Konfigurowanie ustawień współpracy zewnętrznej

Ustawienia współpracy zewnętrznej umożliwiają określenie ról w organizacji, które mogą zapraszać użytkowników zewnętrznych na potrzeby współpracy B2B. Te ustawienia obejmują również opcje zezwalania lub blokowania określonych domen oraz opcje ograniczania tego, co zewnętrzni użytkownicy-goście mogą zobaczyć w katalogu Azure AD. Dostępne są następujące opcje:

  • Określanie dostępu użytkowników-gości: Azure AD umożliwia ograniczenie tego, co zewnętrzni użytkownicy-goście mogą zobaczyć w katalogu Azure AD. Można na przykład ograniczyć widok członkostw w grupach użytkowników-gości lub zezwolić gościom na wyświetlanie tylko własnych informacji o profilu.

  • Określ, kto może zapraszać gości: domyślnie wszyscy użytkownicy w organizacji, w tym użytkownicy-goście współpracy B2B, mogą zapraszać użytkowników zewnętrznych do współpracy B2B. Jeśli chcesz ograniczyć możliwość wysyłania zaproszeń, możesz włączyć lub wyłączyć zaproszenia dla wszystkich lub ograniczyć zaproszenia do określonych ról.

  • Włącz rejestrację samoobsługową gościa za pośrednictwem przepływów użytkownika: w przypadku tworzonych aplikacji możesz utworzyć przepływy użytkowników, które umożliwiają użytkownikowi zarejestrowanie się w aplikacji i utworzenie nowego konta gościa. Funkcję można włączyć w ustawieniach współpracy zewnętrznej, a następnie dodać przepływ użytkownika rejestracji samoobsługowej do aplikacji.

  • Zezwalanie na domeny lub blokowanie ich: ograniczenia współpracy umożliwiają lub odmawiają zaproszeń do podanych domen. Aby uzyskać szczegółowe informacje, zobacz Zezwalanie na domeny lub blokowanie.

W przypadku współpracy B2B z innymi organizacjami Azure AD należy również przejrzeć ustawienia dostępu między dzierżawami, aby upewnić się, że komunikacja przychodząca i wychodząca współpraca B2B oraz zakres dostępu do określonych użytkowników, grup i aplikacji.

Konfigurowanie ustawień w portalu

  1. Zaloguj się do Azure Portal przy użyciu konta administrator globalny i otwórz usługę Azure Active Directory.

  2. Wybierzpozycję Zewnętrzne ustawienia współpracytożsamości> zewnętrznych.

  3. W obszarze Dostęp użytkowników-gości wybierz poziom dostępu, który mają mieć użytkownicy-goście:

    Zrzut ekranu przedstawiający ustawienia dostępu użytkowników-gości.

    • Użytkownicy-goście mają taki sam dostęp jak członkowie (najbardziej inkluzywni): ta opcja zapewnia gościom ten sam dostęp do Azure AD zasobów i danych katalogu jako użytkowników członkowskich.

    • Użytkownicy-goście mają ograniczony dostęp do właściwości i członkostwa w obiektach katalogu: (Ustawienie domyślne) To ustawienie blokuje gości z określonych zadań katalogu, takich jak wyliczanie użytkowników, grup lub innych zasobów katalogu. Goście mogą zobaczyć członkostwo wszystkich nieukrytych grup. Dowiedz się więcej o domyślnych uprawnieniach gościa.

    • Dostęp użytkowników-gości jest ograniczony do właściwości i członkostwa w ich własnych obiektach katalogu (najbardziej restrykcyjne): Dzięki temu ustawieniu goście mogą uzyskiwać dostęp tylko do własnych profilów. Goście nie mogą wyświetlać profilów, grup ani członkostwa w grupach innych użytkowników.

  4. W obszarze Ustawienia zaproszenia gościa wybierz odpowiednie ustawienia:

    Zrzut ekranu przedstawiający ustawienia zaproszenia gościa.

    • Każda osoba w organizacji może zapraszać użytkowników-gości, w tym gości i osób niebędących administratorami (w większości inkluzywne):Aby zezwolić gościom w organizacji na zapraszanie innych gości, w tym tych, którzy nie są członkami organizacji, wybierz ten przycisk radiowy.
    • Użytkownicy członkowie i użytkownicy przypisani do określonych ról administratora mogą zapraszać użytkowników-gości, w tym gości z uprawnieniami członków: aby zezwolić użytkownikom członkom i użytkownikom, którzy mają określone role administratora do zapraszania gości, wybierz ten przycisk radiowy.
    • Tylko użytkownicy przypisani do określonych ról administratora mogą zapraszać użytkowników-gości: aby zezwolić tylko tym użytkownikom z rolami administratora na zapraszanie gości, wybierz ten przycisk radiowy. Role administratora obejmują administratora globalnego, administratora użytkowników i osoby zapraszania gościa.
    • Nikt w organizacji nie może zapraszać użytkowników-gości, w tym administratorów (najbardziej restrykcyjnych): aby uniemożliwić wszystkim w organizacji zapraszanie gości, wybierz ten przycisk radiowy.

      Uwaga

      Jeśli członkowie mogą zapraszać ma wartość Nie , a administratorzy i użytkownicy w roli zapraszania gościa mają wartość Tak, użytkownicy w roli Zapraszanie gości nadal będą mogli zapraszać gości.

  5. W obszarze Włącz samoobsługowe rejestrowanie gościa za pośrednictwem przepływów użytkowników wybierz pozycję Tak , jeśli chcesz mieć możliwość tworzenia przepływów użytkowników, które umożliwiają użytkownikom rejestrowanie się w aplikacjach. Aby uzyskać więcej informacji na temat tego ustawienia, zobacz Dodawanie przepływu użytkownika rejestracji samoobsługowej do aplikacji.

    Zrzut ekranu przedstawiający ustawienie Rejestracja samoobsługowa za pośrednictwem przepływów użytkownika.

  6. W obszarze Ustawienia pozostawienia przez użytkownika zewnętrznego możesz kontrolować, czy użytkownicy zewnętrzni mogą usuwać się z organizacji. Jeśli ustawisz tę opcję na Nie, użytkownicy zewnętrzni będą musieli skontaktować się z administratorem lub kontaktem o ochronie prywatności, aby zostać usunięty.

    • Tak: użytkownicy mogą opuścić organizację bez zgody administratora lub kontaktu z ochroną prywatności.
    • Nie: Użytkownicy nie mogą opuścić organizacji. Zobaczysz komunikat kierujący go, aby skontaktować się z administratorem lub kontaktem z prywatnością, aby poprosić o usunięcie z organizacji.

    Ważne

    Ustawienia pozostawienia przez użytkownika zewnętrznego można skonfigurować tylko w przypadku dodania informacji o ochronie prywatności do dzierżawy Azure AD. W przeciwnym razie to ustawienie będzie niedostępne.

    Zrzut ekranu przedstawiający ustawienia pozostawić użytkownika zewnętrznego w portalu.

  7. W obszarze Ograniczenia współpracy możesz wybrać, czy zezwalać na zaproszenia do określonych domen, czy blokować, i wprowadzać określone nazwy domen w polach tekstowych. W przypadku wielu domen wprowadź każdą domenę w nowym wierszu. Aby uzyskać więcej informacji, zobacz Zezwalanie lub blokowanie zaproszeń do użytkowników B2B z określonych organizacji.

    Zrzut ekranu przedstawiający ustawienia ograniczeń współpracy.

Konfigurowanie ustawień za pomocą programu Microsoft Graph

Ustawienia współpracy zewnętrznej można skonfigurować przy użyciu interfejs Graph API firmy Microsoft:

  • W przypadku ograniczeń dostępu użytkowników-gości i ograniczeń dotyczących zapraszania gościa użyj typu zasobu authorizationPolicy .
  • W przypadku ustawienia Włącz samoobsługowe rejestrowanie gościa za pośrednictwem przepływów użytkownika użyj typu zasobu authenticationFlowsPolicy .
  • W przypadku ustawień jednorazowego kodu dostępu poczty e-mail (teraz na stronie Wszyscy dostawcy tożsamości w Azure Portal) użyj typu zasobu emailAuthenticationMethodConfiguration.

Przypisywanie roli osoba zapraszania gościa do użytkownika

Przy użyciu roli zapraszającego gościa można przyznać poszczególnym użytkownikom możliwość zapraszania gości bez przypisywania im administratora globalnego lub innej roli administratora. Przypisz rolę osoba zapraszania gościa do użytkowników indywidualnych. Następnie upewnij się, że ustawiono opcję Administratorzy i użytkownicy w roli osoby zapraszania gościa mogą zapraszać na wartość Tak.

Oto przykład pokazujący, jak za pomocą programu PowerShell dodać użytkownika do roli osoba zapraszania gościa:

Add-MsolRoleMember -RoleObjectId 95e79109-95c0-4d8e-aee3-d01accf2d47b -RoleMemberEmailAddress <RoleMemberEmailAddress>

Dzienniki logowania dla użytkowników B2B

Gdy użytkownik B2B zaloguje się do dzierżawy zasobów w celu współpracy, dziennik logowania jest generowany zarówno w dzierżawie głównej, jak i w dzierżawie zasobów. Te dzienniki obejmują informacje, takie jak używana aplikacja, adresy e-mail, nazwa dzierżawy i identyfikator dzierżawy zarówno dla dzierżawy głównej, jak i dzierżawy zasobów.

Następne kroki

Zapoznaj się z następującymi artykułami na temat współpracy Azure AD B2B: