Editar

Partilhar via


Gerenciar configurações de acesso entre locatários para colaboração B2B

Aplica-se a:Círculo verde com um símbolo de marca de verificação branco. Locatários da força deCírculo branco com um símbolo X cinzento. trabalho Locatários externos (saiba mais)

Use as configurações de acesso entre locatários de Identidades Externas para gerenciar como você colabora com outras organizações do Microsoft Entra por meio da colaboração B2B. Essas configurações determinam o nível de acesso de entrada que os usuários em organizações externas do Microsoft Entra têm para seus recursos e o nível de acesso de saída que seus usuários têm para organizações externas. Eles também permitem que você confie na autenticação multifator (MFA) e nas declarações de dispositivo (declarações compatíveis e declarações unidas híbridas do Microsoft Entra) de outras organizações do Microsoft Entra. Para obter detalhes e considerações de planejamento, consulte Acesso entre locatários na ID externa do Microsoft Entra.

Colaboração entre nuvens: organizações parceiras em diferentes nuvens da Microsoft podem configurar a colaboração B2B entre si. Primeiro, ambas as organizações devem habilitar a colaboração entre si, conforme descrito em Configurar configurações de nuvem da Microsoft. Em seguida, cada organização pode, opcionalmente, modificar suas configurações de acesso de entrada e de saída, conforme descrito abaixo.

Importante

A Microsoft está começando a mover os clientes que usam configurações de acesso entre locatários para um novo modelo de armazenamento em 30 de agosto de 2023. Você pode notar uma entrada em seus logs de auditoria informando que suas configurações de acesso entre locatários foram atualizadas à medida que nossa tarefa automatizada migra suas configurações. Por uma breve janela durante os processos de migração, você não poderá fazer alterações em suas configurações. Se você não conseguir fazer uma alteração, você deve esperar alguns momentos e tentar a alteração novamente. Quando a migração for concluída, você não será mais limitado a 25 kb de espaço de armazenamento e não haverá mais limites para o número de parceiros que você pode adicionar.

Pré-requisitos

Atenção

Alterar as configurações padrão de entrada ou saída para Bloquear acesso pode bloquear o acesso crítico de negócios existente a aplicativos em sua organização ou organizações parceiras. Certifique-se de usar as ferramentas descritas em Acesso entre locatários na ID Externa do Microsoft Entra e consulte as partes interessadas da sua empresa para identificar o acesso necessário.

  • Revise a seção Considerações importantes na visão geral do acesso entre locatários antes de definir as configurações de acesso entre locatários.
  • Use as ferramentas e siga as recomendações em Identificar entradas de entrada e saída para entender quais organizações e recursos externos do Microsoft Entra os usuários estão acessando no momento.
  • Decida o nível de acesso padrão que deseja aplicar a todas as organizações externas do Microsoft Entra.
  • Identifique todas as organizações do Microsoft Entra que precisam de configurações personalizadas para que você possa definir as configurações organizacionais para elas.
  • Se desejar aplicar configurações de acesso a usuários, grupos ou aplicativos específicos em uma organização externa, entre em contato com a organização para obter informações antes de definir suas configurações. Obtenha suas IDs de objeto de usuário, IDs de objeto de grupo ou IDs de aplicativo (IDs de aplicativo cliente ou IDs de aplicativo de recurso) para que você possa direcionar suas configurações corretamente.
  • Se você quiser configurar a colaboração B2B com uma organização parceira em uma nuvem externa do Microsoft Azure, siga as etapas em Definir configurações de nuvem da Microsoft. Um administrador na organização parceira precisa fazer o mesmo pelo seu locatário.
  • As configurações de lista de permissão/bloqueio e acesso entre locatários são verificadas no momento do convite. Se o domínio de um usuário estiver na lista de permissões, ele poderá ser convidado, a menos que o domínio seja explicitamente bloqueado nas configurações de acesso entre locatários. Se o domínio de um usuário estiver na lista de bloqueio, ele não poderá ser convidado, independentemente das configurações de acesso entre locatários. Se um usuário não estiver em nenhuma das listas, verificaremos as configurações de acesso entre locatários para determinar se ele pode ser convidado.

Definir configurações padrão

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

As configurações padrão de acesso entre locatários aplicam-se a todas as organizações externas para as quais você não criou configurações personalizadas específicas da organização. Se pretender modificar as predefinições fornecidas pelo Microsoft Entra ID, siga estes passos.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

  2. Navegue até Configurações de acesso entre locatários de identidades>externas>de identidade e selecione Configurações de acesso entre locatários.

  3. Selecione a guia Configurações padrão e revise a página de resumo.

    Captura de ecrã a mostrar o separador Definições predefinidas das definições de acesso entre inquilinos.

  4. Para alterar as configurações, selecione o link Editar padrões de entrada ou o link Editar padrões de saída.

    Captura de tela mostrando botões de edição para Configurações padrão.

  5. Modifique as configurações padrão seguindo as etapas detalhadas nestas seções:

Adicionar uma organização

Siga estas etapas para definir configurações personalizadas para organizações específicas.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

  2. Navegue até Configurações>de acesso entre locatários de identidades>externas de identidade e selecione Configurações organizacionais.

  3. Selecione Adicionar organização.

  4. No painel Adicionar organização, digite o nome de domínio completo (ou ID do locatário) da organização.

    Captura de ecrã a mostrar a adição de uma organização.

  5. Selecione a organização nos resultados da pesquisa e, em seguida, selecione Adicionar.

  6. A organização aparece na lista Configurações organizacionais . Neste ponto, todas as configurações de acesso para esta organização são herdadas de suas configurações padrão. Para alterar as configurações desta organização, selecione o link Herdado do padrão na coluna Acesso de entrada ou Acesso de saída.

    Captura de tela mostrando uma organização adicionada com as configurações padrão.

  7. Modifique as configurações da organização seguindo as etapas detalhadas nestas seções:

Modificar as configurações de acesso de entrada

Com as configurações de entrada, você seleciona quais usuários e grupos externos podem acessar os aplicativos internos escolhidos. Quer esteja a definir definições predefinidas ou definições específicas da organização, os passos para alterar as definições de acesso entre inquilinos de entrada são os mesmos. Conforme descrito nesta seção, você navega até a guia Padrão ou uma organização na guia Configurações organizacionais e faz as alterações.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

  2. Navegue até Configurações de acesso entre locatários de identidades>externas.>

  3. Navegue até as configurações que deseja modificar:

    • Configurações padrão: para modificar as configurações de entrada padrão, selecione a guia Configurações padrão e, em Configurações de acesso de entrada, selecione Editar padrões de entrada.
    • Configurações organizacionais: para modificar as configurações de uma organização específica, selecione a guia Configurações organizacionais , localize a organização na lista (ou adicione uma) e selecione o link na coluna Acesso de entrada.
  4. Siga as etapas detalhadas para as configurações de entrada que você deseja alterar:

Nota

Se você estiver usando os recursos de compartilhamento nativos no Microsoft SharePoint e no Microsoft OneDrive com a integração B2B do Microsoft Entra habilitada, deverá adicionar os domínios externos às configurações de colaboração externa. Caso contrário, os convites desses aplicativos poderão falhar, mesmo que o locatário externo tenha sido adicionado nas configurações de acesso entre locatários.

Para alterar as configurações de colaboração B2B de entrada

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

  2. Navegue até Configurações de acesso entre locatários de identidades>externas>de identidades e selecione Configurações organizacionais

  3. Selecione o link na coluna Acesso de entrada e na guia Colaboração B2B.

  4. Se você estiver definindo as configurações de acesso de entrada para uma organização específica, selecione uma opção:

    • Configurações padrão: selecione esta opção se desejar que a organização use as configurações de entrada padrão (conforme configurado na guia Configurações padrão ). Se as configurações personalizadas já estiverem configuradas para esta organização, você precisará selecionar Sim para confirmar que deseja que todas as configurações sejam substituídas pelas configurações padrão. Em seguida, selecione Salvar e ignore o restante das etapas deste procedimento.

    • Personalizar configurações: selecione esta opção se quiser personalizar as configurações a serem impostas para esta organização em vez das configurações padrão. Continue com o restante das etapas deste procedimento.

  5. Selecione Usuários e grupos externos.

  6. Em Estado do acesso, selecione uma das seguintes opções:

    • Permitir acesso: Permite que os usuários e grupos especificados em Aplica-se sejam convidados para colaboração B2B.
    • Bloquear acesso: Impede que os usuários e grupos especificados em Aplica-se a sejam convidados para colaboração B2B.

    Captura de tela mostrando a seleção do status de acesso do usuário para colaboração B2B.

  7. Em Aplica-se a, selecione uma das seguintes opções:

    • Todos os usuários e grupos externos: aplica a ação escolhida em Status do acesso a todos os usuários e grupos de organizações externas do Microsoft Entra.
    • Selecionar usuários e grupos externos (requer uma assinatura do Microsoft Entra ID P1 ou P2): Permite aplicar a ação escolhida em Status do acesso a usuários e grupos específicos dentro da organização externa.

    Nota

    Se você bloquear o acesso de todos os usuários e grupos externos, também precisará bloquear o acesso a todos os seus aplicativos internos (na guia Aplicativos ).

    Captura de ecrã a mostrar a seleção dos utilizadores e grupos alvo.

  8. Se você escolher Selecionar usuários e grupos externos, faça o seguinte para cada usuário ou grupo que deseja adicionar:

    • Selecione Adicionar usuários e grupos externos.
    • No painel Adicionar outros usuários e grupos, na caixa de pesquisa, digite o ID do objeto de usuário ou o ID do objeto de grupo obtido da organização parceira.
    • No menu ao lado da caixa de pesquisa, escolha usuário ou grupo.
    • Selecione Adicionar.

    Nota

    Não é possível segmentar usuários ou grupos nas configurações padrão de entrada.

    Captura de ecrã a mostrar a adição de utilizadores e grupos.

  9. Quando terminar de adicionar usuários e grupos, selecione Enviar.

    Captura de tela mostrando o envio de usuários e grupos.

  10. Selecione a guia Aplicativos .

  11. Em Estado do acesso, selecione uma das seguintes opções:

    • Permitir acesso: Permite que os aplicativos especificados em Aplica-se sejam acessados por usuários de colaboração B2B.
    • Bloquear acesso: Impede que os aplicativos especificados em Aplica-se a sejam acessados por usuários de colaboração B2B.

    Captura de ecrã a mostrar o estado de acesso das aplicações.

  12. Em Aplica-se a, selecione uma das seguintes opções:

    • Todos os aplicativos: aplica a ação escolhida em Status de acesso a todos os seus aplicativos.
    • Selecionar aplicativos (requer uma assinatura do Microsoft Entra ID P1 ou P2): Permite aplicar a ação escolhida em Status do Access a aplicativos específicos em sua organização.

    Nota

    Se você bloquear o acesso a todos os aplicativos, também precisará bloquear o acesso de todos os usuários e grupos externos (na guia Usuários e grupos externos).

    Captura de tela mostrando aplicativos de destino.

  13. Se você escolher Selecionar aplicativos, faça o seguinte para cada aplicativo que deseja adicionar:

    • Selecione Adicionar aplicativos da Microsoft ou Adicionar outros aplicativos.
    • No painel Selecionar, digite o nome do aplicativo ou a ID do aplicativo (a ID do aplicativo cliente ou a ID do aplicativo de recurso) na caixa de pesquisa. Em seguida, selecione o aplicativo nos resultados da pesquisa. Repita para cada aplicativo que você deseja adicionar.
    • Quando terminar de selecionar aplicativos, escolha Selecionar.

    Captura de ecrã a mostrar a seleção de aplicações.

  14. Selecione Guardar.

Considerações para permitir aplicativos da Microsoft

Se você quiser definir as configurações de acesso entre locatários para permitir apenas um conjunto designado de aplicativos, considere adicionar os aplicativos da Microsoft mostrados na tabela a seguir. Por exemplo, se você configurar uma lista de permissões e permitir apenas o SharePoint Online, o usuário não poderá acessar Meus Aplicativos ou se registrar para MFA no locatário do recurso. Para garantir uma experiência suave ao usuário final, inclua os seguintes aplicativos em suas configurações de colaboração de entrada e saída.

Aplicação ID do Recurso Disponível no portal Detalhes
As Minhas Aplicações 2793995E-0A7D-40D7-BD35-6968BA142197 Sim Página de destino padrão após o convite resgatado. Define o acesso ao myapplications.microsoft.com.
Painel de Acesso a Aplicações Microsoft 0000000C-0000-0000-C000-0000000000000 Não Usado em algumas chamadas tardias ao carregar determinadas páginas em Meus logins. Por exemplo, a folha Informações de Segurança ou o seletor Organizações.
Editar Meu Perfil 8C59EAD7-D703-4A27-9E55-C96A0054C8D2 Sim Define o acesso aos myaccount.microsoft.com portais Meus Grupos e Meu Acesso. Alguns separadores dentro de O Meu Perfil requerem as outras aplicações listadas aqui para funcionarem.
Os meus Iniciar sessão 19db86c3-b2b9-44cc-b339-36da233a3be2 Não Define o acesso à mysignins.microsoft.com inclusão de acesso às Informações de Segurança. Permita este aplicativo se você exigir que os usuários se registrem e usem MFA no locatário de recurso (por exemplo, MFA não é confiável do locatário doméstico).

Alguns dos aplicativos na tabela anterior não permitem a seleção do centro de administração do Microsoft Entra. Para permiti-los, adicione-os com a API do Microsoft Graph, conforme mostrado no exemplo a seguir:

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

Nota

Certifique-se de incluir todos os aplicativos adicionais que você deseja permitir na solicitação PATCH, pois isso substituirá todos os aplicativos configurados anteriormente. Os aplicativos que já estão configurados podem ser recuperados manualmente do portal ou executando uma solicitação GET na política de parceiro. Por exemplo, GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>

Nota

Os aplicativos adicionados por meio da API do Microsoft Graph que não são mapeados para um aplicativo disponível no centro de administração do Microsoft Entra serão exibidos como a ID do aplicativo.

Não é possível adicionar o aplicativo Portais de Administração da Microsoft às configurações de acesso entre locatários de entrada e saída no centro de administração do Microsoft Entra. Para permitir o acesso externo aos portais de administração da Microsoft, use a API do Microsoft Graph para adicionar individualmente os seguintes aplicativos que fazem parte do grupo de aplicativos Portais de Administração da Microsoft:

  • Portal do Azure (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Centro de administração do Microsoft Entra (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Portal do Microsoft 365 Defender (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Centro de Administração do Microsoft Intune (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Portal de conformidade do Microsoft Purview (80ccca67-54bd-44ab-8625-4b79c4dc7775)

Configurar ordem de resgate

Para personalizar a ordem dos provedores de identidade que os usuários convidados podem usar para entrar quando aceitarem o convite, siga estas etapas.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança. Em seguida, abra o serviço de identidade no lado esquerdo.

  2. Selecione Configurações de acesso entre locatários de identidades>externas.

  3. Na guia Configurações padrão, em Configurações de acesso de entrada, selecione Editar padrões de entrada.

  4. Na guia Colaboração B2B, selecione a guia Ordem de resgate.

  5. Mova os provedores de identidade para cima ou para baixo para alterar a ordem na qual os usuários convidados podem entrar quando aceitarem seu convite. Você também pode redefinir a ordem de resgate para as configurações padrão aqui.

    Captura de ecrã a mostrar o separador da ordem de resgate.

  6. Selecione Guardar.

Você também pode personalizar a ordem de resgate por meio da API do Microsoft Graph.

  1. Abra o Microsoft Graph Explorer.

  2. Inicie sessão como pelo menos um Administrador de Segurança no seu inquilino de recursos.

  3. Execute a seguinte consulta para obter a ordem de resgate atual:

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
  1. Neste exemplo, moveremos a federação IdP SAML/WS-Fed para a parte superior da ordem de resgate acima do provedor de identidade Microsoft Entra. Corrija o mesmo URI com este corpo de solicitação:
{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}
  1. Para verificar as alterações, execute a consulta GET novamente.

  2. Para redefinir a ordem de resgate para as configurações padrão, execute a seguinte consulta:

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

Federação SAML/WS-Fed (federação direta) para domínios verificados pelo Microsoft Entra ID

Agora você pode adicionar seu domínio verificado Microsoft Entra ID alistado para configurar a relação de federação direta. Primeiro, você precisa configurar a configuração de federação direta no centro de administração ou por meio da API. Certifique-se de que o domínio não está verificado no mesmo inquilino. Uma vez configurada a configuração, você pode personalizar a ordem de resgate. O SML/WS-FED IdP é adicionado à ordem de resgate como a última entrada. Você pode movê-lo para cima na ordem de resgate para defini-lo acima do provedor de identidade Microsoft Entra.

Impedir que seus usuários B2B resgatem um convite usando contas da Microsoft

Para impedir que seus usuários convidados B2B resgatem seus convites usando suas contas da Microsoft existentes ou criem uma nova para aceitar o convite, siga as etapas abaixo.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança. Em seguida, abra o serviço de identidade no lado esquerdo.

  2. Selecione Configurações de acesso entre locatários de identidades>externas.

  3. Em Configurações organizacionais, selecione o link na coluna Acesso de entrada e na guia Colaboração B2B.

  4. Selecione a guia Ordem de resgate.

  5. Em Provedores de identidade de fallback, desative a conta de serviço da Microsoft (MSA).

    Captura de tela da opção de provedores de identidade de fallback.

  6. Selecione Guardar.

Você precisa ter pelo menos um provedor de identidade de fallback habilitado a qualquer momento. Se quiser desativar as contas da Microsoft, tem de ativar o código de acesso único do e-mail. Não é possível desativar ambos os provedores de identidade de fallback. Todos os utilizadores convidados existentes com sessão iniciada com contas Microsoft continuam a utilizá-lo durante os inícios de sessão subsequentes. Você precisa redefinir o status de resgate para que essa configuração seja aplicada.

Para alterar as configurações de confiança de entrada para MFA e declarações de dispositivo

  1. Selecione a guia Configurações de confiança .

  2. (Este passo aplica-se a: Somente configurações organizacionais.) Se estiver a definir definições para uma organização, selecione uma das seguintes opções:

    • Configurações padrão: a organização usa as configurações definidas na guia Configurações padrão . Se as configurações personalizadas já tiverem sido definidas para esta organização, selecione Sim para confirmar que deseja que todas as configurações sejam substituídas pelas configurações padrão. Em seguida, selecione Salvar e ignore o restante das etapas deste procedimento.

    • Personalizar configurações: você pode personalizar as configurações a serem impostas para esta organização em vez das configurações padrão. Continue com o restante das etapas deste procedimento.

  3. Selecione uma ou mais das seguintes opções:

    • Confiar na autenticação multifator de locatários do Microsoft Entra: marque esta caixa de seleção para permitir que suas políticas de Acesso Condicional confiem em declarações de MFA de organizações externas. Durante a autenticação, o Microsoft Entra ID verifica as credenciais de um usuário em busca de uma declaração de que o usuário concluiu o MFA. Caso contrário, um desafio de MFA é iniciado no locatário doméstico do usuário. Essa configuração não será aplicada se um usuário externo entrar usando privilégios de administrador delegado granular (GDAP), como usado por um técnico em um Provedor de Serviços de Nuvem que administra serviços em seu locatário. Quando um usuário externo entra usando GDAP, a MFA é sempre necessária no locatário doméstico do usuário e sempre confiável no locatário do recurso. O registro MFA de um usuário GDAP não é suportado fora do locatário doméstico do usuário. Se sua organização tiver um requisito para não permitir o acesso a técnicos de provedor de serviços com base em MFA no locatário doméstico do usuário, você poderá remover a relação GDAP no centro de administração do Microsoft 365.

    • Confiar em dispositivos compatíveis: permite que suas políticas de Acesso Condicional confiem em declarações de dispositivos compatíveis de uma organização externa quando seus usuários acessam seus recursos.

    • Confiar em dispositivos de ingresso híbrido do Microsoft Entra: permite que suas políticas de Acesso Condicional confiem nas declarações de dispositivo associado ao Microsoft Entra de uma organização externa quando os usuários acessam seus recursos.

    Captura de ecrã a mostrar definições de confiança.

  4. (Este passo aplica-se a: Somente configurações organizacionais.) Analise a opção Resgate automático:

    • Resgatar convites automaticamente com o locatário locatário<>: marque essa configuração se quiser resgatar convites automaticamente. Em caso afirmativo, os usuários do locatário especificado não precisarão aceitar o prompt de consentimento na primeira vez que acessarem esse locatário usando sincronização entre locatários, colaboração B2B ou conexão direta B2B. Essa configuração só suprime o prompt de consentimento se o locatário especificado também verificar essa configuração em busca de acesso de saída.

    Captura de ecrã que mostra a caixa de verificação Resgate automático de entrada.

  5. Selecione Guardar.

Permitir que os usuários sincronizem com este locatário

Se você selecionar Acesso de entrada da organização adicionada, verá a guia Sincronização entre locatários e a caixa de seleção Permitir que os usuários sincronizem com este locatário . A sincronização entre locatários é um serviço de sincronização unidirecional no Microsoft Entra ID que automatiza a criação, atualização e exclusão de usuários de colaboração B2B entre locatários em uma organização. Para obter mais informações, consulte Configurar a sincronização entre locatários e a documentação de organizações multilocatário.

Captura de ecrã que mostra o separador Sincronização entre inquilinos com a caixa de verificação Permitir que os utilizadores sincronizem com este inquilino.

Modificar as configurações de acesso de saída

Com as configurações de saída, você seleciona quais de seus usuários e grupos podem acessar os aplicativos externos escolhidos. Quer esteja a definir definições predefinidas ou definições específicas da organização, os passos para alterar as definições de acesso entre inquilinos de saída são os mesmos. Conforme descrito nesta seção, você navega até a guia Padrão ou uma organização na guia Configurações organizacionais e faz as alterações.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

  2. Navegue até Configurações de acesso entre locatários de identidades>externas.>

  3. Navegue até as configurações que deseja modificar:

    • Para modificar as configurações de saída padrão, selecione a guia Configurações padrão e, em Configurações de acesso de saída, selecione Editar padrões de saída.

    • Para modificar as configurações de uma organização específica, selecione a guia Configurações organizacionais , localize a organização na lista (ou adicione uma) e selecione o link na coluna Acesso de saída.

  4. Selecione a guia Colaboração B2B.

  5. (Este passo aplica-se a: Somente configurações organizacionais.) Se estiver a definir definições para uma organização, selecione uma opção:

    • Configurações padrão: a organização usa as configurações definidas na guia Configurações padrão . Se as configurações personalizadas já estiverem configuradas para esta organização, você precisará selecionar Sim para confirmar que deseja que todas as configurações sejam substituídas pelas configurações padrão. Em seguida, selecione Salvar e ignore o restante das etapas deste procedimento.

    • Personalizar configurações: você pode personalizar as configurações a serem impostas para esta organização em vez das configurações padrão. Continue com o restante das etapas deste procedimento.

  6. Selecionar Utilizadores e grupos.

  7. Em Estado do acesso, selecione uma das seguintes opções:

    • Permitir acesso: permite que seus usuários e grupos especificados em Aplica-se sejam convidados para organizações externas para colaboração B2B.
    • Bloquear acesso: Impede que seus usuários e grupos especificados em Aplica-se a sejam convidados para colaboração B2B. Se você bloquear o acesso de todos os usuários e grupos, isso também impedirá que todos os aplicativos externos sejam acessados por meio da colaboração B2B.

    Captura de tela mostrando o status de acesso de usuários e grupos para colaboração b2b.

  8. Em Aplica-se a, selecione uma das seguintes opções:

    • Todos os <usuários da sua organização>: aplica a ação escolhida em Status de acesso a todos os usuários e grupos.
    • Selecione <os usuários e grupos da sua organização> (requer uma assinatura do Microsoft Entra ID P1 ou P2): Permite aplicar a ação escolhida em Status de acesso a usuários e grupos específicos.

    Nota

    Se você bloquear o acesso de todos os seus usuários e grupos, também precisará bloquear o acesso a todos os aplicativos externos (na guia Aplicativos externos).

    Captura de tela mostrando a seleção dos usuários-alvo para colaboração b2b.

  9. Se você escolher Selecionar <usuários e grupos da sua organização>, faça o seguinte para cada usuário ou grupo que deseja adicionar:

    • Selecione Adicionar <usuários e grupos da sua organização>.
    • No painel Selecionar, digite o nome de usuário ou o nome do grupo na caixa de pesquisa.
    • Selecione o usuário ou grupo nos resultados da pesquisa.
    • Quando terminar de selecionar os usuários e grupos que deseja adicionar, escolha Selecionar.

    Nota

    Ao segmentar seus usuários e grupos, você não poderá selecionar usuários que tenham configurado a autenticação baseada em SMS. Isso ocorre porque os usuários que têm uma "credencial federada" em seu objeto de usuário são bloqueados para impedir que usuários externos sejam adicionados às configurações de acesso de saída. Como solução alternativa, você pode usar a API do Microsoft Graph para adicionar a ID de objeto do usuário diretamente ou direcionar um grupo ao qual o usuário pertence.

  10. Selecione a guia Aplicativos externos.

  11. Em Estado do acesso, selecione uma das seguintes opções:

    • Permitir acesso: Permite que os aplicativos externos especificados em Aplica-se sejam acessados por seus usuários por meio da colaboração B2B.
    • Bloquear acesso: Impede que os aplicativos externos especificados em Aplica-se a sejam acessados por seus usuários por meio da colaboração B2B.

    Captura de tela mostrando o status de acesso de aplicativos para colaboração b2b.

  12. Em Aplica-se a, selecione uma das seguintes opções:

    • Todos os aplicativos externos: aplica a ação escolhida em Status do acesso a todos os aplicativos externos.
    • Selecionar aplicativos externos: aplica a ação escolhida em Status do acesso a todos os aplicativos externos.

    Nota

    Se você bloquear o acesso a todos os aplicativos externos, também precisará bloquear o acesso de todos os seus usuários e grupos (na guia Usuários e grupos ).

    Captura de tela mostrando destinos de aplicativos para colaboração b2b.

  13. Se você escolher Selecionar aplicativos externos, faça o seguinte para cada aplicativo que deseja adicionar:

    • Selecione Adicionar aplicativos da Microsoft ou Adicionar outros aplicativos.
    • Na caixa de pesquisa, digite o nome do aplicativo ou a ID do aplicativo (a ID do aplicativo cliente ou a ID do aplicativo de recurso). Em seguida, selecione o aplicativo nos resultados da pesquisa. Repita para cada aplicativo que você deseja adicionar.
    • Quando terminar de selecionar aplicativos, escolha Selecionar.

    Captura de tela mostrando a seleção de aplicativos para colaboração b2b.

  14. Selecione Guardar.

Para alterar as configurações de confiança de saída

(Esta secção aplica-se a: Somente configurações organizacionais.)

  1. Selecione a guia Configurações de confiança .

  2. Analise a opção Resgate automático:

    • Resgatar convites automaticamente com o locatário locatário<>: marque essa configuração se quiser resgatar convites automaticamente. Nesse caso, os usuários desse locatário não precisam aceitar o prompt de consentimento na primeira vez que acessarem o locatário especificado usando sincronização entre locatários, colaboração B2B ou conexão direta B2B. Essa configuração só suprime o prompt de consentimento se o locatário especificado também verificar essa configuração para acesso de entrada.

      Captura de ecrã que mostra a caixa de verificação Resgate automático de saída.

  3. Selecione Guardar.

Remover uma organização

Quando você remove uma organização das configurações organizacionais, as configurações padrão de acesso entre locatários entram em vigor para essa organização.

Nota

Se a organização for um provedor de serviços de nuvem para sua organização (a propriedade isServiceProvider na configuração específica do parceiro do Microsoft Graph for true), você não poderá remover a organização.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

  2. Navegue até Configurações de acesso entre locatários de identidades>externas.>

  3. Selecione a guia Configurações organizacionais .

  4. Localize a organização na lista e, em seguida, selecione o ícone da lixeira nessa linha.