Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Las organizaciones suelen colaborar con asociados externos, como proveedores y contratistas. Las soluciones tradicionales para conceder acceso a recursos internos para los usuarios externos suelen carecer de visibilidad y controles de seguridad pormenorizados. El acceso seguro global, integrado en Microsoft Entra, resuelve estos desafíos mediante el uso de identidades de invitado B2B existentes y proporciona características de seguridad avanzadas, como el acceso condicional, la evaluación continua del acceso y la confianza entre inquilinos. Este enfoque permite una administración segura y eficaz del acceso de usuarios externos sin duplicar cuentas ni requerir una federación compleja.
La característica de acceso de invitado de Acceso seguro global permite a los asociados usar sus propios dispositivos e identidades para acceder a los recursos de la empresa de forma segura. Admite escenarios de bring your own device (BYOD), aplica la autenticación multifactor por aplicación y ofrece un cambio multiinquilino sin problemas para los usuarios asociados. Los administradores se benefician de la administración de un solo panel para las directivas de identidad, acceso y red, lo que reduce la sobrecarga operativa a la vez que mejora la gobernanza. El registro integrado y la telemetría en las capas de identidad y red proporcionan visibilidad completa de la actividad de invitado, lo que garantiza una experiencia segura y simplificada para la colaboración externa.
Importante
La característica de acceso de invitado se encuentra actualmente en versión preliminar. Esta información se relaciona con un producto de versión preliminar que podría modificarse sustancialmente antes de su lanzamiento. Microsoft no ofrece ninguna garantía, expresada o implícita, con respecto a la información proporcionada aquí.
Habilitar el acceso de invitado B2B con el cliente de Acceso Seguro Global
Los socios pueden habilitar la característica de acceso de invitado con el cliente Global Secure Access, iniciando sesión en la cuenta de Microsoft Entra ID de su organización principal. El cliente global de acceso seguro detecta automáticamente los inquilinos asociados donde el usuario actúa como invitado y ofrece la opción de cambiar al contexto del espacio del cliente. Los usuarios invitados solo pueden acceder a los recursos asignados y solo si se incluyen en el perfil de reenvío de tráfico de acceso privado del inquilino de recursos. El cliente enruta solo el tráfico de las aplicaciones privadas del cliente a través del servicio Global Secure Access del cliente.
Prerrequisitos
Para habilitar el acceso de invitado B2B con el cliente de acceso seguro global, debe tener:
Usuarios invitados configurados en la entidad del recurso. Para obtener más información, consulte los artículos siguientes:
El cliente de Acceso seguro global, versión 2.24.117 o posterior, instalado y ejecutándose en el dispositivo conectado al inquilino principal. Para instalar el cliente de Acceso seguro global, consulte Instalación del cliente de Acceso seguro global para Microsoft Windows.
Sugerencia
El inquilino principal no necesita tener una licencia de acceso seguro global.
Acceso privado de acceso seguro global habilitado en el inquilino de recursos. Configure el perfil de reenvío de tráfico de Acceso Privado en el cliente de recursos y asigne el perfil a las cuentas de invitado.
Al menos una aplicación privada configurada y asignada a cuentas de invitado.
La característica Acceso de invitados está habilitada en el cliente al establecer la siguiente clave del Registro:
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access ClientImportancia Tipo Data Description AccesoInvitadoHabilitado REG_DWORD 0x1 El acceso de invitado está habilitado en este dispositivo. AccesoInvitadoHabilitado REG_DWORD 0x0 El acceso de invitado está deshabilitado en este dispositivo.
Los administradores pueden usar una solución de administración de dispositivos móviles (MDM), como Microsoft Intune o directiva de grupo, para establecer los valores del Registro.
Conéctate al arrendatario de recursos invitados
Para habilitar el acceso de invitado B2B con el cliente de acceso seguro global, siga estos pasos:
- Inicie el cliente de Acceso seguro global.
- Cambie el cliente al inquilino del recurso invitado:
- Seleccione el icono de cliente de Acceso seguro global en la bandeja del sistema.
- Seleccione el menú Usuario (imagen de perfil) y seleccione el inquilino de recursos invitados de la lista.
Sugerencia
El inquilino principal no necesita tener configurado el acceso seguro global para que este paso funcione.
- Compruebe que está conectado al entorno de recursos invitado. Cuando es verdadero, la Organización Global de Acceso Seguro muestra el nombre del tenant de recurso.
Todos los túneles de acceso seguro global al inquilino principal (como acceso privado, acceso a Internet o túneles de Microsoft 365) se desconectan y se crea un nuevo túnel de acceso privado al inquilino de recursos. Debe poder acceder a las aplicaciones privadas configuradas en el inquilino de recursos.
Volver al inquilino principal
- Seleccione el icono de cliente de Acceso seguro global en la bandeja del sistema.
- Seleccione el menú Usuario (imagen de perfil).
- Para volver, seleccione el arrendatario principal de la lista.
Al cambiar de nuevo, se desconecta el túnel de acceso privado del tenant de recursos y se conectan los túneles configurados al tenant principal.
Preguntas más frecuentes (FAQ)
P: ¿Se admiten indicadores entre entidades, como MFA y cumplimiento de dispositivos?
R: Sí, las señales entre inquilinos funcionan con la característica de acceso de invitado del Acceso Seguro Global.
P: ¿Cuál es el requisito de licencia para el inquilino principal?
R: El inquilino principal no necesita una licencia de acceso seguro global. La funcionalidad requiere al menos un tenant gratuito de Microsoft Entra.
P: ¿Se admiten los tipos de usuario, invitado y miembro?
R: Sí. Cross Tenant Sync crea usuarios invitados como userType = Member de forma predeterminada y se admite este tipo de usuario.
P: ¿Es necesario registrar el dispositivo en el arrendatario de recursos?
No, el registro de dispositivos no es necesario en el arrendatario de recursos para que funcione el acceso de invitados.
P: ¿Puedo configurar la autenticación multifactor en la entidad de recursos?
R: Sí, puede configurar MFA en el usuario y en las aplicaciones.
P: ¿Cómo accede un usuario de inquilino principal (inquilino externo) a un recurso local en el inquilino de recursos cuando el recurso usa AD DS y Kerberos (por ejemplo, un recurso compartido de archivos o una aplicación integrada de Kerberos)?
R: Este escenario no se admite. Microsoft Entra B2B no proporciona tickets Kerberos, y Privado de Acceso Seguro Global no hace de proxy para Kerberos ni admite la Delegación Restringida de Kerberos (KCD). Como resultado, los usuarios invitados no pueden acceder directamente a los recursos locales que requieren Kerberos (por ejemplo, recursos compartidos de archivos SMB o aplicaciones mediante la autenticación integrada de Windows).
En el caso de las aplicaciones web, el único método admitido para que los usuarios B2B accedan a las aplicaciones locales respaldadas por Kerberos es mediante la publicación de la aplicación a través de Application Proxy con KCD. Para más información, consulte Configuración del inicio de sesión único con delegación restringida de Kerberos.
Limitaciones conocidas
- El acceso de invitado B2B no admite mantener el acceso a Internet, Microsoft 365 y los túneles de Microsoft Entra al inquilino principal.
- Se produce un error al cambiar una cuenta al inquilino de recursos cuando este está configurado para MFA obligatoria en la configuración entre inquilinos y el inquilino principal está configurado con inicio de sesión sin contraseña (passwordless sign-in, PSI) en la aplicación de autenticación.
- Cuando se permite el Control de acceso en las configuraciones entre tenants de Global Secure Access, no está permitido el acceso porque Global Secure Access controla estas aplicaciones.
- Cuando un usuario cambia de inquilino, las conexiones de aplicaciones activas existentes como el Protocolo de escritorio remoto (RDP) permanecen conectadas al inquilino anterior.
Habilitación del acceso de invitado B2B para Azure Virtual Desktop y Windows 365
Puede habilitar el acceso seguro global en instancias de Windows 365 y Azure Virtual Desktop que admiten identidades externas para proporcionar acceso de invitado B2B. Con esta funcionalidad, los usuarios externos (como invitados, asociados y contratistas) de otras organizaciones pueden acceder de forma segura a los recursos del inquilino (el inquilino de recursos). Como administrador de inquilinos de recursos, puede configurar directivas de tráfico de Acceso privado, Acceso a Internet y Microsoft 365 para estos usuarios de terceros, lo que ayuda a garantizar el acceso seguro y controlado a los recursos de la organización.
Para habilitar el acceso de invitado B2B para máquinas virtuales (VM) de Windows 365 o Azure Virtual Desktop (AVD) con acceso seguro global, siga estos pasos:
Configure la instancia de máquina virtual de Windows 365 o Azure Virtual Desktop para usar la vinculación de identificador externo. Para obtener más información, consulte Configuración de la vinculación de identificadores externos.
Incorpore su organización al acceso seguro global. Para obtener más información, consulte instrucciones de incorporación.
Configure uno o varios perfiles de reenvío de tráfico de acceso seguro global y asígnelos a los usuarios con identificadores externos. Para obtener más información, consulte Configuración de perfiles de reenvío de tráfico y Asignación de usuarios a perfiles.
Instale y configure el cliente de acceso seguro global en las máquinas virtuales. Para obtener más información, consulte Guía de instalación del cliente de acceso seguro global.
Una vez configurado, el cliente de acceso seguro global se conecta automáticamente al inquilino asociado a la instancia de máquina virtual mediante el identificador externo.