Bewerken

Delen via

Toegangsinstellingen voor meerdere tenants beheren voor B2B-samenwerking

  • Uitleg

Van toepassing op:Groene cirkel met een wit vinkje. Externe tenantsWitte cirkel met een grijs X-symbool. van werknemers (meer informatie)

Gebruik instellingen voor toegang tussen tenants voor externe identiteiten om te beheren hoe u samenwerkt met andere Microsoft Entra-organisaties via B2B-samenwerking. Deze instellingen bepalen het niveau van binnenkomende toegangsgebruikers in externe Microsoft Entra-organisaties voor uw resources en het niveau van uitgaande toegang die uw gebruikers hebben voor externe organisaties. U kunt ook meervoudige verificatie (MFA) en apparaatclaims (compatibele claims en aan Microsoft Entra gekoppelde claims) vertrouwen van andere Microsoft Entra-organisaties. Zie Toegang tussen tenants in Microsoft Entra Externe ID voor meer informatie en planningsoverwegingen.

Samenwerking tussen clouds: partnerorganisaties in verschillende Microsoft-clouds kunnen B2B-samenwerking met elkaar instellen. Eerst moeten beide organisaties samenwerking met elkaar inschakelen, zoals beschreven in Microsoft-cloudinstellingen configureren. Vervolgens kan elke organisatie desgewenst de instellingen voor binnenkomende toegang en instellingen voor uitgaande toegang wijzigen, zoals hieronder wordt beschreven.

Belangrijk

Op 30 augustus 2023 begint Microsoft klanten te verplaatsen met behulp van toegangsinstellingen voor meerdere tenants naar een nieuw opslagmodel. U ziet mogelijk een vermelding in uw auditlogboeken waarin wordt aangegeven dat uw toegangsinstellingen voor meerdere tenants zijn bijgewerkt wanneer uw instellingen door onze geautomatiseerde taak worden gemigreerd. Voor een kort venster tijdens de migratieprocessen kunt u geen wijzigingen aanbrengen in uw instellingen. Als u geen wijziging kunt aanbrengen, moet u even wachten en de wijziging opnieuw proberen. Zodra de migratie is voltooid, wordt u niet langer beperkt tot 25 kB opslagruimte en zijn er geen limieten meer voor het aantal partners dat u kunt toevoegen.

Vereisten

Let op

Als u de standaardinstellingen voor inkomend of uitgaand verkeer wijzigt in Toegang blokkeren, kan bestaande bedrijfskritieke toegang tot apps in uw organisatie of partnerorganisaties worden geblokkeerd. Zorg ervoor dat u de hulpprogramma's gebruikt die worden beschreven in toegang tussen tenants in Microsoft Entra Externe ID en neem contact op met uw zakelijke belanghebbenden om de vereiste toegang te identificeren.

  • Raadpleeg de sectie Belangrijke overwegingen in het Overzicht van toegang tussen meerdere tenants voordat u de instellingen voor toegang tussen tenants configureert.
  • Gebruik de hulpprogramma's en volg de aanbevelingen in Binnenkomende en uitgaande aanmeldingen identificeren om te begrijpen welke externe Microsoft Entra-organisaties en bronnen gebruikers momenteel toegang hebben.
  • Bepaal het standaardniveau van toegang dat u wilt toepassen op alle externe Microsoft Entra-organisaties.
  • Identificeer alle Microsoft Entra-organisaties die aangepaste instellingen nodig hebben, zodat u organisatie-instellingen voor hen kunt configureren.
  • Als u toegangsinstellingen wilt toepassen op specifieke gebruikers, groepen of toepassingen in een externe organisatie, moet u contact opnemen met de organisatie voor informatie voordat u uw instellingen configureert. U hebt hun gebruikersobject-id's, groepsobject-id's of toepassings-id's (client-app-id's of resource-app-id's) nodig, zodat u uw instellingen correct kunt definiëren.
  • Als u B2B-samenwerking wilt instellen met een partnerorganisatie in een externe Microsoft Azure-cloud, volgt u de stappen in Microsoft-cloudinstellingen configureren. Een beheerder in de partnerorganisatie moet hetzelfde doen voor uw tenant.
  • Zowel de toegangsinstellingen voor toestaan/blokkeren als de toegangsinstellingen voor meerdere tenants worden gecontroleerd op het moment van de uitnodiging. Als het domein van een gebruiker op de acceptatielijst staat, kan deze worden uitgenodigd, tenzij het domein expliciet wordt geblokkeerd in de instellingen voor toegang tot meerdere tenants. Als het domein van een gebruiker op de blokkeringslijst staat, kan deze niet worden uitgenodigd, ongeacht de instellingen voor toegang tussen tenants. Als een gebruiker zich niet in een van beide lijsten bevindt, controleren we de toegangsinstellingen voor meerdere tenants om te bepalen of ze kunnen worden uitgenodigd.

Standaardinstellingen configureren

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Standaardinstellingen voor toegang tot meerdere tenants zijn van toepassing op alle externe organisaties waarvoor u geen organisatiespecifieke aangepaste instellingen hebt gemaakt. Als u de door Microsoft Entra ID geleverde standaardinstellingen wilt wijzigen, volgt u deze stappen.

  1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar >de toegangsinstellingen voor externe identiteiten voor meerdere tenants>en selecteer vervolgens instellingen voor toegang tot meerdere tenants.

  3. Selecteer het tabblad Standaardinstellingen en bekijk de overzichtspagina.

    Schermopname met het tabblad Instellingen voor toegang tussen tenants.

  4. Als u de instellingen wilt wijzigen, selecteert u de koppeling Standaardinstellingen voor binnenkomende gegevens bewerken of de koppeling Standaardinstellingen voor uitgaande gegevens bewerken.

    Schermopname met de knoppen voor het bewerken van Standaardinstellingen.

  5. Wijzig de standaardinstellingen door de gedetailleerde stappen in deze secties te volgen:

Een organisatie toevoegen

Volg deze stappen om aangepaste instellingen voor specifieke organisaties te configureren.

  1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar >De toegangsinstellingen voor externe identiteiten voor meerdere tenants>en selecteer vervolgens Organisatie-instellingen.

  3. Selecteer Organisatie toevoegen.

  4. Typ in het deelvenster Organisatie toevoegen de volledige domeinnaam (of tenant-id) van de organisatie.

    Schermopname van het toevoegen van een organisatie.

  5. Selecteer de organisatie in de zoekresultaten en selecteer vervolgens Toevoegen.

  6. De organisatie wordt weergegeven in de lijst Organisatie-instellingen. Op dit moment worden alle toegangsinstellingen voor deze organisatie overgenomen van uw standaardinstellingen. Als u de instellingen voor deze organisatie wilt wijzigen, selecteert u de koppeling Overgenomen van standaardinstelling onder de kolom Binnenkomende toegang of Uitgaande toegang.

    Schermopname van een organisatie die is toegevoegd met standaardinstellingen.

  7. Wijzig de organisatie-instellingen door de gedetailleerde stappen in deze secties te volgen:

Instellingen voor binnenkomende toegang wijzigen

Met binnenkomende instellingen selecteert u welke externe gebruikers en groepen toegang hebben tot de interne toepassingen die u kiest. Of u nu standaardinstellingen of organisatiespecifieke instellingen configureert, de stappen voor het wijzigen van instellingen voor binnenkomende toegang tussen tenants zijn hetzelfde. Zoals beschreven in deze sectie gaat u naar het tabblad Standaard of een organisatie op het tabblad Organisatie-instellingen en brengt u de wijzigingen aan.

  1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar >de toegangsinstellingen voor externe identiteiten voor meerdere tenants.>

  3. Navigeer naar de instellingen die u wilt wijzigen:

    • Standaardinstellingen: als u de standaardinstellingen voor binnenkomende gegevens wilt wijzigen, selecteert u het tabblad Standaardinstellingen en selecteert u onder Instellingen voor binnenkomende toegang de optie Standaardinstellingen voor binnenkomende gegevens bewerken.
    • Organisatie-instellingen: als u instellingen voor een specifieke organisatie wilt wijzigen, selecteert u het tabblad Organisatie-instellingen, zoekt u de organisatie in de lijst (of voegt u er een toe) en selecteert u vervolgens de koppeling in de kolom Binnenkomende toegang.

  4. Volg de gedetailleerde stappen voor de instellingen voor binnenkomende gegevens die u wilt wijzigen:

Notitie

Als u de systeemeigen mogelijkheden voor delen in Microsoft SharePoint en Microsoft OneDrive gebruikt waarvoor Microsoft Entra B2B-integratie is ingeschakeld, moet u de externe domeinen toevoegen aan de instellingen voor externe samenwerking. Anders kunnen uitnodigingen van deze toepassingen mislukken, zelfs als de externe tenant is toegevoegd in de toegangsinstellingen voor meerdere tenants.

Instellingen voor binnenkomende B2B-samenwerking wijzigen

  1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar >de toegangsinstellingen voor externe identiteiten voor meerdere tenants>en selecteer vervolgens Organisatie-instellingen

  3. Selecteer de koppeling in de kolom Binnenkomende toegang en het tabblad B2B-samenwerking .

  4. Als u instellingen voor binnenkomende toegang voor een specifieke organisatie configureert, selecteert u een optie:

    • Standaardinstellingen: selecteer deze optie als u wilt dat de organisatie de standaardinstellingen voor binnenkomende gegevens gebruikt (zoals geconfigureerd op het tabblad Standaardinstellingen). Als aangepaste instellingen al zijn geconfigureerd voor deze organisatie, moet u Ja selecteren om te bevestigen dat alle instellingen moeten worden vervangen door de standaardinstellingen. Selecteer vervolgens Opslaan en sla de rest van de stappen in deze procedure over.

    • Instellingen aanpassen: selecteer deze optie als u de instellingen wilt aanpassen die voor deze organisatie moeten worden afgedwongen in plaats van de standaardinstellingen. Ga verder met de rest van de stappen in deze procedure.

  5. Selecteer Externe gebruikers en groepen.

  6. Selecteer onder Toegangsstatus een van de volgende opties:

    • Toegang toestaan: hiermee kunnen de gebruikers en groepen die zijn opgegeven onder Van toepassing op worden uitgenodigd voor B2B-samenwerking.
    • Toegang blokkeren: hiermee blokkeert u de gebruikers en groepen die zijn opgegeven onder Van toepassing op voor uitnodiging voor B2B-samenwerking.

    Schermopname waarop de gebruikerstoegangsstatus voor B2B-samenwerking wordt geselecteerd.

  7. Selecteer een van de volgende opties onder Van toepassing op:

    • Alle externe gebruikers en groepen: hiermee past u de actie die u hebt gekozen onder Toegangsstatus toe op alle gebruikers en groepen van externe Microsoft Entra-organisaties.
    • Selecteer externe gebruikers en groepen (hiervoor is een Microsoft Entra ID P1- of P2-abonnement vereist): Hiermee kunt u de actie die u hebt gekozen onder Toegangsstatus toepassen op specifieke gebruikers en groepen binnen de externe organisatie.

    Notitie

    Als u de toegang blokkeert voor alle externe gebruikers en groepen, moet u ook de toegang tot al uw interne toepassingen blokkeren (op het tabblad Toepassingen).

    Schermopname waarop de doelgebruikers en -groepen worden geselecteerd.

  8. Als u Externe gebruikers en groepen selecteren hebt gekozen, gaat u als volgt te werk voor elke gebruiker of groep die u wilt toevoegen:

    • Selecteer Externe gebruikers en groepen toevoegen.
    • Typ in het deelvenster Andere gebruikers en groepen toevoegen in het zoekvak de gebruikersobject-id of groepsobject-id die u van uw partnerorganisatie hebt verkregen.
    • Kies in het menu naast het zoekvak de optie gebruiker of groep.
    • Selecteer Toevoegen.

    Notitie

    U kunt geen doel gebruiken voor gebruikers of groepen in de standaardinstellingen voor inkomend verkeer.

    Schermopname van het toevoegen van gebruikers en groepen.

  9. SelecteerVerzenden als u klaar bent met het toevoegen van gebruikers en groepen.

    Schermopname van het verzenden van gebruikers en groepen.

  10. Selecteer het tabblad Toepassingen.

  11. Selecteer onder Toegangsstatus een van de volgende opties:

    • Toegang toestaan: hiermee wordt toegestaan dat de toepassingen die zijn opgegeven onder Van toepassing op toegankelijk zijn voor gebruikers van B2B-samenwerking.
    • Toegang blokkeren: hiermee worden de toepassingen die zijn opgegeven onder Van toepassing op geblokkeerd voor toegang door gebruikers van B2B-samenwerking.

    Schermopname met de toegangsstatus van toepassingen.

  12. Selecteer een van de volgende opties onder Van toepassing op:

    • Alle toepassingen: past de actie die u hebt gekozen onder Toegangsstatus op al uw toepassingen toe.
    • Selecteer toepassingen (hiervoor is een Microsoft Entra ID P1- of P2-abonnement vereist): Hiermee kunt u de actie die u hebt gekozen onder Toegangsstatus toepassen op specifieke toepassingen in uw organisatie.

    Notitie

    Als u de toegang blokkeert voor alle toepassingen, moet u ook de toegang tot al uw externe gebruikers en groepen blokkeren (op het tabblad Externe gebruikers en groepen).

    Schermopname met doeltoepassingen.

  13. Als u Toepassingen selecteren hebt gekozen, gaat u als volgt te werk voor elke toepassing die u wilt toevoegen:

    • Selecteer Microsoft-toepassingen toevoegen of andere toepassingen toevoegen.
    • Typ in het deelvenster Selecteren de naam van de toepassing of de toepassings-id (de client-app-id of de resource-app-id) in het zoekvak. Selecteer vervolgens de toepassing in de zoekresultaten. Herhaal dit voor elke toepassing die u wilt toevoegen.
    • Als u klaar bent met het selecteren van toepassingen, kiest u Selecteren.

    Schermopname van het selecteren van toepassingen.

  14. Selecteer Opslaan.

Overwegingen voor het toestaan van Microsoft-toepassingen

Als u toegangsinstellingen voor meerdere tenants wilt configureren om alleen een aangewezen set toepassingen toe te staan, kunt u overwegen de Microsoft-toepassingen toe te voegen die worden weergegeven in de volgende tabel. Als u bijvoorbeeld een acceptatielijst configureert en alleen SharePoint Online toestaat, heeft de gebruiker geen toegang tot Mijn apps of registreert voor MFA in de resourcetenant. Neem de volgende toepassingen op in de instellingen voor binnenkomende en uitgaande samenwerking om een soepele ervaring voor eindgebruikers te garanderen.

Toepassing Resource-id Beschikbaar in de portal DETAILS
Mijn apps 2793995e-0a7d-40d7-bd35-6968ba142197 Ja Standaardlandingspagina na ingewisselde uitnodiging. Hiermee definieert u de toegang tot myapplications.microsoft.com.
Microsoft App Toegangsvenster 0000000c-0000-0000-c000-0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000c- Nee Wordt gebruikt in sommige late aanroepen bij het laden van bepaalde pagina's in Mijn aanmeldingen. Bijvoorbeeld de blade Beveiligingsgegevens of de switcher organisaties.
Mijn profiel 8c59ead7-d703-4a27-9e55-c96a0054c8d2 Ja Hiermee definieert u de toegang tot myaccount.microsoft.com mijn groepen en mijn toegangsportals. Voor sommige tabbladen in Mijn profiel zijn de andere apps vereist die hier worden vermeld om te kunnen werken.
Mijn aanmeldingen 19db86c3-b2b9-44cc-b339-36da233a3be2 Nee Hiermee definieert u de toegang tot mysignins.microsoft.com inclusief toegang tot beveiligingsgegevens. Sta deze app toe als u wilt dat gebruikers zich registreren voor en MFA gebruiken in de resourcetenant (bijvoorbeeld MFA wordt niet vertrouwd vanuit de thuistenant).

Sommige toepassingen in de vorige tabel staan geen selectie toe vanuit het Microsoft Entra-beheercentrum. Als u ze wilt toestaan, voegt u ze toe met Microsoft Graph API, zoals wordt weergegeven in het volgende voorbeeld:

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

Notitie

Zorg ervoor dat u eventuele aanvullende toepassingen opneemt die u wilt toestaan in de PATCH-aanvraag, omdat hiermee eerder geconfigureerde toepassingen worden overschreven. Toepassingen die al zijn geconfigureerd, kunnen handmatig worden opgehaald uit de portal of door een GET-aanvraag uit te voeren op het partnerbeleid. Bijvoorbeeld GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>

Notitie

Toepassingen die zijn toegevoegd via Microsoft Graph API die niet worden toegewezen aan een toepassing die beschikbaar is in het Microsoft Entra-beheercentrum, worden weergegeven als de app-id.

U kunt de Microsoft Admin Portals-app niet toevoegen aan de instellingen voor binnenkomende en uitgaande toegang tot meerdere tenants in het Microsoft Entra-beheercentrum. Als u externe toegang tot Microsoft-beheerportals wilt toestaan, gebruikt u de Microsoft Graph API om afzonderlijk de volgende apps toe te voegen die deel uitmaken van de Microsoft Admin Portals-app-groep:

  • Azure Portal (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Microsoft Entra-beheercentrum (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Microsoft 365 Defender-portal (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Microsoft Intune-beheercentrum (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Microsoft Purview Compliance Portal (80ccca67-54bd-44ab-8625-4b79c4dc7775)

Inwisselorder configureren

Volg deze stappen om de volgorde aan te passen van id-providers die uw gastgebruikers kunnen gebruiken om zich aan te melden wanneer ze uw uitnodiging accepteren.

  1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum. Open vervolgens de Identity-service aan de linkerkant.

  2. Selecteer Externe identiteiten>Instellingen voor toegang tussen tenants.

  3. Selecteer op het tabblad Standaardinstellingen onder Instellingen voor binnenkomende toegang de optie Binnenkomende standaardinstellingen bewerken.

  4. Selecteer op het tabblad B2B-samenwerking het tabblad Inwisselvolgorde .

  5. Verplaats de id-providers omhoog of omlaag om de volgorde te wijzigen waarin uw gastgebruikers zich kunnen aanmelden wanneer ze uw uitnodiging accepteren. U kunt de inwisselvolgorde hier ook opnieuw instellen op de standaardinstellingen.

    Schermopname van het tabblad Inwisselvolgorde.

  6. Selecteer Opslaan.

U kunt de inwisselingsorder ook aanpassen via de Microsoft Graph API.

  1. Open Microsoft Graph Explorer.

  2. Meld u aan als ten minste een beveiligingsbeheerder bij uw resourcetenant.

  3. Voer de volgende query uit om de huidige inwisselorder op te halen:

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
  1. In dit voorbeeld verplaatsen we de SAML/WS-Fed IdP-federatie naar de bovenkant van de aflossingsorder boven de Microsoft Entra-id-provider. Patch dezelfde URI met deze aanvraagbody:
{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}

  1. Als u wilt controleren of de wijzigingen de GET-query opnieuw uitvoeren.

  2. Voer de volgende query uit om de inwisselvolgorde opnieuw in te stellen op de standaardinstellingen:

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

SAML/WS-Fed federation (Directe federatie) voor geverifieerde domeinen van Microsoft Entra ID

U kunt nu het geverifieerde domein van microsoft Entra ID toevoegen om de directe federatierelatie in te stellen. Eerst moet u de directe federatieconfiguratie instellen in het beheercentrum of via de API. Zorg ervoor dat het domein niet is geverifieerd in dezelfde tenant. Zodra de configuratie is ingesteld, kunt u de inwisselingsorder aanpassen. De SAML/WS-Fed IdP wordt toegevoegd aan de aflossingsorder als laatste vermelding. U kunt deze omhoog verplaatsen in de inwisselvolgorde om deze in te stellen boven microsoft Entra-id-provider.

Voorkomen dat uw B2B-gebruikers een uitnodiging inwisselen met behulp van Microsoft-accounts

Volg de onderstaande stappen om te voorkomen dat uw B2B-gastgebruikers hun uitnodiging inwisselen met hun bestaande Microsoft-accounts of een nieuwe uitnodiging maken om de uitnodiging te accepteren.

  1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum. Open vervolgens de Identity-service aan de linkerkant.

  2. Selecteer Externe identiteiten>Instellingen voor toegang tussen tenants.

  3. Selecteer onder Organisatie-instellingen de koppeling in de kolom Binnenkomende toegang en het tabblad B2B-samenwerking.

  4. Selecteer het tabblad Inwisselvolgorde .

  5. Schakel onder Fallback-id-providers het Microsoft-serviceaccount (MSA) uit.

    Schermopname van de optie alternatieve id-providers.

  6. Selecteer Opslaan.

U moet op elk gewenst moment ten minste één terugval-id-provider hebben ingeschakeld. Als u Microsoft-accounts wilt uitschakelen, moet u eenmalige wachtwoordcode voor e-mail inschakelen. U kunt beide terugval-id-providers niet uitschakelen. Alle bestaande gastgebruikers die zijn aangemeld met Microsoft-accounts, blijven deze gebruiken tijdens volgende aanmeldingen. U moet de inwisselingsstatus opnieuw instellen om deze instelling toe te passen.

Instellingen voor binnenkomende vertrouwensrelaties voor MFA- en apparaatclaims wijzigen

  1. Selecteer het tabblad Vertrouwensinstellingen.

  2. (Deze stap is alleen van toepassing op Organisatie-instellingen.) Als u instellingen voor een specifieke organisatie configureert, selecteert u een van de volgende opties:

    • Standaardinstellingen: de organisatie gebruikt de instellingen die zijn geconfigureerd op het tabblad Standaardinstellingen . Als aangepaste instellingen al zijn geconfigureerd voor deze organisatie, selecteert u Ja om te bevestigen dat alle instellingen moeten worden vervangen door de standaardinstellingen. Selecteer vervolgens Opslaan en sla de rest van de stappen in deze procedure over.

    • Instellingen aanpassen: u kunt de instellingen aanpassen die voor deze organisatie moeten worden afgedwongen in plaats van de standaardinstellingen. Ga verder met de rest van de stappen in deze procedure.

  3. Selecteer één of meer van de volgende opties:

    • Meervoudige verificatie van Microsoft Entra-tenants vertrouwen: schakel dit selectievakje in om toe te staan dat uw beleid voor voorwaardelijke toegang MFA-claims van externe organisaties vertrouwt. Tijdens verificatie controleert Microsoft Entra ID de referenties van een gebruiker op een claim dat de gebruiker MFA heeft voltooid. Zo niet, dan wordt er een MFA-uitdaging gestart in de tenant van de gebruiker thuis. Deze instelling wordt niet toegepast als een externe gebruiker zich aanmeldt met gedetailleerde gedelegeerde beheerdersbevoegdheden (GDAP), zoals gebruikt door een technicus bij een cloudserviceprovider die services in uw tenant beheert. Wanneer een externe gebruiker zich aanmeldt met GDAP, is MFA altijd vereist in de basistenant van de gebruiker en altijd vertrouwd in de resourcetenant. MFA-registratie van een GDAP-gebruiker wordt niet ondersteund buiten de basistenant van de gebruiker. Als uw organisatie de toegang tot technici van serviceproviders op basis van MFA in de thuistenant van de gebruiker moet weigeren, kunt u de GDAP-relatie in Microsoft 365-beheercentrum verwijderen.

    • Compatibele apparaten vertrouwen: hiermee staat u toe dat uw beleid voor voorwaardelijke toegang compatibele apparaatclaims van een externe organisatie vertrouwt wanneer hun gebruikers toegang hebben tot uw resources.

    • Vertrouw op hybride apparaten van Microsoft Entra: hiermee staat u toe dat uw beleid voor voorwaardelijke toegang de claims van hybride gekoppelde apparaten van Microsoft Entra van een externe organisatie vertrouwt wanneer hun gebruikers toegang hebben tot uw resources.

    Schermopname met vertrouwensinstellingen.

  4. (Deze stap is van toepassing op Alleen organisatie-instellingen .) Controleer de optie Voor automatisch inwisselen :

    • Uitnodigingen automatisch inwisselen met de tenanttenant<>: controleer deze instelling als u uitnodigingen automatisch wilt inwisselen. Zo ja, dan hoeven gebruikers van de opgegeven tenant de toestemmingsprompt niet te accepteren wanneer ze voor het eerst toegang hebben tot deze tenant met behulp van synchronisatie tussen tenants, B2B-samenwerking of B2B-directe verbinding. Deze instelling onderdrukt alleen de toestemmingsprompt als de opgegeven tenant deze instelling ook controleert op uitgaande toegang.

    Schermopname van het selectievakje Automatisch inwisselen voor inkomend verkeer.

  5. Selecteer Opslaan.

Gebruikers toestaan om te synchroniseren met deze tenant

Als u binnenkomende toegang van de toegevoegde organisatie selecteert, ziet u het tabblad Synchronisatie tussen tenants en het selectievakje Toestaan dat gebruikers met deze tenant worden gesynchroniseerd. Synchronisatie tussen tenants is een eenmalige synchronisatieservice in Microsoft Entra ID waarmee het maken, bijwerken en verwijderen van B2B-samenwerkingsgebruikers in tenants in een organisatie wordt geautomatiseerd. Zie De documentatie van meerdere tenants en multitenant-organisaties configureren voor meer informatie.

Schermopname van het tabblad Synchronisatie tussen tenants met het selectievakje Toestaan dat gebruikers worden gesynchroniseerd met deze tenant.

Instellingen voor uitgaande toegang wijzigen

Met uitgaande instellingen selecteert u welke van uw gebruikers en groepen toegang hebben tot de externe toepassingen die u kiest. Of u nu standaardinstellingen of organisatiespecifieke instellingen configureert, de stappen voor het wijzigen van instellingen voor uitgaande toegang tussen tenants zijn hetzelfde. Zoals beschreven in deze sectie gaat u naar het tabblad Standaard of een organisatie op het tabblad Organisatie-instellingen en brengt u de wijzigingen aan.

  1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar >de toegangsinstellingen voor externe identiteiten voor meerdere tenants.>

  3. Navigeer naar de instellingen die u wilt wijzigen:

    • Als u de standaardinstellingen voor binnenkomende gegevens wilt wijzigen, selecteert u het tabblad Standaardinstellingen en selecteert u onder Instellingen voor uitgaande toegang de optie Standaardinstellingen voor uitgaande gegevens bewerken.

    • Als u instellingen voor een specifieke organisatie wilt wijzigen, selecteert u het tabblad Organisatie-instellingen, zoekt u de organisatie in de lijst (of voegt u er een toe) en selecteert u vervolgens de koppeling in de kolom Uitgaande toegang.

  4. Selecteer het tabblad B2B-samenwerking.

  5. (Deze stap is van toepassing op Alleen organisatie-instellingen .) Als u instellingen voor een organisatie configureert, selecteert u een optie:

    • Standaardinstellingen: de organisatie gebruikt de instellingen die zijn geconfigureerd op het tabblad Standaardinstellingen. Als aangepaste instellingen al zijn geconfigureerd voor deze organisatie, moet u Ja selecteren om te bevestigen dat alle instellingen moeten worden vervangen door de standaardinstellingen. Selecteer vervolgens Opslaan en sla de rest van de stappen in deze procedure over.

    • Instellingen aanpassen: u kunt de instellingen aanpassen die voor deze organisatie moeten worden afgedwongen in plaats van de standaardinstellingen. Ga verder met de rest van de stappen in deze procedure.

  6. Selecteer Gebruikers en groepen.

  7. Selecteer onder Toegangsstatus een van de volgende opties:

    • Toegang toestaan: hiermee kunnen uw gebruikers en groepen die zijn opgegeven onder Van toepassing op worden uitgenodigd voor externe organisaties voor B2B-samenwerking.
    • Toegang blokkeren: blokkeert uw gebruikers en groepen die zijn opgegeven onder Van toepassing op voor uitnodiging voor B2B-samenwerking. Als u de toegang voor alle gebruikers en groepen blokkeert, blokkeert dit ook dat alle externe toepassingen toegankelijk zijn via B2B-samenwerking.

    Schermopname met de toegangsstatus van gebruikers en groepen voor B2B-samenwerking.

  8. Selecteer een van de volgende opties onder Van toepassing op:

    • Alle <gebruikers> van uw organisatie: past de actie die u hebt gekozen onder Toegangsstatus toe op al uw gebruikers en groepen.
    • Selecteer <uw organisatiegebruikers> en -groepen (hiervoor is een Microsoft Entra ID P1- of P2-abonnement vereist): Hiermee kunt u de actie die u hebt gekozen onder Toegangsstatus toepassen op specifieke gebruikers en groepen.

    Notitie

    Als u de toegang blokkeert voor al uw gebruikers en groepen, moet u ook de toegang tot al uw externe toepassingen blokkeren (op het tabblad Externe toepassingen).

    Schermopname waarop de doelgebruikers voor B2B-samenwerking worden geselecteerd.

  9. Als u Selecteer Gebruikers en groepen van <uw organisatie> toevoegen hebt gekozen, gaat u als volgt te werk voor elke gebruiker of groep die u wilt toevoegen:

    • Selecteer Gebruikers en groepen van <uw organisatie> toevoegen.
    • Typ in het deelvenster Selecteren de gebruikersnaam of groepsnaam in het zoekvak.
    • Selecteer de gebruiker of groep in de zoekresultaten.
    • Wanneer u klaar bent met het selecteren van de gebruikers en groepen die u wilt toevoegen, kiest u Selecteren.

    Notitie

    Wanneer u zich richt op uw gebruikers en groepen, kunt u geen gebruikers selecteren die verificatie op basis van sms hebben geconfigureerd. Dit komt doordat gebruikers met een federatieve referentie voor hun gebruikersobject worden geblokkeerd om te voorkomen dat externe gebruikers worden toegevoegd aan instellingen voor uitgaande toegang. Als tijdelijke oplossing kunt u de Microsoft Graph API gebruiken om de object-id van de gebruiker rechtstreeks toe te voegen of een groep toe te voegen waartoe de gebruiker behoort.

  10. Selecteer het tabblad Externe toepassingen.

  11. Selecteer onder Toegangsstatus een van de volgende opties:

    • Toegang toestaan: hiermee wordt toegestaan dat de externe toepassingen die zijn opgegeven onder Van toepassing op toegankelijk zijn voor uw gebruikers via B2B-samenwerking.
    • Toegang blokkeren: hiermee worden de externe toepassingen die zijn opgegeven onder Van toepassing op geblokkeerd voor toegang door uw gebruikers via B2B-samenwerking.

    Schermopname met de toegangsstatus van toepassingen voor B2B-samenwerking.

  12. Selecteer een van de volgende opties onder Van toepassing op:

    • Alle externe toepassingen: past de actie die u hebt gekozen onder Toegangsstatus op al uw externe toepassingen toe.
    • Externe toepassingen selecteren: past de actie die u hebt gekozen onder Toegangsstatus op al uw externe toepassingen toe.

    Notitie

    Als u de toegang blokkeert voor alle externe toepassingen, moet u ook de toegang voor al uw gebruikers en groepen blokkeren (op het tabblad Gebruikers en groepen).

    Schermopname met toepassingsdoelen voor B2B-samenwerking.

  13. Als u Externe toepassingen selecteren hebt gekozen, gaat u als volgt te werk voor elke toepassing die u wilt toevoegen:

    • Selecteer Microsoft-toepassingen toevoegen of andere toepassingen toevoegen.
    • Typ in het zoekvak de naam van de toepassing of de toepassings-id (de client-app-id of de resource-app-id). Selecteer vervolgens de toepassing in de zoekresultaten. Herhaal dit voor elke toepassing die u wilt toevoegen.
    • Als u klaar bent met het selecteren van toepassingen, kiest u Selecteren.

    Schermopname met het selecteren van toepassingsdoelen voor B2B-samenwerking.

  14. Selecteer Opslaan.

Uitgaande vertrouwensinstellingen wijzigen

(Deze sectie is van toepassing op Alleen organisatie-instellingen .)

  1. Selecteer het tabblad Vertrouwensinstellingen.

  2. Controleer de optie Voor automatisch inwisselen :

    • Uitnodigingen automatisch inwisselen met de tenanttenant<>: controleer deze instelling als u uitnodigingen automatisch wilt inwisselen. Zo ja, dan hoeven gebruikers van deze tenant de toestemmingsprompt niet te accepteren wanneer ze de opgegeven tenant voor het eerst openen met behulp van synchronisatie tussen tenants, B2B-samenwerking of B2B directe verbinding. Deze instelling onderdrukt alleen de toestemmingsprompt als de opgegeven tenant deze instelling ook controleert op binnenkomende toegang.

      Schermopname van het selectievakje Automatisch inwisselen voor uitgaand verkeer.

  3. Selecteer Opslaan.

Een organisatie verwijderen

Wanneer u een organisatie verwijdert uit uw organisatie-instellingen, worden de standaardinstellingen voor toegang tot meerdere tenants van kracht voor die organisatie.

Notitie

Als de organisatie een cloudserviceprovider is voor uw organisatie (de eigenschap isServiceProvider in de Microsoft Graph-partnerspecifieke configuratie is ingesteld op 'true'), kunt u de organisatie niet verwijderen.

  1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.

  2. Blader naar >de toegangsinstellingen voor externe identiteiten voor meerdere tenants.>

  3. Selecteer het tabblad Organisatie-instellingen.

  4. Zoek de organisatie in de lijst en selecteer vervolgens het prullenbakpictogram in die rij.

Gerelateerde inhoud