Sdílet prostřednictvím


Konfigurace nastavení externí spolupráce pro B2B v Microsoft Entra Externí ID

Platí pro: Zelený kruh s bílým symbolem zaškrtnutí Tenanti pracovních sil – externí tenanti Bílý kruh se šedým symbolem X. (další informace)

Nastavení externí spolupráce umožňuje určit, které role ve vaší organizaci můžou pozvat externí uživatele pro spolupráci B2B. Tato nastavení zahrnují také možnosti pro povolení nebo blokování konkrétních domén a možnosti omezení toho, co můžou externí uživatelé typu host vidět ve vašem adresáři Microsoft Entra. Existují tyto možnosti:

  • Určit přístup uživatelů typu host: Microsoft Entra Externí ID umožňuje omezit, co můžou externí uživatelé typu host zobrazit v adresáři Microsoft Entra. Můžete například omezit zobrazení členství ve skupinách uživatelů typu host nebo povolit hostům zobrazení pouze jejich vlastních profilových informací.

  • Určete, kdo může pozvat hosty: Ve výchozím nastavení můžou všichni uživatelé ve vaší organizaci, včetně uživatelů typu host pro spolupráci B2B, pozvat externí uživatele do spolupráce B2B. Pokud chcete omezit možnost odesílání pozvánek, můžete zapnout nebo vypnout pozvánky pro všechny nebo omezit pozvánky na určité role.

  • Povolte samoobslužnou registraci hosta prostřednictvím toků uživatelů: U aplikací, které sestavujete, můžete vytvářet toky uživatelů, které uživateli umožňují zaregistrovat se do aplikace a vytvořit nový účet hosta. Tuto funkci můžete povolit v nastavení externí spolupráce a pak do aplikace přidat tok uživatele samoobslužné registrace.

  • Povolit nebo blokovat domény: Pomocí omezení spolupráce můžete povolit nebo odepřít pozvánky na zadané domény. Podrobnosti najdete v tématu Povolení nebo blokování domén.

V případě spolupráce B2B s jinými organizacemi Microsoft Entra byste měli také zkontrolovat nastavení přístupu mezi tenanty, abyste zajistili příchozí a odchozí spolupráci B2B a rozsah přístupu pro konkrétní uživatele, skupiny a aplikace.

U koncových uživatelů spolupráce B2B, kteří provádějí přihlášení mezi tenanty, se zobrazí branding jejich domovského tenanta, i když není zadaný vlastní branding. V následujícím příkladu se na levé straně zobrazí branding společnosti Woodgrove Potraviny. V příkladu napravo se zobrazí výchozí branding pro domácího tenanta uživatele.

Snímky obrazovky znázorňující porovnání prostředí přihlašování značky a výchozího přihlašování

Poznámka:

V závislosti na nastavení externí spolupráce, která chcete nakonfigurovat, se můžou vyžadovat různé role správce. Tento článek určuje roli požadovanou pro každý typ nastavení. Viz také nejméně privilegované role podle úlohy pro externí ID/B2C.

Konfigurace nastavení na portálu

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Konfigurace přístupu uživatelů typu host

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.

  2. Přejděte do nastavení externí spolupráce Identita>externích>identit.

  3. V části Přístup uživatele typu host zvolte úroveň přístupu, kterou mají mít uživatelé typu host:

    Snímek obrazovky s nastavením přístupu uživatele typu host

    • Uživatelé typu host mají stejný přístup jako členové (nejvíce inkluzivní): Tato možnost poskytuje hostům stejný přístup k prostředkům Microsoft Entra a datům adresáře jako členové.

    • Uživatelé typu host mají omezený přístup k vlastnostem a členstvím objektů adresáře: (Výchozí) Toto nastavení blokuje hosty z určitých úloh adresáře, jako je výčet uživatelů, skupin nebo jiných prostředků adresáře. Hosté můžou zobrazit členství všech neskrytá skupin. Přečtěte si další informace o výchozích oprávněních hosta.

    • Přístup uživatelů typu host je omezený na vlastnosti a členství vlastních objektů adresáře (nejvíce omezující): S tímto nastavením mají hosté přístup pouze ke svým vlastním profilům. Hosté nemohou zobrazit profily, skupiny nebo členství jiných uživatelů.

Konfigurace nastavení pozvání hosta

  1. Přihlaste se do Centra pro správu Microsoft Entra jako aspoň hostující pozvaný.

  2. Přejděte do nastavení externí spolupráce Identita>externích>identit.

  3. V části Nastavení pozvání hosta zvolte příslušná nastavení:

    Snímek obrazovky s nastavením pozvánky hosta

    • Každý uživatel v organizaci může pozvat uživatele typu host včetně hostů a uživatelů, kteří nejsou správci (nejvíce včetně): Pokud chcete hostům v organizaci povolit pozvání dalších hostů, včetně uživatelů, kteří nejsou členy organizace, vyberte toto přepínač.
    • Členové uživatelé a uživatelé přiřazení ke konkrétním rolím správce můžou pozvat uživatele typu host včetně hostů s oprávněními člena: Pokud chcete povolit uživatelům a uživatelům, kteří mají konkrétní role správce, aby mohli pozvat hosty, vyberte toto přepínač.
    • Pozvat uživatele typu host můžou jenom uživatelé přiřazení ke konkrétním rolím správce: Pokud chcete povolit pozvání hostů jenom uživatelům s rolemi Správce uživatelů nebo Pozvat hosta , vyberte toto přepínač.
    • Nikdo v organizaci nemůže pozvat uživatele typu host včetně správců (nejvíce omezující): Pokud chcete všem uživatelům v organizaci odepřít pozvání hostů, vyberte toto přepínač.

Konfigurace samoobslužné registrace hosta

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce uživatelů.

  2. Přejděte do nastavení externí spolupráce Identita>externích>identit.

  3. V části Povolit samoobslužnou registraci hosta prostřednictvím toků uživatelů vyberte Ano , pokud chcete mít možnost vytvářet toky uživatelů, které uživatelům umožňují registraci aplikací. Další informace o tomto nastavení najdete v tématu Přidání toku uživatele samoobslužné registrace do aplikace.

    Snímek obrazovky znázorňující samoobslužnou registraci prostřednictvím nastavení toků uživatelů

Konfigurace nastavení opuštění externího uživatele

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce externího zprostředkovatele identity.

  2. Přejděte do nastavení externí spolupráce Identita>externích>identit.

  3. V části Nastavení opuštění externího uživatele můžete určit, jestli se externí uživatelé můžou z vaší organizace odebrat.

    • Ano: Uživatelé můžou opustit organizaci sami bez schválení od správce nebo kontaktu s ochranou osobních údajů.
    • Ne: Uživatelé nemůžou opustit vaši organizaci sami. Zobrazí se jim zpráva, která je navede, aby kontaktovali správce nebo kontakt na ochranu osobních údajů a požádali o odebrání z vaší organizace.

    Důležité

    Nastavení opuštění externího uživatele můžete nakonfigurovat jenom v případě, že jste do tenanta Microsoft Entra přidali své osobní údaje. Jinak toto nastavení nebude k dispozici.

    Snímek obrazovky znázorňující nastavení pro opuštění externího uživatele na portálu

Konfigurace omezení spolupráce (povolení nebo blokování domén)

Důležité

Microsoft doporučuje používat role s nejmenšími oprávněními. To pomáhá zlepšit zabezpečení pro vaši organizaci. Globální správce je vysoce privilegovaná role, která by měla být omezená na scénáře tísňového volání, pokud nemůžete použít existující roli.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň globální správce.

  2. Přejděte do nastavení externí spolupráce Identita>externích>identit.

  3. V části Omezení spolupráce můžete zvolit, jestli chcete povolit nebo odepřít pozvánky k doménám, které zadáte, a zadat do textových polí konkrétní názvy domén. U více domén zadejte každou doménu na nový řádek. Další informace najdete v tématu Povolení nebo blokování pozvánek uživatelůM B2B z konkrétních organizací.

    Snímek obrazovky s nastavením omezení spolupráce

Konfigurace nastavení pomocí Microsoft Graphu

Nastavení externí spolupráce je možné nakonfigurovat pomocí rozhraní Microsoft Graph API:

Přiřazení role Pozvat hosta uživateli

Pomocí role Pozvat hosta můžete jednotlivým uživatelům udělit možnost pozvat hosty, aniž by jim přiřadili roli správce s vyššími oprávněními. Uživatelé s rolí Pozvat hosta můžou pozvat hosty, i když je vybraná možnost Pouze uživatelé přiřazení ke konkrétním rolím správce, můžou pozvat uživatele typu host (v části Nastavení pozvání hosta).

Tady je příklad, který ukazuje, jak pomocí Prostředí Microsoft Graph PowerShell přidat uživatele do Guest Inviter role:


Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

Protokoly přihlašování pro uživatele B2B

Když se uživatel B2B přihlásí k tenantovi prostředků, aby spolupracoval, vygeneruje se přihlašovací protokol v domovském tenantovi i v tenantovi prostředku. Mezi tyto protokoly patří informace, jako je použití aplikace, e-mailové adresy, název tenanta a ID tenanta pro domácího tenanta i tenanta prostředku.

Další kroky

Projděte si následující články o spolupráci Microsoft Entra B2B: