Управление доступом для внешних пользователей в управлении правами

Управление правами использует Microsoft Entra business-to-business (B2B) для совместного доступа, чтобы вы могли совместно работать с людьми за пределами вашей организации. При использовании Microsoft Entra B2B внешние пользователи проходят проверку подлинности в своем домашнем каталоге, но имеют представление в каталоге. Представление в каталоге позволяет назначать пользователю доступ к ресурсам.

В этой статье описываются параметры, которые можно использовать для управления доступом внешних пользователей.

Преимущества управления правами

При использовании интерфейса приглашения Microsoft Entra B2B необходимо уже знать адреса электронной почты внешних гостевых пользователей, с которыми вы хотите войти в каталог ресурсов и работать с ним. Приглашать каждого пользователя напрямую удобно, если вы работаете над небольшим или краткосрочным проектом и уже знаете всех участников. Однако этим процессом сложнее управлять, если вы работаете со множеством пользователей или состав участников со временем меняется. Например, вы можете работать с другой организацией и иметь одну точку контакта с этой организацией, но с течением времени больше пользователей из этой организации также потребуется доступ.

Благодаря управлению правами вы можете определить политику, которая разрешает пользователям из указанных организаций самостоятельно запрашивать пакет для доступа. Эта политика включает сведения о том, нужны ли утверждения и проверки доступа, а также дату окончания срока, на который предоставляется доступ. В большинстве случаев требуется утверждение, чтобы иметь соответствующий надзор над тем, какие пользователи будут доставлены в каталог. Если требуется утверждение, то для крупных внешних партнеров организации может потребоваться пригласить одного или нескольких пользователей из внешней организации в каталог, назначить их в качестве спонсоров и настроить, что спонсоры являются утверждающими, так как они, скорее всего, знают, какие внешние пользователи из своей организации нуждаются в доступе. После настройки пакета доступа получите ссылку на запрос пакета доступа, чтобы вы могли отправить эту ссылку контактному лицу (спонсору) во внешней организации. Это контактное лицо может предоставлять доступ другим пользователям в своей организации, а также использовать ссылку, чтобы запрашивать пакет для доступа. Пользователи из этой организации, которые уже приглашены в каталог, также могут использовать такую ссылку.

Вы также можете использовать управление правами для привлечения пользователей из организаций, у которых нет собственного каталога Microsoft Entra. Вы можете настроить федеративный поставщик удостоверений для своего домена или использовать проверку подлинности на основе электронной почты. Вы также можете принести пользователей из поставщиков удостоверений социальных сетей, включая пользователей с учетными записями Майкрософт.

Как правило, при утверждении запроса управление правами подготавливает пользователя к необходимому доступу. Если каталог еще не доступен пользователю, для начала система управления правами пригласит его. При приглашении пользователя идентификатор Microsoft Entra автоматически создает для них гостевую учетную запись B2B, но не отправляет пользователю сообщение электронной почты. Администратор может ограничить, какие организации разрешены для совместной работы, задав список разрешений или блокировок B2B, чтобы разрешить или заблокировать приглашения в домены других организаций. Если домен пользователя не разрешен этими списками, он не приглашен и не может быть назначен доступ до тех пор, пока списки не будут обновлены.

Так как вы не хотите, чтобы доступ внешнего пользователя длиться вечно, вы указываете дату окончания срока действия в политике, например 180 дней. После 180 дней, если доступ не расширен, управление правами будет удалять все доступы, связанные с этим пакетом доступа. По умолчанию, если пользователь, приглашенный через управление правами, не имеет других назначений пакетов доступа, то при потере последнего назначения их гостевая учетная запись заблокирована для входа в течение 30 дней и более поздних версий. Это предотвращает накопление ненужных учетных записей. Как рассказывается в следующих разделах, эти параметры можно настраивать.

Принцип работы доступа для внешних пользователей

Приведенные ниже схема и инструкции помогут вам получить представление о том, как внешние пользователи получают права на пакет для доступа.

1. Вы добавляете подключенную организацию для каталога Microsoft Entra или домена, с которым вы хотите сотрудничать. Вы также можете настроить подключенную организацию для поставщика удостоверений социальных сетей.

2. Проверьте параметр каталога включено для внешних пользователей в каталоге, чтобы содержать пакет доступа "Да".

3. Вы создаете пакет доступа в каталоге, который включает политику для пользователей, не входящих в каталог , и указывает подключенные организации, которые могут запрашивать, утверждающий и параметры жизненного цикла. Если выбрать в политике параметр определенных подключенных организаций или вариант всех подключенных организаций, то только пользователи из тех организаций, которые ранее были настроены, могут запрашивать. Если выбрать в политике параметр всех пользователей, любой пользователь может запросить, включая те, которые еще не являются частью каталога, а не частью любой подключенной организации.

4. Проверьте скрытый параметр пакета доступа, чтобы убедиться, что пакет доступа скрыт. Если он не скрыт, любой пользователь, разрешенный параметрами политики в этом пакете доступа, может найти пакет доступа на портале My Access для вашего клиента.

5. Вы отправляете контактному лицу из внешней организации ссылку на портал “Мой доступ”, которую этот представитель может передать своим пользователям, чтобы те запрашивали пакет для доступа.

6. Внешний пользователь (в этом примере — Запрашивающий А) использует ссылку на портал “Мой доступ”, чтобы запросить доступ к пакету для доступа. Портал "Мой доступ" требует, чтобы пользователь войдите в систему в рамках подключенной организации. Способ входа пользователя зависит от типа проверки подлинности в каталоге или на домене, определенного в подключенной организации и параметрах внешних пользователей.

7. Утверждающий утверждает запрос (если политика требует утверждения).

8. Запрос переходит в состояние доставки.

9. В ходе процесса приглашения B2B в каталоге создается гостевая учетная запись (в этом примере — Запрашивающий А (гость)). Если определен список разрешений или блок-список, применяется параметр списка.

10. Гостевому пользователю предоставляется доступ ко всем ресурсом, входящим в пакет для доступа. Для внесения изменений в идентификатор Microsoft Entra и других веб-служб Майкрософт или подключенных приложений SaaS может потребоваться некоторое время. Дополнительные сведения см. в разделе Когда применяются изменения.

11. Внешний пользователь получает электронное письмо о том, что ему предоставлен доступ.

12. Чтобы получить доступ к ресурсам, внешний пользователь может выбрать ссылку в сообщении электронной почты или попытаться получить доступ к любому из ресурсов каталога непосредственно для завершения процесса приглашения.

13. Если в параметрах политики указана дата окончания срока действия, то по истечении этого срока в назначении пакета для доступа права внешнего пользователя в отношении этого пакета удаляются.

14. В зависимости от жизненного цикла параметров внешних пользователей, когда внешний пользователь больше не имеет назначений пакетов доступа, внешний пользователь блокирует вход, а внешняя учетная запись пользователя удаляется из каталога.

Параметры для внешних пользователей

Чтобы гарантировать, что пользователи за пределами организации могут запрашивать пакеты для доступа и получать доступ к ресурсам из этих пакетов, необходимо проверить правильность настройки некоторых параметров.

Включение каталога для внешних пользователей

• По умолчанию при создании нового каталога она включена, чтобы разрешить внешним пользователям запрашивать пакеты доступа в каталоге. Убедитесь, что для параметра Включен для внешних пользователей задано значение Да.

  

  Если вы являетесь администратором или владельцем каталога, вы можете просмотреть список каталогов, включенных для внешних пользователей в списке каталогов Центра администрирования Microsoft Entra, изменив параметр фильтра для включения для внешних пользователей на "Да". Если любой из этих каталогов, показанных в этом отфильтрованном представлении, имеет ненулевое количество пакетов доступа, эти пакеты доступа могут иметь политику для пользователей, не входящих в каталог , которые позволяют внешним пользователям запрашивать.

Настройка параметров внешней совместной работы Microsoft Entra B2B

• Если гостям разрешено приглашать в каталог других гостей, то приглашения могут отправляться вне области действия управления правами. Рекомендуем задать для параметра Гости могут приглашать других пользователей значение Нет, чтобы разрешить только надлежащим образом контролируемые приглашения.

• Если вы ранее использовали список разрешений B2B, необходимо удалить этот список или убедиться, что все домены всех организаций, с которыми вы хотите сотрудничать с использованием управления правами, добавляются в список. Кроме того, если вы используете список блокировок B2B, необходимо убедиться, что в этом списке нет домена какой-либо организации, с которой вы хотите сотрудничать.

• Если была создана политика управления правами для всех пользователей (всех подключенных организаций и новых внешних пользователей) и пользователь не относится к подключенной организации в каталоге, то после отправки запроса на получение пакета для него будет автоматически создана подключенная организация. Однако все параметры разрешения или блокировки B2B, которые у вас есть, имеют приоритет. Поэтому необходимо удалить список разрешений, если вы использовали его, чтобы все пользователи могли запрашивать доступ и исключать все авторизованные домены из списка блокировок, если вы используете блок-список.

• Если вам нужно создать политику управления правами, которая включает всех пользователей (все подключенные организации и новых внешних пользователей), необходимо сначала включить для каталога проверку подлинности с отправкой одноразового секретного кода по электронной почте. Дополнительные сведения см. в статье Проверка подлинности с отправкой одноразового секретного кода по электронной почте.

• Дополнительные сведения о параметрах внешней совместной работы Microsoft Entra B2B см. в разделе "Настройка параметров внешней совместной работы".

  

Просмотр параметров доступа между клиентами

• Убедитесь, что параметры доступа между клиентами для входящего взаимодействия B2B позволяют запрашивать и назначать доступ. Убедитесь, что параметры позволяют клиентам, которые являются частью ваших текущих или будущих подключенных организаций, и что пользователи из этих клиентов не заблокированы. Кроме того, убедитесь, что эти пользователи разрешены параметрами доступа между клиентами, чтобы иметь возможность проходить проверку подлинности в приложениях, для которых требуется включить сценарии совместной работы. Дополнительные сведения см. в разделе "Настройка параметров доступа между клиентами".
• Если вы создаете подключенную организацию для клиента Microsoft Entra из другого облака Майкрософт, необходимо также настроить параметры доступа между клиентами соответствующим образом. Дополнительные сведения см. в разделе "Настройка параметров облака Майкрософт".

Проверка политик условного доступа

• Не забудьте исключить приложение "Управление правами" из любых политик условного доступа, влияющих на гостевых пользователей. В противном случае политика условного доступа может заблокировать доступ к MyAccess или войти в каталог. Например, у гостей, скорее всего, нет зарегистрированного устройства, они не в известном расположении и не хотят повторно зарегистрировать для многофакторной проверки подлинности (MFA), поэтому добавление этих требований в политику условного доступа блокирует использование гостей с помощью управления правами. Дополнительные сведения см. в разделе "Что такое условия в условном доступе Microsoft Entra?".

• Если условный доступ блокирует все облачные приложения, помимо исключения приложения управления правами, убедитесь, что платформа чтения утверждений запросов также исключена в политике условного доступа (ЦС). Сначала убедитесь, что у вас есть необходимые роли: администратор условного доступа, администратор приложения, администратор назначения атрибутов и администратор определения атрибутов. Затем создайте настраиваемый атрибут безопасности с соответствующим именем и значениями. Найдите субъект-службу для платформы чтения утверждений запросов в корпоративных приложениях и назначьте пользовательский атрибут с выбранным значением для этого приложения. В политике ЦС примените фильтр, чтобы исключить выбранные приложения на основе имени пользовательского атрибута и значения, присвоенного платформе чтения утверждений запросов. Дополнительные сведения о фильтрации приложений в политиках ЦС см. в статье : Условный доступ: Фильтр для приложений

  

  

  

Примечание.

Приложение "Управление правами" включает в себя часть управления правами MyAccess, сторону управления правами в Центре администрирования Microsoft Entra и часть управления правами в графе MS. Последние два требуют дополнительных разрешений для доступа, поэтому гости не будут обращаться к ним, если не предоставлено явное разрешение.

Проверка параметров внешнего доступа в SharePoint Online

• Если вы хотите включить сайты SharePoint Online в пакеты доступа для внешних пользователей, убедитесь, что для параметра внешнего общего доступа уровня организации задано значение "Любой пользователь " (пользователи не требуют входа) или новые и существующие гости (гости должны войти или предоставить код проверки). Дополнительные сведения см. в разделе о включении и отключении внешнего доступа.

• Чтобы ограничить внешний доступ за пределами системы управления правами, можно задать для параметра внешнего доступа значение Существующие гости. Затем только новые пользователи, приглашенные через управление правами, могут получить доступ к этим сайтам. Дополнительные сведения см. в разделе о включении и отключении внешнего доступа.

• Убедитесь, что в параметрах на уровне сайта включен гостевой доступ (настройте параметры так же, как указано выше). Дополнительные сведения см. в статье Изменение параметров общего доступа для сайта.

Проверка параметров группового доступа в Microsoft 365

• Если вам нужно включить группы Microsoft 365 в пакеты для доступа внешних пользователей, убедитесь, что для параметра Разрешить пользователям добавлять гостей в организацию задано значение Включено, чтобы разрешить гостевой доступ. Дополнительные сведения см. в разделе Управление гостевым доступом к группам Microsoft 365.

• Если вам нужно, чтобы внешние пользователи могли получить доступ к сайту SharePoint Online и ресурсам, связанным с группой Microsoft 365, убедитесь, что в SharePoint Online включен внешний доступ. Дополнительные сведения см. в разделе о включении и отключении внешнего доступа.

• Сведения о том, как настроить политику гостевого доступа для групп Microsoft 365 на уровне каталога с помощью PowerShell, см. в разделе Пример. Настройка гостевой политики для групп на уровне каталога.

Проверка параметров общего доступа в Teams

• Если вы хотите включить Teams в пакеты для доступа внешних пользователей, убедитесь, что для параметра Разрешить гостевой доступ в Microsoft Teams задано значение Включено, чтобы разрешить гостевой доступ. Дополнительные сведения см. в разделе Настройка гостевого доступа в Центре администрирования Microsoft Teams.

Управление жизненным циклом внешних пользователей

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Вы можете выбрать, что происходит, когда у внешнего пользователя, приглашенного в каталог при помощи запроса на получение пакета для доступа, не остается назначенных пакетов для доступа. Такая ситуация может возникнуть, если пользователь освобождает все назначения пакетов для доступа либо истекает срок последнего назначения пакета для доступа. По умолчанию, когда внешний пользователь больше не имеет назначений пакетов доступа, они заблокированы для входа в каталог. Через 30 дней учетная запись гостевого пользователя удаляется из вашей директории. Вы также можете настроить, что внешний пользователь не заблокирован при входе или удалении, или что внешний пользователь не блокирует вход, но удаляется.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

2. Перейдите к параметрам управления>правами управления>удостоверениями.

3. Выберите Изменить.

   

4. В разделе Управление жизненным циклом внешних пользователей выберите различные параметры для внешних пользователей.

5. Если вы хотите блокировать вход в этот каталог, когда внешний пользователь теряет последний назначенный ему пакет для доступа, задайте для параметра Блокировать для внешнего пользователя вход в этот каталог значение Да.

   Примечание.

   Управление правами блокирует вход только внешних гостевых учетных записей пользователей, которые были приглашены с помощью управления правами или которые были добавлены в управление правами для управления жизненным циклом путем преобразования учетной записи гостевого пользователя в управляемый. Кроме того, обратите внимание, что пользователь будет заблокирован для входа, даже если этот пользователь был добавлен в ресурсы в этом каталоге, которые не имели доступа к назначениям пакетов. Если пользователю запрещено входить в каталог, он не сможет снова запросить пакет для доступа или дополнительные права доступа в этом каталоге. Не настраивайте блокировку входа, если впоследствии им потребуется запросить доступ к этим или другим пакетам доступа.

6. Если вы хотите удалять гостевую учетную запись внешнего пользователя, когда он теряет последний назначенный ему пакет для доступа в этом каталоге, задайте для параметра Удалить внешнего пользователя значение Да.

   Примечание.

   Управление правами удаляет только внешние учетные записи гостевых пользователей, которые были приглашены с помощью управления правами или которые были добавлены в управление правами для управления жизненным циклом путем преобразования учетной записи гостевого пользователя в управляемый. Кроме того, обратите внимание, что пользователь будет удален из этого каталога, даже если этот пользователь был добавлен в ресурсы в этом каталоге, которые не имели доступа к назначениям пакетов. Если гостевая учетная запись присутствовала в этом каталоге, прежде чем получать доступ к назначениям пакета, она там и останется. Однако если гостевая виртуальная машина была приглашена с помощью назначения пакета Access, а после приглашения была назначена на сайт OneDrive для бизнеса или SharePoint Online, она все равно будет удалена. Изменение параметра "Удалить внешнего пользователя" на "Нет только" влияет на пользователей, которые впоследствии теряют свое последнее назначение пакета доступа; пользователи, которые были запланированы на удаление и заблокированы при входе, по-прежнему будут удалены в исходном расписании.

7. Если вы хотите удалить учетную запись гостевого пользователя в этом каталоге, можно задать количество дней до его удаления. Хотя внешний пользователь уведомляется о истечении срока действия пакета доступа, уведомление об удалении учетной записи отсутствует. Если вы хотите удалить учетную запись гостя, как только она потеряет свое последнее назначение пакетам доступа, задайте для числа дней перед удалением внешнего пользователя из этого каталога значение 0. Изменения этого значения влияют только на пользователей, которые впоследствии используют назначение пакета последнего доступа; Пользователи, которые были запланированы на удаление, по-прежнему будут удалены в исходном расписании.

8. Выберите Сохранить.

Следующие шаги

• Добавление подключенной организации
• для пользователей вне вашего каталога,
• Устранение неполадок