Управление подключенными организациями в управлении правами
С помощью управления правами вы можете сотрудничать с людьми за пределами организации. При частой совместной работе с многими пользователями из определенных внешних организаций можно добавить источники удостоверений этой организации в качестве подключенных организаций. Наличие подключенной организации упрощает запрос доступа к другим пользователям из этих организаций. В этой статье описывается, как добавить подключенную организацию, чтобы разрешить пользователям за пределами организации запрашивать ресурсы в каталоге.
Что такое подключенная организация?
Подключенная организация — это другая организация, с которой у вас есть отношение. Чтобы пользователи в этой организации могли получать доступ к ресурсам, таким как сайты или приложения SharePoint Online, необходимо представление пользователей этой организации в этом каталоге. Поскольку в большинстве случаев пользователи в этой организации еще не в каталоге Microsoft Entra, вы можете использовать управление правами для их доставки в каталог Microsoft Entra по мере необходимости.
Если вы хотите предоставить путь для всех, кто запрашивает доступ, и вы не уверены, какие организации могут быть новыми пользователями, вы можете настроить политику назначения пакетов доступа для пользователей, не входящих в каталог. В этой политике выберите параметр "Все пользователи" (все подключенные организации и любые новые внешние пользователи). Если запрашивающий объект утвержден, и они не принадлежат подключенной организации в каталоге, для них автоматически будет создана подключенная организация.
Если вы хотите разрешить только пользователям из назначенных организаций запрашивать доступ, сначала создайте эти подключенные организации. Во-вторых, настройте политику назначения пакетов доступа для пользователей, не входящих в каталог, выберите параметр "Определенные подключенные организации" и выберите созданные организации.
Существует четыре способа управления правами, которые позволяют указать пользователей, которые формируют подключенную организацию. Это может быть:
- пользователи другого каталога Microsoft Entra (из любого облака Майкрософт),
- пользователи другого каталога, отличного от Майкрософт, настроенные для федерации поставщика удостоверений SAML/WS-Fed (IdP),
- пользователи в другом каталоге, отличном от Майкрософт, адреса электронной почты которых имеют одно и то же доменное имя, общее и конкретное для этой организации, или
- пользователи с учетной записью Майкрософт, например из домена live.com, если у вас есть бизнес-потребность в совместной работе с пользователями, у которых нет общей организации.
Например, вы работаете в банке Woodgrove Bank и хотите сотрудничать с двумя внешними организациями. Вы хотите предоставить пользователям как внешним организациям доступ к тем же ресурсам, но эти две организации имеют разные конфигурации:
- Компания Contoso пока не использует идентификатор Microsoft Entra. У пользователей Contoso есть адрес электронной почты, заканчивающийся contoso.com.
- В графическом институте дизайна используется идентификатор Microsoft Entra, а у некоторых пользователей есть имя участника-пользователя, которое заканчивается graphicdesigninstitute.com.
В этом случае можно настроить две подключенные организации, а затем один пакет доступа с одной политикой.
- Убедитесь, что вы включили проверку подлинности однократного секретного кода электронной почты (OTP), чтобы пользователи из этих доменов, которые еще не являются частью каталогов Microsoft Entra, прошедших проверку подлинности с помощью однократного секретного кода электронной почты при запросе доступа к ресурсам или более поздней версии. Кроме того, может потребоваться настроить параметры внешней совместной работы Microsoft Entra B2B, чтобы разрешить внешним пользователям доступ.
- Создайте подключенную организацию для Contoso. При указании contoso.com домена управление правами распознает, что с этим доменом нет существующего клиента Microsoft Entra, и что пользователи из этой подключенной организации будут распознаны, если они проходят проверку подлинности с помощью однократного секретного кода электронной почты с помощью домена contoso.com адреса электронной почты.
- Создайте другую подключенную организацию для института графического проектирования. При указании graphicdesigninstitute.com домена управление правами признает, что с этим доменом связан клиент.
- В каталоге, который позволяет внешним пользователям запрашивать, создайте пакет доступа.
- В этом пакете доступа создайте политику назначения пакетов доступа для пользователей, которые еще не в каталоге. В этой политике выберите параметр "Определенные подключенные организации " и укажите две подключенные организации. Это позволяет пользователям из каждой организации с источником удостоверений, соответствующим одному из подключенных организаций, запрашивать пакет доступа.
- Когда внешние пользователи с именем участника-пользователя с доменом contoso.com запрашивают пакет доступа, они проходят проверку подлинности с помощью электронной почты. Этот домен электронной почты соответствует организации, подключенной к Contoso, и пользователю будет разрешено запрашивать пакет. После запроса, как работает доступ для внешних пользователей, описывает, как пользователь B2B затем приглашен и доступ назначается внешнему пользователю.
- Кроме того, внешние пользователи, использующие учетную запись организации из клиента Института графического проектирования, соответствуют организации, подключенной к институту графического проектирования, и могут запрашивать пакет доступа. И, поскольку в институте графического проектирования используется идентификатор Microsoft Entra, все пользователи с основным именем, который соответствует другому проверенному домену , который добавляется в клиент Института графического дизайна, например графическийdesigninstitute.example, также сможет запрашивать пакеты доступа с помощью той же политики.
Способ проверки подлинности пользователей из каталога Microsoft Entra или домена зависит от типа проверки подлинности. Типы проверки подлинности для подключенных организаций
- Идентификатор Microsoft Entra в том же облаке
- Идентификатор Microsoft Entra в другом облаке
- Федерация поставщика удостоверений SAML/WS-Fed (IdP)
- Одноразовый пароль (домен)
- Учетная запись Майкрософт
Пример добавления подключенной организации см. в следующем видео.
Просмотр списка подключенных организаций
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.
Перейдите к подключенным организациям по управлению правами управления>удостоверениями>.
В поле поиска можно найти подключенную организацию по имени подключенной организации. Однако не удается найти доменное имя.
Добавление подключенной организации
Чтобы добавить внешний каталог Microsoft Entra или домен в качестве подключенной организации, следуйте инструкциям в этом разделе.
Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.
Перейдите к подключенным организациям по управлению правами управления>удостоверениями>.
На странице "Подключенные организации" выберите "Добавить подключенную организацию".
Перейдите на вкладку Основы и введите отображаемое имя и описание для организации.
Состояние автоматически получит значение Настроено при создании новой подключенной организации. Дополнительные сведения о свойстве состояния подключенной организации см. в разделе "Состояние" подключенных организаций
Перейдите на вкладку Каталог и домен и выберите Добавить каталог и домен.
Откроется область выбора каталогов и доменов .
В поле поиска введите доменное имя для поиска каталога или домена Microsoft Entra. Вы также можете добавить домены, которые не связаны с любым каталогом Microsoft Entra. Обязательно введите полное доменное имя.
Проверьте правильность имен организаций и типов проверки подлинности. Вход пользователя перед получением доступа на портал MyAccess зависит от типа проверки подлинности для его организации. Если тип проверки подлинности для подключенной организации является идентификатором Microsoft Entra, все пользователи с учетной записью в каталоге этой организации, с любым проверенным доменом этого каталога Microsoft Entra, будут входить в свой каталог, а затем запрашивать доступ к пакетам, которые позволяют этой подключенной организации. Если выбран тип проверки подлинности "Одноразовый секретный код", то перейти на портал MyAccess смогут только пользователи с адресами электронной почты из этого домена. После проверки подлинности с помощью секретного кода пользователь может отправить запрос.
Примечание.
Доступ из некоторых доменов может быть заблокирован бизнесом Microsoft Entra для бизнеса (B2B) разрешить или запретить список. Кроме того, пользователи с адресом электронной почты с тем же доменом, что и подключенная организация, настроенная для проверки подлинности Microsoft Entra, но не прошедшие проверку подлинности в этом каталоге Microsoft Entra, не будут распознаны как часть подключенной организации. Дополнительные сведения см. в статье Предоставление или отзыв приглашений пользователям B2B из отдельных организаций.
Выберите " Добавить", чтобы добавить каталог Или домен Microsoft Entra. Можно добавить несколько каталогов и доменов Microsoft Entra.
После добавления каталогов или доменов Microsoft Entra нажмите кнопку "Выбрать".
Организации появятся в списке.
Перейдите на вкладку Спонсоры и добавьте дополнительных спонсоров для этой подключенной организации.
Спонсоры — это внутренние или внешние пользователи, уже находящиеся в каталоге, которые являются точкой контакта для связи с этой подключенной организацией. Внутренние спонсоры — это пользователи, входящие в ваш каталог. Внешние спонсоры — это гостевые пользователи из подключенной организации, которые были приглашены ранее и уже находятся в вашем каталоге. Спонсоры могут использоваться как утверждающие, когда пользователи в этой подключенной организации запрашивают доступ к этому пакету для доступа. Сведения о том, как пригласить гостевого пользователя в каталог, см. в разделе "Добавление пользователей совместной работы Microsoft Entra B2B".
При нажатии элемента Добавить/удалить открывается область, в которой можно выбрать внутренних или внешних спонсоров. На этой панели отображается нефильтрованный список пользователей и групп в каталоге.
На вкладке Проверка и создание просмотрите выбранные параметры и нажмите Создать.
Обновление подключенной организации
Если подключенная организация изменит домен, название организации изменится или вы захотите изменить спонсоров, можно обновить подключенную организацию, следуя инструкциям в этом разделе.
Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.
Перейдите к подключенным организациям по управлению правами управления>удостоверениями>.
На странице "Подключенные организации" выберите подключенную организацию, которую вы хотите обновить.
В области обзора подключенной организации нажмите Изменить, чтобы изменить название организации, ее описание или состояние.
В области Каталог и домен выберите Обновить каталог и домен, чтобы перейти в другой каталог или домен.
В области Спонсоры выберите Добавить внутренних спонсоров или Добавить внешних спонсоров, чтобы добавить пользователя в качестве спонсора. Чтобы удалить спонсора, выберите его и в правой области нажмите Удалить.
Удаление подключенной организации
Если у вас больше нет связи с внешним каталогом Или доменом Microsoft Entra, или вы больше не хотите иметь предлагаемую подключенную организацию, вы можете удалить подключенную организацию.
Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.
Перейдите к подключенным организациям по управлению правами управления>удостоверениями>.
На странице "Подключенные организации" выберите подключенную организацию, которую нужно удалить, чтобы открыть ее.
В области обзора подключенной организации нажмите Удалить, чтобы удалить ее.
Программное управление подключенной организацией
Вы также можете создавать, перечислять, обновлять и удалять подключенные организации с помощью Microsoft Graph. Пользователь в соответствующей роли с приложением с делегированным разрешением EntitlementManagement.ReadWrite.All
может вызывать API для управления объектами connectedOrganization и установки спонсоров для них.
Управление подключенными организациями с помощью Microsoft PowerShell
Вы также можете управлять подключенными организациями в PowerShell с помощью командлетов Microsoft Graph PowerShell для модуля управления удостоверениями версии 1.16.0 или более поздней версии.
Следующий сценарий иллюстрирует использование v1.0
профиля Graph для получения всех подключенных организаций. Каждая возвращаемая подключенная организация содержит список identitySources каталогов и доменов этой подключенной организации.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$co = Get-MgEntitlementManagementConnectedOrganization -all
foreach ($c in $co) {
foreach ($i in $c.identitySources) {
write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
}
}
Свойство состояния подключенных организаций
Существует два разных состояния для подключенных организаций в управлении правами, настроенных и предлагаемых:
Настроенная организация — это полностью функциональная организация, которая позволяет пользователям в этой организации получать доступ к пакетам. Когда администратор создает новую подключенную организацию в Центре администрирования Microsoft Entra, он находится в настроенном состоянии по умолчанию, так как администратор создал и хочет использовать эту подключенную организацию. Кроме того, когда подключенная организация создается программным путем через API, состояние по умолчанию будет Настроено, если явно не задано другое состояние.
Настроенные подключенные организации отображаются в средства выбора для подключенных организаций и будут находиться в области всех политик, предназначенных для всех настроенных подключенных организаций.
Предлагаемая подключенная организация является подключенной организацией, которая была создана автоматически, но не была создана администратором или утвердить организацию. Когда пользователь регистрирует пакет доступа за пределами настроенной организации, все автоматически созданные подключенные организации находятся в предлагаемом состоянии, так как ни один администратор в клиенте не настроит это партнерство.
Предлагаемые подключенные организации не относятся к параметру "все настроенные подключенные организации" для любых политик, но их можно использовать только для политик, предназначенных для конкретных организаций.
Запрашивать пакеты для доступа, которые доступны пользователям из всех настроенных организаций, могут лишь пользователи из настроенных подключенных организаций. Пользователи из предлагаемых подключенных организаций имеют опыт, как если бы для этого домена нет подключенной организации; может просматривать и запрашивать пакеты доступа, относящиеся к определенной организации или ограниченному любому пользователю. Если у вас есть политики в клиенте, разрешающие "все настроенные организации", убедитесь, что вы не преобразуете предлагаемые подключенные организации для поставщиков удостоверений социальных сетей в настроенный.
Примечание.
В рамках развертывания этой новой функции все подключенные организации, созданные до 09.09.20, считаются настроенными. Если у вас есть пакет для доступа, который разрешал регистрацию пользователям из любой организации, следует просмотреть список подключенных организаций, созданных до этой даты, чтобы убедиться, что они не находятся в категории настроенных по ошибке. В частности, поставщики удостоверений социальных сетей не должны указываться как настроенные , если существуют политики назначения, которые не требуют утверждения для пользователей из всех настроенных подключенных организаций. Администратор может обновить свойство Состояние соответствующим образом. Инструкции см. в статье Обновление подключенной организации.
Примечание.
В некоторых случаях пользователь может запросить пакет доступа с помощью личная учетная запись от поставщика удостоверений социальных сетей, где адрес электронной почты этой учетной записи имеет тот же домен, что и существующая подключенная организация, соответствующая клиенту Microsoft Entra. Если этот пользователь утвержден, он приведет к новой предлагаемой подключенной организации, представляющей этот домен. В этом случае убедитесь, что пользователь использует свою учетную запись организации вместо повторного запроса доступа, а портал определит этого пользователя, исходящего из настроенного клиента Microsoft Entra подключенной организации.