Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op: Werknemerstenants
Externe tenants (meer informatie)
Met instellingen voor externe samenwerking kunt u opgeven welke rollen in uw organisatie externe gebruikers kunnen uitnodigen voor B2B-samenwerking. Deze instellingen omvatten ook opties voor het toestaan of blokkeren van specifieke domeinen en opties voor het beperken van wat externe gastgebruikers kunnen zien in uw Microsoft Entra-directory. De volgende opties zijn beschikbaar:
Bepaal de toegang van gastgebruikers: Met externe Microsoft Entra-id kunt u beperken wat externe gastgebruikers kunnen zien in uw Microsoft Entra-adreslijst. U kunt bijvoorbeeld de weergave van groepslidmaatschappen van gastgebruikers beperken of gasten toestaan om alleen hun eigen profielgegevens weer te geven.
Geef op wie gasten kan uitnodigen: standaard kunnen alle gebruikers in uw organisatie, inclusief gastgebruikers van B2B-samenwerking, externe gebruikers uitnodigen voor B2B-samenwerking. Als u de mogelijkheid om uitnodigingen te verzenden wilt beperken, kunt u uitnodigingen voor iedereen in- of uitschakelen of uitnodigingen beperken tot bepaalde rollen.
Schakel selfserviceregistratie voor gasten in via gebruikersstromen: voor toepassingen die u bouwt, kunt u gebruikersstromen maken waarmee een gebruiker zich kan registreren voor een app en een nieuw gastaccount kan maken. U kunt de functie inschakelen in uw instellingen voor externe samenwerking en vervolgens een selfservicegebruikersstroom voor registratie toevoegen aan uw app.
Domeinen toestaan of blokkeren: u kunt samenwerkingsbeperkingen gebruiken om uitnodigingen toe te staan of te weigeren voor de domeinen die u opgeeft. Zie Domeinen toestaan of blokkeren voor meer informatie.
Voor B2B-samenwerking met andere Microsoft Entra-organisaties moet u ook de instellingen voor toegang tussen tenants controleren om ervoor te zorgen dat inkomende en uitgaande B2B-samenwerking mogelijk is en om toegang tot specifieke gebruikers, groepen en toepassingen te beheren.
Notitie
Vanaf juli 2025 begint Microsoft met het implementeren van een update voor de aanmeldingservaring van gastgebruikers voor B2B-samenwerking. De implementatie wordt eind 2025 voortgezet. Met deze update worden gastgebruikers omgeleid naar de aanmeldingspagina van hun eigen organisatie om hun referenties op te geven. Gastgebruikers zien de branding en het URL-eindpunt van hun hoofdtenant. Deze stap zorgt voor meer duidelijkheid over welke aanmeldingsgegevens moeten worden gebruikt. Na geslaagde verificatie in hun eigen organisatie worden gastgebruikers teruggestuurd naar uw organisatie om het aanmeldingsproces te voltooien. In het volgende voorbeeld wordt de huisstijl van het bedrijf voor Woodgrove Boodschappen aan de linkerkant weergegeven. In het voorbeeld aan de rechterkant wordt de aangepaste huisstijl voor de woningtenant van de gebruiker weergegeven.
Instellingen configureren in de portal
In het Microsoft Entra-beheercentrum moet u de rol Globale beheerder krijgen om de pagina Instellingen voor externe samenwerking te activeren en de instellingen bij te werken. Wanneer u Microsoft Graph gebruikt, zijn er mogelijk minder bevoorrechte rollen beschikbaar voor afzonderlijke instellingen; zie Instellingen configureren met Microsoft Graph verderop in dit artikel.
Gastgebruikerstoegang configureren
Meld u aan bij het Microsoft Entra-beheercentrum.
Blader naar Entra ID>Externe Identiteiten>Instellingen voor externe samenwerking.
Kies onder Gastgebruikerstoegang het toegangsniveau dat gastgebruikers moeten hebben:
Gastgebruikers hebben dezelfde toegang als leden (inclusief): met deze optie hebben gasten dezelfde toegang tot Microsoft Entra-resources en directorygegevens als lidgebruikers.
Gastgebruikers hebben beperkte toegang tot eigenschappen en lidmaatschappen van mapobjecten: (Standaard) Met deze instelling worden gasten van bepaalde directorytaken geblokkeerd, zoals het inventariseren van gebruikers, groepen of andere directory-resources. Gasten kunnen het lidmaatschap van alle niet-verborgen groepen zien. Meer informatie over standaardmachtigingen voor gasten.
Gastgebruikerstoegang is beperkt tot eigenschappen en lidmaatschappen van hun eigen adreslijstobjecten (meest beperkend): met deze instelling hebben gasten alleen toegang tot hun eigen profielen. Gasten mogen geen profielen, groepen of groepslidmaatschappen van andere gebruikers zien.
Instellingen voor gastnodiging configureren
Meld u aan bij het Microsoft Entra-beheercentrum.
Blader naar Entra ID>Externe Identiteiten>Instellingen voor externe samenwerking.
Kies onder Instellingen voor gastnodiging de juiste instellingen:
- Iedereen in de organisatie kan gastgebruikers uitnodigen, inclusief gasten en niet-beheerders (meest inclusief): Om toe te staan dat gasten in de organisatie andere gasten uitnodigen, inclusief gebruikers die geen lid zijn van een organisatie, selecteert u dit keuzerondvakje.
- Ledengebruikers en gebruikers die zijn toegewezen aan specifieke beheerdersrollen kunnen gastgebruikers uitnodigen, inclusief gasten met ledenmachtigingen: Als u leden en gebruikers met specifieke beheerdersrollen wilt toestaan om gasten uit te nodigen, selecteert u dit keuzerondje.
- Alleen gebruikers die zijn toegewezen aan specifieke beheerdersrollen kunnen gastgebruikers uitnodigen: Selecteer dit keuzerondje om alleen gebruikers met gebruikersbeheerders - of gastnodigersrollen toe te staan om gasten uit te nodigen.
- Niemand in de organisatie kan gastgebruikers met inbegrip van beheerders (meest beperkend) uitnodigen: als u wilt weigeren dat iedereen in de organisatie gasten uitnodigt, selecteert u dit keuzerondje.
Selfservice voor gastregistratie configureren
Meld u aan bij het Microsoft Entra-beheercentrum.
Blader naar Entra ID>Externe Identiteiten>Instellingen voor externe samenwerking.
Selecteer onder Selfservice-registratie voor gasten via gebruikersstromen de optie Ja als u gebruikersstromen wilt kunnen maken waarmee gebruikers zich kunnen registreren voor apps. Voor meer informatie over deze instelling, zie Een selfservice-aanmeldingsstroom toevoegen aan een app.
Instellingen voor verlaten van externe gebruikers configureren
Meld u aan bij het Microsoft Entra-beheercentrum.
Blader naar Entra ID>Externe Identiteiten>Instellingen voor externe samenwerking.
Onder Instellingen voor extern gebruikersverlof kunt u bepalen of externe gebruikers zichzelf uit uw organisatie kunnen verwijderen.
- Ja: Gebruikers kunnen de organisatie zelf verlaten zonder goedkeuring van uw beheerder of privacycontactpersoon.
- Nee: Gebruikers kunnen uw organisatie niet zelf verlaten. Ze zien een bericht dat hen begeleidt om contact op te leggen met uw beheerder of privacycontactpersoon om verwijdering van uw organisatie aan te vragen.
Belangrijk
U kunt de instellingen voor extern gebruik alleen configureren als u uw privacygegevens hebt toegevoegd aan uw Microsoft Entra-tenant. Anders is deze instelling niet beschikbaar.
Samenwerkingsbeperkingen configureren (domeinen toestaan of blokkeren)
Belangrijk
Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Met deze procedure kunt u de beveiliging voor uw organisatie verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen of wanneer u geen bestaande rol kunt gebruiken.
Meld u aan bij het Microsoft Entra-beheercentrum.
Blader naar Entra ID>Externe Identiteiten>Instellingen voor externe samenwerking.
Onder Samenwerkingsbeperkingen kunt u kiezen of u uitnodigingen wilt toestaan of weigeren voor de domeinen die u opgeeft en specifieke domeinnamen in de tekstvakken wilt invoeren. Voer voor meerdere domeinen elk domein op een nieuwe regel in. Zie Uitnodigingen voor B2B-gebruikers van specifieke organisaties toestaan of blokkeren voor meer informatie.
Instellingen configureren met Microsoft Graph
Instellingen voor externe samenwerking kunnen worden geconfigureerd met behulp van de Microsoft Graph API:
- Voor toegangsbeperkingen voor gastgebruikers en beperkingen voor gastnodiging gebruikt u het resourcetype authorizationPolicy .
- Gebruik de resourcetype authenticationFlowsPolicy voor het instellen van de optie gasten kunnen zichzelf aanmelden via gebruikersstromen.
- Gebruik het resourcetype externalidentitiespolicy voor het verlaten van instellingen voor externe gebruikers.
- Gebruik het resourcetype emailAuthenticationMethodConfiguration voor eenmalige wachtwoordcode (nu op de pagina Alle id-providers in het Microsoft Entra-beheercentrum).
De rol Gastnodiger toewijzen aan een gebruiker
Met de rol Gastnodiger kunt u individuele gebruikers de mogelijkheid geven om gasten uit te nodigen zonder hen een beheerdersrol met hogere bevoegdheden toe te wijzen. Gebruikers met de rol Gastnodiger kunnen gasten uitnodigen, zelfs als de optie Alleen gebruikers die aan specifieke beheerdersrollen zijn toegewezen kunnen gastgebruikers uitnodigen (onder Instellingen voor gastuitnodigingen) is geselecteerd.
Hier volgt een voorbeeld waarin wordt getoond hoe u Microsoft Graph PowerShell gebruikt om een gebruiker toe te voegen aan de Guest Inviter
rol:
Import-Module Microsoft.Graph.Identity.DirectoryManagement
$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>
$DirObject = @{
"@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
}
New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject
Aanmeldingslogboeken voor B2B-gebruikers
Wanneer een B2B-gebruiker zich aanmeldt bij een resource-tenant om samen te werken, wordt er een aanmeldingslogboek gegenereerd in zowel de starttenant als de resource-tenant. Deze logboeken bevatten informatie zoals de toepassing die wordt gebruikt, e-mailadressen, tenant-naam en tenant-id voor zowel de start- als de resource-tenant.
Volgende stappen
Zie de volgende artikelen over Microsoft Entra B2B-samenwerking: