Azure AD External Identities Cross-tenant access settings är ett begrepp för hur du kan interagera säkert med externa användare på olika sätt. Med den här introduktionen går det att vara mer specifik och man erbjuds utökad kontroll jämfört med tidigare funktionalitet när det kommer till externt samarbete. Du kan till exempel välja hur du vill dela dina egna resurser och till vilka, samt i motsatt riktning definiera hur dina interna användare kan komma åt externa organisationer och deras resurser (inbound- och outbound-kontroller).
Tillsammans med Azure AD Identity Governance, som är en allmänt känd governance-funktion sedan tidigare, och external collaboration settings i Azure AD kan man därtill hantera livscykelhanteringen respektive inställningar för externa användare utan en organisatorisk tillhörighet.
I Azure AD under External Identities hittas Cross-tenant access settings som består av B2B och Direct connect. Inte alltför länge sedan släpptes den ur sin preview och introduktionen har öppnat upp för Direct connect och i sin tur delade kanaler i Teams. De kan användas både internt och externt och det senare kräver en ömsesidig trust där bägge parter lägger till respektive organisation i sina Cross-tenant access-inställningar, alternativt på individ eller gruppnivå med objekt-id som identifierare. Med Microsoft Cloud settings (i preview) kan man nu dessutom samarbeta med olika Microsoft-moln, som Government och Kina.
Något väldigt välkommet är att man kan konfigurera sina conditional access policies och lita på ett urval av sin partnerorganisations olika claims, vilket innebär att användarna får en mer sömlös upplevelse. Det här gäller både för B2B och Direct connect.
Låt mig ge två vardagsexempel när det kommer till att lita på en extern MFA-claim.
För gästkonton generellt (B2B) kan man förstås tilldela många fler conditional access policies eftersom de får ett gästobjekt i din organisations Azure AD. Men när det kommer till Direct connect så handlar det om en organisation som är betrodd så det skapas inte något objekt i Azure AD, däremot kan man konfigurera ovan policies för den här typen av användare och välja att lita på dem. Direct connect är på ett sätt mer likt traditionell federering, fast med betydligt förbättrad funktionalitet för externt samarbete i Teams eftersom federering egentligen bara innebär att man kan hitta varandra i Teams och starta ett videosamtal eller chatt.
Det är en kanaltyp i Teams som påminner mycket om en privat kanal vad gäller den separata underliggande SharePoint-siten som skapas. Delade kanaler är aktiverat som standard för intern användning, men för extern användning behöver man konfigurera det.
Det är perfekt för samarbete där man inte vill lägga till någon i ett helt team utan bara i en specifik kanal. Om det är en extern person som läggs till så används inte gästbehörighet där man byter till den andra organisationen inne i Teams, utan den delade kanalen dyker upp i din egen Teams-vy där du har dina nuvarande team. Inget hoppande fram och tillbaka mellan organisationer.
Ja, förutom de tre conditional access-kontrollerna kan man använda sig av legal hold, retention policies, sensitivity labels och data loss prevention (DLP) med mera.
Behöver du hjälp med något kring Teams och Microsoft 365 så är du välkommen att kontakta mig och mina kollegor på IT-Total.
Läs mer om allt vi bryr oss om på: