Přiřazení rolí Azure externím uživatelům pomocí webu Azure Portal

  • Článek

Řízení přístupu na základě role v Azure (Azure RBAC) umožňuje lepší správu zabezpečení pro velké organizace a pro malé a střední firmy pracující s externími spolupracovníky, dodavateli nebo volnými pracovníky, kteří potřebují přístup ke konkrétním prostředkům ve vašem prostředí, ale nemusí nutně přistupovat k celé infrastruktuře nebo rozsahům souvisejícím s fakturací. Pomocí možností v Microsoft Entra B2B můžete spolupracovat s externími uživateli a pomocí Azure RBAC můžete udělit jenom oprávnění, která externí uživatelé potřebují ve vašem prostředí.

Požadavky

Pokud chcete přiřadit role Azure nebo odebrat přiřazení rolí, musíte mít:

Kdy byste pozvali externí uživatele?

Tady je několik ukázkových scénářů, kdy můžete pozvat uživatele do vaší organizace a udělit oprávnění:

  • Povolte externího samostatně pracujícího dodavatele, který má jenom e-mailový účet pro přístup k prostředkům Azure pro projekt.
  • Umožňuje externímu partnerovi spravovat určité prostředky nebo celé předplatné.
  • Povolte technikům podpory, kteří nejsou ve vaší organizaci (například podpoře Microsoftu), dočasně přistupovat k vašemu prostředku Azure, aby mohli řešit problémy.

Rozdíly mezi oprávněními mezi uživateli člena a uživateli typu host

Uživatelé adresáře s typem člena (uživatelé členů) mají ve výchozím nastavení různá oprávnění než uživatelé pozvaní z jiného adresáře jako host pro spolupráci B2B (uživatelé typu host). Členové můžou například číst téměř všechny informace o adresáři, zatímco uživatelé typu host mají omezená oprávnění k adresáři. Další informace o uživatelích členů a uživatelích typu host naleznete v tématu Jaké jsou výchozí uživatelská oprávnění v Microsoft Entra ID?.

Pozvání externího uživatele do adresáře

Podle těchto kroků pozvěte externího uživatele do adresáře v Microsoft Entra ID.

  1. Přihlaste se k portálu Azure.

  2. Ujistěte se, že jsou nastavení externí spolupráce vaší organizace nakonfigurovaná tak, abyste mohli pozvat externí uživatele. Další informace najdete v článku Konfigurace nastavení externí spolupráce.

  3. Vyberte uživatele Microsoft Entra ID>.

  4. Vyberte Možnost Pozvat>nového externího uživatele.

    Screenshot of Invite external user page in Azure portal.

  5. Podle pokynů zvete externího uživatele. Další informace najdete v tématu Přidání uživatelů spolupráce Microsoft Entra B2B na webu Azure Portal.

Po pozvání externího uživatele do adresáře můžete externímu uživateli buď poslat přímý odkaz na sdílenou aplikaci, nebo externí uživatel může v e-mailu s pozvánkou vybrat odkaz přijmout pozvánku.

Screenshot of external user invite email.

Aby měl externí uživatel přístup k vašemu adresáři, musí dokončit proces pozvání.

Screenshot of external user invite review permissions.

Další informace o procesu pozvání najdete v tématu Uplatnění pozvánky na spolupráci Microsoft Entra B2B.

Přiřazení role externímu uživateli

Pokud chcete v Azure RBAC udělit přístup, přiřaďte roli. Pokud chcete přiřadit roli externímu uživateli, postupujte stejně jako u člena, skupiny, instančního objektu nebo spravované identity. Podle těchto kroků přiřaďte externímu uživateli roli v různých oborech.

  1. Přihlaste se k webu Azure Portal.

  2. Ve vyhledávacím poli v horní části vyhledejte obor, ke kterému chcete udělit přístup. Můžete například vyhledat skupiny pro správu, předplatná, skupiny prostředků nebo konkrétní prostředek.

  3. Vyberte konkrétní prostředek pro daný obor.

  4. Vyberte Řízení přístupu (IAM) .

    Následující příklad ukazuje stránku Řízení přístupu (IAM) pro skupinu prostředků.

    Screenshot of Access control (IAM) page for a resource group.

  5. Výběrem karty Přiřazení rolí zobrazte přiřazení rolí v tomto oboru.

  6. Vyberte Přidat>Přidat přiřazení role.

    Pokud nemáte oprávnění přiřazovat role, možnost Přidat přiřazení role bude neaktivní.

    Screenshot of Add > Add role assignment menu.

    Otevře se stránka Přidat přiřazení role.

  7. Na kartě Role vyberte roli, například Přispěvatel virtuálních počítačů.

    Screenshot of Add role assignment page with Roles tab.

  8. Na kartě Členové vyberte Uživatel, skupina nebo instanční objekt.

    Screenshot of Add role assignment page with Members tab.

  9. Zvolte Zvolit členy.

  10. Vyhledejte a vyberte externího uživatele. Pokud uživatele v seznamu nevidíte, můžete zadáním pole Vybrat vyhledat zobrazované jméno nebo e-mailovou adresu v adresáři.

    Pomocí pole Vybrat můžete v adresáři vyhledat zobrazované jméno nebo e-mailovou adresu.

    Screenshot of Select members pane.

  11. Výběrem možnosti Vybrat přidáte externího uživatele do seznamu Členů.

  12. Na kartě Revize a přiřazení vyberte Zkontrolovat a přiřadit.

    Po chvíli se externímu uživateli přiřadí role ve vybraném oboru.

    Screenshot of role assignment for Virtual Machine Contributor.

Přiřazení role externímu uživateli, který ještě není ve vašem adresáři

Pokud chcete přiřadit roli externímu uživateli, postupujte stejně jako u člena, skupiny, instančního objektu nebo spravované identity.

Pokud externí uživatel ještě není ve vašem adresáři, můžete ho pozvat přímo z podokna Vybrat členy.

  1. Přihlaste se k webu Azure Portal.

  2. Ve vyhledávacím poli v horní části vyhledejte obor, ke kterému chcete udělit přístup. Můžete například vyhledat skupiny pro správu, předplatná, skupiny prostředků nebo konkrétní prostředek.

  3. Vyberte konkrétní prostředek pro daný obor.

  4. Vyberte Řízení přístupu (IAM) .

  5. Vyberte Přidat>Přidat přiřazení role.

    Pokud nemáte oprávnění přiřazovat role, možnost Přidat přiřazení role bude neaktivní.

    Screenshot of Add > Add role assignment menu.

    Otevře se stránka Přidat přiřazení role.

  6. Na kartě Role vyberte roli, například Přispěvatel virtuálních počítačů.

  7. Na kartě Členové vyberte Uživatel, skupina nebo instanční objekt.

    Screenshot of Add role assignment page with Members tab.

  8. Zvolte Zvolit členy.

  9. Do pole Vybrat zadejte e-mailovou adresu osoby, kterou chcete pozvat, a vyberte tuto osobu.

    Screenshot of invite external user in Select members pane.

  10. Výběrem možnosti Vybrat přidáte externího uživatele do seznamu Členů.

  11. Na kartě Revize a přiřazení vyberte Zkontrolovat a přiřadit a přidejte externího uživatele do adresáře, přiřaďte roli a odešlete pozvánku.

    Po chvíli se zobrazí oznámení o přiřazení role a informace o pozvánce.

    Screenshot of role assignment and invited user notification.

  12. Pokud chcete externího uživatele pozvat ručně, klikněte pravým tlačítkem myši a zkopírujte odkaz na pozvánku v oznámení. Nevybírejte odkaz na pozvánku, protože spustí proces pozvání.

    Odkaz na pozvánku bude mít následující formát:

    https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...

  13. Odešlete externímu uživateli odkaz na pozvánku a dokončete proces pozvání.

    Další informace o procesu pozvání najdete v tématu Uplatnění pozvánky na spolupráci Microsoft Entra B2B.

Odebrání externího uživatele z adresáře

Před odebráním externího uživatele z adresáře byste nejprve měli odebrat všechna přiřazení rolí pro daného externího uživatele. Pomocí těchto kroků odeberte externího uživatele z adresáře.

  1. Otevřete řízení přístupu (IAM) v oboru, jako je skupina pro správu, předplatné, skupina prostředků nebo prostředek, kde má externí uživatel přiřazení role.

  2. Výběrem karty Přiřazení rolí zobrazíte všechna přiřazení rolí.

  3. V seznamu přiřazení rolí přidejte značku zaškrtnutí vedle externího uživatele s přiřazením role, které chcete odebrat.

    Screenshot of selected role assignment to remove.

  4. Vyberte Odstranit.

    Screenshot of Remove role assignment message.

  5. V zobrazené zprávě o odebrání přiřazení role vyberte Ano.

  6. Vyberte kartu Klasičtí správci.

  7. Pokud má externí uživatel přiřazení spolu Správa istratoru, přidejte vedle externího uživatele značku zaškrtnutí a vyberte Odebrat.

  8. V levém navigačním panelu vyberte Microsoft Entra ID>Users.

  9. Vyberte externího uživatele, kterého chcete odebrat.

  10. Vyberte Odstranit.

    Screenshot of deleting an external user.

  11. V zobrazené zprávě pro odstranění vyberte Ano.

Odstraňování potíží

Externí uživatel nemůže procházet adresář

Externí uživatelé mají omezená oprávnění k adresáři. Externí uživatelé například nemůžou procházet adresář a nemůžou hledat skupiny nebo aplikace. Další informace naleznete v tématu Jaké jsou výchozí uživatelská oprávnění v Microsoft Entra ID?.

Screenshot of external user can't browse users in a directory.

Pokud externí uživatel potřebuje v adresáři další oprávnění, můžete externímu uživateli přiřadit roli Microsoft Entra. Pokud chcete, aby externí uživatel měl k vašemu adresáři úplný přístup pro čtení, můžete externího uživatele přidat do role Čtenář adresáře v Microsoft Entra ID. Další informace najdete v tématu Přidání uživatelů spolupráce Microsoft Entra B2B na webu Azure Portal.

Screenshot of assigning Directory Readers role.

Externí uživatel nemůže procházet uživatele, skupiny ani instanční objekty pro přiřazování rolí.

Externí uživatelé mají omezená oprávnění k adresáři. I když je externí uživatel vlastníkem v oboru, pokud se pokusí přiřadit roli, která někomu jinému udělí přístup, nemůže procházet seznam uživatelů, skupin nebo instančních objektů.

Screenshot of external user can't browse security principals to assign roles.

Pokud externí uživatel ví, že je v adresáři přesná přihlašovací jméno, může udělit přístup. Pokud chcete, aby externí uživatel měl k vašemu adresáři úplný přístup pro čtení, můžete externího uživatele přidat do role Čtenář adresáře v Microsoft Entra ID. Další informace najdete v tématu Přidání uživatelů spolupráce Microsoft Entra B2B na webu Azure Portal.

Externí uživatel nemůže registrovat aplikace ani vytvářet instanční objekty

Externí uživatelé mají omezená oprávnění k adresáři. Pokud externí uživatel potřebuje mít možnost registrovat aplikace nebo vytvářet instanční objekty, můžete externího uživatele přidat do role Vývojář aplikací v Microsoft Entra ID. Další informace najdete v tématu Přidání uživatelů spolupráce Microsoft Entra B2B na webu Azure Portal.

Screenshot of external user can't register applications.

Externí uživatel nový adresář nevidí.

Pokud externímu uživateli byl udělen přístup k adresáři, ale při pokusu o přepnutí na stránku Adresáře se nový adresář nezobrazí, ujistěte se, že externí uživatel dokončil proces pozvání. Další informace o procesu pozvání najdete v tématu Uplatnění pozvánky na spolupráci Microsoft Entra B2B.

Externí uživatel nezobrazuje prostředky

Pokud externímu uživateli byl udělen přístup k adresáři, ale nezobrazují se mu prostředky, ke kterým má udělený přístup na webu Azure Portal, ujistěte se, že externí uživatel vybral správný adresář. Externí uživatel může mít přístup k více adresářům. Pokud chcete přepnout adresáře, vyberte v levém horním rohu Nastavení> Adresáře a pak vyberte příslušný adresář.

Screenshot of Portal setting Directories section in Azure portal.

Další kroky