Konfigurace nastavení externí spolupráce

Nastavení externí spolupráce umožňuje určit, které role ve vaší organizaci můžou pozvat externí uživatele pro spolupráci B2B. Tato nastavení zahrnují také možnosti pro povolení nebo blokování konkrétních domén a možnosti omezení toho, co můžou externí uživatelé typu host vidět ve vašem adresáři Microsoft Entra. Existují tyto možnosti:

• Určit přístup uživatelů typu host: Microsoft Entra Externí ID umožňuje omezit, co můžou externí uživatelé typu host zobrazit v adresáři Microsoft Entra. Můžete například omezit zobrazení členství ve skupinách uživatelů typu host nebo povolit hostům zobrazení pouze jejich vlastních profilových informací.

• Určete, kdo může pozvat hosty: Ve výchozím nastavení můžou všichni uživatelé ve vaší organizaci, včetně uživatelů typu host pro spolupráci B2B, pozvat externí uživatele do spolupráce B2B. Pokud chcete omezit možnost odesílání pozvánek, můžete zapnout nebo vypnout pozvánky pro všechny nebo omezit pozvánky na určité role.

• Povolte samoobslužnou registraci hosta prostřednictvím toků uživatelů: U aplikací, které sestavujete, můžete vytvářet toky uživatelů, které uživateli umožňují zaregistrovat se do aplikace a vytvořit nový účet hosta. Tuto funkci můžete povolit v nastavení externí spolupráce a pak do aplikace přidat tok uživatele samoobslužné registrace.

• Povolit nebo blokovat domény: Pomocí omezení spolupráce můžete povolit nebo odepřít pozvánky na zadané domény. Podrobnosti najdete v tématu Povolení nebo blokování domén.

V případě spolupráce B2B s jinými organizacemi Microsoft Entra byste měli také zkontrolovat nastavení přístupu mezi tenanty, abyste zajistili příchozí a odchozí spolupráci B2B a rozsah přístupu pro konkrétní uživatele, skupiny a aplikace.

U koncových uživatelů spolupráce B2B, kteří provádějí přihlášení mezi tenanty, se zobrazí branding jejich domovského tenanta, i když není zadaný vlastní branding. V následujícím příkladu se na levé straně zobrazí branding společnosti Woodgrove Potraviny. V příkladu napravo se zobrazí výchozí branding pro domácího tenanta uživatele.

Konfigurace nastavení na portálu

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce externího zprostředkovatele identity.

2. Přejděte do nastavení externí spolupráce Identita>externích>identit.

3. V části Přístup uživatele typu host zvolte úroveň přístupu, kterou mají mít uživatelé typu host:

   

   • Uživatelé typu host mají stejný přístup jako členové (nejvíce inkluzivní): Tato možnost poskytuje hostům stejný přístup k prostředkům Microsoft Entra a datům adresáře jako členové.

   • Uživatelé typu host mají omezený přístup k vlastnostem a členstvím objektů adresáře: (Výchozí) Toto nastavení blokuje hosty z určitých úloh adresáře, jako je výčet uživatelů, skupin nebo jiných prostředků adresáře. Hosté můžou zobrazit členství všech neskrytá skupin. Přečtěte si další informace o výchozích oprávněních hosta.

   • Přístup uživatelů typu host je omezený na vlastnosti a členství vlastních objektů adresáře (nejvíce omezující): S tímto nastavením mají hosté přístup pouze ke svým vlastním profilům. Hosté nemohou zobrazit profily, skupiny nebo členství jiných uživatelů.

4. V části Nastavení pozvání hosta zvolte příslušná nastavení:

   

   • Každý uživatel v organizaci může pozvat uživatele typu host včetně hostů a uživatelů, kteří nejsou správci (nejvíce včetně): Pokud chcete hostům v organizaci povolit pozvání dalších hostů, včetně uživatelů, kteří nejsou členy organizace, vyberte toto přepínač.
   • Členové uživatelé a uživatelé přiřazení ke konkrétním rolím správce můžou pozvat uživatele typu host včetně hostů s oprávněními člena: Pokud chcete povolit uživatelům a uživatelům, kteří mají konkrétní role správce, aby mohli pozvat hosty, vyberte toto přepínač.
   • Pozvat uživatele typu host můžou jenom uživatelé přiřazení ke konkrétním rolím správce: Pokud chcete povolit pozvání hostů jenom uživatelům s rolemi správce, vyberte toto přepínač. Role správce zahrnují Globální Správa istrator, User Správa istrator a Host Inviter.
   • Nikdo v organizaci nemůže pozvat uživatele typu host včetně správců (nejvíce omezující): Pokud chcete všem uživatelům v organizaci odepřít pozvání hostů, vyberte toto přepínač.

5. V části Povolit samoobslužnou registraci hosta prostřednictvím toků uživatelů vyberte Ano , pokud chcete mít možnost vytvářet toky uživatelů, které uživatelům umožňují registraci aplikací. Další informace o tomto nastavení najdete v tématu Přidání toku uživatele samoobslužné registrace do aplikace.

   

6. V části Nastavení opuštění externího uživatele můžete určit, jestli se externí uživatelé můžou z vaší organizace odebrat.

   • Ano: Uživatelé můžou opustit organizaci sami bez schválení od správce nebo kontaktu s ochranou osobních údajů.
   • Ne: Uživatelé nemůžou opustit vaši organizaci sami. Zobrazí se jim zpráva, která je navede, aby kontaktovali správce nebo kontakt na ochranu osobních údajů a požádali o odebrání z vaší organizace.

   Důležité

   Nastavení opuštění externího uživatele můžete nakonfigurovat jenom v případě, že jste do tenanta Microsoft Entra přidali své osobní údaje. Jinak toto nastavení nebude k dispozici.

   

7. V části Omezení spolupráce můžete zvolit, jestli chcete povolit nebo odepřít pozvánky k doménám, které zadáte, a zadat do textových polí konkrétní názvy domén. U více domén zadejte každou doménu na nový řádek. Další informace najdete v tématu Povolení nebo blokování pozvánek uživatelůM B2B z konkrétních organizací.

   

Konfigurace nastavení pomocí Microsoft Graphu

Nastavení externí spolupráce je možné nakonfigurovat pomocí rozhraní Microsoft Graph API:

• Pro omezení přístupu uživatelů typu host a omezení pozvání hosta použijte typ prostředku authorizationPolicy .
• Pro povolení samoobslužné registrace hosta prostřednictvím nastavení toků uživatelů použijte typ prostředku authenticationFlowsPolicy.
• Pro nastavení jednorázového hesla e-mailu (nyní na stránce Všichni zprostředkovatelé identity v Centru pro správu Microsoft Entra) použijte typ prostředku emailAuthenticationMethodConfiguration .

Přiřazení role Pozvat hosta uživateli

Pomocí role Pozvat hosta můžete jednotlivým uživatelům udělit možnost pozvat hosty, aniž by jim přiřadili globální Správa istrator nebo jinou roli správce. Uživatelé s rolí Pozvat hosta můžou pozvat hosty, i když je vybraná možnost Pouze uživatelé přiřazení ke konkrétním rolím správce, můžou pozvat uživatele typu host (v části Nastavení pozvání hosta).

Tady je příklad, který ukazuje, jak pomocí Prostředí Microsoft Graph PowerShell přidat uživatele do Guest Inviter role:

Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

Protokoly přihlašování pro uživatele B2B

Když se uživatel B2B přihlásí k tenantovi prostředků, aby spolupracoval, vygeneruje se přihlašovací protokol v domovském tenantovi i v tenantovi prostředku. Mezi tyto protokoly patří informace, jako je použití aplikace, e-mailové adresy, název tenanta a ID tenanta pro domácího tenanta i tenanta prostředku.

Další kroky

Projděte si následující články o spolupráci Microsoft Entra B2B:

• Co je spolupráce Microsoft Entra B2B?
• Přidání uživatele pro spolupráci B2B do role