Mengonfigurasi pengaturan kolaborasi eksternal untuk B2B di MICROSOFT Entra External ID

Berlaku untuk: Penyewa Tenaga Kerja Penyewa eksternal (pelajari lebih lanjut)

Pengaturan kolaborasi eksternal memungkinkan Anda menentukan peran apa dalam organisasi Anda yang bisa mengundang pengguna eksternal untuk kolaborasi B2B. Pengaturan ini juga mencakup opsi untuk mengizinkan atau memblokir domain tertentu, dan opsi untuk membatasi apa yang dapat dilihat pengguna tamu eksternal di direktori Microsoft Entra Anda. Pilihan berikut tersedia:

• Menentukan akses pengguna tamu: MICROSOFT Entra External ID memungkinkan Anda membatasi apa yang dapat dilihat pengguna tamu eksternal di direktori Microsoft Entra Anda. Misalnya, Anda dapat membatasi tampilan pengguna tamu tentang keanggotaan grup, atau mengizinkan tamu hanya melihat informasi profil mereka sendiri.

• Tentukan siapa yang dapat mengundang tamu: Secara default, semua pengguna di organisasi Anda, termasuk pengguna tamu kolaborasi B2B, bisa mengundang pengguna eksternal ke kolaborasi B2B. Jika Anda ingin membatasi kemampuan untuk mengirim undangan, Anda dapat mengaktifkan atau menonaktifkan undangan untuk semua orang, atau membatasi undangan untuk peran tertentu.

• Aktifkan pendaftaran layanan mandiri tamu: Untuk aplikasi yang Anda buat, Anda dapat membuat alur pengguna yang memungkinkan mereka mendaftar ke aplikasi dan membuat akun tamu baru. Anda dapat mengaktifkan fitur ini di pengaturan kolaborasi eksternal Anda, lalu menambahkan alur pengguna pendaftaran layanan mandiri ke aplikasi Anda.

• Izinkan atau blokir domain: Anda dapat menggunakan pembatasan kolaborasi untuk mengizinkan atau menolak undangan ke domain yang Anda tentukan. Untuk detail, lihat Bolehkan atau blokir domain.

Untuk kolaborasi B2B dengan organisasi Microsoft Entra lainnya, Anda juga harus meninjau pengaturan akses lintas penyewa untuk memastikan kolaborasi dan cakupan B2B masuk dan keluar Anda akses ke pengguna, grup, dan aplikasi tertentu.

Untuk pengguna akhir kolaborasi B2B yang melakukan masuk lintas penyewa, branding penyewa rumah mereka muncul, bahkan jika tidak ada branding kustom yang ditentukan. Dalam contoh berikut, branding perusahaan untuk Woodgrove Groceries muncul di sebelah kiri. Contoh di sebelah kanan menampilkan branding default untuk penyewa beranda pengguna.

Catatan

Bergantung pada pengaturan kolaborasi eksternal yang ingin Anda konfigurasi, peran admin yang berbeda mungkin diperlukan. Artikel ini menentukan peran yang diperlukan untuk setiap jenis pengaturan. Lihat juga Peran dengan hak istimewa paling sedikit berdasarkan tugas untuk ID Eksternal/B2C.

Mengonfigurasi setelan di portal

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Untuk mengonfigurasi akses pengguna tamu

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.

2. Telusuri ke >Identitas Eksternal Identitas Eksternal>pengaturan kolaborasi eksternal.

3. Di bagian Akses pengguna tamu, pilih tingkat akses yang ingin diberikan kepada pengguna tamu:

   

   • Pengguna tamu memiliki akses yang sama dengan anggota (paling inklusif): Opsi ini memberi tamu akses yang sama ke sumber daya Microsoft Entra dan data direktori sebagai pengguna anggota.

   • Pengguna tamu memiliki akses terbatas ke properti dan keanggotaan objek direktori: (Default) Pengaturan ini memblokir tamu dari tugas direktori tertentu, seperti menghitung pengguna, grup, atau sumber daya direktori lainnya. Tamu dapat melihat keanggotaan semua grup yang tidak tersembunyi. Pelajari lebih lanjut tentang izin tamu default.

   • Akses pengguna tamu dibatasi pada properti dan keanggotaan objek direktori mereka sendiri (paling ketat): Dengan pengaturan ini, tamu hanya dapat mengakses profil mereka sendiri. Tamu tidak diizinkan melihat profil, grup, atau keanggotaan grup pengguna lain.

Untuk mengonfigurasi pengaturan undangan tamu

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Pengundang Tamu.

2. Telusuri ke >Identitas Eksternal Identitas Eksternal>pengaturan kolaborasi eksternal.

3. Di bagian Pengaturan undangan tamu, pilih pengaturan yang sesuai:

   

   • Siapa pun di organisasi dapat mengundang pengguna tamu termasuk tamu dan non-admin (paling inklusif): Untuk mengizinkan tamu di organisasi mengundang tamu lain termasuk pengguna yang bukan anggota organisasi, pilih tombol radio ini.
   • Pengguna anggota dan pengguna yang ditetapkan ke peran admin tertentu dapat mengundang pengguna tamu termasuk tamu yang memiliki izin anggota: Untuk mengizinkan pengguna dan pengguna anggota yang memiliki peran administrator khusus untuk mengundang tamu, pilih tombol radio ini.
   • Hanya pengguna yang ditetapkan ke peran admin tertentu yang dapat mengundang pengguna tamu: Untuk mengizinkan hanya pengguna dengan peran Administrator Pengguna atau Pengundang Tamu untuk mengundang tamu, pilih tombol radio ini.
   • Tidak ada satu orang pun di organisasi yang dapat mengundang pengguna tamu termasuk admin (paling ketat): Agar semua orang di organisasi tidak dapat mengundang tamu, pilih tombol radio ini.

Untuk mengonfigurasi pendaftaran layanan mandiri tamu

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Pengguna.

2. Telusuri ke >Identitas Eksternal Identitas Eksternal>pengaturan kolaborasi eksternal.

3. Di bagian Aktifkan pendaftaran layanan mandiri tamu melalui alur pengguna, pilih Ya jika Anda ingin dapat membuat alur pengguna yang memungkinkan pengguna mendaftar ke aplikasi. Untuk informasi selengkapnya tentang pengaturan ini, lihat Menambahkan alur pengguna pendaftaran layanan mandiri ke aplikasi.

   

Untuk mengonfigurasi pengaturan keluar pengguna eksternal

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Penyedia Identitas Eksternal.

2. Telusuri ke >Identitas Eksternal Identitas Eksternal>pengaturan kolaborasi eksternal.

3. Di bagian Pengaturan keluar pengguna eksternal, Anda dapat mengontrol apakah pengguna eksternal dapat menghapus diri mereka sendiri dari organisasi Anda.

   • Ya: Pengguna dapat keluar dari organisasi sendiri tanpa persetujuan dari admin atau bagian privasi Anda.
   • Tidak: Pengguna tidak akan dapat keluar sendiri dari organisasi. Mereka melihat pesan yang memandu mereka untuk menghubungi admin atau kontak privasi Anda untuk meminta penghapusan dari organisasi Anda.

   Penting

   Anda dapat mengonfigurasi pengaturan Keluar pengguna eksternal hanya jika Anda telah menambahkan informasi privasi ke penyewa Microsoft Entra Anda. Jika tidak, pengaturan ini tidak akan tersedia.

   

Untuk mengonfigurasi pembatasan kolaborasi (izinkan atau blokir domain)

Penting

Microsoft menyarankan agar Anda menggunakan peran dengan izin terkecil. Ini membantu meningkatkan keamanan untuk organisasi Anda. Administrator Global adalah peran yang sangat istimewa yang harus dibatasi pada skenario darurat ketika Anda tidak dapat menggunakan peran yang ada.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Global.

2. Telusuri ke >Identitas Eksternal Identitas Eksternal>pengaturan kolaborasi eksternal.

3. Di bagian Pembatasan kolaborasi, Anda dapat memilih apakah akan mengizinkan atau menolak undangan ke domain yang Anda tentukan dan memasukkan nama domain tertentu dalam kotak teks. Untuk beberapa domain, masukkan setiap domain di baris baru. Untuk mengetahui informasi selengkapnya, lihat Mengizinkan atau memblokir undangan ke pengguna B2B dari organisasi tertentu.

   

Mengonfigurasi setelan dengan Microsoft Graph

Setelan kolaborasi eksternal dapat dikonfigurasi dengan menggunakan Microsoft Graph API:

• Untuk Pembatasan akses pengguna tamu dan Pembatasan undangan tamu, gunakan jenis sumber daya authorizationPolicy.
• Untuk setelan Aktifkan pendaftaran mandiri tamu melalui alur pengguna, gunakan jenis sumber daya authenticationFlowsPolicy.
• Untuk pengaturan kode akses satu kali email (sekarang di halaman Semua penyedia identitas di pusat admin Microsoft Entra), gunakan jenis sumber daya emailAuthenticationMethodConfiguration .

Menetapkan peran Pengundang Tamu untuk pengguna

Dengan peran Pengundang Tamu, Anda dapat memberi pengguna individual kemampuan untuk mengundang tamu tanpa menetapkan peran administrator hak istimewa yang lebih tinggi kepada mereka. Pengguna dengan peran Pengundang Tamu dapat mengundang tamu bahkan ketika opsi Hanya pengguna yang ditetapkan ke peran admin tertentu yang dapat mengundang pengguna tamu dipilih (di bawah Pengaturan undangan tamu).

Berikut adalah contoh yang memperlihatkan cara menggunakan Microsoft Graph PowerShell untuk menambahkan pengguna ke peran:Guest Inviter

Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

Log masuk untuk pengguna B2B

Ketika pengguna B2B masuk ke penyewa sumber daya untuk berkolaborasi, log masuk dibuat di penyewa beranda dan penyewa sumber daya. Log ini mencakup informasi seperti aplikasi yang digunakan, alamat email, nama penyewa, dan ID penyewa untuk penyewa beranda dan penyewa sumber daya.

Langkah berikutnya

Lihat artikel berikut tentang kolaborasi Microsoft Entra B2B:

• Apa itu kolaborasi Microsoft Entra B2B?
• Menambahkan pengguna kolaborasi B2B ke peran