Udostępnij za pośrednictwem


Omówienie właściwości użytkowników-gości B2B i zarządzanie nimi

Dotyczy:Zielony okrąg z białym symbolem znacznika wyboru. Dzierżawcy siły roboczej — dzierżawcy zewnętrzni Biały okrąg z szarym symbolem X. (dowiedz się więcej)

Współpraca B2B to możliwość Tożsamość zewnętrzna Microsoft Entra, która umożliwia współpracę z użytkownikami i partnerami spoza organizacji. W przypadku współpracy B2B użytkownik zewnętrzny jest zapraszany do logowania się do organizacji Firmy Microsoft Entra przy użyciu własnych poświadczeń. Ten użytkownik współpracy B2B może następnie uzyskiwać dostęp do aplikacji i zasobów, które mają zostać im udostępnione. Obiekt użytkownika jest tworzony dla użytkownika współpracy B2B w tym samym katalogu co pracownicy. Obiekty użytkownika współpracy B2B mają domyślnie ograniczone uprawnienia w katalogu i mogą być zarządzane, takie jak pracownicy, dodawani do grup itd. W tym artykule omówiono właściwości tego obiektu użytkownika i sposoby zarządzania nim.

W poniższej tabeli opisano użytkowników współpracy B2B na podstawie sposobu uwierzytelniania (wewnętrznie lub zewnętrznie) oraz relacji z organizacją (gościem lub członkiem).

Diagram przedstawiający użytkowników współpracy B2B.

  • Gość zewnętrzny: większość użytkowników, którzy są powszechnie traktowani jako użytkownicy zewnętrzni lub goście należą do tej kategorii. Ten użytkownik współpracy B2B ma konto w zewnętrznej organizacji firmy Microsoft Entra lub zewnętrznego dostawcy tożsamości (na przykład tożsamości społecznościowej) i ma uprawnienia na poziomie gościa w organizacji zasobów. Obiekt użytkownika utworzony w zasobie Katalogu Microsoft Entra ma typ użytkownika gościa.
  • Członek zewnętrzny: ten użytkownik współpracy B2B ma konto w zewnętrznej organizacji Firmy Microsoft Entra lub zewnętrznego dostawcy tożsamości (na przykład tożsamości społecznościowej) i dostępu na poziomie członka do zasobów w organizacji. Ten scenariusz jest typowy w organizacjach składających się z wielu dzierżaw, gdzie użytkownicy są traktowani jako część większej organizacji i potrzebują dostępu na poziomie członka do zasobów w innych dzierżawach organizacji. Obiekt użytkownika utworzony w katalogu zasobów Microsoft Entra ma wartość UserType elementu członkowskiego.
  • Gość wewnętrzny: Zanim współpraca firmy Microsoft Entra B2B była dostępna, często współpraca z dystrybutorami, dostawcami, dostawcami i innymi osobami przez skonfigurowanie dla nich poświadczeń wewnętrznych i wyznaczenie ich jako gości przez ustawienie obiektu użytkownika UserType na gość. Jeśli masz wewnętrznych użytkowników-gości, takich jak te, możesz zaprosić ich do korzystania ze współpracy B2B, aby mogli używać własnych poświadczeń, umożliwiając dostawcy tożsamości zewnętrznej zarządzanie uwierzytelnianiem i cyklem życia konta.
  • Członek wewnętrzny: ci użytkownicy są zwykle traktowani jako pracownicy twojej organizacji. Użytkownik uwierzytelnia się wewnętrznie za pośrednictwem identyfikatora Entra firmy Microsoft, a obiekt użytkownika utworzony w katalogu zasobów Microsoft Entra ma wartość UserType elementu członkowskiego.

Wybrany typ użytkownika ma następujące ograniczenia dotyczące aplikacji lub usług (ale nie są ograniczone do):

Aplikacja lub usługa Ograniczenia
Power BI — Obsługa elementu członkowskiego UserType w usłudze Power BI jest obecnie dostępna w wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz Dystrybucja zawartości usługi Power BI do zewnętrznych użytkowników-gości za pomocą usługi Microsoft Entra B2B.
Azure Virtual Desktop — Zewnętrzny członek i zewnętrzny gość nie są obsługiwane w usłudze Azure Virtual Desktop.

Ważne

Funkcja jednorazowego kodu dostępu wiadomości e-mail jest teraz domyślnie włączona dla wszystkich nowych dzierżaw i dla wszystkich istniejących dzierżaw, w których nie została jawnie wyłączona. Po wyłączeniu tej funkcji metoda uwierzytelniania rezerwowego to monit o zaproszenie do utworzenia konta Microsoft.

Realizacja zaproszenia

Teraz zobaczmy, jak wygląda użytkownik współpracy Firmy Microsoft Entra B2B w Tożsamość zewnętrzna Microsoft Entra.

Przed wykupem zaproszenia

Konta użytkowników współpracy B2B są wynikiem zapraszania użytkowników-gości do współpracy przy użyciu własnych poświadczeń użytkowników-gości. Po początkowym wysłaniu zaproszenia do użytkownika-gościa w dzierżawie zostanie utworzone konto. To konto nie ma żadnych poświadczeń skojarzonych z nim, ponieważ uwierzytelnianie jest wykonywane przez dostawcę tożsamości użytkownika-gościa. Właściwość Identities dla konta użytkownika-gościa w katalogu jest ustawiona na domenę organizacji hosta, dopóki gość nie zrealizowa zaproszenia. Użytkownik wysyłający zaproszenie jest dodawany jako wartość domyślna atrybutu Sponsor na koncie użytkownika-gościa. W centrum administracyjnym profil zaproszonego użytkownika będzie zawierać stan Zaproszenie oczekującej akceptacji. Zapytanie dotyczące externalUserState korzystania z interfejsu API programu Microsoft Graph zwróci wartość Pending Acceptance.

Zrzut ekranu przedstawiający profil użytkownika przed wykupem.

Po wykupie zaproszenia

Gdy użytkownik współpracy B2B zaakceptuje zaproszenie, właściwość Identities zostanie zaktualizowana na podstawie dostawcy tożsamości użytkownika.

  • Jeśli użytkownik współpracy B2B korzysta z konta Microsoft lub poświadczeń innego zewnętrznego dostawcy tożsamości, tożsamości odzwierciedlają dostawcę tożsamości, na przykład konto Microsoft, google.com lub facebook.com.

    Zrzut ekranu przedstawiający profil użytkownika po realizacji.

  • Jeśli użytkownik współpracy B2B używa poświadczeń z innej organizacji firmy Microsoft Entra, tożsamości to ExternalAzureAD.

  • W przypadku użytkowników zewnętrznych korzystających z poświadczeń wewnętrznych właściwość Identities jest ustawiona na domenę organizacji hosta. Właściwość Zsynchronizowana z katalogiem ma wartość Tak, jeśli konto jest w lokalna usługa Active Directory organizacji i zsynchronizowane z identyfikatorem Microsoft Entra lub Nie, jeśli konto jest kontem tylko w chmurze Microsoft Entra. Informacje o synchronizacji katalogów onPremisesSyncEnabled są również dostępne za pośrednictwem właściwości w programie Microsoft Graph.

Kluczowe właściwości użytkownika współpracy B2B firmy Microsoft

Główna nazwa użytkownika

Nazwa UPN obiektu użytkownika współpracy B2B (tj. użytkownicy-goście) zawiera adres e-mail użytkownika-gościa, a następnie #EXT#, a następnie tenantname.onmicrosoft.com. Jeśli na przykład użytkownik zostanie dodany jako użytkownik john@contoso.com zewnętrzny w katalogu fabrikam, jego nazwa UPN zostanie john_contoso.com#EXT#@fabrikam.onmicrosoft.com.

Typ użytkownika

Ta właściwość wskazuje relację użytkownika z dzierżawą hosta. Ta właściwość może mieć dwie wartości:

  • Członek: Ta wartość wskazuje pracownika organizacji hosta i użytkownika w liście płac organizacji. Na przykład ten użytkownik oczekuje dostępu do witryn tylko wewnętrznych. Ten użytkownik nie jest uważany za zewnętrznego współpracownika.

  • Gość: Ta wartość wskazuje użytkownika, który nie jest uważany za wewnętrzny dla firmy, na przykład zewnętrznego współpracownika, partnera lub klienta. Taki użytkownik nie oczekuje się, że otrzyma wewnętrzną notatkę dyrektora generalnego (CEO) ani nie otrzyma świadczeń firmowych, na przykład.

Uwaga

Typ użytkownika nie ma związku ze sposobem logowania użytkownika, rolą katalogu użytkownika itd. Ta właściwość po prostu wskazuje relację użytkownika z organizacją hosta i umożliwia organizacji wymuszanie zasad, które zależą od tej właściwości.

Tożsamości

Ta właściwość wskazuje podstawowego dostawcę tożsamości użytkownika. Użytkownik może mieć kilku dostawców tożsamości, które można wyświetlić, wybierając link obok pozycji Tożsamości w profilu użytkownika lub wysyłając zapytanie do identities właściwości za pośrednictwem interfejsu API programu Microsoft Graph.

Uwaga

Tożsamości i Typ użytkownika są niezależnymi właściwościami. Wartość Tożsamości nie oznacza określonej wartości typu UserType.

Wartość właściwości Tożsamości Stan logowania
ExternalAzureAD Ten użytkownik jest umieszczony w organizacji zewnętrznej i uwierzytelnia się przy użyciu konta Microsoft Entra należącego do innej organizacji.
Konto Microsoft Ten użytkownik jest w domu na koncie Microsoft i uwierzytelnia się przy użyciu konta Microsoft.
Domena hosta {host} Ten użytkownik uwierzytelnia się przy użyciu konta Microsoft Entra należącego do tej organizacji.
google.com Ten użytkownik ma konto Gmail i zarejestrował się przy użyciu samoobsługi w innej organizacji.
facebook.com Ten użytkownik ma konto w serwisie Facebook i zarejestrował się przy użyciu samoobsługi w innej organizacji.
poczta Ten użytkownik zarejestrował się przy użyciu Tożsamość zewnętrzna Microsoft Entra jednorazowego kodu dostępu (OTP).
{identyfikator URI wystawcy} Ten użytkownik znajduje się w organizacji zewnętrznej, która nie używa identyfikatora Entra firmy Microsoft jako dostawcy tożsamości, ale zamiast tego używa dostawcy tożsamości opartego na protokole SAML (Security Assertion Markup Language) /WS-Fed. Identyfikator URI wystawcy jest wyświetlany po kliknięciu pola Tożsamości.

Logowanie za pomocą telefonu nie jest obsługiwane dla użytkowników zewnętrznych. Konta B2B nie mogą używać phone wartości jako dostawcy tożsamości.

Zsynchronizowano katalog

Właściwość Zsynchronizowana katalog wskazuje, czy użytkownik jest synchronizowany z lokalna usługa Active Directory i jest uwierzytelniany lokalnie. Ta właściwość ma wartość Tak, jeśli konto znajduje się w lokalna usługa Active Directory organizacji i jest synchronizowane z identyfikatorem Entra firmy Microsoft lub nie, jeśli konto jest kontem firmy Microsoft tylko w chmurze. W programie Microsoft Graph zsynchronizowana właściwość Directory odpowiada właściwości onPremisesSyncEnabled.

Czy użytkownicy microsoft Entra B2B mogą być dodawani jako członkowie zamiast gości?

Zazwyczaj użytkownik i gość firmy Microsoft Entra B2B są synonimami. W związku z tym użytkownik współpracy B2B firmy Microsoft jest dodawany jako użytkownik z ustawieniem UserType domyślnie ustawionym na gościa . Jednak w niektórych przypadkach organizacja partnerska jest członkiem większej organizacji, do której należy również organizacja hosta. Jeśli tak, organizacja hostów może chcieć traktować użytkowników w organizacji partnerskiej jako członków zamiast gości. Użyj interfejsów API programu Microsoft Entra B2B Invitation Manager, aby dodać lub zaprosić użytkownika z organizacji partnerskiej do organizacji hosta jako członka.

Filtruj dla użytkowników-gości w katalogu

Na liście Użytkownicy możesz użyć opcji Dodaj filtr, aby wyświetlić tylko użytkowników-gości w katalogu.

Zrzut ekranu przedstawiający sposób dodawania filtru Typ użytkownika dla gości.

Zrzut ekranu przedstawiający filtr dla użytkowników-gości.

Konwertowanie typu użytkownika

Można przekonwertować typ użytkownika z elementu członkowskiego na gościa i na odwrót, edytując profil użytkownika w centrum administracyjnym firmy Microsoft Entra lub przy użyciu programu PowerShell. Jednak właściwość UserType reprezentuje relację użytkownika z organizacją. W związku z tym należy zmienić tę właściwość tylko wtedy, gdy relacja użytkownika z organizacją ulegnie zmianie. Jeśli relacja użytkownika ulegnie zmianie, czy główna nazwa użytkownika (UPN) powinna ulec zmianie? Czy użytkownik powinien nadal mieć dostęp do tych samych zasobów? Czy skrzynka pocztowa powinna być przypisana?

Uprawnienia gościa

Użytkownicy-goście mają domyślne uprawnienia do katalogu z ograniczeniami. Mogą zarządzać własnym profilem, zmieniać własne hasło i pobierać informacje o innych użytkownikach, grupach i aplikacjach. Nie mogą jednak odczytać wszystkich informacji o katalogu.

Użytkownicy-goście B2B nie są obsługiwani w kanałach udostępnionych usługi Microsoft Teams. Aby uzyskać dostęp do udostępnionych kanałów, zobacz Bezpośrednie połączenie B2B.

Mogą wystąpić przypadki, w których chcesz nadać użytkownikom-gościom wyższe uprawnienia. Możesz dodać użytkownika-gościa do dowolnej roli, a nawet usunąć domyślne ograniczenia użytkownika-gościa w katalogu, aby nadać użytkownikowi te same uprawnienia co członkowie. Można wyłączyć domyślne ograniczenia, aby użytkownik-gość w katalogu firmy miał takie same uprawnienia jak użytkownik członkowski. Aby uzyskać więcej informacji, zapoznaj się z artykułem Ograniczanie uprawnień dostępu gościa w Tożsamość zewnętrzna Microsoft Entra.

Zrzut ekranu przedstawiający opcję Użytkownicy zewnętrzni w ustawieniach użytkownika.

Czy mogę uwidocznić użytkowników-gości na globalnej liście adresów programu Exchange?

Tak. Domyślnie obiekty gościa nie są widoczne na globalnej liście adresów organizacji, ale można je uwidocznić za pomocą programu Microsoft Graph PowerShell. Aby uzyskać szczegółowe informacje, zobacz artykuł "Dodawanie gości do globalnej listy adresów" w artykule Microsoft 365 per-group guest access (Dodawanie gości do globalnej listy adresów) w artykule Dotyczącym dostępu gościa na platformie Microsoft 365 dla poszczególnych grup.

Czy mogę zaktualizować adres e-mail użytkownika-gościa?

Jeśli użytkownik-gość zaakceptuje zaproszenie, a następnie zmieni swój adres e-mail, nowa wiadomość e-mail nie zostanie automatycznie zsynchronizowana z obiektem użytkownika-gościa w katalogu. Właściwość poczty jest tworzona za pośrednictwem interfejsu API programu Microsoft Graph. Właściwość poczty można zaktualizować za pomocą interfejsu API programu Microsoft Graph, centrum administracyjnego programu Exchange lub programu PowerShell usługi Exchange Online. Zmiana zostanie odzwierciedlona w obiekcie użytkownika-gościa Firmy Microsoft Entra.