Zarządzanie połączonymi organizacjami w zarządzaniu upoważnieniami

Zarządzanie upoważnieniami umożliwia współpracę z osobami spoza organizacji. Jeśli często współpracujesz z wieloma użytkownikami z określonych organizacji zewnętrznych, możesz dodać te źródła tożsamości organizacji jako połączone organizacje. Posiadanie połączonej organizacji upraszcza, jak więcej osób z tych organizacji może żądać dostępu. W tym artykule opisano sposób dodawania połączonej organizacji w celu umożliwienia użytkownikom spoza organizacji żądania zasobów w katalogu.

Co to jest połączona organizacja?

Połączona organizacja to inna organizacja, z którą masz relację. Aby użytkownicy w tej organizacji mogli uzyskiwać dostęp do zasobów, takich jak witryny lub aplikacje usługi SharePoint Online, potrzebna będzie reprezentacja użytkowników tej organizacji w tym katalogu. Ponieważ w większości przypadków użytkownicy w tej organizacji nie znajdują się jeszcze w katalogu Microsoft Entra, możesz użyć zarządzania upoważnieniami, aby w razie potrzeby przenieść je do katalogu Microsoft Entra.

Jeśli chcesz podać ścieżkę dla każdego, kto zażąda dostępu, i nie masz pewności, z których organizacji mogą pochodzić ci nowi użytkownicy, możesz skonfigurować zasady przypisywania pakietów dostępu dla użytkowników, którzy nie znajdują się w katalogu. W tych zasadach wybierz opcję Wszyscy użytkownicy (Wszyscy połączeni organizacje i wszyscy nowi użytkownicy zewnętrzni). Jeśli żądającego zostanie zatwierdzony i nie należą do połączonej organizacji w katalogu, zostanie automatycznie utworzona połączona organizacja.

Jeśli chcesz zezwolić tylko osobom z wyznaczonych organizacji na żądanie dostępu, najpierw utwórz te połączone organizacje. Po drugie skonfiguruj zasady przypisywania pakietów dostępu dla użytkowników, którzy nie znajdują się w katalogu, wybierz opcję Określone połączone organizacje i wybierz utworzone organizacje.

Istnieją cztery sposoby zarządzania upoważnieniami umożliwiające określenie użytkowników, którzy tworzą połączoną organizację. Może to być

• użytkownicy w innym katalogu firmy Microsoft Entra (z dowolnej chmury firmy Microsoft)
• użytkownicy w innym katalogu innym niż Microsoft, który został skonfigurowany dla federacji dostawcy tożsamości SAML/WS-Fed(IdP),
• użytkownicy w innym katalogu innym niż Microsoft, których adresy e-mail mają tę samą nazwę domeny we wspólnej i specyficznej dla tej organizacji, lub
• użytkownicy z kontem Microsoft, takim jak z domeny live.com, jeśli masz potrzebę biznesową współpracy z użytkownikami, którzy nie mają wspólnej organizacji.

Załóżmy na przykład, że pracujesz w banku Woodgrove Bank i chcesz współpracować z dwoma organizacjami zewnętrznymi. Chcesz przyznać użytkownikom obu zewnętrznych organizacji dostęp do tych samych zasobów, ale te dwie organizacje mają różne konfiguracje:

• Firma Contoso nie używa jeszcze identyfikatora Entra firmy Microsoft. Użytkownicy firmy Contoso mają adres e-mail kończący się contoso.com.
• Program Graphic Design Institute używa identyfikatora Entra firmy Microsoft, a co najmniej niektórzy użytkownicy mają główną nazwę użytkownika kończącą się graphicdesigninstitute.com.

W takim przypadku można skonfigurować dwie połączone organizacje, a następnie jeden pakiet dostępu z jednymi zasadami.

1. Upewnij się, że masz włączone uwierzytelnianie za pomocą jednorazowego kodu dostępu (OTP), aby użytkownicy z tych domen, które nie są jeszcze częścią katalogów firmy Microsoft Entra, którzy będą uwierzytelniać się przy użyciu jednorazowego kodu dostępu poczty e-mail podczas żądania dostępu lub późniejszego uzyskiwania dostępu do zasobów. Ponadto może być konieczne skonfigurowanie ustawień współpracy zewnętrznej firmy Microsoft Entra B2B, aby umożliwić użytkownikom zewnętrznym dostęp.
2. Utwórz połączoną organizację dla firmy Contoso. Po określeniu contoso.com domeny zarządzanie upoważnieniami rozpozna, że nie istnieje dzierżawa usługi Microsoft Entra skojarzona z tą domeną, a użytkownicy z tej połączonej organizacji będą rozpoznawani, jeśli uwierzytelniają się przy użyciu jednorazowego kodu dostępu poczty e-mail z contoso.com domeną adresu e-mail.
3. Utwórz inną połączoną organizację dla Programu Graphic Design Institute. Po określeniu graphicdesigninstitute.com domeny zarządzanie upoważnieniami rozpozna, że istnieje dzierżawa skojarzona z tą domeną.
4. W katalogu, który umożliwia użytkownikom zewnętrznym żądanie, utwórz pakiet dostępu.
5. W tym pakiecie dostępu utwórz zasady przypisywania pakietów dostępu dla użytkowników, którzy jeszcze nie znajdują się w twoim katalogu. W tych zasadach wybierz opcję Określone połączone organizacje i określ dwie połączone organizacje. Pozwoli to użytkownikom z każdej organizacji, ze źródłem tożsamości zgodnym z jedną z połączonych organizacji, zażądać pakietu dostępu.
6. Gdy użytkownicy zewnętrzni z główną nazwą użytkownika, która ma domenę contoso.com zażądają pakietu dostępu, będą uwierzytelniać się przy użyciu poczty e-mail. Ta domena poczty e-mail będzie zgodna z organizacją połączoną z firmą Contoso, a użytkownik będzie mógł zażądać pakietu. Po żądaniu sposób działania dostępu dla użytkowników zewnętrznych opisuje sposób zapraszania użytkownika B2B i przypisywanie dostępu dla użytkownika zewnętrznego.
7. Ponadto użytkownicy zewnętrzni korzystający z konta organizacyjnego z dzierżawy Programu Graphic Design Institute będą zgodni z organizacją połączoną z Instytutem Projektowania Graficznego i mogą żądać pakietu dostępu. Ze względu na to, że program Graphic Design Institute używa identyfikatora Entra firmy Microsoft, wszyscy użytkownicy o nazwie głównej zgodnej z inną zweryfikowaną domeną dodaną do dzierżawy Programu Graphic Design Institute, na przykład graphicdesigninstitute.example, będą mogli również żądać dostępu pakietów przy użyciu tych samych zasad.

Sposób uwierzytelniania użytkowników z katalogu microsoft Entra lub domeny zależy od typu uwierzytelniania. Typy uwierzytelniania dla połączonych organizacji to:

• Microsoft Entra ID w tej samej chmurze
• Microsoft Entra ID w innej chmurze
• Federacja dostawcy tożsamości SAML/WS-Fed (IdP)
• Jednorazowy kod dostępu (domena)
• Microsoft Account

Aby dowiedzieć się, jak dodać połączoną organizację, obejrzyj następujący film wideo:

Wyświetlanie listy połączonych organizacji

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Rola wymagań wstępnych: globalny Administracja istrator lub Administracja istrator zarządzania tożsamościami

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.

2. Przejdź do zarządzania ładem>tożsamości Połączenie> ed organizacji.

3. W polu wyszukiwania możesz wyszukać połączoną organizację według nazwy połączonej organizacji. Nie można jednak wyszukać nazwy domeny.

Dodawanie połączonej organizacji

Aby dodać zewnętrzny katalog lub domenę firmy Microsoft jako połączoną organizację, postępuj zgodnie z instrukcjami w tej sekcji.

Rola wymagań wstępnych: globalny Administracja istrator lub Administracja istrator zarządzania tożsamościami

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.

2. Przejdź do zarządzania ładem>tożsamości Połączenie> ed organizacji.

3. Na stronie Połączenie ed organizations (Organizacje) wybierz pozycję Add connected organization (Dodaj połączoną organizację).

   

4. Wybierz kartę Podstawowe , a następnie wprowadź nazwę wyświetlaną i opis organizacji.

   

5. Stan zostanie automatycznie ustawiony na Wartość Skonfigurowano podczas tworzenia nowej połączonej organizacji. Aby uzyskać więcej informacji na temat właściwości stanu połączonej organizacji, zobacz State property of connected organizations (Właściwość stanu połączonych organizacji)

6. Wybierz kartę Katalog i domena , a następnie wybierz pozycję Dodaj katalog i domenę.

   Następnie zostanie otwarte okienko Wybierz katalogi i domeny .

7. W polu wyszukiwania wprowadź nazwę domeny, aby wyszukać katalog lub domenę Firmy Microsoft. Można również dodawać domeny, które nie są skojarzone z żadnym katalogiem Microsoft Entra. Pamiętaj, aby wprowadzić całą nazwę domeny.

8. Upewnij się, że nazwy organizacji i typy uwierzytelniania są poprawne. Logowanie użytkownika przed uzyskaniem dostępu do portalu MyAccess zależy od typu uwierzytelniania dla swojej organizacji. Jeśli typ uwierzytelniania dla połączonej organizacji to Microsoft Entra ID, wszyscy użytkownicy z kontem w katalogu tej organizacji, z dowolną zweryfikowaną domeną tego katalogu Microsoft Entra, zalogują się do katalogu, a następnie będą mogli zażądać dostępu do pakietów, które umożliwiają tej połączonej organizacji. Jeśli typ uwierzytelniania to jednorazowy kod dostępu, umożliwia to użytkownikom z adresami e-mail tylko z tej domeny wizytę w portalu MyAccess. Po uwierzytelnieniu przy użyciu kodu dostępu użytkownik może wysłać żądanie.

   

   Uwaga

   Dostęp z niektórych domen może zostać zablokowany przez firmę Microsoft Entra business to business (B2B) dozwolonych lub blokowanych list. Ponadto użytkownicy, którzy mają adres e-mail, który ma tę samą domenę co połączona organizacja skonfigurowana na potrzeby uwierzytelniania firmy Microsoft Entra, ale którzy nie uwierzytelniają się w tym katalogu Microsoft Entra, nie zostaną rozpoznani jako część tej połączonej organizacji. Aby uzyskać więcej informacji, zobacz Zezwalanie lub blokowanie zaproszeń do użytkowników B2B z określonych organizacji.

9. Wybierz pozycję Dodaj , aby dodać katalog lub domenę firmy Microsoft. Możesz dodać wiele katalogów i domen firmy Microsoft Entra.

10. Po dodaniu katalogów lub domen firmy Microsoft wybierz pozycję Wybierz.

    Organizacje są wyświetlane na liście.

    

11. Wybierz kartę Sponsorzy , a następnie dodaj opcjonalnych sponsorów dla tej połączonej organizacji.

    Sponsorzy są użytkownikami wewnętrznymi lub zewnętrznymi już w Twoim katalogu, którzy są punktem kontaktu dla relacji z tą połączoną organizacją. Sponsorzy wewnętrzni są członkami w katalogu. Sponsorzy zewnętrzni to użytkownicy-goście z połączonej organizacji, która została wcześniej zaproszona i znajdują się już w twoim katalogu. Sponsorzy mogą być używane jako osoby zatwierdzające, gdy użytkownicy w tej połączonej organizacji żądają dostępu do tego pakietu dostępu. Aby uzyskać informacje na temat zapraszania użytkownika-gościa do katalogu, zobacz Dodawanie użytkowników współpracy firmy Microsoft Entra B2B.

    Po wybraniu pozycji Dodaj/Usuń zostanie otwarte okienko, w którym można wybrać sponsorów wewnętrznych lub zewnętrznych. W okienku zostanie wyświetlona niefiltrowana lista użytkowników i grup w katalogu.

    

12. Wybierz kartę Przeglądanie i tworzenie , przejrzyj ustawienia organizacji, a następnie wybierz pozycję Utwórz.

    

Aktualizowanie połączonej organizacji

Jeśli połączona organizacja zmieni się w inną domenę, nazwa organizacji ulegnie zmianie lub chcesz zmienić sponsorów, możesz zaktualizować połączoną organizację, postępując zgodnie z instrukcjami w tej sekcji.

Rola wymagań wstępnych: globalny Administracja istrator lub Administracja istrator zarządzania tożsamościami

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.

2. Przejdź do zarządzania ładem>tożsamości Połączenie> ed organizacji.

3. Na stronie Połączenie ed organizations (Organizacje) wybierz połączoną organizację, którą chcesz zaktualizować.

4. W okienku przeglądu połączonej organizacji wybierz pozycję Edytuj , aby zmienić nazwę organizacji, opis lub stan.

5. W okienku Katalog i domena wybierz pozycję Aktualizuj katalog i domenę , aby zmienić katalog na inny katalog lub domenę.

6. W okienku Sponsorzy wybierz pozycję Dodaj sponsorów wewnętrznych lub Dodaj sponsorów zewnętrznych, aby dodać użytkownika jako sponsora. Aby usunąć sponsora, wybierz sponsora, a następnie w okienku po prawej stronie wybierz pozycję Usuń.

Usuwanie połączonej organizacji

Jeśli nie masz już relacji z zewnętrznym katalogiem lub domeną firmy Microsoft Entra lub nie chcesz już mieć proponowanej połączonej organizacji, możesz usunąć połączoną organizację.

Rola wymagań wstępnych: globalny Administracja istrator lub Administracja istrator zarządzania tożsamościami

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zarządzania tożsamościami.

2. Przejdź do zarządzania ładem>tożsamości Połączenie> ed organizacji.

3. Na stronie Połączenie ed organizations (Organizacje Połączenie) wybierz połączoną organizację, którą chcesz usunąć, aby ją otworzyć.

4. W okienku przeglądu połączonej organizacji wybierz pozycję Usuń , aby go usunąć.

   

Programowe zarządzanie połączoną organizacją

Możesz również tworzyć, wyświetlać, aktualizować i usuwać połączone organizacje przy użyciu programu Microsoft Graph. Użytkownik w odpowiedniej roli z aplikacją, która ma delegowane EntitlementManagement.ReadWrite.All uprawnienia, może wywołać interfejs API, aby zarządzać połączonymi obiektami organizacji i ustawiać dla nich sponsorów.

Zarządzanie połączonymi organizacjami za pomocą programu Microsoft PowerShell

Możesz również zarządzać połączonymi organizacjami w programie PowerShell za pomocą poleceń cmdlet programu Microsoft Graph PowerShell dla modułu Identity Governance w wersji 1.16.0 lub nowszej.

Poniższy skrypt ilustruje użycie v1.0 profilu programu Graph w celu pobrania wszystkich połączonych organizacji. Każda zwrócona połączona organizacja zawiera tożsamość listyŹródła katalogów i domen tej połączonej organizacji.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$co = Get-MgEntitlementManagementConnectedOrganization -all

foreach ($c in $co) {
  foreach ($i in $c.identitySources) {
    write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
  }
}

Właściwość stanu połączonych organizacji

Istnieją dwa różne stany dla połączonych organizacji w zarządzaniu upoważnieniami, skonfigurowane i proponowane:

• Skonfigurowana połączona organizacja to w pełni funkcjonalna połączona organizacja, która umożliwia użytkownikom w tej organizacji dostęp do pakietów. Gdy administrator utworzy nową połączoną organizację w centrum administracyjnym firmy Microsoft Entra, będzie on domyślnie w stanie skonfigurowanym , ponieważ administrator utworzył i chce korzystać z tej połączonej organizacji. Ponadto po programowym utworzeniu połączonej organizacji za pośrednictwem interfejsu API należy skonfigurować stan domyślny, chyba że zostanie ustawiony jawnie inny stan.

  Skonfigurowane połączone organizacje będą wyświetlane w selektorach dla połączonych organizacji i będą w zakresie dla wszystkich zasad przeznaczonych dla "wszystkich skonfigurowanych połączonych organizacji".

• Proponowana połączona organizacja to połączona organizacja, która została utworzona automatycznie, ale nie utworzyła ani nie zatwierdziła organizacji przez administratora. Gdy użytkownik zarejestruje się w celu uzyskania pakietu dostępu poza skonfigurowaną połączoną organizacją, wszystkie automatycznie utworzone połączone organizacje będą w stanie proponowanym , ponieważ żaden administrator nie skonfigurował tego partnerstwa.

  Proponowane połączone organizacje nie są w zakresie ustawienia "wszystkie skonfigurowane połączone organizacje" dla dowolnych zasad, ale mogą być używane w zasadach tylko dla zasad przeznaczonych dla określonych organizacji.

Tylko użytkownicy ze skonfigurowanych połączonych organizacji mogą żądać pakietów dostępu, które są dostępne dla użytkowników ze wszystkich skonfigurowanych organizacji. Użytkownicy z proponowanych połączonych organizacji mają doświadczenie, jakby nie było połączonej organizacji dla tej domeny; może wyświetlać i żądać pakietów dostępu o określonym zakresie w określonej organizacji lub w zakresie dla dowolnego użytkownika. Jeśli masz zasady w dzierżawie, które zezwalają na "wszystkie skonfigurowane połączone organizacje", upewnij się, że nie konwertujesz proponowanych połączonych organizacji dla dostawców tożsamości społecznościowych na skonfigurowane.

Uwaga

W ramach wdrażania tej nowej funkcji wszystkie połączone organizacje utworzone przed 09.09.09.20 zostały uznane za skonfigurowane. Jeśli masz pakiet dostępu, który zezwolił użytkownikom z dowolnej organizacji na rejestrację, należy przejrzeć listę połączonych organizacji utworzonych przed tą datą, aby upewnić się, że żadna z nich nie zostanie błędnie sklasyfikowana zgodnie z konfiguracją. W szczególności dostawcy tożsamości społecznościowych nie powinni być wskazywani zgodnie z konfiguracją , jeśli istnieją zasady przypisywania, które nie wymagają zatwierdzenia dla użytkowników ze wszystkich skonfigurowanych połączonych organizacji. Administrator może odpowiednio zaktualizować właściwość State . Aby uzyskać wskazówki, zobacz Aktualizowanie połączonej organizacji.

Uwaga

W niektórych przypadkach użytkownik może zażądać pakietu dostępu przy użyciu konta osobistego od dostawcy tożsamości społecznościowej, gdzie adres e-mail tego konta ma tę samą domenę co istniejąca połączona organizacja odpowiadająca dzierżawie firmy Microsoft Entra. Jeśli ten użytkownik zostanie zatwierdzony, spowoduje to utworzenie nowej proponowanej połączonej organizacji reprezentującej tą domenę. W takim przypadku upewnij się, że użytkownik używa konta organizacji, aby ponownie zażądać dostępu, a portal zidentyfikuje tego użytkownika pochodzącego ze skonfigurowanej połączonej organizacji Firmy Microsoft Entra.

Następne kroki

• Zarządzanie dostępem dla użytkowników zewnętrznych
• Zarządzanie dostępem dla użytkowników, którzy nie znajdują się w katalogu