Külső együttműködési beállítások konfigurálása

  • Cikk

A külső együttműködési beállítások segítségével megadhatja, hogy a szervezet mely szerepkörei hívhatnak meg külső felhasználókat a B2B-együttműködéshez. Ezek a beállítások magukban foglalják az adott tartományok engedélyezésére vagy letiltására vonatkozó beállításokat, valamint a külső vendégfelhasználók által a Microsoft Entra címtárban látható tartalmak korlátozására vonatkozó beállításokat is. Ehhez a következő lehetőségek állnak rendelkezésre:

  • A vendégfelhasználói hozzáférés meghatározása: Microsoft Entra Külső ID lehetővé teszi, hogy korlátozza a külső vendégfelhasználók által a Microsoft Entra címtárban látottak körét. Korlátozhatja például a vendégfelhasználók csoporttagságokra vonatkozó nézetét, vagy engedélyezheti, hogy a vendégek csak a saját profiladataikat tekinthessék meg.

  • Adja meg, hogy kik hívhatnak meg vendégeket: Alapértelmezés szerint a szervezet összes felhasználója, beleértve a B2B együttműködési vendégfelhasználókat is, meghívhat külső felhasználókat a B2B-együttműködésre. Ha korlátozni szeretné a meghívók küldésének lehetőségét, be- és kikapcsolhatja a meghívókat mindenki számára, vagy korlátozhatja a meghívásokat bizonyos szerepkörökre.

  • Vendég önkiszolgáló regisztráció engedélyezése felhasználói folyamatokon keresztül: Az Ön által létrehozott alkalmazásokhoz létrehozhat olyan felhasználói folyamatokat, amelyek lehetővé teszik, hogy a felhasználó regisztráljon egy alkalmazásra, és új vendégfiókot hozzon létre. Engedélyezheti a funkciót a külső együttműködési beállításokban, majd hozzáadhat egy önkiszolgáló regisztrációs felhasználói folyamatot az alkalmazáshoz.

  • Tartományok engedélyezése vagy letiltása: Együttműködési korlátozásokkal engedélyezheti vagy letilthatja a megadott tartományokra vonatkozó meghívásokat. További részletekért lásd : Tartományok engedélyezése vagy letiltása.

A többi Microsoft Entra-szervezettel való B2B-együttműködéshez a bérlők közötti hozzáférési beállításokat is át kell tekintenie, hogy biztosítsa a bejövő és kimenő B2B együttműködést és hatókör-hozzáférést adott felhasználókhoz, csoportokhoz és alkalmazásokhoz.

A bérlők közötti bejelentkezéseket végző B2B-együttműködés végfelhasználói számára az otthoni bérlői márkajelzés akkor is megjelenik, ha nincs megadva egyéni védjegyzés. Az alábbi példában a Woodgrove Groceries cég védjegye jelenik meg a bal oldalon. A jobb oldali példában a felhasználó otthoni bérlőjének alapértelmezett védjegyezése látható.

Screenshots showing a comparison of the branded sign-in experience and the default sign-in experience.

Beállítások konfigurálása a portálon

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább külső identitásszolgáltatói rendszergazdaként.

  2. Keresse meg az Identitás>külső identitásai>külső együttműködési beállításokat.

  3. A Vendégfelhasználói hozzáférés csoportban válassza ki, hogy a vendégfelhasználók a következő hozzáférési szinttel rendelkezzenek:

    Screenshot showing Guest user access settings.

    • A vendégfelhasználók ugyanazzal a hozzáféréssel rendelkeznek, mint a tagok (a legtöbb befogadó): Ez a beállítás ugyanazokkal a hozzáféréssel rendelkezik a Microsoft Entra-erőforrásokhoz és a címtáradatokhoz, mint a tagfelhasználók.

    • A vendégfelhasználók korlátozott hozzáféréssel rendelkeznek a címtárobjektumok tulajdonságaihoz és tagságaihoz: (Alapértelmezett) Ez a beállítás letiltja a vendégeket bizonyos címtárfeladatoktól, például a felhasználók, csoportok vagy más címtárerőforrások számbavételétől. A vendégek megtekinthetik az összes nem rejtett csoport tagságát. További információ az alapértelmezett vendégengedélyekről.

    • A vendégfelhasználók hozzáférése a saját címtárobjektumaik tulajdonságaira és tagságára korlátozódik (a legkorlátozóbb): Ezzel a beállítással a vendégek csak a saját profiljaikhoz férhetnek hozzá. A vendégek nem láthatják más felhasználók profiljait, csoportjait vagy csoporttagságait.

  4. A Vendégmeghívó beállításai csoportban válassza ki a megfelelő beállításokat:

    Screenshot showing Guest invite settings.

    • A szervezet bármely tagja meghívhat vendégfelhasználókat, beleértve a vendégeket és a nem rendszergazdákat is (a legtöbb befogadót):Ha engedélyezni szeretné, hogy a szervezet vendégei más vendégeket is meghívjanak, beleértve a szervezet nem tagjait is, válassza ezt a választógombot.
    • Az adott rendszergazdai szerepkörökhöz rendelt tagfelhasználók és felhasználók meghívhatják a vendégfelhasználókat, beleértve a tagengedélyekkel rendelkező vendégeket is: Ha engedélyezni szeretné, hogy a tagfelhasználók és az adott rendszergazdai szerepkörrel rendelkező felhasználók vendégeket hívjanak meg, válassza ezt a választógombot.
    • Csak az adott rendszergazdai szerepkörökhöz rendelt felhasználók hívhatnak meg vendégfelhasználókat: Ha csak rendszergazdai szerepkörrel rendelkező felhasználók számára szeretné engedélyezni a vendégek meghívását, válassza ezt a választógombot. A rendszergazdai szerepkörök közé tartozik a globális Rendszergazda istrator, a felhasználói Rendszergazda istrator és a vendégmeghívó.
    • A szervezet egyik tagja sem hívhat meg vendégfelhasználókat, beleértve a rendszergazdákat is (a legkorlátozóbbak):Ha a szervezet minden tagja megtagadja a vendégek meghívását, válassza ezt a választógombot.

  5. A vendég önkiszolgáló regisztrációjának engedélyezése felhasználói folyamatokon keresztül területen válassza az Igen lehetőséget, ha olyan felhasználói folyamatokat szeretne létrehozni, amelyek lehetővé teszik a felhasználók számára az alkalmazások regisztrálását. Erről a beállításról további információt az Önkiszolgáló regisztrációs felhasználói folyamat hozzáadása alkalmazáshoz című témakörben talál.

    Screenshot showing Self-service sign up via user flows setting.

  6. A Külső felhasználók kilépési beállításai csoportban szabályozhatja, hogy a külső felhasználók eltávolíthatják-e magukat a szervezetből.

    • Igen: A felhasználók maguk is elhagyhatják a szervezetet a rendszergazda vagy az adatvédelmi kapcsolattartó jóváhagyása nélkül.
    • Nem: A felhasználók nem hagyhatják el a szervezetet. Egy üzenet jelenik meg, amely arra kéri őket, hogy lépjenek kapcsolatba a rendszergazdával vagy az adatvédelmi kapcsolattartóval, hogy kérjék a szervezetből való eltávolítást.

    Fontos

    A külső felhasználók kilépési beállításait csak akkor konfigurálhatja, ha hozzáadta az adatvédelmi adatait a Microsoft Entra-bérlőhöz. Ellenkező esetben ez a beállítás nem érhető el.

    Screenshot showing External user leave settings in the portal.

  7. Az együttműködési korlátozások alatt megadhatja, hogy engedélyezi-e vagy megtagadja-e a meghívásokat a megadott tartományokra, és a szövegmezőkbe adott tartományneveket adhat meg. Több tartomány esetén adja meg az egyes tartományokat egy új sorban. További információt a B2B-felhasználók meghívásának engedélyezése vagy letiltása adott szervezetekből című témakörben talál.

    Screenshot showing Collaboration restrictions settings.

Beállítások konfigurálása a Microsoft Graph használatával

A külső együttműködési beállítások a Microsoft Graph API használatával konfigurálhatók:

  • A vendégfelhasználói hozzáférési korlátozások és a vendégmeghívási korlátozások esetén használja az authorizationPolicy erőforrástípust.
  • A vendég önkiszolgáló regisztrációjának engedélyezése felhasználói folyamatok beállításával az authenticationFlowsPolicy erőforrástípust használja.
  • Az egyszeri pin-kód megadásához (most a Microsoft Entra Felügyeleti központ Minden identitásszolgáltató lapján) használja az e-mailAuthenticationMethodConfiguration erőforrástípust.

Vendégmeghívó szerepkör hozzárendelése egy felhasználóhoz

A Vendégmeghívó szerepkörrel az egyes felhasználók anélkül hívhatnak meg vendégeket, hogy globális Rendszergazda istratort vagy más rendszergazdai szerepkört rendelnek hozzájuk. A Vendégmeghívó szerepkörrel rendelkező felhasználók akkor is meghívhatnak vendégeket, ha a vendégfelhasználók meghívására csak adott rendszergazdai szerepkörökhöz rendelt felhasználók jogosultak (a Vendégmeghívó beállításai alatt).

Íme egy példa, amely bemutatja, hogyan vehet fel felhasználót a szerepkörbe a Guest Inviter Microsoft Graph PowerShell használatával:


Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

Bejelentkezési naplók B2B-felhasználók számára

Amikor egy B2B-felhasználó bejelentkezik egy erőforrás-bérlőbe az együttműködéshez, a rendszer bejelentkezési naplót hoz létre mind az otthoni bérlőben, mind az erőforrás-bérlőben. Ezek a naplók olyan információkat tartalmaznak, mint a használt alkalmazás, az e-mail-címek, a bérlő neve és a bérlőazonosító mind az otthoni bérlő, mind az erőforrás-bérlő számára.

Következő lépések

Tekintse meg a Microsoft Entra B2B együttműködésről szóló alábbi cikkeket: