Edytuj

Udostępnij za pośrednictwem

Zarządzanie ustawieniami dostępu między dzierżawami na potrzeby współpracy B2B

  • Porady

Dotyczy:Zielony okrąg z białym symbolem znacznika wyboru. Dzierżawcy siły roboczej — dzierżawcy zewnętrzni Biały okrąg z szarym symbolem X. (dowiedz się więcej)

Użyj ustawień dostępu między dzierżawami zewnętrznych tożsamości, aby zarządzać sposobem współpracy z innymi organizacjami firmy Microsoft Entra za pośrednictwem współpracy B2B. Te ustawienia określają zarówno poziom dostępu przychodzącego użytkowników w zewnętrznych organizacjach firmy Microsoft Entra do zasobów, jak i poziom dostępu wychodzącego użytkowników do organizacji zewnętrznych. Umożliwiają one również zaufanie do uwierzytelniania wieloskładnikowego (MFA) i oświadczeń urządzeń (zgodnych oświadczeń i oświadczeń dołączonych hybrydowych firmy Microsoft Entra) z innych organizacji firmy Microsoft Entra. Aby uzyskać szczegółowe informacje i zagadnienia dotyczące planowania, zobacz Dostęp między dzierżawami w Tożsamość zewnętrzna Microsoft Entra.

Współpraca w chmurach: organizacje partnerskie w różnych chmurach firmy Microsoft mogą skonfigurować współpracę B2B ze sobą. Najpierw obie organizacje muszą włączyć współpracę ze sobą zgodnie z opisem w temacie Konfigurowanie ustawień chmury firmy Microsoft. Następnie każda organizacja może opcjonalnie zmodyfikować ustawienia dostępu przychodzącego i ustawienia dostępu wychodzącego, zgodnie z poniższym opisem.

Ważne

Firma Microsoft zaczyna przenosić klientów przy użyciu ustawień dostępu między dzierżawami do nowego modelu magazynu 30 sierpnia 2023 r. Możesz zauważyć wpis w dziennikach inspekcji informujący o tym, że ustawienia dostępu między dzierżawami zostały zaktualizowane w miarę migrowania ustawień przez nasze automatyczne zadanie. W przypadku krótkiego okna podczas procesów migracji nie będzie można wprowadzać zmian w ustawieniach. Jeśli nie możesz wprowadzić zmiany, poczekaj chwilę i spróbuj ponownie wprowadzić zmianę. Po zakończeniu migracji nie będzie już ograniczona do 25 kb miejsca do magazynowania i nie będzie więcej limitów liczby partnerów, które można dodać.

Wymagania wstępne

Uwaga

Zmiana domyślnych ustawień ruchu przychodzącego lub wychodzącego na Wartość Blokuj dostęp może zablokować istniejący dostęp krytyczny dla działania firmy do aplikacji w organizacji lub organizacjach partnerskich. Pamiętaj, aby użyć narzędzi opisanych w artykule Dostęp między dzierżawami w Tożsamość zewnętrzna Microsoft Entra i skonsultować się z osobami biorącymi udział w projekcie biznesowym, aby zidentyfikować wymagany dostęp.

  • Przed skonfigurowaniem ustawień dostępu między dzierżawami zapoznaj się z sekcją Ważne zagadnienia w przeglądzie dostępu między dzierżawami.
  • Skorzystaj z narzędzi i postępuj zgodnie z zaleceniami w temacie Identyfikowanie logowania przychodzącego i wychodzącego, aby zrozumieć, do których zewnętrznych organizacji i zasobów firmy Microsoft są obecnie dostępni użytkownicy.
  • Zdecyduj o domyślnym poziomie dostępu, który chcesz zastosować do wszystkich zewnętrznych organizacji firmy Microsoft Entra.
  • Zidentyfikuj wszystkie organizacje firmy Microsoft Entra, które wymagają dostosowanych ustawień, aby można było skonfigurować dla nich ustawienia organizacyjne.
  • Jeśli chcesz zastosować ustawienia dostępu do określonych użytkowników, grup lub aplikacji w organizacji zewnętrznej, musisz skontaktować się z organizacją, aby uzyskać informacje przed skonfigurowaniem ustawień. Uzyskaj identyfikatory obiektów użytkownika, identyfikatory obiektów grupy lub identyfikatory aplikacji (identyfikatory aplikacji klienckiej lub identyfikatory aplikacji zasobów), aby umożliwić prawidłowe określanie ustawień.
  • Jeśli chcesz skonfigurować współpracę B2B z organizacją partnerów w zewnętrznej chmurze platformy Microsoft Azure, wykonaj kroki opisane w temacie Konfigurowanie ustawień chmury firmy Microsoft. Administrator w organizacji partnerskiej musi wykonać to samo dla dzierżawy.
  • Ustawienia listy dozwolonych/zablokowanych i dostępu między dzierżawami są sprawdzane w momencie zaproszenia. Jeśli domena użytkownika znajduje się na liście dozwolonych, można je zaprosić, chyba że domena zostanie jawnie zablokowana w ustawieniach dostępu między dzierżawami. Jeśli domena użytkownika znajduje się na liście zablokowanych, nie można ich zaprosić niezależnie od ustawień dostępu między dzierżawami. Jeśli użytkownik nie znajduje się na żadnej liście, sprawdzamy ustawienia dostępu między dzierżawami, aby określić, czy można je zaprosić.

Konfigurowanie ustawień domyślnych

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Domyślne ustawienia dostępu między dzierżawami mają zastosowanie do wszystkich organizacji zewnętrznych, dla których nie utworzono dostosowanych ustawień specyficznych dla organizacji. Jeśli chcesz zmodyfikować ustawienia domyślne podane przez identyfikator entra firmy Microsoft, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

  2. Przejdź do pozycji Identity External Identities Cross-tenant access settings (Tożsamości zewnętrzne tożsamości>między dzierżawami>), a następnie wybierz pozycję Cross-tenant access settings (Ustawienia dostępu między dzierżawami).

  3. Wybierz kartę Ustawienia domyślne i przejrzyj stronę podsumowania.

    Zrzut ekranu przedstawiający kartę Ustawienia domyślne ustawień dostępu między dzierżawami.

  4. Aby zmienić ustawienia, wybierz link Edytuj wartości domyślne dla ruchu przychodzącego lub link Edytuj wartości domyślne dla ruchu wychodzącego .

    Zrzut ekranu przedstawiający przyciski edycji ustawień domyślnych.

  5. Zmodyfikuj ustawienia domyślne, wykonując szczegółowe kroki opisane w poniższych sekcjach:

Dodawanie organizacji

Wykonaj następujące kroki, aby skonfigurować dostosowane ustawienia dla określonych organizacji.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

  2. Przejdź do pozycji Tożsamość>Tożsamości zewnętrzne tożsamości Między dzierżawami>ustawienia dostępu, a następnie wybierz pozycję Ustawienia organizacyjne.

  3. Wybierz pozycję Dodaj organizację.

  4. W okienku Dodawanie organizacji wpisz pełną nazwę domeny (lub identyfikator dzierżawy) dla organizacji.

    Zrzut ekranu przedstawiający dodawanie organizacji.

  5. Wybierz organizację w wynikach wyszukiwania, a następnie wybierz pozycję Dodaj.

  6. Organizacja zostanie wyświetlona na liście Ustawienia organizacyjne. W tym momencie wszystkie ustawienia dostępu dla tej organizacji są dziedziczone z ustawień domyślnych. Aby zmienić ustawienia dla tej organizacji, wybierz link Dziedziczony od domyślnego w kolumnie Dostęp przychodzący lub Dostęp wychodzący.

    Zrzut ekranu przedstawiający organizację dodaną z ustawieniami domyślnymi.

  7. Zmodyfikuj ustawienia organizacji, wykonując szczegółowe kroki opisane w poniższych sekcjach:

Modyfikowanie ustawień dostępu przychodzącego

W przypadku ustawień ruchu przychodzącego można wybrać, którzy zewnętrzni użytkownicy i grupy mogą uzyskiwać dostęp do wybranych aplikacji wewnętrznych. Niezależnie od tego, czy konfigurujesz ustawienia domyślne, czy ustawienia specyficzne dla organizacji, kroki zmiany ustawień dostępu przychodzącego między dzierżawami są takie same. Zgodnie z opisem w tej sekcji przejdź do karty Domyślne lub organizacji na karcie Ustawienia organizacyjne, a następnie wprowadź zmiany.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

  2. Przejdź do pozycji Identity External Identities Cross-tenant access settings (Tożsamości zewnętrzne tożsamości między dzierżawami) settings (Ustawienia> dostępu między dzierżawami).>

  3. Przejdź do ustawień, które chcesz zmodyfikować:

    • Ustawienia domyślne: Aby zmodyfikować domyślne ustawienia ruchu przychodzącego, wybierz kartę Ustawienia domyślne , a następnie w obszarze Ustawienia dostępu przychodzącego wybierz pozycję Edytuj wartości domyślne dla ruchu przychodzącego.
    • Ustawienia organizacyjne: aby zmodyfikować ustawienia dla określonej organizacji, wybierz kartę Ustawienia organizacyjne, znajdź organizację na liście (lub dodaj ją), a następnie wybierz link w kolumnie Dostęp przychodzący.

  4. Postępuj zgodnie ze szczegółowymi instrukcjami dotyczącymi ustawień ruchu przychodzącego, które chcesz zmienić:

Uwaga

Jeśli korzystasz z natywnych funkcji udostępniania w programach Microsoft SharePoint i Microsoft OneDrive z włączoną integracją z usługą Microsoft Entra B2B, musisz dodać domeny zewnętrzne do ustawień współpracy zewnętrznej. W przeciwnym razie zaproszenia z tych aplikacji mogą zakończyć się niepowodzeniem, nawet jeśli dzierżawa zewnętrzna została dodana w ustawieniach dostępu między dzierżawami.

Aby zmienić ustawienia współpracy B2B dla ruchu przychodzącego

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

  2. Przejdź do ustawień tożsamości>zewnętrznych tożsamości między dzierżawami>, a następnie wybierz pozycję Ustawienia organizacyjne

  3. Wybierz link w kolumnie Dostęp przychodzący i kartę Współpraca B2B.

  4. Jeśli konfigurujesz ustawienia dostępu przychodzącego dla określonej organizacji, wybierz opcję:

    • Ustawienia domyślne: wybierz tę opcję, jeśli chcesz, aby organizacja korzystała z domyślnych ustawień ruchu przychodzącego (zgodnie z konfiguracją na karcie Ustawienia domyślne ). Jeśli niestandardowe ustawienia zostały już skonfigurowane dla tej organizacji, musisz wybrać pozycję Tak , aby potwierdzić, że wszystkie ustawienia mają zostać zastąpione przez ustawienia domyślne. Następnie wybierz pozycję Zapisz i pomiń pozostałe kroki opisane w tej procedurze.

    • Dostosuj ustawienia: wybierz tę opcję, jeśli chcesz dostosować ustawienia do wymuszania dla tej organizacji zamiast ustawień domyślnych. Wykonaj pozostałe kroki opisane w tej procedurze.

  5. Wybierz pozycję Zewnętrzni użytkownicy i grupy.

  6. W obszarze Stan dostępu wybierz jedną z następujących pozycji:

    • Zezwalaj na dostęp: umożliwia użytkownikom i grupom określonym w obszarze Dotyczy zaproszenia do współpracy B2B.
    • Blokuj dostęp: blokuje użytkowników i grupy określone w obszarze Dotyczy od zapraszania do współpracy B2B.

    Zrzut ekranu przedstawiający wybieranie stanu dostępu użytkownika do współpracy B2B.

  7. W obszarze Dotyczy wybierz jedną z następujących pozycji:

    • Wszyscy użytkownicy zewnętrzni i grupy: stosuje akcję wybraną w obszarze Stan dostępu do wszystkich użytkowników i grup zewnętrznych organizacji firmy Microsoft Entra.
    • Wybierz użytkowników zewnętrznych i grupy (wymaga subskrypcji Microsoft Entra ID P1 lub P2): Umożliwia zastosowanie akcji wybranej w obszarze Stan dostępu do określonych użytkowników i grup w organizacji zewnętrznej.

    Uwaga

    Jeśli zablokujesz dostęp dla wszystkich użytkowników zewnętrznych i grup, musisz również zablokować dostęp do wszystkich aplikacji wewnętrznych (na karcie Aplikacje ).

    Zrzut ekranu przedstawiający wybieranie docelowych użytkowników i grup.

  8. W przypadku wybrania opcji Wybierz zewnętrznych użytkowników i grup wykonaj następujące czynności dla każdego użytkownika lub grupy, którą chcesz dodać:

    • Wybierz pozycję Dodaj zewnętrznych użytkowników i grupy.
    • W okienku Dodawanie innych użytkowników i grup w polu wyszukiwania wpisz identyfikator obiektu użytkownika lub identyfikator obiektu grupy uzyskany z organizacji partnerskiej.
    • W menu obok pola wyszukiwania wybierz użytkownika lub grupę.
    • Wybierz Dodaj.

    Uwaga

    Nie można kierować użytkowników ani grup do ustawień domyślnych dla ruchu przychodzącego.

    Zrzut ekranu przedstawiający dodawanie użytkowników i grup.

  9. Po zakończeniu dodawania użytkowników i grup wybierz pozycję Prześlij.

    Zrzut ekranu przedstawiający przesyłanie użytkowników i grup.

  10. Wybierz kartę Aplikacje .

  11. W obszarze Stan dostępu wybierz jedną z następujących pozycji:

    • Zezwalaj na dostęp: umożliwia aplikacjom określonym w obszarze Dotyczy dostęp użytkowników współpracy B2B.
    • Blokuj dostęp: blokuje aplikacje określone w obszarze Dotyczy dostępu użytkowników współpracy B2B.

    Zrzut ekranu przedstawiający stan dostępu do aplikacji.

  12. W obszarze Dotyczy wybierz jedną z następujących pozycji:

    • Wszystkie aplikacje: stosuje akcję wybraną w obszarze Stan dostępu do wszystkich aplikacji.
    • Wybierz aplikacje (wymaga subskrypcji Microsoft Entra ID P1 lub P2): Umożliwia zastosowanie akcji wybranej w obszarze Stan dostępu do określonych aplikacji w organizacji.

    Uwaga

    Jeśli zablokujesz dostęp do wszystkich aplikacji, musisz również zablokować dostęp dla wszystkich użytkowników zewnętrznych i grup (na karcie Użytkownicy zewnętrzni i grupy ).

    Zrzut ekranu przedstawiający aplikacje docelowe.

  13. W przypadku wybrania pozycji Wybierz aplikacje wykonaj następujące czynności dla każdej aplikacji, którą chcesz dodać:

    • Wybierz pozycję Dodaj aplikacje firmy Microsoft lub Dodaj inne aplikacje.
    • W okienku Wybierz wpisz nazwę aplikacji lub identyfikator aplikacji ( identyfikator aplikacji klienckiej lub identyfikator aplikacji zasobu) w polu wyszukiwania. Następnie wybierz aplikację w wynikach wyszukiwania. Powtórz dla każdej aplikacji, którą chcesz dodać.
    • Po zakończeniu wybierania aplikacji wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający wybieranie aplikacji.

  14. Wybierz pozycję Zapisz.

Zagadnienia dotyczące zezwalania na aplikacje firmy Microsoft

Jeśli chcesz skonfigurować ustawienia dostępu między dzierżawami, aby zezwolić tylko na wyznaczony zestaw aplikacji, rozważ dodanie aplikacji firmy Microsoft przedstawionych w poniższej tabeli. Jeśli na przykład skonfigurujesz listę dozwolonych i zezwolisz tylko na usługę SharePoint Online, użytkownik nie będzie mógł uzyskać dostępu do Moje aplikacje lub zarejestrować się w celu uwierzytelniania wieloskładnikowego w dzierżawie zasobów. Aby zapewnić bezproblemowe środowisko użytkownika końcowego, uwzględnij następujące aplikacje w ustawieniach współpracy dla ruchu przychodzącego i wychodzącego.

Aplikacja Identyfikator zasobu Dostępne w portalu Szczegóły
Moje aplikacje 2793995e-0a7d-40d7-bd35-6968ba142197 Tak Domyślna strona docelowa po zrealizowanym zaproszeniu. Definiuje dostęp do myapplications.microsoft.comelementu .
Microsoft App Panel dostępu 0000000c-0000-0000-c000-00000000000000000 Nie. Używane w niektórych późnych wywołaniach podczas ładowania niektórych stron w obszarze Moje logowania. Na przykład blok Informacje zabezpieczające lub przełącznik Organizacji.
Mój Profil 8c59ead7-d703-4a27-9e55-c96a0054c8d2 Tak Definiuje dostęp do myaccount.microsoft.com pozycji Moje grupy i Moje portale dostępu. Niektóre karty w obszarze Mój profil wymagają innych aplikacji wymienionych tutaj, aby działały.
Moje logowania 19db86c3-b2b9-44cc-b339-36da233a3be2 Nie. Definiuje dostęp do dołączania mysignins.microsoft.com dostępu do informacji zabezpieczających. Zezwalaj na tę aplikację, jeśli chcesz, aby użytkownicy rejestrowali się i używali usługi MFA w dzierżawie zasobów (na przykład uwierzytelnianie wieloskładnikowe nie jest zaufane w dzierżawie głównej).

Niektóre aplikacje z poprzedniej tabeli nie zezwalają na wybór z centrum administracyjnego firmy Microsoft Entra. Aby je zezwolić, dodaj je przy użyciu interfejsu API programu Microsoft Graph, jak pokazano w poniższym przykładzie:

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

Uwaga

Pamiętaj, aby uwzględnić wszystkie dodatkowe aplikacje, które mają być dozwolone w żądaniu PATCH, ponieważ spowoduje to zastąpienie wszystkich wcześniej skonfigurowanych aplikacji. Aplikacje, które są już skonfigurowane, można pobrać ręcznie z portalu lub uruchamiając żądanie GET w zasadach partnera. Na przykład GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>

Uwaga

Aplikacje dodane za pośrednictwem interfejsu API programu Microsoft Graph, które nie są mapujące na aplikację dostępną w centrum administracyjnym firmy Microsoft Entra, będą wyświetlane jako identyfikator aplikacji.

Nie można dodać aplikacji Portale administracyjne firmy Microsoft do ustawień dostępu przychodzącego i wychodzącego między dzierżawami w centrum administracyjnym firmy Microsoft Entra. Aby zezwolić na dostęp zewnętrzny do portali administracyjnych firmy Microsoft, użyj interfejsu API programu Microsoft Graph, aby indywidualnie dodać następujące aplikacje należące do grupy aplikacji Portale administracyjne firmy Microsoft:

  • Azure Portal (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Microsoft Entra admin center (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Portal usługi Microsoft 365 Defender (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Centrum administracyjne usługi Microsoft Intune (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Microsoft Purview Compliance Portal (80ccca67-54bd-44ab-8625-4b79c4dc7775)

Konfigurowanie zamówienia realizacji

Aby dostosować kolejność dostawców tożsamości, których użytkownicy-goście mogą używać do logowania się po zaakceptowaniu zaproszenia, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń. Następnie otwórz usługę Identity po lewej stronie.

  2. Wybierz pozycję Tożsamości>zewnętrzne Ustawienia dostępu między dzierżawami.

  3. Na karcie Ustawienia domyślne w obszarze Ustawienia dostępu przychodzącego wybierz pozycję Edytuj wartości domyślne dla ruchu przychodzącego.

  4. Na karcie Współpraca B2B wybierz kartę Zamówienie realizacji.

  5. Przenieś dostawców tożsamości w górę lub w dół, aby zmienić kolejność, w jakiej użytkownicy-goście mogą się zalogować po zaakceptowaniu zaproszenia. Możesz również zresetować zamówienie realizacji do ustawień domyślnych tutaj.

    Zrzut ekranu przedstawiający kartę Zamówienie realizacji.

  6. Wybierz pozycję Zapisz.

Możesz również dostosować zamówienie realizacji za pomocą interfejsu API programu Microsoft Graph.

  1. Otwórz Eksploratora programu Microsoft Graph.

  2. Zaloguj się jako co najmniej administrator zabezpieczeń w dzierżawie zasobów.

  3. Uruchom następujące zapytanie, aby uzyskać bieżące zamówienie realizacji:

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
  1. W tym przykładzie przeniesiemy federację SAML/WS-Fed IdP na początku zamówienia realizacji powyżej dostawcy tożsamości Firmy Microsoft Entra. Popraw ten sam identyfikator URI przy użyciu tej treści żądania:
{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}

  1. Aby sprawdzić, czy zmiany ponownie uruchom zapytanie GET.

  2. Aby zresetować zamówienie realizacji do ustawień domyślnych, uruchom następujące zapytanie:

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

Federacja SAML/WS-Fed (federacja bezpośrednia) dla domen zweryfikowanych przez identyfikator entra firmy Microsoft

Teraz możesz dodać domenę zweryfikowaną przez entra ID firmy Microsoft, aby skonfigurować bezpośrednią relację federacji. Najpierw należy skonfigurować konfigurację federacji bezpośredniej w centrum administracyjnym lub za pośrednictwem interfejsu API. Upewnij się, że domena nie została zweryfikowana w tej samej dzierżawie. Po skonfigurowaniu konfiguracji można dostosować zamówienie realizacji. Dostawca tożsamości SAML/WS-Fed jest dodawany do zamówienia wykupu jako ostatni wpis. Możesz przenieść go w górę w zamówieniu realizacji, aby ustawić go powyżej dostawcy tożsamości Firmy Microsoft Entra.

Uniemożliwianie użytkownikom B2B realizacji zaproszenia przy użyciu kont Microsoft

Aby uniemożliwić użytkownikom-gościom B2B realizowanie zaproszenia przy użyciu istniejących kont Microsoft lub utworzenie nowego w celu zaakceptowania zaproszenia, wykonaj poniższe kroki.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń. Następnie otwórz usługę Identity po lewej stronie.

  2. Wybierz pozycję Tożsamości>zewnętrzne Ustawienia dostępu między dzierżawami.

  3. W obszarze Ustawienia organizacyjne wybierz link w kolumnie Dostęp przychodzący i kartę Współpraca B2B.

  4. Wybierz kartę Zamówienie realizacji.

  5. W obszarze Rezerwowi dostawcy tożsamości wyłącz konto usługi Microsoft (MSA).

    Zrzut ekranu przedstawiający opcję rezerwowych dostawców tożsamości.

  6. Wybierz pozycję Zapisz.

W danym momencie musi być włączony co najmniej jeden rezerwowy dostawca tożsamości. Jeśli chcesz wyłączyć konta Microsoft, musisz włączyć jednorazowy kod dostępu poczty e-mail. Nie można wyłączyć obu rezerwowych dostawców tożsamości. Wszyscy istniejący użytkownicy-goście zalogowani przy użyciu kont Microsoft nadal korzystają z niego podczas kolejnych logów. Aby to ustawienie było stosowane, należy zresetować ich stan realizacji.

Aby zmienić ustawienia zaufania dla ruchu przychodzącego dla uwierzytelniania wieloskładnikowego i oświadczeń urządzeń

  1. Wybierz kartę Ustawienia zaufania.

  2. (Ten krok dotyczy Tylko ustawienia organizacyjne). Jeśli konfigurujesz ustawienia dla organizacji, wybierz jedną z następujących opcji:

    • Ustawienia domyślne: Organizacja używa ustawień skonfigurowanych na karcie Ustawienia domyślne . Jeśli niestandardowe ustawienia zostały już skonfigurowane dla tej organizacji, wybierz pozycję Tak , aby potwierdzić, że wszystkie ustawienia mają zostać zastąpione przez ustawienia domyślne. Następnie wybierz pozycję Zapisz i pomiń pozostałe kroki opisane w tej procedurze.

    • Dostosuj ustawienia: możesz dostosować ustawienia, aby wymusić dla tej organizacji zamiast ustawień domyślnych. Wykonaj pozostałe kroki opisane w tej procedurze.

  3. Wybierz co najmniej jedną z następujących opcji:

    • Ufaj uwierzytelnianiu wieloskładnikowemu z dzierżaw firmy Microsoft Entra: zaznacz to pole wyboru, aby zezwolić zasadom dostępu warunkowego na zaufanie oświadczeń uwierzytelniania wieloskładnikowego z organizacji zewnętrznych. Podczas uwierzytelniania identyfikator Entra firmy Microsoft sprawdza poświadczenia użytkownika pod kątem oświadczenia, że użytkownik ukończył uwierzytelnianie wieloskładnikowe. Jeśli nie, wyzwanie uwierzytelniania wieloskładnikowego jest inicjowane w dzierżawie głównej użytkownika. To ustawienie nie jest stosowane, jeśli użytkownik zewnętrzny loguje się przy użyciu szczegółowych delegowanych uprawnień administratora (GDAP), takich jak używany przez technika w dostawcy usług w chmurze, który zarządza usługami w dzierżawie. Gdy użytkownik zewnętrzny loguje się przy użyciu usługi GDAP, uwierzytelnianie wieloskładnikowe jest zawsze wymagane w dzierżawie głównej użytkownika i zawsze zaufane w dzierżawie zasobów. Rejestracja uwierzytelniania wieloskładnikowego użytkownika GDAP nie jest obsługiwana poza dzierżawą domową użytkownika. Jeśli Twoja organizacja musi nie zezwalać na dostęp do techników dostawcy usług w oparciu o uwierzytelnianie wieloskładnikowe w dzierżawie macierzystej użytkownika, możesz usunąć relację GDAP w Centrum administracyjne platformy Microsoft 365.

    • Urządzenia zgodne ze zgodnością zaufania: umożliwia zasadom dostępu warunkowego zaufanie oświadczeń zgodnych urządzeń z organizacji zewnętrznej, gdy ich użytkownicy uzyskują dostęp do zasobów.

    • Ufaj urządzeniom dołączonym hybrydowym firmy Microsoft Entra: umożliwia zasadom dostępu warunkowego zaufanie oświadczeń urządzeń dołączonych hybrydą firmy Microsoft Entra z organizacji zewnętrznej, gdy ich użytkownicy uzyskują dostęp do zasobów.

    Zrzut ekranu przedstawiający ustawienia zaufania.

  4. (Ten krok dotyczy Tylko ustawienia organizacyjne). Zapoznaj się z opcją Automatycznego realizacji :

    • Automatyczne realizowanie zaproszeń w dzierżawie> dzierżawy<: sprawdź to ustawienie, jeśli chcesz automatycznie zrealizować zaproszenia. Jeśli tak, użytkownicy z określonej dzierżawy nie będą musieli akceptować monitu o wyrażenie zgody przy pierwszym uzyskiwaniu dostępu do tej dzierżawy przy użyciu synchronizacji między dzierżawami, współpracy B2B lub bezpośredniego połączenia B2B. To ustawienie pomija tylko monit o wyrażenie zgody, jeśli określona dzierżawa sprawdza również to ustawienie dla dostępu wychodzącego.

    Zrzut ekranu przedstawiający pole wyboru Automatycznego realizacji dla ruchu przychodzącego.

  5. Wybierz pozycję Zapisz.

Zezwalaj użytkownikom na synchronizację z tą dzierżawą

W przypadku wybrania opcji Dostęp przychodzący do dodanej organizacji zostanie wyświetlona karta Synchronizacja między dzierżawami i pole wyboru Zezwalaj użytkownikom na synchronizację z tą dzierżawą . Synchronizacja między dzierżawami to jednokierunkowa usługa synchronizacji w usłudze Microsoft Entra ID, która automatyzuje tworzenie, aktualizowanie i usuwanie użytkowników współpracy B2B między dzierżawami w organizacji. Aby uzyskać więcej informacji, zobacz Konfigurowanie synchronizacji między dzierżawami i dokumentacji organizacji wielodostępnych.

Zrzut ekranu przedstawiający kartę Synchronizacja między dzierżawami z polem wyboru Zezwalaj użytkownikom na synchronizację z tą dzierżawą.

Modyfikowanie ustawień dostępu wychodzącego

W przypadku ustawień ruchu wychodzącego możesz wybrać, którzy użytkownicy i grupy będą mogli uzyskiwać dostęp do wybranych aplikacji zewnętrznych. Niezależnie od tego, czy konfigurujesz ustawienia domyślne, czy ustawienia specyficzne dla organizacji, kroki zmiany ustawień dostępu między dzierżawami dla ruchu wychodzącego są takie same. Zgodnie z opisem w tej sekcji przejdź do karty Domyślne lub organizacji na karcie Ustawienia organizacyjne, a następnie wprowadź zmiany.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

  2. Przejdź do pozycji Identity External Identities Cross-tenant access settings (Tożsamości zewnętrzne tożsamości między dzierżawami) settings (Ustawienia> dostępu między dzierżawami).>

  3. Przejdź do ustawień, które chcesz zmodyfikować:

    • Aby zmodyfikować domyślne ustawienia ruchu wychodzącego, wybierz kartę Ustawienia domyślne, a następnie w obszarze Ustawienia dostępu wychodzącego wybierz pozycję Edytuj wartości domyślne dla ruchu wychodzącego.

    • Aby zmodyfikować ustawienia dla określonej organizacji, wybierz kartę Ustawienia organizacyjne, znajdź organizację na liście (lub dodaj ją), a następnie wybierz link w kolumnie Dostęp wychodzący.

  4. Wybierz kartę Współpraca B2B.

  5. (Ten krok dotyczy Tylko ustawienia organizacyjne). Jeśli konfigurujesz ustawienia dla organizacji, wybierz opcję:

    • Ustawienia domyślne: Organizacja używa ustawień skonfigurowanych na karcie Ustawienia domyślne . Jeśli niestandardowe ustawienia zostały już skonfigurowane dla tej organizacji, musisz wybrać pozycję Tak , aby potwierdzić, że wszystkie ustawienia mają zostać zastąpione przez ustawienia domyślne. Następnie wybierz pozycję Zapisz i pomiń pozostałe kroki opisane w tej procedurze.

    • Dostosuj ustawienia: możesz dostosować ustawienia, aby wymusić dla tej organizacji zamiast ustawień domyślnych. Wykonaj pozostałe kroki opisane w tej procedurze.

  6. Wybierz pozycję Użytkownicy i grupy.

  7. W obszarze Stan dostępu wybierz jedną z następujących pozycji:

    • Zezwalaj na dostęp: umożliwia użytkownikom i grupom określonym w obszarze Dotyczy zapraszania do organizacji zewnętrznych na potrzeby współpracy B2B.
    • Blokuj dostęp: blokuje użytkowników i grupy określone w obszarze Dotyczy zaproszenia do współpracy B2B. Jeśli zablokujesz dostęp dla wszystkich użytkowników i grup, spowoduje to również zablokowanie dostępu do wszystkich aplikacji zewnętrznych za pośrednictwem współpracy B2B.

    Zrzut ekranu przedstawiający stan dostępu użytkowników i grup na potrzeby współpracy b2b.

  8. W obszarze Dotyczy wybierz jedną z następujących pozycji:

    • Wszyscy <użytkownicy organizacji>: stosuje akcję wybraną w obszarze Stan dostępu do wszystkich użytkowników i grup.
    • Wybierz <użytkowników i grupy organizacji> (wymaga subskrypcji Microsoft Entra ID P1 lub P2): Umożliwia zastosowanie akcji wybranej w obszarze Stan dostępu do określonych użytkowników i grup.

    Uwaga

    Jeśli zablokujesz dostęp dla wszystkich użytkowników i grup, musisz również zablokować dostęp do wszystkich aplikacji zewnętrznych (na karcie Aplikacje zewnętrzne).

    Zrzut ekranu przedstawiający wybieranie użytkowników docelowych na potrzeby współpracy b2b.

  9. W przypadku wybrania opcji Wybierz <użytkowników i grupy organizacji> wykonaj następujące czynności dla każdego użytkownika lub grupy, którą chcesz dodać:

    • Wybierz pozycję Dodaj <użytkowników i grupy organizacji>.
    • W okienku Wybierz wpisz nazwę użytkownika lub nazwę grupy w polu wyszukiwania.
    • Wybierz użytkownika lub grupę w wynikach wyszukiwania.
    • Po zakończeniu wybierania użytkowników i grup, które chcesz dodać, wybierz pozycję Wybierz.

    Uwaga

    W przypadku określania docelowych użytkowników i grup nie będzie można wybrać użytkowników, którzy skonfigurowali uwierzytelnianie oparte na wiadomościACH SMS. Dzieje się tak, ponieważ użytkownicy, którzy mają "poświadczenia federacyjne" w obiekcie użytkownika, są blokowani, aby uniemożliwić użytkownikom zewnętrznym dodawanie do ustawień dostępu wychodzącego. Aby obejść ten problem, możesz użyć interfejsu API programu Microsoft Graph, aby dodać identyfikator obiektu użytkownika bezpośrednio lub określić grupę, do której należy użytkownik.

  10. Wybierz kartę Aplikacje zewnętrzne.

  11. W obszarze Stan dostępu wybierz jedną z następujących pozycji:

    • Zezwalaj na dostęp: zezwala na dostęp do aplikacji zewnętrznych określonych w obszarze Dotyczy, do których użytkownicy uzyskują dostęp za pośrednictwem współpracy B2B.
    • Blokuj dostęp: blokuje aplikacje zewnętrzne określone w obszarze Dotyczy dostępu użytkowników za pośrednictwem współpracy B2B.

    Zrzut ekranu przedstawiający stan dostępu aplikacji do współpracy b2b.

  12. W obszarze Dotyczy wybierz jedną z następujących pozycji:

    • Wszystkie aplikacje zewnętrzne: stosuje akcję wybraną w obszarze Stan dostępu do wszystkich aplikacji zewnętrznych.
    • Wybierz aplikacje zewnętrzne: stosuje akcję wybraną w obszarze Stan dostępu do wszystkich aplikacji zewnętrznych.

    Uwaga

    Jeśli zablokujesz dostęp do wszystkich aplikacji zewnętrznych, musisz również zablokować dostęp dla wszystkich użytkowników i grup (na karcie Użytkownicy i grupy ).

    Zrzut ekranu przedstawiający cele aplikacji na potrzeby współpracy b2b.

  13. W przypadku wybrania pozycji Wybierz aplikacje zewnętrzne wykonaj następujące czynności dla każdej aplikacji, którą chcesz dodać:

    • Wybierz pozycję Dodaj aplikacje firmy Microsoft lub Dodaj inne aplikacje.
    • W polu wyszukiwania wpisz nazwę aplikacji lub identyfikator aplikacji ( identyfikator aplikacji klienckiej lub identyfikator aplikacji zasobu). Następnie wybierz aplikację w wynikach wyszukiwania. Powtórz dla każdej aplikacji, którą chcesz dodać.
    • Po zakończeniu wybierania aplikacji wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający wybieranie aplikacji do współpracy b2b.

  14. Wybierz pozycję Zapisz.

Aby zmienić ustawienia zaufania ruchu wychodzącego

(Ta sekcja ma zastosowanie do Tylko ustawienia organizacyjne).

  1. Wybierz kartę Ustawienia zaufania.

  2. Zapoznaj się z opcją Automatycznego realizacji :

    • Automatyczne realizowanie zaproszeń w dzierżawie> dzierżawy<: sprawdź to ustawienie, jeśli chcesz automatycznie zrealizować zaproszenia. Jeśli tak, użytkownicy z tej dzierżawy nie muszą akceptować monitu o wyrażenie zgody przy pierwszym uzyskiwaniu dostępu do określonej dzierżawy przy użyciu synchronizacji między dzierżawami, współpracy B2B lub bezpośredniego połączenia B2B. To ustawienie pomija tylko monit o wyrażenie zgody, jeśli określona dzierżawa sprawdza również to ustawienie dla dostępu przychodzącego.

      Zrzut ekranu przedstawiający pole wyboru automatycznego realizacji dla ruchu wychodzącego.

  3. Wybierz pozycję Zapisz.

Usuwanie organizacji

Po usunięciu organizacji z ustawień organizacyjnych domyślne ustawienia dostępu między dzierżawami będą obowiązywać dla tej organizacji.

Uwaga

Jeśli organizacja jest dostawcą usług w chmurze dla Twojej organizacji (właściwość isServiceProvider w konfiguracji specyficznej dla partnera programu Microsoft Graph jest prawdziwa), nie będzie można usunąć organizacji.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

  2. Przejdź do pozycji Identity External Identities Cross-tenant access settings (Tożsamości zewnętrzne tożsamości między dzierżawami) settings (Ustawienia> dostępu między dzierżawami).>

  3. Wybierz kartę Ustawienia organizacyjne.

  4. Znajdź organizację na liście, a następnie wybierz ikonę kosza w tym wierszu.

Powiązana zawartość