Megosztás a következőn keresztül:

Csatlakoztatott szervezetek kezelése a jogosultságkezelésben

  • Cikk

A jogosultságkezeléssel együttműködhet a szervezeten kívüli személyekkel. Ha gyakran együttműködik bizonyos külső szervezetek számos felhasználójával, összekapcsolt szervezetként hozzáadhatja a szervezet identitásforrásait. A kapcsolt szervezetek egyszerűbbé tehetik, hogy az adott szervezetekből származó személyek hogyan kérhetnek hozzáférést. Ez a cikk bemutatja, hogyan vehet fel csatlakoztatott szervezetet, hogy lehetővé tegye a szervezeten kívüli felhasználók számára, hogy erőforrásokat kérjenek a címtárban.

Mi az a csatlakoztatott szervezet?

A csatlakoztatott szervezet egy másik szervezet, amellyel kapcsolatban áll. Ahhoz, hogy a szervezet felhasználói hozzáférhessenek az erőforrásaihoz, például a SharePoint Online-webhelyekhez vagy -alkalmazásokhoz, szüksége van a szervezet felhasználóinak a címtárban való megjelenítésére. Mivel a szervezet felhasználói a legtöbb esetben még nem szerepelnek a Microsoft Entra-címtárban, a jogosultságkezeléssel szükség szerint beviheti őket a Microsoft Entra-címtárba.

Ha meg szeretne adni egy elérési utat bárkinek, aki hozzáférést kér, és nem biztos benne, hogy az új felhasználók mely szervezetektől származhatnak, akkor konfigurálhat hozzáférési csomag-hozzárendelési szabályzatot a címtárban nem szereplő felhasználók számára. Ebben a házirendben válassza a Minden felhasználó (Minden csatlakoztatott szervezet + új külső felhasználók) lehetőséget. Ha a kérelmezőt jóváhagyták, és nem tartoznak a címtárban lévő kapcsolt szervezethez, a rendszer automatikusan létrehoz egy csatlakoztatott szervezetet.

Ha csak a kijelölt szervezetekből származó személyeknek szeretné engedélyezni a hozzáférést, először hozza létre ezeket a kapcsolt szervezeteket. Másodszor konfiguráljon egy hozzáférési csomag-hozzárendelési szabályzatot a címtárban nem szereplő felhasználók számára, válassza ki az adott kapcsolt szervezetek beállítását, és válassza ki a létrehozott szervezeteket.

A jogosultságkezelés négy módon teszi lehetővé a csatlakoztatott szervezetet alkotó felhasználók megadását. A következő lehet:

  • felhasználók egy másik Microsoft Entra-címtárban (bármely Microsoft-felhőből),
  • az SAML/WS-Fed identitásszolgáltatói (IDP) összevonáshoz konfigurált másik, nem Microsoft-címtárban lévő felhasználók,
  • egy másik, nem Microsoft-címtárban lévő felhasználók, akiknek az e-mail-címei mind ugyanazzal a tartománynévvel rendelkeznek, és az adott szervezetre jellemzőek, vagy
  • Microsoft-fiókkal rendelkező felhasználók, például a tartományból live.com, ha üzleti igény van a közös szervezettel nem rendelkező felhasználókkal való együttműködésre.

Tegyük fel például, hogy a Woodgrove Banknál dolgozik, és két külső szervezettel szeretne együttműködni. Mindkét külső szervezet felhasználóinak hozzáférést szeretne adni ugyanahhoz az erőforráshoz, de ez a két szervezet eltérő konfigurációval rendelkezik:

  • A Contoso még nem használja a Microsoft Entra-azonosítót. A Contoso felhasználóinak e-mail-címe contoso.com végződik.
  • A Graphic Design Institute Microsoft Entra-azonosítót használ, és legalább néhány felhasználójuknak van egy egyszerű felhasználóneve, amely graphicdesigninstitute.com végződik.

Ebben az esetben konfigurálhat két csatlakoztatott szervezetet, majd egy hozzáférési csomagot egy szabályzattal.

  1. Győződjön meg arról, hogy be van kapcsolva az egyszeri pin-kód (OTP) hitelesítés , hogy azok a felhasználók, akik még nem tartoznak a Microsoft Entra címtáraihoz, akik egyszeri jelszóval hitelesítik magukat, amikor hozzáférést kérnek az erőforrásokhoz, vagy később hozzáférnek az erőforrásokhoz. Emellett előfordulhat, hogy konfigurálnia kell a Microsoft Entra B2B külső együttműködési beállításait a külső felhasználók hozzáférésének engedélyezéséhez.
  2. Hozzon létre egy csatlakoztatott szervezetet a Contoso számára. A tartomány contoso.com megadásakor a jogosultságkezelés felismeri, hogy nincs meglévő Microsoft Entra-bérlő a tartományhoz társítva, és hogy a csatlakoztatott szervezet felhasználói akkor lesznek felismerve, ha egyszeri pin-kóddal hitelesítik magukat egy contoso.com e-mail-címtartománysal.
  3. Hozzon létre egy másik csatlakoztatott szervezetet a Graphic Design Institute számára. A tartomány graphicdesigninstitute.com megadásakor a jogosultságkezelés felismeri, hogy az adott tartományhoz egy bérlő van társítva.
  4. Egy katalógusban, amely lehetővé teszi a külső felhasználók számára a kérést, hozzon létre egy hozzáférési csomagot.
  5. Ebben a hozzáférési csomagban hozzon létre egy hozzáférési csomag-hozzárendelési szabályzatot a címtárban még nem szereplő felhasználók számára. Ebben a szabályzatban válassza az Adott kapcsolt szervezetek lehetőséget, és adja meg a két csatlakoztatott szervezetet. Ez lehetővé teszi az egyes szervezetek felhasználói számára, hogy az egyik csatlakoztatott szervezetnek megfelelő identitásforrással igényeljék a hozzáférési csomagot.
  6. Ha a külső felhasználók olyan felhasználónévvel rendelkeznek, amelynek tartománya contoso.com kéri a hozzáférési csomagot, e-mailben hitelesítik magukat. Ez az e-mail-tartomány megegyezik a Contoso-hoz csatlakoztatott szervezettel, és a felhasználó kérheti a csomagot. A kérés után a külső felhasználók hozzáférésének működése leírja, hogy a rendszer hogyan hívja meg a B2B-felhasználót, és hogyan rendeli hozzá a hozzáférést a külső felhasználóhoz.
  7. Emellett azok a külső felhasználók, amelyek a Graphic Design Institute bérlői fiókból használnak szervezeti fiókot, megegyeznek a Grafikus tervező intézethez csatlakozó szervezettel, és jogosultak a hozzáférési csomag igénylésére. Mivel a Graphic Design Institute Microsoft Entra-azonosítót használ, minden olyan egyszerű névvel rendelkező felhasználó, aki megfelel a Graphic Design Institute-bérlőhöz hozzáadott egy másik ellenőrzött tartománynak , például a graphicdesigninstitute.example, ugyanezzel a szabályzattal is kérhet hozzáférési csomagokat.

Diagram a csatlakoztatott szervezetekről a példában, valamint a hozzárendelési szabályzattal és a bérlővel fennálló kapcsolataikról.

A Microsoft Entra címtár vagy tartomány felhasználóinak hitelesítése a hitelesítési típustól függ. A csatlakoztatott szervezetek hitelesítési típusai a következők:

A csatlakoztatott szervezet hozzáadásának bemutatásához tekintse meg az alábbi videót:

Csatlakoztatott szervezetek listájának megtekintése

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.

  2. Keresse meg az identitásszabályozási>jogosultságkezeléshez>kapcsolódó szervezeteket.

  3. A keresőmezőben a csatlakoztatott szervezet neve alapján kereshet egy csatlakoztatott szervezetet. Azonban nem kereshet tartománynevet.

Csatlakoztatott szervezet hozzáadása

Ha külső Microsoft Entra-címtárat vagy tartományt szeretne hozzáadni csatlakoztatott szervezetként, kövesse az ebben a szakaszban található utasításokat.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.

  2. Keresse meg az identitásszabályozási>jogosultságkezeléshez>kapcsolódó szervezeteket.

  3. A Csatlakoztatott szervezetek lapon válassza a Csatlakoztatott szervezet hozzáadása lehetőséget.

    A

  4. Válassza az Alapismeretek lapot, majd adja meg a szervezet megjelenítendő nevét és leírását.

    A

  5. Az állapot automatikusan konfigurálva lesz egy új csatlakoztatott szervezet létrehozásakor. A csatlakoztatott szervezetek állapottulajdonságával kapcsolatos további információkért lásd : Csatlakoztatott szervezetek államtulajdonsága

  6. Válassza a Címtár + tartomány fület, majd a Címtár + tartomány hozzáadása lehetőséget.

    Ekkor megnyílik a Könyvtárak és tartományok kijelölése panel.

  7. A keresőmezőbe írjon be egy tartománynevet a Microsoft Entra könyvtár vagy tartomány kereséséhez. Olyan tartományokat is hozzáadhat, amelyek nem tartoznak semmilyen Microsoft Entra-címtárhoz. Mindenképpen adja meg a teljes tartománynevet.

  8. Ellenőrizze, hogy a szervezet neve(i) és hitelesítési típusa(i) helyesek-e. A felhasználó bejelentkezése a MyAccess portál elérése előtt a szervezet hitelesítési típusától függ. Ha egy csatlakoztatott szervezet hitelesítési típusa a Microsoft Entra-azonosító, minden olyan felhasználó bejelentkezik a címtárába, akinek fiókja van a szervezet címtárában, és a Microsoft Entra-címtár bármely ellenőrzött tartományával rendelkezik, bejelentkezik a címtárába, majd hozzáférést kérhet az adott kapcsolt szervezet számára engedélyezett csomagokhoz. Ha a hitelesítési típus egyszeri pin-kód, akkor a tartományból származó e-mail-címmel rendelkező felhasználók megnyithatják a MyAccess portált. Miután hitelesítést végzett a pin-kóddal, a felhasználó kérést kezdeményezhet.

    A

    Feljegyzés

    Egyes tartományokból való hozzáférést blokkolhatja a Microsoft Entra business to Business (B2B) engedélyezési vagy letiltási listája. Ezenkívül azok a felhasználók, akiknek e-mail-címe megegyezik a Microsoft Entra-hitelesítéshez konfigurált csatlakoztatott szervezet tartományával, de nem hitelesítik magukat az adott Microsoft Entra-címtárban, nem lesznek felismerve a csatlakoztatott szervezet részeként. További információt a B2B-felhasználók meghívásának engedélyezése vagy letiltása adott szervezetekből című témakörben talál.

  9. Válassza a Hozzáadás lehetőséget a Microsoft Entra könyvtár vagy tartomány hozzáadásához. Több Microsoft Entra-címtárat és tartományt is hozzáadhat.

  10. Miután hozzáadta a Microsoft Entra címtárakat vagy tartományokat, válassza a Kiválasztás lehetőséget.

    A szervezet(ek) megjelennek a listában.

    A

  11. Válassza a Szponzorok lapot, majd adjon hozzá opcionális szponzorokat ehhez a csatlakoztatott szervezethez.

    A szponzorok olyan belső vagy külső felhasználók, akik már a címtárban vannak, és kapcsolattartók a kapcsolt szervezettel való kapcsolat szempontjából. A belső szponzorok tagfelhasználók a címtárban. A külső szponzorok olyan vendégfelhasználók a csatlakoztatott szervezetből, akiket korábban meghívtak, és már szerepelnek a címtárban. A támogatók akkor használhatók jóváhagyóként, ha a kapcsolt szervezet felhasználói hozzáférést kérnek ehhez a hozzáférési csomaghoz. A vendégfelhasználók címtárba való meghívásáról további információt a Microsoft Entra B2B együttműködési felhasználók hozzáadása című témakörben talál.

    Amikor a Hozzáadás/Eltávolítás lehetőséget választja, megnyílik egy panel, amelyen belső vagy külső szponzorokat választhat. A panel a címtárban lévő felhasználók és csoportok szűretlen listáját jeleníti meg.

    A Szponzorok panel

  12. Válassza a Véleményezés + létrehozás lapot, tekintse át a szervezeti beállításokat, majd válassza a Létrehozás lehetőséget.

    A

Csatlakoztatott szervezet frissítése

Ha a csatlakoztatott szervezet egy másik tartományra változik, a szervezet neve megváltozik, vagy módosítani szeretné a szponzorokat, az ebben a szakaszban található utasításokat követve frissítheti a csatlakoztatott szervezetet.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.

  2. Keresse meg az identitásszabályozási>jogosultságkezeléshez>kapcsolódó szervezeteket.

  3. A Csatlakoztatott szervezetek lapon válassza ki a frissíteni kívánt kapcsolt szervezetet.

  4. A csatlakoztatott szervezet áttekintő paneljén válassza a Szerkesztés lehetőséget a szervezet nevének, leírásának vagy állapotának módosításához.

  5. A Címtár + tartomány panelen válassza a Címtár + tartomány frissítése lehetőséget, ha másik könyvtárra vagy tartományra szeretne váltani.

  6. A Szponzorok panelen válassza a Belső szponzorok hozzáadása vagy Külső szponzorok hozzáadása lehetőséget a felhasználó szponzorként való hozzáadásához. A szponzor eltávolításához válassza ki a szponzort, majd a jobb oldali panelen válassza a Törlés lehetőséget.

Csatlakoztatott szervezet törlése

Ha már nincs kapcsolata külső Microsoft Entra-címtárral vagy -tartománnyal, vagy nem szeretne többé egy javasolt kapcsolt szervezettel rendelkezni, törölheti a csatlakoztatott szervezetet.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.

  2. Keresse meg az identitásszabályozási>jogosultságkezeléshez>kapcsolódó szervezeteket.

  3. A Csatlakoztatott szervezetek lapon válassza ki a törölni kívánt csatlakoztatott szervezetet a megnyitáshoz.

  4. A csatlakoztatott szervezet áttekintő paneljén válassza a Törlés lehetőséget a törléshez.

    A csatlakoztatott szervezet Törlés gombja

Csatlakoztatott szervezet programozott kezelése

Csatlakoztatott szervezeteket is létrehozhat, listázhat, frissíthet és törölhet a Microsoft Graph használatával. A delegált EntitlementManagement.ReadWrite.All engedéllyel rendelkező alkalmazással rendelkező, megfelelő szerepkörrel rendelkező felhasználók meghívhatják az API-t a csatlakoztatottorganizációs objektumok kezeléséhez és a szponzorok beállításához.

Csatlakoztatott szervezetek kezelése a Microsoft PowerShell használatával

A Csatlakoztatott szervezeteket a PowerShellben is kezelheti a Microsoft Graph PowerShell-parancsmagok identitásszabályozási modul 1.16.0-s vagy újabb verziójának parancsmagjaival.

Ez a következő szkript bemutatja, hogy a v1.0 Graph profilja segítségével lekérheti az összes csatlakoztatott szervezetet. Minden visszaadott csatlakoztatott szervezet tartalmaz egy list identitySources-t a csatlakoztatott szervezet címtárainak és tartományainak.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$co = Get-MgEntitlementManagementConnectedOrganization -all

foreach ($c in $co) {
  foreach ($i in $c.identitySources) {
    write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
  }
}

Csatlakoztatott szervezetek állapottulajdonsága

A jogosultságkezelésben a csatlakoztatott szervezeteknek két különböző állapota van, konfigurálva és javasolva:

  • A konfigurált csatlakoztatott szervezet egy teljesen működőképes kapcsolt szervezet, amely lehetővé teszi a szervezeten belüli felhasználók számára a csomagok elérését. Amikor egy rendszergazda létrehoz egy új csatlakoztatott szervezetet a Microsoft Entra felügyeleti központban, az alapértelmezés szerint konfigurált állapotban van, mivel a rendszergazda létrehozta és használni szeretné ezt a csatlakoztatott szervezetet. Továbbá, ha egy csatlakoztatott szervezet programozott módon jön létre az API-val, az alapértelmezett állapotot konfigurálni kell, kivéve, ha kifejezetten más állapotra van beállítva.

    A konfigurált kapcsolt szervezetek megjelennek a csatlakoztatott szervezetek válogatóiban, és hatókörbe kerülnek minden olyan szabályzat esetében, amely "minden konfigurált kapcsolt szervezetet" céloz meg.

  • A javasolt kapcsolt szervezet egy olyan kapcsolt szervezet, amely automatikusan létrejött, de nem hozta létre vagy hagyta jóvá a szervezetet rendszergazda. Amikor egy felhasználó egy konfigurált csatlakoztatott szervezeten kívül regisztrál egy hozzáférési csomagot, az automatikusan létrehozott kapcsolt szervezetek a javasolt állapotban vannak, mivel a bérlő egyik rendszergazdája sem állította be ezt a partnerséget.

    A javasolt kapcsolt szervezetek nem tartoznak a szabályzatok "összes konfigurált kapcsolt szervezet" beállításának hatókörébe, de szabályzatokban csak adott szervezeteket megcélzó szabályzatokhoz használhatók.

Csak a konfigurált kapcsolt szervezetek felhasználói igényelhetnek olyan hozzáférési csomagokat, amelyek minden konfigurált szervezet felhasználói számára elérhetők. A javasolt kapcsolt szervezetek felhasználói olyan tapasztalattal rendelkeznek, mintha nincs csatlakoztatott szervezet az adott tartományhoz; csak az adott szervezetre vagy bármely felhasználóra hatókörrel rendelkező hozzáférési csomagokat tekinthet meg és kérhet le. Ha a bérlőben olyan szabályzatok vannak, amelyek engedélyezik "az összes konfigurált kapcsolt szervezetet", győződjön meg arról, hogy nem konvertálja konfigurálhatóvá a közösségi identitásszolgáltatók javasolt kapcsolt szervezeteit.

Feljegyzés

Az új funkció bevezetésekor a 2020. 09. 09. előtt létrehozott összes kapcsolt szervezet konfiguráltnak minősült. Ha rendelkezik olyan hozzáférési csomagtal, amely bármely szervezet felhasználói számára lehetővé tette a regisztrációt, tekintse át azoknak a csatlakoztatott szervezeteknek a listáját, amelyeket az adott dátum előtt hoztak létre, és győződjön meg arról, hogy egyik sem van a konfigurált módon félrescategorizálva. A közösségi identitásszolgáltatókat nem szabad konfiguráltként megjelölni, ha vannak olyan hozzárendelési szabályzatok, amelyek nem igényelnek jóváhagyást az összes konfigurált kapcsolt szervezet felhasználói számára. A rendszergazda szükség szerint frissítheti az Állapot tulajdonságot. Útmutatásért lásd : Csatlakoztatott szervezet frissítése.

Feljegyzés

Bizonyos esetekben előfordulhat, hogy a felhasználó a személyes fiókjával kér hozzáférési csomagot egy közösségi identitásszolgáltatótól, ahol a fiók e-mail-címe ugyanazzal a tartománnyal rendelkezik, mint egy Microsoft Entra-bérlőnek megfelelő meglévő kapcsolt szervezet. Ha a felhasználót jóváhagyják, egy új, javasolt kapcsolt szervezetet eredményezne, amely az adott tartományt képviseli. Ebben az esetben győződjön meg arról, hogy a felhasználó a szervezeti fiókját használja a hozzáférés újbóli kéréséhez, és a portál azonosítja a Microsoft Entra-bérlő konfigurált csatlakoztatott szervezetéből érkező felhasználót.

Következő lépések