Megosztás a következőn keresztül:


Külső felhasználók hozzáférésének szabályozása a jogosultságkezelésben

A jogosultságkezelés a Microsoft Entra vállalatközi (B2B) használatával osztja meg a hozzáférést, hogy a szervezeten kívüli személyekkel együttműködhessen. A Microsoft Entra B2B-vel a külső felhasználók a saját címtárukban hitelesítik magukat, de a címtárban van egy reprezentációjuk. A címtárban lévő reprezentáció lehetővé teszi a felhasználó számára az erőforrásokhoz való hozzáférést.

Ez a cikk a külső felhasználók hozzáférésének szabályozásához megadható beállításokat ismerteti.

Hogyan segíthet a jogosultságkezelés?

A Microsoft Entra B2B meghívási felületének használatakor már ismernie kell azon külső vendégfelhasználók e-mail-címét, akiket be szeretne vinni az erőforrás-címtárba, és velük szeretne dolgozni. Az egyes felhasználók közvetlen meghívása nagyszerűen működik, ha egy kisebb vagy rövid távú projekten dolgozik, és már ismeri az összes résztvevőt, de ezt a folyamatot nehezebb kezelni, ha sok felhasználóval szeretne dolgozni, vagy ha a résztvevők idővel változnak. Előfordulhat például, hogy egy másik szervezettel dolgozik, és van egy kapcsolattartási pontja a szervezettel, de idővel a szervezet több felhasználójának is hozzáférésre lesz szüksége.

A jogosultságkezeléssel olyan szabályzatot határozhat meg, amely lehetővé teszi, hogy az Ön által megadott szervezetek felhasználói önkiszolgáló hozzáférési csomagot igényelhessenek. Ez a szabályzat tartalmazza, hogy szükséges-e a jóváhagyás, szükséges-e a hozzáférési felülvizsgálat, és hogy a hozzáférés lejárati dátuma van-e. A legtöbb esetben jóváhagyást szeretne kérni annak érdekében, hogy megfelelő felügyelete legyen annak érdekében, hogy mely felhasználók kerülnek be a címtárba. Ha jóváhagyásra van szükség, akkor a nagyobb külső szervezeti partnerek esetében érdemes lehet meghívni egy vagy több felhasználót a külső szervezetből a címtárba, szponzorként jelölni őket, és konfigurálni, hogy a szponzorok jóváhagyók legyenek – mivel valószínűleg tudják, hogy a szervezetükből származó külső felhasználóknak milyen hozzáférésre van szükségük. Miután konfigurálta a hozzáférési csomagot, szerezze be a hozzáférési csomag kérési hivatkozását, hogy elküldhesse ezt a hivatkozást a külső szervezet kapcsolattartójának (szponzorának). Ez a partner megosztható a külső szervezet más felhasználóival, és ezen a hivatkozáson keresztül kérhetik le a hozzáférési csomagot. A szervezet azon felhasználói is használhatják ezt a hivatkozást, akiket már meghívtak a címtárba.

A jogosultságkezelést arra is használhatja, hogy olyan szervezetek felhasználóit is bevezselje, amelyek nem rendelkeznek saját Microsoft Entra-címtárral. Konfigurálhat egy összevont identitásszolgáltatót a tartományához, vagy használhat e-mail alapú hitelesítést. A közösségi identitásszolgáltatók felhasználóit is bevonhatja, beleértve a Microsoft-fiókokkal rendelkezőket is.

A kérelem jóváhagyásakor a jogosultságkezelés általában a felhasználó számára a szükséges hozzáféréssel rendelkezik. Ha a felhasználó még nem szerepel a címtárban, a jogosultságkezelés először meghívja a felhasználót. A felhasználó meghívása után a Microsoft Entra ID automatikusan létrehoz egy B2B-vendégfiókot számukra, de nem küld e-mailt a felhasználónak. Előfordulhat, hogy egy rendszergazda korlátozza, hogy mely szervezetek használhatják az együttműködést, ha egy B2B-engedélyezési vagy tiltólistát állít be a más szervezet tartományaiba történő meghívások engedélyezésére vagy letiltására. Ha a felhasználók tartományát ezek a listák nem engedélyezik, akkor a rendszer nem hívja meg őket, és csak a listák frissítéséig rendelhetők hozzá hozzáféréshez.

Mivel nem szeretné, hogy a külső felhasználó hozzáférése örökké tartjon, a szabályzatban meg kell adnia egy lejárati dátumot, például 180 napot. 180 nap elteltével, ha a hozzáférés nem hosszabbodik meg, a jogosultságkezelés eltávolítja a hozzáférési csomaghoz társított összes hozzáférést. Alapértelmezés szerint ha a jogosultságkezelésen keresztül meghívott felhasználó nem rendelkezik más hozzáférési csomag-hozzárendeléssel, akkor az utolsó hozzárendelés elvesztésekor a vendégfiókja 30 napig nem tud bejelentkezni, és később el lesz távolítva. Ez megakadályozza a szükségtelen fiókok elterjedését. A következő szakaszokban leírtak szerint ezek a beállítások konfigurálhatók.

A külső felhasználók hozzáférésének működése

Az alábbi ábra és lépések áttekintést nyújtanak arról, hogy a külső felhasználók hogyan kapnak hozzáférést egy hozzáférési csomaghoz.

Külső felhasználók életciklusát bemutató diagram

  1. Hozzáadhat egy csatlakoztatott szervezetet ahhoz a Microsoft Entra-címtárhoz vagy tartományhoz, amellyel együtt szeretne működni. A közösségi identitásszolgáltatóhoz csatlakoztatott szervezetet is konfigurálhat.

  2. Ellenőrizze, hogy a katalógusban lévő külső felhasználók számára engedélyezve van-e a katalógusban a hozzáférési csomag igen értékű beállításának ellenőrzése.

  3. Hozzon létre egy hozzáférési csomagot a címtárban, amely tartalmaz egy szabályzatot a címtárban nem szereplő felhasználók számára, és megadja azokat a csatlakoztatott szervezeteket, amelyek kérhetik, a jóváhagyó és az életciklus beállításait. Ha a szabályzatban kiválasztja az adott kapcsolt szervezetek vagy az összes kapcsolt szervezet lehetőségét, akkor csak a korábban konfigurált szervezetek felhasználói kérhetik a kérést. Ha a szabályzatban kiválasztja az összes felhasználó lehetőségét, akkor bármely felhasználó kérheti, beleértve azokat is, amelyek még nem részei a címtárnak, és nem részei a csatlakoztatott szervezeteknek.

  4. A hozzáférési csomag rejtett beállításának ellenőrzéséhez ellenőrizze, hogy a hozzáférési csomag rejtett-e. Ha nem rejtette el, akkor a hozzáférési csomag szabályzatbeállításai által engedélyezett felhasználók a saját hozzáférési portálon kereshetik meg a hozzáférési csomagot a bérlő számára.

  5. A saját hozzáférési portál hivatkozását a külső szervezetnél lévő partneréhez küldi, amelyet megoszthatnak a felhasználókkal a hozzáférési csomag kéréséhez.

  6. Egy külső felhasználó (ebben a példában az A kérelmező) a Saját hozzáférési portál hivatkozással kéri le a hozzáférési csomaghoz való hozzáférést . A Saját hozzáférési portál megköveteli, hogy a felhasználó a csatlakoztatott szervezet részeként jelentkezzen be. A felhasználó bejelentkezésének menete a csatlakoztatott szervezetben és a külső felhasználók beállításaiban definiált címtár vagy tartomány hitelesítési típusától függ.

  7. A jóváhagyó jóváhagyja a kérést (feltéve, hogy a szabályzat jóváhagyást igényel).

  8. A kérés kézbesítési állapotba kerül.

  9. A B2B meghívási folyamatával egy vendégfelhasználói fiók jön létre a címtárban (ebben a példában az A kérelmező (Vendég). Ha egy engedélyezési lista vagy egy tiltólista van definiálva, a rendszer alkalmazza a listabeállítást.

  10. A vendégfelhasználó hozzáféréssel rendelkezik a hozzáférési csomag összes erőforrásához. A Microsoft Entra-azonosítóban és más Microsoft Online Services-alkalmazásokban vagy csatlakoztatott SaaS-alkalmazásokban végzett módosítások eltarthatnak egy ideig. További információ: Módosítások alkalmazásakor.

  11. A külső felhasználó kap egy e-mailt, amely jelzi, hogy a hozzáférése kézbesítve lett.

  12. Az erőforrások eléréséhez a külső felhasználó kiválaszthatja az e-mailben található hivatkozást, vagy közvetlenül megkísérelheti elérni bármelyik címtárerőforrást a meghívási folyamat befejezéséhez.

  13. Ha a házirend-beállítások lejárati dátumot tartalmaznak, akkor később, amikor a külső felhasználó hozzáférési csomag-hozzárendelése lejár, a külső felhasználó hozzáférési jogosultságai törlődnek a hozzáférési csomagból.

  14. A külső felhasználók beállításainak életciklusától függően, ha a külső felhasználó már nem rendelkezik hozzáférési csomag-hozzárendelésekkel, a külső felhasználó nem fog bejelentkezni, és a külső felhasználói fiók törlődik a címtárból.

Külső felhasználók beállításai

Annak érdekében, hogy a szervezeten kívüli személyek hozzáférési csomagokat igényelhessenek, és hozzáférést kaphassanak a hozzáférési csomagok erőforrásaihoz, bizonyos beállításokat ellenőriznie kell, hogy megfelelően vannak-e konfigurálva.

Katalógus engedélyezése külső felhasználók számára

  • Új katalógus létrehozásakor alapértelmezés szerint engedélyezve van, hogy a külső felhasználók hozzáférési csomagokat kérjenek a katalógusban. Győződjön meg arról, hogy a külső felhasználók számára engedélyezve van az Igen érték.

    Katalógusbeállítások szerkesztése

    Ha Ön rendszergazda vagy katalógustulajdonos, a külső felhasználók számára jelenleg engedélyezett katalógusok listáját a Microsoft Entra Felügyeleti központ katalóguslistájában tekintheti meg, ha a külső felhasználók számára engedélyezett szűrőbeállítást Igen értékre módosítja. Ha a szűrt nézetben látható katalógusok bármelyike nem több hozzáférési csomaggal rendelkezik, előfordulhat, hogy ezek a hozzáférési csomagok olyan szabályzattal rendelkeznek a címtárban nem szereplő felhasználók számára, amelyek lehetővé teszik a külső felhasználók számára a kérést.

A Microsoft Entra B2B külső együttműködési beállításainak konfigurálása

  • Ha engedélyezi a vendégeknek, hogy más vendégeket is meghívjanak a címtárba, az azt jelenti, hogy a vendégmeghívók a jogosultságkezelésen kívül is előfordulhatnak. Azt javasoljuk, hogy a vendégek csak a megfelelően szabályozott meghívások engedélyezéséhez hívjanak meg nemet.

  • Ha korábban a B2B engedélyezési listát használta, el kell távolítania a listát, vagy meg kell győződnie arról, hogy a jogosultságkezeléssel partnerként partnerként használni kívánt összes szervezet tartománya felkerül a listára. Másik lehetőségként, ha a B2B-tiltólistát használja, győződjön meg arról, hogy a listán nem szerepel a partnerként használni kívánt szervezet tartománya.

  • Ha minden felhasználóhoz (minden csatlakoztatott szervezethez és új külső felhasználóhoz) hoz létre jogosultságkezelési szabályzatot, és egy felhasználó nem tartozik a címtárában egy csatlakoztatott szervezethez, a csomag kérésekor a rendszer automatikusan létrehoz egy csatlakoztatott szervezetet. Azonban minden B2B engedélyezési vagy tiltólista-beállítás elsőbbséget élvez. Ezért el szeretné távolítani az engedélyezési listát, ha használt egyet, hogy minden felhasználó hozzáférést kérjen, és kizárja az összes engedélyezett tartományt a tiltólistáról, ha ön egy tiltólistát használ.

  • Ha olyan jogosultságkezelési szabályzatot szeretne létrehozni, amely tartalmazza a Minden felhasználót (minden csatlakoztatott szervezet + minden új külső felhasználó), először engedélyeznie kell az egyszeri pin-kód hitelesítését a címtárban. További információ: E-mail egyszeri pin-kód hitelesítése.

  • További információ a Microsoft Entra B2B külső együttműködési beállításairól: Külső együttműködési beállítások konfigurálása.

    A Microsoft Entra külső együttműködési beállításai

A bérlők közötti hozzáférési beállítások áttekintése

  • Győződjön meg arról, hogy a bejövő B2B-együttműködés bérlők közötti hozzáférési beállításai engedélyezik a hozzáférés kérését és hozzárendelését. Ellenőrizze, hogy a beállítások engedélyezik-e a jelenlegi vagy jövőbeli kapcsolt szervezetekhez tartozó bérlőket, és hogy a bérlők felhasználói nem lesznek letiltva a meghívásban. Emellett ellenőrizze, hogy a bérlők közötti hozzáférési beállítások engedélyezik-e a felhasználók számára, hogy hitelesíthessék azokat az alkalmazásokat, amelyek esetében engedélyezni szeretné az együttműködési forgatókönyveket. További információ: Bérlők közötti hozzáférési beállítások konfigurálása.
  • Ha egy másik Microsoft-felhőből hoz létre csatlakoztatott szervezetet egy Microsoft Entra-bérlőhöz, a bérlők közötti hozzáférési beállításokat is megfelelően kell konfigurálnia. További információ: A Microsoft felhőbeállításainak konfigurálása.

A feltételes hozzáférési szabályzatok áttekintése

  • Mindenképpen zárja ki a jogosultságkezelési alkalmazást a vendégfelhasználókra hatással lévő feltételes hozzáférési szabályzatokból. Ellenkező esetben a feltételes hozzáférési szabályzat megakadályozhatja, hogy hozzáférjenek a MyAccesshez, vagy bejelentkezhessenek a címtárba. A vendégek például valószínűleg nem rendelkeznek regisztrált eszközzel, nincsenek ismert helyen, és nem szeretnének újra regisztrálni a többtényezős hitelesítésre (MFA), ezért ha ezeket a követelményeket egy feltételes hozzáférési szabályzatban adja hozzá, azzal meggátolja a vendégeket a jogosultságkezelés használatában. További információt a Microsoft Entra Feltételes hozzáférés feltételei című témakörben talál.

  • Ha a feltételes hozzáférés blokkolja az összes felhőalkalmazást a jogosultságkezelési alkalmazás kizárása mellett, győződjön meg arról, hogy a kérelem-jóváhagyások olvasási platformja is ki van zárva a feltételes hozzáférési (CA) szabályzatban. Először is győződjön meg arról, hogy rendelkezik a szükséges szerepkörökkal: feltételes hozzáférési rendszergazda, alkalmazásadminisztrátor, attribútum-hozzárendelési rendszergazda és attribútumdefiníciós rendszergazda. Ezután hozzon létre egy egyéni biztonsági attribútumot megfelelő névvel és értékekkel. Keresse meg a vállalati alkalmazásokban a kérelem-jóváhagyások olvasási platformjának szolgáltatásnevét, és rendelje hozzá az egyéni attribútumot a választott értékkel ehhez az alkalmazáshoz. A ca-házirendben alkalmazzon egy szűrőt a kiválasztott alkalmazások kizárásához a kérelem-jóváhagyások olvasási platformjához rendelt egyéni attribútumnév és érték alapján. Az alkalmazások hitelesítésszolgáltatói szabályzatokban való szűrésével kapcsolatos további részletekért lásd: Feltételes hozzáférés: Alkalmazások szűrése

    Képernyőkép az alkalmazásbeállítások kizárásáról.

    Képernyőkép a felhőalkalmazások kizárására való kijelölésről.

    Képernyőkép a vendégek kizárása alkalmazás kiválasztásáról.

Feljegyzés

A Jogosultságkezelési alkalmazás tartalmazza a MyAccess jogosultságkezelési oldalát, a Microsoft Entra felügyeleti központ jogosultságkezelési oldalát és az MS Graph Jogosultságkezelés részét. Az utóbbi kettő további hozzáférési engedélyeket igényel, ezért a vendégek csak kifejezett engedély birtokában férhetnek hozzá.

A SharePoint Online külső megosztási beállításainak áttekintése

  • Ha SharePoint Online-webhelyeket szeretne belefoglalni a külső felhasználók hozzáférési csomagjaiba, győződjön meg arról, hogy a szervezetszintű külső megosztási beállítás bárkire van állítva (a felhasználók nem igényelnek bejelentkezést), illetve új és meglévő vendégeket (a vendégeknek be kell jelentkezniük, vagy meg kell adniuk egy ellenőrző kódot). További információ: A külső megosztás be- és kikapcsolása.

  • Ha bármilyen külső megosztást korlátozni szeretne a jogosultságkezelésen kívül, beállíthatja a külső megosztási beállítást meglévő vendégekre. Ezután csak a jogosultságkezeléssel meghívott új felhasználók férhetnek hozzá ezekhez a webhelyekhez. További információ: A külső megosztás be- és kikapcsolása.

  • Győződjön meg arról, hogy a webhelyszintű beállítások engedélyezik a vendéghozzáférést (ugyanazokat a beállításokat, mint korábban). További információ: A külső megosztás be- és kikapcsolása egy webhelyen.

A Microsoft 365-csoportmegosztási beállítások áttekintése

  • Ha a külső felhasználók hozzáférési csomagjaiba Microsoft 365-csoportokat szeretne belefoglalni, győződjön meg arról, hogy a Felhasználók új vendégek hozzáadása a szervezethez be van kapcsolva a vendéghozzáférés engedélyezéséhez. További információ: Vendéghozzáférés kezelése Microsoft 365-csoportok.

  • Ha azt szeretné, hogy a külső felhasználók hozzáférhessenek a SharePoint Online-webhelyhez és a Microsoft 365-csoporthoz társított erőforrásokhoz, győződjön meg arról, hogy bekapcsolja a SharePoint Online külső megosztását. További információ: A külső megosztás be- és kikapcsolása.

  • A Microsoft 365-csoportok vendégszabályzatának a PowerShell címtárszinten történő beállításáról a következő példában olvashat : Vendégházirend konfigurálása a címtárszinten lévő csoportokhoz.

A Teams megosztási beállításainak áttekintése

Külső felhasználók életciklusának kezelése

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Kiválaszthatja, hogy mi történik, ha egy külső felhasználó, akit egy hozzáférési csomag kérésével hívtak meg a címtárba, már nem rendelkezik hozzáférési csomag-hozzárendelésekkel. Ez akkor fordulhat elő, ha a felhasználó lemond az összes hozzáférési csomag-hozzárendelésről, vagy az utolsó hozzáférési csomag hozzárendelése lejár. Alapértelmezés szerint, ha egy külső felhasználó már nem rendelkezik hozzáférési csomag-hozzárendelésekkel, a rendszer letiltja a címtárba való bejelentkezést. 30 nap elteltével a vendég felhasználói fiók el lesz távolítva a címtárból. Azt is beállíthatja, hogy egy külső felhasználó ne legyen letiltva a bejelentkezésben vagy a törlésben, vagy hogy egy külső felhasználó ne legyen letiltva a bejelentkezésben, hanem törölve legyen.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.

  2. Keresse meg az identitásszabályozási>jogosultságkezelési>beállításokat.

  3. Válassza a Szerkesztés lehetőséget.

    Beállítások a külső felhasználók életciklusának kezeléséhez

  4. A Külső felhasználók életciklusának kezelése szakaszban válassza ki a külső felhasználók különböző beállításait.

  5. Ha egy külső felhasználó elveszíti az utolsó hozzárendelését bármely hozzáférési csomaghoz, ha meg szeretné akadályozni, hogy bejelentkezhessenek ebbe a könyvtárba, állítsa a külső felhasználó bejelentkezésének letiltása igen értékre.

    Feljegyzés

    A jogosultságkezelés csak azokat a külső vendégfelhasználói fiókokat tiltja meg, amelyek jogosultságkezeléssel lettek meghívva, vagy amelyeket az életciklus-kezelés jogosultságkezeléséhez adtak hozzá a vendégfelhasználói fiók szabályozásra alakításával. Azt is vegye figyelembe, hogy a rendszer akkor is letiltja a bejelentkezést, ha a felhasználót hozzáadták a címtár azon erőforrásaihoz, amelyek nem fértek hozzá a csomaghozzárendelésekhez. Ha egy felhasználó nem tud bejelentkezni ebbe a könyvtárba, akkor a felhasználó nem fogja tudni újrakérni a hozzáférési csomagot, vagy további hozzáférést kérni ebben a címtárban. Ne konfigurálja a bejelentkezés blokkolását, ha később hozzáférést kell kérniük ehhez vagy más hozzáférési csomagokhoz.

  6. Ha egy külső felhasználó elveszíti az utolsó hozzárendelését bármely hozzáférési csomaghoz, ha el szeretné távolítani a vendégfelhasználói fiókját ebben a címtárban, állítsa a Külső felhasználó eltávolítása beállítást Igen értékre.

    Feljegyzés

    A jogosultságkezelés csak azokat a külső vendégfelhasználói fiókokat távolítja el, amelyeket jogosultságkezeléssel hívtak meg, vagy amelyek a jogosultságkezeléshez lettek hozzáadva az életciklus-kezeléshez úgy, hogy a vendégfelhasználói fiókjukat szabályozni kell. Azt is vegye figyelembe, hogy a rendszer akkor is eltávolít egy felhasználót ebből a könyvtárból, ha a felhasználót hozzáadták a címtár azon erőforrásaihoz, amelyek nem fértek hozzá a csomaghozzárendelésekhez. Ha a vendég a hozzáférési csomag-hozzárendelések fogadása előtt jelen volt ebben a könyvtárban, azok továbbra is megmaradnak. Ha azonban a vendéget hozzáférési csomag-hozzárendeléssel hívták meg, és a meghívást követően egy OneDrive Vállalati verzió vagy SharePoint Online-webhelyhez is hozzárendelte őket, a program továbbra is eltávolítja őket. A Külső felhasználó eltávolítása beállítás nem csak azokat a felhasználókat érinti, akik később elveszítik az utolsó hozzáférési csomag-hozzárendelésüket; a törlésre ütemezett és a bejelentkezésben letiltott felhasználók továbbra is törlődnek az eredeti ütemezésük szerint.

  7. Ha el szeretné távolítani a vendégfelhasználói fiókot ebben a könyvtárban, beállíthatja az eltávolítás előtti napok számát. Bár a külső felhasználók értesítést kapnak a hozzáférési csomag lejáratáról, a fiók eltávolításakor nincs értesítés. Ha el szeretné távolítani a vendégfelhasználói fiókot, amint elveszítik az utolsó hozzárendelésüket bármely hozzáférési csomaghoz, állítsa be a külső felhasználó eltávolítását megelőző napok számát 0 értékre. Az érték módosítása csak azokat a felhasználókat érinti, akik később az utolsó hozzáférési csomag hozzárendelését használják; a törlésre ütemezett felhasználók továbbra is törlődnek az eredeti ütemezésük szerint.

  8. Válassza a Mentés lehetőséget.

Következő lépések