Configurare le impostazioni di accesso tra tenant per la connessione diretta B2B

Usare le impostazioni di accesso tra tenant per gestire la modalità di collaborazione con altre organizzazioni di Microsoft Entra tramite la connessione diretta B2B. Queste impostazioni consentono di determinare il livello di accesso in uscita degli utenti alle organizzazioni esterne. Consentono inoltre di controllare il livello di accesso in ingresso che gli utenti delle organizzazioni esterne di Microsoft Entra devono accedere alle risorse interne.

• Impostazioni predefinite: le impostazioni di accesso tra tenant predefinite si applicano a tutte le organizzazioni esterne di Microsoft Entra, ad eccezione delle organizzazioni per cui si configurano le singole impostazioni. È possibile modificare queste impostazioni predefinite. Per la connessione diretta B2B, in genere si lasciano invariate le impostazioni predefinite e si abilita l'accesso diretto B2B con le impostazioni specifiche dell'organizzazione. Inizialmente, i valori predefiniti sono i seguenti:

  • Impostazioni predefinite iniziali della connessione diretta B2B B2B per impostazione predefinita : per impostazione predefinita, la connessione diretta B2B in uscita viene bloccata per l'intero tenant e la connessione diretta B2B in ingresso viene bloccata per tutte le organizzazioni esterne di Microsoft Entra.
  • Impostazioni organizzative : nessuna organizzazione viene aggiunta per impostazione predefinita.

• Impostazioni specifiche dell'organizzazione: è possibile configurare impostazioni specifiche dell'organizzazione aggiungendo un'organizzazione e modificando le impostazioni in ingresso e in uscita per tale organizzazione. Le impostazioni dell'organizzazione hanno la precedenza sulle impostazioni predefinite.

Altre informazioni sull'uso delle impostazioni di accesso tra tenant per gestire la connessione diretta B2B.

Importante

Microsoft sta iniziando a spostare i clienti usando le impostazioni di accesso tra tenant a un nuovo modello di archiviazione il 30 agosto 2023. È possibile notare una voce nei log di controllo che informano che le impostazioni di accesso tra tenant sono state aggiornate quando l'attività automatizzata esegue la migrazione delle impostazioni. Per una breve finestra durante i processi di migrazione, non sarà possibile apportare modifiche alle impostazioni. Se non è possibile apportare una modifica, attendere alcuni istanti e riprovare. Al termine della migrazione, non sarà più possibile aggiungere 25 KB di spazio di archiviazione e non saranno previsti altri limiti per il numero di partner che è possibile aggiungere.

Operazioni preliminari

• Esaminare la sezione Considerazioni importanti nella panoramica dell'accesso tra tenant prima di configurare le impostazioni di accesso tra tenant.
• Decidere il livello di accesso predefinito che si vuole applicare a tutte le organizzazioni esterne di Microsoft Entra.
• Identificare tutte le organizzazioni di Microsoft Entra che necessitano di impostazioni personalizzate.
• Contattare le organizzazioni con cui si vuole configurare la connessione diretta B2B. Poiché la connessione diretta B2B viene stabilita tramite trust reciproco, sia l'utente che l'altra organizzazione devono abilitare la connessione diretta B2B tra loro nelle impostazioni di accesso tra tenant.
• Ottenere le informazioni necessarie dalle organizzazioni esterne. Per applicare le impostazioni di accesso a utenti, gruppi o applicazioni specifici all'interno di un'organizzazione esterna, è necessario ottenere questi ID dall'organizzazione prima di poter configurare le impostazioni di accesso.
• Per configurare le impostazioni di accesso tra tenant nell'interfaccia di amministrazione di Microsoft Entra, è necessario un account con almeno il ruolo Security Amministrazione istrator. Gli amministratori di Teams possono leggere le impostazioni di accesso tra tenant, ma non possono aggiornare queste impostazioni.

Configurare le impostazioni predefinite

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Le impostazioni di accesso tra tenant predefinite si applicano a tutte le organizzazioni esterne per le quali non sono state create impostazioni personalizzate specifiche dell'organizzazione. Se si desidera modificare le impostazioni predefinite fornite da Microsoft Entra ID, seguire questa procedura.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di sicurezza.

2. Passare a Identità>esterne identità>impostazioni di accesso tra tenant.

3. Selezionare la scheda Impostazioni predefinite ed esaminare la pagina di riepilogo.

   

4. Per modificare le impostazioni, selezionare il collegamento Modifica impostazioni predefinite in ingresso o il collegamento Modifica impostazioni predefinite in uscita.

   

5. Modificare le impostazioni predefinite seguendo la procedura dettagliata descritta in queste sezioni:

   • Modificare le impostazioni di accesso in ingresso
   • Modificare le impostazioni di accesso in uscita

Aggiungere un'organizzazione

Seguire questa procedura per configurare le impostazioni personalizzate per organizzazioni specifiche.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di sicurezza.

2. Passare a Identità>esterne identità>impostazioni di accesso tra tenant.

3. Selezionare Impostazioni organizzative.

4. Selezionare Aggiungi organizzazione.

5. Nel riquadro Aggiungi organizzazione digitare il nome di dominio completo (o l'ID tenant) dell'organizzazione.

   

6. Selezionare l'organizzazione nei risultati della ricerca e quindi selezionare Aggiungi.

7. L'organizzazione viene visualizzata nell'elenco Impostazioni dell'organizzazione. A questo punto, tutte le impostazioni di accesso per questa organizzazione vengono ereditate dalle impostazioni predefinite. Per modificare le impostazioni per questa organizzazione, selezionare il collegamento Ereditato dal valore predefinito nella colonna Accesso in ingresso o Accesso in uscita.

   

8. Modificare le impostazioni dell'organizzazione seguendo la procedura dettagliata descritta in queste sezioni:

   • Modificare le impostazioni di accesso in ingresso
   • Modificare le impostazioni di accesso in uscita

Modificare le impostazioni di accesso in ingresso

Con le impostazioni in ingresso, è possibile selezionare quali utenti e gruppi esterni possono accedere alle applicazioni interne scelte. Sia che si configurino le impostazioni predefinite o le impostazioni specifiche dell'organizzazione, i passaggi per la modifica delle impostazioni di accesso tra tenant in ingresso sono gli stessi. Come descritto in questa sezione, passare alla scheda Predefinita o a un'organizzazione nella scheda Impostazioni dell'organizzazione e quindi apportare le modifiche.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di sicurezza.

2. Passare a Identità>esterne identità>impostazioni di accesso tra tenant.

3. Passare alle impostazioni da modificare:

   • Per modificare le impostazioni predefinite in ingresso, selezionare la scheda Impostazioni predefinite e quindi in Impostazioni di accesso in ingresso selezionare Modifica impostazioni predefinite in ingresso.
   • Per modificare le impostazioni per un'organizzazione specifica, selezionare la scheda Impostazioni dell'organizzazione, individuare l'organizzazione nell'elenco (o aggiungerne una) e quindi selezionare il collegamento nella colonna Accesso in ingresso.

4. Seguire i passaggi dettagliati per le impostazioni da modificare:

   • Per modificare le impostazioni di connessione diretta B2B in ingresso
   • Per modificare le impostazioni di attendibilità in ingresso per MFA e stato del dispositivo

Per modificare le impostazioni di connessione diretta B2B in ingresso

1. Selezionare la scheda Connessione diretta B2B

2. Se si configurano le impostazioni per un'organizzazione, selezionare una delle opzioni seguenti:

   • Impostazioni predefinite: l'organizzazione usa le impostazioni configurate nella scheda Impostazioni predefinite. Se le impostazioni personalizzate sono già state configurate per questa organizzazione, è necessario selezionare Sì per confermare che tutte le impostazioni devono essere sostituite dalle impostazioni predefinite. Selezionare Quindi Salva e ignorare il resto dei passaggi di questa procedura.

   • Personalizzare le impostazioni: è possibile personalizzare le impostazioni da applicare per questa organizzazione invece delle impostazioni predefinite. Continuare con il resto dei passaggi di questa procedura.

3. Selezionare Utenti e gruppi esterni.

4. In Stato di accesso selezionare una delle opzioni seguenti:

   • Consenti accesso: consente agli utenti e ai gruppi specificati in Si applica di accedere alla connessione diretta B2B.
   • Blocca l'accesso: blocca gli utenti e i gruppi specificati in Si applica a dall'accesso alla connessione diretta B2B. Il blocco dell'accesso per tutti gli utenti e i gruppi esterni impedisce anche la condivisione di tutte le applicazioni interne tramite connessione diretta B2B.

   

5. In Si applica a selezionare una delle opzioni seguenti:

   • Tutti gli utenti e i gruppi esterni: applica l'azione scelta in Stato di accesso a tutti gli utenti e i gruppi di organizzazioni esterne di Microsoft Entra.
   • Selezionare utenti e gruppi esterni: consente di applicare l'azione scelta in Stato di accesso a utenti e gruppi specifici all'interno dell'organizzazione esterna. Nel tenant configurato è necessaria una licenza microsoft Entra ID P1.

   

6. Se si sceglie Seleziona utenti e gruppi esterni, eseguire le operazioni seguenti per ogni utente o gruppo da aggiungere:

   • Selezionare Aggiungi utenti e gruppi esterni.
   • Nel riquadro Aggiungi altri utenti e gruppi digitare l'ID oggetto utente o l'ID oggetto gruppo nella casella di ricerca.
   • Nel menu accanto alla casella di ricerca scegliere utente o gruppo.
   • Seleziona Aggiungi.

   Nota

   Non è possibile impostare come destinazione utenti o gruppi nelle impostazioni predefinite in ingresso.

   

7. Al termine dell'aggiunta di utenti e gruppi, selezionare Invia.

8. Selezionare la scheda Applicazioni .

9. In Stato di accesso selezionare una delle opzioni seguenti:

   • Consenti accesso: consente alle applicazioni specificate in Si applica di accedere agli utenti con connessione diretta B2B.
   • Blocca l'accesso: impedisce alle applicazioni specificate in Si applica a di accedere agli utenti con connessione diretta B2B.

   

10. In Si applica a selezionare una delle opzioni seguenti:

    • Tutte le applicazioni: applica l'azione scelta in Stato di accesso a tutte le applicazioni.
    • Selezionare le applicazioni (richiede un abbonamento a Microsoft Entra ID P1 o P2): consente di applicare l'azione scelta in Stato di accesso a applicazioni specifiche dell'organizzazione.

    

11. Se si sceglie Seleziona applicazioni, eseguire le operazioni seguenti per ogni applicazione da aggiungere:

    • Selezionare Aggiungi applicazioni Microsoft.
    • Nel riquadro applicazioni digitare il nome dell'applicazione nella casella di ricerca e selezionare l'applicazione nei risultati della ricerca.
    • Al termine della selezione delle applicazioni, scegliere Seleziona.

    

12. Seleziona Salva.

Per modificare le impostazioni di attendibilità in ingresso per MFA e stato del dispositivo

1. Selezionare la scheda Impostazioni attendibilità.

2. Se si configurano le impostazioni per un'organizzazione, selezionare una delle opzioni seguenti:

   • Impostazioni predefinite: l'organizzazione usa le impostazioni configurate nella scheda Impostazioni predefinite. Se le impostazioni personalizzate sono già state configurate per questa organizzazione, è necessario selezionare Sì per confermare che tutte le impostazioni devono essere sostituite dalle impostazioni predefinite. Selezionare Quindi Salva e ignorare il resto dei passaggi di questa procedura.

   • Personalizzare le impostazioni: è possibile personalizzare le impostazioni da applicare per questa organizzazione invece delle impostazioni predefinite. Continuare con il resto dei passaggi di questa procedura.

3. Selezionare una o più delle opzioni seguenti:

   • Considera attendibile l'autenticazione a più fattori dai tenant di Microsoft Entra: selezionare questa casella di controllo se i criteri di accesso condizionale richiedono l'autenticazione a più fattori (MFA). Questa impostazione consente ai criteri di accesso condizionale di considerare attendibili le attestazioni MFA da organizzazioni esterne. Durante l'autenticazione, Microsoft Entra ID controlla le credenziali di un utente per un'attestazione che l'utente ha completato l'autenticazione a più fattori. In caso contrario, viene avviata una richiesta di autenticazione a più fattori nel tenant principale dell'utente.

   • Considera attendibili i dispositivi conformi: consente ai criteri di accesso condizionale di considerare attendibili le attestazioni dei dispositivi conformi da un'organizzazione esterna quando gli utenti accedono alle risorse.

   • Considerare attendibili i dispositivi aggiunti all'ibrido Microsoft Entra: consente ai criteri di accesso condizionale di considerare attendibili le attestazioni dei dispositivi aggiunti all'ambiente ibrido di Microsoft Entra da un'organizzazione esterna quando gli utenti accedono alle risorse.

   

4. Questo passaggio si applica a Solo le impostazioni dell'organizzazione. Esaminare l'opzione Riscatto automatico:

   • Riscattare automaticamente gli inviti con il tenant del tenant<>: controllare questa impostazione se si desidera riscattare automaticamente gli inviti. In tal caso, gli utenti del tenant specificato non dovranno accettare la richiesta di consenso la prima volta che accedono a questo tenant usando la sincronizzazione tra tenant, Collaborazione B2B o Connessione diretta B2B. Questa impostazione elimina la richiesta di consenso solo se il tenant specificato controlla anche questa impostazione per l'accesso in uscita.

   

5. Seleziona Salva.

Nota

Quando si configurano le impostazioni per un'organizzazione, si noterà una scheda di sincronizzazione tra tenant. Questa scheda non si applica alla configurazione di connessione diretta B2B. Questa funzionalità viene invece usata dalle organizzazioni multi-tenant per abilitare la collaborazione B2B nei tenant. Per altre informazioni, vedere la documentazione dell'organizzazione multi-tenant.

Modificare le impostazioni di accesso in uscita

Con le impostazioni in uscita, è possibile selezionare quali utenti e gruppi sono in grado di accedere alle applicazioni esterne scelte. La procedura dettagliata per la modifica delle impostazioni di accesso tra tenant in uscita è la stessa che si stia configurando le impostazioni predefinite o specifiche dell'organizzazione. Come descritto in questa sezione, passare alla scheda Predefinita o a un'organizzazione nella scheda Impostazioni dell'organizzazione e quindi apportare le modifiche.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di sicurezza.

2. Passare a Identità>esterne identità>impostazioni di accesso tra tenant.

3. Passare alle impostazioni da modificare:

   • Per modificare le impostazioni predefinite in uscita, selezionare la scheda Impostazioni predefinite e quindi in Impostazioni di accesso in uscita selezionare Modifica impostazioni predefinite in uscita.

   • Per modificare le impostazioni per un'organizzazione specifica, selezionare la scheda Impostazioni dell'organizzazione, individuare l'organizzazione nell'elenco (o aggiungerne una) e quindi selezionare il collegamento nella colonna Accesso in uscita.

Per modificare le impostazioni di accesso in uscita

1. Selezionare la scheda Connessione diretta B2B.

2. Se si configurano le impostazioni per un'organizzazione, selezionare una delle opzioni seguenti:

   • Impostazioni predefinite: l'organizzazione usa le impostazioni configurate nella scheda Impostazioni predefinite. Se le impostazioni personalizzate sono già state configurate per questa organizzazione, è necessario selezionare Sì per confermare che tutte le impostazioni devono essere sostituite dalle impostazioni predefinite. Selezionare Quindi Salva e ignorare il resto dei passaggi di questa procedura.

   • Personalizzare le impostazioni: è possibile personalizzare le impostazioni per questa organizzazione, che verranno applicate per questa organizzazione invece delle impostazioni predefinite. Continuare con il resto dei passaggi di questa procedura.

3. Selezionare Utenti e gruppi.

4. In Stato di accesso selezionare una delle opzioni seguenti:

   • Consenti accesso: consente agli utenti e ai gruppi specificati in Si applica di accedere alla connessione diretta B2B.
   • Blocca l'accesso: impedisce agli utenti e ai gruppi specificati in Si applica a di accedere alla connessione diretta B2B. Il blocco dell'accesso per tutti gli utenti e i gruppi impedisce anche la condivisione di tutte le applicazioni esterne tramite connessione diretta B2B.

   

5. In Si applica a selezionare una delle opzioni seguenti:

   • Tutti gli <utenti dell'organizzazione>: applica l'azione scelta in Stato di accesso a tutti gli utenti e i gruppi.
   • Selezionare <gli utenti e i gruppi dell'organizzazione> (richiede un abbonamento a Microsoft Entra ID P1 o P2): consente di applicare l'azione scelta in Stato di accesso a utenti e gruppi specifici.

   

6. Se si sceglie Seleziona <utenti e gruppi dell'organizzazione>, eseguire le operazioni seguenti per ogni utente o gruppo da aggiungere:

   • Selezionare Aggiungi <utenti e gruppi dell'organizzazione>.
   • Nel riquadro Seleziona digitare il nome utente o il nome del gruppo nella casella di ricerca.
   • Al termine della selezione di utenti e gruppi, scegliere Seleziona.

   Nota

   Quando la destinazione è utenti e gruppi, non sarà possibile selezionare gli utenti che hanno configurato l'autenticazione basata su SMS. Ciò è dovuto al fatto che gli utenti che dispongono di una "credenziale federata" nell'oggetto utente vengono bloccati per impedire l'aggiunta di utenti esterni alle impostazioni di accesso in uscita. Come soluzione alternativa, è possibile usare l'API Microsoft Graph per aggiungere direttamente l'ID oggetto dell'utente o definire come destinazione un gruppo a cui appartiene l'utente.

7. Seleziona Salva.

8. Selezionare la scheda Applicazioni esterne.

9. In Stato di accesso selezionare una delle opzioni seguenti:

   • Consenti accesso: consente alle applicazioni specificate in Si applica di accedere agli utenti con connessione diretta B2B.
   • Blocca l'accesso: impedisce alle applicazioni specificate in Si applica a di accedere agli utenti con connessione diretta B2B.

   

10. In Si applica a selezionare una delle opzioni seguenti:

    • Tutte le applicazioni esterne: applica l'azione scelta in Stato di accesso a tutte le applicazioni esterne.
    • Selezionare le applicazioni (richiede un abbonamento a Microsoft Entra ID P1 o P2): consente di applicare l'azione scelta in Stato di accesso a applicazioni esterne specifiche.

    

11. Se si sceglie Seleziona applicazioni esterne, eseguire le operazioni seguenti per ogni applicazione da aggiungere:

    • Selezionare Aggiungi applicazioni Microsoft o Aggiungi altre applicazioni.
    • Nel riquadro applicazioni digitare il nome dell'applicazione nella casella di ricerca e selezionare l'applicazione nei risultati della ricerca.
    • Al termine della selezione delle applicazioni, scegliere Seleziona.

    

12. Seleziona Salva.

Per modificare le impostazioni di attendibilità in uscita

(Questa sezione si applica a Solo le impostazioni dell'organizzazione.

1. Selezionare la scheda Impostazioni attendibilità.

2. Esaminare l'opzione Riscatto automatico:

   • Riscattare automaticamente gli inviti con il tenant del tenant<>: controllare questa impostazione se si desidera riscattare automaticamente gli inviti. In tal caso, gli utenti di questo tenant non devono accettare la richiesta di consenso la prima volta che accedono al tenant specificato usando la sincronizzazione tra tenant, collaborazione B2B o connessione diretta B2B. Questa impostazione elimina la richiesta di consenso solo se il tenant specificato controlla anche questa impostazione per l'accesso in ingresso.

   

3. Seleziona Salva.

Rimuovere un'organizzazione

Quando si rimuove un'organizzazione dalle impostazioni dell'organizzazione, le impostazioni di accesso tra tenant predefinite diventano effettive per tale organizzazione.

Nota

Se l'organizzazione è un provider di servizi cloud per l'organizzazione (la proprietà isServiceProvider nella configurazione specifica del partner Microsoft Graph è true), non sarà possibile rimuovere l'organizzazione.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di sicurezza.

2. Passare a Identità>esterne identità>impostazioni di accesso tra tenant.

3. Selezionare la scheda Impostazioni organizzazione.

4. Trovare l'organizzazione nell'elenco e quindi selezionare l'icona del cestino in tale riga.

Passaggi successivi

Configurare le impostazioni di accesso tra tenant per Collaborazione B2B