e la connessione diretta B2B con organizzazioni di Microsoft Entra esterne, inclusi i cloud Microsoft. Altre impostazioni sono disponibili per la collaborazione B2B con identità non Microsoft Entra (per esempio, identità social o account esterni non gestiti dall'IT). Queste impostazioni di collaborazione esterna includono opzioni per limitare l'accesso degli utenti guest, specificando chi può invitare questi ultimi e consentendo o bloccando i domini.
Non esistono limiti al numero di organizzazioni che è possibile aggiungere nelle impostazioni di accesso tra tenant.
Gestire l'accesso esterno con le impostazioni in ingresso e in uscita
Le impostazioni di accesso tra tenant di identità esterne gestiscono le modalità di collaborazione con altre organizzazioni di Microsoft Entra. Queste impostazioni determinano sia il livello di accesso in ingresso che gli utenti di organizzazioni esterne a Microsoft Entra hanno verso le risorse interne, sia il livello di accesso in uscita che gli utenti interni hanno verso organizzazioni esterne.
Il diagramma seguente illustra le impostazioni di accesso tra tenant in ingresso e in uscita. Il tenant della risorsa di Microsoft Entra contiene le risorse da condividere. Per la collaborazione B2B, il tenant delle risorse è quello che invita (per esempio, il tenant aziendale, in cui si vogliono invitare gli utenti esterni). Il tenant di Microsoft Entra dell'home page dell'utente è quello in cui vengono gestiti gli utenti esterni.
Per impostazione predefinita, la collaborazione B2B con altre organizzazioni di Microsoft Entra è abilitata, mentre la connessione diretta B2B è bloccata. Entrambe queste funzionalità sono tuttavia gestibili attraverso le impostazioni di amministrazione globale indicate di seguito.
Le impostazioni di accesso in uscita controllano se gli utenti possono accedere alle risorse in un'organizzazione esterna. È possibile applicare le impostazioni a tutti o specificare singoli utenti, gruppi e applicazioni.
Le impostazioni di accesso in ingresso controllano se gli utenti di organizzazioni esterne di Microsoft Entra possono accedere alle risorse nell'organizzazione dell'utente. È possibile applicare le impostazioni a tutti o specificare singoli utenti, gruppi e applicazioni.
Le impostazioni di attendibilità (in ingresso) determinano se i criteri di accesso condizionale considerano attendibile l'autenticazione a più fattori (MFA), il dispositivo conforme e le attestazioni del dispositivo aggiunto all'ambiente ibrido di Microsoft Entra da un'organizzazione esterna, se gli utenti hanno già soddisfatto questi requisiti nei tenant home. Ad esempio, quando si configurano le impostazioni di attendibilità per considerare attendibile l'MFA, i criteri di quest'ultima vengono ancora applicati agli utenti esterni, ma gli utenti che hanno già completato l'MFA nei tenant home non devono completarla di nuovo nel tenant.
Impostazioni predefinite
Le impostazioni di accesso tra tenant predefinite si applicano a tutte le organizzazioni di Microsoft Entra esterne al tenant, ad eccezione delle organizzazioni per cui si configurano le impostazioni personalizzate. È possibile modificare le impostazioni predefinite, ma le impostazioni predefinite iniziali per la collaborazione B2B e la connessione diretta B2B sono le seguenti:
Collaborazione B2B: tutti gli utenti interni sono abilitati per la collaborazione B2B per impostazione predefinita. Ciò significa che gli utenti della propria organizzazione possono invitare guest esterni ad accedere alle risorse dell'organizzazione e possono essere invitati in organizzazioni esterne come guest. Le attestazioni MFA e dei dispositivi di altre organizzazioni di Microsoft Entra non sono attendibili.
Connessione diretta B2B: nessuna relazione di attendibilità con connessione diretta B2B viene stabilita per impostazione predefinita. Microsoft Entra ID blocca tutte le funzionalità di connessione diretta B2B in ingresso e in uscita per tutti i tenant esterni di Microsoft Entra.
Impostazioni organizzative: nessuna organizzazione viene aggiunta alle impostazioni organizzative dell'utente per impostazione predefinita. Pertanto, tutte le organizzazioni esterne di Microsoft Entra sono abilitate per la collaborazione B2B con l'organizzazione dell'utente.
Sincronizzazione tra tenent: nessun utente di altri tenant viene sincronizzato nel tenant con la sincronizzazione tra tenant.
Queste impostazioni predefinite si applicano alla collaborazione B2B con altri tenant di Microsoft Entra nello stesso cloud di Microsoft Azure. Negli scenari tra cloud, le impostazioni predefinite funzionano in modo leggermente diverso. Consultare Impostazioni di Microsoft Cloud più avanti in questo articolo.
Impostazioni organizzative
È possibile configurare impostazioni specifiche dell'organizzazione aggiungendo un'organizzazione e modificando le impostazioni in ingresso e in uscita per tale organizzazione. Queste impostazioni dell'organizzazione hanno quindi la precedenza sulle impostazioni predefinite.
Collaborazione B2B: usare le impostazioni di accesso tra tenant per gestire la collaborazione B2B in ingresso e in uscita e definire l'ambito dell'accesso a utenti, gruppi e applicazioni specifici. È possibile impostare una configurazione predefinita che si applica a tutte le organizzazioni esterne e quindi creare impostazioni specifiche dell'organizzazione in base alle esigenze. Usando le impostazioni di accesso tra tenant, è anche possibile considerare attendibili le attestazioni a più fattori (MFA) e dei dispositivi (attestazioni conformi e attestazioni aggiunte ibride di Microsoft Entra) di altre organizzazioni di Microsoft Entra.
Suggerimento
È consigliabile escludere gli utenti esterni dai criteri di registrazione MFA Microsoft Entra ID Protection, se si intende considerare attendibile l'MFA per gli utenti esterni. Quando sono presenti entrambi i criteri, gli utenti esterni non saranno in grado di soddisfare i requisiti per l'accesso.
Connessione diretta B2B: per la connessione diretta B2B, usare le impostazioni organizzative per configurare una relazione di attendibilità reciproca con un'altra organizzazione di Microsoft Entra. Sia l'organizzazione dell'utente che quella esterna devono abilitare reciprocamente la connessione diretta B2B configurando le impostazioni di accesso tra tenant in ingresso e in uscita.
È possibile usare le impostazioni di collaborazione esterna per limitare chi può invitare utenti esterni, consentire o bloccare domini specifici B2B e impostare restrizioni sull'accesso degli utenti guest alla directory dell'utente.
Impostazione del riscatto automatico
L'impostazione di riscatto automatico è un'impostazione di attendibilità organizzativa in ingresso e in uscita per riscattare automaticamente gli inviti, in modo che gli utenti non devono accettare la richiesta di consenso la prima volta che accedono al tenant di risorsa/destinazione. Questa impostazione è una casella di controllo con il nome seguente:
- Inviti di riscatto automatico con il tenant<tenant>
Confrontare l'impostazione per scenari diversi
L'impostazione di riscatto automatico si applica alla sincronizzazione tra tenant, collaborazione B2B e connessione diretta B2B nelle situazioni seguenti:
- Quando gli utenti vengono creati in un tenant di destinazione con la sincronizzazione tra tenant.
- Quando gli utenti vengono aggiunti a un tenant di risorse con la collaborazione B2B.
- Quando gli utenti accedono alle risorse in un tenant di risorse con la connessione diretta B2B.
La tabella seguente illustra il confronto di questa impostazione quando è abilitata per questi scenari:
Elemento | Sincronizzazione tra tenant | Collaborazione B2B | Connessione diretta B2B |
---|---|---|---|
Impostazione del riscatto automatico | Richiesta | Facoltativa | Facoltativa |
Gli utenti ricevono un messaggio di posta elettronica di invito alla collaborazione B2B | No | No | N/D |
Gli utenti devono accettare una richiesta di consenso | No | No | No |
Gli utenti ricevono un messaggio di posta elettronica di notifica di collaborazione B2B | No | Sì | N/D |
Questa impostazione non influisce sulle esperienze di consenso dell'applicazione. Per altre informazioni, consultare Esperienza di consenso per applicazioni in Microsoft Entra ID. Questa impostazione non è supportata per le organizzazioni in diversi ambienti Microsoft Cloud, ad esempio Azure commerciale e Azure per enti pubblici.
Quando viene eliminata la richiesta di consenso?
L'impostazione di riscatto automatico elimina la richiesta di consenso e il messaggio di posta elettronica di invito solo se sia il tenant principale/di origine (in uscita) che il tenant di risorsa/destinazione (in ingresso) controllano questa impostazione.
La tabella seguente illustra il comportamento della richiesta di consenso per gli utenti del tenant di origine, quando l'impostazione di riscatto automatico viene verificata per diverse combinazioni di impostazioni di accesso tra tenant.
Tenant principale/di origine | Tenant di risorsa/destinazione | Comportamento della richiesta di consenso per gli utenti tenant di origine |
---|---|---|
In uscita | In entrata | |
Soppresso | ||
Non soppresso | ||
Non soppresso | ||
Non soppresso | ||
In entrata | In uscita | |
Non soppresso | ||
Non soppresso | ||
Non soppresso | ||
Non soppresso |
Per configurare questa impostazione usando Microsoft Graph, consultare l'API Aggiornare crossTenantAccessPolicyConfigurationPartner. Per informazioni sulla creazione di un'esperienza di onboarding personalizzata, consultare Gestione inviti di collaborazione B2B.
Per ulteriori informazioni, consultare Configurare la sincronizzazione tra tenant, Configurare le impostazioni di accesso tra tenant per la collaborazione B2B e Configurare le impostazioni di accesso tra tenant per la connessione diretta B2B.
Riscatto configurabile
Con il riscatto configurabile, è possibile personalizzare l'ordine dei provider di identità con cui gli utenti guest possono accedere quando accettano l'invito. È possibile abilitare la funzionalità e specificare l'ordine di riscatto nella scheda Ordine di riscatto.
Quando un utente guest seleziona il collegamento Accetta invito in un'e-mail di invito, Microsoft Entra ID riscatta automaticamente l'invito in base all'ordine di riscatto predefinito. Quando viene modificato l'ordine del provider di identità nella scheda Nuovo ordine di riscatto, il nuovo ordine sovrascrive l'ordine di riscatto predefinito.
I provider di identità primari e i provider di identità di fallback sono disponibili nella scheda Ordine di riscatto.
I provider di identità primari sono quelli che dispongono di federazioni con altre origini di autenticazione. I provider di identità di fallback sono quelli che vengono usati quando un utente non corrisponde a un provider di identità primario.
I provider di identità di fallback possono essere un account Microsoft (MSA), un passcode monouso inviato via e-mail o entrambi. Non è possibile disabilitare entrambi i provider di identità di fallback, ma è possibile disabilitare tutti i provider di identità primari e usare solo i provider di identità di fallback per le opzioni di riscatto.
Quando viene usata questa funzionalità, è necessario tenere conto delle seguenti limitazioni note:
Se un utente di Microsoft Entra ID con una sessione SSO (Single Sign-On) esistente effettua l'autenticazione usando un codice OTP (passcode monouso) ricevuto via e-mail, è necessario selezionare Usa un altro account e inserire nuovamente il nome utente per attivare il flusso OTP. In caso contrario, l'utente riceverà un errore che indica che l'account non esiste nel tenant della risorsa.
Quando un utente usa lo stesso indirizzo e-mail sia in Microsoft Entra ID che in un account Microsoft, il sistema chiederà di selezionare il metodo di riscatto tra Microsoft Entra ID e l'account Microsoft, anche nel caso in cui l'amministratore abbia disabilitato l'account Microsoft. La scelta dell'account Microsoft come opzione di riscatto è consentita, anche se il metodo è disattivato.
Federazione diretta per i domini verificati di Microsoft Entra ID
La federazione di provider di identità SAML/WS-Fed (federazione diretta) è ora supportata per i domini verificati di Microsoft Entra ID. Questa funzionalità consente di impostare una federazione diretta con un provider di identità esterno per un dominio verificato in Microsoft Entra.
Nota
Assicurarsi che il dominio non sia verificato nello stesso tenant in cui si sta cercando di configurare la federazione diretta. Una volta configurata una federazione diretta, è possibile configurare la preferenza di riscatto del tenant e spostare il provider di identità SAML/WS-Fed su Microsoft Entra ID tramite le nuove impostazioni di accesso tra tenant di riscatto configurabili.
Quando l'utente guest riscatta l'invito, visualizza una schermata di consenso tradizionale e viene reindirizzato alla pagina App personali. Nel tenant della risorsa, il profilo di questo utente della federazione diretta indica che l'invito è stato riscattato correttamente, con la federazione esterna indicata come autorità emittente.
Impedire agli utenti B2B di riscattare inviti usando gli account Microsoft
È ora possibile impedire agli utenti guest B2B di usare gli account Microsoft per riscattare gli inviti. Invece, è possibile usare un passcode monouso inviato all'e-mail come provider di identità di fallback. Non è possibile usare un account Microsoft esistente per riscattare gli inviti, inoltre non è richiesto di crearne uno nuovo. È possibile abilitare questa funzionalità nelle impostazioni dell'ordine di riscatto disattivando gli account Microsoft nelle opzioni del provider di identità di fallback.
È necessario avere sempre almeno un provider di identità di fallback attivo. Pertanto, se viene deciso di disabilitare gli account Microsoft, è necessario abilitare l'opzione del passcode monouso tramite e-mail. Gli utenti guest esistenti che hanno già effettuato l'accesso con un account Microsoft, potranno continuare a farlo per gli accessi futuri. Per applicare loro le nuove impostazioni, è necessario ripristinare lo stato di riscatto.
Impostazione di sincronizzazione tra tenant
L'impostazione di sincronizzazione tra tenant è un'impostazione dell'organizzazione solo in ingresso che consente all'amministratore di un tenant di origine di sincronizzare gli utenti in un tenant di destinazione. Questa impostazione è una casella di controllo con il nome Consenti sincronizzazione utenti in questo tenant specificato nel tenant di destinazione. Questa impostazione non influisce sugli inviti B2B creati tramite altri processi, quali invito manuale o Gestione entitlement di Microsoft Entra.
Per configurare questa impostazione usando Microsoft Graph, consultare l'API Aggiornare crossTenantIdentitySyncPolicyPartner. Per ulteriori informazioni, consultare Configurare la sincronizzazione tra tenant.
Restrizioni relative ai tenant
Con le impostazioni di Restrizioni di tenant, è possibile controllare i tipi di account esterni che gli utenti possono usare sui dispositivi gestiti, tra cui:
- Account creati dagli utenti in tenant sconosciuti.
- Account assegnati dalle organizzazioni esterne agli utenti per consentire l'accesso alle risorse aziendali.
È consigliato configurare le restrizioni del tenant in modo da non consentire questo tipo di account esterni e usare invece la collaborazione B2B. La collaborazione B2B offre la possibilità di:
- Usare l'accesso condizionale e forzare l'autenticazione a più fattori per gli utenti di Collaborazione B2B.
- Gestire l'accesso in ingresso e in uscita.
- Terminare sessioni e credenziali quando lo stato di occupazione di un utente di Collaborazione B2B cambia o le credenziali vengono violate.
- Usare i log di accesso per visualizzare i dettagli sull'utente di Collaborazione B2B.
Le restrizioni del tenant sono indipendenti da altre impostazioni di accesso tra tenant, quindi tutte le impostazioni in ingresso, in uscita o attendibili configurate non influiscono sulle restrizioni del tenant. Per informazioni dettagliate sulla configurazione delle restrizioni del tenant, consultare Configurare le restrizioni di tenant v2.
Impostazioni di Microsoft Cloud
Le impostazioni cloud di Microsoft consentono di collaborare con organizzazioni di diversi cloud di Microsoft Azure. Con le impostazioni cloud di Microsoft, è possibile stabilire una collaborazione B2B reciproca tra i cloud seguenti:
- Cloud commerciale di Microsoft Azure e Microsoft Azure per enti pubblici, che comprende i cloud Office GCC-High e DoD
- Cloud commerciale di Microsoft Azure e Microsoft Azure gestiti da 21Vianet (gestiti da 21Vianet)
Nota
La connessione diretta B2B non è supportata per la collaborazione con i tenant di Microsoft Entra in un cloud Microsoft diverso.
Per ulteriori informazioni, consultare l'articolo Configurare le impostazioni di Microsoft Cloud per Collaborazione B2B.
Considerazioni importanti
Importante
La modifica delle impostazioni predefinite di ingresso o uscita per limitare l'accesso potrebbe impedire l'accesso critico alle applicazioni aziendali o a quelle delle organizzazioni partner. Assicurarsi di usare gli strumenti indicati in questo articolo e di consultare le parti interessate dell'azienda per identificare gli accessi necessari.
Per configurare le impostazioni di accesso tra tenant nel portale di Azure, è necessario disporre di un account con un ruolo di almeno Amministratore della sicurezza o di un ruolo personalizzato.
Per configurare le impostazioni di attendibilità o applicare le impostazioni di accesso a utenti, gruppi o applicazioni specifici, è necessaria una licenza Microsoft Entra ID P1. La licenza è necessaria per il tenant configurato. Per la connessione diretta B2B, in cui è richiesta una relazione di trust comune con un'altra organizzazione Microsoft Entra, è necessaria una licenza Microsoft Entra ID P1 in entrambi i tenant.
Le impostazioni di accesso tra tenant vengono usate per gestire la collaborazione B2B e la connessione diretta B2B con altre organizzazioni Microsoft Entra. Per la collaborazione B2B con identità non Microsoft Entra (ad esempio, identità sociali o account esterni non gestiti dall'IT), usare Impostazioni di collaborazione esterna. Le impostazioni di collaborazione esterna includono opzioni di collaborazione B2B per limitare l'accesso degli utenti guest, specificare chi può invitare gli ospiti e consentire o bloccare i domini.
Per applicare le impostazioni di accesso a utenti, gruppi o applicazioni specifici in un'organizzazione esterna, è necessario contattare l'organizzazione per informazioni prima di configurare le impostazioni. Ottenere gli ID oggetto utente, gli ID oggetto gruppo o gli ID applicazione (ID app client o ID app per le risorse), in modo da poter impostare correttamente le impostazioni.
Suggerimento
È possibile trovare gli ID applicazione per le app nelle organizzazioni esterne controllando i log di accesso. Consultare la sezione Identificare gli accessi in ingresso e in uscita.
Le impostazioni di accesso configurate per utenti e gruppi devono corrispondere a quelle di accesso per le applicazioni. Le impostazioni in conflitto non sono consentite e i messaggi di avviso vengono visualizzati, se si tenta di configurarli.
Esempio 1: se si blocca l'accesso in ingresso per tutti gli utenti e i gruppi esterni, è necessario bloccare anche l'accesso a tutte le applicazioni.
Esempio 2: se si consente l'accesso in uscita per tutti gli utenti (o per utenti o gruppi specifici), non è possibile bloccare tutti gli accessi alle applicazioni esterne. È necessario consentire l'accesso ad almeno un'applicazione.
Se si vuole consentire la connessione diretta B2B con un'organizzazione esterna e i criteri di accesso condizionale richiedono l'MFA, è necessario configurare le impostazioni di attendibilità per accettare attestazioni MFA dell'organizzazione esterna.
Quando si configurano le impostazioni di accesso tra tenant, se si blocca l'accesso a tutte le app per impostazione predefinita, gli utenti non potranno leggere i messaggi di posta elettronica crittografati con il servizio Microsoft Rights Management, noto anche come Office 365 Message Encryption (OME). Per evitare questo problema, è consigliabile configurare le impostazioni in uscita per consentire agli utenti di accedere a questo ID app: 00000012-0000-0000-c000-000000000000. Se si tratta dell'unica applicazione consentita, l'accesso a tutte le altre app è bloccata per impostazione predefinita.
Ruoli personalizzati per la gestione delle impostazioni di accesso tra tenant
È possibile creare ruoli personalizzati per gestire le impostazioni di accesso tra tenant. Altre informazioni sui ruoli personalizzati consigliati sono disponibili qui.
Proteggere le azioni amministrative di accesso tra tenant
Tutte le azioni che modificano le impostazioni di accesso tra tenant vengono considerate azioni protette e possono essere protette anche con i criteri di accesso condizionale. Per altre informazioni sui passaggi della configurazione, consultare azioni protette.
Identificare gli accessi in ingresso e in uscita
Sono disponibili diversi strumenti per identificare l'accesso necessario agli utenti e ai partner prima di impostare le impostazioni di accesso in ingresso e in uscita. Per assicurarsi di non rimuovere l'accesso necessario agli utenti e ai partner, l'utente deve esaminare il comportamento di accesso attuale. L'esecuzione di questo passaggio preliminare consente di evitare la perdita di accesso desiderato per gli utenti finali e gli utenti partner. Tuttavia, in alcuni casi questi log vengono conservati solo per 30 giorni, quindi si consiglia fortemente di parlare con gli stakeholder aziendali per garantire che l'accesso richiesto non venga perso.
Strumento | Metodo |
---|---|
Script di PowerShell per l'attività di accesso tra tenant | Per esaminare l'attività di accesso utente associata alle organizzazioni esterne, usare lo script PowerShell per l'attività di accesso utente tra tenant da MSIdentityTools. |
Script di PowerShell per i log di accesso | Per determinare l'accesso degli utenti alle organizzazioni esterne di Microsoft Entra, usare il cmdlet Get-MgAuditLogSignIn. |
Monitoraggio di Azure | Se l'organizzazione sottoscrive il servizio Monitoraggio di Azure, usare la cartella di lavoro attività di accesso tra tenant. |
Sistemi delle informazioni di sicurezza e gestione degli eventi (SIEM) | Se l'organizzazione esporta i log di accesso in un sistema delle informazioni di sicurezza e gestione degli eventi (SIEM), è possibile recuperare le informazioni necessarie dal sistema SIEM. |
Identificare le modifiche alle impostazioni di accesso tra tenant
I log di controllo di Microsoft Entra acquisiscono tutte le attività relative alle modifiche e alle attività dell'impostazione di accesso tra tenant. Per controllare le modifiche apportate alle impostazioni di accesso tra tenant, usare la categoria di CrossTenantAccessSettings per filtrare tutte le attività e visualizzare le modifiche alle impostazioni di accesso tra tenant.
Passaggi successivi
Configurare le impostazioni di accesso tra tenant per la collaborazione B2B
Configurare le impostazioni di accesso tra tenant per la connessione diretta B2B