Konfigurowanie bezpośredniego połączenia B2B z organizacją zewnętrzną
Dotyczy: Dzierżawcy siły roboczej — dzierżawcy zewnętrzni (dowiedz się więcej)
Ustawienia dostępu między dzierżawami umożliwiają zarządzanie sposobem współpracy z innymi organizacjami firmy Microsoft Entra za pośrednictwem połączenia bezpośredniego B2B. Te ustawienia umożliwiają określenie poziomu dostępu wychodzącego użytkowników do organizacji zewnętrznych. Umożliwiają one również kontrolowanie poziomu dostępu przychodzącego, który użytkownicy w zewnętrznych organizacjach firmy Microsoft Entra muszą mieć do zasobów wewnętrznych.
Ustawienia domyślne: domyślne ustawienia dostępu między dzierżawami mają zastosowanie do wszystkich zewnętrznych organizacji firmy Microsoft Entra, z wyjątkiem organizacji, dla których konfigurujesz poszczególne ustawienia. Możesz zmienić te ustawienia domyślne. W przypadku bezpośredniego połączenia B2B zazwyczaj pozostaw ustawienia domyślne zgodnie z rzeczywistym użyciem i włącz bezpośredni dostęp B2B z ustawieniami specyficznymi dla organizacji. Początkowo wartości domyślne są następujące:
- Domyślne ustawienia początkowe połączenia bezpośredniego B2B — domyślnie bezpośrednie połączenie B2B dla całej dzierżawy jest blokowane, a bezpośrednie połączenie B2B dla wszystkich zewnętrznych organizacji firmy Microsoft Entra jest blokowane.
- Ustawienia organizacyjne — domyślnie nie są dodawane żadne organizacje.
Ustawienia specyficzne dla organizacji: można skonfigurować ustawienia specyficzne dla organizacji, dodając organizację i modyfikując ustawienia ruchu przychodzącego i wychodzącego dla tej organizacji. Ustawienia organizacyjne mają pierwszeństwo przed ustawieniami domyślnymi.
Dowiedz się więcej o korzystaniu z ustawień dostępu między dzierżawami w celu zarządzania połączeniem bezpośrednim B2B.
Ważne
Firma Microsoft zaczyna przenosić klientów przy użyciu ustawień dostępu między dzierżawami do nowego modelu magazynu 30 sierpnia 2023 r. Możesz zauważyć wpis w dziennikach inspekcji informujący o tym, że ustawienia dostępu między dzierżawami zostały zaktualizowane w miarę migrowania ustawień przez nasze automatyczne zadanie. W przypadku krótkiego okna podczas procesów migracji nie będzie można wprowadzać zmian w ustawieniach. Jeśli nie możesz wprowadzić zmiany, poczekaj chwilę i spróbuj ponownie wprowadzić zmianę. Po zakończeniu migracji nie będzie już ograniczona do 25 kb miejsca do magazynowania i nie będzie więcej limitów liczby partnerów, które można dodać.
Zanim rozpoczniesz
- Przed skonfigurowaniem ustawień dostępu między dzierżawami zapoznaj się z sekcją Ważne zagadnienia w przeglądzie dostępu między dzierżawami.
- Zdecyduj o domyślnym poziomie dostępu, który chcesz zastosować do wszystkich zewnętrznych organizacji firmy Microsoft Entra.
- Zidentyfikuj wszystkie organizacje firmy Microsoft Entra, które wymagają dostosowanych ustawień.
- Skontaktuj się z organizacjami, za pomocą których chcesz skonfigurować bezpośrednie połączenie B2B. Ponieważ bezpośrednie połączenie B2B jest ustanawiane za pośrednictwem wzajemnego zaufania, zarówno Ty, jak i druga organizacja muszą włączyć bezpośrednie połączenie B2B ze sobą w ustawieniach dostępu między dzierżawami.
- Uzyskaj wszelkie wymagane informacje od organizacji zewnętrznych. Jeśli chcesz zastosować ustawienia dostępu do określonych użytkowników, grup lub aplikacji w organizacji zewnętrznej, musisz uzyskać te identyfikatory z organizacji przed skonfigurowaniem ustawień dostępu.
- Aby skonfigurować ustawienia dostępu między dzierżawami w centrum administracyjnym firmy Microsoft Entra, potrzebujesz konta z co najmniej rolą Administratora zabezpieczeń. Administratorzy usługi Teams mogą odczytywać ustawienia dostępu między dzierżawami, ale nie mogą aktualizować tych ustawień.
Konfiguruj ustawienia domyślne
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Domyślne ustawienia dostępu między dzierżawami mają zastosowanie do wszystkich organizacji zewnętrznych, dla których nie utworzono dostosowanych ustawień specyficznych dla organizacji. Jeśli chcesz zmodyfikować ustawienia domyślne podane przez identyfikator entra firmy Microsoft, wykonaj następujące kroki.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
Przejdź do pozycji Identity External Identities Cross-tenant access settings (Tożsamości zewnętrzne tożsamości między dzierżawami) settings (Ustawienia> dostępu między dzierżawami).>
Wybierz kartę Ustawienia domyślne i przejrzyj stronę podsumowania.
Aby zmienić ustawienia, wybierz link Edytuj wartości domyślne dla ruchu przychodzącego lub link Edytuj wartości domyślne dla ruchu wychodzącego .
Zmodyfikuj ustawienia domyślne, wykonując szczegółowe kroki opisane w poniższych sekcjach:
Dodawanie organizacji
Wykonaj następujące kroki, aby skonfigurować dostosowane ustawienia dla określonych organizacji.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
Przejdź do pozycji Identity External Identities Cross-tenant access settings (Tożsamości zewnętrzne tożsamości między dzierżawami) settings (Ustawienia> dostępu między dzierżawami).>
Wybierz pozycję Ustawienia organizacyjne.
Wybierz pozycję Dodaj organizację.
W okienku Dodawanie organizacji wpisz pełną nazwę domeny (lub identyfikator dzierżawy) dla organizacji.
Wybierz organizację w wynikach wyszukiwania, a następnie wybierz pozycję Dodaj.
Organizacja zostanie wyświetlona na liście Ustawienia organizacyjne. W tym momencie wszystkie ustawienia dostępu dla tej organizacji są dziedziczone z ustawień domyślnych. Aby zmienić ustawienia dla tej organizacji, wybierz link Dziedziczony od domyślnego w kolumnie Dostęp przychodzący lub Dostęp wychodzący.
Zmodyfikuj ustawienia organizacji, wykonując szczegółowe kroki opisane w poniższych sekcjach:
Modyfikowanie ustawień dostępu przychodzącego
W przypadku ustawień ruchu przychodzącego wybierasz, którzy zewnętrzni użytkownicy i grupy mogą uzyskiwać dostęp do wybranych aplikacji wewnętrznych. Niezależnie od tego, czy konfigurujesz ustawienia domyślne, czy ustawienia specyficzne dla organizacji, kroki zmiany ustawień dostępu przychodzącego między dzierżawami są takie same. Zgodnie z opisem w tej sekcji przejdź do karty Domyślne lub organizacji na karcie Ustawienia organizacyjne, a następnie wprowadź zmiany.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
Przejdź do pozycji Identity External Identities Cross-tenant access settings (Tożsamości zewnętrzne tożsamości między dzierżawami) settings (Ustawienia> dostępu między dzierżawami).>
Przejdź do ustawień, które chcesz zmodyfikować:
- Aby zmodyfikować domyślne ustawienia ruchu przychodzącego, wybierz kartę Ustawienia domyślne , a następnie w obszarze Ustawienia dostępu przychodzącego wybierz pozycję Edytuj wartości domyślne dla ruchu przychodzącego.
- Aby zmodyfikować ustawienia dla określonej organizacji, wybierz kartę Ustawienia organizacyjne, znajdź organizację na liście (lub dodaj ją), a następnie wybierz link w kolumnie Dostęp przychodzący.
Postępuj zgodnie ze szczegółowymi instrukcjami dotyczącymi ustawień, które chcesz zmienić:
Aby zmienić ustawienia połączenia bezpośredniego B2B dla ruchu przychodzącego
Wybierz kartę Połączenie bezpośrednie B2B
Jeśli konfigurujesz ustawienia dla organizacji, wybierz jedną z następujących opcji:
Ustawienia domyślne: Organizacja używa ustawień skonfigurowanych na karcie Ustawienia domyślne . Jeśli niestandardowe ustawienia zostały już skonfigurowane dla tej organizacji, musisz wybrać pozycję Tak , aby potwierdzić, że wszystkie ustawienia mają zostać zastąpione przez ustawienia domyślne. Następnie wybierz pozycję Zapisz i pomiń pozostałe kroki opisane w tej procedurze.
Dostosuj ustawienia: możesz dostosować ustawienia, aby wymusić dla tej organizacji zamiast ustawień domyślnych. Wykonaj pozostałe kroki opisane w tej procedurze.
Wybierz pozycję Zewnętrzni użytkownicy i grupy.
W obszarze Stan dostępu wybierz jedną z następujących opcji:
- Zezwalaj na dostęp: umożliwia użytkownikom i grupom określonym w obszarze Dotyczy dostępu do bezpośredniego połączenia B2B.
- Blokuj dostęp: blokuje użytkowników i grupy określone w obszarze Dotyczy dostępu do bezpośredniego połączenia B2B. Blokowanie dostępu dla wszystkich użytkowników zewnętrznych i grup blokuje również udostępnianie wszystkich aplikacji wewnętrznych za pośrednictwem bezpośredniego połączenia B2B.
W obszarze Dotyczy wybierz jedną z następujących pozycji:
- Wszyscy użytkownicy zewnętrzni i grupy: stosuje akcję wybraną w obszarze Stan dostępu do wszystkich użytkowników i grup zewnętrznych organizacji firmy Microsoft Entra.
- Wybierz użytkowników zewnętrznych i grupy: umożliwia zastosowanie akcji wybranej w obszarze Stan dostępu do określonych użytkowników i grup w organizacji zewnętrznej. Licencja Microsoft Entra ID P1 jest wymagana w skonfigurowanej dzierżawie.
W przypadku wybrania opcji Wybierz zewnętrznych użytkowników i grup wykonaj następujące czynności dla każdego użytkownika lub grupy, którą chcesz dodać:
- Wybierz pozycję Dodaj zewnętrznych użytkowników i grupy.
- W okienku Dodawanie innych użytkowników i grup wpisz identyfikator obiektu użytkownika lub identyfikator obiektu grupy w polu wyszukiwania.
- W menu obok pola wyszukiwania wybierz użytkownika lub grupę.
- Wybierz Dodaj.
Uwaga
Nie można kierować użytkowników lub grup do ustawień domyślnych dla ruchu przychodzącego.
Po zakończeniu dodawania użytkowników i grup wybierz pozycję Prześlij.
Wybierz kartę Aplikacje .
W obszarze Stan dostępu wybierz jedną z następujących pozycji:
- Zezwalaj na dostęp: zezwala aplikacjom określonym w obszarze Dotyczy , aby uzyskiwać dostęp do użytkowników połączenia bezpośredniego B2B.
- Blokuj dostęp: Blokuje dostęp do aplikacji określonych w obszarze Dotyczy dostępu przez użytkowników połączenia bezpośredniego B2B.
W obszarze Dotyczy wybierz jedną z następujących pozycji:
- Wszystkie aplikacje: stosuje akcję wybraną w obszarze Stan dostępu do wszystkich aplikacji.
- Wybierz aplikacje (wymaga subskrypcji Microsoft Entra ID P1 lub P2): Umożliwia zastosowanie akcji wybranej w obszarze Stan dostępu do określonych aplikacji w organizacji.
W przypadku wybrania pozycji Wybierz aplikacje wykonaj następujące czynności dla każdej aplikacji, którą chcesz dodać:
- Wybierz pozycję Dodaj aplikacje firmy Microsoft.
- W okienku aplikacje wpisz nazwę aplikacji w polu wyszukiwania i wybierz aplikację w wynikach wyszukiwania.
- Po zakończeniu wybierania aplikacji wybierz pozycję Wybierz.
Wybierz pozycję Zapisz.
Aby zmienić ustawienia zaufania dla ruchu przychodzącego dla uwierzytelniania wieloskładnikowego i stanu urządzenia
Wybierz kartę Ustawienia zaufania.
Jeśli konfigurujesz ustawienia dla organizacji, wybierz jedną z następujących opcji:
Ustawienia domyślne: Organizacja używa ustawień skonfigurowanych na karcie Ustawienia domyślne . Jeśli niestandardowe ustawienia zostały już skonfigurowane dla tej organizacji, musisz wybrać pozycję Tak , aby potwierdzić, że wszystkie ustawienia mają zostać zastąpione przez ustawienia domyślne. Następnie wybierz pozycję Zapisz i pomiń pozostałe kroki opisane w tej procedurze.
Dostosuj ustawienia: możesz dostosować ustawienia, aby wymusić dla tej organizacji zamiast ustawień domyślnych. Wykonaj pozostałe kroki opisane w tej procedurze.
Wybierz co najmniej jedną z następujących opcji:
Ufaj uwierzytelnianiu wieloskładnikowemu z dzierżaw firmy Microsoft: zaznacz to pole wyboru, jeśli zasady dostępu warunkowego wymagają uwierzytelniania wieloskładnikowego (MFA). To ustawienie umożliwia zasadom dostępu warunkowego zaufanie oświadczeń uwierzytelniania wieloskładnikowego z organizacji zewnętrznych. Podczas uwierzytelniania identyfikator Entra firmy Microsoft sprawdza poświadczenia użytkownika pod kątem oświadczenia, że użytkownik ukończył uwierzytelnianie wieloskładnikowe. Jeśli nie, wyzwanie uwierzytelniania wieloskładnikowego jest inicjowane w dzierżawie głównej użytkownika.
Urządzenia zgodne ze zgodnością zaufania: umożliwia zasadom dostępu warunkowego zaufanie oświadczeń zgodnych urządzeń z organizacji zewnętrznej, gdy ich użytkownicy uzyskują dostęp do zasobów.
Ufaj urządzeniom dołączonym hybrydowym firmy Microsoft Entra: umożliwia zasadom dostępu warunkowego zaufanie oświadczeń urządzeń dołączonych hybrydą firmy Microsoft Entra z organizacji zewnętrznej, gdy ich użytkownicy uzyskują dostęp do zasobów.
(Ten krok dotyczy Tylko ustawienia organizacyjne). Zapoznaj się z opcją Automatycznego realizacji :
- Automatyczne realizowanie zaproszeń w dzierżawie> dzierżawy<: sprawdź to ustawienie, jeśli chcesz automatycznie zrealizować zaproszenia. Jeśli tak, użytkownicy z określonej dzierżawy nie będą musieli akceptować monitu o wyrażenie zgody przy pierwszym uzyskiwaniu dostępu do tej dzierżawy przy użyciu synchronizacji między dzierżawami, współpracy B2B lub bezpośredniego połączenia B2B. To ustawienie pomija tylko monit o wyrażenie zgody, jeśli określona dzierżawa sprawdza również to ustawienie dla dostępu wychodzącego.
Wybierz pozycję Zapisz.
Uwaga
Podczas konfigurowania ustawień dla organizacji zauważysz kartę Synchronizacja między dzierżawami. Ta karta nie ma zastosowania do konfiguracji połączenia bezpośredniego B2B. Zamiast tego ta funkcja jest używana przez organizacje z wieloma dzierżawami, aby umożliwić współpracę B2B w swoich dzierżawach. Aby uzyskać więcej informacji, zobacz dokumentację organizacji z wieloma dzierżawami.
Modyfikowanie ustawień dostępu wychodzącego
W przypadku ustawień ruchu wychodzącego możesz wybrać, którzy użytkownicy i grupy będą mogli uzyskiwać dostęp do wybranych aplikacji zewnętrznych. Szczegółowe kroki modyfikowania ustawień dostępu między dzierżawami dla ruchu wychodzącego są takie same, niezależnie od tego, czy konfigurujesz ustawienia domyślne, czy specyficzne dla organizacji. Zgodnie z opisem w tej sekcji przejdź do karty Domyślne lub organizacji na karcie Ustawienia organizacyjne, a następnie wprowadź zmiany.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
Przejdź do pozycji Identity External Identities Cross-tenant access settings (Tożsamości zewnętrzne tożsamości między dzierżawami) settings (Ustawienia> dostępu między dzierżawami).>
Przejdź do ustawień, które chcesz zmodyfikować:
Aby zmodyfikować domyślne ustawienia ruchu wychodzącego, wybierz kartę Ustawienia domyślne, a następnie w obszarze Ustawienia dostępu wychodzącego wybierz pozycję Edytuj wartości domyślne dla ruchu wychodzącego.
Aby zmodyfikować ustawienia dla określonej organizacji, wybierz kartę Ustawienia organizacyjne, znajdź organizację na liście (lub dodaj ją), a następnie wybierz link w kolumnie Dostęp wychodzący.
Aby zmienić ustawienia dostępu wychodzącego
Wybierz kartę Połączenie bezpośrednie B2B.
Jeśli konfigurujesz ustawienia dla organizacji, wybierz jedną z następujących opcji:
Ustawienia domyślne: Organizacja używa ustawień skonfigurowanych na karcie Ustawienia domyślne . Jeśli niestandardowe ustawienia zostały już skonfigurowane dla tej organizacji, musisz wybrać pozycję Tak , aby potwierdzić, że wszystkie ustawienia mają zostać zastąpione przez ustawienia domyślne. Następnie wybierz pozycję Zapisz i pomiń pozostałe kroki opisane w tej procedurze.
Dostosuj ustawienia: możesz dostosować ustawienia dla tej organizacji, które będą wymuszane dla tej organizacji zamiast ustawień domyślnych. Wykonaj pozostałe kroki opisane w tej procedurze.
Wybierz pozycję Użytkownicy i grupy.
W obszarze Stan dostępu wybierz jedną z następujących pozycji:
- Zezwalaj na dostęp: umożliwia użytkownikom i grupom określonym w obszarze Dotyczy dostępu do bezpośredniego połączenia B2B.
- Blokuj dostęp: blokuje użytkowników i grupy określone w obszarze Dotyczy dostępu do bezpośredniego połączenia B2B. Blokowanie dostępu dla wszystkich użytkowników i grup blokuje również udostępnianie wszystkich aplikacji zewnętrznych za pośrednictwem bezpośredniego połączenia B2B.
W obszarze Dotyczy wybierz jedną z następujących pozycji:
- Wszyscy <użytkownicy organizacji>: stosuje akcję wybraną w obszarze Stan dostępu do wszystkich użytkowników i grup.
- Wybierz <użytkowników i grupy organizacji> (wymaga subskrypcji Microsoft Entra ID P1 lub P2): Umożliwia zastosowanie akcji wybranej w obszarze Stan dostępu do określonych użytkowników i grup.
W przypadku wybrania opcji Wybierz <użytkowników i grupy organizacji> wykonaj następujące czynności dla każdego użytkownika lub grupy, którą chcesz dodać:
- Wybierz pozycję Dodaj <użytkowników i grupy organizacji>.
- W okienku Wybierz wpisz nazwę użytkownika lub nazwę grupy w polu wyszukiwania.
- Po zakończeniu wybierania użytkowników i grup wybierz pozycję Wybierz.
Uwaga
W przypadku określania docelowych użytkowników i grup nie będzie można wybrać użytkowników, którzy skonfigurowali uwierzytelnianie oparte na wiadomościACH SMS. Dzieje się tak, ponieważ użytkownicy, którzy mają "poświadczenia federacyjne" w obiekcie użytkownika, są blokowani, aby uniemożliwić użytkownikom zewnętrznym dodawanie do ustawień dostępu wychodzącego. Aby obejść ten problem, możesz użyć interfejsu API programu Microsoft Graph, aby dodać identyfikator obiektu użytkownika bezpośrednio lub określić grupę, do której należy użytkownik.
Wybierz pozycję Zapisz.
Wybierz kartę Aplikacje zewnętrzne.
W obszarze Stan dostępu wybierz jedną z następujących pozycji:
- Zezwalaj na dostęp: zezwala aplikacjom określonym w obszarze Dotyczy , aby uzyskiwać dostęp do użytkowników połączenia bezpośredniego B2B.
- Blokuj dostęp: Blokuje dostęp do aplikacji określonych w obszarze Dotyczy dostępu przez użytkowników połączenia bezpośredniego B2B.
W obszarze Dotyczy wybierz jedną z następujących pozycji:
- Wszystkie aplikacje zewnętrzne: stosuje akcję wybraną w obszarze Stan dostępu do wszystkich aplikacji zewnętrznych.
- Wybierz aplikacje (wymaga subskrypcji Microsoft Entra ID P1 lub P2): Umożliwia zastosowanie akcji wybranej w obszarze Stan dostępu do określonych aplikacji zewnętrznych.
W przypadku wybrania pozycji Wybierz aplikacje zewnętrzne wykonaj następujące czynności dla każdej aplikacji, którą chcesz dodać:
- Wybierz pozycję Dodaj aplikacje firmy Microsoft lub Dodaj inne aplikacje.
- W okienku aplikacje wpisz nazwę aplikacji w polu wyszukiwania i wybierz aplikację w wynikach wyszukiwania.
- Po zakończeniu wybierania aplikacji wybierz pozycję Wybierz.
Wybierz pozycję Zapisz.
Aby zmienić ustawienia zaufania ruchu wychodzącego
(Ta sekcja ma zastosowanie do Tylko ustawienia organizacyjne).
Wybierz kartę Ustawienia zaufania.
Zapoznaj się z opcją Automatycznego realizacji :
- Automatyczne realizowanie zaproszeń w dzierżawie> dzierżawy<: sprawdź to ustawienie, jeśli chcesz automatycznie zrealizować zaproszenia. Jeśli tak, użytkownicy z tej dzierżawy nie muszą akceptować monitu o wyrażenie zgody przy pierwszym uzyskiwaniu dostępu do określonej dzierżawy przy użyciu synchronizacji między dzierżawami, współpracy B2B lub bezpośredniego połączenia B2B. To ustawienie spowoduje pominięcie monitu o wyrażenie zgody tylko wtedy, gdy określona dzierżawa sprawdza to ustawienie dla dostępu przychodzącego.
Wybierz pozycję Zapisz.
Usuwanie organizacji
Po usunięciu organizacji z ustawień organizacyjnych domyślne ustawienia dostępu między dzierżawami będą obowiązywać dla tej organizacji.
Uwaga
Jeśli organizacja jest dostawcą usług w chmurze dla Twojej organizacji (właściwość isServiceProvider w konfiguracji specyficznej dla partnera programu Microsoft Graph jest prawdziwa), nie będzie można usunąć organizacji.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
Przejdź do pozycji Identity External Identities Cross-tenant access settings (Tożsamości zewnętrzne tożsamości między dzierżawami) settings (Ustawienia> dostępu między dzierżawami).>
Wybierz kartę Ustawienia organizacyjne.
Znajdź organizację na liście, a następnie wybierz ikonę kosza w tym wierszu.
Następne kroki
Konfigurowanie ustawień dostępu między dzierżawami na potrzeby współpracy B2B