Externe gebruikersaccounts beheren in Microsoft Entra-id
Microsoft Entra B2B-samenwerkingsgebruikers worden toegevoegd als gastgebruikers aan de directory en gastmachtigingen in de directory worden standaard beperkt. Uw bedrijf heeft mogelijk enkele gastgebruikers nodig om rollen met hogere bevoegdheden in uw organisatie in te vullen. Als u ondersteuning wilt bieden voor het definiƫren van rollen met hogere bevoegdheden, kunnen gastgebruikers worden toegevoegd aan alle rollen die u wenst, op basis van de behoeften van uw organisatie.
Een B2B-gebruiker toevoegen aan een rol
Microsoft raadt organisaties aan de regel van minimale bevoegdheden te gebruiken. U kunt Privileged Identity Management (PIM) gebruiken om toegang te verlenen aan B2B/gastgebruikers.
Belangrijkste eigenschappen van de Microsoft Entra B2B-samenwerkingsgebruiker
UserType
Deze eigenschap geeft de relatie aan van de gebruiker met de hosttenancy. Deze eigenschap kan twee waarden hebben:
Lid: Deze waarde geeft een werknemer van de hostorganisatie en een gebruiker in de salarisadministratie van de organisatie aan. Deze gebruiker verwacht bijvoorbeeld toegang te hebben tot interne sites. Deze gebruiker wordt niet beschouwd als een externe samenwerker.
Gast: Deze waarde geeft een gebruiker aan die niet als intern wordt beschouwd voor het bedrijf, zoals een externe samenwerker, partner of klant. Een dergelijke gebruiker verwacht bijvoorbeeld geen interne memo van een CEO te ontvangen of bedrijfsvoordelen te ontvangen.
Notitie
Het UserType heeft geen relatie met de wijze waarop de gebruiker zich aanmeldt, de directoryrol van de gebruiker, enzovoort. Met deze eigenschap wordt de relatie van de gebruiker met de hostorganisatie aangegeven en kan de organisatie beleidsregels afdwingen die afhankelijk zijn van deze eigenschap.
Identiteiten
Deze eigenschap geeft de primaire id-provider van de gebruiker aan. Een gebruiker kan verschillende id-providers hebben, die kunnen worden weergegeven door de koppeling naast Identiteiten in het profiel van de gebruiker te selecteren of door een query uit te voeren op de eigenschap identiteiten via de Microsoft Graph API.
| Eigenschapswaarde identiteiten | Aanmeldingsstatus |
|---|---|
| Externe Microsoft Entra-tenant | Deze gebruiker bevindt zich in een externe organisatie en verifieert met behulp van een Microsoft Entra-account dat deel uitmaakt van de andere organisatie. |
| Microsoft-account | Deze gebruiker bevindt zich in een Microsoft-account en wordt geverifieerd met behulp van een Microsoft-account. |
| {hostdomein} | Deze gebruiker verifieert met behulp van een Microsoft Entra-account dat deel uitmaakt van deze organisatie. |
| google.com | Deze gebruiker heeft een Gmail-account en heeft zich geregistreerd met behulp van selfservice voor de andere organisatie. |
| facebook.com | Deze gebruiker heeft een Facebook-account en heeft zich geregistreerd met behulp van selfservice voor de andere organisatie. |
| Deze gebruiker heeft zich geregistreerd met behulp van Microsoft Entra Email eenmalige wachtwoordcode (OTP). | |
| {issuer URI} | Deze gebruiker bevindt zich in een externe organisatie die geen Microsoft Entra-id als id-provider gebruikt, maar in plaats daarvan een op SAML/WS-Fed gebaseerde id-provider gebruikt. |
Kunnen Microsoft Entra B2B-gebruikers worden toegevoegd als leden in plaats van gasten?
Normaal gesproken zijn een Microsoft Entra B2B-gebruiker en gastgebruiker synoniem. Daarom wordt standaard een Microsoft Entra B2B-samenwerkingsgebruiker toegevoegd als gebruiker met UserType = Guest. In sommige gevallen is de partnerorganisatie echter lid van een grotere organisatie waartoe de hostorganisatie ook behoort. Zo ja, dan wil de hostorganisatie gebruikers in de partnerorganisatie mogelijk behandelen als leden in plaats van gasten. Gebruik de gebruikerseigenschappen van Microsoft Entra om een gast te wijzigen in een lid.
Filteren op gastgebruikers in de directory
UserType converteren
Het is mogelijk om UserType te converteren van Lid naar Gast en omgekeerd met behulp van PowerShell. De eigenschap UserType vertegenwoordigt echter de relatie van de gebruiker met de organisatie. Daarom moet u deze eigenschap alleen wijzigen als de relatie van de gebruiker in de organisatie verandert. Als de relatie van de gebruiker verandert, moet de UPN (User Principal Name) worden gewijzigd? Moet de gebruiker toegang blijven hebben tot dezelfde resources? Moet een postvak worden toegewezen? Het wordt afgeraden om het UserType te wijzigen met behulp van PowerShell als atomische activiteit. Als deze eigenschap onveranderbaar wordt met behulp van PowerShell, raden we u ook niet aan om een afhankelijkheid van deze waarde te nemen.
Beperkingen van gastgebruikers verwijderen
Er zijn mogelijk gevallen waarin u uw gastgebruikers hogere bevoegdheden wilt geven. U kunt een gastgebruiker toevoegen aan elke rol en zelfs de standaardbeperkingen voor gastgebruikers in de directory verwijderen om een gebruiker dezelfde bevoegdheden te geven als leden. Het is mogelijk om de standaardbeperkingen uit te schakelen, zodat een gastgebruiker in de bedrijfsadreslijst dezelfde machtigingen heeft als een lidgebruiker. Verwijder de beperking in de gebruikersinstellingen in het menu Microsoft Entra ID.
Dynamische groepen en Microsoft Entra B2B-samenwerking
Wat zijn dynamische groepen?
Dynamische configuratie van lidmaatschap van beveiligingsgroepen voor Microsoft Entra-id is beschikbaar in Azure Portal. Beheer istrators kunnen regels instellen om groepen in te vullen die zijn gemaakt in Microsoft Entra-id op basis van gebruikerskenmerken (zoals userType, afdeling of land/regio). Leden kunnen automatisch worden toegevoegd aan of verwijderd uit een beveiligingsgroep op basis van hun kenmerken. Deze groepen kunnen toegang bieden tot toepassingen of cloudbronnen (SharePoint-sites, documenten) en licenties toewijzen aan leden.
De juiste Microsoft Entra ID Premium P1- of P2-licentie is vereist voor het maken en gebruiken van dynamische groepen.