Compartilhar via

Visão geral: acesso entre locatários com a ID externa do Microsoft Entra

  • Artigo

Aplica-se a: Círculo verde com um símbolo de marca de seleção branco. locatários da força de trabalho Círculo branco com um símbolo X cinza. locatários externos (saiba mais)

As organizações do Microsoft Entra podem usar as configurações de acesso entre locatários de ID externa para gerenciar a colaboração com outras organizações do Microsoft Entra e outras nuvens do Microsoft Azure por meio da colaboração B2B e da conexão direta de B2B. As configurações de acesso entre locatários fornecem controle granular sobre o acesso de entrada e saída, permitindo que você confie na MFA (autenticação multifator) e nas declarações do dispositivo de outras organizações.

Este artigo aborda as configurações de acesso entre locatários para gerenciar a colaboração B2B e a conexão direta de B2B com as organizações externas do Microsoft Entra, incluindo por meio de nuvens da Microsoft. Outras configurações estão disponíveis para a colaboração B2B com identidades que não sejam do Microsoft Entra (por exemplo, identidades sociais ou contas externas não gerenciadas por TI). Essas configurações de colaboração externa incluem opções para restringir o acesso de usuários convidados, especificar quem pode enviar convites e permitir ou bloquear domínios.

Não há limites para o número de organizações que você pode adicionar nas configurações de acesso entre locatários.

Gerenciar o acesso externo com as configurações de entrada e de saída

As configurações de acesso entre locatários de identidades externas gerenciam a colaboração com outras organizações do Microsoft Entra. Essas configurações determinam o nível de acesso de entrada que os usuários nas organizações externas do Microsoft Entra têm nos seus recursos, bem como o nível de acesso de saída que os usuários têm nas organizações externas.

O diagrama a seguir mostra as configurações de entrada e saída de acesso entre locatários. O locatário do recurso do Microsoft Entra é o locatário que contém os recursos que serão compartilhados. No caso da colaboração B2B, o locatário do recurso é o locatário que faz o convite (por exemplo, o locatário corporativo para o qual você deseja convidar os usuários externos). O locatário inicial do Microsoft Entra do usuário é o locatário em que os usuários externos são gerenciados.

Diagrama de visão geral das configurações de acesso entre locatários.

Por padrão, a colaboração B2B com outras organizações do Microsoft Entra é habilitada e a conexão direta de B2B é bloqueada. Mas as seguintes configurações abrangentes de administrador permitem que você gerencie esses dois recursos.

  • As configurações de acesso de saída controlam se os usuários podem acessar recursos em uma organização externa. É possível aplicar essas configurações a todos ou especificar usuários, grupos e aplicativos individuais.

  • As configurações de acesso de entrada controlam se os usuários de organizações externas do Microsoft Entra podem acessar recursos em sua organização. É possível aplicar essas configurações a todos ou especificar usuários, grupos e aplicativos individuais.

  • As configurações de confiança (entrada) determinam se suas políticas de acesso condicional confiarão na MFA (autenticação multifator), no dispositivo em conformidade e nas declarações dos dispositivos híbridos ingressados no Microsoft Entra de uma organização externa se os usuários já atenderam a esses requisitos em seus locatários iniciais. Por exemplo, quando você define suas configurações de confiança para confiar na MFA, suas políticas de MFA ainda são aplicadas a usuários externos, mas os usuários que já concluíram a MFA em seus locatários iniciais não terão que concluir a MFA novamente em seu locatário.

Configurações padrão

As configurações de acesso entre locatários padrão se aplicam a todas as organizações do Microsoft Entra externas ao seu locatário, exceto aquelas para as quais você definiu as configurações organizacionais. É possível alterar as configurações padrão, mas as configurações padrão iniciais para colaboração B2B e conexão direta de B2B são as seguinte:

  • Colaboração B2B: todos os usuários internos estão habilitados para colaboração B2B por padrão. Com essa configuração, os usuários podem convidar agentes externos para acessar seus recursos e ser convidados para organizações externas. As declarações do dispositivo e MFA de outras organizações do Microsoft Entra não são confiáveis.

  • Conexão direta de B2B: nenhuma relação de confiança de conexão direta de B2B é estabelecida por padrão. O Microsoft Entra ID bloqueia todas as funcionalidades de conexão direta de B2B de entrada e saída para todos os locatários externos do Microsoft Entra.

  • Configurações organizacionais: nenhuma organização é adicionada às configurações organizacionais por padrão. Todas as organizações externas do Microsoft Entra estão habilitadas para colaboração B2B com sua organização.

  • Sincronização entre locatários: nenhum usuário de outros locatários é sincronizado em seu locatário com a sincronização entre locatários.

Essas configurações padrão se aplicam à colaboração B2B com outros locatários do Microsoft Entra na mesma nuvem do Microsoft Azure. Em cenários entre nuvens, as configurações padrão funcionam de maneira um pouco diferente. Confira as configurações de nuvem da Microsoft mais adiante neste artigo.

Configurações organizacionais

É possível definir configurações específicas da organização adicionando uma organização e modificando as configurações de entrada e saída para essa organização. As configurações organizacionais têm precedência sobre as configurações padrão.

  • Colaboração B2B: use as configurações de acesso entre locatários para gerenciar a colaboração B2B de entrada e de saída e o acesso ao escopo para usuários, grupos e aplicativos específicos. Defina uma configuração padrão que se aplica a todas as organizações externas e crie configurações individuais específicas da organização, conforme necessário. Usando as configurações de acesso entre locatários, você também pode confiar em declarações do dispositivo (declarações em conformidade e declarações de ingresso híbrido no Microsoft Entra) e da MFA (multifator) de outras organizações do Microsoft Entra.

    Dica

    Recomendamos excluir usuários externos da política de registro com MFA da Microsoft Entra ID Protection, se você pretende confiar em MFA para usuários externos. Quando ambas as políticas estiverem presentes, os usuários externos não poderão atender aos requisitos de acesso.

  • Conexão direta de B2B: para conexão direta de B2B, use as configurações organizacionais para configurar uma relação de confiança mútua com outra organização do Microsoft Entra. Tanto a sua organização quanto a organização externa precisam habilitar mutuamente a conexão direta de B2B definindo configurações de acesso entre locatários de entrada e de saída.

  • Use as Configurações de colaboração externa para limitar quem pode convidar usuários externos, permitir ou bloquear domínios específicos de B2B e definir restrições de acesso de usuário convidado ao seu diretório.

Configuração de resgate automático

A configuração de resgate automático é uma configuração de confiança organizacional de entrada e de saída para resgatar automaticamente convites para que os usuários não precisem aceitar o prompt de consentimento na primeira vez que acessarem o locatário de recurso/destino. Essa configuração é uma caixa de seleção com o seguinte nome:

  • Resgatar convites automaticamente com o locatário<locatário>

Captura de tela que mostra a caixa de seleção do Resgate automático de entrada.

Comparar configurações para cenários diferentes

A configuração de resgate automático se aplica à sincronização entre locatários, à colaboração B2B e à conexão direta de B2B nas seguintes situações:

  • Quando os usuários são criados em um locatário de destino usando a sincronização entre locatários.
  • Quando os usuários são adicionados a um locatário de recurso usando a colaboração B2B.
  • Quando os usuários acessam recursos em um locatário de recurso usando a conexão direta de B2B.

A tabela abaixo mostra como essa configuração se compara quando habilitada para esses cenários:

Item Sincronização entre locatários Colaboração B2B Conexão direta B2B
Configuração de resgate automático Obrigatório Opcional Opcional
Os usuários recebem um email de convite de colaboração B2B Não Não N/A
Os usuários precisam aceitar um prompt de consentimento Não Não Não
Os usuários recebem um email de notificação da colaboração B2B Não Sim N/A

Essa configuração não afeta as experiências de consentimento do aplicativo. Para obter mais informações, confira Experiência de consentimento para aplicativos no Microsoft Entra ID. Essa configuração não é compatível nas organizações em diferentes ambientes de nuvem da Microsoft, como Azure comercial e Azure Governamental.

A configuração de resgate automático suprimirá a solicitação de consentimento e o email de convite apenas se o locatário de origem/inicial (saída) e o locatário de recurso/destino (entrada) marcarem essa configuração.

Diagrama que mostra a configuração de resgate automático para saída e entrada.

A tabela a seguir mostra o comportamento da solicitação de consentimento para usuários do locatário de origem quando a configuração de resgate automático estiver marcada para diferentes combinações de configurações de acesso entre locatários.

Locatário de origem/inicial Locatário de recurso/destino Comportamento do prompt de consentimento
para usuários do locatário de origem
Saída Entrada
Ícone de marca de seleção. Ícone de marca de seleção. Suprimido
Ícone de marca de seleção. Ícone de marca de seleção desmarcada. Não suprimido
Ícone de marca de seleção desmarcada. Ícone de marca de seleção. Não suprimido
Ícone de marca de seleção desmarcada. Ícone de marca de seleção desmarcada. Não suprimido
Entrada Saída
Ícone de marca de seleção. Ícone de marca de seleção. Não suprimido
Ícone de marca de seleção. Ícone de marca de seleção desmarcada. Não suprimido
Ícone de marca de seleção desmarcada. Ícone de marca de seleção. Não suprimido
Ícone de marca de seleção desmarcada. Ícone de marca de seleção desmarcada. Não suprimido

Para definir essa configuração usando o Microsoft Graph, consulte a API Update crossTenantAccessPolicyConfigurationPartner. Para obter informações sobre como criar sua própria experiência de integração, confira Gerenciador de convites de colaboração B2B.

Para obter mais informações, confira Configurar a sincronização entre locatários, Configurar o acesso entre locatários para colaboração B2B e Configurar o acesso entre locatários para conexão direta de B2B.

Resgate configurável

Com o resgate configurável, você pode personalizar a ordem dos provedores de identidade com os quais os usuários convidados podem iniciar a sessão quando aceitarem o convite. Você pode habilitar o recurso e especificar a ordem de resgate na guia Ordem de resgate.

Captura de tela que mostra a guia Ordem de resgate.

Quando um usuário convidado seleciona o link Aceitar convite em um email de convite, o Microsoft Entra ID resgata o convite automaticamente conforme a ordem de resgate padrão. Quando você altera a ordem do provedor de identidade na nova guia Ordem de resgate, a nova ordem substitui a ordem de resgate padrão.

Você encontra provedores de identidade primários e provedores de identidade de fallback na guia Ordem de resgate.

Os provedores de identidade primários são os que têm federações com outras fontes de autenticação. Os provedores de identidade de fallback são usados quando um usuário não corresponde a um provedor de identidade primário.

Os provedores de identidade de fallback podem ser MSA (conta Microsoft), senha de uso único de email ou ambos. Você não pode desabilitar ambos os provedores de identidade de fallback, mas pode desabilitar todos os provedores de identidade primários e usar apenas provedores de identidade de fallback para opções de resgate.

Ao usar esse recurso, considere as seguintes limitações conhecidas:

  • Se um usuário do Microsoft Entra ID que tem uma sessão de logon único (SSO) existente estiver autenticando usando a senha de uso único (OTP) de email, ele precisará escolher Usar outra conta e inserir novamente seu nome de usuário para acionar o fluxo OTP. Caso contrário, o usuário receberá um erro indicando que a sua conta não existe no locatário do recurso.

  • Quando um usuário tem o mesmo e-mail no Microsoft Entra ID e nas contas Microsoft, ele é solicitado a escolher entre usar o Microsoft Entra ID ou a conta Microsoft, mesmo depois que o administrador desabilita a conta Microsoft como método de resgate. Escolher a conta Microsoft como uma opção de resgate é permitido, mesmo se o método estiver desabilitado.

Federação direta para domínios verificados do Microsoft Entra ID

A federação do provedor de identidade SAML/WS-Fed (federação direta) agora é suportada para domínios verificados do Microsoft Entra ID. Esse recurso permite que você configure uma federação direta com um provedor de identidade externo para um domínio verificado no Microsoft Entra.

Anotação

Verifique se o domínio não está verificado no mesmo locatário no qual você está tentando configurar a federação direta. Depois de configurar uma federação direta, você pode configurar a preferência de resgate do locatário e mover o provedor de identidade SAML/WS-Fed pelo Microsoft Entra ID por meio das novas configurações de acesso entre locatários de resgate configurável.

Quando o usuário convidado resgatar o convite, ele verá uma tela de consentimento tradicional e, em seguida, será redirecionado para a página Meus Aplicativos. No locatário do recurso, o perfil desse usuário de federação direta mostra que o convite foi resgatado com sucesso, com a federação externa listada como o emissor.

Captura de tela do provedor de federação direta em identidades do usuário.

Impedir que os usuários B2B resgatem um convite usando contas Microsoft

Agora você pode impedir que os usuários convidados B2B usem contas Microsoft para resgatar convites. Em vez disso, eles usam uma senha de uso único enviada para seu email como o provedor de identidade de fallback. Eles não têm permissão para usar uma conta Microsoft existente para resgatar convites, nem são solicitados a criar uma nova. Você pode habilitar esse recurso nas configurações de ordem de resgate desativando as contas Microsoft nas opções do provedor de identidade de fallback.

Captura de tela da opção provedores de identidade de fallback.

Você sempre deve ter pelo menos um provedor de identidade de fallback ativo. Portanto, se você decidir desabilitar as contas Microsoft, precisará habilitar a opção de senha de uso único de email. Os usuários convidados existentes que já iniciarem a sessão com contas Microsoft continuam a fazê-lo para inícios de sessão futuros. Para aplicar as novas configurações, você precisa redefinir o status de resgate.

Configuração da sincronização entre locatários

A configuração da sincronização entre locatários é uma configuração organizacional somente de entrada para permitir que o administrador de um locatário de origem sincronize os usuários em um locatário de destino. Essa configuração é uma caixa de seleção com o nome Permitir que os usuários sincronizem com esse locatário especificada no locatário de destino. Ela não afeta convites B2B criados por meio de outros processos, como convite manual ou gerenciamento de direitos do Microsoft Entra.

Captura de tela que mostra a guia Sincronização entre locatários, com a caixa de seleção Permitir sincronização de usuários para este locatário.

Para definir essa configuração usando o Microsoft Graph, consulte a API Atualizar crossTenantIdentitySyncPolicyPartner. Para obter mais informações, consulte Configurar a sincronização entre locatários.

Restrições de locatário

Com as configurações de Restrições de locatário, você pode controlar os tipos de contas externas que os usuários podem usar nos dispositivos gerenciados, incluindo:

  • Contas que os usuários criaram em locatários desconhecidos.
  • Contas que organizações externas deram aos usuários para que possam acessar os recursos dessa organização.

É recomendável configurar suas restrições de locatário para não permitir esses tipos de contas externas e usar a colaboração B2B. A colaboração B2B permite:

  • Usar o Acesso condicional e impor a autenticação multifator para usuários de colaboração B2B.
  • Gerenciar acesso de entrada e saída.
  • Encerrar sessões e credenciais quando o status do emprego de um usuário de colaboração B2B mudar ou suas credenciais forem violadas.
  • Use logs de início de sessão para exibir detalhes sobre o usuário de colaboração B2B.

As restrições de locatário são independentes de outras configurações de acesso entre locatários, portanto, qualquer configuração de entrada, saída ou confiança que você definiu não afetará as restrições de locatário. Para obter detalhes sobre como configurar restrições de locatário, confira Configurar restrições de locatário V2.

Configurações de nuvem da Microsoft

As configurações de nuvem da Microsoft permitem que você colabore com organizações de diferentes nuvens do Microsoft Azure. Com as configurações de nuvem da Microsoft, você pode estabelecer a colaboração B2B mútua entre as seguintes nuvens:

  • Nuvem comercial do Microsoft Azure e Microsoft Azure Governamental, que inclui as nuvens do Office GCC-High e DoD
  • Nuvem comercial do Microsoft Azure e Microsoft Azure operado pela 21Vianet (operado pela 21Vianet)

Anotação

A conexão direta de B2B não é suportada para a colaboração com locatários do Microsoft Entra em uma nuvem diferente da Microsoft.

Para obter mais informações, confira o artigo Configurar a Microsoft Cloud para colaboração B2B.

Considerações importantes

Importante

A alteração das configurações padrão de entrada ou de saída para bloquear o acesso pode bloquear o acesso comercialmente crítico existente aos aplicativos na sua organização ou em organizações parceiras. Use as ferramentas descritas neste artigo e consulte os stakeholders de negócios para identificar o acesso exigido.

  • Para definir as configurações de acesso entre locatários no portal do Azure, você precisará ter uma conta com pelo menos um Administrador da segurança ou uma função personalizada definida por você.

  • Para definir configurações de confiança ou aplicar configurações de acesso a usuários, grupos ou aplicativos específicos, você precisará de uma licença do Microsoft Entra ID P1. A licença é exigida no locatário configurado por você. Para conexão direta de B2B, em que é exigida uma relação de confiança mútua com outra organização do Microsoft Entra, uma licença do Microsoft Entra ID P1 é necessária em ambos os locatários.

  • As configurações de acesso entre locatários são usadas para gerenciar a colaboração B2B e a conexão direta de B2B com outras organizações do Microsoft Entra. Para colaboração B2B com identidades que não sejam do Microsoft Entra (por exemplo, identidades sociais ou contas externas não gerenciadas por TI), use configurações de colaboração externa. As configurações de colaboração externa incluem opções de colaboração B2B para restringir o acesso do usuário convidado, especificar quem pode enviar convites e permitir ou bloquear domínios.

  • Caso deseje aplicar as configurações de acesso a usuários, grupos ou aplicativos específicos em uma organização externa, entre em contato com a organização para obter informações antes de definir as configurações. Obtenha as IDs de objeto de usuário, as IDs de objeto de grupo ou as IDs do aplicativo (IDs do aplicativo cliente ou IDs do aplicativo de recurso) para que você possa direcionar as configurações corretamente.

    Dica

    É possível encontrar as IDs de aplicativos em organizações externas verificando os logs de início de sessão. Confira a seção Identificar credenciais de entrada e saída.

  • As configurações de acesso que você define para usuários e grupos devem corresponder às configurações de acesso para aplicativos. Configurações conflitantes não são permitidas e você verá mensagens de aviso se tentar configurá-las.

    • Exemplo 1: se você bloquear o acesso de entrada para todos os usuários e grupos externos, o acesso a todos os aplicativos também deverá ser bloqueado.

    • Exemplo 2: se permitir o acesso de saída de todos os usuários (ou de usuários/grupos específicos), será impedido que você bloqueie todo o acesso a aplicativos externos; o acesso a pelo menos um aplicativo deve ser permitido.

  • Se quiser permitir a conexão direta de B2B com uma organização externa e as suas políticas de acesso condicional exigirem MFA, configure as definições de confiança para aceitar reclamações de MFA da organização externa.

  • Se você bloquear o acesso a todos os aplicativos por padrão, os usuários não conseguirão ler e-mails criptografados com o Microsoft Rights Management Service, também conhecido como criptografia de mensagens do Office 365 (OME). Para evitar esse issue, recomendamos definir as configurações de saída para permitir que os usuários acessem esta ID do aplicativo: 00000012-0000-0000-c000-000000000000. Se você permitir apenas esse aplicativo, o acesso a todos os outros aplicativos será bloqueado por padrão.

Funções personalizadas para gerenciar configurações de acesso entre locatários

Você pode criar funções personalizadas para gerenciar as configurações de acesso entre locatários. Saiba mais sobre funções personalizadas aqui.

Proteger ações administrativas de acesso entre locatários

Todas as ações que modificam as configurações de acesso entre locatários são consideradas ações protegidas e podem ser protegidas adicionalmente com políticas de acesso condicional. Para obter mais informações e etapas de configuração, confira ações protegidas.

Identificar as credenciais de entrada e saída

Várias ferramentas estão disponíveis para ajudar você a identificar o acesso de que os usuários e parceiros precisam antes de definir as configurações de acesso de entrada e saída. Para garantir que você não remova o acesso de que os usuários e parceiros precisam, examine o comportamento atual de início de sessão. A etapa preliminar ajudará a evitar a perda de acesso desejado para os usuários finais e os usuários parceiros. No entanto, em alguns casos, esses logs são retidos apenas por 30 dias, portanto, é recomendável que você fale com seus stakeholders de negócios para garantir que o acesso exigido não seja perdido.

Ferramenta Método
Script do PowerShell de atividade de início de sessão entre locatários Para revisar a atividade de início de sessão de usuários associados a organizações externas, utilize o script do PowerShell de atividade de início de sessão do usuário entre locatários do MSIdentityTools.
Script do PowerShell de logs de início de sessão Para determinar o acesso dos usuários a organizações externas do Microsoft Entra, use o cmdlet Get-MgAuditLogSignIn.
Azure Monitor Se sua organização assinar o serviço Azure Monitor, use a pasta de trabalho de atividade de acesso entre locatários.
Sistemas de SIEM (gerenciamento de eventos e informações de segurança) Se a sua organização exportar logs de início de sessão para um sistema SIEM (gerenciamento de eventos e informações de segurança), você poderá recuperar as informações exigidas do sistema SIEM.

Identificar alterações nas configurações de acesso entre locatários

Os logs de auditoria do Microsoft Entra capturam todas as atividades relacionadas às atividades e às alterações de configuração de acesso entre locatários. Para auditar as alterações nas configurações de acesso entre locatários, use a categoria de CrossTenantAccessSettings para filtrar todas as atividades e mostrar as alterações nas configurações de acesso entre locatários.

Captura de tela dos logs de auditoria para as configurações de acesso entre locatários.

Próximas etapas

Configurar o acesso entre locatários para a colaboração B2B

Configurar o acesso entre locatários para conexão direta de B2B