Бөлісу құралы:

Свойства пользователя совместной работы Microsoft Entra B2B

  • Мақала

Область применения: Зеленый круг с символом белой галочки. клиенты рабочей силы внешниеБелый круг с серым символом X. клиенты (дополнительные сведения)

Совместная работа B2B — это возможность Внешняя идентификация Microsoft Entra, которая позволяет сотрудничать с пользователями и партнерами за пределами вашей организации. При совместной работе B2B внешний пользователь может войти в свою организацию Microsoft Entra с помощью собственных учетных данных. Затем этот пользователь совместной работы B2B может получить доступ к приложениям и ресурсам, которым вы хотите поделиться с ними. Объект пользователя создается для пользователя службы совместной работы B2B в том же каталоге, что и сотрудники. Объекты пользователя совместной работы B2B имеют ограниченные привилегии в каталоге по умолчанию, и они могут управляться такими, как сотрудники, добавляться в группы и т. д. В этой статье рассматриваются свойства этого пользовательского объекта и способы управления им.

В следующей таблице описаны пользователи совместной работы B2B на основе того, как они проходят проверку подлинности (внутренне или вне) и их отношения с вашей организацией (гостем или участником).

Схема, на которой показаны пользователи службы совместной работы B2B.

  • Внешний гость: большинство пользователей, которые обычно считаются внешними пользователями или гостями, попадают в эту категорию. Этот пользователь службы совместной работы B2B имеет учетную запись во внешней организации Microsoft Entra или внешний поставщик удостоверений (например, социальное удостоверение), и у них есть разрешения на гостевой уровень в организации ресурсов. Объект пользователя, созданный в каталоге Microsoft Entra, имеет userType of Guest.
  • Внешний участник. Этот пользователь совместной работы B2B имеет учетную запись во внешней организации Microsoft Entra или внешний поставщик удостоверений (например, социальное удостоверение) и доступ на уровне участника к ресурсам в вашей организации. Этот сценарий распространен в организациях, состоящих из нескольких клиентов, где пользователи считаются частью более крупной организации и нуждаются в доступе на уровне участников к ресурсам в других клиентах организации. Объект пользователя, созданный в каталоге Microsoft Entra, имеет userType of Member.
  • Внутренний гость: до того, как microsoft Entra B2B совместной работы была доступна, было распространено совместная работа с распространителями, поставщиками, поставщиками и другими пользователями, настроив для них внутренние учетные данные и назначив их в качестве гостей, установив для пользователя объект UserType на guest. Если у вас есть внутренние гостевые пользователи, такие как эти, вы можете пригласить их использовать совместную работу B2B, чтобы они могли использовать свои собственные учетные данные, позволяя своему внешнему поставщику удостоверений управлять проверкой подлинности и жизненным циклом учетной записи.
  • Внутренний член: эти пользователи обычно считаются сотрудниками вашей организации. Пользователь выполняет проверку подлинности внутри пользователя с помощью идентификатора Microsoft Entra, а объект пользователя, созданный в каталоге Microsoft Entra, имеет userType of Member.

Тип пользователя, который вы выбрали, имеет следующие ограничения для приложений или служб (но не ограничивается):

Приложение или служба Ограничения
Power BI — Поддержка члена UserType в Power BI в настоящее время доступна в предварительной версии. Дополнительные сведения см. в статье Распространение содержимого Power BI внешним гостевым пользователям с помощью Microsoft Entra B2B.
Виртуальный рабочий стол Azure — Внешний член и внешний гость не поддерживаются в Виртуальном рабочем столе Azure.

Важный

Функция однократного секретного кода электронной почты теперь включена по умолчанию для всех новых клиентов и для всех существующих клиентов, где вы явно не отключили его. Если эта функция отключена, метод резервной проверки подлинности запрашивает приглашение на создание учетной записи Майкрософт.

Активация приглашения

Теперь давайте посмотрим, как выглядит пользователь совместной работы Microsoft Entra B2B в Внешняя идентификация Microsoft Entra.

Перед активацией приглашения

Учетные записи пользователей совместной работы B2B являются результатом приглашения гостевых пользователей для совместной работы с помощью собственных учетных данных гостевых пользователей. Когда приглашение изначально отправляется гостевого пользователя, в клиенте создается учетная запись. У этой учетной записи нет учетных данных, связанных с ним, так как проверка подлинности выполняется поставщиком удостоверений гостевого пользователя. Свойство удостоверений для гостевой учетной записи пользователя в каталоге устанавливается в домен организации узла, пока гостевой пользователь не будет активировать приглашение. Пользователь, отправляющий приглашение, добавляется в качестве значения по умолчанию для атрибута Спонсора в гостевой учетной записи пользователя. В центре администрирования профиль приглашенного пользователя будет отображать состояние внешнего пользователя в ОжиданииAcceptance. Запрос на externalUserState использование API Microsoft Graph возвращается Pending Acceptance.

Снимок экрана: профиль пользователя перед активацией.

После активации приглашения

После того как пользователь совместной работы B2B принимает приглашение, свойство Identityes обновляется на основе поставщика удостоверений пользователя.

  • Если пользователь совместной работы B2B использует учетную запись Майкрософт или учетные данные другого внешнего поставщика удостоверений, удостоверения отражают поставщика удостоверений, например учетную запись Майкрософт, google.com или facebook.com.

    Снимок экрана: профиль пользователя после активации.

  • Если пользователь совместной работы B2B использует учетные данные из другой организации Microsoft Entra, удостоверенияExternalAzureAD.

  • Для внешних пользователей, использующих внутренние учетные данные, свойство удостоверений устанавливается в домен организации узла. Свойство синхронизации каталога — Да, если учетная запись размещена в локальная служба Active Directory организации и синхронизируется с идентификатором Microsoft Entra или Нет, если учетная запись является облачной учетной записью Microsoft Entra. Сведения о синхронизации каталогов onPremisesSyncEnabled также доступны через свойство в Microsoft Graph.

Ключевые свойства пользователя совместной работы Microsoft Entra B2B

Имя участника-пользователя

Имя участника-пользователя для объекта пользователя совместной работы B2B (т. е. гостевых пользователей) содержит сообщение электронной почты гостевого пользователя, а затем #EXT#, а затем tenantname.onmicrosoft.com. Например, если пользователь добавляется в качестве внешнего пользователя в каталоге fabrikam, его имя участника-пользователя john@contoso.com будет john_contoso.com#EXT#@fabrikam.onmicrosoft.com.

Тип пользователя

Это свойство указывает отношение пользователя к узлу. Это свойство может иметь два значения:

  • Участник: это значение означает сотрудника хост-организации и пользователя в заработной плате организации. Например, этот пользователь ожидает доступа к внутренним сайтам. Этот пользователь не считается внешним сотрудником совместной работы.

  • Гость: это значение означает, что пользователь, который не считается внутренним для компании, например внешним партнером, партнером или клиентом. Такого пользователя не ожидается, что он получит внутреннюю записку генерального директора (генеральный директор) или получить преимущества компании, например.

Заметка

UserType не имеет отношения к тому, как пользователь входит в систему, роль каталога пользователя и т. д. Это свойство просто указывает отношение пользователя к хост-организации и позволяет организации применять политики, зависящие от этого свойства.

Удостоверения

Это свойство указывает основной поставщик удостоверений пользователя. У пользователя может быть несколько поставщиков удостоверений, которые можно просмотреть, выбрав ссылку рядом с удостоверениями в профиле пользователя или запросив identities свойство через API Microsoft Graph.

Заметка

Удостоверения и UserType являются независимыми свойствами. Значение удостоверений не означает определенное значение для UserType.

Значение свойства удостоверений Состояние входа
ExternalAzureAD Этот пользователь находится во внешней организации и проходит проверку подлинности с помощью учетной записи Microsoft Entra, которая принадлежит другой организации.
Учетная запись Майкрософт Этот пользователь находится в учетной записи Майкрософт и проходит проверку подлинности с помощью учетной записи Майкрософт.
{домен узла} Этот пользователь проходит проверку подлинности с помощью учетной записи Microsoft Entra, принадлежащую этой организации.
google.com Этот пользователь имеет учетную запись Gmail и зарегистрировался с помощью самообслуживания в другой организации.
facebook.com Этот пользователь имеет учетную запись Facebook и зарегистрировался с помощью самообслуживания в другой организации.
почта Этот пользователь зарегистрировался с помощью однократного секретного кода (OTP) Внешняя идентификация Microsoft Entra электронной почты.
{URI издателя} Этот пользователь расположен во внешней организации, которая не использует идентификатор Microsoft Entra в качестве поставщика удостоверений, но вместо этого использует поставщик удостоверений на основе WS-Fed язык разметки утверждений безопасности (SAML)/WS-Fed. URI издателя отображается при щелчке поля удостоверений.

Вход на телефон не поддерживается для внешних пользователей. Учетные записи B2B не могут использовать phone значение в качестве поставщика удостоверений.

Синхронизированный каталог

Синхронизированное свойство каталога указывает, синхронизируется ли пользователь с локальная служба Active Directory и выполняется ли проверка подлинности в локальной среде. Это свойство имеет значение "Да", если учетная запись размещена в локальная служба Active Directory организации и синхронизируется с идентификатором Microsoft Entra или нет, если учетная запись является облачной учетной записью Microsoft Entra. В Microsoft Graph синхронизированное свойство каталога соответствует onPremisesSyncEnabled.

Можно ли добавлять пользователей Microsoft Entra B2B в качестве участников вместо гостей?

Как правило, пользователь Microsoft Entra B2B и гостевой пользователь являются синонимами. Таким образом, пользователь совместной работы Microsoft Entra B2B добавляется как пользователь с UserType, который по умолчанию имеет значение Guest. Однако в некоторых случаях партнерская организация является членом более крупной организации, к которой также принадлежит хост-организация. Если это так, ведущая организация может потребовать рассматривать пользователей в партнерской организации как участников вместо гостей. Используйте API диспетчера приглашений Microsoft Entra B2B, чтобы добавить или пригласить пользователя из партнерской организации в хост-организацию в качестве участника.

Фильтрация гостевых пользователей в каталоге

В списке "Пользователи" можно использовать фильтр "Добавить", чтобы отобразить только гостевых пользователей в каталоге.

Снимок экрана: добавление фильтра типа пользователя для гостей.

Снимок экрана: фильтр для гостевых пользователей.

Преобразование UserType

Можно преобразовать UserType из участника в гостевую и наоборот, изменив профиль пользователя в Центре администрирования Microsoft Entra или с помощью PowerShell. Однако свойство UserType представляет отношение пользователя к организации. Поэтому следует изменить это свойство только в том случае, если отношение пользователя к организации изменяется. Если связь пользователя изменяется, следует ли изменить имя участника-пользователя (UPN) ? Должен ли пользователь продолжать иметь доступ к тем же ресурсам? Следует ли назначать почтовый ящик?

Разрешения гостевых пользователей

Гостевые пользователи имеют разрешения на ограниченный каталог по умолчанию. Они могут управлять собственным профилем, изменять свой пароль и получать некоторые сведения о других пользователях, группах и приложениях. Однако они не могут считывать все сведения о каталоге.

Гостевые пользователи B2B не поддерживаются в общих каналах Microsoft Teams. Для доступа к общим каналам см . прямую связь B2B.

Могут возникнуть случаи, когда вы хотите предоставить гостевым пользователям более высокие привилегии. Вы можете добавить гостевого пользователя в любую роль и даже удалить ограничения гостевых пользователей по умолчанию в каталоге, чтобы предоставить пользователю те же привилегии, что и участники. Можно отключить ограничения по умолчанию, чтобы гостевой пользователь в каталоге компании получил те же разрешения, что и пользователь-член. Дополнительные сведения см. Внешняя идентификация Microsoft Entra в статье об ограничении гостевого доступа.

Снимок экрана: параметр

Можно ли сделать гостевых пользователей видимыми в глобальном списке адресов Exchange?

Да. По умолчанию гостевые объекты не отображаются в глобальном списке адресов вашей организации, но вы можете использовать Microsoft Graph PowerShell, чтобы сделать их видимыми. Дополнительные сведения см. в статье "Добавление гостей в глобальный список адресов" в статье о гостевом доступе Microsoft 365 для каждой группы.

Можно ли обновить адрес электронной почты гостевого пользователя?

Если гостевой пользователь принимает приглашение и впоследствии изменяет свой адрес электронной почты, новое сообщение электронной почты не синхронизируется с гостевым объектом пользователя в каталоге. Свойство почты создается через API Microsoft Graph. Вы можете обновить свойство почты с помощью API Microsoft Graph, Центра администрирования Exchange или Exchange Online PowerShell. Это изменение будет отражено в объекте гостевого пользователя Microsoft Entra.

Связанное содержимое