Azure-szerepkörök hozzárendelése külső felhasználókhoz az Azure Portal használatával

  • Cikk

Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) jobb biztonsági felügyeletet tesz lehetővé a nagy szervezetek, valamint a külső közreműködőkkel, szállítókkal vagy szabadúszókkal dolgozó kis- és középvállalatok számára, amelyeknek hozzáférésre van szükségük a környezet adott erőforrásaihoz, de nem feltétlenül a teljes infrastruktúrához vagy a számlázással kapcsolatos hatókörökhöz. A Microsoft Entra B2B képességeivel együttműködhet külső felhasználókkal, és az Azure RBAC használatával csak a külső felhasználók számára szükséges engedélyeket adhat a környezetében.

Előfeltételek

Az Azure-szerepkörök hozzárendeléséhez vagy a szerepkör-hozzárendelések eltávolításához a következőkkel kell rendelkeznie:

Mikor hív meg külső felhasználókat?

Íme néhány példaforgatókönyv, amikor meghívhat felhasználókat a szervezetbe, és engedélyeket adhat meg:

  • Engedélyezze egy olyan külső, önálló vállalkozónak, aki csak e-mail-fiókkal rendelkezik, hogy hozzáférjen az Azure-erőforrásokhoz egy projekthez.
  • Lehetővé teszi, hogy egy külső partner kezeljen bizonyos erőforrásokat vagy egy teljes előfizetést.
  • Lehetővé teszi, hogy a szervezeten belüli támogatási mérnökök (például a Microsoft ügyfélszolgálata) ideiglenesen hozzáférjenek az Azure-erőforráshoz a problémák elhárításához.

Engedélykülönbségek a tagfelhasználók és a vendégfelhasználók között

A tagtípusú (tagfelhasználók) címtárak felhasználói alapértelmezés szerint eltérő engedélyekkel rendelkeznek, mint a B2B együttműködési vendégként (vendégfelhasználókként) egy másik címtárból meghívott felhasználók. A tagfelhasználók például szinte az összes címtárinformációt elolvashatják, míg a vendégfelhasználók korlátozott címtárengedélyekkel rendelkeznek. További információ a tagfelhasználókról és a vendégfelhasználókról: Mik az alapértelmezett felhasználói engedélyek a Microsoft Entra-azonosítóban?.

Külső felhasználó meghívása a címtárba

Az alábbi lépéseket követve meghívhat egy külső felhasználót a címtárába a Microsoft Entra ID azonosítójában.

  1. Jelentkezzen be az Azure Portalra.

  2. Győződjön meg arról, hogy a szervezet külső együttműködési beállításai úgy vannak konfigurálva, hogy külső felhasználókat is meghívhat. További információ: Külső együttműködési beállítások konfigurálása.

  3. Válassza a Microsoft Entra id users (Microsoft Entra id users) lehetőséget>.

  4. Válassza az Új felhasználó>meghívása külső felhasználó meghívása lehetőséget.

    Screenshot of Invite external user page in Azure portal.

  5. Kövesse a lépéseket egy külső felhasználó meghívásához. További információ: Microsoft Entra B2B együttműködési felhasználók hozzáadása az Azure Portalon.

Miután meghívott egy külső felhasználót a címtárba, elküldheti a külső felhasználónak a megosztott alkalmazásra mutató közvetlen hivatkozást, vagy a külső felhasználó kiválaszthatja a meghívó e-mailben található meghívó hivatkozását.

Screenshot of external user invite email.

Ahhoz, hogy a külső felhasználó hozzáférhessen a címtárhoz, be kell fejeznie a meghívási folyamatot.

Screenshot of external user invite review permissions.

További információ a meghívási folyamatról: Microsoft Entra B2B együttműködési meghívó beváltása.

Szerepkör hozzárendelése külső felhasználóhoz

Az Azure RBAC-ben a hozzáférés biztosításához hozzárendel egy szerepkört. Ha szerepkört szeretne hozzárendelni egy külső felhasználóhoz, ugyanazokat a lépéseket kell követnie, mint egy tagfelhasználó, csoport, szolgáltatásnév vagy felügyelt identitás esetében. Kövesse az alábbi lépéseket, és rendeljen hozzá szerepkört egy külső felhasználóhoz különböző hatókörökben.

  1. Jelentkezzen be az Azure Portalra.

  2. Az oldal tetején található Keresés mezőben keressen rá arra a hatókörre, amelyhez hozzáférést szeretne adni. Kereshet például felügyeleti csoportokra, előfizetésekre, erőforráscsoportokra vagy egy adott erőforrásra is.

  3. Válassza ki a hatókörre vonatkozó adott erőforrást.

  4. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

    Az alábbiakban egy példát láthat egy erőforráscsoport Hozzáférés-vezérlés (IAM) oldalára.

    Screenshot of Access control (IAM) page for a resource group.

  5. Válassza a Szerepkör-hozzárendelések lapot a hatókörben lévő szerepkör-hozzárendeléseinek megtekintéséhez.

  6. Válassza a Hozzáadás>Szerepkör-hozzárendelés hozzáadása lehetőséget.

    Ha nem rendelkezik a szerepkörök hozzárendeléséhez szükséges engedéllyel, a Szerepkör-hozzárendelés hozzáadása lehetőség nem érhető el.

    Screenshot of Add > Add role assignment menu.

    Megnyílik a Szerepkör-hozzárendelés hozzáadása lap.

  7. A Szerepkör lapon válasszon ki egy szerepkört, például a virtuálisgép-közreműködőt.

    Screenshot of Add role assignment page with Roles tab.

  8. A Tagok lapon válassza a Felhasználó, csoport vagy szolgáltatásnév lehetőséget.

    Screenshot of Add role assignment page with Members tab.

  9. Válassza a Tagok kijelölése lehetőséget.

  10. Keresse meg és válassza ki a külső felhasználót. Ha nem látja a felhasználót a listában, beírhatja a Kijelölés mezőbe a megjelenítendő név vagy e-mail-cím kereséséhez.

    A Kiválasztás mezőbe beírva kereshet a megjelenítendő neveket és e-mail-címeket tartalmazó címtárban.

    Screenshot of Select members pane.

  11. Válassza a Kiválasztás lehetőséget a külső felhasználó tagok listájához való hozzáadásához.

  12. A Véleményezés + hozzárendelés lapon válassza a Véleményezés + hozzárendelés lehetőséget.

    Néhány pillanat múlva a külső felhasználó hozzárendeli a szerepkört a kiválasztott hatókörhöz.

    Screenshot of role assignment for Virtual Machine Contributor.

Szerepkör hozzárendelése a címtárban még nem szereplő külső felhasználóhoz

Ha szerepkört szeretne hozzárendelni egy külső felhasználóhoz, ugyanazokat a lépéseket kell követnie, mint egy tagfelhasználó, csoport, szolgáltatásnév vagy felügyelt identitás esetében.

Ha a külső felhasználó még nem szerepel a címtárban, meghívhatja a felhasználót közvetlenül a Tagok kiválasztása panelről.

  1. Jelentkezzen be az Azure Portalra.

  2. Az oldal tetején található Keresés mezőben keressen rá arra a hatókörre, amelyhez hozzáférést szeretne adni. Kereshet például felügyeleti csoportokra, előfizetésekre, erőforráscsoportokra vagy egy adott erőforrásra is.

  3. Válassza ki a hatókörre vonatkozó adott erőforrást.

  4. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

  5. Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget>.

    Ha nem rendelkezik a szerepkörök hozzárendeléséhez szükséges engedéllyel, a Szerepkör-hozzárendelés hozzáadása lehetőség nem érhető el.

    Screenshot of Add > Add role assignment menu.

    Megnyílik a Szerepkör-hozzárendelés hozzáadása lap.

  6. A Szerepkör lapon válasszon ki egy szerepkört, például a virtuálisgép-közreműködőt.

  7. A Tagok lapon válassza a Felhasználó, csoport vagy szolgáltatásnév lehetőséget.

    Screenshot of Add role assignment page with Members tab.

  8. Válassza a Tagok kijelölése lehetőséget.

  9. A Kiválasztás mezőbe írja be a meghívni kívánt személy e-mail-címét, és jelölje ki azt.

    Screenshot of invite external user in Select members pane.

  10. Válassza a Kiválasztás lehetőséget a külső felhasználó tagok listájához való hozzáadásához.

  11. A Véleményezés + hozzárendelés lapon válassza a Véleményezés + hozzárendelés lehetőséget a külső felhasználó címtárhoz való hozzáadásához, a szerepkör hozzárendeléséhez és a meghívás elküldéséhez.

    Néhány pillanat múlva megjelenik egy értesítés a szerepkör-hozzárendelésről és a meghívással kapcsolatos információkról.

    Screenshot of role assignment and invited user notification.

  12. A külső felhasználó manuális meghívásához kattintson a jobb gombbal, és másolja ki a meghívó hivatkozását az értesítésben. Ne válassza a meghívó hivatkozását, mert az elindítja a meghívási folyamatot.

    A meghívó hivatkozásának formátuma a következő lesz:

    https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...

  13. Küldje el a meghívó hivatkozását a külső felhasználónak a meghívási folyamat befejezéséhez.

    További információ a meghívási folyamatról: Microsoft Entra B2B együttműködési meghívó beváltása.

Külső felhasználó eltávolítása a címtárból

Mielőtt eltávolít egy külső felhasználót egy címtárból, először távolítsa el a külső felhasználó szerepkör-hozzárendeléseit. Az alábbi lépéseket követve eltávolíthat egy külső felhasználót egy címtárból.

  1. Nyissa meg a hozzáférés-vezérlést (IAM) egy olyan hatókörben, például felügyeleti csoportnál, előfizetésnél, erőforráscsoportnál vagy erőforrásnál, ahol a külső felhasználó szerepkör-hozzárendeléssel rendelkezik.

  2. Válassza a Szerepkör-hozzárendelések lapot az összes szerepkör-hozzárendelés megtekintéséhez.

  3. A szerepkör-hozzárendelések listájában adjon meg egy pipát a külső felhasználó mellett az eltávolítani kívánt szerepkör-hozzárendeléssel.

    Screenshot of selected role assignment to remove.

  4. Válassza az Eltávolítás lehetőséget.

    Screenshot of Remove role assignment message.

  5. A megjelenő szerepkör-hozzárendelés eltávolítása üzenetben válassza az Igen lehetőséget.

  6. Válassza a Klasszikus adminisztrátorok lapot.

  7. Ha a külső felhasználó társ-Rendszergazda istrator-hozzárendeléssel rendelkezik, jelöljön be egy pipát a külső felhasználó mellett, és válassza az Eltávolítás lehetőséget.

  8. A bal oldali navigációs sávon válassza a Microsoft Entra ID>Users lehetőséget.

  9. Jelölje ki az eltávolítani kívánt külső felhasználót.

  10. Válassza a Törlés lehetőséget.

    Screenshot of deleting an external user.

  11. A megjelenő törlési üzenetben válassza az Igen lehetőséget.

Hibaelhárítás

A külső felhasználó nem tud tallózni a címtárban

A külső felhasználók korlátozott címtárengedélyekkel rendelkeznek. A külső felhasználók például nem böngészhetnek a címtárban, és nem kereshetnek csoportokat vagy alkalmazásokat. További információ: Mik az alapértelmezett felhasználói engedélyek a Microsoft Entra-azonosítóban?.

Screenshot of external user can't browse users in a directory.

Ha egy külső felhasználónak további jogosultságokra van szüksége a címtárban, hozzárendelhet egy Microsoft Entra-szerepkört a külső felhasználóhoz. Ha valóban azt szeretné, hogy egy külső felhasználó teljes olvasási hozzáféréssel rendelkezzen a címtárához, hozzáadhatja a külső felhasználót a Microsoft Entra ID címtárolvasói szerepköréhez. További információ: Microsoft Entra B2B együttműködési felhasználók hozzáadása az Azure Portalon.

Screenshot of assigning Directory Readers role.

A külső felhasználó nem tud böngészni a felhasználók, csoportok vagy szolgáltatásnevek között a szerepkörök hozzárendeléséhez

A külső felhasználók korlátozott címtárengedélyekkel rendelkeznek. Még ha egy külső felhasználó tulajdonos is egy hatókörben, akkor sem tud böngészni a felhasználók, csoportok vagy szolgáltatásnevek listájában, ha egy szerepkört próbál hozzárendelni mások hozzáférésének biztosításához.

Screenshot of external user can't browse security principals to assign roles.

Ha a külső felhasználó ismeri valaki pontos bejelentkezési nevét a címtárban, hozzáférést biztosíthat. Ha valóban azt szeretné, hogy egy külső felhasználó teljes olvasási hozzáféréssel rendelkezzen a címtárához, hozzáadhatja a külső felhasználót a Microsoft Entra ID címtárolvasói szerepköréhez. További információ: Microsoft Entra B2B együttműködési felhasználók hozzáadása az Azure Portalon.

A külső felhasználó nem regisztrálhat alkalmazásokat, és nem hozhat létre egyszerű szolgáltatásneveket

A külső felhasználók korlátozott címtárengedélyekkel rendelkeznek. Ha egy külső felhasználónak képesnek kell lennie alkalmazások regisztrálására vagy szolgáltatásnevek létrehozására, hozzáadhatja a külső felhasználót az alkalmazásfejlesztői szerepkörhöz a Microsoft Entra ID-ban. További információ: Microsoft Entra B2B együttműködési felhasználók hozzáadása az Azure Portalon.

Screenshot of external user can't register applications.

A külső felhasználó nem látja az új könyvtárat

Ha egy külső felhasználó hozzáférést kapott egy címtárhoz, de nem látja az új könyvtárat az Azure Portalon, amikor megpróbál váltani a Címtárak lapon, győződjön meg arról, hogy a külső felhasználó befejezte a meghívási folyamatot. További információ a meghívási folyamatról: Microsoft Entra B2B együttműködési meghívó beváltása.

A külső felhasználó nem látja az erőforrásokat

Ha egy külső felhasználó hozzáférést kapott egy címtárhoz, de nem látja azokat az erőforrásokat, amelyekhez hozzáférést kaptak az Azure Portalon, győződjön meg arról, hogy a külső felhasználó a megfelelő könyvtárat választotta ki. Előfordulhat, hogy egy külső felhasználó több címtárhoz is hozzáfér. Címtárak váltásához a bal felső sarokban válassza a Gépház> Könyvtárak lehetőséget, majd válassza ki a megfelelő könyvtárat.

Screenshot of Portal setting Directories section in Azure portal.

Következő lépések