Partager via

Vue d’ensemble de l’accès invité B2B avec Accès sécurisé global (préversion)

Les organisations collaborent souvent avec des partenaires externes tels que des fournisseurs et des sous-traitants. Les solutions traditionnelles permettant d’accorder l’accès aux ressources internes pour les utilisateurs externes manquent généralement de visibilité et de contrôles de sécurité granulaires. Global Secure Access, intégré à Microsoft Entra, résout ces défis en utilisant des identités invitées B2B existantes et en fournissant des fonctionnalités de sécurité avancées telles que l’accès conditionnel, l’évaluation de l’accès continu et l’approbation interlocataire. Cette approche permet une gestion sécurisée et efficace de l’accès des utilisateurs externes sans dupliquer des comptes ou exiger une fédération complexe.

La fonctionnalité d’accès invité dans Global Secure Access permet aux partenaires d’utiliser leurs propres appareils et identités pour accéder en toute sécurité aux ressources de l’entreprise. Il prend en charge les scénarios BYOD (Apportez votre propre appareil), applique l’authentification multifacteur par application et offre une commutation transparente entre plusieurs locataires pour les utilisateurs partenaires. Les administrateurs bénéficient d’une gestion à volet unique pour les stratégies d’identité, d’accès et de réseau, ce qui réduit la surcharge opérationnelle tout en améliorant la gouvernance. La journalisation et la télémétrie intégrées entre les couches d’identité et de réseau offrent une visibilité complète de l’activité invité, ce qui garantit une expérience sécurisée et simplifiée pour la collaboration externe.

Important

La fonctionnalité d’accès invité est actuellement en préversion. Ces informations concernent un produit de préversion susceptible d’être sensiblement modifié avant sa mise en production. Microsoft n’offre aucune garantie, exprimée ou implicite, en ce qui concerne les informations fournies ici.

Activer l’accès invité B2B avec le client Accès sécurisé global

Les partenaires peuvent activer la fonctionnalité d’accès invité avec le client Global Secure Access, connecté au compte d’ID Microsoft Entra de leur organisation d’origine. Le client Global Secure Access découvre automatiquement les locataires partenaires où l’utilisateur est invité et offre la possibilité de basculer dans le contexte du locataire du client. Les utilisateurs invités peuvent accéder uniquement aux ressources affectées et uniquement s’ils sont inclus dans le profil de transfert du trafic d’accès privé du locataire de ressource. Le client achemine uniquement le trafic pour les applications privées du client via le service Global Secure Access du client.

Diagramme de l’accès invité B2B avec accès global sécurisé.

Prerequisites

Pour activer l’accès invité B2B avec le client Global Secure Access, vous devez disposer des options suivantes :

  • Utilisateurs invités configurés dans le locataire de ressource. Pour plus d’informations, consultez les articles suivants :

  • Le client Global Secure Access, version 2.24.117 ou ultérieure, installé et exécuté sur l’appareil connecté au locataire domestique. Pour installer le client Global Secure Access, consultez Installer le client Global Secure Access pour Microsoft Windows.

    Conseil / Astuce

    Le locataire domestique n’a pas besoin d’une licence d’accès sécurisé global.

  • Accès privé global sécurisé activé sur le locataire de ressource. Configurez le profil de transfert du trafic d’accès privé sur le locataire de ressource et affectez le profil aux comptes invités.

  • Au moins une application privée configurée et affectée aux comptes invités.

  • La fonctionnalité d’accès invité activée sur le client en définissant la clé de Registre suivante :
    Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\Global Secure Access Client

    Valeur Type Data Descriptif
    AccèsInvitéActivé REG_DWORD 0x1 L’accès invité est activé sur cet appareil.
    AccèsInvitéActivé REG_DWORD 0x0 L’accès invité est désactivé sur cet appareil.

Les administrateurs peuvent utiliser une solution mdm (Mobile Device Management), telle que Microsoft Intune ou stratégie de groupe, pour définir les valeurs du Registre.

Se connecter au tenant de ressources invité

Pour activer l’accès invité B2B avec le client Global Secure Access, procédez comme suit :

  1. Lancez le client Global Secure Access.
  2. Basculez le client vers un locataire de ressource invité.
    1. Sélectionnez l’icône du client Accès sécurisé global dans la barre d’état système.
    2. Sélectionnez le menu Utilisateur (image de profil) et sélectionnez le locataire de ressource invité dans la liste.

      Conseil / Astuce

      Le locataire de base n’a pas besoin d’avoir un accès sécurisé global configuré pour que cette étape fonctionne.

    3. Vérifiez que vous êtes connecté au locataire de ressource invité. Lorsque la valeur est true, l’organisation d’accès sécurisé global affiche le nom du locataire de ressource.
      Capture d’écran du volet État de l’accès sécurisé global montrant que l’organisation est connectée au locataire de ressources.

Tous les tunnels d’accès sécurisé global au locataire domestique (tels que l’accès privé, l’accès Internet ou les tunnels Microsoft 365) se déconnectent et un nouveau tunnel d’accès privé est créé sur le locataire de ressource. Vous devez être en mesure d’accéder aux applications privées configurées sur l'instance de ressources.

Revenir au locataire principal

  1. Sélectionnez l’icône du client Accès sécurisé global dans la barre d’état système.
  2. Sélectionnez le menu Utilisateur (image de profil).
  3. Pour revenir en arrière, sélectionnez le locataire d’accueil dans la liste.

Le basculement déconnecte le tunnel d’accès privé du locataire de ressource et connecte les tunnels configurés au locataire domestique.

Questions fréquemment posées (FAQ)

Q : Les signaux entre locataires, comme l'authentification à plusieurs facteurs et la conformité des appareils, sont-ils pris en charge ?
R : Oui, les signaux entre locataires fonctionnent avec la fonctionnalité d’accès invité Global Secure Access.

Q : Quelle est la condition de licence pour le locataire domestique ?
R : Le locataire domestique n’a pas besoin d’une licence d’accès sécurisé global. La fonctionnalité nécessite au moins un abonnement Microsoft Entra gratuit.

Q : Les deux types d’utilisateurs, Invité et Membre sont-ils pris en charge ?
R : Oui. Cross Tenant Sync crée des utilisateurs invités en tant que userType = Member par défaut, et ce type d’utilisateur est pris en charge.

Q : L’appareil doit-il être inscrit auprès du locataire de ressource ?
R : Non, l’inscription de l’appareil n’est pas requise sur le locataire de ressource pour que l’accès invité fonctionne.

Q : Puis-je configurer l'authentification multifacteur sur le tenant de ressources ?
R : Oui, vous pouvez configurer l’authentification multifacteur sur l’utilisateur et sur les applications.

Q : Comment un utilisateur de locataire domestique (locataire externe) accède-t-il à une ressource locale dans le locataire de ressource lorsque la ressource utilise AD DS et Kerberos (par exemple, un partage de fichiers ou une application intégrée à Kerberos) ?
R : Ce scénario n’est pas pris en charge. Microsoft Entra B2B ne fournit pas de tickets Kerberos, et l’accès privé Global Secure Access ne sert pas de proxy pour Kerberos ni ne prend en charge la délégation Kerberos contrainte (KCD). Par conséquent, les utilisateurs invités ne peuvent pas accéder directement aux ressources locales nécessitant Kerberos (par exemple, des partages de fichiers SMB ou des applications à l’aide de l’authentification Windows intégrée).
Pour les applications web, la seule méthode prise en charge pour les utilisateurs B2B d’accéder aux applications locales sauvegardées par Kerberos consiste à publier l’application via le proxy d’application avec KCD. Pour plus d’informations, consultez Configurer l'authentification unique avec Kerberos à délégation contrainte.

Limitations connues

  • L’accès invité B2B ne prend pas en charge le maintien des tunnels Internet Access, Microsoft 365 et Microsoft Entra vers le tenant d'origine.
  • Le basculement d’un compte vers le locataire de ressource échoue lorsque le locataire de ressource est configuré pour l’authentification multilocataire requise dans la configuration interlocataire et que le locataire domestique est configuré avec la connexion sans mot de passe (PSI) sur l’application d’authentificateur.
  • Lorsque le contrôle d’accès est autorisé sur les paramètres inter-locataires pour l’accès sécurisé global, l’accès n’est pas autorisé, car Global Secure Access contrôle ces applications.
  • Lorsqu’un utilisateur change de locataire, les connexions d’application actives existantes comme RDP (Remote Desktop Protocol) restent connectées au locataire précédent.

Activer l’accès invité B2B pour Azure Virtual Desktop et Windows 365

Vous pouvez activer l’accès global sécurisé sur les instances Windows 365 et Azure Virtual Desktop qui prennent en charge les identités externes pour fournir un accès invité B2B. Avec cette fonctionnalité, les utilisateurs externes, tels que les invités, les partenaires et les sous-traitants, d’autres organisations peuvent accéder en toute sécurité aux ressources de votre locataire (le locataire de ressources). En tant qu’administrateur de locataire de ressources, vous pouvez configurer des stratégies de trafic Accès privé, Internet Access et Microsoft 365 pour ces utilisateurs tiers, ce qui vous permet de garantir un accès sécurisé et contrôlé aux ressources de votre organisation.

Diagramme montrant une vue d’ensemble de l’accès invité B2B dans Global Secure Access.

Pour activer l’accès invité B2B pour les machines virtuelles Windows 365 ou Azure Virtual Desktop (AVD) avec Accès sécurisé global, procédez comme suit :

  1. Configurez votre instance de machine virtuelle Windows 365 ou Azure Virtual Desktop pour utiliser la liaison d’ID externe. Pour plus d’informations, consultez Configurer la liaison d’ID externe.

  2. Intégrez votre organisation à Global Secure Access. Pour plus d’informations, consultez les instructions d’intégration.

  3. Configurez un ou plusieurs profils de transfert de trafic Global Secure Access et affectez-les aux utilisateurs avec des ID externes. Pour plus d’informations, consultez Configurer les profils de transfert de trafic et Affecter des utilisateurs aux profils.

  4. Installez et configurez le client Global Secure Access sur les machines virtuelles. Pour plus d’informations, consultez le guide d’installation du client Global Secure Access.

Une fois configuré, le client Global Secure Access se connecte automatiquement au locataire associé à l’instance de machine virtuelle à l’aide de l’ID externe.

Contenu connexe

  • Last updated on