Vue d’ensemble de l’API paramètres d’accès interlocataire

Espace de noms: microsoft.graph

Importante

Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .

Dans la collaboration traditionnelle Microsoft Entra B2B, tout utilisateur invité d’une organisation peut utiliser son identité pour accéder aux ressources d’organisations externes. Les administrateurs n’avaient pas de contrôle sur les identités d’utilisateur dans leur locataire qui sont autorisées à se connecter à des organisations externes. Ces contrôles limités rendaient difficile l’utilisation non autorisée des identités de votre organisation.

Les paramètres d’accès interlocataire vous permettent de contrôler et de gérer la collaboration entre les utilisateurs de votre organisation et d’autres organisations. Le contrôle peut être sur une ou une combinaison des configurations suivantes :

  • Accès sortant : comment vos utilisateurs collaborent avec d’autres organisations.
  • accès entrant : comment d’autres organisations collaborent avec vous.
  • accès aux restrictions de locataire : comment vos utilisateurs collaborent avec d’autres organisations à l’aide d’autres identités d’organisation à partir de votre réseau ou de vos appareils.

Les contrôles granulaires vous permettent de déterminer les utilisateurs, les groupes et les applications, à la fois dans votre organisation et dans les organisations externes, qui peuvent participer à la collaboration entre locataires. Ces contrôles sont implémentés via :

  • Paramètres d’accès interlocataire par défaut qui définissent les paramètres de base pour l’accès entrant et sortant et les restrictions de locataire.

    • Dans Microsoft Entra B2B Collaboration, les paramètres d’accès entrant et sortant sont activés par défaut. Cette configuration par défaut signifie que tous vos utilisateurs peuvent être invités à des organisations externes, et que tous vos utilisateurs peuvent inviter des utilisateurs invités.
    • Dans La connexion directe Microsoft Entra B2B, les paramètres d’accès entrant et sortant sont désactivés par défaut.
    • Les paramètres par défaut du service peuvent être mis à jour.
    • Dans Restrictions de locataire, tous les paramètres d’accès sont désactivés par défaut.
  • Paramètres d’accès spécifiques au partenaire qui vous permettent de configurer des paramètres personnalisés pour des organisations individuelles. Pour les organisations configurées, cette configuration est prioritaire sur les paramètres par défaut. Par conséquent, même si la collaboration Microsoft Entra B2B, la connexion directe Microsoft Entra B2B et les restrictions de locataire peuvent être désactivées au sein de votre organisation, vous pouvez activer ces fonctionnalités pour une organisation externe spécifique.

Importante

En configurant les paramètres sortants de connexion directe B2B, vous autorisez les organisations externes avec lesquelles vous avez activé les paramètres sortants à accéder à des données de contact limitées sur vos utilisateurs. Microsoft partage ces données avec ces organisations pour les aider à envoyer une demande de connexion avec vos utilisateurs. Les données collectées par des organisations externes, y compris les données de contact limitées, sont soumises aux politiques et pratiques de confidentialité de ces organisations.

Paramètres d’accès interlocataire par défaut

Les paramètres d’accès interlocataire par défaut déterminent votre position en matière de collaboration entrante et sortante et de restrictions de locataire avec toutes les autres organisations Microsoft Entra. Toute collaboration externe avec une organisation non répertoriée explicitement dans vos paramètres d’accès interlocataire hérite de ces paramètres par défaut. Les paramètres par défaut sont définis à l’aide du type de ressource crossTenantAccessPolicyConfigurationDefault .

Par défaut, l’ID Microsoft Entra affecte à tous les locataires Microsoft Entra une configuration de service par défaut pour les paramètres d’accès interlocataire. Vous pouvez remplacer ces valeurs de service par défaut avec votre propre configuration pour l’adapter à votre organisation. Vous pouvez vérifier si vous utilisez les paramètres par défaut du service ou les paramètres personnalisés en examinant la propriété isServiceDefault retournée lorsque vous interrogez le point de terminaison par défaut.

Paramètres d’accès interlocataire du partenaire

Les paramètres d’accès interlocataire spécifiques aux partenaires déterminent votre position en matière de collaboration entrante et sortante et de restrictions de locataire avec une organisation Microsoft Entra spécifique. Toute collaboration avec cette organisation hérite de ces paramètres spécifiques au partenaire. Les paramètres de partenaire sont définis à l’aide du type de ressource crossTenantAccessPolicyConfigurationPartner .

Sauf si vous configurez toutes les propriétés de l’objet spécifique au partenaire, certains de vos paramètres par défaut peuvent toujours s’appliquer. Par exemple, si vous configurez uniquement b2bCollaborationInbound pour un partenaire dans vos paramètres d’accès interlocataire, la configuration du partenaire hérite des autres paramètres des paramètres d’accès interlocataires par défaut. Lors de l’interrogation du point de terminaison du partenaire, toute propriété sur l’objet null partenaire qui hérite des paramètres de la stratégie par défaut.

Paramètres d’approbation entrante dans les paramètres d’accès interlocataire

Les paramètres de confiance entrante vous permettent de faire confiance aux utilisateurs invités MFA dans leurs répertoires de base, ce qui évite aux utilisateurs invités d’avoir à effectuer l’authentification multifacteur à la fois dans leurs répertoires de base et dans votre annuaire. Avec les paramètres de confiance entrante, vous activez une expérience d’authentification transparente pour vos utilisateurs invités et vous économisez sur les coûts d’authentification multifacteur engagés par votre organisation.

Par exemple, lorsque vous configurez vos paramètres d’approbation pour approuver l’authentification multifacteur, vos stratégies MFA sont toujours appliquées aux utilisateurs invités, mais les utilisateurs qui ont déjà effectué l’authentification multifacteur dans leurs locataires d’origine n’ont pas à effectuer à nouveau l’authentification multifacteur dans votre locataire.

Les paramètres d’approbation entrante vous permettent également d’approuver des appareils conformes ou joints hybrides Microsoft Entra dans leurs répertoires de base. Avec les paramètres de confiance entrante dans les paramètres d’accès interlocataire, vous pouvez désormais protéger l’accès à vos applications et ressources en exigeant que les utilisateurs invités utilisent des appareils conformes ou joints hybrides à Microsoft Entra.

Synchronisation interlocataire entrante dans les paramètres d’accès interlocataire

Vous pouvez activer la synchronisation entre locataires pour synchroniser les utilisateurs d’un locataire partenaire. La synchronisation entre locataires est un service de synchronisation unidirectionnelle dans l’ID Microsoft Entra qui automatise la création, la mise à jour et la suppression d’utilisateurs B2B Collaboration entre les locataires d’une organisation. Vous créez une stratégie de synchronisation utilisateur pour simplifier la collaboration entre les utilisateurs des organisations multilocataires. Les paramètres de synchronisation des utilisateurs partenaires sont définis à l’aide du type de ressource crossTenantIdentitySyncPolicyPartner .

Collaborer avec des organisations à l’aide de l’ID Microsoft Entra dans différents clouds Microsoft

Les paramètres d’accès interlocataire sont utilisés pour activer la collaboration avec les organisations Microsoft Entra dans des clouds Microsoft distincts. La allowedCloudEndpoints propriété vous permet de spécifier les clouds Microsoft auxquels vous souhaitez étendre votre collaboration. La collaboration B2B est prise en charge entre les clouds Microsoft suivants :

  • Microsoft Azure commercial et Microsoft Azure Government
  • Microsoft Azure commercial et Microsoft Azure Chine

En savoir plus sur la collaboration avec des organisations à partir d’un autre cloud Microsoft.

Interprétation de la réponse de l’API

L’API des paramètres d’accès interlocataire peut être utilisée pour configurer plusieurs configurations afin d’autoriser ou de bloquer l’accès à et à partir de votre organisation. Le tableau suivant met en évidence les scénarios, montre un exemple de réponse de l’API et ce que doit être l’interprétation de cette réponse. b2bSetting est utilisé comme espace réservé pour toute configuration entrante B2B (b2bCollaborationInbound ou b2bDirectConnectInbound) ou sortante (b2bCollaborationOutbound ou b2bDirectConnectOutbound) ou de client (tenantRestrictions).


Scénario Sortie de l’API Interprétation
Bloquer tous les utilisateurs et bloquer toutes les applications
"b2bsetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
-
Autoriser tous les utilisateurs et autoriser toutes les applications
"b2bsetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
-
Autoriser les utilisateurs du groupe « g1 » à accéder à n’importe quelle application
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
Les utilisateurs du groupe « g1 » peuvent accéder à n’importe quelle application. Tous les autres utilisateurs qui ne font pas partie du groupe « g1 » sont bloqués.
Autoriser l’accès à l’application « a1 » uniquement
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Tous les utilisateurs sont uniquement autorisés à accéder à l’application « a1 »
Autoriser les utilisateurs du groupe « g1 » et bloquer l’accès à l’application « a1 »
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Tous les utilisateurs du groupe « g1 » sont autorisés à accéder à n’importe quelle application, à l’exception de l’application « a1 ».
Empêcher les utilisateurs du groupe « g1 » d’accéder à n’importe quelle application
"b2bSetting": {
    "usersAndGroups": {
        "accessType": " blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}
Les utilisateurs du groupe « g1 » ne peuvent accéder à aucune application. Les autres utilisateurs qui ne font pas partie du groupe « g1 » ont accès à toutes les applications.
Bloquer les utilisateurs dans le groupe « g1 » et autoriser l’accès à l’application « a1 » uniquement
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Les utilisateurs du groupe « g1 » ne peuvent accéder à aucune application. Tout utilisateur qui n’est pas dans le groupe « g1 » peut uniquement accéder à l’application « a1 ».
Autoriser les utilisateurs du groupe « g1 » à accéder uniquement à l’application « a1 »
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Les utilisateurs du groupe « g1 » sont uniquement autorisés à accéder à l’application « a1 ». Tous les utilisateurs, y compris les utilisateurs du groupe « g1 », ne peuvent pas accéder à toute autre application.
Empêcher les utilisateurs du groupe « g1 » d’accéder à l’application « a1 »
"b2bSetting": {
    "usersAndGroups": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "g1",
                "targetType": "group"
            }
        ]
    },
    "applications": {
        "accessType": "blocked",
        "targets": [
            {
                "target": "a1",
                "targetType": "application"
            }
        ]
    }
}
Les utilisateurs du groupe « g1 » ne peuvent pas accéder à l’application « a1 » uniquement. Tous les utilisateurs, y compris les utilisateurs du groupe « g1 », peuvent accéder à n’importe quelle autre application.
Hiérarchiser l’utilisation d’une fédération externe sur Azure AD lors de l’échange d’invitation d’utilisateur invité
"invitationRedemptionIdentityProviderConfiguration": { 
    "primaryIdentityProviderPrecedenceOrder": [ 
        "externalFederation",
        "azureActiveDirectory", 
        "socialIdentityProviders" 
    ], 
    "fallbackIdentityProvider": "defaultConfiguredIdp" 
} 
Vérifiez si l’utilisateur invité provient d’un partenaire fédéré externe avant d’essayer Azure AD pour l’authentification.

Paramètres d’accès interlocataire et restrictions de locataire

Les paramètres d’accès interlocataire les contrôles sortants permettent de contrôler la façon dont les comptes de votre organisation sont utilisés pour accéder aux ressources dans d’autres organisations Microsoft Entra. Les restrictions de locataire permettent de contrôler la façon dont vos employés utilisent les comptes d’autres organisations Microsoft Entra pendant que l’employé se trouve sur vos réseaux ou appareils. Il est important de noter que les contrôles sortants fonctionnent tout le temps, car ils sont associés à vos comptes, tandis que les restrictions de locataire nécessitent l’injection de signaux supplémentaires dans les demandes d’authentification à appliquer, car les restrictions de locataire sont étendues aux réseaux et appareils, et non aux comptes. En savoir plus sur les restrictions de locataire.