Configurer les paramètres d’accès multi-abonné pour la collaboration B2B (préversion)

Notes

Les paramètres d’accès multilocataire sont des fonctionnalités en préversion d’Azure Active Directory. Pour plus d’informations sur les préversions, consultez Conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure.

Utilisez des paramètres d’accès multi-abonné External Identities pour gérer la collaboration avec d’autres organisations Azure AD via la collaboration B2B. Ces paramètres déterminent à la fois le niveau d’accès entrant à vos ressources pour les utilisateurs dans les organisations Azure AD externes, ainsi que le niveau d’accès sortant que vos utilisateurs ont aux organisations externes. Vous pouvez également approuver l’authentification multifacteur (MFA) et les revendications d’appareil (revendications conformes et revendications de jointure hybride Azure AD) à partir d’autres organisations Azure AD. Pour plus d’informations et pour connaître les considérations relatives à la planification, consultez Accès multi-abonné dans Azure AD External Identities.

Avant de commencer

Attention

La modification des paramètres d’entrée ou de sortie par défaut pour Bloquer l’accès peut bloquer l’accès stratégique existant aux applications de votre organisation ou de vos organisations partenaires. Veillez à utiliser les outils décrits dans Accès multi-abonné dans Azure AD External Identities et consultez les parties prenantes de votre entreprise pour identifier l’accès requis.

  • Examinez la section Considérations importantes de la vue d’ensemble de l’accès multi-abonné avant de configurer les paramètres d’accès inter-abonnés.
  • Utilisez les outils et suivez les suggestions dans Identifier les connexions entrantes et sortantes afin de comprendre les organisations Azure AD externes et les ressources auxquelles les utilisateurs accèdent actuellement.
  • Déterminez le niveau d’accès par défaut que vous souhaitez appliquer à toutes les organisations Azure AD externes.
  • Identifiez les organisations Azure AD qui auront besoin de paramètres personnalisés afin de pouvoir configurer les Paramètres organisationnels pour eux.
  • Si vous souhaitez appliquer des paramètres d’accès à des utilisateurs, des groupes ou des applications spécifiques dans une organisation externe, vous devez contacter l’organisation pour obtenir des informations avant de configurer vos paramètres. Obtenez leurs ID d’objet utilisateur, ID d’objet de groupe ou ID d’application (ID d’application cliente ou ID d’application de ressource) afin de pouvoir cibler correctement vos paramètres.
  • Si vous souhaitez configurer la collaboration B2B avec une organisation partenaire dans un cloud Microsoft Azure externe, suivez les étapes décrites dans Configurer les paramètres du cloud Microsoft. Un administrateur de l’organisation partenaire doit faire de même pour votre locataire.

Configurer les paramètres par défaut

Les paramètres d’accès multi-abonné par défaut s’appliquent à tous les locataires externes pour lesquels vous n’avez pas créé de paramètres personnalisés spécifiques à l’organisation. Si vous souhaitez modifier les paramètres par défaut fournis par Azure AD, procédez comme suit.

  1. Connectez-vous au Portail Azure à l’aide d’un compte Administrateur général ou Administrateur de la sécurité. Ouvrez alors le service Azure Active Directory.

  2. Sélectionnez External Identities, puis Paramètres d’accès multi-abonné (préversion).

  3. Sélectionnez l’onglet Paramètres par défaut et passez en revue la page Résumé.

    Screenshot showing the Cross-tenant access settings Default settings tab.

  4. Pour modifier les paramètres, sélectionnez le lien Modifier les valeurs par défaut entrantes ou Modifier les valeurs par défaut sortantes .

    Screenshot showing edit buttons for Default settings.

  5. Modifiez les paramètres par défaut en suivant les étapes décrites dans les sections suivantes :

Ajouter une organisation

Procédez comme suit pour configurer des paramètres personnalisés pour des organisations spécifiques.

  1. Connectez-vous au Portail Azure à l’aide d’un compte Administrateur général ou Administrateur de la sécurité. Ouvrez alors le service Azure Active Directory.

  2. Sélectionnez External Identities, puis Paramètres d’accès multi-abonné (préversion).

  3. Sélectionnez Paramètres organisationnels.

  4. Sélectionnez Ajouter une organisation.

  5. Dans le volet Ajouter une organisation, tapez le nom de domaine complet (ou ID de l’abonné) de l’organisation.

    Screenshot showing adding an organization.

  6. Sélectionnez l’organisation dans les résultats de la recherche, puis sélectionnez Ajouter.

  7. L’organisation apparaît dans la liste Paramètres organisationnels . À ce stade, tous les paramètres d’accès de cette organisation sont hérités de vos paramètres par défaut. Pour modifier les paramètres de cette organisation, sélectionnez le lien Hérité de la valeur par défaut sous la colonne Accès entrant ou Accès sortant.

    Screenshot showing an organization added with default settings.

  8. Modifiez les paramètres de l’organisation en suivant les étapes décrites dans les sections suivantes :

Modifier les paramètres d’accès entrant

Avec les paramètres entrants, vous sélectionnez les utilisateurs et les groupes externes qui pourront accéder aux applications internes que vous choisissez. Que vous configuriez les paramètres par défaut ou les paramètres spécifiques de l’organisation, les étapes de modification des paramètres d’accès multi-abonné entrants sont les mêmes. Comme décrit dans cette section, vous allez accéder à l’onglet Par défaut ou à une organisation de l’onglet Paramètres organisationnels, puis apporter vos modifications.

  1. Connectez-vous au Portail Azure à l’aide d’un compte Administrateur général ou Administrateur de la sécurité. Ouvrez alors le service Azure Active Directory.

  2. Sélectionnez External Identities>Paramètres d’accès interlocataire (préversion).

  3. Accédez aux paramètres que vous souhaitez modifier :

    • Paramètres par défaut : pour modifier les paramètres entrants par défaut, sélectionnez l’onglet Paramètres par défautet sous Paramètres d’accès entrant, sélectionnez Modifier les valeurs entrantes par défaut.
    • Paramètres organisationnels : pour modifier les paramètres d’une organisation spécifique, sélectionnez l’onglet Paramètres organisationnels, recherchez l’organisation dans la liste (ou ajoutez-en une), puis sélectionnez le lien dans la colonne Accès entrant .
  4. Suivez les étapes détaillées pour les paramètres entrants que vous souhaitez modifier :

Pour modifier les paramètres entrants de la collaboration B2B

  1. Sélectionnez l’onglet Collaboration B2B.

  2. (Cette étape s’applique seulement aux paramètres de l’organisation.) Si vous configurez les paramètres d’accès entrant pour une organisation spécifique, sélectionnez une des options suivantes :

    • Paramètres par défaut : sélectionnez cette option si vous souhaitez que l’organisation utilise les paramètres entrants par défaut (comme configuré dans l’onglet des paramètres Par défaut). Si des paramètres personnalisés ont déjà été configurés pour cette organisation, vous devez sélectionner Oui pour confirmer que vous souhaitez que tous les paramètres soient remplacés par les paramètres par défaut. Sélectionnez ensuite Enregistrer, puis ignorez les étapes restantes de cette procédure.

    • Personnaliser les paramètres : sélectionnez cette option si vous souhaitez personnaliser les paramètres de cette organisation, qui seront appliqués pour cette organisation au lieu des paramètres par défaut. Poursuivez l’application des autres étapes de cette procédure.

  3. Sélectionner Utilisateurs et groupes externes.

  4. Sous État de l’accès, sélectionnez l’une des options suivantes :

    • Autoriser l’accès : Permet aux utilisateurs et groupes spécifiés sous S’applique à d’être invités pour la collaboration B2B.
    • Bloquer l’accès : Empêche les utilisateurs et groupes spécifiés sous S’applique à d’être invités à la collaboration B2B.

    Screenshot showing selecting the user access status for B2B collaboration.

  5. Sous S’applique à, sélectionnez l’une des options suivantes :

    • Tous les utilisateurs et groupes externes : applique l’action que vous avez choisie sous État de l’accès à tous les utilisateurs et groupes des organisations externes Azure AD
    • Sélectionner des utilisateurs et des groupes externes (nécessite un abonnement Azure AD premium) : vous permet d’appliquer l’action que vous avez choisie sous État de l’accès à des utilisateurs et des groupes spécifiques au sein de l’organisation externe.

    Notes

    Si vous bloquez l’accès à tous les utilisateurs et groupes externes, vous devez également bloquer l’accès à toutes vos applications internes (sous l’onglet Applications ).

    Screenshot showing selecting the target users and groups.

  6. Si vous avez choisi Sélectionner des utilisateurs et des groupes externes, procédez comme suit pour chaque utilisateur ou groupe que vous souhaitez ajouter :

    • Sélectionnez Ajouter des utilisateurs et groupes externes.
    • Dans le volet Ajouter d’autres utilisateurs et groupes, dans la zone de recherche, tapez l’ID d’objet utilisateur ou l’ID d’objet de groupe que vous avez obtenu auprès de votre organisation partenaire.
    • Dans le menu en regard de la zone de recherche, choisissez utilisateur ou groupe.
    • Sélectionnez Ajouter.

    Screenshot showing adding users and groups.

  7. Lorsque vous avez terminé d’ajouter des utilisateurs et des groupes, sélectionnez Envoyer.

    Screenshot showing submitting users and groups.

  8. Sélectionnez l'onglet Applications.

  9. Sous État de l’accès, sélectionnez l’une des options suivantes :

    • Autoriser l’accès : Permet aux utilisateurs de la collaboration B2B d’accéder aux applications spécifiées sous S’applique à.
    • Bloquer l’accès : Empêche les utilisateurs de la collaboration B2B d’accéder aux applications spécifiées sous S’applique à.

    Screenshot showing applications access status.

  10. Sous S’applique à, sélectionnez l’une des options suivantes :

    • Toutes les applications : applique l’action que vous avez choisie sous État de l’accès à toutes vos applications.
    • Sélectionner des applications (nécessite un abonnement Azure AD premium) : vous permet d’appliquer l’action que vous avez choisie sous État de l’accès à des applications spécifiques de votre organisation.

    Notes

    Si vous bloquez l’accès à toutes les applications, vous devez également bloquer l’accès à tous les utilisateurs et groupes externes (sous l’onglet Utilisateurs et groupes externes).

    Screenshot showing target applications.

  11. Si vous avez choisi Sélectionner des applications, procédez comme suit pour chaque application que vous souhaitez ajouter :

    • Sélectionnez Ajouter des applications Microsoft ou Ajouter d’autres applications.
    • Dans le volet Sélectionner, tapez le nom de l’application ou l’ID de l’application (ID de l’application cliente ou ID de l’application de ressource) dans la zone de recherche. Sélectionnez ensuite l’application dans les résultats de la recherche. Répétez cette opération pour chaque application que vous souhaitez ajouter.
    • Lorsque vous avez terminé de sélectionner des applications, choisissez Sélectionner.

    Screenshot showing selecting applications.

  12. Sélectionnez Enregistrer.

Pour modifier les paramètres de confiance entrants pour accepter les revendications MFA et d’appareil

  1. Sélectionnez l’onglet Paramètres de confiance.

  2. (Cette étape s’applique seulement aux paramètres de l’organisation.) Si vous configurez les paramètres pour une organisation, sélectionnez une des options suivantes :

    • Paramètres par défaut : l’organisation utilise les paramètres configurés sous l’onglet des paramètres Par défaut. Si des paramètres personnalisés ont déjà été configurés pour cette organisation, vous devez sélectionner Oui pour confirmer que vous souhaitez que tous les paramètres soient remplacés par les paramètres par défaut. Sélectionnez ensuite Enregistrer, puis ignorez les étapes restantes de cette procédure.

    • Personnaliser les paramètres : vous pouvez personnaliser les paramètres de cette organisation, qui seront appliqués à cette organisation au lieu des paramètres par défaut. Poursuivez l’application des autres étapes de cette procédure.

  3. Sélectionnez une ou plusieurs des options suivantes :

    • Faire confiance à l’authentification multifacteur à partir des abonnés Azure AD : cochez cette case pour autoriser vos stratégies d’accès conditionnel à faire confiance aux revendications MFA des organisations externes. Pendant l’authentification, Azure AD vérifiera les informations d’identification d’un utilisateur pour revendiquer que l’utilisateur a effectué l’authentification multifacteur. Si ce n’est pas le cas, une stimulation MFA est lancée dans le l’abonné d’origine de l’utilisateur.

    • Faire confiance aux appareils conformes : permet à vos stratégies d’accès conditionnel de faire confiance à des revendications de conformité d’appareils d’une organisation externe lorsque leurs utilisateurs accèdent à vos ressources.

    • Faire confiance à des appareils hybrides joints Azure AD : permet à vos stratégies d’accès conditionnel de faire confiance aux revendications d’appareils de jointure hybride Azure AD à partir d’une organisation externe lorsque leurs utilisateurs accèdent à vos ressources.

    Screenshot showing trust settings.

  4. Sélectionnez Enregistrer.

Modifier les Paramètres d’accès sortants

Avec les paramètres sortants, vous sélectionnez les utilisateurs et les groupes externes qui pourront accéder aux applications internes que vous choisissez. Que vous configuriez les paramètres par défaut ou les paramètres spécifiques de l’organisation, les étapes de modification des paramètres d’accès multi-abonné sortants sont les mêmes. Comme décrit dans cette section, vous allez accéder à l’onglet Par défaut ou à une organisation de l’onglet Paramètres organisationnels, puis apporter vos modifications.

  1. Connectez-vous au Portail Azure à l’aide d’un compte Administrateur général ou Administrateur de la sécurité. Ouvrez alors le service Azure Active Directory.

  2. Sélectionnez External Identities, puis Paramètres d’accès multi-abonné (préversion).

  3. Accédez aux paramètres que vous souhaitez modifier :

    • Pour modifier les paramètres sortants par défaut, sélectionnez l’ongletParamètres par défaut et sous Paramètres d’accès sortants sélectionnez Modifier les valeurs sortantes par défaut.

    • Pour modifier les paramètres d’une organisation spécifique, sélectionnez l’onglet Paramètres organisationnels recherchez l’organisation dans la liste (ou ajoutez-en une), puis sélectionnez le lien dans la colonne Accès sortant.

  4. Sélectionnez l’onglet Collaboration B2B.

  5. (Cette étape s’applique seulement aux paramètres de l’organisation.) Si vous configurez les paramètres pour une organisation, sélectionnez une des options suivantes :

    • Paramètres par défaut : l’organisation utilise les paramètres configurés sous l’onglet des paramètres Par défaut. Si des paramètres personnalisés ont déjà été configurés pour cette organisation, vous devez sélectionner Oui pour confirmer que vous souhaitez que tous les paramètres soient remplacés par les paramètres par défaut. Sélectionnez ensuite Enregistrer, puis ignorez les étapes restantes de cette procédure.

    • Personnaliser les paramètres : vous pouvez personnaliser les paramètres de cette organisation, qui seront appliqués à cette organisation au lieu des paramètres par défaut. Poursuivez l’application des autres étapes de cette procédure.

  6. Sélectionnez Utilisateurs et groupes.

  7. Sous État de l’accès, sélectionnez l’une des options suivantes :

    • Autoriser l’accès : Permet à vos utilisateurs et groupes spécifiés sous S’applique à d’être invités à des organisations externes pour la collaboration B2B.
    • Bloquer l’accès : Empêche vos utilisateurs et groupes spécifiés sous S’applique à d’être invités à la collaboration B2B. Si vous bloquez l’accès pour tous les utilisateurs et groupes, cela empêchera également l’accès à toutes les applications externes via la collaboration B2B.

    Screenshot showing users and groups access status for b2b collaboration.

  8. Sous S’applique à, sélectionnez l’une des options suivantes :

    • Tous les utilisateurs> de votre organisation  : applique l’action que vous avez choisie sous > à tous vos utilisateurs et groupes.
    • Sélectionner des utilisateurs et des groupes> de votre organisation (nécessite un abonnement Azure AD premium) : vous permet d’appliquer l’action que vous avez choisie sous > à des utilisateurs et des groupes spécifiques.

    Notes

    Si vous bloquez l’accès à tous vos utilisateurs et groupes, vous devez également bloquer l’accès à toutes vos applications externes (sous l’onglet Applications externes).

    Screenshot showing selecting the target users for b2b collaboration.

  9. Si vous avez choisi Sélectionner les utilisateurs et groupes>de votre organisation, procédez comme suit pour chaque utilisateur ou groupe que vous souhaitez ajouter :

    • Sélectionnez Ajouter les utilisateurs et les groupes> de votre organisation .
    • Dans le volet Sélectionner, tapez le nom d’utilisateur ou le nom de groupe dans la zone de recherche.
    • Sélectionnez l’utilisateur ou le groupe dans les résultats de la recherche.
    • Lorsque vous avez terminé de sélectionner les utilisateurs et les groupes que vous souhaitez ajouter, choisissez Sélectionner.
  10. Sélectionnez l’onglet Applications externes.

  11. Sous État de l’accès, sélectionnez l’une des options suivantes :

    • Autoriser l’accès : Permet à vos utilisateurs d’avoir accès aux applications externes spécifiées sous S’applique à via la collaboration B2B.
    • Bloquer l’accès : Empêche vos utilisateurs d’avoir accès aux applications externes spécifiées sous S’applique à via la collaboration B2B.

    Screenshot showing applications access status for b2b collaboration.

  12. Sous S’applique à, sélectionnez l’une des options suivantes :

    • Toutes les applications externes : applique l’action que vous avez choisie sous État de l’accès à toutes les applications externes.
    • Sélectionner des applications externes : applique l’action que vous avez choisie sous État de l’accès à toutes les applications externes.

    Notes

    Si vous bloquez l’accès à toutes les applications externes, vous devez également bloquer l’accès à tous vos utilisateurs et groupes (sous l’onglet Utilisateurs et groupes).

    Screenshot showing application targets for b2b collaboration.

  13. Si vous avez choisi Sélectionner des applications externes, procédez comme suit pour chaque application que vous souhaitez ajouter :

    • Sélectionnez Ajouter des applications Microsoft ou Ajouter d’autres applications.
    • Dans la zone de recherche, saisissez le nom de l’application ou l’ID de l’application (soit l’ID de l’application cliente soit l’ID de l’application de ressource). Sélectionnez ensuite l’application dans les résultats de la recherche. Répétez cette opération pour chaque application que vous souhaitez ajouter.
    • Lorsque vous avez terminé de sélectionner des applications, choisissez Sélectionner.

    Screenshot showing selecting applications for b2b collaboration.

  14. Sélectionnez Enregistrer.

Supprimer une organisation

Lorsque vous supprimez une organisation de vos Paramètres organisationnels, les paramètres d’accès multilocataire par défaut entrent en vigueur avec cette organisation.

Notes

Si l’organisation est un fournisseur de services cloud pour votre organisation (la propriété isServiceProvider dans la configuration spécifique au partenaire Microsoft Graph a la valeur true), vous ne pouvez pas supprimer l’organisation.

  1. Connectez-vous au Portail Azure à l’aide d’un compte Administrateur général ou Administrateur de la sécurité. Ouvrez alors le service Azure Active Directory.

  2. Sélectionnez External Identities, puis Paramètres d’accès multi-abonné (préversion).

  3. Sélectionnez l’onglet Paramètres organisationnels.

  4. Recherchez l’organisation dans la liste, puis sélectionnez l’icône de la corbeille sur cette ligne.

Étapes suivantes