Külső felhasználók hozzáférésének szabályozása a jogosultságkezelésben

A jogosultságkezelés a Microsoft Entra vállalatközi (B2B) használatával osztja meg a hozzáférést, hogy a szervezeten kívüli személyekkel együttműködhessen. A Microsoft Entra B2B-vel a külső felhasználók a saját címtárukban hitelesítik magukat, de a címtárban van egy reprezentációjuk. A címtárban lévő reprezentáció lehetővé teszi a felhasználó számára az erőforrásokhoz való hozzáférést.

Ez a cikk a külső felhasználók hozzáférésének szabályozásához megadható beállításokat ismerteti.

Hogyan segíthet a jogosultságkezelés?

A Microsoft Entra B2B meghívási felületének használatakor már ismernie kell azon külső vendégfelhasználók e-mail-címét, akiket be szeretne vinni az erőforrás-címtárba, és velük szeretne dolgozni. Az egyes felhasználók közvetlen meghívása nagyszerűen működik, ha egy kisebb vagy rövid távú projekten dolgozik, és már ismeri az összes résztvevőt, de ezt a folyamatot nehezebb kezelni, ha sok felhasználóval szeretne dolgozni, vagy ha a résztvevők idővel változnak. Előfordulhat például, hogy egy másik szervezettel dolgozik, és van egy kapcsolattartási pontja a szervezettel, de idővel a szervezet további felhasználóinak is hozzáférésre lesz szükségük.

A jogosultságkezeléssel olyan szabályzatot határozhat meg, amely lehetővé teszi, hogy az Ön által megadott szervezetek felhasználói önkiszolgáló hozzáférési csomagot igényelhessenek. Ez a szabályzat tartalmazza, hogy szükséges-e a jóváhagyás, szükséges-e a hozzáférési felülvizsgálat, és hogy a hozzáférés lejárati dátuma van-e. A legtöbb esetben jóváhagyást kell kérnie annak érdekében, hogy megfelelő felügyelete legyen annak érdekében, hogy mely felhasználók kerülnek be a címtárba. Ha jóváhagyásra van szükség, akkor a nagyobb külső szervezeti partnerek esetében érdemes lehet meghívni egy vagy több felhasználót a külső szervezetből a címtárba, szponzorként jelölni őket, és konfigurálni, hogy a szponzorok jóváhagyók legyenek – mivel valószínűleg tudják, hogy a szervezetükből származó külső felhasználóknak milyen hozzáférésre van szükségük. Miután konfigurálta a hozzáférési csomagot, szerezze be a hozzáférési csomag kérési hivatkozását, hogy elküldhesse ezt a hivatkozást a külső szervezet kapcsolattartójának (szponzorának). Ez a partner megosztható a külső szervezet más felhasználóival, és ezen a hivatkozáson keresztül kérhetik le a hozzáférési csomagot. A szervezet azon felhasználói is használhatják ezt a hivatkozást, akiket már meghívtak a címtárba.

A jogosultságkezelést arra is használhatja, hogy olyan szervezetek felhasználóit is bevezselje, amelyek nem rendelkeznek saját Microsoft Entra-címtárral. Konfigurálhat egy összevont identitásszolgáltatót a tartományához, vagy használhat e-mail alapú hitelesítést. A közösségi identitásszolgáltatók felhasználóit is bevonhatja, beleértve a Microsoft-fiókokkal rendelkezőket is.

A kérelem jóváhagyásakor a jogosultságkezelés általában a felhasználó számára a szükséges hozzáféréssel rendelkezik. Ha a felhasználó még nem szerepel a címtárban, a jogosultságkezelés először meghívja a felhasználót. A felhasználó meghívása után a Microsoft Entra ID automatikusan létrehoz egy B2B-vendégfiókot számukra, de nem küld e-mailt a felhasználónak. Előfordulhat, hogy a rendszergazda korábban korlátozta, hogy mely szervezetek számára engedélyezett az együttműködés, ha egy B2B-engedélyezési vagy tiltólistát állít be a más szervezet tartományaiba történő meghívások engedélyezésére vagy letiltására. Ha ezek a listák nem engedélyezik a felhasználó tartományát, akkor a rendszer nem hívja meg őket, és csak akkor rendelhetők hozzá hozzáféréshez, ha a listák frissülnek.

Mivel nem szeretné, hogy a külső felhasználó hozzáférése örökké tartjon, a szabályzatban meg kell adnia egy lejárati dátumot, például 180 napot. 180 nap elteltével, ha a hozzáférés nem hosszabbodik meg, a jogosultságkezelés eltávolítja a hozzáférési csomaghoz társított összes hozzáférést. Alapértelmezés szerint ha a jogosultságkezelésen keresztül meghívott felhasználó nem rendelkezik más hozzáférési csomag-hozzárendeléssel, akkor az utolsó hozzárendelés elvesztésekor a vendégfiókja 30 napig nem tud bejelentkezni, és később el lesz távolítva. Ez megakadályozza a szükségtelen fiókok elterjedését. A következő szakaszokban leírtak szerint ezek a beállítások konfigurálhatók.

A külső felhasználók hozzáférésének működése

Az alábbi ábra és lépések áttekintést nyújtanak arról, hogy a külső felhasználók hogyan kapnak hozzáférést egy hozzáférési csomaghoz.

1. Hozzáadhat egy csatlakoztatott szervezetet ahhoz a Microsoft Entra-címtárhoz vagy tartományhoz, amellyel együtt szeretne működni. A közösségi identitásszolgáltatóhoz csatlakoztatott szervezetet is konfigurálhat.

2. Ellenőrizze, hogy a katalógusban lévő külső felhasználók számára engedélyezve van-e a katalógusban a hozzáférési csomag igen értékű beállításának ellenőrzése.

3. Hozzon létre egy hozzáférési csomagot a címtárban, amely tartalmaz egy szabályzatot a címtárban nem szereplő felhasználók számára, és megadja azokat a csatlakoztatott szervezeteket, amelyek kérhetik, a jóváhagyó és az életciklus beállításait. Ha a szabályzatban kiválasztja az adott kapcsolt szervezetek vagy az összes kapcsolt szervezet lehetőségét, akkor csak a korábban konfigurált szervezetek felhasználói kérhetik a kérést. Ha a szabályzatban kiválasztja az összes felhasználó lehetőségét, akkor bármely felhasználó kérheti, beleértve azokat is, amelyek még nem részei a címtárnak, és nem részei a csatlakoztatott szervezeteknek.

4. A hozzáférési csomag rejtett beállításának ellenőrzéséhez ellenőrizze, hogy a hozzáférési csomag rejtett-e. Ha nem rejtette el, akkor a hozzáférési csomag szabályzatbeállításai által engedélyezett felhasználók a saját hozzáférési portálon kereshetik meg a hozzáférési csomagot a bérlő számára.

5. A saját hozzáférési portál hivatkozását a külső szervezetnél lévő partneréhez küldi, amelyet megoszthatnak a felhasználókkal a hozzáférési csomag kéréséhez.

6. Egy külső felhasználó (ebben a példában az A kérelmező) a Saját hozzáférési portál hivatkozással kéri le a hozzáférési csomaghoz való hozzáférést . A Saját hozzáférési portál megköveteli, hogy a felhasználó a csatlakoztatott szervezet részeként jelentkezzen be. A felhasználó bejelentkezésének menete a csatlakoztatott szervezetben és a külső felhasználók beállításaiban definiált címtár vagy tartomány hitelesítési típusától függ.

7. A jóváhagyó jóváhagyja a kérést (feltéve, hogy a szabályzat jóváhagyást igényel).

8. A kérés kézbesítési állapotba kerül.

9. A B2B meghívási folyamatával egy vendégfelhasználói fiók jön létre a címtárban (ebben a példában az A kérelmező (Vendég). Ha egy engedélyezési lista vagy egy tiltólista van definiálva, a rendszer alkalmazza a listabeállítást.

10. A vendégfelhasználó hozzáféréssel rendelkezik a hozzáférési csomag összes erőforrásához. A Microsoft Entra-azonosítóban és más Microsoft Online Services-alkalmazásokban vagy csatlakoztatott SaaS-alkalmazásokban végzett módosítások eltarthatnak egy ideig. További információ: Módosítások alkalmazásakor.

11. A külső felhasználó kap egy e-mailt, amely jelzi, hogy a hozzáférése kézbesítve lett.

12. Az erőforrások eléréséhez a külső felhasználó kiválaszthatja az e-mailben található hivatkozást, vagy közvetlenül megkísérelheti elérni bármelyik címtárerőforrást a meghívási folyamat befejezéséhez.

13. Ha a házirend-beállítások lejárati dátumot tartalmaznak, akkor később, amikor a külső felhasználó hozzáférési csomag-hozzárendelése lejár, a külső felhasználó hozzáférési jogosultságai törlődnek a hozzáférési csomagból.

14. A külső felhasználók beállításainak életciklusától függően, ha a külső felhasználó már nem rendelkezik hozzáférési csomag-hozzárendelésekkel, a külső felhasználó nem fog bejelentkezni, és a külső felhasználói fiók törlődik a címtárból.

Gépház külső felhasználók számára

Annak érdekében, hogy a szervezeten kívüli személyek hozzáférési csomagokat igényelhessenek, és hozzáférést kaphassanak a hozzáférési csomagok erőforrásaihoz, bizonyos beállításokat ellenőriznie kell, hogy megfelelően vannak-e konfigurálva.

Katalógus engedélyezése külső felhasználók számára

• Új katalógus létrehozásakor alapértelmezés szerint engedélyezve van, hogy a külső felhasználók hozzáférési csomagokat kérjenek a katalógusban. Győződjön meg arról, hogy a külső felhasználók számára engedélyezve van az Igen érték.

  

  Ha Ön rendszergazda vagy katalógustulajdonos, a külső felhasználók számára jelenleg engedélyezett katalógusok listáját a Microsoft Entra Felügyeleti központ katalóguslistájában tekintheti meg, ha a külső felhasználókszámára engedélyezett szűrőbeállítást Igen értékre módosítja. Ha a szűrt nézetben látható katalógusok bármelyike nem nulla számú hozzáférési csomaggal rendelkezik, előfordulhat, hogy ezek a hozzáférési csomagok olyan szabályzattal rendelkeznek a címtárban nem szereplő felhasználók számára, amelyek lehetővé teszik a külső felhasználók számára a kérést.

A Microsoft Entra B2B külső együttműködési beállításainak konfigurálása

• Ha engedélyezi a vendégeknek, hogy más vendégeket is meghívjanak a címtárba, az azt jelenti, hogy a vendégmeghívók a jogosultságkezelésen kívül is előfordulhatnak. Azt javasoljuk, hogy a vendégek csak a megfelelően szabályozott meghívások engedélyezéséhez hívjanak meg nemet.

• Ha korábban a B2B engedélyezési listát használta, el kell távolítania a listát, vagy meg kell győződnie arról, hogy a jogosultságkezeléssel partnerként partnerként használni kívánt összes szervezet tartománya felkerül a listára. Másik lehetőségként, ha a B2B-tiltólistát használja, győződjön meg arról, hogy a listán nem szerepel a partnerként használni kívánt szervezet tartománya.

• Ha minden felhasználóhoz (minden csatlakoztatott szervezethez és új külső felhasználóhoz) hoz létre jogosultságkezelési szabályzatot, és egy felhasználó nem tartozik a címtárában egy csatlakoztatott szervezethez, a csomag kérésekor a rendszer automatikusan létrehoz egy csatlakoztatott szervezetet. Azonban minden B2B engedélyezési vagy tiltólista-beállítás elsőbbséget élvez. Ezért el szeretné távolítani az engedélyezési listát, ha használt egyet, hogy minden felhasználó hozzáférést kérjen, és kizárja az összes engedélyezett tartományt a tiltólistáról, ha ön egy tiltólistát használ.

• Ha olyan jogosultságkezelési szabályzatot szeretne létrehozni, amely tartalmazza a Minden felhasználót (minden csatlakoztatott szervezet + minden új külső felhasználó), először engedélyeznie kell az egyszeri pin-kód hitelesítését a címtárban. További információ: E-mail egyszeri pin-kód hitelesítése.

• További információ a Microsoft Entra B2B külső együttműködési beállításairól: Külső együttműködési beállítások konfigurálása.

  

  Feljegyzés

  Ha egy másik Microsoft-felhőből hoz létre csatlakoztatott szervezetet egy Microsoft Entra-bérlőhöz, a bérlők közötti hozzáférési beállításokat is megfelelően kell konfigurálnia. A beállítások konfigurálásáról további információt a bérlők közötti hozzáférési beállítások konfigurálása című témakörben talál.

A feltételes hozzáférési szabályzatok áttekintése

• Mindenképpen zárja ki a jogosultságkezelési alkalmazást a vendégfelhasználókra hatással lévő feltételes hozzáférési szabályzatokból. Ellenkező esetben a feltételes hozzáférési szabályzat megakadályozhatja, hogy hozzáférjenek a MyAccesshez, vagy bejelentkezhessenek a címtárba. A vendégek például valószínűleg nem rendelkeznek regisztrált eszközzel, nincsenek ismert helyen, és nem szeretnének újra regisztrálni a többtényezős hitelesítésre (MFA), ezért ha ezeket a követelményeket egy feltételes hozzáférési szabályzatban hozzáadja, azzal letiltja a vendégeket a jogosultságkezelés használatában. További információt a Microsoft Entra Feltételes hozzáférés feltételei című témakörben talál.

• A jogosultságkezelési ügyfelek általános szabályzata, hogy minden alkalmazást letiltanak a vendégektől, kivéve a vendégek jogosultságkezelését. Ez a szabályzat lehetővé teszi a vendégek számára, hogy belépjenek a Saját hozzáférés mezőbe, és hozzáférési csomagot kérjenek. Ennek a csomagnak tartalmaznia kell egy csoportot (a következő példában a Saját hozzáférésből származó vendégeknek hívják), amelyet ki kell zárni az összes alkalmazásszabályzat letiltásából. A csomag jóváhagyása után a vendég a könyvtárban van. Mivel a végfelhasználó rendelkezik a hozzáférési csomag hozzárendelésével, és a csoport része, a végfelhasználó minden más alkalmazáshoz hozzáférhet. Más gyakori szabályzatok közé tartozik a jogosultságkezelési alkalmazás kizárása az MFA-ból és a megfelelő eszközről.

  

  

  

Feljegyzés

A Jogosultságkezelési alkalmazás tartalmazza a MyAccess jogosultságkezelési oldalát, a Microsoft Entra felügyeleti központ jogosultságkezelési oldalát és az MS Graph Jogosultságkezelés részét. Az utóbbi kettő további hozzáférési engedélyeket igényel, ezért a vendégek csak kifejezett engedély birtokában férhetnek hozzá.

A SharePoint Online külső megosztási beállításainak áttekintése

• Ha SharePoint Online-webhelyeket szeretne belefoglalni a külső felhasználók hozzáférési csomagjaiba, győződjön meg arról, hogy a szervezetszintű külső megosztási beállítás bárkire van állítva (a felhasználók nem igényelnek bejelentkezést), illetve új és meglévő vendégeket (a vendégeknek be kell jelentkezniük, vagy meg kell adniuk egy ellenőrző kódot). További információ: A külső megosztás be- és kikapcsolása.

• Ha bármilyen külső megosztást korlátozni szeretne a jogosultságkezelésen kívül, beállíthatja a külső megosztási beállítást meglévő vendégekre. Ezután csak a jogosultságkezeléssel meghívott új felhasználók férhetnek hozzá ezekhez a webhelyekhez. További információ: A külső megosztás be- és kikapcsolása.

• Győződjön meg arról, hogy a webhelyszintű beállítások engedélyezik a vendéghozzáférést (ugyanazokat a beállításokat, mint korábban). További információ: A külső megosztás be- és kikapcsolása egy webhelyen.

A Microsoft 365-csoportmegosztási beállítások áttekintése

• Ha a külső felhasználók hozzáférési csomagjaiba Microsoft 365-csoportokat szeretne belefoglalni, győződjön meg arról, hogy a Felhasználók új vendégek hozzáadása a szervezethez be van kapcsolva a vendéghozzáférés engedélyezéséhez. További információ: Vendéghozzáférés kezelése Microsoft 365-csoportok.

• Ha azt szeretné, hogy a külső felhasználók hozzáférhessenek a SharePoint Online-webhelyhez és a Microsoft 365-csoporthoz társított erőforrásokhoz, győződjön meg arról, hogy bekapcsolja a SharePoint Online külső megosztását. További információ: A külső megosztás be- és kikapcsolása.

• A Microsoft 365-csoportok vendégszabályzatának a PowerShell címtárszinten történő beállításáról a következő példában olvashat : Vendégházirend konfigurálása a címtárszinten lévő csoportokhoz.

A Teams megosztási beállításainak áttekintése

• Ha a Teamst a külső felhasználók hozzáférési csomagjaiba szeretné felvenni, győződjön meg arról, hogy a Vendéghozzáférés engedélyezése a Microsoft Teamsben be van kapcsolva a vendéghozzáférés engedélyezéséhez. További információ: Vendéghozzáférés konfigurálása a Microsoft Teams felügyeleti központban.

Külső felhasználók életciklusának kezelése

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Kiválaszthatja, hogy mi történik, ha egy külső felhasználó, akit egy hozzáférési csomag kérésével hívtak meg a címtárba, már nem rendelkezik hozzáférési csomag-hozzárendelésekkel. Ez akkor fordulhat elő, ha a felhasználó lemond az összes hozzáférési csomag-hozzárendelésről, vagy az utolsó hozzáférési csomag hozzárendelése lejár. Alapértelmezés szerint, ha egy külső felhasználó már nem rendelkezik hozzáférési csomag-hozzárendelésekkel, a rendszer letiltja a címtárba való bejelentkezést. 30 nap elteltével a vendég felhasználói fiók el lesz távolítva a címtárból. Azt is beállíthatja, hogy egy külső felhasználó ne legyen letiltva a bejelentkezésben vagy a törlésben, vagy hogy a külső felhasználó ne legyen letiltva a bejelentkezésben, hanem törölve legyen (előzetes verzió).

Előfeltétel-szerepkör: Globális Rendszergazda istrator vagy Identitásirányítási Rendszergazda istrator

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.

2. Keresse meg az identitásszabályozási>jogosultságkezelést> Gépház.

3. Válassza a Szerkesztés lehetőséget.

   

4. A Külső felhasználók életciklusának kezelése szakaszban válassza ki a külső felhasználók különböző beállításait.

5. Ha egy külső felhasználó elveszíti az utolsó hozzárendelését bármely hozzáférési csomaghoz, ha meg szeretné akadályozni, hogy bejelentkezhessenek ebbe a könyvtárba, állítsa a külső felhasználó bejelentkezésének letiltása igen értékre.

   Feljegyzés

   A jogosultságkezelés csak azokat a külső vendégfelhasználói fiókokat tiltja meg, amelyek jogosultságkezeléssel lettek meghívva, vagy amelyeket az életciklus-kezelés jogosultságkezeléséhez adtak hozzá a vendégfelhasználói fiók szabályozásra alakításával. Azt is vegye figyelembe, hogy a rendszer akkor is letiltja a bejelentkezést, ha a felhasználót hozzáadták a címtár azon erőforrásaihoz, amelyek nem fértek hozzá a csomaghozzárendelésekhez. Ha egy felhasználó nem tud bejelentkezni ebbe a könyvtárba, akkor a felhasználó nem fogja tudni újrakérni a hozzáférési csomagot, vagy további hozzáférést kérni ebben a címtárban. Ne konfigurálja a bejelentkezés blokkolását, ha később hozzáférést kell kérniük ehhez vagy más hozzáférési csomagokhoz.

6. Ha egy külső felhasználó elveszíti az utolsó hozzárendelését bármely hozzáférési csomaghoz, ha el szeretné távolítani a vendégfelhasználói fiókját ebben a címtárban, állítsa a Külső felhasználó eltávolítása beállítást Igen értékre.

   Feljegyzés

   A jogosultságkezelés csak azokat a külső vendégfelhasználói fiókokat távolítja el, amelyeket jogosultságkezeléssel hívtak meg, vagy amelyek a jogosultságkezeléshez lettek hozzáadva az életciklus-kezeléshez úgy, hogy a vendégfelhasználói fiókjukat szabályozni kell. Azt is vegye figyelembe, hogy a rendszer akkor is eltávolít egy felhasználót ebből a könyvtárból, ha a felhasználót hozzáadták a címtár azon erőforrásaihoz, amelyek nem fértek hozzá a csomaghozzárendelésekhez. Ha a vendég a hozzáférési csomag-hozzárendelések fogadása előtt jelen volt ebben a könyvtárban, azok továbbra is megmaradnak. Ha azonban a vendéget hozzáférési csomag-hozzárendeléssel hívták meg, és a meghívást követően egy OneDrive Vállalati verzió vagy SharePoint Online-webhelyhez is hozzárendelte őket, a program továbbra is eltávolítja őket. A Külső felhasználó eltávolítása beállítás nem csak azokat a felhasználókat érinti, akik később elveszítik az utolsó hozzáférési csomag-hozzárendelésüket; a törlésre ütemezett és a bejelentkezésben letiltott felhasználók továbbra is törlődnek az eredeti ütemezésük szerint.

7. Ha el szeretné távolítani a vendégfelhasználói fiókot ebben a könyvtárban, beállíthatja az eltávolítás előtti napok számát. Bár a külső felhasználók értesítést kapnak a hozzáférési csomag lejáratáról, a fiók eltávolításakor nincs értesítés. Ha el szeretné távolítani a vendégfelhasználói fiókot, amint elveszítik az utolsó hozzárendelésüket bármely hozzáférési csomaghoz, állítsa be a külső felhasználó eltávolítását megelőző napok számát 0 értékre. Az érték módosítása csak azokat a felhasználókat érinti, akik később az utolsó hozzáférési csomag hozzárendelését használják; a törlésre ütemezett felhasználók továbbra is törlődnek az eredeti ütemezésük szerint.

8. Válassza a Mentés lehetőséget.

Következő lépések

• Csatlakoztatott szervezet hozzáadása
• A címtárban nem szereplő felhasználók számára
• Hibaelhárítás