Gestire gli account utente esterni in Microsoft Entra ID
Gli utenti di collaborazione di Microsoft Entra B2B vengono aggiunti come utenti guest alla directory e le autorizzazioni guest nella directory sono limitate per impostazione predefinita. L'azienda potrebbe avere bisogno di alcuni utenti guest per assumere i ruoli con privilegi più elevati nell'organizzazione. Per supportare la definizione di ruoli con privilegi più elevati, gli utenti guest possono essere aggiunti a qualsiasi ruolo, in base alle esigenze dell'organizzazione.
Aggiungere un utente B2B a un ruolo
Microsoft consiglia alle organizzazioni di usare la regola dei privilegi minimi. È possibile usare Privileged Identity Management (PIM) per concedere l'accesso agli utenti B2B/guest.
Proprietà chiave dell'utente di collaborazione di Microsoft Entra B2B
UserType
Questa proprietà indica la relazione tra l'utente e la tenancy host. I valori possibili per questa proprietà sono due.
Membro: questo valore indica un dipendente dell'organizzazione host e un utente retribuito dall'organizzazione. L'utente prevede ad esempio di avere accesso solo ai siti interni e non viene considerato un collaboratore esterno.
Guest: questo valore indica un utente che non è considerato interno all'azienda, ad esempio un collaboratore esterno, un partner o un cliente. È improbabile che un utente di questo tipo, ad esempio, riceva un promemoria interno del CEO o usufruisca di benefit aziendali.
Nota
La proprietà UserType non ha alcun legame con la modalità di accesso, con il ruolo della directory dell'utente e così via. Questa proprietà indica semplicemente la relazione dell'utente con l'organizzazione host e consente all'organizzazione di applicare i criteri che dipendono da questa proprietà.
Identità
Questa proprietà indica il provider di identità primario dell'utente. Un utente può avere diversi provider di identità, che possono essere visualizzati selezionando il collegamento accanto a Identità nel profilo dell'utente o eseguendo una query sulla proprietà Identities tramite Microsoft API Graph.
| Valore della proprietà Identities | Stato di accesso |
|---|---|
| Tenant esterno di Microsoft Entra | Questo utente è allocato in un'organizzazione esterna ed esegue l'autenticazione utilizzando un account Microsoft Entra appartenente all'altra organizzazione. |
| Account Microsoft | l'utente è incluso in un account Microsoft ed esegue l'autenticazione con un account Microsoft. |
| {dominio dell'host} | Questo utente esegue l'autenticazione utilizzando un account Microsoft Entra appartenente a questa organizzazione. |
| google.com | Questo utente ha un account Gmail e ha effettuato l'iscrizione usando la modalità self-service all'altra organizzazione. |
| facebook.com | Questo utente ha un account Facebook e ha effettuato l'iscrizione usando la modalità self-service all'altra organizzazione. |
| L'utente ha effettuato l'iscrizione usando il passcode monouso tramite posta elettronica di Microsoft Entra. | |
| {URI autorità di certificazione} | Questo utente si trova in un'organizzazione esterna che non usa Microsoft Entra ID come provider di identità, ma usa invece un provider di identità basato su SAML/WS-Fed. |
Gli utenti di Microsoft Entra B2B possono essere aggiunti come membri anziché come utenti guest?
In genere, un utente di Microsoft Entra B2B e un utente guest sono sinonimi. Pertanto, un utente di collaborazione di Microsoft Entra B2B viene aggiunto come utente con UserType = Guest per impostazione predefinita. In alcuni casi, tuttavia, l'organizzazione partner fa parte di un'organizzazione più ampia a cui appartiene anche l'organizzazione host. In tal caso, l'organizzazione host potrebbe voler considerare gli utenti dell'organizzazione partner come membri e non come utenti guest. Utilizzare le proprietà utente di Microsoft Entra per modificare un utente guest in membro.
Filtrare gli utenti guest nella directory
Convertire UserType
È possibile convertire UserType da Membro a Guest e viceversa usando PowerShell. Tuttavia, la proprietà UserType rappresenta la relazione dell'utente con l'organizzazione. Di conseguenza, è consigliabile modificare questa proprietà solo se la relazione dell'utente con l'organizzazione cambia. Se la relazione dell'utente cambia, è necessario modificare anche il nome dell'entità utente (UPN)? L'utente deve continuare ad avere accesso alle stesse risorse? È necessario assegnare una cassetta postale all'utente? Non è consigliabile modificare UserType con PowerShell come attività atomica. Inoltre, se questa proprietà non è più modificabile con PowerShell, non è consigliabile creare una dipendenza da questo valore.
Rimuovere le limitazioni dell'utente guest
In alcuni casi potrebbe essere necessario assegnare agli utenti guest privilegi più elevati. È possibile aggiungere un utente guest a qualsiasi ruolo nonché rimuovere le limitazioni dell'utente guest predefinito nella directory per assegnare all'utente gli stessi privilegi dei membri. È possibile disattivare le limitazioni predefinite in modo che un utente guest nella directory aziendale abbia le stesse autorizzazioni di un utente membro. Rimuovere la limitazione nelle impostazioni utente nel menu Microsoft Entra ID.
Gruppi dinamici e collaborazione di Microsoft Entra B2B
Che cosa sono i gruppi dinamici
La configurazione dinamica dell'appartenenza a gruppi di sicurezza per Microsoft Entra ID è disponibile nel portale di Azure. Gli amministratori possono impostare regole per popolare i gruppi creati in Microsoft Entra ID in base agli attributi utente, ad esempio userType, reparto o Paese/area geografica. I membri possono essere automaticamente aggiunti o rimossi in un gruppo di sicurezza in base agli attributi. Questi gruppi possono fornire accesso ad applicazioni o a risorse cloud, (documenti, siti di SharePoint) e per assegnare licenze ai membri.
Per creare e usare gruppi dinamici, è necessaria la licenza di Microsoft Entra ID Premium P1 o P2 appropriata.