Správa připojených organizací ve správě nároků

Pomocí správy nároků můžete spolupracovat s lidmi mimo vaši organizaci. Pokud často spolupracujete s mnoha uživateli z konkrétních externích organizací, můžete přidat zdroje identit dané organizace jako připojené organizace. Propojená organizace zjednodušuje, jak více lidí z těchto organizací může požádat o přístup. Tento článek popisuje, jak přidat připojenou organizaci, abyste uživatelům mimo vaši organizaci umožnili žádat o prostředky ve vašem adresáři.

Co je propojená organizace?

Propojená organizace je jiná organizace, se kterou máte vztah. Aby uživatelé v této organizaci měli přístup k vašim prostředkům, jako jsou weby nebo aplikace SharePointu Online, potřebujete reprezentaci uživatelů této organizace v tomto adresáři. Protože ve většině případů uživatelé v této organizaci ještě nejsou ve vašem adresáři Microsoft Entra, můžete použít správu nároků k jejich přidání do adresáře podle potřeby.

Pokud chcete zadat cestu, ze které by mohl kdokoli požádat o přístup, a nejste si jistí, ze kterých organizací můžou být tito noví uživatelé, můžete nakonfigurovat zásady přiřazení přístupového balíčku pro uživatele, kteří nejsou ve vašem adresáři. V této zásadě vyberte možnost Všichni uživatelé (Všechny připojené organizace + všichni noví externí uživatelé). Pokud je žadatel schválený a nepatří do připojené organizace ve vašem adresáři, automaticky se pro ně vytvoří propojená organizace.

Pokud chcete povolit přístup jenom jednotlivcům z určených organizací, vytvořte nejprve tyto připojené organizace. Za druhé nakonfigurujte zásady přiřazení přístupového balíčku pro uživatele, kteří nejsou ve vašem adresáři, vyberte možnost Konkrétní připojené organizace a vyberte organizace, které jste vytvořili.

Správa nároků umožňuje určit uživatele, kteří tvoří propojenou organizaci, čtyři způsoby. Může to být:

• uživatelé v jiném adresáři Microsoft Entra (z libovolného cloudu Microsoftu),
• uživatelé v jiném než Microsoftím adresáři, kteří jsou nakonfigurováni pro federaci poskytovatele identit (IdP) SAML/WS-Fed,
• uživatelé v jiném adresáři než Microsoftu, jehož e-mailové adresy mají stejný název domény společné a specifické pro danou organizaci, nebo
• uživatelé s účtem Microsoft, například z domény live.com, pokud máte obchodní potřebu spolupráce s uživateli, kteří nemají žádnou společnou organizaci.

Předpokládejme například, že pracujete ve společnosti Woodgrove Bank a chcete spolupracovat se dvěma externími organizacemi. Chcete uživatelům z obou externích organizací udělit přístup ke stejným prostředkům, ale tyto dvě organizace mají různé konfigurace:

• Společnost Contoso zatím nepoužívá ID Microsoft Entra. Uživatelé společnosti Contoso mají e-mailovou adresu, která končí contoso.com.
• Graphic Design Institute používá Microsoft Entra ID a alespoň někteří uživatelé mají hlavní název uživatele, který končí graphicdesigninstitute.com.

V takovém případě můžete nakonfigurovat dvě propojené organizace a pak jeden přístupový balíček s jednou zásadou.

1. Ujistěte se, že máte zapnuté ověřování jednorázovým heslem (OTP) prostřednictvím e-mailu, aby uživatelé z těch domén, které ještě nejsou součástí adresářů Microsoft Entra, mohli použít jednorázové heslo e-mailu při vyžádání nebo přístupu k vašim prostředkům. Kromě toho možná budete muset nakonfigurovat nastavení externí spolupráce Microsoft Entra B2B tak, aby umožňovala externím uživatelům přístup.
2. Vytvořte propojenou organizaci pro Contoso. Když zadáte doménu contoso.com, správa nároků rozpozná, že k této doméně není přidružený žádný tenant Microsoft Entra a že uživatelé z této připojené organizace budou rozpoznáni, pokud se ověří pomocí jednorázového hesla e-mailu s doménou contoso.com e-mailové adresy.
3. Vytvořte další propojenou organizaci pro Institut grafického designu. Když zadáte doménu graphicdesigninstitute.com, správa nároků rozpozná, že je k ní přidružený tenant.
4. V katalogu, který umožňuje externím uživatelům požadovat, vytvořte přístupový balíček.
5. V takovém přístupového balíčku vytvořte zásadu přiřazení přístupového balíčku pro uživatele, kteří ještě nejsou ve vašem adresáři. V této zásadě vyberte možnost Konkrétní propojené organizace a zadejte dvě propojené organizace. To umožňuje uživatelům z každé organizace se zdrojem identity, který odpovídá jedné z připojených organizací, požádat o přístupový balíček.
6. Když externí uživatelé s uživatelským jménem, kteří mají doménu contoso.com, žádají o přístupový balíček, ověřují se pomocí e-mailu. Tato e-mailová doména se shoduje s organizací připojenou společností Contoso a uživatel si bude moct balíček vyžádat. Jakmile požádá o to, jak přístup funguje pro externí uživatele, popisuje, jak je uživatel B2B pak pozván a přístup je přiřazen externímu uživateli.
7. Externí uživatelé, kteří používají organizační účet pocházející od tenanta Graphic Design Institute, by odpovídali organizaci propojené s institutem grafického designu a zároveň mohli požádat o přístupový balíček. A vzhledem k tomu, že Grafický design institute používá Microsoft Entra ID, všichni uživatelé s hlavním názvem, který odpovídá jiné ověřené doméně přidané do tenanta Graphic Design Institute, například graphicdesigninstitute.example, by také mohli požádat o přístupové balíčky pomocí stejné zásady.

Způsob ověřování uživatelů z adresáře Nebo domény Microsoft Entra závisí na typu ověřování. Typy ověřování pro připojené organizace jsou:

• Microsoft Entra ID ve stejném cloudu
• Microsoft Entra ID, v jiném cloudu
• Federace poskytovatele identity SAML/WS-Fed
• Jednorázové heslo (doména)
• Účet Microsoft

Ukázku přidání připojené organizace najdete v následujícím videu:

Zobrazení seznamu propojených organizací

1. Přihlaste se do Centra pro správu Microsoft Entra jako správce správy identit alespoň.

2. Přejděte na Správaoprávnění>správy ID>Propojené organizace.

3. Do vyhledávacího pole můžete vyhledat propojenou organizaci podle názvu připojené organizace. Nemůžete ale hledat název domény.

Přidání připojené organizace

Pokud chcete přidat externí adresář nebo doménu Microsoft Entra jako připojenou organizaci, postupujte podle pokynů v této části.

1. Přihlaste se do Centra pro správu Microsoft Entra jako správce správy identit alespoň.

2. Přejděte na Správaoprávnění>správy ID>Propojené organizace.

3. Na stránce Připojené organizace vyberte Přidat připojenou organizaci.

   

4. Vyberte kartu Základy a zadejte zobrazovaný název a popis organizace.

   

5. Stav se automaticky nastaví na Nakonfigurovaný při vytváření nové připojené organizace. Další informace o stavu vlastnosti připojené organizace naleznete v tématu State property of connected organizations

6. Vyberte kartu Adresář + doména a pak vyberte Přidat adresář + doménu.

   Podokno Vybrat adresáře a domény se otevře.

7. Do vyhledávacího pole zadejte název domény a vyhledejte adresář nebo doménu Microsoft Entra. Můžete také přidat domény, které nejsou přidružené k žádnému adresáři Microsoft Entra. Nezapomeňte zadat celý název domény.

8. Ověřte správnost názvů a typů ověřování organizace. Přihlášení uživatele před přístupem k portálu MyAccess závisí na typu ověřování pro svoji organizaci. Pokud je typ ověřování pro připojenou organizaci Microsoft Entra ID, všichni uživatelé s účtem v adresáři dané organizace s libovolnou ověřenou doménou tohoto adresáře Microsoft Entra se přihlásí ke svému adresáři a pak můžou požádat o přístup k přístupovým balíčkům, které tuto propojenou organizaci umožňují. Pokud je typ ověřování jednorázovým heslem, umožníte uživatelům s e-mailovými adresami z této domény navštívit portál MyAccess. Po ověření pomocí hesla může uživatel vytvořit žádost.

   

   Poznámka:

   Přístup z některých domén může být blokován seznamem pro povolení nebo zamítnutí Microsoft Entra business-to-business (B2B). Kromě toho uživatelé, kteří mají e-mailovou adresu, která má stejnou doménu jako propojená organizace nakonfigurovaná pro ověřování Microsoft Entra, ale kteří se neověřují v daném adresáři Microsoft Entra, nebudou rozpoznáváni jako součást této připojené organizace. Další informace najdete v tématu Povolení nebo blokování pozvánek uživatelůM B2B z konkrétních organizací.

9. Vyberte Přidat a přidejte adresář nebo doménu Microsoft Entra. Můžete přidat více adresářů a domén Microsoft Entra.

10. Po přidání adresářů nebo domén Microsoft Entra vyberte Vybrat.

    V seznamu se zobrazí organizace/organizace.

    

11. Vyberte kartu Sponzory a přidejte volitelné sponzory pro tuto propojenou organizaci.

    Sponzory jsou interní nebo externí uživatelé, kteří jsou již ve vašem adresáři kontaktním bodem pro vztah s touto propojenou organizací. Interní sponzory jsou členští uživatelé ve vašem adresáři. Externí sponzory jsou uživatelé typu host z připojené organizace, které byly dříve pozvány a jsou již ve vašem adresáři. Sponzory je možné využít jako schvalovatele, když uživatelé v této připojené organizaci požadují přístup k tomuto přístupového balíčku. Informace o tom, jak pozvat uživatele typu host do adresáře, najdete v tématu Přidání uživatelů spolupráce Microsoft Entra B2B.

    Když vyberete Přidat nebo odebrat, otevře se podokno, ve kterém můžete zvolit interní nebo externí sponzory. V podokně se zobrazí nefiltrovaný seznam uživatelů a skupin v adresáři.

    

12. Vyberte kartu Zkontrolovat a vytvořit, zkontrolujte nastavení organizace a pak vyberte Vytvořit.

    

Aktualizace připojené organizace

Pokud se propojená organizace změní na jinou doménu, změní se název organizace nebo chcete změnit sponzory, můžete propojenou organizaci aktualizovat podle pokynů v této části.

1. Přihlaste se do Centra pro správu Microsoft Entra jako správce správy identit alespoň.

2. Přejděte na Správaoprávnění>správy ID>Propojené organizace.

3. Na stránce Připojené organizace vyberte připojenou organizaci, kterou chcete aktualizovat.

4. V podokně přehledu připojené organizace vyberte Upravit a změňte název organizace, popis nebo stav.

5. V podokně Adresář a doména vyberte Aktualizovat adresář + doménu a změňte ho na jiný adresář nebo doménu.

6. V podokně Sponzory vyberte Přidat interní sponzory nebo Přidat externí sponzory a přidejte uživatele jako sponzora. Pokud chcete sponzora odebrat, vyberte sponzora a v pravém podokně vyberte Odstranit.

Odstranění připojené organizace

Pokud už nemáte vztah s externím adresářem nebo doménou Microsoft Entra nebo už nechcete mít navrženou propojenou organizaci, můžete propojenou organizaci odstranit.

1. Přihlaste se do Centra pro správu Microsoft Entra jako správce správy identit alespoň.

2. Přejděte na Správaoprávnění>správy ID>Propojené organizace.

3. Na stránce Připojené organizace vyberte připojenou organizaci, kterou chcete odstranit, a otevřete ji.

4. V podokně přehledu připojené organizace vyberte Odstranit a odstraňte ho.

   

Správa propojené organizace prostřednictvím kódu programu

Pomocí Microsoft Graphu můžete také vytvářet, vypisovat, aktualizovat a odstraňovat připojené organizace. Uživatel v příslušné roli s aplikací, která má delegované EntitlementManagement.ReadWrite.All oprávnění, může volat API pro správu propojených objektů organizace a nastavit pro ně sponzory.

Správa připojených organizací prostřednictvím Microsoft PowerShellu

Připojené organizace můžete také spravovat v PowerShellu pomocí cmdletů z modulu Microsoft Graph PowerShell pro správu identit verze 1.16.0 nebo novější.

Tento následující skript znázorňuje použití v1.0 profilu Graphu k načtení všech připojených organizací. Každá vrácená propojená organizace obsahuje seznam identitySources adresářů a domén dané připojené organizace.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$co = Get-MgEntitlementManagementConnectedOrganization -all

foreach ($c in $co) {
  foreach ($i in $c.identitySources) {
    write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
  }
}

Státní majetek připojených organizací

Ve správě nároků existují dva různé stavy pro připojené organizace, které jsou nakonfigurované a navržené:

• Nakonfigurovaná propojená organizace je plně funkční propojená organizace, která uživatelům v organizaci umožňuje přístup k balíčkům. Když správce vytvoří novou propojenou organizaci v Centru pro správu Microsoft Entra, je ve výchozím nastavení v nakonfigurovaném stavu, protože správce organizaci vytvořil a chce ji používat. Kromě toho platí, že pokud je propojená organizace vytvořená prostřednictvím kódu programu prostřednictvím rozhraní API, měl by být výchozí stav nakonfigurovaný , pokud není explicitně nastavený na jiný stav.

  Nakonfigurované propojené organizace se zobrazují ve výběrových seznamech propojených organizací a budou v rozsahu pro všechny zásady, které jsou zaměřeny na všechny nakonfigurované propojené organizace.

• Navrhovaná propojená organizace je taková propojená organizace, která byla automaticky vytvořena, ale správce ji nevytvořil ani neschválil. Když se uživatel zaregistruje k přístupovém balíčku mimo nakonfigurovanou propojenou organizaci, všechny automaticky vytvořené připojené organizace jsou v navrhovaném stavu, protože toto partnerství nenastavuje žádný správce.

  Navrhované propojené organizace nespadají do rozsahu nastavení "všechny nakonfigurované propojené organizace" v zásadách, ale mohou být použity pouze v zásadách zaměřených na konkrétní organizace.

Přístupové balíčky, které jsou dostupné uživatelům ze všech nakonfigurovaných organizací, můžou vyžádat jenom uživatelé z nakonfigurovaných organizací. Uživatelé z navržených propojených organizací mají zkušenosti, jako by pro danou doménu nebyla připojená organizace; může zobrazit a požádat o přístupové balíčky omezené pouze na jejich konkrétní organizaci nebo omezené na libovolného uživatele. Pokud máte ve svém tenantovi zásady, které umožňují "všechny nakonfigurované propojené organizace", ujistěte se, že nepřeveďte navrhované propojené organizace pro zprostředkovatele sociálních identit na nakonfigurované.

Poznámka:

V rámci zavádění této nové funkce byly považovány za nakonfigurované všechny propojené organizace vytvořené před 9. 9. 20. Pokud jste měli přístupový balíček, který uživatelům z jakékoli organizace umožnil registraci, měli byste si projít seznam propojených organizací vytvořených před tímto datem, abyste měli jistotu, že žádná není chybně zařazená jako nakonfigurovaná. Zprostředkovatelé sociálních identit by se zejména neměli označovat jako nakonfigurované , pokud existují zásady přiřazení, které nevyžadují schválení pro uživatele ze všech nakonfigurovaných propojených organizací. Správce může podle potřeby aktualizovat vlastnost State . Pokyny najdete v tématu Aktualizace připojené organizace.

Poznámka:

V některých případech může uživatel požádat o přístupový balíček pomocí svého osobního účtu od zprostředkovatele sociální identity, kde má e-mailová adresa daného účtu stejnou doménu jako existující propojená organizace odpovídající tenantovi Microsoft Entra. Pokud je tento uživatel schválen, bude mít za následek novou navrženou propojenou organizaci představující tuto doménu. V takovém případě se ujistěte, že uživatel k opětovnému vyžádání přístupu používá svůj účet organizace, a portál identifikuje tohoto uživatele pocházejícího z nakonfigurovaného tenanta Microsoft Entra připojené organizace.

Další kroky

• Řízení přístupu pro externí uživatele
• Řízení přístupu pro uživatele, kteří nejsou ve vašem adresáři