Azure-rollen toewijzen aan externe gastgebruikers met behulp van de Azure Portal

  • Artikel
  • 7 minuten om te lezen

Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) maakt beter beveiligingsbeheer mogelijk voor grote organisaties en voor kleine en middelgrote bedrijven die werken met externe medewerkers, leveranciers of freelancers die toegang nodig hebben tot specifieke resources in uw omgeving, maar niet noodzakelijkerwijs tot de hele infrastructuur of factureringsgerelateerde bereiken. U kunt de mogelijkheden in Azure Active Directory B2B gebruiken om samen te werken met externe gastgebruikers en u kunt Azure RBAC gebruiken om alleen de machtigingen te verlenen die gastgebruikers in uw omgeving nodig hebben.

Vereisten

Als u Azure-rollen wilt toewijzen of roltoewijzingen wilt verwijderen, hebt u het volgende nodig:

Wanneer nodigt u gastgebruikers uit?

Hier volgen enkele voorbeeldscenario's waarin u gastgebruikers kunt uitnodigen voor uw organisatie en machtigingen kunt verlenen:

  • Geef een externe zelfstandige leverancier die alleen een e-mailaccount heeft toegang tot uw Azure-resources voor een project.
  • Een externe partner toestaan om bepaalde resources of een volledig abonnement te beheren.
  • Sta ondersteuningstechnici die niet in uw organisatie zijn (zoals Microsoft ondersteuning) tijdelijk toegang tot uw Azure-resource toe om problemen op te lossen.

Verschillen in machtigingen tussen lidgebruikers en gastgebruikers

Systeemeigen leden van een directory (lidgebruikers) hebben andere machtigingen dan gebruikers die zijn uitgenodigd vanuit een andere directory als B2B-samenwerkingsgast (gastgebruikers). Leden kunnen bijvoorbeeld bijna alle directorygegevens lezen terwijl gastgebruikers beperkte adreslijstmachtigingen hebben. Zie Wat zijn de standaardgebruikersmachtigingen in Azure Active Directory? voor meer informatie over lidgebruikers en gastgebruikers.

Een gastgebruiker toevoegen aan uw map

Volg deze stappen om een gastgebruiker toe te voegen aan uw directory met behulp van de Azure Active Directory-pagina.

  1. Meld u aan bij de Azure-portal.

  2. Zorg ervoor dat de instellingen voor externe samenwerking van uw organisatie zodanig zijn geconfigureerd dat u gasten mag uitnodigen. Zie Instellingen voor externe samenwerking configureren voor meer informatie.

  3. Klik op Azure Active Directory-gebruikers>>Nieuwe gastgebruiker.

    Schermopname van de functie Nieuwe gastgebruiker in Azure Portal.

  4. Volg de stappen om een nieuwe gastgebruiker toe te voegen. Zie Gebruikers van Azure Active Directory B2B-samenwerking toevoegen in de Azure Portal voor meer informatie.

Nadat u een gastgebruiker aan de directory hebt toegevoegd, kunt u de gastgebruiker een directe koppeling naar een gedeelde app sturen of de gastgebruiker kan klikken op de koppeling Uitnodiging accepteren in de e-mail met de uitnodiging.

Schermopname van e-mail met uitnodiging van gastgebruiker.

De gastgebruiker kan alleen toegang krijgen tot uw directory als deze het uitnodigingsproces voltooit.

Schermopname van de machtigingen voor het controleren van uitnodigingen voor gastgebruikers.

Zie Azure Active Directory B2B-samenwerkingsuitnodiging inwisselen voor meer informatie over het uitnodigingsproces.

Een rol toewijzen aan een gastgebruiker

In Azure RBAC wijst u een rol toe om toegang te verlenen. Als u een rol wilt toewijzen aan een gastgebruiker, volgt u dezelfde stappen als voor een lidgebruiker, groep, service-principal of beheerde identiteit. Volg deze stappen om een rol toe te wijzen aan een gastgebruiker in verschillende bereiken.

  1. Meld u aan bij de Azure-portal.

  2. Zoek in het zoekvak bovenaan naar het bereik waartoe u toegang wilt verlenen. Zoek bijvoorbeeld naar Beheergroepen, Abonnementen, Resourcegroepen of een specifieke resource.

  3. Klik op de specifieke resource voor dat bereik.

  4. Klik op Toegangsbeheer (IAM).

    Hieronder ziet u een voorbeeld van de pagina IAM (Toegangsbeheer) voor een resourcegroep.

    Schermopname van de pagina Toegangsbeheer (IAM) voor een resourcegroep.

  5. Klik op het tabblad Roltoewijzingen om de roltoewijzingen voor dit bereik weer te geven.

  6. Klik op Roltoewijzing toevoegen>.

    Als u niet bent gemachtigd voor het toewijzen van rollen, is de optie Roltoewijzing toevoegen uitgeschakeld.

    Schermopname van het menu Roltoewijzing toevoegen toevoegen > .

    De pagina Roltoewijzing toevoegen wordt geopend.

  7. Selecteer op het tabblad Rollen een rol zoals Inzender voor virtuele machines.

    Schermopname van de pagina Roltoewijzing toevoegen met het tabblad Rollen.

  8. Selecteer op het tabblad Ledende optie Gebruiker, groep of service-principal.

    Schermopname van de pagina Roltoewijzing toevoegen met het tabblad Leden.

  9. Klik op Leden selecteren.

  10. Zoek en selecteer de gastgebruiker. Als u de gebruiker niet in de lijst ziet staan, kunt u in het vak Selecteren typen om in de map te zoeken naar weergavenaam of e-mailadres.

    U kunt in het vak Selecteren typen om in de map te zoeken naar weergavenaam of e-mailadres.

    Schermopname van het deelvenster Leden selecteren.

  11. Klik op Selecteren om de gastgebruiker toe te voegen aan de lijst Leden.

  12. Klik op het tabblad Controleren en toewijzen op Beoordelen en toewijzen.

    Na enkele ogenblikken krijgt de gastgebruiker de rol toegewezen in het geselecteerde bereik.

    Schermopname van roltoewijzing voor Inzender voor virtuele machines.

Een rol toewijzen aan een gastgebruiker die zich nog niet in uw directory bevindt

Als u een rol wilt toewijzen aan een gastgebruiker, volgt u dezelfde stappen als voor een lidgebruiker, groep, service-principal of beheerde identiteit.

Als de gastgebruiker zich nog niet in uw directory bevindt, kunt u de gebruiker rechtstreeks vanuit het deelvenster Leden selecteren uitnodigen.

  1. Meld u aan bij de Azure-portal.

  2. Zoek in het zoekvak bovenaan naar het bereik waartoe u toegang wilt verlenen. Zoek bijvoorbeeld naar Beheergroepen, Abonnementen, Resourcegroepen of een specifieke resource.

  3. Klik op de specifieke resource voor dat bereik.

  4. Klik op Toegangsbeheer (IAM).

  5. Klik op Roltoewijzing toevoegen>.

    Als u niet bent gemachtigd voor het toewijzen van rollen, is de optie Roltoewijzing toevoegen uitgeschakeld.

    Schermopname van het menu Roltoewijzing toevoegen toevoegen > .

    De pagina Roltoewijzing toevoegen wordt geopend.

  6. Selecteer op het tabblad Rollen een rol zoals Inzender voor virtuele machines.

  7. Selecteer op het tabblad Ledende optie Gebruiker, groep of service-principal.

    Schermopname van de pagina Roltoewijzing toevoegen met het tabblad Leden.

  8. Klik op Leden selecteren.

  9. Typ in het vak Selecteren het e-mailadres van de persoon die u wilt uitnodigen en selecteer die persoon.

    Schermopname van Gastgebruiker uitnodigen in het deelvenster Leden selecteren.

  10. Klik op Selecteren om de gastgebruiker toe te voegen aan de lijst Leden.

  11. Klik op het tabblad Controleren en toewijzen op Beoordelen en toewijzen om de gastgebruiker toe te voegen aan uw directory, de rol toe te wijzen en een uitnodiging te verzenden.

    Na enkele ogenblikpen ziet u een melding van de roltoewijzing en informatie over de uitnodiging.

    Schermopname van roltoewijzing en melding van uitgenodigde gebruiker.

  12. Als u de gastgebruiker handmatig wilt uitnodigen, klikt u met de rechtermuisknop en kopieert u de uitnodigingskoppeling in de melding. Klik niet op de uitnodigingskoppeling omdat hiermee het uitnodigingsproces wordt gestart.

    De uitnodigingskoppeling heeft de volgende indeling:

    https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...

  13. Verzend de uitnodigingskoppeling naar de gastgebruiker om het uitnodigingsproces te voltooien.

    Zie Azure Active Directory B2B-samenwerkingsuitnodiging inwisselen voor meer informatie over het uitnodigingsproces.

Een gastgebruiker verwijderen uit uw directory

Voordat u een gastgebruiker uit een directory verwijdert, moet u eerst eventuele roltoewijzingen voor die gastgebruiker verwijderen. Volg deze stappen om een gastgebruiker uit een directory te verwijderen.

  1. Open Toegangsbeheer (IAM) in een bereik, zoals beheergroep, abonnement, resourcegroep of resource, waarbij de gastgebruiker een roltoewijzing heeft.

  2. Klik op het tabblad Roltoewijzingen om alle roltoewijzingen weer te geven.

  3. Voeg in de lijst met roltoewijzingen een vinkje toe naast de gastgebruiker met de roltoewijzing die u wilt verwijderen.

    Schermopname van de geselecteerde roltoewijzing die moet worden verwijderd.

  4. Klik op Verwijderen.

    Schermopname van het bericht Roltoewijzing verwijderen.

  5. Klik op Ja om te bevestigen dat u de roltoewijzing inderdaad wilt verwijderen.

  6. Klik in de linkernavigatiebalk op Azure Active Directory-gebruikers>.

  7. Klik op de gastgebruiker die u wilt verwijderen.

  8. Klik op Verwijderen.

    Schermopname van het verwijderen van een gastgebruiker.

  9. Klik in het bericht verwijderen dat wordt weergegeven op Ja.

Problemen oplossen

Gastgebruiker kan niet door de map bladeren

Gastgebruikers hebben beperkte directorymachtigingen. Gastgebruikers kunnen bijvoorbeeld niet door de directory bladeren en kunnen niet zoeken naar groepen of toepassingen. Zie Wat zijn de standaardgebruikersmachtigingen in Azure Active Directory? voor meer informatie.

Schermopname van gastgebruikers kunnen niet door gebruikers bladeren in een directory.

Als een gastgebruiker aanvullende bevoegdheden in de directory nodig heeft, kunt u een Azure AD rol toewijzen aan de gastgebruiker. Als u echt wilt dat een gastgebruiker volledige leestoegang tot uw directory heeft, kunt u de gastgebruiker toevoegen aan de rol Directorylezers in Azure AD. Zie Gebruikers van Azure Active Directory B2B-samenwerking toevoegen in de Azure Portal voor meer informatie.

Schermopname van het toewijzen van de rol Directory readers.

Gastgebruiker kan niet door gebruikers, groepen of service-principals bladeren om rollen toe te wijzen

Gastgebruikers hebben beperkte directorymachtigingen. Zelfs als een gastgebruiker een eigenaar is binnen een bereik, kan deze niet door de lijst met gebruikers, groepen of service-principals bladeren als deze een rol probeert toe te wijzen om iemand anders toegang te verlenen.

Schermopname van de gastgebruiker kan niet door beveiligingsprincipals bladeren om rollen toe te wijzen.

Als de gastgebruiker de exacte aanmeldingsnaam van iemand in de directory kent, kan deze toegang verlenen. Als u echt wilt dat een gastgebruiker volledige leestoegang tot uw directory heeft, kunt u de gastgebruiker toevoegen aan de rol Directorylezers in Azure AD. Zie Gebruikers van Azure Active Directory B2B-samenwerking toevoegen in de Azure Portal voor meer informatie.

Gastgebruiker kan geen toepassingen registreren of service-principals maken

Gastgebruikers hebben beperkte directorymachtigingen. Als een gastgebruiker toepassingen moet kunnen registreren of service-principals moet kunnen maken, kunt u de gastgebruiker toevoegen aan de rol Toepassingsontwikkelaar in Azure AD. Zie Gebruikers van Azure Active Directory B2B-samenwerking toevoegen in de Azure Portal voor meer informatie.

Schermopname van de gastgebruiker kan geen toepassingen registreren.

Gastgebruiker ziet de nieuwe map niet

Als een gastgebruiker toegang heeft gekregen tot een directory, maar deze de nieuwe map niet ziet in de Azure Portal wanneer deze probeert over te schakelen op de pagina Directory's, controleert u of de gastgebruiker het uitnodigingsproces heeft voltooid. Zie Uitnodigingen voor Azure Active Directory B2B-samenwerking inwisselen voor meer informatie over het uitnodigingsproces.

Gastgebruiker ziet geen resources

Als een gastgebruiker toegang heeft gekregen tot een directory, maar deze de resources waarvoor hij toegang heeft gekregen niet ziet in de Azure Portal, controleert u of de gastgebruiker de juiste map heeft geselecteerd. Een gastgebruiker heeft mogelijk toegang tot meerdere mappen. Als u wilt schakelen tussen mappen, klikt u linksboven op Instellingen>directory's en klikt u vervolgens op de juiste map.

Schermopname van de sectie Directory's voor portalinstellingen in Azure Portal.

Volgende stappen