Visão geral: acesso entre locatários com a ID externa do Microsoft Entra

Aplica-se a: Círculo verde com um símbolo de marca de seleção branco. Locatários da força de trabalho Círculo branco com um símbolo X cinza. Locatários externos(saiba mais)

As organizações do Microsoft Entra podem usar as configurações de acesso entre locatários de ID externa para gerenciar a colaboração com outras organizações do Microsoft Entra e outras nuvens do Microsoft Azure por meio da colaboração B2B e da conexão direta de B2B. As configurações de acesso entre locatários fornecem controle granular sobre o acesso de entrada e saída, permitindo que você confie na MFA (autenticação multifator) e nas declarações de dispositivo de outras organizações.

Este artigo aborda as configurações de acesso entre locatários para gerenciar a colaboração B2B e a conexão direta de B2B com as organizações externas do Microsoft Entra, incluindo através de nuvens da Microsoft. Outras configurações estão disponíveis para colaboração B2B com identidades que não sejam do Microsoft Entra (por exemplo, identidades sociais ou contas externas não gerenciadas por TI). Essas configurações de colaboração externa incluem opções para restringir o acesso de usuários convidados, especificar quem pode enviar convites e permitir ou bloquear domínios.

Não há limites para o número de organizações que você pode adicionar nas configurações de acesso entre locatários.

Gerenciar o acesso externo com as configurações de entrada e de saída

As configurações de acesso entre locatários de identidades externas gerenciam a colaboração com outras organizações do Microsoft Entra. Essas configurações determinam o nível de acesso de entrada que os usuários nas organizações externas do Microsoft Entra têm aos seus recursos, bem como o nível de acesso de saída que os usuários têm nas organizações externas.

O diagrama a seguir mostra as configurações de entrada e saída de acesso entre locatários. O locatário de recursos do Microsoft Entra é o locatário que contém os recursos que serão compartilhados. No caso da colaboração B2B, o locatário de recursos é o locatário que faz o convite (por exemplo, o locatário corporativo para o qual você deseja convidar os usuários externos). O locatário inicial do Microsoft Entra do usuário é o locatário em que os usuários externos são gerenciados.

Diagrama de visão geral das configurações de acesso entre locatários.

Por padrão, a colaboração B2B com outras organizações do Microsoft Entra é habilitada e a conexão direta de B2B é bloqueada. Mas as seguintes configurações abrangentes de administrador permitem que você gerencie esses dois recursos.

  • As configurações de acesso de saída controlam se os usuários podem acessar recursos em uma organização externa. É possível aplicar essas configurações a todos ou especificar usuários, grupos e aplicativos individuais.

  • As configurações de acesso de entrada controlam se os usuários de organizações externas do Microsoft Entra podem acessar recursos em sua organização. É possível aplicar essas configurações a todos ou especificar usuários, grupos e aplicativos individuais.

  • As configurações de confiança (entrada) determinam se suas políticas de acesso condicional confiarão na MFA (autenticação multifator), no dispositivo em conformidade e nas declarações de dispositivos ingressados de forma híbrida no Microsoft Entra de uma organização externa se os usuários já atenderam a esses requisitos em seus locatários de residência. Por exemplo, quando você define suas configurações de confiança para confiar na MFA, suas políticas de MFA ainda são aplicadas a usuários externos, mas os usuários que já concluíram a MFA em seus locatários de residência não terão que concluir a MFA novamente em seu locatário.

Configurações padrão

As configurações de acesso entre locatários padrão se aplicam a todas as organizações do Microsoft Entra externas ao seu locatário, exceto aquelas para as quais você definiu as configurações organizacionais. É possível alterar as configurações padrão, mas as configurações padrão iniciais para colaboração B2B e conexão direta de B2B são as seguinte:

  • Colaboração B2B: todos os usuários internos estão habilitados para colaboração B2B por padrão. Com essa configuração, seus usuários podem convidar agentes externos para acessar seus recursos e ser convidados para organizações externas. As declarações de dispositivo e MFA de outras organizações do Microsoft Entra não são confiáveis.

  • Conexão direta de B2B: nenhuma relação de confiança de conexão direta de B2B é estabelecida por padrão. O Microsoft Entra ID bloqueia todos os recursos de conexão direta B2B de entrada e saída para todos os locatários externos do Microsoft Entra.

  • Configurações organizacionais: nenhuma organização é adicionada às configurações organizacionais por padrão. Isso significa que todas as organizações externas do Microsoft Entra estão habilitadas para colaboração B2B com sua organização.

  • Sincronização entre locatários: nenhum usuário de outros locatários é sincronizado em seu locatário com a sincronização entre locatários.

Essas configurações padrão se aplicam à colaboração B2B com outros locatários do Microsoft Entra na mesma nuvem do Microsoft Azure. Em cenários entre nuvens, as configurações padrão funcionam de maneira um pouco diferente. Confira as configurações de nuvem da Microsoft mais adiante neste artigo.

Configurações organizacionais

É possível definir configurações específicas da organização adicionando uma organização e modificando as configurações de entrada e saída para essa organização. As configurações organizacionais têm precedência sobre as configurações padrão.

  • Colaboração B2B: use as configurações de acesso entre locatários para gerenciar a colaboração B2B de entrada e de saída e o acesso ao escopo para usuários, grupos e aplicativos específicos. Defina uma configuração padrão que se aplica a todas as organizações externas e crie configurações individuais específicas da organização, conforme necessário. Usando as configurações de acesso entre locatários, você também pode confiar em declarações de dispositivo (declarações em conformidade e declarações de ingresso no Microsoft Entra híbrido) e da MFA (multifator) de outras organizações do Microsoft Entra.

    Dica

    Recomendamos excluir usuários externos da política de registro de MFA de proteção de identidade, se você pretende confiar em MFA para usuários externos. Quando ambas as políticas estiverem presentes, os usuários externos não poderão atender aos requisitos de acesso.

  • Conexão direta de B2B: para conexão direta de B2B, use as configurações organizacionais para configurar uma relação de confiança mútua com outra organização do Microsoft Entra. Tanto a sua organização quanto a organização externa precisam habilitar mutuamente a conexão direta de B2B definindo configurações de acesso entre locatários de entrada e de saída.

  • Use as Configurações de colaboração externa para limitar quem pode convidar usuários externos, permitir ou bloquear domínios específicos de B2B e definir restrições de acesso de usuário convidado ao seu diretório.

Configuração de resgate automático

A configuração de resgate automático é uma configuração de confiança organizacional de entrada e de saída para resgatar automaticamente convites para que os usuários não precisem aceitar o prompt de consentimento na primeira vez que acessarem o locatário de recurso/destino. Essa configuração é uma caixa de seleção com o seguinte nome:

  • Resgatar convites automaticamente com o locatário<locatário>

Captura de tela que mostra a caixa de seleção do resgate automático de entrada.

Comparar configurações para cenários diferentes

A configuração de resgate automático se aplica à sincronização entre locatários, à colaboração B2B e à conexão direta de B2B nas seguintes situações:

  • Quando usuários são criados em um locatário de destino usando a sincronização entre locatários.
  • Quando usuários são adicionados a um locatário de recurso usando a colaboração B2B.
  • Quando usuários acessam recursos em um locatário de recurso usando a conexão direta de B2B.

A seguinte tabela mostra como essa configuração se compara quando habilitada para esses cenários:

Item Sincronização entre locatários Colaboração B2B Conexão direta de B2B
Configuração de resgate automático Obrigatório Opcional Opcional
Os usuários recebem um email de convite de colaboração B2B No Não N/D
Os usuários precisam aceitar um prompt de consentimento No No No
Os usuários recebem um email de notificação de colaboração B2B No Sim N/D

Essa configuração não afeta experiências de consentimento do aplicativo. Para obter mais informações, confira Experiência de consentimento para aplicativos no Microsoft Entra ID. Essa configuração não tem suporte para organizações em diferentes ambientes de nuvem da Microsoft, como Azure comercial e Azure Governamental.

A configuração de resgate automático suprimirá o prompt de consentimento e o email de convite apenas se o locatário de origem/inicial (saída) e o locatário de recurso/destino (entrada) marcarem essa configuração.

Diagrama que mostra a configuração de resgate automático para saída e entrada.

A tabela a seguir mostra o comportamento do prompt de consentimento para usuários do locatário de origem quando a configuração de resgate automático está marcada para diferentes combinações de configurações de acesso entre locatários.

Locatário de origem/inicial Locatário de recurso/destino Comportamento do prompt de consentimento
para usuários do locatário de origem
Saída Entrada
Ícone de marca de seleção. Ícone de marca de seleção. Suprimido
Ícone de marca de seleção. Ícone de marca de seleção desmarcada. Não suprimido
Ícone de marca de seleção desmarcada. Ícone de marca de seleção. Não suprimido
Ícone de marca de seleção desmarcada. Ícone de marca de seleção desmarcada. Não suprimido
Entrada Saída
Ícone de marca de seleção. Ícone de marca de seleção. Não suprimido
Ícone de marca de seleção. Ícone de marca de seleção desmarcada. Não suprimido
Ícone de marca de seleção desmarcada. Ícone de marca de seleção. Não suprimido
Ícone de marca de seleção desmarcada. Ícone de marca de seleção desmarcada. Não suprimido

Para definir essa configuração usando o Microsoft Graph, consulte a API Atualizar crossTenantAccessPolicyConfigurationPartner. Para obter informações sobre como criar sua própria experiência de integração, consulte Gerenciador de convites de colaboração B2B.

Para obter mais informações, consulte Definir a sincronização entre locatários, Definir as configurações de acesso entre locatários para colaboração B2B e Definir as configurações de acesso entre locatários para conexão direta de B2B.

Resgate configurável

Com o resgate configurável, você pode personalizar a ordem dos provedores de identidade com os quais os usuários convidados podem entrar quando aceitarem o convite. Você pode habilitar o recurso e especificar a ordem de resgate na guia Ordem de resgate.

Captura de tela que mostra a guia Ordem de resgate.

Quando um usuário convidado seleciona o link Aceitar convite em um email de convite, o Microsoft Entra ID resgata o convite automaticamente de acordo com a ordem de resgate padrão. Quando você altera a ordem do provedor de identidade na nova guia Ordem de resgate, a nova ordem substitui a ordem de resgate padrão.

Você encontra provedores de identidade primários e provedores de identidade de fallback na guia Ordem de resgate.

Os provedores de identidade primários são os que têm federações com outras fontes de autenticação. Os provedores de identidade de fallback são usados quando um usuário não corresponde a um provedor de identidade primário.

Os provedores de identidade de fallback podem ser MSA (conta Microsoft), senha única de email ou ambos. Você não pode desabilitar ambos os provedores de identidade de fallback, mas pode desabilitar todos os provedores de identidade primários e usar apenas provedores de identidade de fallback para opções de resgate.

Ao usar esse recurso, considere as seguintes limitações conhecidas:

  • Se um usuário do Microsoft Entra ID que tem uma sessão de logon único (SSO) existente estiver autenticando usando senha única (OTP) de email, ele precisará escolher Usar outra conta e inserir novamente seu nome de usuário para acionar o fluxo OTP. Caso contrário, o utilizador receberá um erro indicando que a sua conta não existe no locatário do recurso.

  • Quando um usuário tem o mesmo e-mail no Microsoft Entra ID e nas contas da Microsoft, ele é solicitado a escolher entre usar o Microsoft Entra ID ou a conta da Microsoft, mesmo depois que o administrador desabilita a conta da Microsoft como método de resgate. Escolher a conta da Microsoft como uma opção de resgate é permitido, mesmo se o método estiver desabilitado.

Federação direta para domínios verificados do Microsoft Entra ID

A federação do provedor de identidade SAML/WS-Fed (federação direta) agora tem suporte para domínios verificados do Microsoft Entra ID. Esse recurso permite que você configure uma federação direta com um provedor de identidade externo para um domínio verificado no Microsoft Entra.

Observação

Verifique se o domínio não está verificado no mesmo locatário no qual você está tentando configurar a configuração de federação direta. Depois de configurar uma federação direta, você pode configurar a preferência de resgate do locatário e mover o provedor de identidade SAML/WS-Fed pelo Microsoft Entra ID por meio das novas configurações de acesso entre locatários de resgate configurável.

Quando o usuário convidado resgatar o convite, ele verá uma tela de consentimento tradicional e, em seguida, será redirecionado para a página Meus Aplicativos. No locatário do recurso, o perfil desse usuário de federação direta mostra que o convite foi resgatado com êxito, com a federação externa listada como o emissor.

Captura de tela do provedor de federação direta em identidades de usuário.

Impedir que os usuários B2B resgatem um convite usando contas Microsoft

Agora você pode impedir que os usuários convidados B2B usem contas da Microsoft para resgatar convites. Em vez disso, eles usam uma senha única enviada para seu email como o provedor de identidade de fallback. Eles não têm permissão para usar uma conta da Microsoft existente para resgatar convites, nem são solicitados a criar um novo. Você pode habilitar esse recurso em suas configurações de pedido de resgate desativando as contas da Microsoft nas opções do provedor de identidade de fallback.

Captura de tela da opção provedores de identidade de fallback.

Você sempre deve ter pelo menos um provedor de identidade de fallback ativo. Portanto, se você decidir desabilitar contas da Microsoft, precisará habilitar a opção de senha única de email. Os usuários convidados existentes que já entrarem com contas da Microsoft continuam a fazê-lo para entradas futuras. Para aplicar as novas configurações a elas, você precisa redefinir o status de resgate.

Configuração da sincronização entre locatários

A configuração da sincronização entre locatários é uma configuração organizacional somente de entrada para permitir que o administrador de um locatário de origem sincronize os usuários em um locatário de destino. Essa configuração é uma caixa de seleção com o nome Permitir que os usuários sincronizem com esse locatário especificada no locatário de destino. Ela não afeta convites B2B criados por meio de outros processos, como convite manual ou gerenciamento de direitos do Microsoft Entra.

Captura de tela que mostra a guia Sincronização entre locatários, com a caixa de seleção Permitir sincronização de usuários para este locatário.

Para definir essa configuração usando o Microsoft Graph, consulte a API Atualizar crossTenantIdentitySyncPolicyPartner. Para obter mais informações, consulte Configurar a sincronização entre locatários.

Restrições de locatário

Com as configurações de Restrições de Locatário, você pode controlar os tipos de contas externas que seus usuários podem usar nos dispositivos gerenciados, incluindo:

  • Contas que seus usuários criaram em locatários desconhecidos.
  • Contas que organizações externas deram aos usuários para que possam acessar os recursos dessa organização.

É recomendável configurar suas restrições de locatário para não permitir esses tipos de contas externas e usar a colaboração B2B. A colaboração B2B permite:

  • Usar o Acesso Condicional e impor a autenticação multifator para usuários de colaboração B2B.
  • Gerenciar acesso de entrada e saída.
  • Encerrar sessões e credenciais quando o status do emprego de um usuário de colaboração B2B mudar ou suas credenciais forem violadas.
  • Use logs de entrada para exibir detalhes sobre o usuário de colaboração B2B.

As restrições de locatário são independentes de outras configurações de acesso entre locatários, portanto, qualquer configuração de entrada, saída ou confiança que você definiu não afetará as restrições de locatário. Para obter detalhes sobre como configurar restrições de locatário, consulte Configurar restrições de locatário V2.

Configurações de nuvem da Microsoft

As configurações de nuvem da Microsoft permitem que você colabore com organizações de diferentes nuvens do Microsoft Azure. Com as configurações de nuvem da Microsoft, você pode estabelecer a colaboração B2B mútua entre as seguintes nuvens:

  • Nuvem comercial do Microsoft Azure e Microsoft Azure Governamental, que inclui as nuvens do Office GCC-High e DoD
  • Nuvem comercial do Microsoft Azure e Microsoft Azure operado pela 21Vianet (operado pela 21Vianet)

Observação

Não há suporte para a conexão direta de B2B para colaboração com locatários do Microsoft Entra em uma nuvem diferente da Microsoft.

Para obter mais informações, consulte o artigo Definir as configurações da Microsoft Cloud para colaboração B2B.

Considerações importantes

Importante

A alteração das configurações padrão de entrada ou de saída para bloquear o acesso pode bloquear o acesso comercialmente crítico existente aos aplicativos na sua organização ou em organizações parceiras. Use as ferramentas descritas neste artigo e consulte seus stakeholders de negócios para identificar o acesso necessário.

  • Para definir as configurações de acesso entre locatários no portal do Azure, você precisará ter uma conta com, no mínimo, um Administrador da segurança ou uma função personalizada definida por você.

  • Para definir configurações de confiança ou aplicar configurações de acesso a usuários, grupos ou aplicativos específicos, você precisará de uma licença do Microsoft Entra ID P1. A licença é necessária no locatário configurado por você. Para conexão direta de B2B, em que é necessária uma relação de confiança mútua com outra organização do Microsoft Entra, uma licença do Microsoft Entra ID P1 é necessária em ambos os locatários.

  • As configurações de acesso entre locatários são usadas para gerenciar a colaboração B2B e a conexão direta de B2B com outras organizações do Microsoft Entra. Para colaboração B2B com identidades que não sejam do Microsoft Entra (por exemplo, identidades sociais ou contas externas não gerenciadas por TI), use configurações de colaboração externa. As configurações de colaboração externa incluem opções de colaboração B2B para restringir o acesso do usuário convidado, especificar quem pode enviar convites e permitir ou bloquear domínios.

  • Caso deseje aplicar as configurações de acesso a usuários, grupos ou aplicativos específicos em uma organização externa, entre em contato com a organização para obter informações antes de definir as configurações. Obtenha as IDs de objeto de usuário, as IDs de objeto de grupo ou as IDs do aplicativo (IDs do aplicativo cliente ou IDs do aplicativo de recurso) para que você possa direcionar as configurações corretamente.

    Dica

    É possível encontrar as IDs de aplicativo para aplicativos em organizações externas verificando os logs de entrada. Consulte a seção Identificar entrada e saída.

  • As configurações de acesso que você define para usuários e grupos devem corresponder às configurações de acesso para aplicativos. Configurações conflitantes não são permitidas e você verá mensagens de aviso se tentar configurá-las.

    • Exemplo 1: se você bloquear o acesso de entrada para todos os usuários e grupos externos, o acesso a todos os seus aplicativos também deverá ser bloqueado.

    • Exemplo 2: se permitir o acesso de saída de todos os usuários (ou de usuários/grupos específicos), você será impedido de bloquear todo o acesso a aplicativos externos; o acesso a pelo menos um aplicativo deve ser permitido.

  • Se quiser permitir a ligação direta B2B com uma organização externa e as suas políticas de Acesso Condicional exigirem MFA, deverá configurar as suas definições de confiança para aceitar reclamações de MFA da organização externa.

  • SSe você bloquear o acesso a todos os aplicativos por padrão, os usuários não conseguirão ler e-mails criptografados com o Microsoft Rights Management Service, também conhecido como criptografia de mensagens do Office 365 (OME). Para evitar esse problema, recomendamos definir as configurações de saída para permitir que os usuários acessem esta ID do aplicativo: 00000012-0000-0000-c000-000000000000. Se você permitir apenas esse aplicativo, o acesso a todos os outros aplicativos será bloqueado por padrão.

Funções personalizadas para gerenciar configurações de acesso entre locatários

ê pode criar funções personalizadas para gerenciar as configurações de acesso entre locatários. Saiba mais sobre funções personalizadas aqui.

Proteger ações administrativas de acesso entre locatários

Todas as ações que modificam as configurações de acesso entre locatários são consideradas ações protegidas e podem ser protegidas adicionalmente com políticas de Acesso Condicional. Para obter mais informações e etapas de configuração, consulte ações protegidas.

Identificar as entrada de entrada e saída

Várias ferramentas estão disponíveis para ajudá-lo a identificar o acesso de que seus usuários e parceiros precisam antes de definir as configurações de acesso de entrada e saída. Para garantir que você não remova o acesso de que seus usuários e parceiros precisam, você deve examinar o comportamento atual de entrada. A etapa preliminar ajudará a evitar a perda de acesso desejado para os usuários finais e os usuários parceiros. No entanto, em alguns casos, esses logs são retidos apenas por 30 dias, portanto, é recomendável que você fale com seus stakeholders de negócios para garantir que o acesso necessário não seja perdido.

Ferramenta Método
Script do PowerShell de atividade de login entre locatários Para revisar a atividade de entrada de usuários associados a organizações externas, utilize o script do PowerShell de atividade de entrada do usuário entre locatários do MSIdentityTools.
Script do PowerShell de logs de entrada Para determinar o acesso dos usuários a organizações externas do Microsoft Entra, use o cmdlet Get-MgAuditLogSignIn.
Azure Monitor Se sua organização assinar o serviço Azure Monitor, use a pasta de trabalho de atividade de acesso entre locatários.
Sistemas de SIEM (gerenciamento de eventos e informações de segurança) Se a sua organização exportar logs de entrada para um sistema SIEM (gerenciamento de eventos e informações de segurança), você poderá recuperar as informações necessárias do sistema SIEM.

Identificar alterações nas configurações de acesso entre locatários

Os logs de auditoria do Microsoft Entra capturam todas as atividades relacionadas às atividades e às alterações de configuração de acesso entre locatários. Para auditar as alterações nas configurações de acesso entre locatários, use a categoria de CrossTenantAccessSettings para filtrar todas as atividades e mostrar as alterações nas configurações de acesso entre locatários.

Captura de tela dos logs de auditoria para as configurações de acesso entre locatários.

Próximas etapas

Definir as configurações de acesso entre locatários para a colaboração B2B

Definir as configurações de acesso entre locatários para a conexão direta de B2B