Compartilhar via


Descrição geral da API de definições de acesso entre inquilinos

Namespace: microsoft.graph

Importante

As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.

Na colaboração tradicional do Microsoft Entra B2B, qualquer utilizador convidado de uma organização pode utilizar a respetiva identidade para aceder a recursos em organizações externas. Os administradores não tinham controlo sobre as identidades de utilizador no inquilino que têm permissão para iniciar sessão em organizações externas. Estes controlos limitados dificultaram a utilização de identidades da sua organização de formas não autorizadas.

As definições de acesso entre inquilinos permitem-lhe controlar e gerir a colaboração entre utilizadores na sua organização e outras organizações. O controlo pode estar numa ou numa combinação das seguintes configurações:

  • acesso de saída – a forma como os seus utilizadores colaboram com outras organizações.
  • acesso de entrada – como outras organizações colaboram consigo.
  • acesso a restrições de inquilino – como os seus utilizadores colaboram com outras organizações através de outras identidades da organização a partir da sua rede ou dispositivos.

Os controlos granulares permitem-lhe determinar os utilizadores, grupos e aplicações, tanto na sua organização como em organizações externas, que podem participar na colaboração entre inquilinos. Estes controlos são implementados através de:

  • Predefinições de acesso entre inquilinos que definem as definições de linha de base para acesso de entrada e saída e restrições de inquilino.

    • Na colaboração Microsoft Entra B2B, as definições de acesso de entrada e saída estão ativadas por predefinição. Esta configuração predefinida significa que todos os seus utilizadores podem ser convidados para organizações externas e todos os seus utilizadores podem convidar utilizadores convidados.
    • No Microsoft Entra B2B direct connect, as definições de acesso de entrada e saída estão desativadas por predefinição.
    • As predefinições do serviço podem ser atualizadas.
    • Em Restrições de Inquilino, todas as definições de acesso estão desativadas por predefinição.
  • Definições de acesso específicas do parceiro que lhe permitem configurar definições personalizadas para organizações individuais. Para as organizações configuradas, esta configuração tem precedência sobre as predefinições. Por conseguinte, embora a colaboração microsoft Entra B2B, a ligação direta do Microsoft Entra B2B e as restrições de inquilino possam ser desativadas em toda a sua organização, pode ativar estas funcionalidades para uma organização externa específica.

Importante

Ao configurar as definições de saída da ligação direta B2B, permite que as organizações externas com as quais ativou as definições de saída acedam a dados de contacto limitados sobre os seus utilizadores. A Microsoft partilha estes dados com essas organizações para os ajudar a enviar um pedido para se ligarem aos seus utilizadores. Os dados recolhidos por organizações externas, incluindo dados de contacto limitados, estão sujeitos às políticas e práticas de privacidade dessas organizações.

Predefinições de acesso entre inquilinos

As predefinições de acesso entre inquilinos determinam a sua posição para colaboração de entrada e saída e restrições de inquilinos com todas as outras organizações do Microsoft Entra. Qualquer colaboração externa com uma organização não listada explicitamente nas suas definições de acesso entre inquilinos herda estas predefinições. As predefinições são definidas com o tipo de recurso crossTenantAccessPolicyConfigurationDefault .

Por predefinição, o Microsoft Entra ID atribui a todos os inquilinos do Microsoft Entra uma configuração predefinida de serviço para as definições de acesso entre inquilinos. Pode substituir estas predefinições de serviço pela sua própria configuração de acordo com a sua organização. Pode confirmar se está a utilizar as predefinições do serviço ou as definições personalizadas ao observar a propriedade isServiceDefault devolvida quando consulta o ponto final predefinido.

Definições de acesso entre inquilinos de parceiros

As definições de acesso entre inquilinos específicas do parceiro determinam a sua posição relativamente à colaboração de entrada e saída e às restrições de inquilino com uma organização específica do Microsoft Entra. Qualquer colaboração com esta organização herda estas definições específicas do parceiro. As definições de parceiros são definidas com o tipo de recurso crossTenantAccessPolicyConfigurationPartner .

A menos que configure todas as propriedades do objeto específico do parceiro, algumas das suas predefinições ainda podem ser aplicadas. Por exemplo, se configurar apenas b2bCollaborationInbound para um parceiro nas definições de acesso entre inquilinos, a configuração do parceiro herda as outras definições das predefinições de acesso entre inquilinos. Ao consultar o ponto final do parceiro, qualquer propriedade no objeto de parceiro que seja null herda as definições da política predefinida.

Definições de confiança de entrada nas definições de acesso entre inquilinos

As definições de confiança de entrada permitem-lhe confiar nos utilizadores convidados da MFA que executam nos respetivos diretórios raiz, impedindo que os utilizadores convidados tenham de executar a MFA nos respetivos diretórios domésticos e no diretório. Com as definições de confiança de entrada, pode ativar uma experiência de autenticação totalmente integrada para os seus utilizadores convidados e poupar nos custos de MFA incorridos pela sua organização.

Por exemplo, quando configura as definições de confiança para confiar na MFA, as suas políticas de MFA continuam a ser aplicadas aos utilizadores convidados, mas os utilizadores que já concluíram a MFA nos respetivos inquilinos domésticos não têm de concluir novamente a MFA no seu inquilino.

As definições de fidedignidade de entrada também lhe permitem confiar em dispositivos compatíveis ou associados ao Microsoft Entra híbrido nos respetivos diretórios raiz. Com as definições de fidedignidade de entrada nas definições de acesso entre inquilinos, pode agora proteger o acesso às suas aplicações e recursos ao exigir que os utilizadores convidados utilizem dispositivos conformes ou associados híbridos ao Microsoft Entra.

Sincronização entre inquilinos de entrada nas definições de acesso entre inquilinos

Pode ativar a sincronização entre inquilinos para sincronizar utilizadores a partir de um inquilino parceiro. A sincronização entre inquilinos é um serviço de sincronização unidirecional no Microsoft Entra ID que automatiza a criação, atualização e eliminação de utilizadores de colaboração B2B entre inquilinos numa organização. Crie uma política de sincronização de utilizadores para simplificar a colaboração entre utilizadores em organizações multi-inquilino. As definições de sincronização de utilizadores parceiros são definidas com o tipo de recurso crossTenantIdentitySyncPolicyPartner .

Colaborar com organizações que utilizam o Microsoft Entra ID em clouds diferentes da Microsoft

As definições de acesso entre inquilinos são utilizadas para permitir a colaboração com organizações do Microsoft Entra em clouds microsoft separadas. A allowedCloudEndpoints propriedade permite-lhe especificar para que clouds da Microsoft gostaria de expandir a sua colaboração. A colaboração B2B é suportada entre as seguintes clouds da Microsoft:

  • Microsoft Azure comercial e Microsoft Azure Government
  • Microsoft Azure comercial e Microsoft Azure China

Saiba mais sobre como colaborar com organizações a partir de uma cloud da Microsoft diferente.

Interpretar a resposta da API

A API de definições de acesso entre inquilinos pode ser utilizada para configurar várias configurações para permitir ou bloquear o acesso de e para a sua organização. A tabela seguinte realça cenários, mostra um exemplo da resposta da API e qual deve ser a interpretação dessa resposta. b2bSetting é utilizado como um marcador de posição para qualquer configuração B2bCollaborationInbound ou b2bDirectConnectInbound) ou de saída (b2bCollaborationOutbound ou b2bDirectConnectOutbound) ou restrições de inquilino (tenantRestrictions).


Cenário Saída da API Interpretação
Bloquear todos os utilizadores e bloquear todas as aplicações
"b2bsetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
-
Permitir todos os utilizadores e permitir todas as aplicações
"b2bsetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
-
Permitir que os utilizadores no grupo "g1" acedam a qualquer aplicação
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
Os utilizadores no grupo "g1" podem aceder a qualquer aplicação. Todos os outros utilizadores que não estejam no grupo "g1" estão bloqueados.
Permitir acesso apenas à aplicação "a1"
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Todos os utilizadores só têm permissão para aceder à aplicação "a1"
Permitir aos utilizadores no grupo "g1" e bloquear o acesso à aplicação "a1"
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Todos os utilizadores no grupo "g1" têm permissão para aceder a qualquer aplicação , exceto a aplicação "a1".
Impedir que os utilizadores no grupo "g1" acedam a qualquer aplicação
"b2bSetting": {
    "usersAndGroups": {
        "accessType": " blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
Os utilizadores no grupo "g1" não podem aceder a nenhuma aplicação. Outros utilizadores que não estejam no grupo "g1" têm acesso a todas as aplicações.
Bloquear utilizadores no grupo "g1" e permitir o acesso apenas à aplicação "a1"
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Os utilizadores no grupo "g1" não podem aceder a nenhuma aplicação. Qualquer utilizador que não esteja no grupo "g1" só pode aceder à aplicação "a1".
Permitir que os utilizadores no grupo "g1" acedam apenas à aplicação "a1"
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Os utilizadores no grupo "g1" só têm permissão para aceder à aplicação "a1". Todos os utilizadores, incluindo os utilizadores no grupo "g1", estão impedidos de aceder a qualquer outra aplicação.
Impedir que os utilizadores no grupo "g1" acedam à aplicação "a1"
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Os utilizadores no grupo "g1" são impedidos de aceder apenas à aplicação "a1". Todos os utilizadores, incluindo os utilizadores no grupo "g1", podem aceder a qualquer outra aplicação.
Priorizar a utilização de uma federação externa através do Azure AD durante o resgate do convite de utilizador convidado
"invitationRedemptionIdentityProviderConfiguration": { 
    "primaryIdentityProviderPrecedenceOrder": [ 
        "externalFederation",
        "azureActiveDirectory", 
        "socialIdentityProviders" 
    ], 
    "fallbackIdentityProvider": "defaultConfiguredIdp" 
} 
Verifique se o utilizador convidado é de um parceiro federado externamente antes de experimentar o Azure AD para autenticação.

Definições de acesso entre inquilinos vs. restrições de inquilino

As definições de acesso entre inquilinos são controlos de saída para controlar a forma como as contas da sua organização são utilizadas para aceder a recursos noutras organizações do Microsoft Entra. As Restrições de Inquilinos destinam-se a controlar a forma como os seus funcionários utilizam as contas de outras organizações do Microsoft Entra enquanto o funcionário está nas suas redes ou dispositivos. Criticamente, os controlos de saída funcionam sempre porque estão associados às suas contas, enquanto as Restrições de Inquilinos exigem que sejam injetados mais sinais nos pedidos de autenticação a serem aplicados, porque as restrições de inquilino estão confinadas a redes e dispositivos e não a contas. Saiba mais sobre as restrições de inquilinos.