Поделиться через

Управление параметрами доступа между клиентами для совместной работы B2B

  • Практическое руководство

Применяется: зеленый круг с символом белой галочки. Клиенты рабочей силы белый круг с серым символом X. Внешние клиенты (дополнительные сведения)

Используйте параметры доступа внешних удостоверений между клиентами для управления взаимодействием с другими организациями Microsoft Entra через совместную работу B2B. Эти параметры определяют уровень входящего доступа пользователей во внешних организациях Microsoft Entra для ваших ресурсов, а также уровень исходящего доступа пользователей к внешним организациям. Они также позволяют доверять многофакторной проверке подлинности (MFA) и утверждениям устройств (соответствующим утверждениям и гибридным утверждениям Microsoft Entra) из других организаций Microsoft Entra. Дополнительные сведения и рекомендации по планированию см. в Внешняя идентификация Microsoft Entra доступе между клиентами.

Совместная работа между облаками: Партнерские организации в разных облаках Майкрософт могут настроить совместную работу B2B друг с другом. Во-первых, обе организации должны включить совместную работу друг с другом, как описано в разделе "Настройка параметров облака Майкрософт". Затем каждая организация может дополнительно изменить параметры входящего доступа и параметры исходящего доступа, как описано ниже.

Внимание

Корпорация Майкрософт начинает переносить клиентов с помощью параметров доступа между клиентами в новую модель хранения 30 августа 2023 года. Вы можете заметить запись в журналах аудита, информируя вас о том, что параметры доступа между клиентами были обновлены, так как наша автоматическая задача переносит параметры. Для краткого окна во время процессов миграции вы не сможете внести изменения в параметры. Если вы не можете внести изменения, необходимо подождите несколько минут и повторите попытку изменения. После завершения миграции вы больше не будете ограничиваться 25 КБ дискового пространства и больше не будет ограничений на количество партнеров, которые можно добавить.

Необходимые компоненты

Внимание

Изменение параметров входящего или исходящего трафика по умолчанию на блокировку доступа может блокировать существующий критически важный для бизнеса доступ к приложениям в организации или партнерских организациях. Не забудьте использовать средства, описанные в межтенантном доступе в Microsoft Entra External ID , и обратитесь к заинтересованным лицам бизнеса, чтобы определить необходимый доступ.

  • Ознакомьтесь с разделом "Важные рекомендации " в обзоре доступа между клиентами перед настройкой параметров доступа между клиентами.
  • Используйте средства и следуйте рекомендациям в разделе "Идентификация входящих и исходящих входов ", чтобы понять, какие внешние организации и ресурсы Microsoft Entra в настоящее время обращаются к ним.
  • Определите уровень доступа по умолчанию, который вы хотите применить ко всем внешним организациям Microsoft Entra.
  • Определите все организации Microsoft Entra, которые нуждаются в настраиваемых параметрах, чтобы настроить для них параметры организации .
  • Если вы хотите применить параметры доступа к определенным пользователям, группам или приложениям во внешней организации, перед настройкой параметров необходимо связаться с организацией. Получите идентификаторы объектов пользователя, идентификаторы объектов группы или идентификаторы приложений (идентификаторы клиентских приложений или идентификаторы приложений ресурсов), чтобы правильно настроить параметры.
  • Если вы хотите настроить совместную работу B2B с партнерской организацией в внешнем облаке Microsoft Azure, выполните действия, описанные в разделе "Настройка параметров облака Майкрософт". Администратор в партнерской организации должен сделать то же самое для вашего клиента.
  • В момент приглашения проверяются как список разрешений, так и параметры доступа между клиентами. Если домен пользователя находится в списке разрешений, его можно пригласить, если домен явно не заблокирован в параметрах доступа между клиентами. Если домен пользователя находится в списке блокировок, он не может быть приглашен независимо от параметров доступа между клиентами. Если пользователь отсутствует в любом списке, мы проверяем параметры доступа между клиентами, чтобы определить, могут ли они быть приглашены.

Настройка параметров по умолчанию

Параметры доступа между клиентами по умолчанию применяются ко всем внешним организациям, для которых вы не создали настраиваемые параметры для конкретной организации. Если вы хотите изменить параметры идентификатора Microsoft Entra, предоставленные по умолчанию, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

  2. Перейдите к параметрам доступа длявнешних удостоверений>идентификатора> записеймежду клиентами, а затем выберите параметры доступа между клиентами.

  3. Выберите вкладку "Параметры по умолчанию " и просмотрите страницу сводки.

    Снимок экрана: вкладка параметров доступа между клиентами по умолчанию.

  4. Чтобы изменить параметры, выберите ссылку "Изменить входящие значения по умолчанию " или ссылку "Изменить исходящие значения по умолчанию ".

    Снимок экрана: кнопки редактирования для параметров по умолчанию.

  5. Измените параметры по умолчанию, выполнив действия в следующих разделах:

Добавление организации

Выполните приведенные ниже действия, чтобы задать настраиваемые параметры для конкретных организаций.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

  2. Перейдите к параметрам доступа длявнешних удостоверений>entra ID> длянескольких клиентов, а затем выберите параметры организации.

  3. Выберите "Добавить организацию".

  4. В области "Добавление организации " введите полное доменное имя (или идентификатор клиента) для организации.

    Снимок экрана: добавление организации.

  5. Выберите организацию в результатах поиска и нажмите кнопку "Добавить".

  6. Организация отображается в списке параметров организации . На этом этапе все параметры доступа для этой организации наследуются от параметров по умолчанию. Чтобы изменить параметры для этой организации, выберите ссылку "Наследуется от по умолчанию " в столбце "Исходящий доступ " или " Исходящий доступ ".

    Снимок экрана: организация, добавленная с параметрами по умолчанию.

  7. Измените параметры организации, выполнив действия в следующих разделах:

Изменение параметров входящего доступа

При использовании входящих параметров вы выбираете, какие внешние пользователи и группы могут получить доступ к выбранным внутренним приложениям. Действия по изменению параметров входящего доступа между арендаторами одинаковы как для параметров по умолчанию, так и для параметров организации. Как описано в этом разделе, перейдите на вкладку по умолчанию или организацию на вкладке "Параметры организации ", а затем внесите изменения.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

  2. Перейдите к параметрам доступа длявнешних удостоверений>идентификатора>записей между клиентами.

  3. Перейдите к параметрам, которые нужно изменить:

    • Параметры по умолчанию: чтобы изменить параметры входящего трафика по умолчанию, перейдите на вкладку " Параметры по умолчанию", а затем в разделе "Параметры входящего доступа" выберите "Изменить входящие значения по умолчанию".
    • Параметры организации. Чтобы изменить параметры для определенной организации, перейдите на вкладку "Параметры организации", найдите организацию в списке (или добавьте ее), а затем выберите ссылку в столбце "Входящий доступ ".

  4. Следуйте инструкциям для параметров входящего доступа, которые вы хотите изменить:

Примечание.

Если вы используете собственные возможности общего доступа в Microsoft SharePoint и Microsoft OneDrive с включенной интеграцией Microsoft Entra B2B , необходимо добавить внешние домены в параметры внешней совместной работы. В противном случае приглашения из этих приложений могут завершиться ошибкой, даже если внешний клиент был добавлен в параметры доступа между клиентами.

Изменение параметров входящего доступа для службы совместной работы B2B

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

  2. Перейдите к параметрам доступа длявнешних удостоверений>идентификатора> записей междуклиентами, а затем выберите параметры организации

  3. Выберите ссылку в столбце доступа для входящего трафика и совместной работы B2B , если вы блокируете доступ ко всем внешним пользователям и группам, также необходимо заблокировать доступ ко всем внутренним приложениям.

  4. Если вы настраиваете параметры входящего доступа для определенной организации, выберите параметр:

    • Параметры по умолчанию: выберите этот параметр, если требуется, чтобы организация использовала параметры входящего трафика по умолчанию (как настроено в параметрах по умолчанию , если вы блокируете доступ для всех внешних пользователей и групп, необходимо также заблокировать доступ ко всем внутренним приложениям. Если настроенные параметры уже настроены для этой организации, необходимо выбрать "Да ", чтобы убедиться, что все параметры будут заменены параметрами по умолчанию. Затем нажмите кнопку "Сохранить" и пропустите остальные действия, описанные в этой процедуре.

    • Настройка параметров. Выберите этот параметр, если вы хотите настроить параметры для применения для этой организации вместо параметров по умолчанию. Далее выполните остальные шаги этой процедуры.

  5. Выберите внешних пользователей и групп.

  6. В разделе "Состояние Access" выберите одно из следующих элементов:

    • Разрешить доступ: позволяет пользователям и группам, указанным в разделе "Область применения ", приглашать для совместной работы B2B.
    • Блокировать доступ. Блокирует доступ пользователей и групп, указанных в разделе "Область применения ", от приглашения на совместную работу B2B.

    Снимок экрана: выбор состояния доступа пользователя для совместной работы B2B.

  7. В разделе "Область применения" выберите одно из следующих элементов:

    • Все внешние пользователи и группы: применяет действие, выбранное в разделе "Доступ" ко всем пользователям и группам из внешних организаций Microsoft Entra.
    • Выберите внешних пользователей и группы (требуется подписка Microsoft Entra ID P1 или P2). Позволяет применить действие, выбранное в разделе "Доступ" для определенных пользователей и групп во внешней организации.

    Примечание.

    Если вы блокируете доступ для всех внешних пользователей и групп, необходимо также заблокировать доступ ко всем внутренним приложениям (на вкладке "Приложения "). Если вы настроили синхронизацию между клиентами, блокировка доступа для всех внешних пользователей и групп может блокировать синхронизацию между клиентами.

    Снимок экрана: выбор целевых пользователей и групп.

  8. Если вы выбрали выбор выбора внешних пользователей и групп, выполните следующие действия для каждого пользователя или группы, которую вы хотите добавить:

    • Выберите "Добавить внешних пользователей и группы".
    • В области "Добавление других пользователей и групп" в поле поиска введите идентификатор объекта пользователя или идентификатор объекта группы, полученный из партнерской организации.
    • В меню рядом с полем поиска выберите пользователя или группу.
    • Нажмите кнопку "Добавить".

    Примечание.

    Вы не можете использовать целевые пользователи или группы в параметрах по умолчанию для входящего трафика.

    Снимок экрана: добавление пользователей и групп.

  9. После добавления пользователей и групп нажмите кнопку "Отправить".

    Снимок экрана: отправка пользователей и групп.

  10. Перейдите на вкладку "Приложения ".

  11. В разделе "Состояние Access" выберите одно из следующих элементов:

    • Разрешить доступ: позволяет приложениям, указанным в разделе "Область применения ", получать доступ пользователям совместной работы B2B.
    • Блокировка доступа. Блокирует доступ к приложениям, указанным в разделе "Применимо", к доступу пользователей совместной работы B2B.

    Снимок экрана: состояние доступа к приложениям.

  12. В разделе "Область применения" выберите одно из следующих элементов:

    • Все приложения: применяет действие, выбранное в разделе "Доступ" ко всем приложениям.
    • Выберите приложения (требуется подписка Microsoft Entra ID P1 или P2). Позволяет применить действие, выбранное в разделе "Доступ" к определенным приложениям в вашей организации.

    Примечание.

    Если вы блокируете доступ ко всем приложениям, необходимо также заблокировать доступ для всех внешних пользователей и групп (на вкладке "Внешние пользователи и группы ").

    Снимок экрана: целевые приложения.

  13. Если вы выбрали выбор приложений, выполните следующие действия для каждого приложения, которое вы хотите добавить:

    • Выберите "Добавить приложения Майкрософт" или "Добавить другие приложения".
    • В области выбора введите имя приложения или идентификатор приложения ( идентификатор клиентского приложения или идентификатор приложения ресурса) в поле поиска. Затем выберите приложение в результатах поиска. Повторите эти действия для каждого приложения, которое нужно добавить.
    • После выбора приложений нажмите кнопку "Выбрать".

    Снимок экрана: выбор приложений.

  14. Нажмите кнопку "Сохранить".

Рекомендации по разрешению приложений Майкрософт

Если вы хотите настроить параметры доступа между клиентами , чтобы разрешить только указанный набор приложений, попробуйте добавить приложения Майкрософт, показанные в следующей таблице. Например, если настроить список разрешений и разрешить только SharePoint Online, пользователь не может получить доступ к моим приложениям или зарегистрироваться для MFA в клиенте ресурса. Чтобы обеспечить гладкое взаимодействие с конечным пользователем, включите следующие приложения в параметры входящего и исходящего взаимодействия.

Приложение ИД ресурса Доступно на портале Сведения
Мои приложения 2793995e-0a7d-40d7-bd35-6968ba142197 Да Целевая страница по умолчанию после активации приглашения. Определяет доступ к myapplications.microsoft.com.
Панель доступа к приложениям Макрософт 0000000c-0000-0000-c000-000000000000000 нет Используется в некоторых вызовах с поздними привязками при загрузке определенных страниц в моих входах. Например, колонка "Сведения о безопасности" или переключатель "Организации".
Мой профиль 8c59ead7-d703-4a27-9e55-c96a0054c8d2 Да Определяет доступ к myaccount.microsoft.com таким порталам, как "Мои группы" и "Мой доступ". Для работы некоторых вкладок в моем профиле требуются другие приложения, перечисленные здесь.
Мои входы 19db86c3-b2b9-44cc-b339-36da233a3be2 нет Определяет доступ к доступу к mysignins.microsoft.com данным безопасности. Разрешите этому приложению, если требуется, чтобы пользователи регистрируются и используют MFA в клиенте ресурсов (например, MFA не является доверенным из домашнего клиента).

Некоторые приложения в предыдущей таблице не разрешают выбор из Центра администрирования Microsoft Entra. Чтобы разрешить их, добавьте их с помощью API Microsoft Graph, как показано в следующем примере:

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

Примечание.

Не забудьте включить все дополнительные приложения, которые вы хотите разрешить в запросе PATCH, так как это перезаписывает все ранее настроенные приложения. Приложения, которые уже настроены, можно получить вручную на портале или запустив запрос GET в политике партнера. Например: GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>

Примечание.

Приложения, добавленные через API Microsoft Graph, которые не сопоставляются с приложением, доступным в Центре администрирования Microsoft Entra, будут отображаться в качестве идентификатора приложения.

Приложение "Порталы администрирования Майкрософт" нельзя добавить в параметры доступа между клиентами входящего и исходящего трафика в Центре администрирования Microsoft Entra. Чтобы разрешить внешний доступ к порталам администрирования Майкрософт, используйте API Microsoft Graph, чтобы отдельно добавить следующие приложения, которые входят в группу приложений Microsoft Admin Portals:

  • портал Azure (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Центр администрирования Microsoft Entra (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Портал Microsoft 365 Defender (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Центр администрирования Microsoft Intune (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Портал соответствия Требованиям Microsoft Purview (80ccca67-54bd-44ab-8625-4b79c4dc7775)

Настройка заказа на активацию

Чтобы настроить порядок поставщиков удостоверений, которые гостевые пользователи могут использовать для входа при принятии приглашения, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

  2. Перейдите к параметрам доступа длявнешних удостоверений>идентификатора>записей между клиентами.

  3. На вкладке "Параметры по умолчанию " в разделе "Параметры входящего доступа" выберите "Изменить входящие значения по умолчанию".

  4. На вкладке совместной работы B2B выберите вкладку "Заказ активации ".

  5. Переместите поставщиков удостоверений вверх или вниз, чтобы изменить порядок входа гостевых пользователей при принятии приглашения. Вы также можете сбросить заказ активации на параметры по умолчанию.

    Снимок экрана: вкладка заказа на активацию.

  6. Нажмите кнопку "Сохранить".

Вы также можете настроить заказ активации с помощью API Microsoft Graph.

  1. Откройте Обозреватель Microsoft Graph.

  2. Войдите по крайней мере администратором безопасности в клиент ресурсов.

  3. Выполните следующий запрос, чтобы получить текущий заказ на активацию:

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
  1. В этом примере мы переместим федерацию поставщика удостоверений SAML/WS-Fed в начало заказа на активацию выше поставщика удостоверений Microsoft Entra. Исправляйте тот же URI с этим текстом запроса:
{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}

  1. Чтобы проверить изменения, снова запустите запрос GET.

  2. Чтобы сбросить заказ активации на параметры по умолчанию, выполните следующий запрос:

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

Федерация SAML/WS-Fed (прямая федерация) для проверенных доменов Идентификатора Microsoft Entra

Теперь вы можете добавить проверенный домен Microsoft Entra ID, чтобы настроить прямую связь федерации. Сначала необходимо настроить конфигурацию прямой федерации в Центре администрирования или через API. Убедитесь, что домен не проверен в одном клиенте. После настройки конфигурации можно настроить заказ на активацию. Поставщик удостоверений SAML/WS-Fed добавляется в заказ на активацию в качестве последней записи. Его можно переместить в порядке активации, чтобы задать его над поставщиком удостоверений Microsoft Entra.

Запретить пользователям B2B активировать приглашение с помощью учетных записей Майкрософт

Чтобы запретить гостевым пользователям B2B активировать приглашение с помощью существующих учетных записей Майкрософт или создания нового, чтобы принять приглашение, выполните указанные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности

  2. Перейдите к параметрам доступа длявнешних удостоверений>идентификатора>записей между клиентами.

  3. На вкладке "Параметры по умолчанию " в разделе "Параметры входящего доступа" выберите "Изменить входящие значения по умолчанию".

  4. На вкладке совместной работы B2B выберите вкладку "Заказ активации ".

  5. В разделе "Резервные поставщики удостоверений" отключите учетную запись службы Майкрософт (MSA).

    Снимок экрана: параметр резервных поставщиков удостоверений.

  6. Нажмите кнопку "Сохранить".

Необходимо включить по крайней мере один резервный поставщик удостоверений в любое время. Если вы хотите отключить учетные записи Майкрософт, необходимо включить одноразовый секретный код электронной почты. Вы не можете отключить оба резервных поставщика удостоверений. Все существующие гостевые пользователи, вошедшего в систему с помощью учетных записей Майкрософт, продолжают использовать его во время последующих входов. Необходимо сбросить состояние активации для применения этого параметра.

Изменение параметров входящего доверия для MFA и утверждений устройств

  1. Перейдите на вкладку "Параметры доверия ".

  2. (Этот шаг применяется только к параметрам организации .) Если вы настраиваете параметры для организации, выберите одно из следующих вариантов:

    • Параметры по умолчанию: организация использует параметры, настроенные на вкладке "Параметры по умолчанию ". Если настроенные параметры уже настроены для этой организации, выберите "Да ", чтобы убедиться, что все параметры будут заменены параметрами по умолчанию. Затем нажмите кнопку "Сохранить" и пропустите остальные действия, описанные в этой процедуре.

    • Настройка параметров. Параметры можно настроить для применения для этой организации вместо параметров по умолчанию. Далее выполните остальные шаги этой процедуры.

  3. Выберите один или несколько следующих параметров:

    • Доверять многофакторной проверке подлинности из клиентов Microsoft Entra. Установите этот флажок, чтобы разрешить политикам условного доступа доверять утверждениям MFA из внешних организаций. Во время проверки подлинности идентификатор Microsoft Entra проверяет учетные данные пользователя для утверждения о том, что пользователь завершил многофакторную проверку подлинности. В противном случае вызов MFA инициируется в домашнем клиенте пользователя. Этот параметр не применяется, если внешний пользователь входит в систему с помощью подробных делегированных прав администратора (GDAP), таких как использование технического специалиста в поставщике облачных служб, который управляет службами в клиенте. Когда внешний пользователь входит в систему с помощью GDAP, MFA всегда требуется в домашнем клиенте пользователя и всегда доверяет клиенту ресурсов. Регистрация пользователя GDAP MFA не поддерживается за пределами домашнего клиента пользователя. Если у вашей организации есть требование запретить доступ к техническим специалистам поставщика услуг на основе MFA в домашнем клиенте пользователя, вы можете удалить связь GDAP в Центре администрирования Microsoft 365.

    • Доверенные устройства: позволяет политикам условного доступа доверять утверждениям устройств из внешней организации при доступе пользователей к ресурсам.

    • Доверять гибридным устройствам Microsoft Entra: позволяет политикам условного доступа доверять утверждениям гибридного присоединенного устройства Microsoft Entra из внешней организации при доступе пользователей к ресурсам.

    Снимок экрана: параметры доверия.

  4. (Этот шаг применяется только к параметрам организации .) Просмотрите параметр автоматического активации :

    • Автоматическое активация приглашений с помощью клиента<клиент>. Проверьте этот параметр, если вы хотите автоматически активировать приглашения. Если это так, пользователям из указанного клиента не придется принимать запрос согласия при первом доступе к этому клиенту с помощью межтенантной синхронизации, совместной работы B2B или прямого подключения B2B. Этот параметр подавляет только запрос согласия, если указанный клиент также проверяет этот параметр для исходящего доступа.

    Снимок экрана: флажок автоматического активации для входящего трафика.

  5. Нажмите кнопку "Сохранить".

Разрешить пользователям синхронизироваться с этим клиентом

Если выбрать входящий доступ для добавленной организации, вы увидите вкладку "Синхронизация между клиентами " и флажок "Разрешить пользователям синхронизироваться с этим клиентом ". Синхронизация между клиентами — это односторонняя служба синхронизации в идентификаторе Microsoft Entra, которая автоматизирует создание, обновление и удаление пользователей совместной работы B2B в организации. Дополнительные сведения см. в разделе "Настройка межтенантной синхронизации " и документации по мультитенантным организациям.

Снимок экрана: вкладка синхронизации между клиентами с флажок

Изменение параметров исходящего доступа

При использовании исходящих параметров вы выбираете, какие из пользователей и групп могут получить доступ к выбранным внешним приложениям. Действия по изменению параметров исходящего доступа между арендаторами одинаковы как для параметров по умолчанию, так и для параметров организации. Как описано в этом разделе, перейдите на вкладку по умолчанию или организацию на вкладке "Параметры организации ", а затем внесите изменения.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

  2. Перейдите к параметрам доступа длявнешних удостоверений>идентификатора>записей между клиентами.

  3. Перейдите к параметрам, которые нужно изменить:

    • Чтобы изменить параметры исходящего трафика по умолчанию, перейдите на вкладку "Параметры по умолчанию ", а затем в разделе "Параметры исходящего трафика" выберите "Изменить исходящие значения по умолчанию".

    • Чтобы изменить параметры для определенной организации, перейдите на вкладку "Параметры организации ", найдите организацию в списке (или добавьте ее), а затем выберите ссылку в столбце исходящего доступа .

  4. Перейдите на вкладку совместной работы B2B .

  5. (Этот шаг применяется только к параметрам организации .) Если вы настраиваете параметры для организации, выберите параметр:

    • Параметры по умолчанию: организация использует параметры, настроенные на вкладке "Параметры по умолчанию ". Если настроенные параметры уже настроены для этой организации, необходимо выбрать "Да ", чтобы убедиться, что все параметры будут заменены параметрами по умолчанию. Затем нажмите кнопку "Сохранить" и пропустите остальные действия, описанные в этой процедуре.

    • Настройка параметров. Параметры можно настроить для применения для этой организации вместо параметров по умолчанию. Далее выполните остальные шаги этой процедуры.

  6. Выберите пользователей и группы.

  7. В разделе "Состояние Access" выберите одно из следующих элементов:

    • Разрешить доступ: позволяет пользователям и группам, указанным в разделе "Область применения ", приглашаться во внешние организации для совместной работы B2B.
    • Блокировать доступ. Блокирует доступ пользователей и групп, указанных в разделе "Область применения ", от приглашения на совместную работу B2B. Если вы блокируете доступ для всех пользователей и групп, это также блокирует доступ ко всем внешним приложениям через совместную работу B2B.

    Снимок экрана: состояние доступа пользователей и групп для совместной работы b2b.

  8. В разделе "Область применения" выберите одно из следующих элементов:

    • Все <пользователи организации>: применяет действие, выбранное в разделе "Доступ" ко всем пользователям и группам.
    • Выберите <пользователей и группы организации> (требуется подписка Microsoft Entra ID P1 или P2). Позволяет применить действие, выбранное в разделе "Доступ" для определенных пользователей и групп.

    Примечание.

    Если вы блокируете доступ для всех пользователей и групп, необходимо также заблокировать доступ ко всем внешним приложениям (на вкладке "Внешние приложения ").

    Снимок экрана: выбор целевых пользователей для совместной работы b2b.

  9. Если вы выбрали Выбор <пользователей и групп организации>, выполните следующие действия для каждого пользователя или группы, которые вы хотите добавить:

    • Выберите "Добавить <пользователей и групп организации>".
    • В области выбора введите имя пользователя или имя группы в поле поиска.
    • Выберите пользователя или группу в результатах поиска.
    • После выбора пользователей и групп, которые вы хотите добавить, нажмите кнопку "Выбрать".

    Примечание.

    При выборе целевых пользователей и групп вы не сможете выбрать пользователей, настроивших проверку подлинности на основе SMS. Это связано с тем, что пользователи, у которых есть "федеративные учетные данные" в объекте пользователя, блокируются, чтобы предотвратить добавление внешних пользователей в параметры исходящего доступа. В качестве обходного решения можно использовать API Microsoft Graph для добавления идентификатора объекта пользователя непосредственно или целевой группы, к которой принадлежит пользователь.

  10. Перейдите на вкладку "Внешние приложения ".

  11. В разделе "Состояние Access" выберите одно из следующих элементов:

    • Разрешить доступ: позволяет внешним приложениям, указанным в разделе "Область применения ", получать доступ пользователям через совместную работу B2B.
    • Блокировка доступа. Блокирует доступ к внешним приложениям, указанным в разделе "Применимо", к доступу пользователей через совместную работу B2B.

    Снимок экрана: состояние доступа к приложениям для совместной работы b2b.

  12. В разделе "Область применения" выберите одно из следующих элементов:

    • Все внешние приложения: применяет действие, выбранное в разделе "Доступ" ко всем внешним приложениям.
    • Выберите внешние приложения: применяет действие, выбранное в разделе "Доступ" ко всем внешним приложениям.

    Примечание.

    Если вы блокируете доступ ко всем внешним приложениям, необходимо также заблокировать доступ для всех пользователей и групп (на вкладке "Пользователи и группы ").

    Снимок экрана: целевые объекты приложений для совместной работы b2b.

  13. Если вы выбрали выбор внешних приложений, выполните следующие действия для каждого приложения, которое вы хотите добавить:

    • Выберите "Добавить приложения Майкрософт" или "Добавить другие приложения".
    • В поле поиска введите имя приложения или идентификатор приложения ( идентификатор клиентского приложения или идентификатор приложения ресурса). Затем выберите приложение в результатах поиска. Повторите эти действия для каждого приложения, которое нужно добавить.
    • После выбора приложений нажмите кнопку "Выбрать".

    Снимок экрана: выбор приложений для совместной работы b2b.

  14. Нажмите кнопку "Сохранить".

Изменение параметров исходящего доверия

(Этот раздел относится только к параметрам организации .)

  1. Перейдите на вкладку "Параметры доверия ".

  2. Просмотрите параметр автоматического активации :

    • Автоматическое активация приглашений с помощью клиента<клиент>. Проверьте этот параметр, если вы хотите автоматически активировать приглашения. Если это так, пользователи из этого клиента не должны принимать запрос согласия при первом доступе к указанному клиенту с помощью межтенантной синхронизации, совместной работы B2B или прямого подключения B2B. Этот параметр подавляет только запрос согласия, если указанный клиент также проверяет этот параметр для входящего доступа.

      Снимок экрана: флажок для исходящего автоматического активации.

  3. Нажмите кнопку "Сохранить".

Удаление организации

При удалении организации из параметров организации параметры доступа между клиентами по умолчанию входят в силу для этой организации.

Примечание.

Если организация является поставщиком облачных служб для вашей организации (свойство isServiceProvider в конфигурации партнера Microsoft Graph имеет значение true), вы не сможете удалить организацию.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор безопасности.

  2. Перейдите к параметрам доступа длявнешних удостоверений>идентификатора>записей между клиентами.

  3. Перейдите на вкладку "Параметры организации ".

  4. Найдите организацию в списке, а затем нажмите на значок корзины в этой строке.

Связанный контент