Portail des invités
EN FR
Connexions B2B

Configuration du B2B

Étapes que votre équipe TI doit suivre pour activer le B2B avec GDOTS.

Qu'est-ce que l'accès interlocataire B2B?

La collaboration B2B (entreprise à entreprise) de Microsoft Entra ID permet aux organisations de partager en toute sécurité des applications et des ressources avec des utilisateurs d'autres organisations. Les paramètres d'accès interlocataire contrôlent la façon dont votre organisation collabore avec des locataires Microsoft Entra ID externes.

Pour établir une connexion B2B avec GDOTS, vous devez configurer les paramètres d'accès interlocataire sortant dans le locataire Microsoft Entra ID de votre organisation. Cela permet à vos utilisateurs d'accéder aux ressources du locataire GDOTS lorsqu'ils y sont invités.

GDOTS opère dans l'environnement Microsoft Azure Government (GCC High). Cela a des implications précises pour la configuration interlocataire, qui sont indiquées tout au long de ce guide.

Vous hésitez au sujet du B2B?

Consultez la page À propos des connexions B2B pour un aperçu non technique des avantages.

Prérequis

ExigenceDétails
Licence Entra IDMicrosoft Entra ID P1 ou P2 (incluse avec Microsoft 365 E3/E5, EMS E3/E5)
Rôle d'administrateurAdministrateur général ou Administrateur de la sécurité dans votre locataire Microsoft Entra ID
ID du locataire GDOTSSera fourni par votre point de contact GDOTS
Accès au portail AzureAccès au centre d'administration Microsoft Entra (entra.microsoft.com) ou au portail Azure
Remarque GCC High

GDOTS utilise l'environnement infonuagique Azure Government (GCC High). La collaboration B2B interinfonuagique entre Azure commercial et Azure Government est prise en charge par les paramètres d'accès interlocataire. Votre locataire commercial peut établir une relation de confiance avec le locataire GCC High de GDOTS.

Avant de commencer

Consultez les Exigences B2B pour comprendre ce dont votre organisation a besoin avant de configurer l'accès interlocataire.

Étape par étape : Configuration de l'accès interlocataire sortant

Étape 1 : Se connecter au centre d'administration Microsoft Entra

Naviguez vers https://entra.microsoft.com et connectez-vous avec un compte disposant des privilèges d'Administrateur général ou d'Administrateur de la sécurité.

Étape 2 : Accéder aux paramètres d'accès interlocataire

  1. Dans le menu de navigation de gauche, sélectionnez IdentitéIdentités externes
  2. Sélectionnez Paramètres d'accès interlocataire

Cette page affiche les stratégies d'accès interlocataire par défaut de votre organisation ainsi que toute configuration propre à une organisation.

Étape 3 : Ajouter l'organisation GDOTS

  1. Cliquez sur + Ajouter une organisation
  2. Dans le champ « ID du locataire ou nom de domaine », entrez l'ID du locataire GDOTS fourni par votre point de contact GDOTS
  3. Cliquez sur Ajouter

L'organisation GDOTS apparaîtra dans votre liste d'organisations configurées.

Important

Puisque GDOTS opère dans GCC High, vous devez utiliser l'ID du locataire (un GUID) et non un nom de domaine. La recherche interinfonuagique par nom de domaine n'est pas prise en charge.

Étape 4 : Configurer les paramètres d'accès sortant

Cliquez sur l'entrée de l'organisation GDOTS, puis sélectionnez l'onglet Accès sortant. Configurez les éléments suivants :

Collaboration B2B > Utilisateurs et groupes :

  • Sélectionnez Autoriser l'accès
  • Choisissez « Tous les utilisateurs » ou précisez les utilisateurs ou groupes particuliers de votre organisation qui devraient pouvoir accéder aux ressources GDOTS

Collaboration B2B > Applications externes :

  • Sélectionnez Autoriser l'accès
  • Choisissez « Toutes les applications externes » ou sélectionnez des applications précises (p. ex., SharePoint Online, Office 365) auxquelles vos utilisateurs devraient pouvoir accéder dans le locataire GDOTS

Cliquez sur Enregistrer lorsque vous avez terminé.

Étape 5 : Configurer les paramètres de confiance

Sélectionnez l'onglet Paramètres de confiance pour l'organisation GDOTS. Ces paramètres déterminent si le locataire GDOTS fera confiance aux revendications d'AMF et de conformité des appareils provenant du locataire de votre organisation.

ParamètreRecommandationEffet
Faire confiance à l'authentification multifacteur des locataires Microsoft EntraActiverLa réussite de l'AMF de vos utilisateurs est reconnue par le locataire GDOTS; ils ne seront donc pas invités à effectuer l'AMF à nouveau lorsqu'ils accèdent aux ressources GDOTS
Faire confiance aux appareils conformesFacultatifPermet à GDOTS de reconnaître les revendications de conformité des appareils provenant de votre locataire
Faire confiance aux appareils joints hybrides Microsoft EntraFacultatifPermet à GDOTS de reconnaître les revendications de jonction hybride provenant de votre locataire

Cliquez sur Enregistrer lorsque vous avez terminé.

Étape 6 : Vérifier la configuration

  1. Retournez à l'aperçu des Paramètres d'accès interlocataire
  2. Confirmez que l'organisation GDOTS apparaît avec les bons paramètres d'accès sortant et de confiance
  3. Prévoyez un délai de propagation pouvant aller jusqu'à 2 heures pour que la stratégie se propage dans l'ensemble des services Microsoft

Tester la connexion

Une fois la configuration terminée et le délai de propagation écoulé :

  1. Demandez à un utilisateur test de votre organisation de tenter d'accéder à une ressource partagée par GDOTS (votre point de contact GDOTS peut fournir un lien de test)
  2. L'utilisateur devrait pouvoir se connecter avec ses propres identifiants organisationnels
  3. Si la confiance AMF est configurée, l'utilisateur ne devrait pas être invité à effectuer l'AMF à nouveau par GDOTS (en supposant qu'il a déjà réussi l'AMF avec votre locataire)
  4. Vérifiez que l'utilisateur peut accéder aux ressources prévues sans erreurs « Accès refusé »

Considérations de sécurité

  • Principe du moindre privilège : N'autorisez l'accès qu'aux utilisateurs, groupes et applications spécifiquement requis. Évitez « Tous les utilisateurs » et « Toutes les applications » à moins que la politique de votre organisation ne le permette.
  • Accès conditionnel : Passez en revue vos stratégies d'accès conditionnel existantes pour vous assurer qu'elles tiennent compte des scénarios B2B interlocataires. Les stratégies qui bloquent tout accès externe prévaudront sur les paramètres d'accès interlocataire.
  • Surveillance : Activez la surveillance des journaux de connexion pour l'activité de collaboration B2B. Les journaux d'audit dans Entra ID → Surveillance → Journaux de connexion peuvent être filtrés par type d'accès interlocataire.
  • Révision régulière : Passez périodiquement en revue vos paramètres d'accès interlocataire pour vous assurer qu'ils demeurent appropriés. Retirez les organisations qui n'ont plus besoin d'accès.
  • Prévention de la perte de données : Déterminez si vos stratégies de DLP doivent être mises à jour pour tenir compte des données partagées par la collaboration B2B avec GDOTS.

Problèmes courants

Conflit de stratégie avec les paramètres par défaut

Si la stratégie d'accès interlocataire par défaut de votre locataire bloque l'accès sortant, la stratégie propre à l'organisation pour GDOTS devrait la remplacer. Cependant, les stratégies d'accès conditionnel sont évaluées séparément et peuvent tout de même bloquer l'accès. Passez en revue vos stratégies d'accès conditionnel si des utilisateurs se voient refuser l'accès.

Délai de propagation

Les modifications apportées aux paramètres d'accès interlocataire peuvent prendre jusqu'à 2 heures avant de se propager. Si la connexion ne fonctionne pas immédiatement après la configuration, attendez et réessayez.

Considérations interinfonuagiques (GCC High)

Puisque GDOTS est dans Azure Government (GCC High) et que votre organisation se trouve possiblement dans Azure commercial :

  • Utilisez toujours l'ID du locataire (GUID) lorsque vous ajoutez l'organisation GDOTS. La recherche par nom de domaine n'est pas prise en charge entre les environnements infonuagiques
  • Certaines fonctionnalités disponibles dans Azure commercial pourraient ne pas être disponibles dans les scénarios B2B interinfonuagiques. Consultez la documentation de Microsoft pour connaître la prise en charge actuelle des fonctionnalités interinfonuagiques
  • La durée de vie des jetons et les stratégies de session peuvent différer d'un environnement infonuagique à l'autre

Utilisateurs invités à effectuer l'AMF deux fois

Si les utilisateurs sont invités à effectuer l'AMF à la fois pour leur locataire d'origine et pour GDOTS, vérifiez que la confiance AMF est activée dans les Paramètres de confiance (Étape 5 ci-dessus). Confirmez également que la stratégie de confiance AMF a eu le temps de se propager.

Après la configuration : Demander la conversion des comptes

Une fois que vous avez configuré vos paramètres d'accès interlocataire et vérifié la connexion :

  1. Confirmez que votre locataire a l'AMF appliquée et, si vos utilisateurs accèdent à des sites soumis aux contrôles ITAR, que vous avez vérifié le statut de personne américaine (consultez les Exigences B2B)
  2. Communiquez avec votre point de contact GDOTS pour demander la conversion des comptes invités existants en comptes de collaboration B2B
  3. GDOTS effectuera la conversion des comptes de son côté. Toutes les autorisations existantes et l'accès SharePoint sont préservés
  4. Vos utilisateurs se connecteront ensuite avec leurs propres identifiants organisationnels au lieu de leurs comptes invités @guest.gdots.com

Pour plus de détails sur le déroulement de la conversion et ce que vos utilisateurs doivent savoir, consultez la section conversion ci-dessous.

Conversion d'un compte invité vers B2B

Aperçu

Lorsque votre organisation termine la configuration interlocataire ci-dessus et demande la conversion des comptes, GDOTS convertit vos comptes invités internes en utilisateurs de collaboration B2B à l'aide de Microsoft Entra ID. Cela change l'endroit où vous vous authentifiez, mais préserve tous vos accès existants.

Ce que GDOTS fait

GDOTS utilise la fonctionnalité « Convertir en utilisateur B2B » de Microsoft Entra ID pour changer la source d'authentification de vos comptes. Au lieu de vous authentifier auprès du locataire GDOTS (avec vos identifiants @guest.gdots.com), vos comptes sont liés au locataire de votre organisation d'origine. GDOTS gère ce processus. Aucune action n'est requise de la part des utilisateurs finaux durant la conversion.

Ce qui change pour les utilisateurs finaux

ÉlémentAvant (compte invité)Après (B2B)
Identifiants de connexionNom d'utilisateur et mot de passe @guest.gdots.comLe nom d'utilisateur et le mot de passe de votre propre organisation
Gestion du mot de passeGéré séparément par GDOTSGéré par votre organisation (aucun mot de passe supplémentaire)
AMFConfiguration Microsoft Authenticator propre à GDOTSL'AMF existante de votre organisation
Accès SharePointTous les sites autorisésIdentique (toutes les autorisations préservées)
Signets / liens enregistrésFonctionnentFonctionnent toujours (mêmes URL)
Point clé

Tous vos accès et autorisations SharePoint restent exactement les mêmes. La seule chose qui change est la façon dont vous vous connectez.

Quoi faire après la conversion

  • Naviguez vers les mêmes liens SharePoint figurant dans vos courriels de bienvenue ou de notification
  • Lorsqu'on vous invite à vous connecter, utilisez les identifiants de votre propre organisation (votre courriel professionnel habituel et votre mot de passe)
  • Si on vous demande l'AMF, utilisez la méthode AMF de votre organisation, et non la configuration Microsoft Authenticator de GDOTS
  • Vos anciens identifiants @guest.gdots.com ne fonctionneront plus. C'est normal
Conseil

Si votre navigateur remplit automatiquement vos anciens identifiants @guest.gdots.com, effacez le mot de passe enregistré ou utilisez une fenêtre de navigation privée pour votre première connexion après la conversion.

Dépannage des problèmes après la conversion

On me demande toujours mes anciens identifiants invité

Votre navigateur a peut-être mis en cache votre ancienne connexion. Essayez les étapes suivantes :

  • Effacez le cache et les témoins (cookies) de votre navigateur pour les sites Microsoft
  • Ouvrez le lien SharePoint dans une fenêtre de navigation privée
  • Connectez-vous avec les identifiants de votre organisation lorsqu'on vous y invite

Je vois le mauvais compte ou l'option « choisir un compte » affiche mon ancien compte invité

Déconnectez-vous de tous les comptes Microsoft dans votre navigateur :

  • Accédez à https://login.microsoftonline.us/logout
  • Fermez toutes les fenêtres du navigateur
  • Ouvrez une nouvelle fenêtre du navigateur et naviguez vers votre lien SharePoint
  • Connectez-vous avec les identifiants de votre organisation

Accès refusé après la conversion

  • Prévoyez un délai pouvant aller jusqu'à 2 heures pour que la conversion se propage complètement dans l'ensemble des services Microsoft
  • Assurez-vous que vous vous connectez avec vos identifiants organisationnels et non avec votre ancien compte invité
  • Si le problème persiste après 2 heures, communiquez avec votre point de contact GDOTS

Demande d'AMF de la part de mon organisation et de GDOTS

Cela signifie habituellement que le paramètre de confiance AMF ne s'est pas encore propagé ou qu'il n'a pas été activé lors de la configuration B2B. L'administrateur TI de votre organisation devrait vérifier que la confiance AMF est activée dans les paramètres d'accès interlocataire pour GDOTS. Consultez l'Étape 5 de la configuration ci-dessus.

Vous éprouvez toujours des difficultés?

Communiquez avec votre point de contact GDOTS pour obtenir de l'aide concernant l'ID du locataire, les ressources de test ou le dépannage de la connexion B2B.

Download as PDF