Azure-rollen toewijzen aan externe gastgebruikers met behulp van de Azure Portal
Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) maakt beter beveiligingsbeheer mogelijk voor grote organisaties en voor kleine en middelgrote bedrijven die werken met externe medewerkers, leveranciers of freelancers die toegang nodig hebben tot specifieke resources in uw omgeving, maar niet noodzakelijkerwijs tot de hele infrastructuur of factureringsgerelateerde bereiken. U kunt de mogelijkheden in Azure Active Directory B2B gebruiken om samen te werken met externe gastgebruikers en u kunt Azure RBAC gebruiken om alleen de machtigingen te verlenen die gastgebruikers in uw omgeving nodig hebben.
Vereisten
Als u Azure-rollen wilt toewijzen of roltoewijzingen wilt verwijderen, hebt u het volgende nodig:
- Machtigingen voor
Microsoft.Authorization/roleAssignments/write
enMicrosoft.Authorization/roleAssignments/delete
, zoals Beheerder van gebruikerstoegang of Eigenaar
Wanneer nodigt u gastgebruikers uit?
Hier volgen enkele voorbeeldscenario's waarin u gastgebruikers kunt uitnodigen voor uw organisatie en machtigingen kunt verlenen:
- Geef een externe zelfstandige leverancier die alleen een e-mailaccount heeft toegang tot uw Azure-resources voor een project.
- Een externe partner toestaan om bepaalde resources of een volledig abonnement te beheren.
- Sta ondersteuningstechnici die niet in uw organisatie zijn (zoals Microsoft ondersteuning) tijdelijk toegang tot uw Azure-resource toe om problemen op te lossen.
Verschillen in machtigingen tussen lidgebruikers en gastgebruikers
Systeemeigen leden van een directory (lidgebruikers) hebben andere machtigingen dan gebruikers die zijn uitgenodigd vanuit een andere directory als B2B-samenwerkingsgast (gastgebruikers). Leden kunnen bijvoorbeeld bijna alle directorygegevens lezen terwijl gastgebruikers beperkte adreslijstmachtigingen hebben. Zie Wat zijn de standaardgebruikersmachtigingen in Azure Active Directory? voor meer informatie over lidgebruikers en gastgebruikers.
Een gastgebruiker toevoegen aan uw map
Volg deze stappen om een gastgebruiker toe te voegen aan uw directory met behulp van de Azure Active Directory-pagina.
Meld u aan bij de Azure-portal.
Zorg ervoor dat de instellingen voor externe samenwerking van uw organisatie zodanig zijn geconfigureerd dat u gasten mag uitnodigen. Zie Instellingen voor externe samenwerking configureren voor meer informatie.
Klik op Azure Active Directory-gebruikers>>Nieuwe gastgebruiker.
Volg de stappen om een nieuwe gastgebruiker toe te voegen. Zie Gebruikers van Azure Active Directory B2B-samenwerking toevoegen in de Azure Portal voor meer informatie.
Nadat u een gastgebruiker aan de directory hebt toegevoegd, kunt u de gastgebruiker een directe koppeling naar een gedeelde app sturen of de gastgebruiker kan klikken op de koppeling Uitnodiging accepteren in de e-mail met de uitnodiging.
De gastgebruiker kan alleen toegang krijgen tot uw directory als deze het uitnodigingsproces voltooit.
Zie Azure Active Directory B2B-samenwerkingsuitnodiging inwisselen voor meer informatie over het uitnodigingsproces.
Een rol toewijzen aan een gastgebruiker
In Azure RBAC wijst u een rol toe om toegang te verlenen. Als u een rol wilt toewijzen aan een gastgebruiker, volgt u dezelfde stappen als voor een lidgebruiker, groep, service-principal of beheerde identiteit. Volg deze stappen om een rol toe te wijzen aan een gastgebruiker in verschillende bereiken.
Meld u aan bij de Azure-portal.
Zoek in het zoekvak bovenaan naar het bereik waartoe u toegang wilt verlenen. Zoek bijvoorbeeld naar Beheergroepen, Abonnementen, Resourcegroepen of een specifieke resource.
Klik op de specifieke resource voor dat bereik.
Klik op Toegangsbeheer (IAM).
Hieronder ziet u een voorbeeld van de pagina IAM (Toegangsbeheer) voor een resourcegroep.
Klik op het tabblad Roltoewijzingen om de roltoewijzingen voor dit bereik weer te geven.
Klik op Roltoewijzing toevoegen>.
Als u niet bent gemachtigd voor het toewijzen van rollen, is de optie Roltoewijzing toevoegen uitgeschakeld.
De pagina Roltoewijzing toevoegen wordt geopend.
Selecteer op het tabblad Rollen een rol zoals Inzender voor virtuele machines.
Selecteer op het tabblad Ledende optie Gebruiker, groep of service-principal.
Klik op Leden selecteren.
Zoek en selecteer de gastgebruiker. Als u de gebruiker niet in de lijst ziet staan, kunt u in het vak Selecteren typen om in de map te zoeken naar weergavenaam of e-mailadres.
U kunt in het vak Selecteren typen om in de map te zoeken naar weergavenaam of e-mailadres.
Klik op Selecteren om de gastgebruiker toe te voegen aan de lijst Leden.
Klik op het tabblad Controleren en toewijzen op Beoordelen en toewijzen.
Na enkele ogenblikken krijgt de gastgebruiker de rol toegewezen in het geselecteerde bereik.
Een rol toewijzen aan een gastgebruiker die zich nog niet in uw directory bevindt
Als u een rol wilt toewijzen aan een gastgebruiker, volgt u dezelfde stappen als voor een lidgebruiker, groep, service-principal of beheerde identiteit.
Als de gastgebruiker zich nog niet in uw directory bevindt, kunt u de gebruiker rechtstreeks vanuit het deelvenster Leden selecteren uitnodigen.
Meld u aan bij de Azure-portal.
Zoek in het zoekvak bovenaan naar het bereik waartoe u toegang wilt verlenen. Zoek bijvoorbeeld naar Beheergroepen, Abonnementen, Resourcegroepen of een specifieke resource.
Klik op de specifieke resource voor dat bereik.
Klik op Toegangsbeheer (IAM).
Klik op Roltoewijzing toevoegen>.
Als u niet bent gemachtigd voor het toewijzen van rollen, is de optie Roltoewijzing toevoegen uitgeschakeld.
De pagina Roltoewijzing toevoegen wordt geopend.
Selecteer op het tabblad Rollen een rol zoals Inzender voor virtuele machines.
Selecteer op het tabblad Ledende optie Gebruiker, groep of service-principal.
Klik op Leden selecteren.
Typ in het vak Selecteren het e-mailadres van de persoon die u wilt uitnodigen en selecteer die persoon.
Klik op Selecteren om de gastgebruiker toe te voegen aan de lijst Leden.
Klik op het tabblad Controleren en toewijzen op Beoordelen en toewijzen om de gastgebruiker toe te voegen aan uw directory, de rol toe te wijzen en een uitnodiging te verzenden.
Na enkele ogenblikpen ziet u een melding van de roltoewijzing en informatie over de uitnodiging.
Als u de gastgebruiker handmatig wilt uitnodigen, klikt u met de rechtermuisknop en kopieert u de uitnodigingskoppeling in de melding. Klik niet op de uitnodigingskoppeling omdat hiermee het uitnodigingsproces wordt gestart.
De uitnodigingskoppeling heeft de volgende indeling:
https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...
Verzend de uitnodigingskoppeling naar de gastgebruiker om het uitnodigingsproces te voltooien.
Zie Azure Active Directory B2B-samenwerkingsuitnodiging inwisselen voor meer informatie over het uitnodigingsproces.
Een gastgebruiker verwijderen uit uw directory
Voordat u een gastgebruiker uit een directory verwijdert, moet u eerst eventuele roltoewijzingen voor die gastgebruiker verwijderen. Volg deze stappen om een gastgebruiker uit een directory te verwijderen.
Open Toegangsbeheer (IAM) in een bereik, zoals beheergroep, abonnement, resourcegroep of resource, waarbij de gastgebruiker een roltoewijzing heeft.
Klik op het tabblad Roltoewijzingen om alle roltoewijzingen weer te geven.
Voeg in de lijst met roltoewijzingen een vinkje toe naast de gastgebruiker met de roltoewijzing die u wilt verwijderen.
Klik op Verwijderen.
Klik op Ja om te bevestigen dat u de roltoewijzing inderdaad wilt verwijderen.
Klik in de linkernavigatiebalk op Azure Active Directory-gebruikers>.
Klik op de gastgebruiker die u wilt verwijderen.
Klik op Verwijderen.
Klik in het bericht verwijderen dat wordt weergegeven op Ja.
Problemen oplossen
Gastgebruiker kan niet door de map bladeren
Gastgebruikers hebben beperkte directorymachtigingen. Gastgebruikers kunnen bijvoorbeeld niet door de directory bladeren en kunnen niet zoeken naar groepen of toepassingen. Zie Wat zijn de standaardgebruikersmachtigingen in Azure Active Directory? voor meer informatie.
Als een gastgebruiker aanvullende bevoegdheden in de directory nodig heeft, kunt u een Azure AD rol toewijzen aan de gastgebruiker. Als u echt wilt dat een gastgebruiker volledige leestoegang tot uw directory heeft, kunt u de gastgebruiker toevoegen aan de rol Directorylezers in Azure AD. Zie Gebruikers van Azure Active Directory B2B-samenwerking toevoegen in de Azure Portal voor meer informatie.
Gastgebruiker kan niet door gebruikers, groepen of service-principals bladeren om rollen toe te wijzen
Gastgebruikers hebben beperkte directorymachtigingen. Zelfs als een gastgebruiker een eigenaar is binnen een bereik, kan deze niet door de lijst met gebruikers, groepen of service-principals bladeren als deze een rol probeert toe te wijzen om iemand anders toegang te verlenen.
Als de gastgebruiker de exacte aanmeldingsnaam van iemand in de directory kent, kan deze toegang verlenen. Als u echt wilt dat een gastgebruiker volledige leestoegang tot uw directory heeft, kunt u de gastgebruiker toevoegen aan de rol Directorylezers in Azure AD. Zie Gebruikers van Azure Active Directory B2B-samenwerking toevoegen in de Azure Portal voor meer informatie.
Gastgebruiker kan geen toepassingen registreren of service-principals maken
Gastgebruikers hebben beperkte directorymachtigingen. Als een gastgebruiker toepassingen moet kunnen registreren of service-principals moet kunnen maken, kunt u de gastgebruiker toevoegen aan de rol Toepassingsontwikkelaar in Azure AD. Zie Gebruikers van Azure Active Directory B2B-samenwerking toevoegen in de Azure Portal voor meer informatie.
Gastgebruiker ziet de nieuwe map niet
Als een gastgebruiker toegang heeft gekregen tot een directory, maar deze de nieuwe map niet ziet in de Azure Portal wanneer deze probeert over te schakelen op de pagina Directory's, controleert u of de gastgebruiker het uitnodigingsproces heeft voltooid. Zie Uitnodigingen voor Azure Active Directory B2B-samenwerking inwisselen voor meer informatie over het uitnodigingsproces.
Gastgebruiker ziet geen resources
Als een gastgebruiker toegang heeft gekregen tot een directory, maar deze de resources waarvoor hij toegang heeft gekregen niet ziet in de Azure Portal, controleert u of de gastgebruiker de juiste map heeft geselecteerd. Een gastgebruiker heeft mogelijk toegang tot meerdere mappen. Als u wilt schakelen tussen mappen, klikt u linksboven op Instellingen>directory's en klikt u vervolgens op de juiste map.