Megosztás a következőn keresztül:

Gyakori szempontok a több-bérlős felhasználókezeléshez

  • Cikk

Ez a cikk egy cikksorozat harmadik része, amely útmutatást nyújt a felhasználói életciklus-kezelés konfigurálásához és biztosításához a Microsoft Entra több-bérlős környezeteiben. A sorozat alábbi cikkei további információkat tartalmaznak a leírtak szerint.

Az útmutató segít a felhasználói életciklus-kezelés konzisztens állapotának elérésében. Az életciklus-kezelés magában foglalja a felhasználók bérlők közötti kiépítését, kezelését és megszüntetését a rendelkezésre álló Azure-eszközök használatával, beleértve a Microsoft Entra B2B-együttműködést (B2B) és a bérlők közötti szinkronizálást.

A szinkronizálási követelmények egyediek a szervezet egyedi igényeihez. A szervezet igényeinek megfelelő megoldás tervezése során a jelen cikkben szereplő alábbi szempontok segítenek a legjobb lehetőségek azonosításában.

  • Bérlők közötti szinkronizálás
  • Címtárobjektum
  • Microsoft Entra feltételes hozzáférés
  • További hozzáférés-vezérlés
  • Office 365

Bérlők közötti szinkronizálás

A bérlők közötti szinkronizálás képes kezelni a több-bérlős szervezetek együttműködési és hozzáférési kihívásait. Az alábbi táblázat a szinkronizálás gyakori használati eseteit mutatja be. A bérlők közötti szinkronizálást és az ügyfélfejlesztést is használhatja a használati esetek kielégítésére, ha a szempontok több együttműködési minta szempontjából is relevánsak.

Használati eset Bérlők közötti szinkronizálás Egyéni fejlesztés
Felhasználói életciklus-kezelés Pipa ikon Pipa ikon
Fájlmegosztás és alkalmazáshozzáférés Pipa ikon Pipa ikon
Szuverén felhőkbe vagy felhőkbe való szinkronizálás támogatása Pipa ikon
Szinkronizálás vezérlése erőforrás-bérlőből Pipa ikon
Csoportobjektumok szinkronizálása Pipa ikon
Sync Manager-hivatkozások Pipa ikon Pipa ikon
Attribútumszint – A hatóság forrása Pipa ikon
Microsoft Entra visszaírása a Microsoft Windows Server Active Directoryba Pipa ikon

A címtárobjektumokkal kapcsolatos szempontok

Külső felhasználó meghívása UPN-sel és SMTP-címmel

A Microsoft Entra B2B arra számít, hogy a felhasználók UserPrincipalName (UPN) elsődleges Simple Mail Transfer Protocol (SMTP) (E-mail) címe a meghívók küldéséhez. Ha a felhasználó UPN-címe megegyezik az elsődleges SMTP-címével, a B2B a várt módon működik. Ha azonban az UPN eltér a külső felhasználó elsődleges SMTP-címétől, előfordulhat, hogy nem sikerül megoldania, amikor egy felhasználó elfogadja a meghívót, ami kihívást jelenthet, ha nem ismeri a felhasználó valódi UPN-jét. A B2B-meghívók küldésekor fel kell fedeznie és használnia kell az UPN-et.

A cikk Microsoft Exchange Online szakasza bemutatja, hogyan módosíthatja az alapértelmezett elsődleges SMTP-t külső felhasználókon. Ez a technika akkor hasznos, ha azt szeretné, hogy egy külső e-mail és értesítés a upn helyett a valódi elsődleges SMTP-címre áramoljon. Követelmény lehet, ha az UPN nem tudja átirányítani az e-maileket.

Külső felhasználó UserType-jának konvertálása

Amikor a konzol használatával manuálisan hoz létre meghívót egy külső felhasználói fiókhoz, az létrehoz egy vendégfelhasználó típusú felhasználói objektumot. Ha más technikákat használ a meghívások létrehozásához, akkor a felhasználó típusát nem külső vendégfiókra állíthatja be. Az API használatakor például konfigurálhatja, hogy a fiók külső tagfiók vagy külső vendégfiók-e.

Ha külső vendégfelhasználóról külső tag felhasználói fiókra konvertál, problémák merülhetnek fel azzal kapcsolatban, hogy az Exchange Online hogyan kezeli a B2B-fiókokat. Külső tagként meghívott fiókok nem engedélyezhetők e-mailben. Ha külső tagfiókot szeretne e-mailben engedélyezni, használja a következő legjobb módszert.

  • Meghívja a szervezetközi felhasználókat külső vendégfelhasználói fiókként.
  • A fiókok megjelenítése a GAL-ban.
  • Állítsa be a UserType-t tagra.

Ha ezt a módszert használja, a fiókok MailUser-objektumként jelennek meg az Exchange Online-ban és az Office 365-ben. Azt is vegye figyelembe, hogy van egy időzítési kihívás. Győződjön meg arról, hogy a felhasználó látható a GAL-ban. Ehhez ellenőrizze, hogy a Microsoft Entra-felhasználó ShowInAddressList tulajdonsága megfelel-e az Exchange Online PowerShell HiddenFromAddressListsEnabled tulajdonságnak (amelyek fordítottak egymástól). A jelen cikk Microsoft Exchange Online szakasza további információt nyújt a láthatóság módosításáról.

A tagfelhasználók vendégfelhasználóvá alakíthatók, ami olyan belső felhasználók számára hasznos, amelyeket vendégszintű engedélyekre szeretne korlátozni. A belső vendégfelhasználók olyan felhasználók, akik nem a szervezet alkalmazottai, de akiknek ön kezeli a felhasználóit és a hitelesítő adatait. Így elkerülheti a belső vendégfelhasználó licencelését.

A levelezési partnerobjektumok külső felhasználók vagy tagok helyett való használatával kapcsolatos problémák

Egy másik bérlő felhasználóit hagyományos GAL-szinkronizálással képviselheti. Ha a Microsoft Entra B2B együttműködés helyett GAL-szinkronizálást hajt végre, az létrehoz egy levelezési partnerobjektumot.

  • Egy levelezési kapcsolattartó objektum és egy levelezésre képes külső tag vagy vendégfelhasználó nem létezhet egyszerre ugyanabban a bérlőben ugyanazzal az e-mail-címmel.
  • Ha a meghívott külső felhasználóval azonos e-mail-címmel rendelkezik levelezési partnerobjektum, akkor a külső felhasználót hozza létre, de nincs levelezési jogosultsága.
  • Ha az e-mail-kompatibilis külső felhasználó ugyanazzal a levelezéssel rendelkezik, a levelezési partnerobjektum létrehozására tett kísérlet kivételt okoz a létrehozáskor.

Feljegyzés

A levelezési partnerek használatához Active Directory-szolgáltatásokra (AD DS) vagy Exchange Online PowerShellre van szükség. A Microsoft Graph nem biztosít API-hívást a névjegyek kezeléséhez.

Az alábbi táblázat a levelezési partnerobjektumok és a külső felhasználói állapotok eredményeit jeleníti meg.

Meglévő állapot Kiépítési forgatókönyv Érvényes eredmény
Egyik sem B2B-tag meghívása Nem e-mail-kompatibilis tagfelhasználó. Lásd a fenti fontos megjegyzést.
Egyik sem B2B-vendég meghívása Levelezést engedélyező külső felhasználó.
Létezik levelezési partnerobjektum B2B-tag meghívása Error. Proxycímek ütközése.
Létezik levelezési partnerobjektum B2B-vendég meghívása A levelezési és a nem levelezési jogosultságokkal rendelkező külső felhasználó. Lásd a fenti fontos megjegyzést.
Levelezést engedélyező külső vendégfelhasználó E-mail névjegyobjektum létrehozása Hiba
Levelezést engedélyező külső tagfelhasználó létezik Levelezési partner létrehozása Hiba

A Microsoft a Microsoft Entra B2B-együttműködés használatát javasolja (a hagyományos GAL-szinkronizálás helyett) a létrehozáshoz:

  • A GAL-ban megjelenítendő külső felhasználók.
  • Azok a külső tagfelhasználók, akik alapértelmezés szerint megjelennek a GAL-ban, de nem engedélyezve a levelezés.

A levelezési objektum használatával megjelenítheti a felhasználókat a GAL-ban. Ez a módszer más engedélyek megadása nélkül integrál egy GAL-t, mert a levelezési partnerek nem biztonsági tagok.

A cél eléréséhez kövesse ezt az ajánlott megközelítést:

  • Vendégfelhasználók meghívása.
  • Felfedi őket a GAL-ból.
  • Tiltsa le őket a bejelentkezés letiltásával.

A levelezési partnerobjektumok nem alakíthatók át felhasználói objektummá. Ezért a levelezési objektumhoz társított tulajdonságok nem továbbíthatók (például csoporttagságok és egyéb erőforrás-hozzáférés). A következő kihívásokkal kell szembesülnie, ha e-mailes névjegyobjektumot használ egy felhasználó ábrázolására.

  • Office 365-csoportok. Az Office 365-csoportok támogatási szabályzatai szabályozzák, hogy milyen típusú felhasználók lehetnek csoportok tagjai, és hogyan kezelhetik a csoportokkal társított tartalmakat. Előfordulhat például, hogy egy csoport nem engedélyezi a vendégfelhasználók csatlakozását. Ezek a szabályzatok nem szabályozhatják a levelezési partnerobjektumokat.
  • Microsoft Entra Önkiszolgáló csoportkezelés (SSGM). A levelezési partnerobjektumok nem jogosultak csoporttagok lenni az SSGM funkcióval. Előfordulhat, hogy több eszközre van szüksége a felhasználói objektumok helyett partnerként képviselt címzettekkel rendelkező csoportok kezeléséhez.
  • Microsoft Entra ID-kezelés, Access-vélemények. A hozzáférési felülvizsgálatok funkcióval áttekintheti és tanúsíthatja az Office 365-csoport tagságát. A hozzáférési felülvizsgálatok felhasználói objektumokon alapulnak. A levelezési partnerobjektumok által képviselt tagok nem férnek hozzá a hozzáférési felülvizsgálatokhoz.
  • Microsoft Entra ID-kezelés, jogosultságkezelés (EM). Ha az EM használatával engedélyezi a külső felhasználók önkiszolgáló hozzáférési kéréseit a vállalat EM portálján, az létrehoz egy felhasználói objektumot a kérés időpontjához. Nem támogatja a levelezési névjegyobjektumokat.

A Microsoft Entra feltételes hozzáférési szempontjai

A felhasználó, eszköz vagy hálózat állapota a felhasználó otthoni bérlőjében nem továbbítja az erőforrás-bérlőnek. Ezért előfordulhat, hogy egy külső felhasználó nem felel meg az alábbi vezérlőket használó feltételes hozzáférési szabályzatoknak.

Ahol engedélyezett, ezt a viselkedést felülbírálhatja a bérlők közötti hozzáférési beállításokkal (CTAS), amelyek tiszteletben tartják a többtényezős hitelesítést és az otthoni bérlő eszközmegfelelőségét.

  • Többtényezős hitelesítést igényel. A CTAS konfigurálása nélkül a külső felhasználónak regisztrálnia/válaszolnia kell a többtényezős hitelesítésre az erőforrás-bérlőben (még akkor is, ha a többtényezős hitelesítés teljesült az otthoni bérlőben), ami többtényezős hitelesítési kihívást eredményez. Ha vissza kell állítaniuk a többtényezős hitelesítési igazolásokat, előfordulhat, hogy nem tudnak a bérlők többtényezős hitelesítési igazolási regisztrációiról. A tudatosság hiánya miatt előfordulhat, hogy a felhasználónak kapcsolatba kell lépnie egy rendszergazdával az otthoni bérlőben, az erőforrás-bérlőben vagy mindkettőben.
  • Eszköz megfelelőként való megjelölésének megkövetelése. A CTAS konfigurálása nélkül az eszközidentitás nincs regisztrálva az erőforrás-bérlőben, így a külső felhasználó nem fér hozzá a vezérlőt igénylő erőforrásokhoz.
  • Microsoft Entra hibrid csatlakozású eszköz megkövetelése. A CTAS konfigurálása nélkül az eszközidentitás nincs regisztrálva az erőforrás-bérlőben (vagy helyi Active Directory erőforrás-bérlőhöz csatlakoztatva), így a külső felhasználó nem férhet hozzá az ehhez a vezérlőhöz szükséges erőforrásokhoz.
  • Jóváhagyott ügyfélalkalmazás vagy alkalmazásvédelmi szabályzat megkövetelése. A CTAS konfigurálása nélkül a külső felhasználók nem tudják alkalmazni az erőforrás-bérlői Intune Mobile Application Management (MAM) szabályzatot, mert az eszközregisztrációt is igényli. Az erőforrás-bérlő feltételes hozzáférési szabályzata ezzel a vezérlővel nem teszi lehetővé az otthoni bérlői MAM-védelem számára, hogy megfeleljen a szabályzatnak. Külső felhasználók kizárása minden MAM-alapú feltételes hozzáférési szabályzatból.

Emellett, bár használhatja a következő feltételes hozzáférési feltételeket, vegye figyelembe a lehetséges következményeket.

  • Bejelentkezési kockázat és felhasználói kockázat. Az otthoni bérlő felhasználói viselkedése részben meghatározza a bejelentkezési kockázatot és a felhasználói kockázatot. Az otthoni bérlő tárolja az adatokat és a kockázati pontszámot. Ha az erőforrás-bérlői szabályzatok blokkolnak egy külső felhasználót, előfordulhat, hogy egy erőforrás-bérlő rendszergazdája nem tudja engedélyezni a hozzáférést. Az Identity Protection és a B2B-felhasználók ismertetik, hogyan észleli az Identity Protection a Microsoft Entra-felhasználók feltört hitelesítő adatait.
  • Helyek. Az erőforrás-bérlő nevesített helydefiníciói határozzák meg a szabályzat hatókörét. A szabályzat hatóköre nem értékeli ki az otthoni bérlőben felügyelt megbízható helyeket. Ha a szervezet megbízható helyeket szeretne megosztani a bérlők között, határozza meg az egyes bérlők azon helyeit, ahol ön határozza meg az erőforrásokat és a feltételes hozzáférési szabályzatokat.

Több-bérlős környezet biztonságossá tétele

Tekintse át a biztonsági ellenőrzőlistát és az ajánlott eljárásokat a bérlő biztonságossá tételéhez. Győződjön meg arról, hogy ezeket az ajánlott eljárásokat betartja, és áttekinti azokat minden olyan bérlővel, akivel szorosan együttműködik.

Feltételes hozzáférés

A hozzáférés-vezérlés konfigurálásának szempontjai a következők.

  • Hozzáférés-vezérlési szabályzatok definiálása az erőforrásokhoz való hozzáférés szabályozásához.
  • Feltételes hozzáférési szabályzatok tervezése külső felhasználók szem előtt tartásával.
  • Szabályzatok létrehozása kifejezetten külső felhasználók számára.
  • Dedikált feltételes hozzáférési szabályzatok létrehozása külső fiókokhoz.

Több-bérlős környezet monitorozása

  • Figyelheti a bérlők közötti hozzáférési szabályzatok változásait a naplózási naplók felhasználói felületének, API-jának vagy Azure Monitor-integrációjának használatával (proaktív riasztások esetén). A naplózási események a "CrossTenantAccessSettings" és a "CrossTenantIdentitySyncSettings" kategóriákat használják. A naplózási események figyelésével ezekben a kategóriákban azonosíthatja a bérlőn belüli hozzáférési szabályzat módosításait, és végrehajthatja a műveletet. Ha riasztásokat hoz létre az Azure Monitorban, létrehozhat egy lekérdezést, például a következőt, amely azonosítja a bérlők közötti hozzáférési szabályzat módosításait.
AuditLogs
| where Category contains "CrossTenant"
  • Az alkalmazáshozzáférés monitorozása a bérlőn belül a bérlők közötti hozzáférési tevékenység irányítópultján. Így láthatja, hogy ki fér hozzá a bérlő erőforrásaihoz, és honnan származnak ezek a felhasználók.

Dinamikus csoportok

Ha a szervezet az összes felhasználó dinamikus csoportfeltételét használja a meglévő feltételes hozzáférési szabályzatban, ez a szabályzat a külső felhasználókra is hatással van, mert azok az összes felhasználó hatókörébe tartoznak.

Felhasználói hozzárendelés megkövetelése alkalmazásokhoz

Ha egy alkalmazáshoz a Felhasználó hozzárendelése szükséges? tulajdonság értéke Nem, a külső felhasználók hozzáférhetnek az alkalmazáshoz. Az alkalmazásgazdáknak tisztában kell lenniük a hozzáférés-vezérlés hatásaival, különösen akkor, ha az alkalmazás bizalmas információkat tartalmaz. A Microsoft Entra-alkalmazás microsoft entra-bérlői felhasználókra való korlátozásával megtudhatja, hogy a Microsoft Entra-bérlők regisztrált alkalmazásai alapértelmezés szerint hogyan érhetők el a sikeres hitelesítést végző bérlő összes felhasználója számára.

Privileged Identity Management

Az állandó rendszergazdai hozzáférés minimalizálása a Privileged Identity Management engedélyezésével.

Korlátozott felügyeleti egységek

Ha biztonsági csoportokkal szabályozza, hogy ki van hatókörben a bérlők közötti szinkronizáláshoz, korlátoznia kell, hogy ki módosíthatja a biztonsági csoportot. Csökkentse a bérlők közötti szinkronizálási feladathoz hozzárendelt biztonsági csoportok tulajdonosainak számát, és foglalja bele a csoportokat egy korlátozott felügyeleti egységbe. Ez korlátozza azon személyek számát, akik csoporttagokat adhatnak hozzá vagy távolíthatnak el, és fiókokat építhetnek ki a bérlők között.

Egyéb hozzáférés-vezérlési szempontok

Feltételek és kikötések

A Microsoft Entra használati feltételei egy egyszerű módszert biztosítanak, amellyel a szervezetek információkat jeleníthetnek meg a végfelhasználók számára. A használati feltételek használatával megkövetelheti, hogy a külső felhasználók jóváhagyják a használati feltételeket az erőforrások elérése előtt.

A Microsoft Entra ID P1 vagy P2 szolgáltatással rendelkező vendégfelhasználók licencelési szempontjai

Microsoft Entra Külső ID díjszabás havi aktív felhasználókon (MAU) alapul. Az aktív felhasználók száma az egy naptári hónapon belüli hitelesítési tevékenységgel rendelkező egyedi felhasználók száma. A Microsoft Entra Külső ID számlázási modellje azt ismerteti, hogy a díjszabás hogyan alapul a havi aktív felhasználókon (MAU), amely a naptári hónapon belüli hitelesítési tevékenységgel rendelkező egyedi felhasználók száma.

Az Office 365 szempontjai

Az alábbi információk az Office 365-öt ismertetik a jelen dokumentum forgatókönyveinek kontextusában. A Microsoft 365 intertenant collaboration 365 intertenant collaboration(365 intertenant collaboration) részletes információi olyan lehetőségeket ismertetik, amelyek közé tartozik a fájlok és beszélgetések központi helyének használata, a naptárak megosztása, a csevegések használata, a hang- és videohívások kommunikációja, valamint az erőforrásokhoz és alkalmazásokhoz való hozzáférés biztosítása.

Microsoft Exchange Online

Az Exchange Online korlátozza a külső felhasználók bizonyos funkcióit. A korlátokat a külső vendégfelhasználók helyett külső tagfelhasználók létrehozásával csökkentheti. A külső felhasználók támogatása a következő korlátozásokkal rendelkezik.

  • Exchange Online-licencet rendelhet egy külső felhasználóhoz. Az Exchange Online-hoz azonban nem adhat ki jogkivonatot. Az eredmény az, hogy nem férnek hozzá az erőforráshoz.
    • A külső felhasználók nem használhatnak megosztott vagy delegált Exchange Online-postaládákat az erőforrás-bérlőben.
    • Külső felhasználót hozzárendelhet egy megosztott postaládához, de nem fér hozzá.
  • A külső felhasználókat fel kell tüntetnie, hogy belefoglalja őket a GAL-ba. Alapértelmezés szerint rejtettek.
    • A rejtett külső felhasználók meghíváskor jönnek létre. A létrehozás független attól, hogy a felhasználó beváltotta-e a meghívást. Ha tehát az összes külső felhasználó nincs felfedve, a lista olyan külső felhasználók felhasználói objektumait tartalmazza, akik nem váltottak be meghívót. A forgatókönyv alapján előfordulhat, hogy nem szeretné, hogy az objektumok szerepeljenek a listán.
    • Előfordulhat, hogy a külső felhasználók nem lesznek felfedve az Exchange Online PowerShell használatával. A Set-MailUser PowerShell-parancsmag futtatásával a HiddenFromAddressListsEnabled tulajdonság értéke $false.

Példa:

Set-MailUser [ExternalUserUPN] -HiddenFromAddressListsEnabled:\$false\

Ahol az ExternalUserUPN a számított UserPrincipalName.

Példa:

Set-MailUser externaluser1_contoso.com#EXT#@fabricam.onmicrosoft.com\ -HiddenFromAddressListsEnabled:\$false

Előfordulhat, hogy a külső felhasználók nem lesznek felfedve a Microsoft 365 Felügyeleti központ.

Ahogy fentebb látható, a Set-MailUser PowerShell-parancsmagot használhatja a levélspecifikus tulajdonságokhoz. A Set-User PowerShell parancsmaggal módosítható felhasználói tulajdonságok. A legtöbb tulajdonságot az Azure AD Graph API-kkal módosíthatja.

A Set-MailUser egyik legkedvezőbb funkciója az EmailAddresses tulajdonság kezelése. Ez a többértékű attribútum több proxycímet is tartalmazhat a külső felhasználó számára (például SMTP, X500, Munkamenet-kezdeményezési protokoll (SIP)). Alapértelmezés szerint a külső felhasználó elsődleges SMTP-címe a UserPrincipalName (UPN) értékével korrelál. Ha módosítani szeretné az elsődleges SMTP-t, vagy SMTP-címeket szeretne hozzáadni, beállíthatja ezt a tulajdonságot. Az Exchange Felügyeleti központ nem használható; Az Exchange Online PowerShellt kell használnia. Ha e-mail-címeket ad hozzá vagy távolít el egy postaládához az Exchange Online-ban , különböző módokon módosíthatja a többértékű tulajdonságot, például a EmailAddresses-t.

Microsoft SharePoint a Microsoft 365-ben

A SharePoint a Microsoft 365-ben saját szolgáltatásspecifikus engedélyekkel rendelkezik attól függően, hogy a felhasználó (belső vagy külső) tagja vagy vendége a Microsoft Entra-bérlőnek. Az Office 365 külső megosztása és a Microsoft Entra B2B együttműködés azt ismerteti, hogyan engedélyezheti a SharePoint és a OneDrive integrációját fájlok, mappák, listaelemek, dokumentumtárak és webhelyek megosztásához a szervezeten kívüli személyekkel, miközben az Azure B2B-t használja a hitelesítéshez és a felügyelethez.

Miután engedélyezte a külső megosztást a SharePointban a Microsoft 365-ben, a Microsoft 365 személyválasztóban alapértelmezés szerint ki van kapcsolva a vendégfelhasználók keresése a SharePointban. Ez a beállítás megtiltja, hogy a vendégfelhasználók felderíthetők legyenek, ha elrejtik őket az Exchange Online GAL-ból. Engedélyezheti, hogy a vendégfelhasználók két módon legyenek láthatóak (nem kölcsönösen kizárva):

  • Az alábbi módokon engedélyezheti a vendégfelhasználók keresését:
  • Az Exchange Online GAL szolgáltatásban látható vendégfelhasználók szintén láthatók a Microsoft 365-beli Személyekválasztó SharePointban. A fiókok a ShowPeoplePickerSuggestionsForGuestUsers beállításától függetlenül láthatók.

Microsoft Teams

A Microsoft Teams olyan funkciókkal rendelkezik, amelyekkel korlátozható a hozzáférés, és a felhasználó típusa alapján. A felhasználói típus módosítása hatással lehet a tartalomhozzáférésre és az elérhető funkciókra. A Microsoft Teams megköveteli a felhasználóktól, hogy a Teams-ügyfél bérlőváltási mechanizmusával változtassák meg a környezetüket, amikor az otthoni bérlőn kívül dolgoznak a Teamsben.

Előfordulhat, hogy a Microsoft Teams bérlőváltási mechanizmusa megköveteli, hogy a felhasználók manuálisan váltsanak a Teams-ügyfél környezetére, amikor az otthoni bérlőn kívül dolgoznak a Teamsben.

Engedélyezheti, hogy a Teams-felhasználók egy másik teljes külső tartományból keressenek, hívjanak, csevegjenek és állítsanak be értekezleteket a felhasználókkal a Teams Összevonással. Külső értekezletek és csevegés kezelése másokkal és szervezetekkel a Microsoft-identitások használatával azt ismerteti, hogyan engedélyezheti a szervezet felhasználóinak a csevegést és a szervezeten kívüli személyekkel való találkozást, akik identitásszolgáltatóként használják a Microsoftot.

A Teams vendégfelhasználóinak licencelési szempontjai

Ha Az Azure B2B-t Office 365-alapú számítási feladatokkal használja, a legfontosabb szempontok közé tartoznak azok a példányok, amelyekben a vendégfelhasználók (belső vagy külső) nem rendelkeznek ugyanazzal a felhasználói felülettel, mint a tagfelhasználók.

  • Microsoft-csoportok. Ha vendégeket vesz fel az Office 365-csoportokba, az azt ismerteti, hogy a Microsoft 365-csoportok vendéghozzáférése hogyan teszi lehetővé, hogy Ön és csapata a szervezeten kívüli személyekkel együttműködve hozzáférést biztosítson nekik a csoportbeszélgetésekhez, fájlokhoz, naptármeghívókhoz és a csoportjegyzetfüzethez.
  • Microsoft Teams. A Teams csapattulajdonosi, tag- és vendégfunkciói a Microsoft Teams vendégfiók-élményét ismertetik. Külső tagfelhasználók használatával teljes hűséget engedélyezhet a Teamsben.
    • A kereskedelmi felhőben több bérlő esetén a saját bérlőjükben licencelt felhasználók hozzáférhetnek egy másik bérlő erőforrásaihoz ugyanazon a jogi entitáson belül. A külső tagok beállításával további licencdíjak nélkül adhat hozzáférést. Ez a beállítás a SharePointra, a OneDrive Vállalati verzió, a Teamsre és a Csoportokra vonatkozik.
    • Más Microsoft-felhők több bérlője és a különböző felhőkben lévő több bérlő esetén a B2B-tagok licencellenőrzései még nem érhetők el. A B2B-tag Teamsben való használatához minden B2B-taghoz további licenc szükséges. Ez más számítási feladatokat is érinthet, például a Power BI-t.
    • Az ugyanazon jogi személyhez nem tartozó bérlők B2B-taghasználatára további licenckövetelmények vonatkoznak.
  • Identitásszabályozási funkciók. A jogosultságkezelési és hozzáférési felülvizsgálatok más licenceket igényelhetnek a külső felhasználók számára.
  • Egyéb termékek. Előfordulhat, hogy az olyan termékek, mint a Dynamics ügyfélkapcsolat-kezelés (CRM) licencelést igényelnek minden olyan bérlőben, amelyben egy felhasználó képviselteti magát.

Következő lépések

  • A több-bérlős felhasználókezelés bemutatása a cikksorozat első része, amely útmutatást nyújt a felhasználói életciklus-kezelés konfigurálásához és biztosításához a Több-bérlős Microsoft Entra-környezetekben.
  • A több-bérlős felhasználókezelési forgatókönyvek három olyan forgatókönyvet írnak le, amelyekhez több-bérlős felhasználókezelési funkciókat használhat: végfelhasználó által kezdeményezett, szkriptelt és automatizált.
  • Gyakori megoldások a több-bérlős felhasználókezeléshez , ha az önálló bérlő nem működik a forgatókönyvben. Ez a cikk útmutatást nyújt a következő kihívásokhoz: automatikus felhasználói életciklus-kezelés és erőforrás-kiosztás a bérlők között, helyszíni alkalmazások megosztása bérlők között.
  • Az US Defense Ipari Bázis microsoftos együttműködési keretrendszere az identitásra vonatkozó referenciaarchitektúrákat írja le a több-bérlős szervezetek (MTO) számára, és különösen azokat, amelyek a Microsoft 365 US Governmentvel (GCC High) és az Azure Governmentvel üzemelő egyesült államokbeli szuverén felhőben üzemelnek. Emellett a szigorúan szabályozott környezetekben való külső együttműködésre is kiterjed, beleértve azokat a szervezeteket is, amelyek kereskedelmi vagy amerikai szuverén felhőben találhatók.