Introducción a la API de configuración de acceso entre inquilinos
Espacio de nombres: microsoft.graph
En la colaboración tradicional de Microsoft Entra B2B, cualquier usuario invitado de una organización podría usar su identidad para acceder a los recursos de organizaciones externas. Los administradores no tenían control sobre las identidades de usuario en su inquilino que pueden iniciar sesión en organizaciones externas. Estos controles limitados dificultaban el uso de identidades de su organización de maneras no autorizadas.
La configuración de acceso entre inquilinos le permite controlar y administrar la colaboración entre los usuarios de su organización y otras organizaciones. El control puede estar en una o una combinación de las siguientes configuraciones:
- acceso saliente : cómo colaboran los usuarios con otras organizaciones.
- acceso entrante : cómo colaboran otras organizaciones con usted.
- Acceso a restricciones de inquilino: cómo los usuarios colaboran con otras organizaciones mediante otras identidades de la organización desde la red o los dispositivos.
Los controles pormenorizados permiten determinar los usuarios, grupos y aplicaciones, tanto en su organización como en organizaciones externas, que pueden participar en la colaboración entre inquilinos. Estos controles se implementan a través de:
Configuración predeterminada de acceso entre inquilinos que establece la configuración de línea base para el acceso entrante y saliente y las restricciones de inquilino.
- En la colaboración B2B de Microsoft Entra, la configuración de acceso entrante y saliente está habilitada de forma predeterminada. Esta configuración predeterminada significa que todos los usuarios pueden ser invitados a organizaciones externas y todos los usuarios pueden invitar a usuarios invitados.
- En Microsoft Entra B2B direct connect, la configuración de acceso entrante y saliente está deshabilitada de forma predeterminada.
- Es posible que se actualice la configuración predeterminada del servicio.
- En Restricciones de inquilino, toda la configuración de acceso está deshabilitada de forma predeterminada.
Opciones de acceso específicas del asociado que le permiten configurar opciones personalizadas para organizaciones individuales. Para las organizaciones configuradas, esta configuración tiene prioridad sobre la configuración predeterminada. Por lo tanto, aunque la colaboración B2B de Microsoft Entra, la conexión directa de Microsoft Entra B2B y las restricciones de inquilinos pueden deshabilitarse en toda la organización, puede habilitar estas características para una organización externa específica.
Importante
Al configurar la configuración de salida de conexión directa B2B, permite que las organizaciones externas con las que ha habilitado la configuración de salida accedan a datos de contacto limitados sobre los usuarios. Microsoft comparte estos datos con esas organizaciones para ayudarles a enviar una solicitud para conectarse con los usuarios. Los datos recopilados por organizaciones externas, incluidos los datos de contacto limitados, están sujetos a las directivas y prácticas de privacidad de esas organizaciones.
Configuración predeterminada de acceso entre inquilinos
La configuración predeterminada de acceso entre inquilinos determina la posición de las restricciones de colaboración entrante y saliente y de inquilino con todas las demás organizaciones de Microsoft Entra. Cualquier colaboración externa con una organización que no aparezca explícitamente en la configuración de acceso entre inquilinos hereda esta configuración predeterminada. La configuración predeterminada se define mediante el tipo de recurso crossTenantAccessPolicyConfigurationDefault .
De forma predeterminada, Microsoft Entra ID asigna a todos los inquilinos de Microsoft Entra una configuración predeterminada del servicio para la configuración de acceso entre inquilinos. Puede invalidar estos valores predeterminados de servicio con su propia configuración para adaptarse a su organización. Puede confirmar si usa la configuración predeterminada del servicio o la configuración personalizada examinando la propiedad isServiceDefault devuelta al consultar el punto de conexión predeterminado.
Configuración de acceso entre inquilinos de asociados
La configuración de acceso entre inquilinos específica del asociado determina la posición de la colaboración entrante y saliente y las restricciones de inquilino con una organización específica de Microsoft Entra. Cualquier colaboración con esta organización hereda esta configuración específica del asociado. La configuración del asociado se define mediante el tipo de recurso crossTenantAccessPolicyConfigurationPartner .
A menos que configure todas las propiedades del objeto específico del asociado, es posible que todavía se apliquen algunas de las opciones predeterminadas. Por ejemplo, si configura solo b2bCollaborationInbound para un asociado en la configuración de acceso entre inquilinos, la configuración del asociado hereda la otra configuración de la configuración predeterminada de acceso entre inquilinos. Al consultar el punto de conexión de asociado, cualquier propiedad del objeto de asociado que herede null
la configuración de la directiva predeterminada.
Configuración de confianza de entrada en la configuración de acceso entre inquilinos
La configuración de confianza entrante le permite confiar en que los usuarios invitados de MFA realizan en sus directorios principales, lo que impide que los usuarios invitados tengan que realizar MFA tanto en sus directorios principales como en el directorio. Con la configuración de confianza entrante, habilitará una experiencia de autenticación sin problemas para los usuarios invitados y ahorrará en los costos de MFA incurridos por su organización.
Por ejemplo, al configurar los valores de confianza para confiar en MFA, las directivas de MFA se siguen aplicando a los usuarios invitados, pero los usuarios que ya han completado MFA en sus inquilinos domésticos no tienen que volver a completar MFA en el inquilino.
La configuración de confianza entrante también le permite confiar en los dispositivos compatibles o en los híbridos de Microsoft Entra unidos a sus directorios principales. Con la configuración de confianza de entrada en la configuración de acceso entre inquilinos, ahora puede proteger el acceso a las aplicaciones y los recursos al requerir que los usuarios invitados usen dispositivos compatibles o dispositivos unidos híbridos a Microsoft Entra.
Sincronización entre inquilinos entrante en la configuración de acceso entre inquilinos
Puede habilitar la sincronización entre inquilinos para sincronizar usuarios de un inquilino asociado. La sincronización entre inquilinos es un servicio de sincronización unidireccional en Microsoft Entra ID que automatiza la creación, actualización y eliminación de usuarios de colaboración B2B entre inquilinos de una organización. Cree una directiva de sincronización de usuarios para simplificar la colaboración entre usuarios de organizaciones multiinquilino. La configuración de sincronización de usuarios asociados se define mediante el tipo de recurso crossTenantIdentitySyncPolicyPartner .
Colaboración con organizaciones que usan el identificador de Microsoft Entra en diferentes nubes de Microsoft
La configuración de acceso entre inquilinos se usa para habilitar la colaboración con organizaciones de Microsoft Entra en nubes independientes de Microsoft. La allowedCloudEndpoints
propiedad permite especificar a qué nubes de Microsoft desea ampliar la colaboración. La colaboración B2B se admite entre las siguientes nubes de Microsoft:
- Microsoft Azure commercial y Microsoft Azure Government
- Microsoft Azure commercial y Microsoft Azure China
Obtenga más información sobre cómo colaborar con organizaciones de otra nube de Microsoft.
Interpretación de la respuesta de la API
La API de configuración de acceso entre inquilinos se puede usar para configurar varias configuraciones para permitir o bloquear el acceso a la organización y desde ella. En la tabla siguiente se resaltan los escenarios, se muestra un ejemplo de la respuesta de LA API y cuál debe ser la interpretación de esa respuesta. b2bSetting se usa como marcador de posición para cualquier configuración de entrada B2B (b2bCollaborationInbound o b2bDirectConnectInbound) o saliente (b2bCollaborationOutbound o b2bDirectConnectOutbound) o restricciones de inquilino (tenantRestrictions).
Escenario | Salida de API | Interpretación |
---|---|---|
Bloquear a todos los usuarios y bloquear todas las aplicaciones |
|
- |
Permitir a todos los usuarios y permitir todas las aplicaciones |
|
- |
Permitir que los usuarios del grupo "g1" accedan a cualquier aplicación |
|
Los usuarios del grupo "g1" pueden acceder a cualquier aplicación. Todos los demás usuarios que no están en el grupo "g1" están bloqueados. |
Permitir el acceso solo a la aplicación 'a1' |
|
Solo se permite a todos los usuarios acceder a la aplicación 'a1' |
Permitir a los usuarios del grupo 'g1' y bloquear el acceso a la aplicación 'a1' |
|
Todos los usuarios del grupo "g1" pueden acceder a cualquier aplicación excepto a la aplicación 'a1'. |
Impedir que los usuarios del grupo "g1" accedan a cualquier aplicación |
|
Los usuarios del grupo "g1" no pueden acceder a ninguna aplicación. Otros usuarios que no están en el grupo "g1" tienen acceso a todas las aplicaciones. |
Bloquear usuarios en el grupo "g1" y permitir el acceso solo a la aplicación 'a1' |
|
Los usuarios del grupo "g1" no pueden acceder a ninguna aplicación. Cualquier usuario que no esté en el grupo "g1" solo puede acceder a la aplicación "a1". |
Permitir que los usuarios del grupo 'g1' accedan solo a la aplicación 'a1' |
|
Los usuarios del grupo "g1" solo pueden acceder a la aplicación "a1". A todos los usuarios, incluidos los usuarios del grupo "g1", se les impide acceder a cualquier otra aplicación. |
Impedir que los usuarios del grupo 'g1' accedan a la aplicación 'a1' |
|
A los usuarios del grupo "g1" solo se les impide acceder a la aplicación "a1". Todos los usuarios, incluidos los usuarios del grupo "g1", pueden acceder a cualquier otra aplicación. |
Priorizar el uso de una federación externa sobre el identificador de entra durante el canje de invitación del usuario invitado |
|
Compruebe si el usuario invitado procede de un asociado federado externamente antes de intentar la autenticación con El identificador de entra. |
Configuración de acceso entre inquilinos frente a restricciones de inquilino
Los controles salientes de la configuración de acceso entre inquilinos son para controlar cómo se usan las cuentas de su organización para acceder a los recursos de otras organizaciones de Microsoft Entra. Las restricciones de inquilino son para controlar cómo los empleados usan las cuentas de otras organizaciones de Microsoft Entra mientras el empleado está en sus redes o dispositivos. Críticamente, los controles salientes funcionan todo el tiempo porque están asociados a las cuentas, mientras que las restricciones de inquilino requieren que se inserten otras señales en las solicitudes de autenticación que se van a aplicar, ya que las restricciones de inquilino se limitan a redes y dispositivos, no a cuentas. Obtenga más información sobre las restricciones de inquilinos.