Hantera åtkomstinställningar mellan klientorganisationer för B2B-samarbete

  • Så här gör du

Gäller för:Grön cirkel med en vit bockmarkeringssymbol. Personalklientorganisationer Vit cirkel med en grå X-symbol. Externa klienter (läs mer)

Använd inställningar för åtkomst mellan klientorganisationer för externa identiteter för att hantera hur du samarbetar med andra Microsoft Entra-organisationer via B2B-samarbete. De här inställningarna avgör både vilken nivå av inkommande åtkomst användare i externa Microsoft Entra-organisationer har till dina resurser och nivån på utgående åtkomst som användarna har till externa organisationer. De låter dig också lita på multifaktorautentisering (MFA) och enhetsanspråk (kompatibla anspråk och Microsoft Entra hybridanslutna anspråk) från andra Microsoft Entra-organisationer. Mer information och planeringsöverväganden finns i Åtkomst mellan klientorganisationer i Externt ID för Microsoft Entra.

Samarbete mellan moln: Partnerorganisationer i olika Microsoft-moln kan konfigurera B2B-samarbete med varandra. För det första måste båda organisationerna aktivera samarbete med varandra enligt beskrivningen i Konfigurera Microsofts molninställningar. Varje organisation kan också ändra sina inställningar för inkommande åtkomst och inställningar för utgående åtkomst enligt beskrivningen nedan.

Viktigt!

Microsoft börjar flytta kunder med åtkomstinställningar mellan klientorganisationer till en ny lagringsmodell den 30 augusti 2023. Du kanske ser en post i granskningsloggarna som informerar dig om att inställningarna för åtkomst mellan klientorganisationer har uppdaterats när vår automatiserade uppgift migrerar dina inställningar. För ett kort fönster medan migreringsprocesserna, kommer du inte att kunna göra ändringar i dina inställningar. Om du inte kan göra en ändring bör du vänta en stund och försöka ändra igen. När migreringen är klar begränsas du inte längre med 25 kB lagringsutrymme och det finns inga fler gränser för hur många partner du kan lägga till.

Förutsättningar

Varning

Om du ändrar standardinställningarna för inkommande eller utgående trafik till Blockera åtkomst kan du blockera befintlig affärskritisk åtkomst till appar i din organisation eller partnerorganisationer. Se till att använda de verktyg som beskrivs i åtkomst mellan klientorganisationer i Microsoft Entra Externt ID och kontakta dina affärsintressenter för att identifiera den åtkomst som krävs.

  • Läs avsnittet Viktiga överväganden i översikten över åtkomst mellan klientorganisationer innan du konfigurerar inställningarna för åtkomst mellan klientorganisationer.
  • Använd verktygen och följ rekommendationerna i Identifiera inkommande och utgående inloggningar för att förstå vilka externa Microsoft Entra-organisationer och resurser som användare för närvarande har åtkomst till.
  • Bestäm vilken standardnivå av åtkomst du vill använda för alla externa Microsoft Entra-organisationer.
  • Identifiera alla Microsoft Entra-organisationer som behöver anpassade inställningar så att du kan konfigurera organisationsinställningar för dem.
  • Om du vill använda åtkomstinställningar för specifika användare, grupper eller program i en extern organisation måste du kontakta organisationen för information innan du konfigurerar inställningarna. Hämta användarobjekt-ID:n, gruppobjekt-ID:n eller program-ID:n (klientapp-ID: n eller resursapps-ID:n) så att du kan rikta inställningarna korrekt.
  • Om du vill konfigurera B2B-samarbete med en partnerorganisation i ett externt Microsoft Azure-moln följer du stegen i Konfigurera Microsoft-molninställningar. En administratör i partnerorganisationen måste göra samma sak för din klientorganisation.
  • Både tillåt/blockera-listan och inställningarna för åtkomst mellan klientorganisationer kontrolleras vid tidpunkten för inbjudan. Om en användares domän finns på listan över tillåtna kan de bjudas in, såvida inte domänen uttryckligen blockeras i inställningarna för åtkomst mellan klientorganisationer. Om en användares domän finns i blocklistan kan de inte bjudas in oavsett åtkomstinställningar mellan klientorganisationer. Om en användare inte finns med i någon av inställningarna för åtkomst mellan klientorganisationer kontrollerar vi om de kan bjudas in.

Konfigurera standardinställningar

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Standardinställningarna för åtkomst mellan klientorganisationer gäller för alla externa organisationer som du inte har skapat organisationsspecifika anpassade inställningar för. Om du vill ändra standardinställningarna för Microsoft Entra-ID följer du dessa steg.

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

  2. Bläddra till Inställningar för identitetsåtkomst>för externa identiteter>mellan klientorganisationer och välj sedan Åtkomstinställningar för flera klientorganisationer.

  3. Välj fliken Standardinställningar och granska sammanfattningssidan.

    Skärmbild som visar fliken Standardinställningar för åtkomst mellan klientorganisationer.

  4. Om du vill ändra inställningarna väljer du länken Redigera inkommande standardvärden eller länken Redigera utgående standardvärden .

    Skärmbild som visar redigeringsknappar för Standardinställningar.

  5. Ändra standardinställningarna genom att följa de detaljerade stegen i de här avsnitten:

Lägga till en organisation

Följ de här stegen för att konfigurera anpassade inställningar för specifika organisationer.

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

  2. Bläddra till Inställningar för identitetsåtkomst>för externa identiteter>mellan klientorganisationer och välj sedan Organisationsinställningar.

  3. Välj Lägg till organisation.

  4. I fönstret Lägg till organisation skriver du det fullständiga domännamnet (eller klientorganisations-ID:t) för organisationen.

    Skärmbild som visar hur du lägger till en organisation.

  5. Välj organisationen i sökresultaten och välj sedan Lägg till.

  6. Organisationen visas i listan Organisationsinställningar . Nu ärvs alla åtkomstinställningar för den här organisationen från standardinställningarna. Om du vill ändra inställningarna för den här organisationen väljer du länken Ärvd från standard under kolumnen Inkommande åtkomst eller Utgående åtkomst .

    Skärmbild som visar en organisation som lagts till med standardinställningar.

  7. Ändra organisationens inställningar genom att följa de detaljerade stegen i de här avsnitten:

Ändra inställningar för inkommande åtkomst

Med inkommande inställningar väljer du vilka externa användare och grupper som ska kunna komma åt de interna program som du väljer. Oavsett om du konfigurerar standardinställningar eller organisationsspecifika inställningar är stegen för att ändra inställningarna för inkommande åtkomst mellan klientorganisationer desamma. Som beskrivs i det här avsnittet navigerar du till antingen fliken Standard eller en organisation på fliken Organisationsinställningar och gör sedan dina ändringar.

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

  2. Bläddra till Inställningar för identitetsåtkomst>för externa identiteter>mellan klientorganisationer.

  3. Gå till de inställningar som du vill ändra:

    • Standardinställningar: Om du vill ändra standardinställningarna för inkommande trafik väljer du fliken Standardinställningar och väljer sedan Redigera inkommande standardvärden under Inställningar för inkommande åtkomst.
    • Organisationsinställningar: Om du vill ändra inställningarna för en viss organisation väljer du fliken Organisationsinställningar , letar upp organisationen i listan (eller lägger till en) och väljer sedan länken i kolumnen Inkommande åtkomst .

  4. Följ de detaljerade stegen för de inkommande inställningar som du vill ändra:

Kommentar

Om du använder inbyggda delningsfunktioner i Microsoft SharePoint och Microsoft OneDrive med Microsoft Entra B2B-integrering aktiverat måste du lägga till de externa domänerna i inställningarna för externt samarbete. Annars kan inbjudningar från dessa program misslyckas, även om den externa klientorganisationen har lagts till i inställningarna för åtkomst mellan klientorganisationer.

Så här ändrar du inställningar för inkommande B2B-samarbete

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

  2. Bläddra till Inställningar för identitetsåtkomst>för externa identiteter>mellan klientorganisationer och välj sedan Organisationsinställningar

  3. Välj länken i kolumnen Inkommande åtkomst och fliken B2B-samarbete .

  4. Om du konfigurerar inställningar för inkommande åtkomst för en viss organisation väljer du ett alternativ:

    • Standardinställningar: Välj det här alternativet om du vill att organisationen ska använda standardinställningarna för inkommande trafik (enligt konfigurationen på fliken Standardinställningar ). Om anpassade inställningar redan har konfigurerats för den här organisationen måste du välja Ja för att bekräfta att du vill att alla inställningar ska ersättas med standardinställningarna. Välj sedan Spara och hoppa över resten av stegen i den här proceduren.

    • Anpassa inställningar: Välj det här alternativet om du vill anpassa inställningarna för att framtvinga för den här organisationen i stället för standardinställningarna. Fortsätt med resten av stegen i den här proceduren.

  5. Välj Externa användare och grupper.

  6. Under Åtkomststatus väljer du något av följande:

    • Tillåt åtkomst: Tillåter att användare och grupper som anges under Gäller för att bjudas in till B2B-samarbete.
    • Blockera åtkomst: Blockerar de användare och grupper som anges under Gäller för från att bjudas in till B2B-samarbete.

    Skärmbild som visar hur du väljer användaråtkomststatus för B2B-samarbete.

  7. Under Gäller för väljer du något av följande:

    • Alla externa användare och grupper: Tillämpar den åtgärd som du valde under Åtkomststatus för alla användare och grupper från externa Microsoft Entra-organisationer.
    • Välj externa användare och grupper (kräver en Microsoft Entra ID P1- eller P2-prenumeration): Gör att du kan tillämpa den åtgärd som du har valt under Åtkomststatus för specifika användare och grupper i den externa organisationen.

    Kommentar

    Om du blockerar åtkomst för alla externa användare och grupper måste du också blockera åtkomsten till alla dina interna program (på fliken Program ).

    Skärmbild som visar hur du väljer målanvändare och grupper.

  8. Om du väljer Välj externa användare och grupper gör du följande för varje användare eller grupp som du vill lägga till:

    • Välj Lägg till externa användare och grupper.
    • I fönstret Lägg till andra användare och grupper skriver du det användarobjekt-ID eller gruppobjekt-ID som du fick från din partnerorganisation i sökrutan.
    • I menyn bredvid sökrutan väljer du antingen användare eller grupp.
    • Markera Lägga till.

    Kommentar

    Du kan inte rikta in dig på användare eller grupper i inkommande standardinställningar.

    Skärmbild som visar hur du lägger till användare och grupper.

  9. När du är klar med att lägga till användare och grupper väljer du Skicka.

    Skärmbild som visar hur användare och grupper skickas.

  10. Välj fliken Program .

  11. Under Åtkomststatus väljer du något av följande:

    • Tillåt åtkomst: Tillåter att de program som anges under Gäller kan nås av B2B-samarbetsanvändare.
    • Blockera åtkomst: Blockerar de program som anges under Gäller för från att nås av B2B-samarbetsanvändare.

    Skärmbild som visar programåtkomststatus.

  12. Under Gäller för väljer du något av följande:

    • Alla program: Tillämpar den åtgärd som du valde under Åtkomststatus för alla dina program.
    • Välj program (kräver en Microsoft Entra ID P1- eller P2-prenumeration): Låter dig tillämpa den åtgärd som du har valt under Åtkomststatus för specifika program i din organisation.

    Kommentar

    Om du blockerar åtkomst till alla program måste du också blockera åtkomst för alla externa användare och grupper (på fliken Externa användare och grupper ).

    Skärmbild som visar målprogram.

  13. Om du väljer Välj program gör du följande för varje program som du vill lägga till:

    • Välj Lägg till Microsoft-program eller Lägg till andra program.
    • I fönstret Välj skriver du programnamnet eller program-ID:t (antingen klientappens ID eller resursappens ID) i sökrutan. Välj sedan programmet i sökresultatet. Upprepa för varje program som du vill lägga till.
    • När du är klar med att välja program väljer du Välj.

    Skärmbild som visar val av program.

  14. Välj Spara.

Överväganden för att tillåta Microsoft-program

Om du vill konfigurera åtkomstinställningar mellan klientorganisationer så att endast en angiven uppsättning program tillåts kan du överväga att lägga till Microsoft-programmen som visas i följande tabell. Om du till exempel konfigurerar en lista över tillåtna och endast tillåter SharePoint Online kan användaren inte komma åt Mina appar eller registrera sig för MFA i resursklientorganisationen. För att säkerställa en smidig slutanvändarupplevelse kan du inkludera följande program i dina inställningar för inkommande och utgående samarbete.

Program Resurs-ID Tillgänglig i portalen Details
Mina appar 2793995e-0a7d-40d7-bd35-6968ba142197 Ja Standardlandningssida efter inlöst inbjudan. Definierar åtkomst till myapplications.microsoft.com.
Microsoft App Åtkomstpanelen 0000000c-0000-0000-c000-0000000000000 Nej Används i vissa sena anrop när vissa sidor läses in i Mina inloggningar. Till exempel bladet Säkerhetsinformation eller organisationsväxlaren.
Min Profil 8c59ead7-d703-4a27-9e55-c96a0054c8d2 Ja Definierar åtkomst till myaccount.microsoft.com bland annat Mina grupper och Mina åtkomstportaler. Vissa flikar i Min profil kräver de andra apparna som anges här för att fungera.
Mina inloggningar 19db86c3-b2b9-44cc-b339-36da233a3be2 Nej Definierar åtkomst till mysignins.microsoft.com inklusive åtkomst till säkerhetsinformation. Tillåt den här appen om du kräver att användare registrerar sig för och använder MFA i resursklientorganisationen (till exempel är MFA inte betrott från hemklientorganisationen).

Vissa av programmen i föregående tabell tillåter inte val från administrationscentret för Microsoft Entra. Om du vill tillåta dem lägger du till dem med Microsoft Graph API enligt följande exempel:

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

Kommentar

Se till att inkludera eventuella ytterligare program som du vill tillåta i PATCH-begäran eftersom detta skriver över alla tidigare konfigurerade program. Program som redan har konfigurerats kan hämtas manuellt från portalen eller genom att köra en GET-begäran på partnerprincipen. Till exempel: GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>

Kommentar

Program som läggs till via Microsoft Graph API som inte mappas till ett program som är tillgängligt i administrationscentret för Microsoft Entra visas som app-ID.

Du kan inte lägga till appen Microsoft Admin Portals i inställningarna för inkommande och utgående åtkomst mellan klientorganisationer i administrationscentret för Microsoft Entra. Om du vill tillåta extern åtkomst till Microsofts administratörsportaler använder du Microsoft Graph API för att lägga till följande appar som ingår i appgruppen Microsoft Admin Portals:

  • Azure Portal (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Administrationscenter för Microsoft Entra (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Microsoft 365 Defender-portalen (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Administrationscenter för Microsoft Intune (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Microsoft Purview Compliance Portal (80ccca67-54bd-44ab-8625-4b79c4dc7775)

Konfigurera inlösenorder

Följ dessa steg för att anpassa ordningen på identitetsprovidrar som dina gästanvändare kan använda för att logga in när de accepterar din inbjudan.

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör. Öppna sedan identitetstjänsten till vänster.

  2. Välj Inställningar för åtkomst till externa identiteter>mellan klientorganisationer.

  3. På fliken Standardinställningar går du till Inställningar för inkommande åtkomst och väljer Redigera inkommande standardvärden.

  4. På fliken B2B-samarbete väljer du fliken Inlösenordning.

  5. Flytta identitetsprovidrar uppåt eller nedåt för att ändra i vilken ordning dina gästanvändare kan logga in när de accepterar din inbjudan. Du kan också återställa inlösenordningen till standardinställningarna här.

    Skärmbild som visar fliken för inlösenorder.

  6. Välj Spara.

Du kan också anpassa inlösningsbeställningen via Microsoft Graph-API:et.

  1. Öppna Microsoft Graph Explorer.

  2. Logga in som minst en säkerhetsadministratör till resursklientorganisationen.

  3. Kör följande fråga för att hämta den aktuella inlösningsordningen:

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
  1. I det här exemplet flyttar vi SAML/WS-Fed IdP-federationen till toppen av inlösningsbeställningen ovanför Microsoft Entra-identitetsprovidern. Korrigera samma URI med den här begärandetexten:
{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}

  1. Kontrollera att ändringarna kör GET-frågan igen.

  2. Om du vill återställa inlösenordningen till standardinställningarna kör du följande fråga:

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

SAML/WS-Fed-federation (direktfederation) för Microsoft Entra ID-verifierade domäner

Nu kan du lägga till din registrerade Microsoft Entra ID-verifierade domän för att konfigurera den direkta federationsrelationen. Först måste du konfigurera direkt federationskonfigurationen i administrationscentret eller via API:et. Kontrollera att domänen inte har verifierats i samma klientorganisation. När konfigurationen har konfigurerats kan du anpassa inlösningsbeställningen. SAML/WS-Fed IdP läggs till i inlösenordern som den sista posten. Du kan flytta upp den i inlösningsordningen för att ange den ovanför Microsoft Entra-identitetsprovidern.

Förhindra att dina B2B-användare löser in en inbjudan med Hjälp av Microsoft-konton

Följ stegen nedan för att förhindra att dina B2B-gästanvändare löser in sin inbjudan med sina befintliga Microsoft-konton eller skapar en ny för att acceptera inbjudan.

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör. Öppna sedan identitetstjänsten till vänster.

  2. Välj Inställningar för åtkomst till externa identiteter>mellan klientorganisationer.

  3. Under Organisationsinställningar väljer du länken i kolumnen Inkommande åtkomst och fliken B2B-samarbete .

  4. Välj fliken Inlösenordning.

  5. Under Reservidentitetsprovidrar inaktiverar du Microsoft-tjänstkonto (MSA).

    Skärmbild av alternativet reservidentitetsprovidrar.

  6. Välj Spara.

Du måste ha minst en reservidentitetsprovider aktiverad vid en viss tidpunkt. Om du vill inaktivera Microsoft-konton måste du aktivera engångslösenord för e-post. Du kan inte inaktivera båda reservidentitetsprovidrar. Alla befintliga gästanvändare som är inloggade med Microsoft-konton fortsätter att använda det under efterföljande inloggningar. Du måste återställa deras inlösenstatus för att den här inställningen ska gälla.

Så här ändrar du inställningar för inkommande förtroende för MFA- och enhetsanspråk

  1. Välj fliken Förtroendeinställningar .

  2. (Det här steget gäller för Endast organisationsinställningar .) Om du konfigurerar inställningar för en organisation väljer du något av följande:

    • Standardinställningar: Organisationen använder de inställningar som konfigurerats på fliken Standardinställningar . Om anpassade inställningar redan har konfigurerats för den här organisationen väljer du Ja för att bekräfta att du vill att alla inställningar ska ersättas med standardinställningarna. Välj sedan Spara och hoppa över resten av stegen i den här proceduren.

    • Anpassa inställningar: Du kan anpassa inställningarna så att de tillämpas för den här organisationen i stället för standardinställningarna. Fortsätt med resten av stegen i den här proceduren.

  3. Välj ett eller flera av följande alternativ:

    • Lita på multifaktorautentisering från Microsoft Entra-klienter: Markera den här kryssrutan om du vill att dina principer för villkorsstyrd åtkomst ska kunna lita på MFA-anspråk från externa organisationer. Under autentiseringen kontrollerar Microsoft Entra-ID en användares autentiseringsuppgifter för ett anspråk på att användaren har slutfört MFA. Annars initieras en MFA-utmaning i användarens hemklientorganisation. Den här inställningen tillämpas inte om en extern användare loggar in med hjälp av detaljerade delegerade administratörsprivilegier (GDAP), till exempel används av en tekniker på en molntjänstleverantör som administrerar tjänster i din klientorganisation. När en extern användare loggar in med GDAP krävs MFA alltid i användarens hemklientorganisation och är alltid betrodd i resursklientorganisationen. MFA-registrering av en GDAP-användare stöds inte utanför användarens hemklientorganisation. Om din organisation har ett krav på att inte tillåta åtkomst till serviceleverantörstekniker baserat på MFA i användarens hemklientorganisation kan du ta bort GDAP-relationen i Administrationscenter för Microsoft 365.

    • Betrodda enheter: Gör att dina principer för villkorsstyrd åtkomst kan lita på kompatibla enhetsanspråk från en extern organisation när deras användare får åtkomst till dina resurser.

    • Lita på Microsoft Entra-hybridanslutna enheter: Tillåter att dina principer för villkorsstyrd åtkomst litar på microsoft entra hybridanslutna enhetsanspråk från en extern organisation när deras användare får åtkomst till dina resurser.

    Skärmbild som visar förtroendeinställningar.

  4. (Det här steget gäller för Endast organisationsinställningar .) Granska alternativet Automatisk inlösen :

    • Lös in inbjudningar automatiskt med klientorganisationen<>: Kontrollera den här inställningen om du vill lösa in inbjudningar automatiskt. I så fall behöver användare från den angivna klientorganisationen inte acceptera medgivandeprompten första gången de får åtkomst till den här klientorganisationen med synkronisering mellan klientorganisationer, B2B-samarbete eller B2B-direktanslutning. Den här inställningen undertrycker endast medgivandeprompten om den angivna klientorganisationen även kontrollerar den här inställningen för utgående åtkomst.

    Skärmbild som visar kryssrutan för inkommande automatisk inlösen.

  5. Välj Spara.

Tillåt användare att synkronisera med den här klientorganisationen

Om du väljer Inkommande åtkomst för den tillagda organisationen visas fliken Synkronisering mellan klientorganisationer och kryssrutan Tillåt användare att synkronisera till den här klientorganisationen . Synkronisering mellan klientorganisationer är en enkelriktad synkroniseringstjänst i Microsoft Entra-ID som automatiserar skapande, uppdatering och borttagning av B2B-samarbetsanvändare mellan klientorganisationer i en organisation. Mer information finns i Konfigurera synkronisering mellan klientorganisationer och dokumentationen om flera klientorganisationer.

Skärmbild som visar fliken Synkronisering mellan klientorganisationer med kryssrutan Tillåt användare att synkronisera till den här klientorganisationen.

Ändra inställningar för utgående åtkomst

Med utgående inställningar väljer du vilka av dina användare och grupper som ska kunna komma åt de externa program som du väljer. Oavsett om du konfigurerar standardinställningar eller organisationsspecifika inställningar är stegen för att ändra inställningarna för utgående åtkomst mellan klientorganisationer desamma. Som beskrivs i det här avsnittet navigerar du till antingen fliken Standard eller en organisation på fliken Organisationsinställningar och gör sedan dina ändringar.

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

  2. Bläddra till Inställningar för identitetsåtkomst>för externa identiteter>mellan klientorganisationer.

  3. Gå till de inställningar som du vill ändra:

    • Om du vill ändra standardinställningarna för utgående trafik väljer du fliken Standardinställningar och väljer sedan Redigera utgående standardvärden under Inställningar för utgående åtkomst.

    • Om du vill ändra inställningarna för en viss organisation väljer du fliken Organisationsinställningar, letar upp organisationen i listan (eller lägger till en) och väljer sedan länken i kolumnen Utgående åtkomst.

  4. Välj fliken B2B-samarbete .

  5. (Det här steget gäller för Endast organisationsinställningar .) Om du konfigurerar inställningar för en organisation väljer du ett alternativ:

    • Standardinställningar: Organisationen använder de inställningar som konfigurerats på fliken Standardinställningar . Om anpassade inställningar redan har konfigurerats för den här organisationen måste du välja Ja för att bekräfta att du vill att alla inställningar ska ersättas med standardinställningarna. Välj sedan Spara och hoppa över resten av stegen i den här proceduren.

    • Anpassa inställningar: Du kan anpassa inställningarna så att de tillämpas för den här organisationen i stället för standardinställningarna. Fortsätt med resten av stegen i den här proceduren.

  6. Välj Användare och grupper.

  7. Under Åtkomststatus väljer du något av följande:

    • Tillåt åtkomst: Tillåter att dina användare och grupper som anges under Gäller för att bjudas in till externa organisationer för B2B-samarbete.
    • Blockera åtkomst: Blockerar dina användare och grupper som anges under Gäller för från att bjudas in till B2B-samarbete. Om du blockerar åtkomst för alla användare och grupper blockerar detta även alla externa program från att nås via B2B-samarbete.

    Skärmbild som visar åtkomststatus för användare och grupper för b2b-samarbete.

  8. Under Gäller för väljer du något av följande:

    • Alla <organisationens> användare: Tillämpar den åtgärd som du valde under Åtkomststatus för alla dina användare och grupper.
    • Välj <organisationens> användare och grupper (kräver en Microsoft Entra-ID P1- eller P2-prenumeration): Gör att du kan tillämpa den åtgärd som du har valt under Åtkomststatus för specifika användare och grupper.

    Kommentar

    Om du blockerar åtkomst för alla dina användare och grupper måste du också blockera åtkomsten till alla externa program (på fliken Externa program ).

    Skärmbild som visar hur du väljer målanvändare för b2b-samarbete.

  9. Om du väljer Välj <organisationens> användare och grupper gör du följande för varje användare eller grupp som du vill lägga till:

    • Välj Lägg till <organisationens> användare och grupper.
    • I fönstret Välj skriver du användarnamnet eller gruppnamnet i sökrutan.
    • Välj användaren eller gruppen i sökresultatet.
    • När du är klar med att välja de användare och grupper som du vill lägga till väljer du Välj.

    Kommentar

    När du riktar in dig på dina användare och grupper kan du inte välja användare som har konfigurerat SMS-baserad autentisering. Det beror på att användare som har en "federerad autentiseringsuppgift" på sina användarobjekt blockeras för att förhindra att externa användare läggs till i inställningar för utgående åtkomst. Som en lösning kan du använda Microsoft Graph API för att lägga till användarens objekt-ID direkt eller rikta en grupp som användaren tillhör.

  10. Välj fliken Externa program .

  11. Under Åtkomststatus väljer du något av följande:

    • Tillåt åtkomst: Tillåter att de externa program som anges under Gäller kan nås av dina användare via B2B-samarbete.
    • Blockera åtkomst: Blockerar de externa program som anges under Gäller för från att kommas åt av dina användare via B2B-samarbete.

    Skärmbild som visar programåtkomststatus för b2b-samarbete.

  12. Under Gäller för väljer du något av följande:

    • Alla externa program: Tillämpar den åtgärd som du valde under Åtkomststatus för alla externa program.
    • Välj externa program: Tillämpar den åtgärd som du valde under Åtkomststatus för alla externa program.

    Kommentar

    Om du blockerar åtkomst till alla externa program måste du också blockera åtkomst för alla dina användare och grupper (på fliken Användare och grupper ).

    Skärmbild som visar programmål för b2b-samarbete.

  13. Om du väljer Välj externa program gör du följande för varje program som du vill lägga till:

    • Välj Lägg till Microsoft-program eller Lägg till andra program.
    • I sökrutan skriver du programnamnet eller program-ID:t (antingen klientappens ID eller resursappens ID). Välj sedan programmet i sökresultatet. Upprepa för varje program som du vill lägga till.
    • När du är klar med att välja program väljer du Välj.

    Skärmbild som visar hur du väljer program för b2b-samarbete.

  14. Välj Spara.

Så här ändrar du inställningar för utgående förtroende

(Det här avsnittet gäller för Endast organisationsinställningar .)

  1. Välj fliken Förtroendeinställningar .

  2. Granska alternativet Automatisk inlösen:

    • Lös in inbjudningar automatiskt med klientorganisationen<>: Kontrollera den här inställningen om du vill lösa in inbjudningar automatiskt. I så fall behöver användare från den här klientorganisationen inte godkänna medgivandeprompten första gången de får åtkomst till den angivna klientorganisationen med synkronisering mellan klientorganisationer, B2B-samarbete eller B2B-direktanslutning. Den här inställningen undertrycker endast medgivandeprompten om den angivna klientorganisationen även kontrollerar den här inställningen för inkommande åtkomst.

      Skärmbild som visar kryssrutan för utgående automatisk inlösen.

  3. Välj Spara.

Ta bort en organisation

När du tar bort en organisation från organisationens inställningar tillämpas standardinställningarna för åtkomst mellan klientorganisationer för den organisationen.

Kommentar

Om organisationen är en molntjänstleverantör för din organisation (egenskapen isServiceProvider i den Microsoft Graph-partnerspecifika konfigurationen är sann) kommer du inte att kunna ta bort organisationen.

  1. Logga in på administrationscentret för Microsoft Entra som minst säkerhetsadministratör.

  2. Bläddra till Inställningar för identitetsåtkomst>för externa identiteter>mellan klientorganisationer.

  3. Välj fliken Organisationsinställningar .

  4. Leta upp organisationen i listan och välj sedan papperskorgsikonen på den raden.

Relaterat innehåll