Поделиться через

Обзор: доступ между клиентами с Внешняя идентификация Microsoft Entra

  • Статья

Область применения: Зеленый круг с символом белой галочки. клиенты рабочей силы внешниеБелый круг с серым символом X. клиенты (дополнительные сведения)

Организации Microsoft Entra могут использовать параметры доступа внешнего идентификатора между клиентами для управления совместной работой с другими организациями Microsoft Entra и облаками Microsoft Azure с помощью прямого подключения B2B и B2B. Параметры доступа между клиентами обеспечивают детальный контроль над входящим и исходящим доступом, что позволяет доверять многофакторной проверке подлинности (MFA) и утверждениям устройств из других организаций.

В этой статье рассматриваются параметры доступа между клиентами для управления совместной работой B2B и прямым подключением B2B к внешним организациям Microsoft Entra, включая в облаках Майкрософт. Другие параметры доступны для совместной работы B2B с удостоверениями, отличными от Microsoft Entra (например, удостоверения социальных удостоверений или не управляемых ИТ-учетных записей). Эти параметры внешней совместной работы позволяют ограничить доступ гостевых пользователей, выбрать пользователей, которые могут приглашать гостей, а также разрешать или блокировать определенные домены.

Количество организаций, которые можно добавить в параметрах доступа между клиентами, не ограничено.

Управление внешним доступом с помощью параметров входящего и исходящего трафика

Параметры доступа между клиентами внешних удостоверений управляют взаимодействием с другими организациями Microsoft Entra. Эти параметры определяют уровень входящего доступа пользователей во внешних организациях Microsoft Entra для ваших ресурсов, а также уровень исходящего доступа пользователей к внешним организациям.

На следующей схеме показаны параметры входящего и исходящего доступа между арендаторами. Клиент Microsoft Entra — это клиент , содержащий общие ресурсы. Для совместной работы B2B клиент ресурсов — это приглашенный клиент (например, корпоративный клиент, где требуется пригласить внешних пользователей). Домашний клиент Microsoft Entra пользователя — это клиент , на котором управляют внешние пользователи.

Обзорная схема параметров доступа между арендаторами.

По умолчанию служба совместной работы B2B с другими организациями Microsoft Entra включена, а прямой подключение B2B блокируется. Но следующие параметры администрирования позволяют управлять многими аспектами этих функций.

  • Параметры исходящего доступа управляют тем, могут ли пользователи получать доступ к ресурсам во внешней организации. Эти параметры можно применить ко всем пользователям или только к отдельным пользователям, группам и приложениям.

  • Параметры входящего доступа определяют, могут ли пользователи из внешних организаций Microsoft Entra получать доступ к ресурсам в вашей организации. Эти параметры можно применить ко всем пользователям или только к отдельным пользователям, группам и приложениям.

  • Параметры доверия (входящий трафик) определяют, доверяют ли политики условного доступа многофакторную проверку подлинности (MFA), соответствующее устройству, и утверждения гибридного устройства Microsoft Entra из внешней организации, если их пользователи уже выполнили эти требования в своих домашних клиентах. Например, при настройке параметров доверия для доверия MFA политики MFA по-прежнему применяются к внешним пользователям, но пользователи, которые уже выполнили MFA в своих домашних клиентах, не должны снова завершить MFA в клиенте.

Параметры по умолчанию

Параметры доступа между клиентами по умолчанию применяются ко всем организациям Microsoft Entra, внешним к клиенту, за исключением организаций, для которых настраиваются пользовательские параметры. Вы можете изменить параметры по умолчанию, но по умолчанию для служб совместной работы B2B и прямого соединения B2B используются следующие параметры:

  • Совместная работа B2B: все внутренние пользователи могут использовать службу совместной работы B2B по умолчанию. Этот параметр означает, что ваши пользователи могут отправить внешним гостям приглашение для доступа к вашим ресурсам, а также могут быть приглашены в качестве гостей во внешние организации. Утверждения MFA и устройства из других организаций Microsoft Entra не являются доверенными.

  • Прямое соединение B2B: отношения доверия для прямого соединения B2B не настраиваются по умолчанию. Идентификатор Microsoft Entra блокирует все возможности входящего и исходящего подключения B2B для всех внешних клиентов Microsoft Entra.

  • Параметры организации: в параметры организации по умолчанию не будут добавляться организации. Поэтому все внешние организации Microsoft Entra включены для совместной работы B2B с вашей организацией.

  • Синхронизация между клиентами: пользователи из других клиентов не синхронизируются с клиентом с синхронизацией между клиентами.

Эти параметры по умолчанию применяются к совместной работе B2B с другими клиентами Microsoft Entra в том же облаке Microsoft Azure. В сценариях взаимодействия между облаками параметры по умолчанию работают немного иначе. См. раздел Параметры облака Майкрософт далее в этой статье.

Параметры организации

Вы можете настроить параметры организации, добавив организацию и изменив параметры входящего и исходящего трафика для такой организации. Параметры организации имеют приоритет над параметрами по умолчанию.

  • Совместная работа B2B. Используйте параметры доступа между клиентами для управления входящим и исходящим доступом B2B для совместной работы и области доступа к определенным пользователям, группам и приложениям. Вы можете задать конфигурацию по умолчанию, которая применяется ко всем внешним организациям, и по мере необходимости создавать индивидуальные параметры для конкретных организаций. Используя параметры доступа между клиентами, можно также доверять многофакторным (MFA) и утверждениям устройств (совместимым утверждениям и гибридным утверждениям Microsoft Entra) из других организаций Microsoft Entra.

    Совет

    Рекомендуется исключить внешних пользователей из политики регистрации MFA Защита идентификации Microsoft Entra, если вы собираетесь доверять MFA внешним пользователям. При наличии обеих политик внешние пользователи не смогут удовлетворять требованиям для доступа.

  • Прямое подключение B2B: для прямого подключения B2B используйте параметры организации для настройки отношений взаимного доверия с другой организацией Microsoft Entra. В вашей организации и во внешней организации необходимо включить взаимное прямое соединение B2B, настроив параметры входящего и исходящего доступа между арендаторами.

  • Параметры внешней совместной работы можно использовать для ограничения того, кто может приглашать внешних пользователей, разрешать или блокировать определенные домены B2B и устанавливать ограничения на доступ гостевых пользователей к каталогу.

Параметр автоматического активации

Параметр автоматического активации — это параметр входящего и исходящего доверия организации для автоматического активации приглашений, поэтому пользователям не нужно принимать запрос согласия при первом доступе к ресурсу или целевому клиенту. Этот параметр является флажоком со следующим именем:

  • Автоматическое активация приглашений с помощью клиента<>

Снимок экрана: флажок автоматического активации для входящего трафика.

Сравнение параметров для различных сценариев

Параметр автоматического активации применяется к синхронизации между клиентами, совместной работе B2B и прямому подключению B2B в следующих ситуациях:

  • Когда пользователи создаются в целевом клиенте с помощью межтенантной синхронизации.
  • При добавлении пользователей в клиент ресурсов с помощью совместной работы B2B.
  • Когда пользователи получают доступ к ресурсам в клиенте ресурсов с помощью прямого подключения B2B.

В следующей таблице показано, как этот параметр сравнивается при включении этих сценариев:

Товар Синхронизация клиентов служба совместной работы Azure AD B2B; Прямое соединение B2B
Параметр автоматического активации Обязательное поле Необязательно Необязательно
Пользователи получают сообщение электронной почты о приглашении на совместную работу B2B No Нет Н/П
Пользователи должны принять запрос согласия No No No
Пользователи получают уведомление о совместной работе B2B No Да Н/П

Этот параметр не влияет на взаимодействие с согласием приложения. Дополнительные сведения см. в разделе "Согласие" для приложений в идентификаторе Microsoft Entra ID. Этот параметр не поддерживается для организаций в разных облачных средах Майкрософт, таких как коммерческая и Azure для государственных организаций Azure.

Параметр автоматического активации будет отключать только запрос согласия и сообщение электронной почты приглашения, если этот параметр проверяет этот параметр как домашний, так и исходный клиент (исходящий) и целевой клиент (входящий).

Схема, показывающая параметр автоматического активации для исходящего и входящего трафика.

В следующей таблице показано поведение запроса согласия для пользователей исходного клиента при проверке параметра автоматического активации для различных сочетаний параметров доступа между клиентами.

Клиент home/source Клиент resource/target Поведение запроса на согласие
для пользователей исходного клиента
Исходящая Входящая
Значок флажка. Значок флажка. Подавлены
Значок флажка. Значок для очистки флажка. Не подавляется
Значок для очистки флажка. Значок флажка. Не подавляется
Значок для очистки флажка. Значок для очистки флажка. Не подавляется
Входящая Исходящая
Значок флажка. Значок флажка. Не подавляется
Значок флажка. Значок для очистки флажка. Не подавляется
Значок для очистки флажка. Значок флажка. Не подавляется
Значок для очистки флажка. Значок для очистки флажка. Не подавляется

Сведения о настройке этого параметра с помощью Microsoft Graph см. в API Update crossTenantAccessPolicyConfigurationPartner . Сведения о создании собственного интерфейса подключения см. в разделе B2B Диспетчер приглашений для совместной работы.

Дополнительные сведения см. в статье "Настройка синхронизации между клиентами", настройка параметров доступа между клиентами для совместной работы B2B и настройка параметров доступа между клиентами для прямого подключения B2B.

Настраиваемое активация

С помощью настраиваемого активации можно настроить порядок поставщиков удостоверений, с которыми могут войти гостевые пользователи при принятии приглашения. Вы можете включить функцию и указать заказ на активацию на вкладке "Заказ активации".

Снимок экрана: вкладка

Когда гостевой пользователь выбирает ссылку "Принять приглашение" по электронной почте приглашения, идентификатор Microsoft Entra ID автоматически активирует приглашение в соответствии с заказом активации по умолчанию. При изменении заказа поставщика удостоверений на новой вкладке "Заказ активации" новый заказ переопределяет порядок активации по умолчанию.

Основные поставщики удостоверений и резервные поставщики удостоверений находятся на вкладке "Заказ активации".

Основными поставщиками удостоверений являются те, которые имеют федерации с другими источниками проверки подлинности. Резервные поставщики удостоверений — это используемые поставщики удостоверений, если пользователь не соответствует основному поставщику удостоверений.

Резервные поставщики удостоверений могут быть учетной записью Майкрософт (MSA), одноразовым секретным кодом электронной почты или обоими. Вы не можете отключить оба резервных поставщика удостоверений, но вы можете отключить все основные поставщики удостоверений и использовать только резервные поставщики удостоверений для вариантов активации.

При использовании этой функции рассмотрите следующие известные ограничения:

  • Если пользователь Идентификатора Microsoft Entra ID, имеющий существующий сеанс единого входа (SSO), выполняет проверку подлинности с помощью секретного кода электронной почты (OTP), он должен выбрать другую учетную запись и повторно отправить имя пользователя, чтобы активировать поток OTP. В противном случае пользователь получает ошибку, указывающую, что учетная запись не существует в клиенте ресурса.

  • Если у пользователя есть одинаковый адрес электронной почты как в идентификаторе Microsoft Entra ID, так и в учетных записях Майкрософт, пользователю будет предложено выбрать один из вариантов использования идентификатора Microsoft Entra или учетной записи Майкрософт даже после того, как администратор отключает учетную запись Майкрософт в качестве метода активации. Выбор учетной записи Майкрософт в качестве варианта активации разрешен, даже если метод отключен.

Прямая федерация для проверенных доменов Идентификатора Microsoft Entra

Федерация поставщика удостоверений SAML/WS-Fed (прямая федерация) теперь поддерживается для проверенных доменов Идентификатора Microsoft Entra. Эта функция позволяет настроить прямую федерацию с внешним поставщиком удостоверений для домена, проверенного в Microsoft Entra.

Примечание.

Убедитесь, что домен не проверен в том же клиенте, в котором вы пытаетесь настроить конфигурацию федерации Direct. После настройки прямой федерации можно настроить предпочтения активации клиента и переместить поставщика удостоверений SAML/WS-Fed по идентификатору Microsoft Entra с помощью новых настраиваемых параметров доступа между клиентами.

Когда гостевой пользователь активирует приглашение, он видит традиционный экран согласия и перенаправляется на страницу Мои приложения. В клиенте ресурсов профиль для этого прямого пользователя федерации показывает, что приглашение успешно активировано, с внешней федерацией, указанной в качестве издателя.

Снимок экрана: прямой поставщик федерации под удостоверениями пользователей.

Запретить пользователям B2B активировать приглашение с помощью учетных записей Майкрософт

Теперь вы можете запретить гостевым пользователям B2B использовать учетные записи Майкрософт для активации приглашений. Вместо этого они используют одноразовый секретный код, отправленный в свою электронную почту в качестве резервного поставщика удостоверений. Они не могут использовать существующую учетную запись Майкрософт для активации приглашений, а также не запрашивают создать новую. Эту функцию можно включить в параметрах заказа активации, отключив учетные записи Майкрософт в вариантах резервного поставщика удостоверений.

Снимок экрана: параметр резервных поставщиков удостоверений.

У вас всегда должен быть хотя бы один резервный поставщик удостоверений. Таким образом, если вы решите отключить учетные записи Майкрософт, необходимо включить параметр однократного секретного кода электронной почты. Существующие гостевые пользователи, которые уже войдите с помощью учетных записей Майкрософт, продолжают делать это для будущих входов. Чтобы применить к ним новые параметры, необходимо сбросить состояние активации.

Параметр синхронизации между клиентами

Параметр синхронизации между клиентами — это только входящий параметр организации, позволяющий администратору исходного клиента синхронизировать пользователей с целевым клиентом. Этот параметр — это флажок с именем Allow users sync in this tenant , который указан в целевом клиенте. Этот параметр не влияет на приглашения B2B, созданные с помощью других процессов, таких как ручное приглашение или управление правами Microsoft Entra.

Снимок экрана: вкладка синхронизации между клиентами с флажок

Сведения о настройке этого параметра с помощью Microsoft Graph см. в API Update crossTenantIdentitySyncPolicyPartner . Дополнительные сведения см. в разделе "Настройка синхронизации между клиентами".

Ограничения клиента

С помощью параметров ограничений клиента можно управлять типами внешних учетных записей, которые пользователи могут использовать на управляемых устройствах, включая:

  • Учетные записи пользователей, созданные в неизвестных клиентах.
  • Учетные записи, которые внешние организации предоставили пользователям, чтобы они могли получить доступ к ресурсам этой организации.

Мы рекомендуем настроить ограничения клиента, чтобы запретить эти типы внешних учетных записей и использовать совместную работу B2B. Совместная работа B2B обеспечивает следующие возможности:

  • Используйте условный доступ и принудительно выполните многофакторную проверку подлинности для пользователей совместной работы B2B.
  • Управление входящим и исходящим доступом.
  • Завершение сеансов и учетных данных при изменении состояния занятости пользователя совместной работы B2B или нарушения учетных данных.
  • Используйте журналы входа для просмотра сведений о пользователе совместной работы B2B.

Ограничения клиента не зависят от других параметров доступа между клиентами, поэтому все параметры входящего, исходящего трафика или доверия, которые вы настраиваете, не влияют на ограничения клиента. Дополнительные сведения о настройке ограничений клиента см. в статье Настройка ограничений клиента версии 2.

Параметры облака Майкрософт

Параметры облака Майкрософт позволяют совместно работать с организациями из разных облаков Microsoft Azure. С помощью параметров облака Майкрософт можно установить взаимную совместную работу B2B между следующими облаками:

  • Коммерческое облако Microsoft Azure и Microsoft Azure для государственных организаций, включая облака Office GCC-High и DoD
  • Коммерческое облако Microsoft Azure и Microsoft Azure, управляемые 21Vianet (работает 21Vianet)

Примечание.

Прямое подключение B2B не поддерживается для совместной работы с клиентами Microsoft Entra в другом облаке Майкрософт.

Дополнительные сведения см. в статье о настройке параметров облака Майкрософт для совместной работы B2B.

Важные замечания

Внимание

Изменение параметров входящего или исходящего трафика по умолчанию для блокировки доступа может заблокировать существующий критически важный для бизнеса доступ к приложениям в организации или партнерских организациях. Обязательно используйте средства, описанные в этой статье, и привлеките заинтересованных лиц бизнеса для определения необходимых возможностей доступа.

  • Чтобы настроить параметры доступа между клиентами в портал Azure, требуется учетная запись с по крайней мере администратором безопасности или настраиваемой ролью.

  • Чтобы настроить параметры доверия или применить параметры доступа к определенным пользователям, группам или приложениям, требуется лицензия Microsoft Entra ID P1. Для настраиваемого арендатора требуется лицензия. Для прямого подключения B2B, где требуется взаимная связь доверия с другой организацией Microsoft Entra, требуется лицензия Microsoft Entra ID P1 в обоих клиентах.

  • Параметры доступа между клиентами используются для управления совместной работой B2B и прямым подключением B2B к другим организациям Microsoft Entra. Для совместной работы B2B с удостоверениями, отличными от Microsoft Entra (например, социальных удостоверений или внешних учетных записей, не управляемых ИТ), используйте параметры внешней совместной работы. Параметры внешней совместной работы включают параметры совместной работы B2B для ограничения доступа гостевых пользователей, определения пользователей, которые могут приглашать гостей, а также разрешения или блокировки доменов.

  • Чтобы применить параметры доступа к определенным пользователям, группам или приложениям во внешней организации, перед настройкой параметров необходимо связаться с организацией. Получите идентификаторы объектов пользователей, идентификаторы групп или идентификаторы приложений (идентификаторы клиентских приложений или идентификаторы приложений-ресурсов), чтобы можно было правильно выбрать параметры.

    Совет

    Вы можете найти идентификаторы приложений для приложений во внешних организациях в журналах входа. См. раздел Выявление входящих и исходящих входов.

  • Параметры доступа, которые вы настраиваете для пользователей и групп, должны совпадать с параметрами доступа для приложений. Конфликтующие параметры не допускаются, и при попытке их настройки отображаются предупреждающие сообщения.

    • Пример 1. Если вы заблокировали входящий доступ для всех внешних пользователей и групп, доступ ко всем вашим приложениям также нужно заблокировать.

    • Пример 2. Если разрешить исходящий доступ для всех пользователей (или определенных пользователей или групп), запретить блокировку доступа ко всем внешним приложениям; доступ к одному приложению должен быть разрешен.

  • Если вы хотите разрешить прямое подключение B2B к внешней организации и политикам условного доступа требуется MFA, необходимо настроить параметры доверия для принятия утверждений MFA из внешней организации.

  • Если по умолчанию вы блокируете доступ ко всем приложениям, пользователи не могут читать сообщения электронной почты, зашифрованные службой Microsoft Rights Management, также известной как шифрование сообщений Office 365 (OME). Чтобы избежать этой проблемы, мы рекомендуем разрешить в параметрах исходящего трафика доступ пользователей к такому идентификатору приложения: 00000012-0000-0000-C000-000000000000. Если вы разрешаете только это приложение, доступ ко всем другим приложениям блокируется по умолчанию.

Пользовательские роли для управления параметрами доступа между клиентами

Вы можете создавать пользовательские роли для управления параметрами доступа между клиентами. Дополнительные сведения о рекомендуемых пользовательских ролях см. здесь.

Защита административных действий с доступом между клиентами

Все действия, изменяющие параметры доступа между клиентами, считаются защищенными действиями и могут быть дополнительно защищены с помощью политик условного доступа. Дополнительные сведения о действиях по настройке см. в разделе "Защищенные действия".

Выявления входящих и исходящих входов

Для определения необходимого уровня доступа для пользователей и партнеров до настройки параметров доступа к входящему и исходящему трафику доступно несколько средств. Чтобы не удалить возможности доступа, необходимые вашим пользователям и партнерам, вы можете изучить текущее поведение входа. Этот предварительный шаг помогает предотвратить потерю требуемого доступа для конечных пользователей и партнеров. Но в некоторых случаях такие журналы сохраняются только за последние 30 дней, поэтому мы настоятельно рекомендуем обратиться к заинтересованным лицам бизнеса и подтвердить, что нужный уровень доступа сохранен.

Средство Способ
Скрипт PowerShell для действий входа между клиентами Чтобы просмотреть действия входа пользователей, связанные с внешними организациями, используйте скрипт PowerShell для входа между клиентами из MSIdentityTools.
Скрипт PowerShell для журналов входа Чтобы определить доступ пользователей к внешним организациям Microsoft Entra, используйте командлет Get-MgAuditLogSignIn .
Azure Monitor Если ваша организация подписывается на службу Azure Monitor, используйте книгу действий доступа между клиентами.
Системы управления сведениями о безопасности и событиями (SIEM) Если ваша организация экспортирует журналы входа в систему управления информационной безопасностью и событиями безопасности (SIEM), вы можете получить нужные сведения из системы SIEM.

Выявление изменений в параметрах доступа между арендаторами

Журналы аудита Microsoft Entra фиксируют все действия вокруг параметров доступа между клиентами и действий. Чтобы выполнить аудит изменений в параметрах доступа между арендаторами, используйте категорию CrossTenantAccessSettings для фильтрации всех действий в целях отображения изменений в параметрах доступа между арендаторами.

Снимок экрана: журналы аудита для параметров доступа между арендаторами.

Следующие шаги

Настройка параметров доступа между арендаторами для службы совместной работы B2B

Настройка параметров доступа между клиентами для прямого соединения B2B