Instellingen voor externe samenwerking configureren voor B2B in Microsoft Entra Externe ID
Van toepassing op: Externe tenants van werknemers (meer informatie)
Met instellingen voor externe samenwerking kunt u opgeven welke rollen in uw organisatie externe gebruikers kunnen uitnodigen voor B2B-samenwerking. Deze instellingen omvatten ook opties voor het toestaan of blokkeren van specifieke domeinen en opties voor het beperken van wat externe gastgebruikers kunnen zien in uw Microsoft Entra-directory. De volgende opties zijn beschikbaar:
Bepaal de toegang van gastgebruikers: Microsoft Entra Externe ID kunt u beperken wat externe gastgebruikers kunnen zien in uw Microsoft Entra-directory. U kunt bijvoorbeeld de weergave van groepslidmaatschappen van gastgebruikers beperken of gasten toestaan om alleen hun eigen profielgegevens weer te geven.
Geef op wie gasten mag uitnodigen: standaard kunnen alle gebruikers in uw organisatie, inclusief gastgebruikers van B2B-samenwerking, externe gebruikers uitnodigen voor B2B-samenwerking. Als u de mogelijkheid om uitnodigingen te verzenden wilt beperken, kunt u uitnodigingen voor iedereen in- of uitschakelen of uitnodigingen beperken tot bepaalde rollen.
Selfservice voor registreren van gasten via gebruikersstromen inschakelen: voor toepassingen die u bouwt, kunt u gebruikersstromen maken waarmee een gebruiker zich kan aanmelden voor een app en een nieuw gastaccount kan maken. U kunt de functie inschakelen in uw instellingen voor externe samenwerking en vervolgens een selfservicegebruikersstroom voor registratie toevoegen aan uw app.
Domeinen toestaan of blokkeren: u kunt samenwerkingsbeperkingen gebruiken om uitnodigingen toe te staan of te weigeren voor de domeinen die u opgeeft. Zie Domeinen toestaan of blokkeren voor meer informatie.
Voor B2B-samenwerking met andere Microsoft Entra-organisaties moet u ook de instellingen voor toegang tussen tenants controleren om ervoor te zorgen dat binnenkomende en uitgaande B2B-samenwerking en bereiktoegang tot specifieke gebruikers, groepen en toepassingen.
Voor eindgebruikers van B2B-samenwerking die aanmeldingen voor meerdere tenants uitvoeren, wordt hun huisstijl voor thuistenant weergegeven, zelfs als er geen aangepaste huisstijl is opgegeven. In het volgende voorbeeld wordt de huisstijl van het bedrijf voor Woodgrove Boodschappen aan de linkerkant weergegeven. In het voorbeeld aan de rechterkant wordt de standaardnaam voor de thuistenant van de gebruiker weergegeven.
Notitie
Afhankelijk van de instellingen voor externe samenwerking die u wilt configureren, zijn er mogelijk verschillende beheerdersrollen vereist. In dit artikel wordt de rol opgegeven die is vereist voor elk type instelling. Zie ook Rollen met minimale bevoegdheden per taak voor externe id/B2C.
Instellingen configureren in de portal
Tip
Stappen in dit artikel kunnen enigszins variƫren op basis van de portal waaruit u begint.
Gastgebruikerstoegang configureren
Meld u aan bij het Microsoft Entra-beheercentrum als minimaal beheerder van bevoorrechte rollen.
Blader naar >instellingen voor externe identiteiten>voor externe samenwerking.
Kies onder Toegang van gastgebruikers het toegangsniveau dat gastgebruikers moeten hebben:
Gastgebruikers hebben dezelfde toegang als leden (inclusief): met deze optie hebben gasten dezelfde toegang tot Microsoft Entra-resources en directorygegevens als lidgebruikers.
Gastgebruikers hebben beperkte toegang tot eigenschappen en lidmaatschappen van adreslijstobjecten: (standaard) met deze instelling worden gasten van bepaalde adreslijsttaken geblokkeerd, zoals het inventariseren van gebruikers, groepen of andere mapbronnen. Gasten kunnen het lidmaatschap van alle niet-verborgen groepen zien. Lees meer over standaardmachtigingen voor gasten.
Gastgebruikerstoegang is beperkt tot eigenschappen en lidmaatschappen van hun eigen directory-objecten (meest beperkend): met deze instelling hebben gasten alleen toegang tot hun eigen profielen. Gasten mogen geen profielen, groepen of groepslidmaatschappen van andere gebruikers zien.
Instellingen voor gastnodiging configureren
Meld u als gastuitnodiger aan bij het Microsoft Entra-beheercentrum.
Blader naar >instellingen voor externe identiteiten>voor externe samenwerking.
Kies onder Instellingen voor gastuitnodiging de juiste instellingen:
- Iedereen in de organisatie kan gastgebruikers uitnodigen, inclusief gasten en niet-beheerders (inclusief): Als u wilt toestaan dat gasten in de organisatie andere gasten uitnodigen, inclusief gebruikers die geen lid zijn van een organisatie, selecteert u dit keuzerondje.
- Ledengebruikers en gebruikers die zijn toegewezen aan specifieke beheerdersrollen, kunnen gastgebruikers uitnodigen, inclusief gasten met ledenmachtigingen: als u leden en gebruikers met specifieke beheerdersrollen wilt toestaan om gasten uit te nodigen, selecteert u dit keuzerondje.
- Alleen gebruikers die zijn toegewezen aan specifieke beheerdersrollen kunnen gastgebruikers uitnodigen: Selecteer dit keuzerondje om alleen gebruikers met gebruikersbeheerders - of gastnodigersrollen toe te staan om gasten uit te nodigen.
- Niemand in de organisatie kan gastgebruikers met inbegrip van beheerders (meest beperkend) uitnodigen: als u niemand in de organisatie wilt toestaan om gasten uit te nodigen, selecteert u dit keuzerondje.
Selfservice voor gastregistratie configureren
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruikersbeheerder.
Blader naar >instellingen voor externe identiteiten>voor externe samenwerking.
Kies onder Selfservice voor registreren van gasten via gebruikersstromen inschakelenvoor Ja als u gebruikersstromen wilt kunnen maken waarmee gebruikers zich kunnen registreren voor apps. Zie Een self-service voor registreren van gasten via gebruikersstromen toevoegen aan een app voor meer informatie over deze instelling.
Instellingen voor verlaten van externe gebruikers configureren
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een externe id-providerbeheerder.
Blader naar >instellingen voor externe identiteiten>voor externe samenwerking.
Onder Instellingen voor extern gebruikersverlof kunt u bepalen of externe gebruikers zichzelf uit uw organisatie kunnen verwijderen.
- Ja: Gebruikers kunnen de organisatie zelf verlaten zonder goedkeuring van uw beheerder of privacycontactpersoon.
- Nee: Gebruikers kunnen uw organisatie niet zelf verlaten. Ze zien een bericht dat hen begeleidt om contact op te leggen met uw beheerder of privacycontactpersoon om verwijdering van uw organisatie aan te vragen.
Belangrijk
U kunt de instellingen voor extern gebruik alleen configureren als u uw privacygegevens hebt toegevoegd aan uw Microsoft Entra-tenant. Anders is deze instelling niet beschikbaar.
Samenwerkingsbeperkingen configureren (domeinen toestaan of blokkeren)
Belangrijk
Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Dit helpt de beveiliging voor uw organisatie te verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u geen bestaande rol kunt gebruiken.
Meld u als globale beheerder aan bij het Microsoft Entra-beheercentrum.
Blader naar >instellingen voor externe identiteiten>voor externe samenwerking.
Onder Samenwerkingsbeperkingen kunt u kiezen of u uitnodigingen wilt toestaan of weigeren voor de domeinen die u opgeeft en specifieke domeinnamen wilt invoeren in de tekstvakken. Voer voor meerdere domeinen elk domein op een nieuwe regel in. Zie Uitnodigingen voor B2B-gebruikers uit bepaalde organisaties toestaan of blokkeren voor meer informatie.
Instellingen configureren met Microsoft Graph
Instellingen voor externe samenwerking kunnen worden geconfigureerd met behulp van de Microsoft Graph API:
- Gebruik het resourcetype authorizationPolicy voor toegangsbeperkingen voor gastgebruikers en beperkingen voor uitnodigen van gasten.
- Gebruik het resourcetype authenticationFlowsPolicy voor de instelling Self-service voor registreren van gasten via gebruikersstromen inschakelen.
- Gebruik het resourcetype emailAuthenticationMethodConfiguration voor eenmalige wachtwoordcode (nu op de pagina Alle id-providers in het Microsoft Entra-beheercentrum).
De rol Gastnodiger toewijzen aan een gebruiker
Met de rol Gastnodiger kunt u individuele gebruikers de mogelijkheid geven om gasten uit te nodigen zonder hen een beheerdersrol met hogere bevoegdheden toe te wijzen. Gebruikers met de rol Gastnodiger kunnen gasten uitnodigen, zelfs als de optie Alleen gebruikers die zijn toegewezen aan specifieke beheerdersrollen, gastgebruikers kunnen uitnodigen (onder Instellingen voor gastnodiging).
Hier volgt een voorbeeld waarin wordt getoond hoe u Microsoft Graph PowerShell gebruikt om een gebruiker toe te voegen aan de Guest Inviter
rol:
Import-Module Microsoft.Graph.Identity.DirectoryManagement
$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>
$DirObject = @{
"@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
}
New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject
Aanmeldingslogboeken voor B2B-gebruikers
Wanneer een B2B-gebruiker zich aanmeldt bij een resource-tenant om samen te werken, wordt er een aanmeldingslogboek gegenereerd in zowel de starttenant als de resource-tenant. Deze logboeken bevatten informatie zoals de toepassing die wordt gebruikt, e-mailadressen, tenant-naam en tenant-id voor zowel de start- als de resource-tenant.
Volgende stappen
Zie de volgende artikelen over Microsoft Entra B2B-samenwerking: