Delen via


Azure-rollen toewijzen aan externe gebruikers met behulp van Azure Portal

Met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) biedt u beter beveiligingsbeheer voor zowel grote organisaties als kleine en middelgrote bedrijven die samenwerken met externe medewerkers, leveranciers of zelfstandigen. Deze medewerkers hebben toegang nodig tot specifieke resources in uw omgeving, maar niet noodzakelijkerwijs tot de volledige infrastructuur of tot enige factureringsgerelateerde gebieden. U kunt de mogelijkheden in Microsoft Entra B2B gebruiken om samen te werken met externe gebruikers en u kunt Azure RBAC gebruiken om alleen de machtigingen te verlenen die externe gebruikers nodig hebben in uw omgeving.

Vereiste voorwaarden

Als u Azure-rollen wilt toewijzen of roltoewijzingen wilt verwijderen, moet u het volgende hebben:

  • Microsoft.Authorization/roleAssignments/write en Microsoft.Authorization/roleAssignments/delete machtigingen, zoals Beheerder van gebruikerstoegang of eigenaar

Wanneer zou u externe gebruikers uitnodigen?

Hier volgen enkele voorbeeldscenario's waarin u gebruikers kunt uitnodigen voor uw organisatie en machtigingen kunt verlenen:

  • Sta een externe zelfstandige leverancier toe die alleen een e-mailaccount heeft voor toegang tot uw Azure-resources voor een project.
  • Toestaan dat een externe partner bepaalde resources of een volledig abonnement beheert.
  • Sta ondersteuningstechnici buiten uw organisatie (zoals ondersteuning van Microsoft) toe om tijdelijk toegang te krijgen tot uw Azure-resource om problemen op te lossen.

Machtigingsverschillen tussen lidgebruikers en gastgebruikers

Gebruikers van een directory met lidtype (lidgebruikers) hebben standaard andere machtigingen dan gebruikers die zijn uitgenodigd vanuit een andere directory als gast voor B2B-samenwerking (gastgebruikers). Leden kunnen bijvoorbeeld bijna alle adreslijstgegevens lezen terwijl gastgebruikers beperkte adreslijstmachtigingen hebben. Raadpleeg Wat zijn de standaardgebruikersrechten in Microsoft Entra ID? voor meer informatie over lidgebruikers en gastgebruikers.

Een externe gebruiker uitnodigen voor uw directory

Volg deze stappen om een externe gebruiker uit te nodigen voor uw directory in Microsoft Entra ID.

  1. Meld u aan bij het Azure-portaal.

  2. Zorg ervoor dat de instellingen voor externe samenwerking van uw organisatie zodanig zijn geconfigureerd dat u externe gebruikers mag uitnodigen. Zie Instellingen voor externe samenwerking configureren voor meer informatie.

  3. Select Microsoft Entra ID>Users.

  4. Selecteer Nieuwe gebruiker>Externe gebruiker uitnodigen.

    Schermopname van de pagina Externe gebruikers uitnodigen in Azure Portal.

  5. Volg de stappen om een externe gebruiker uit te nodigen. Zie Microsoft Entra B2B-samenwerkingsgebruikers toevoegen in Azure Portal voor meer informatie.

Nadat u een externe gebruiker hebt uitgenodigd voor de adreslijst, kunt u de externe gebruiker een directe koppeling naar een gedeelde app sturen of de externe gebruiker kan de koppeling uitnodiging accepteren selecteren in de uitnodigingsmail.

Schermopname van e-mail uitnodigen van externe gebruiker.

Als de externe gebruiker toegang heeft tot uw adreslijst, moet deze het uitnodigingsproces voltooien.

Schermopname van machtigingen voor beoordeling van uitnodigingen aan externe gebruikers.

Zie Microsoft Entra B2B-samenwerking uitnodiging inwisselen voor meer informatie over het uitnodigingsproces.

Een rol toewijzen aan een externe gebruiker

In Azure RBAC wijst u een rol toe om toegang te verlenen. Als u een rol wilt toewijzen aan een externe gebruiker, volgt u dezelfde stappen als voor een lidgebruiker, groep, service-principal of beheerde identiteit. Volg deze stappen om een rol toe te wijzen aan een externe gebruiker op verschillende niveaus.

  1. Meld u aan bij het Azure-portaal.

  2. Zoek in het zoekvak bovenaan naar het bereik waartoe u toegang wilt verlenen. Zoek bijvoorbeeld naar Beheergroepen, Abonnementen, Resourcegroepen of een specifieke resource.

  3. Select the specific resource for that scope.

  4. Klik op Toegangsbeheer (IAM) .

    Hieronder ziet u een voorbeeld van de pagina IAM (Toegangsbeheer) voor een resourcegroep.

    Schermopname van de pagina Toegangsbeheer (IAM) voor een resourcegroep.

  5. Selecteer het tabblad Roltoewijzingen om de roltoewijzingen voor dit bereik weer te geven.

  6. Selecteer Toevoegen>Roltoewijzing toevoegen.

    Als u geen machtigingen hebt om rollen toe te wijzen, wordt de optie Roltoewijzing toevoegen uitgeschakeld.

    Screenshot of Add > Add role assignment menu.

    De pagina Roltoewijzing toevoegen wordt geopend.

  7. Selecteer op het tabblad Rol een rol zoals Inzender voor virtuele machines.

    Schermopname van de pagina Roltoewijzing toevoegen met het tabblad Rollen.

  8. Selecteer op het tabblad Leden de optie Gebruiker, groep of service-principal.

    Schermopname van de pagina Roltoewijzing toevoegen met het tabblad Leden.

  9. Select Select members.

  10. Zoek en selecteer de externe gebruiker. Als u de gebruiker niet in de lijst ziet, kunt u in het vak Selecteren typen om in de map naar weergavenaam of e-mailadres te zoeken.

    U kunt in het vak Selecteren typen om in de map te zoeken naar weergavenaam of e-mailadres.

    Schermopname van het deelvenster Leden selecteren.

  11. Selecteer Selecteren om de externe gebruiker toe te voegen aan de lijst Leden.

  12. Selecteer Beoordelen en toewijzen op het tabblad Beoordelen en toewijzen.

    Na enkele ogenblikken krijgt de externe gebruiker de rol toegewezen in het geselecteerde bereik.

    Schermopname van roltoewijzing voor Inzender voor virtuele machines.

Een rol toewijzen aan een externe gebruiker die nog niet in uw directory staat

Als u een rol wilt toewijzen aan een externe gebruiker, volgt u dezelfde stappen als voor een lidgebruiker, groep, service-principal of beheerde identiteit.

Als de externe gebruiker zich nog niet in uw directory bevindt, kunt u de gebruiker rechtstreeks uitnodigen vanuit het deelvenster Leden selecteren.

  1. Meld u aan bij het Azure-portaal.

  2. Zoek in het zoekvak bovenaan naar het bereik waartoe u toegang wilt verlenen. Zoek bijvoorbeeld naar Beheergroepen, Abonnementen, Resourcegroepen of een specifieke resource.

  3. Select the specific resource for that scope.

  4. Klik op Toegangsbeheer (IAM) .

  5. Selecteer Toevoegen>Roltoewijzing toevoegen.

    Als u geen machtigingen hebt om rollen toe te wijzen, wordt de optie Roltoewijzing toevoegen uitgeschakeld.

    Screenshot of Add > Add role assignment menu.

    De pagina Roltoewijzing toevoegen wordt geopend.

  6. Selecteer op het tabblad Rol een rol zoals Inzender voor virtuele machines.

  7. Selecteer op het tabblad Leden de optie Gebruiker, groep of service-principal.

    Schermopname van de pagina Roltoewijzing toevoegen met het tabblad Leden.

  8. Select Select members.

  9. Typ in het vak Selecteren het e-mailadres van de persoon die u wilt uitnodigen en selecteer die persoon.

    Schermopname van externe gebruiker uitnodigen in het deelvenster Leden selecteren.

  10. Selecteer Selecteren om de externe gebruiker toe te voegen aan de lijst Leden.

  11. Selecteer Op het tabblad Beoordelen en toewijzende optie Controleren + toewijzen om de externe gebruiker toe te voegen aan uw directory, de rol toe te wijzen en een uitnodiging te verzenden.

    Na enkele ogenblikpen ziet u een melding van de roltoewijzing en informatie over de uitnodiging.

    Schermopname van roltoewijzing en melding van uitgenodigde gebruiker.

  12. Als u de externe gebruiker handmatig wilt uitnodigen, klikt u met de rechtermuisknop en kopieert u de uitnodigingskoppeling in de melding. Don't select the invitation link because it starts the invitation process.

    De uitnodigingskoppeling heeft de volgende indeling:

    https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...

  13. Verzend de uitnodigingskoppeling naar de externe gebruiker om het uitnodigingsproces te voltooien.

    Zie Microsoft Entra B2B-samenwerking uitnodiging inwisselen voor meer informatie over het uitnodigingsproces.

Een externe gebruiker uit uw directory verwijderen

Voordat u een externe gebruiker uit een directory verwijdert, moet u eerst roltoewijzingen voor die externe gebruiker verwijderen. Volg deze stappen om een externe gebruiker uit een directory te verwijderen.

  1. Open Access control (IAM) at a scope, such as management group, subscription, resource group, or resource, where the external user has a role assignment.

  2. Selecteer het tabblad Roltoewijzingen om alle roltoewijzingen weer te geven.

  3. Voeg in de lijst met roltoewijzingen een vinkje toe naast de externe gebruiker met de roltoewijzing die u wilt verwijderen.

    Schermopname van geselecteerde roltoewijzing die u wilt verwijderen.

  4. Selecteer verwijderen.

    Schermopname van het bericht Roltoewijzing verwijderen.

  5. Selecteer Ja in het bericht roltoewijzing verwijderen dat wordt weergegeven.

  6. Selecteer het tabblad Klassieke beheerders.

  7. Als de externe gebruiker een Co-Administrator toewijzing heeft, voegt u een vinkje toe naast de externe gebruiker en selecteert u Verwijderen.

  8. Selecteer in de linkernavigatiebalk Microsoft Entra ID>Gebruikers.

  9. Selecteer de externe gebruiker die u wilt verwijderen.

  10. Selecteer verwijderen.

    Schermopname van het verwijderen van een externe gebruiker.

  11. Selecteer Ja in het bericht verwijderen dat wordt weergegeven.

Problemen oplossen

Externe gebruiker kan niet door de map bladeren

Externe gebruikers hebben beperkte directorymachtigingen. Externe gebruikers kunnen bijvoorbeeld niet door de map bladeren en kunnen niet zoeken naar groepen of toepassingen. Zie Wat zijn de standaardgebruikersmachtigingen in Microsoft Entra ID? voor meer informatie.

Screenshot of external user can't browse users in a directory.

Als een externe gebruiker aanvullende bevoegdheden in de directory nodig heeft, kunt u een Microsoft Entra-rol toewijzen aan de externe gebruiker. Als u wilt dat een externe gebruiker volledige leestoegang tot uw adreslijst heeft, kunt u de externe gebruiker toevoegen aan de rol Directory Readers in Microsoft Entra ID. Zie Microsoft Entra B2B-samenwerkingsgebruikers toevoegen in Azure Portal voor meer informatie.

Schermopname van het toewijzen van de rol Directory Readers.

Externe gebruiker kan niet door gebruikers, groepen of service-principals bladeren om rollen toe te wijzen

Externe gebruikers hebben beperkte directorymachtigingen. Even if an external user is an Owner at a scope, if they try to assign a role to grant someone else access, they can't browse the list of users, groups, or service principals.

Schermopname van een externe gebruiker die niet door beveiligingsprincipalen kan bladeren om rollen toe te wijzen.

Als de externe gebruiker weet wat iemands exacte aanmeldingsnaam in de directory is, kan hij toegang verlenen. Als u wilt dat een externe gebruiker volledige leestoegang tot uw adreslijst heeft, kunt u de externe gebruiker toevoegen aan de rol Directory Readers in Microsoft Entra ID. Zie Microsoft Entra B2B-samenwerkingsgebruikers toevoegen in Azure Portal voor meer informatie.

Externe gebruiker kan geen toepassingen registreren of service-principals maken

Externe gebruikers hebben beperkte directorymachtigingen. Als een externe gebruiker toepassingen moet kunnen registreren of service-principals moet kunnen maken, kunt u de externe gebruiker toevoegen aan de rol Toepassingsontwikkelaar in Microsoft Entra-id. Zie Microsoft Entra B2B-samenwerkingsgebruikers toevoegen in Azure Portal voor meer informatie.

Schermopname van externe gebruiker kan geen toepassingen registreren.

Externe gebruiker ziet de nieuwe map niet

Als een externe gebruiker toegang heeft gekregen tot een directory, maar de nieuwe map niet wordt weergegeven in Azure Portal wanneer deze probeert over te schakelen op de pagina Mappen , controleert u of de externe gebruiker het uitnodigingsproces heeft voltooid. Zie Microsoft Entra B2B-samenwerking uitnodiging inwisselen voor meer informatie over het uitnodigingsproces.

Externe gebruiker ziet geen resources

Als een externe gebruiker toegang heeft gekregen tot een directory, maar de resources waarvoor ze toegang hebben in Azure Portal niet worden weergegeven, controleert u of de externe gebruiker de juiste map heeft geselecteerd. Een externe gebruiker heeft mogelijk toegang tot meerdere mappen. Als u van directory wilt wisselen, selecteert u in de linkerbovenhoek Instellingenmappen> en selecteert u vervolgens de juiste map.

Schermopname van de sectie Directory's voor portalinstellingen in Azure Portal.

Volgende stappen