Csatlakoztatott szervezetek kezelése a jogosultságkezelésben
A jogosultságkezeléssel együttműködhet a szervezeten kívüli személyekkel. Ha gyakran együttműködik bizonyos külső szervezetek számos felhasználójával, összekapcsolt szervezetként hozzáadhatja a szervezet identitásforrásait. A kapcsolt szervezetek egyszerűbbé tehetik, hogy az adott szervezetekből származó személyek hogyan kérhetnek hozzáférést. Ez a cikk bemutatja, hogyan vehet fel csatlakoztatott szervezetet, hogy lehetővé tegye a szervezeten kívüli felhasználók számára, hogy erőforrásokat kérjenek a címtárban.
Mi az a csatlakoztatott szervezet?
A csatlakoztatott szervezet egy másik szervezet, amellyel kapcsolatban áll. Ahhoz, hogy a szervezet felhasználói hozzáférhessenek az erőforrásaihoz, például a SharePoint Online-webhelyekhez vagy -alkalmazásokhoz, szüksége lesz a szervezet felhasználóinak a címtárban való megjelenítésére. Mivel a szervezet felhasználói a legtöbb esetben még nem szerepelnek a Microsoft Entra-címtárban, a jogosultságkezeléssel szükség szerint beviheti őket a Microsoft Entra-címtárba.
Ha bárki számára szeretne hozzáférést kérni, és nem biztos abban, hogy ezek az új felhasználók mely szervezetektől származhatnak, akkor konfigurálhat hozzáférési csomag-hozzárendelési szabályzatot a címtárban nem szereplő felhasználók számára. Ebben a házirendben válassza a Minden felhasználó (Minden csatlakoztatott szervezet + új külső felhasználók) lehetőséget. Ha a kérelmezőt jóváhagyták, és nem tartoznak a címtárban lévő kapcsolt szervezethez, a rendszer automatikusan létrehoz egy csatlakoztatott szervezetet.
Ha csak a kijelölt szervezetekből származó személyeknek szeretné engedélyezni a hozzáférést, először hozza létre ezeket a kapcsolt szervezeteket. Másodszor konfiguráljon egy hozzáférési csomag-hozzárendelési szabályzatot a címtárban nem szereplő felhasználók számára, válassza ki az adott kapcsolt szervezetek beállítását, és válassza ki a létrehozott szervezeteket.
A jogosultságkezelés négy módon teszi lehetővé a csatlakoztatott szervezetet alkotó felhasználók megadását. Lehet, hogy
- felhasználók egy másik Microsoft Entra-címtárban (bármely Microsoft-felhőből),
- az SAML/WS-Fed identitásszolgáltatói (IDP) összevonáshoz konfigurált másik nem Microsoft-címtár felhasználói,
- egy másik, nem Microsoft-címtárban lévő felhasználók, akiknek az e-mail-címei mind ugyanazzal a tartománynévvel rendelkeznek, és az adott szervezetre jellemzőek, vagy
- Microsoft-fiókkal rendelkező felhasználók, például a tartományból live.com, ha üzleti igény van a közös szervezettel nem rendelkező felhasználókkal való együttműködésre.
Tegyük fel például, hogy a Woodgrove Banknál dolgozik, és két külső szervezettel szeretne együttműködni. Mindkét külső szervezet felhasználóinak hozzáférést szeretne adni ugyanahhoz az erőforráshoz, de ez a két szervezet eltérő konfigurációval rendelkezik:
- A Contoso még nem használja a Microsoft Entra-azonosítót. A Contoso felhasználóinak e-mail-címe contoso.com végződik.
- A Graphic Design Institute Microsoft Entra-azonosítót használ, és legalább néhány felhasználójuknak van egy egyszerű felhasználóneve, amely graphicdesigninstitute.com végződik.
Ebben az esetben konfigurálhat két csatlakoztatott szervezetet, majd egy hozzáférési csomagot egy szabályzattal.
- Győződjön meg arról, hogy be van kapcsolva az egyszeri pin-kód (OTP) hitelesítés , hogy azok a felhasználók, akik még nem tartoznak a Microsoft Entra címtáraihoz, akik egyszeri pin kóddal hitelesítik magukat, amikor hozzáférést kérnek az erőforrásokhoz, vagy később hozzáférnek az erőforrásokhoz. Emellett előfordulhat, hogy konfigurálnia kell a Microsoft Entra B2B külső együttműködési beállításait a külső felhasználók hozzáférésének engedélyezéséhez.
- Hozzon létre egy csatlakoztatott szervezetet a Contoso számára. A tartomány contoso.com megadásakor a jogosultságkezelés felismeri, hogy nincs meglévő Microsoft Entra-bérlő a tartományhoz társítva, és hogy a csatlakoztatott szervezet felhasználói akkor lesznek felismerve, ha egyszeri pin-kóddal hitelesítik magukat egy contoso.com e-mail-címtartománysal.
- Hozzon létre egy másik csatlakoztatott szervezetet a Graphic Design Institute számára. A tartomány graphicdesigninstitute.com megadásakor a jogosultságkezelés felismeri, hogy az adott tartományhoz bérlő van társítva.
- Egy katalógusban, amely lehetővé teszi a külső felhasználók számára a kérést, hozzon létre egy hozzáférési csomagot.
- Ebben a hozzáférési csomagban hozzon létre egy hozzáférési csomag-hozzárendelési szabályzatot a címtárban még nem szereplő felhasználók számára. Ebben a szabályzatban válassza az Adott kapcsolt szervezetek lehetőséget, és adja meg a két csatlakoztatott szervezetet. Ez lehetővé teszi az egyes szervezetek felhasználói számára, hogy az egyik csatlakoztatott szervezetnek megfelelő identitásforrással igényeljék a hozzáférési csomagot.
- Ha a külső felhasználók olyan felhasználónévvel rendelkeznek, amelynek tartománya contoso.com kéri a hozzáférési csomagot, e-mailben hitelesítik magukat. Ez az e-mail-tartomány megegyezik a Contoso-hoz csatlakoztatott szervezettel, és a felhasználó kérheti a csomagot. A kérés után a külső felhasználók hozzáférésének működése leírja, hogy a rendszer hogyan hívja meg a B2B-felhasználót, és hogyan rendeli hozzá a hozzáférést a külső felhasználóhoz.
- Emellett azok a külső felhasználók, amelyek a Graphic Design Institute bérlői fiókból használnak szervezeti fiókot, megegyeznek a Grafikus tervező intézethez csatlakozó szervezettel, és jogosultak a hozzáférési csomag igénylésére. Mivel a Graphic Design Institute Microsoft Entra-azonosítót használ, minden olyan egyszerű névvel rendelkező felhasználó, aki megfelel a Graphic Design Institute-bérlőhöz hozzáadott egy másik ellenőrzött tartománynak , például a graphicdesigninstitute.example, ugyanezzel a szabályzattal is kérhet hozzáférési csomagokat.
A Microsoft Entra címtár vagy tartomány felhasználóinak hitelesítése a hitelesítési típustól függ. A csatlakoztatott szervezetek hitelesítési típusai a következők:
- Microsoft Entra ID, ugyanabban a felhőben
- Microsoft Entra ID, egy másik felhőben
- SAML/WS-Fed identity provider (IdP) összevonás
- Egyszeri pin-kód (tartomány)
- Microsoft Account
A csatlakoztatott szervezet hozzáadásának bemutatásához tekintse meg az alábbi videót:
Csatlakoztatott szervezetek listájának megtekintése
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Előfeltétel-szerepkör: Globális Rendszergazda istrator vagy Identitásirányítási Rendszergazda istrator
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.
Keresse meg az identitásszabályozási>jogosultságkezelést> Csatlakozás szervezeteket.
A keresőmezőben a csatlakoztatott szervezet neve alapján kereshet egy csatlakoztatott szervezetet. Azonban nem kereshet tartománynevet.
Csatlakoztatott szervezet hozzáadása
Ha külső Microsoft Entra-címtárat vagy tartományt szeretne hozzáadni csatlakoztatott szervezetként, kövesse az ebben a szakaszban található utasításokat.
Előfeltétel-szerepkör: Globális Rendszergazda istrator vagy Identitásirányítási Rendszergazda istrator
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.
Keresse meg az identitásszabályozási>jogosultságkezelést> Csatlakozás szervezeteket.
A Csatlakozás szervezetek lapon válassza a Csatlakoztatott szervezet hozzáadása lehetőséget.
Válassza az Alapismeretek lapot, majd adja meg a szervezet megjelenítendő nevét és leírását.
Az állapot automatikusan konfigurálva lesz egy új csatlakoztatott szervezet létrehozásakor. A csatlakoztatott szervezetek állapottulajdonságával kapcsolatos további információkért lásd : Csatlakoztatott szervezetek államtulajdonsága
Válassza a Címtár + tartomány fület, majd a Címtár + tartomány hozzáadása lehetőséget.
Ekkor megnyílik a Könyvtárak és tartományok kijelölése panel.
A keresőmezőbe írjon be egy tartománynevet a Microsoft Entra könyvtár vagy tartomány kereséséhez. Olyan tartományokat is hozzáadhat, amelyek nincsenek társítva semmilyen Microsoft Entra-címtárral. Mindenképpen adja meg a teljes tartománynevet.
Ellenőrizze, hogy a szervezet neve(i) és hitelesítési típusa(i) helyesek-e. A felhasználó bejelentkezése a MyAccess portál elérése előtt a szervezet hitelesítési típusától függ. Ha egy csatlakoztatott szervezet hitelesítési típusa a Microsoft Entra-azonosító, minden olyan felhasználó bejelentkezik a címtárába, akinek fiókja van a szervezet címtárában, és a Microsoft Entra-címtár bármely ellenőrzött tartományával rendelkezik, bejelentkezik a címtárába, majd hozzáférést kérhet az adott kapcsolt szervezet számára engedélyezett csomagokhoz. Ha a hitelesítési típus egyszeri pin-kód, akkor a tartományból származó e-mail-címmel rendelkező felhasználók megnyithatják a MyAccess portált. Miután hitelesítést végzett a pin-kóddal, a felhasználó kérést kezdeményezhet.
Megjegyzés:
Egyes tartományokból való hozzáférést blokkolhatja a Microsoft Entra business to Business (B2B) engedélyezési vagy letiltási listája. Ezenkívül azok a felhasználók, akiknek e-mail-címe megegyezik a Microsoft Entra-hitelesítéshez konfigurált csatlakoztatott szervezet tartományával, de nem hitelesítik magukat az adott Microsoft Entra-címtárban, nem lesznek felismerve a csatlakoztatott szervezet részeként. További információt a B2B-felhasználók meghívásának engedélyezése vagy letiltása adott szervezetekből című témakörben talál.
Válassza a Hozzáadás lehetőséget a Microsoft Entra könyvtár vagy tartomány hozzáadásához. Több Microsoft Entra-címtárat és tartományt is hozzáadhat.
Miután hozzáadta a Microsoft Entra címtárakat vagy tartományokat, válassza a Kiválasztás lehetőséget.
A szervezet(ek) megjelennek a listában.
Válassza a Szponzorok lapot, majd adjon hozzá opcionális szponzorokat ehhez a csatlakoztatott szervezethez.
A szponzorok olyan belső vagy külső felhasználók, akik már a címtárban vannak, és kapcsolattartók a kapcsolt szervezettel való kapcsolat szempontjából. A belső szponzorok tagfelhasználók a címtárban. A külső szponzorok olyan vendégfelhasználók a csatlakoztatott szervezetből, akiket korábban meghívtak, és már szerepelnek a címtárban. A támogatók akkor használhatók jóváhagyóként, ha a kapcsolt szervezet felhasználói hozzáférést kérnek ehhez a hozzáférési csomaghoz. A vendégfelhasználók címtárba való meghívásáról további információt a Microsoft Entra B2B együttműködési felhasználók hozzáadása című témakörben talál.
Amikor a Hozzáadás/Eltávolítás lehetőséget választja, megnyílik egy panel, amelyen belső vagy külső szponzorokat választhat. A panel a címtárban lévő felhasználók és csoportok szűretlen listáját jeleníti meg.
Válassza a Véleményezés + létrehozás lapot, tekintse át a szervezeti beállításokat, majd válassza a Létrehozás lehetőséget.
Csatlakoztatott szervezet frissítése
Ha a csatlakoztatott szervezet egy másik tartományra változik, a szervezet neve megváltozik, vagy módosítani szeretné a szponzorokat, az ebben a szakaszban található utasításokat követve frissítheti a csatlakoztatott szervezetet.
Előfeltétel-szerepkör: Globális Rendszergazda istrator vagy Identitásirányítási Rendszergazda istrator
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.
Keresse meg az identitásszabályozási>jogosultságkezelést> Csatlakozás szervezeteket.
A Csatlakozás szervezetek lapon válassza ki a frissíteni kívánt kapcsolt szervezetet.
A csatlakoztatott szervezet áttekintő paneljén válassza a Szerkesztés lehetőséget a szervezet nevének, leírásának vagy állapotának módosításához.
A Címtár + tartomány panelen válassza a Címtár + tartomány frissítése lehetőséget, ha másik könyvtárra vagy tartományra szeretne váltani.
A Szponzorok panelen válassza a Belső szponzorok hozzáadása vagy Külső szponzorok hozzáadása lehetőséget a felhasználó szponzorként való hozzáadásához. A szponzor eltávolításához válassza ki a szponzort, majd a jobb oldali panelen válassza a Törlés lehetőséget.
Csatlakoztatott szervezet törlése
Ha már nincs kapcsolata külső Microsoft Entra-címtárral vagy -tartománnyal, vagy nem szeretne többé egy javasolt kapcsolt szervezettel rendelkezni, törölheti a csatlakoztatott szervezetet.
Előfeltétel-szerepkör: Globális Rendszergazda istrator vagy Identitásirányítási Rendszergazda istrator
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási Rendszergazda istratorként.
Keresse meg az identitásszabályozási>jogosultságkezelést> Csatlakozás szervezeteket.
A Csatlakozás szervezetek lapon válassza ki a törölni kívánt kapcsolt szervezetet a megnyitáshoz.
A csatlakoztatott szervezet áttekintő paneljén válassza a Törlés lehetőséget a törléshez.
Csatlakoztatott szervezet programozott kezelése
Csatlakoztatott szervezeteket is létrehozhat, listázhat, frissíthet és törölhet a Microsoft Graph használatával. A delegált EntitlementManagement.ReadWrite.All engedéllyel rendelkező alkalmazással rendelkező, megfelelő szerepkörrel rendelkező felhasználók meghívhatják az API-t a csatlakoztatottorganizációs objektumok kezeléséhez és a szponzorok beállításához.
Csatlakoztatott szervezetek kezelése a Microsoft PowerShell használatával
A Csatlakoztatott szervezeteket a PowerShellben is kezelheti a Microsoft Graph PowerShell-parancsmagok identitásszabályozási modul 1.16.0-s vagy újabb verziójának parancsmagjaival.
Ez az alábbi szkript bemutatja, hogy a v1.0 Graph profilja segítségével lekérheti az összes csatlakoztatott szervezetet. Minden visszaadott csatlakoztatott szervezet tartalmaz egy list identitySources-t a csatlakoztatott szervezet címtárainak és tartományainak.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$co = Get-MgEntitlementManagementConnectedOrganization -all
foreach ($c in $co) {
foreach ($i in $c.identitySources) {
write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
}
}
Csatlakoztatott szervezetek állapottulajdonsága
A jogosultságkezelésben a csatlakoztatott szervezeteknek két különböző állapota van, konfigurálva és javasolva:
A konfigurált csatlakoztatott szervezet egy teljesen működőképes kapcsolt szervezet, amely lehetővé teszi a szervezeten belüli felhasználók számára a csomagok elérését. Amikor egy rendszergazda létrehoz egy új csatlakoztatott szervezetet a Microsoft Entra felügyeleti központban, az alapértelmezés szerint konfigurált állapotban lesz, mivel a rendszergazda létrehozta és használni szeretné ezt a csatlakoztatott szervezetet. Továbbá, ha egy csatlakoztatott szervezet programozott módon jön létre az API-val, az alapértelmezett állapotot konfigurálni kell, kivéve, ha kifejezetten más állapotra van beállítva.
A konfigurált kapcsolt szervezetek megjelennek a csatlakoztatott szervezetek válogatóiban, és hatókörben lesznek minden olyan szabályzat esetében, amely "minden konfigurált kapcsolt szervezetet" céloz meg.
A javasolt kapcsolt szervezet egy olyan kapcsolt szervezet, amely automatikusan létrejött, de nem hozta létre vagy hagyta jóvá a szervezetet rendszergazda. Amikor egy felhasználó egy konfigurált csatlakoztatott szervezeten kívül regisztrál egy hozzáférési csomagot, az automatikusan létrehozott kapcsolt szervezetek a javasolt állapotban lesznek, mivel a bérlő egyik rendszergazdája sem állította be ezt a partnerséget.
A javasolt kapcsolt szervezetek nem tartoznak a szabályzatok "összes konfigurált kapcsolt szervezet" beállításának hatókörébe, de szabályzatokban csak adott szervezeteket megcélzó szabályzatokhoz használhatók.
Csak a konfigurált kapcsolt szervezetek felhasználói igényelhetnek olyan hozzáférési csomagokat, amelyek minden konfigurált szervezet felhasználói számára elérhetők. A javasolt kapcsolt szervezetek felhasználói olyan tapasztalattal rendelkeznek, mintha nincs csatlakoztatott szervezet az adott tartományhoz; csak az adott szervezetre vagy bármely felhasználóra hatókörrel rendelkező hozzáférési csomagokat tekinthet meg és kérhet le. Ha a bérlőben olyan szabályzatok vannak, amelyek lehetővé teszik "az összes konfigurált kapcsolt szervezet" használatát, győződjön meg arról, hogy a közösségi identitásszolgáltatók számára javasolt kapcsolt szervezeteket nem konfigurálja konfigurálásra.
Megjegyzés:
Az új funkció bevezetésekor a 2020. 09. 09. előtt létrehozott összes kapcsolt szervezet konfiguráltnak minősült. Ha rendelkezik olyan hozzáférési csomagtal, amely bármely szervezet felhasználói számára lehetővé tette a regisztrációt, tekintse át azoknak a csatlakoztatott szervezeteknek a listáját, amelyeket az adott dátum előtt hoztak létre, és győződjön meg arról, hogy egyik sem van a konfigurált módon félrescategorizálva. A közösségi identitásszolgáltatókat nem szabad konfiguráltként megjelölni, ha vannak olyan hozzárendelési szabályzatok, amelyek nem igényelnek jóváhagyást az összes konfigurált kapcsolt szervezet felhasználói számára. A rendszergazda szükség szerint frissítheti az Állapot tulajdonságot. Útmutatásért lásd : Csatlakoztatott szervezet frissítése.
Megjegyzés:
Bizonyos esetekben előfordulhat, hogy a felhasználó a személyes fiókjával kér hozzáférési csomagot egy közösségi identitásszolgáltatótól, ahol a fiók e-mail-címe ugyanazzal a tartománnyal rendelkezik, mint egy Microsoft Entra-bérlőnek megfelelő meglévő kapcsolt szervezet. Ha a felhasználót jóváhagyják, egy új, javasolt kapcsolt szervezetet eredményezne, amely az adott tartományt képviseli. Ebben az esetben győződjön meg arról, hogy a felhasználó a szervezeti fiókját használja a hozzáférés újbóli kéréséhez, és a portál azonosítja a Microsoft Entra-bérlő konfigurált csatlakoztatott szervezetéből érkező felhasználót.