Vlastnosti uživatele spolupráce B2B v Azure Active Directory

Spolupráce B2B je funkce Azure AD externích identit, která umožňuje spolupracovat s uživateli a partnery mimo vaši organizaci. Díky spolupráci B2B je externí uživatel vyzván k přihlášení k vaší Azure AD organizaci pomocí vlastních přihlašovacích údajů. Tento uživatel pro spolupráci B2B pak může přistupovat k aplikacím a prostředkům, které s nimi chcete sdílet. Objekt uživatele se vytvoří pro uživatele spolupráce B2B ve stejném adresáři jako vaši zaměstnanci. Objekty uživatelů spolupráce B2B mají ve vašem adresáři ve výchozím nastavení omezená oprávnění a dají se spravovat jako zaměstnanci, přidávat do skupin atd. Tento článek popisuje vlastnosti tohoto objektu uživatele a způsoby jeho správy.

Následující tabulka popisuje uživatele pro spolupráci B2B na základě toho, jak se ověřují (interně nebo externě) a jejich vztahu k vaší organizaci (host nebo člen).

Diagram znázorňující uživatele spolupráce B2B

  • Externí host: Do této kategorie spadá většina uživatelů, kteří jsou běžně považováni za externí uživatele nebo hosty. Tento uživatel pro spolupráci B2B má účet v externí Azure AD organizaci nebo externím zprostředkovateli identity (například sociální identita) a v organizaci prostředků má oprávnění na úrovni hosta. Objekt uživatele vytvořený v adresáři prostředků Azure AD má Typ uživatele hosta.
  • Externí člen: Tento uživatel spolupráce B2B má účet v externí Azure AD organizaci nebo externího zprostředkovatele identity (jako je sociální identita) a přístup k prostředkům ve vaší organizaci na úrovni člena. Tento scénář je běžný v organizacích, které se skládají z více tenantů, kde jsou uživatelé považováni za součást větší organizace a potřebují přístup na úrovni člena k prostředkům v ostatních tenantech organizace. Objekt uživatele vytvořený v adresáři prostředku Azure AD má UserType člena.
  • Interní host: Před Azure AD spolupráce B2B bylo běžné spolupracovat s distributory, dodavateli, dodavateli a dalšími uživateli tak, že pro ně nastavili interní přihlašovací údaje a označili je jako hosty nastavením uživatelského objektu UserType na Host. Pokud máte interní uživatele typu host, jako jsou tito, můžete je pozvat, aby místo toho používali spolupráci B2B, aby mohli používat vlastní přihlašovací údaje, což externímu zprostředkovateli identity umožní spravovat ověřování a životní cyklus svého účtu.
  • Interní člen: Tito uživatelé jsou obecně považováni za zaměstnance vaší organizace. Uživatel se ověřuje interně prostřednictvím Azure AD a objekt uživatele vytvořený v adresáři prostředků Azure AD má usertype člen.

Typ uživatele, který zvolíte, má následující omezení pro aplikace nebo služby (ale nejsou omezena na):

Aplikace nebo služba Omezení
Microsoft Teams – Externí člen není podporován v Propojení Teams sdílených kanálech.
– Aplikace Teams v současné době nepodporuje převod externího hosta na externího člena nebo převod externího člena na externího hosta. Další informace najdete v tématu Přístup hostů v Microsoft Teams.
Power BI – Externí člen není v Power BI podporovaný. Další informace najdete v článku Distribuce obsahu Power BI mezi externí uživatele typu host prostřednictvím Azure Active Directory B2B.
Azure Virtual Desktop – Azure Virtual Desktop nepodporuje externího člena a externího hosta.

Důležité

Funkce jednorázového hesla e-mailu je teď ve výchozím nastavení zapnutá pro všechny nové tenanty a pro všechny stávající tenanty, u kterých jste ji explicitně nevypínali. Když je tato funkce vypnutá, náhradní metodou ověřování je vyzvat pozvané uživatele k vytvoření účtu Microsoft.

Uplatnění pozvánky

Teď se podívejme, jak vypadá Azure AD uživatel pro spolupráci B2B v Azure AD.

Před uplatněním pozvánky

Uživatelské účty pro spolupráci B2B jsou výsledkem pozvání uživatelů typu host ke spolupráci pomocí vlastních přihlašovacích údajů uživatelů typu host. Při počátečním odeslání pozvánky uživateli typu host se ve vašem tenantovi vytvoří účet. K tomuto účtu nejsou přidružené žádné přihlašovací údaje, protože ověřování provádí zprostředkovatel identity uživatele typu host. Vlastnost Identity pro uživatelský účet typu host ve vašem adresáři je nastavená na doménu organizace hostitele, dokud host neuplatní pozvánku. Na portálu se v profilu pozvaného uživatele zobrazí stav Externí uživatelPendingAcceptance. Dotaz na externalUserState použití Graph API Microsoftu vrátí Pending Acceptance.

Snímek obrazovky s profilem uživatele před uplatněním

Po uplatnění pozvánky

Jakmile uživatel pro spolupráci B2B přijme pozvánku, aktualizuje se vlastnost Identity na základě zprostředkovatele identity uživatele.

  • Pokud uživatel pro spolupráci B2B používá účet Microsoft nebo přihlašovací údaje od jiného externího zprostředkovatele identity, identity odrážejí zprostředkovatele identity, například účet Microsoft, google.com nebo facebook.com.

    Snímek obrazovky s profilem uživatele po uplatnění

  • Pokud uživatel pro spolupráci B2B používá přihlašovací údaje z jiné organizace Azure AD, identity jsou externí Azure AD.

  • U externích uživatelů, kteří používají interní přihlašovací údaje, je vlastnost Identity nastavená na doménu organizace hostitele. Vlastnost Synchronizovaný adresář je Ano, pokud je účet v místní Active Directory organizace a synchronizován s Azure AD, nebo Ne, pokud je účet jenom cloudový Azure AD. Informace o synchronizaci adresářů jsou k dispozici také prostřednictvím onPremisesSyncEnabled vlastnosti v Microsoft Graphu.

Klíčové vlastnosti Azure AD uživatele spolupráce B2B

Hlavní název uživatele

Hlavní název uživatele pro objekt uživatele spolupráce B2B obsahuje identifikátor #EXT#.

Typ uživatele

Tato vlastnost označuje vztah uživatele k tenantům hostitele. Tato vlastnost může mít dvě hodnoty:

  • Člen: Tato hodnota označuje zaměstnance hostitelské organizace a uživatele ve mzdách organizace. Tento uživatel například očekává, že bude mít přístup k interním webům. Tento uživatel není považován za externího spolupracovníka.

  • Host: Tato hodnota označuje uživatele, který není považován za interního uživatele společnosti, například externího spolupracovníka, partnera nebo zákazníka. Od takového uživatele se například neočekává, že obdrží interní poznámku generálního ředitele nebo získá firemní výhody.

Poznámka

UserType nemá žádný vztah k tomu, jak se uživatel přihlašuje, role adresáře uživatele atd. Tato vlastnost jednoduše označuje vztah uživatele k hostitelské organizaci a umožňuje organizaci vynucovat zásady, které jsou na této vlastnosti závislé.

Identity

Tato vlastnost označuje primárního zprostředkovatele identity uživatele. Uživatel může mít několik zprostředkovatelů identity, které je možné zobrazit výběrem odkazu vedle položky Identity v profilu uživatele nebo dotazem na onPremisesSyncEnabled vlastnost prostřednictvím Graph API Microsoftu.

Poznámka

Identity a UserType jsou nezávislé vlastnosti. Hodnota Identit neznamená konkrétní hodnotu pro UserType.

Hodnota vlastnosti Identities Stav přihlášení
Externí Azure AD Tento uživatel je domovem v externí organizaci a ověřuje se pomocí účtu Azure AD, který patří do jiné organizace.
Účet Microsoft Tento uživatel je v účtu Microsoft a ověřuje se pomocí účtu Microsoft.
{doména hostitele} Tento uživatel se ověřuje pomocí účtu Azure AD, který patří této organizaci.
google.com Tento uživatel má účet Gmail a zaregistroval se pomocí samoobslužné služby v jiné organizaci.
facebook.com Tento uživatel má facebookový účet a zaregistroval se pomocí samoobslužné služby v jiné organizaci.
pošta Tento uživatel se zaregistroval pomocí jednorázového hesla Azure AD Email.
{issuer URI} Tento uživatel je domovem v externí organizaci, která jako zprostředkovatele identity nepoužívá Azure Active Directory, ale používá zprostředkovatele identity založeného na SAML/WS-Fed. Identifikátor URI vystavitele se zobrazí po kliknutí na pole Identita.

Synchronizovaný adresář

Vlastnost Synchronizovaný adresář označuje, jestli se uživatel synchronizuje s místní Active Directory a jestli je ověřený místně. Tato vlastnost je Ano, pokud je účet uložen v místní Active Directory organizace a synchronizován s Azure AD, nebo Ne, pokud je účet pouze cloudový Azure AD účet. V Microsoft Graphu odpovídá vlastnost Synchronizovaná adresáři na onPremisesSyncEnabled.

Je možné Azure AD uživatele B2B přidat jako členy místo hostů?

Synonymem jsou obvykle Azure AD uživatel B2B a uživatel typu host. Uživatel Azure AD spolupráce B2B se proto přidá jako uživatel s výchozím nastavením UserType na hodnotu Host. V některých případech je však partnerská organizace členem větší organizace, do které patří i hostitelská organizace. Pokud ano, hostitelská organizace může chtít zacházet s uživateli v partnerské organizaci jako s členy místo hostů. Pomocí Azure AD rozhraní API správce pozvánek B2B můžete přidat nebo pozvat uživatele z partnerské organizace do hostitelské organizace jako člena.

Filtr pro uživatele typu host v adresáři

V seznamu Uživatelé můžete pomocí filtru Přidat zobrazit ve svém adresáři jenom uživatele typu host.

Snímek obrazovky znázorňující, jak přidat filtr Typ uživatele pro hosty

Snímek obrazovky s filtrem pro uživatele typu host

Převést typ uživatele

UserType je možné převést ze člena na hosta a naopak úpravou profilu uživatele v Azure Portal nebo pomocí PowerShellu. Vlastnost UserType však představuje vztah uživatele k organizaci. Proto byste tuto vlastnost měli změnit pouze v případě, že se změní vztah uživatele k organizaci. Pokud se změní vztah uživatele, měl by se změnit hlavní název uživatele (UPN)? Měl by mít uživatel i nadále přístup ke stejným prostředkům? Má být poštovní schránka přiřazená?

Uživatelská oprávnění hosta

Uživatelé typu host mají výchozí omezená oprávnění k adresáři. Můžou spravovat svůj vlastní profil, měnit si vlastní heslo a načítat některé informace o jiných uživatelích, skupinách a aplikacích. Nemůžou ale číst všechny informace o adresáři.

Uživatelé typu host B2B nejsou podporováni ve sdílených kanálech Microsoft Teams. Přístup ke sdíleným kanálům najdete v tématu Přímé připojení B2B.

V některých případech chcete uživatelům typu host udělit vyšší oprávnění. Uživatele typu host můžete přidat do libovolné role a dokonce odebrat výchozí omezení uživatelů typu host v adresáři, aby uživatel získal stejná oprávnění jako členové. Výchozí omezení je možné vypnout, aby uživatel typu host v adresáři společnosti získal stejná oprávnění jako členský uživatel. Další informace najdete v článku Omezení přístupových oprávnění hostů v Azure Active Directory .

Snímek obrazovky znázorňující možnost Externí uživatelé v nastavení uživatele

Můžu uživatele typu host zviditelnit v globálním adresáři Exchange?

Ano. Ve výchozím nastavení se objekty hosta nezobrazují v globálním adresáři vaší organizace, ale k jejich zviditelnění můžete použít Azure Active Directory PowerShell. Podrobnosti najdete v článku Přidání hostů do globálního seznamu adres v článku Přístup hostů microsoftu 365 pro jednotlivé skupiny.

Můžu aktualizovat e-mailovou adresu uživatele typu host?

Pokud uživatel typu host přijme vaši pozvánku a následně změní svoji e-mailovou adresu, nový e-mail se automaticky nesynchronizuje s objektem uživatele typu host ve vašem adresáři. Vlastnost mail se vytvoří prostřednictvím microsoft Graph API. Vlastnost mail můžete aktualizovat prostřednictvím microsoft Graph API, Centra pro správu Exchange nebo Exchange Online PowerShellu. Změna se projeví v objektu Azure AD uživatele typu host.

Další kroky