Vue d’ensemble : Accès multilocataire avec Azure AD External Identities (préversion)

Notes

Les paramètres d’accès multilocataire sont des fonctionnalités en préversion d’Azure Active Directory. Pour plus d’informations sur les préversions, consultez Conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure.

Les organisations Azure AD peuvent utiliser les paramètres d’accès multi-abonné d’External Identities pour gérer leur collaboration avec d’autres organisations Azure AD et d’autres clouds Microsoft Azure via une collaboration B2B et une connexion directe B2B. Les paramètres d’accès multilocataire vous offrent un contrôle précis sur la façon dont les organisations Azure AD externes collaborent avec vous (accès entrant) et la façon dont vos utilisateurs collaborent avec des organisations Azure AD externes (accès sortant). Ces paramètres vous permettent aussi d’approuver l’authentification multifacteur (MFA) et les revendications d’appareil (revendications conformes et revendications via la jonction Azure AD hybride) d’autres organisations Azure AD.

Cet article décrit les paramètres d’accès multi-abonné qui sont utilisés pour gérer la collaboration B2B et la connexion directe B2B avec des organisations Azure AD externes, y compris à travers des clouds Microsoft. Des paramètres supplémentaires sont disponibles pour la collaboration B2B avec des identités non-Azure AD (par exemple, des identités sociales ou des comptes externes managés non informatiques). Ces paramètres de collaboration externe comprennent des options permettant de limiter l’accès des utilisateurs invités, spécifier qui peut inviter et autoriser ou bloquer des domaines.

Overview diagram of cross-tenant access settings.

Gérer l’accès externe avec les paramètres entrants et sortants

Par défaut, la collaboration B2B avec d’autres organisations Azure AD est activée et la connexion directe B2B est bloquée. Toutefois, les paramètres d’administration complets suivants vous permettent de gérer ces deux fonctionnalités.

  • Les paramètres d’accès sortant contrôlent si vos utilisateurs peuvent accéder aux ressources d’une organisation externe. Vous pouvez appliquer ces paramètres à tout le monde ou spécifier des utilisateurs, des groupes et des applications individuels.

  • Les paramètres d’accès entrant contrôlent si les utilisateurs des organisations Azure AD externes peuvent accéder aux ressources de votre organisation. Vous pouvez appliquer ces paramètres à tout le monde ou spécifier des utilisateurs, des groupes et des applications individuels.

  • Les paramètres d’approbation (entrants) déterminent si vos stratégies d’accès conditionnel approuvent les revendications de l’authentification multifacteur (MFA), des appareils conformes et des appareils joints via la jonction Azure AD hybride d’une organisation externe si ses utilisateurs ont déjà rempli ces conditions dans leurs locataires d’origine. Par exemple, quand vous configurez vos paramètres d’approbation pour approuver MFA, vos stratégies MFA sont toujours appliquées aux utilisateurs externes, mais les utilisateurs qui ont déjà effectué l’authentification multifacteur dans leurs locataires d’origine n’auront pas à l’effectuer une seconde fois dans votre locataire.

Paramètres par défaut

Les paramètres d’accès multilocataire par défaut s’appliquent à toutes les organisations Azure AD externes à votre locataire, à l’exception de celles pour lesquelles vous avez configuré des paramètres organisationnels. Vous pouvez changer vos paramètres par défaut, mais les paramètres par défaut initiaux pour la collaboration B2B et la connexion directe B2B sont les suivants :

  • Collaboration B2B  : par défaut, tous vos utilisateurs internes sont activés pour la collaboration B2B. Cela signifie que vos utilisateurs peuvent inviter des invités externes à accéder à vos ressources et qu’ils peuvent être invités à des organisations externes en tant qu’invités. Les revendications MFA et d’appareil des autres organisations Azure AD ne sont pas approuvées.

  • Connexion directe B2B : aucune relation de confiance de connexion directe B2B n’est établie par défaut. Azure AD bloque toutes les fonctionnalités de connexion directe B2B entrantes et sortantes pour tous les abonnés Azure AD externes.

  • Paramètres organisationnels : aucune organisation n’est ajoutée à vos paramètres organisationnels par défaut. Cela signifie que toutes les organisations Azure AD externes sont activées pour B2B Collaboration avec votre organisation.

Les comportements décrits ci-dessus s’appliquent à la collaboration B2B avec d’autres locataires Azure AD dans votre même cloud Microsoft Azure. Dans des scénarios interclouds, les paramètres par défaut fonctionnent un peu différemment. Consultez Paramètres du cloud Microsoft plus loin dans cet article.

Paramètres organisationnels

Vous pouvez configurer des paramètres spécifiques à l’organisation en ajoutant une organisation et en modifiant les paramètres entrants et sortants pour cette organisation. Les paramètres organisationnels sont prioritaires sur les paramètres par défaut.

  • Pour la collaboration B2B avec d’autres organisations Azure AD, vous pouvez utiliser des paramètres d’accès multi-abonné pour gérer la collaboration B2B entrante et sortante et délimiter l’accès à des utilisateurs, groupes et applications spécifiques. Vous pouvez définir une configuration par défaut qui s’applique à toutes les organisations externes, puis créer des paramètres spécifiques à l’organisation individuels en fonction des besoins. Avec les paramètres d’accès multi-abonné, vous pouvez également approuver les revendications d’authentification multifacteur (MFA) et d’appareil (revendications conformes et jointes via la jonction Azure AD hybride) d’autres organisations Azure AD.

  • Pour la connexion directe B2B, utilisez les paramètres organisationnels pour configurer une relation de confiance mutuelle avec une autre organisation Azure AD. Votre organisation et l’organisation externe doivent activer mutuellement la connexion directe B2B en configurant les paramètres d’accès multi-abonné entrants et sortants.

  • Vous pouvez utiliser les paramètres de collaboration externe pour limiter les personnes autorisées à inviter des utilisateurs externes, autoriser ou bloquer des domaines spécifiques B2B et définir des restrictions sur l’accès des utilisateurs invités à votre annuaire.

Paramètres du cloud Microsoft

Les paramètres du cloud Microsoft vous permettent de collaborer avec des organisations à partir de différents clouds Microsoft Azure. Les paramètres du cloud Microsoft vous permettent d’établir une collaboration B2B mutuelle entre les clouds suivants :

  • Cloud global Microsoft Azure et Microsoft Azure Government
  • Cloud global Microsoft Azure et Microsoft Azure China 21Vianet

Pour configurer une collaboration B2B, les deux organisations configurent leurs paramètres du cloud Microsoft pour activer le cloud du partenaire. Ensuite, chaque organisation utilise l’ID de locataire du partenaire pour rechercher et ajouter le partenaire à ses paramètres organisationnels. À partir de là, chaque organisation peut autoriser que ses paramètres d’accès interlocataire par défaut s’appliquent au partenaire, ou configurer des paramètres entrants et sortants spécifiques du partenaire. Après avoir établi une collaboration B2B avec un partenaire dans un autre cloud, vous pouvez :

  • Utiliser une collaboration B2B pour inviter un utilisateur dans le locataire partenaire à accéder aux ressources de votre organisation, dont les applications métier web, les applications SaaS, ainsi que les sites, documents et fichiers SharePoint Online.
  • Appliquer des stratégies d’accès conditionnel à l’utilisateur de collaboration B2B et choisir d’approuver les revendications d’appareil (revendications conformes et revendications de jointure hybride Azure AD) à partir du locataire de base de l’utilisateur.

Notes

La connexion directe B2B n’est pas prise en charge pour la collaboration avec les locataires Azure AD dans un autre cloud Microsoft.

Pour connaître les étapes de configuration, consultez Configurez les paramètres du cloud Microsoft pour la collaboration B2B (préversion).

Notes

L’expérience d’administration reste actuellement déployée sur des clouds nationaux. Pour accéder à l’expérience d’administration dans Microsoft Azure Government ou Microsoft Azure Chine, vous pouvez utiliser les liens suivants :

Microsoft Azure Government - https://aka.ms/cloudsettingsusgov

Microsoft Azure Chine - https://aka.ms/cloudsettingschina

Paramètres par défaut dans des scénarios interclouds

Pour collaborer avec un locataire partenaire dans un autre cloud Microsoft Azure, les deux organisations doivent activer mutuellement la collaboration B2B entre elles. La première étape consiste à activer le cloud du partenaire dans vos paramètres interlocataires. Lorsque vous activez un autre cloud pour la première fois, la collaboration B2B est bloquée pour tous les locataires de ce cloud. Vous devez ajouter le locataire avec lequel vous souhaitez collaborer à vos paramètres organisationnels, et, à ce stade, vos paramètres par défaut entrent en vigueur pour ce seul locataire. Vous pouvez permettre que les paramètres par défaut restent en vigueur, ou modifier les paramètres organisationnels pour le locataire.

Considérations importantes

Important

La modification des paramètres d’entrée ou de sortie par défaut pour bloquer l’accès peut bloquer l’accès stratégique existant aux applications de votre organisation ou de vos organisations partenaires. Veillez à utiliser les outils décrits dans cet article et à consulter les parties prenantes de votre entreprise pour identifier l’accès requis.

  • Pour configurer les paramètres d’accès multilocataire dans le portail Azure, vous avez besoin d’un compte avec un rôle Administrateur général ou Administrateur de sécurité.

  • Pour configurer des paramètres d’approbation ou appliquer des paramètres d’accès à des utilisateurs, des groupes ou des applications spécifiques, vous avez besoin d’une licence Azure AD Premium P1.

  • Vous pouvez utiliser des paramètres d’accès multi-abonné pour gérer la collaboration B2B et la connexion directe B2B avec d’autres organisations Azure AD. Pour la collaboration B2B avec des identités non-Azure AD (par exemple, des identités sociales ou des comptes externes managés non informatiques), utilisez des paramètres de collaboration externe. Les paramètres de collaboration externe comprennent des options de collaboration B2B permettant de limiter l’accès des utilisateurs invités, de spécifier qui peut inviter et de autoriser ou de bloquer des domaines.

  • Si vous souhaitez appliquer des paramètres d’accès à des utilisateurs, des groupes ou des applications spécifiques dans une organisation externe, vous devez contacter l’organisation pour obtenir des informations avant de configurer vos paramètres. Obtenez leurs ID d’objet utilisateur, ID d’objet de groupe ou ID d’application (ID d’application cliente ou ID d’application de ressource) afin de pouvoir cibler correctement vos paramètres.

    Conseil

    Vous trouverez probablement les ID des applications des organisations externes en consultant vos journaux de connexion. Consultez la section Identifier les connexions entrantes et sortantes.

  • Les paramètres d’accès que vous configurez pour les utilisateurs et les groupes doivent correspondre aux paramètres d’accès pour les applications. Les paramètres en conflit ne sont pas autorisés et vous verrez des messages d’avertissement apparaître si vous tentez de les configurer.

    • Exemple 1 : si vous bloquez l’accès entrant pour tous les utilisateurs et groupes externes, l’accès à toutes vos applications doit également être bloqué.

    • Exemple 2 : si vous autorisez l’accès sortant pour tous vos utilisateurs (ou utilisateurs ou groupes spécifiques), vous ne pourrez pas bloquer tous les accès aux applications externes. L’accès à au moins une application doit être autorisé.

  • Si vous souhaitez autoriser la connexion directe B2B avec une organisation externe et que vos stratégies d’accès conditionnel requièrent l’authentification MFA, vous devez configurer vos paramètres de confiance afin que vos stratégies d’accès conditionnel acceptent les revendications MFA de l’organisation externe.

  • Si vous bloquez l’accès à toutes les applications par défaut, les utilisateurs ne pourront pas lire les e-mails chiffrés avec Microsoft Rights Management Service (également connu sous le nom de Chiffrement de messages Office 365 ou OME). Pour éviter ce problème, nous vous recommandons de configurer vos paramètres sortants pour permettre à vos utilisateurs d’accéder à cet ID d’application : 00000012-0000-0000-C000-000000000000. S’il s’agit de la seule application que vous autorisez, l’accès à toutes les autres applications est bloqué par défaut.

Identifier les connexions entrantes et sortantes

Plusieurs outils sont disponibles pour vous aider à identifier l’accès dont vos utilisateurs et vos partenaires ont besoin avant de définir les paramètres d’accès entrant et sortant. Pour vous assurer que vous ne supprimez pas l’accès dont vos utilisateurs et vos partenaires ont besoin, vous pouvez examiner le comportement de connexion actuel. La réalisation de cette étape préliminaire permet d’éviter la perte de l’accès souhaité pour vos utilisateurs finaux et vos utilisateurs partenaires. Toutefois, dans certains cas, ces journaux sont conservés uniquement pendant 30 jours. C’est pourquoi nous vous recommandons vivement de parler aux parties prenantes de votre entreprise pour vous assurer que l’accès requis n’est pas perdu.

Notes

Pendant la préversion des paramètres du cloud Microsoft, les événements de connexion pour les scénarios interclouds seront signalés dans le locataire de ressource, mais pas dans le locataire de base.

Script PowerShell de l’activité de connexion multilocataire

Pour examiner l’activité de connexion utilisateur associée aux abonnés externes, utilisez le script PowerShell de l’activité de connexion utilisateur multi-abonné. Par exemple, pour voir tous les événements de connexion disponibles pour l’activité entrante (utilisateurs externes accédant aux ressources du locataire local) et l’activité sortante (utilisateurs locaux accédant aux ressources d’un locataire externe), exécutez la commande suivante :

Get-MSIDCrossTenantAccessActivity -SummaryStats -ResolveTenantId

La sortie est un récapitulatif de tous les événements de connexion disponibles pour l’activité entrante et sortante, listés par ID de locataire externe et nom de locataire externe.

Script PowerShell des journaux de connexion

Pour déterminer l’accès de vos utilisateurs aux organisations Azure AD externes, vous pouvez utiliser la cmdlet Get-MgAuditLogSignIn du kit de développement logiciel (SDK) PowerShell Microsoft Graph pour afficher les données de vos journaux de connexion des 30 derniers jours. Par exemple, examinez la commande suivante :

#Initial connection
Connect-MgGraph -Scopes "AuditLog.Read.All"
Select-MgProfile -Name "beta"

#Get external access
$TenantId = "<replace-with-your-tenant-ID>"

Get-MgAuditLogSignIn -Filter "ResourceTenantId ne '$TenantID'" -All:$True |
Group-Object ResourceTenantId,AppDisplayName,UserPrincipalName |
Select-Object count,@{n='Ext TenantID/App User Pair';e={$_.name}}

La sortie est une liste des connexions sortantes lancées par vos utilisateurs à des applications de locataires externes.

Azure Monitor

Si votre organisation s’abonne au service Azure Monitor, utilisez le classeur d’activités d’accès multi-abonné (disponible dans la galerie de classeurs d’analyse dans le Portail Azure) pour explorer visuellement les connexions entrantes et sortantes sur des périodes plus longues.

Systèmes SIEM (Security Information and Event Management)

Si votre organisation exporte des journaux de connexion vers un système SIEM (Security Information and Event Management), vous pouvez récupérer les informations requises de votre système SIEM.

Identifier les modifications apportées aux paramètres d’accès interlocataire

Les journaux d’audit Azure AD capturent toutes les activités concernant les modifications et l’activité relatives aux paramètres d’accès interlocataire. Pour auditer les modifications apportées aux paramètres d’accès interlocataire, utilisez la catégorie de CrossTenantAccessSettings pour filtrer toute l’activité afin d’afficher les modifications apportées aux paramètres d’accès interlocataire.

Audit logs for cross-tenant access settings.

Étapes suivantes

Configurer les paramètres d’accès multi-abonné pour la collaboration B2BConfigurer les paramètres d’accès multi-abonné pour la connexion directe B2B