Udostępnij za pośrednictwem


Przypisywanie ról platformy Azure do użytkowników zewnętrznych przy użyciu witryny Azure Portal

Kontrola dostępu oparta na rolach platformy Azure (RBAC) umożliwia lepsze zarządzanie zabezpieczeniami dla dużych organizacji oraz dla małych i średnich firm pracujących z zewnętrznymi współpracownikami, dostawcami lub freelancerami, którzy potrzebują dostępu do określonych zasobów w danym środowisku, ale niekoniecznie do całej infrastruktury lub dowolnych zakresów związanych z rozliczeniami. Możesz użyć funkcji w Microsoft Entra B2B, aby współpracować z użytkownikami zewnętrznymi i użyć Azure RBAC, aby udzielić tylko tych uprawnień, które są potrzebne użytkownikom zewnętrznym w twoim środowisku.

Wymagania wstępne

Aby przypisać role platformy Azure lub usunąć przypisania roli, musisz mieć następujące uprawnienia:

Kiedy zaprosisz użytkowników zewnętrznych?

Oto kilka przykładowych scenariuszy, kiedy możesz zaprosić użytkowników do swojej organizacji i przyznać im uprawnienia:

  • Zezwól zewnętrznemu dostawcy samoobsługowemu, który ma tylko konto e-mail, aby uzyskać dostęp do zasobów platformy Azure dla projektu.
  • Zezwól zewnętrznemu partnerowi na zarządzanie określonymi zasobami lub całą subskrypcją.
  • Zezwól inżynierom pomocy technicznej niezależnie od organizacji (na przykład pomocy technicznej firmy Microsoft), aby tymczasowo uzyskać dostęp do zasobu platformy Azure, aby rozwiązać problemy.

Różnice uprawnień między użytkownikami członkami a użytkownikami-gośćmi

Użytkownicy katalogu z typem członka (użytkownicy będący członkami) domyślnie mają inne uprawnienia niż użytkownicy zaproszeni z innego katalogu jako gość współpracy B2B (użytkownicy-goście). Na przykład użytkownicy będący członkami mogą odczytywać prawie wszystkie informacje o katalogu, podczas gdy użytkownicy-goście mają ograniczone uprawnienia do katalogu. Aby uzyskać więcej informacji o użytkownikach członkowskich i użytkownikach-gościach, zobacz Co to są domyślne uprawnienia użytkownika w usłudze Microsoft Entra ID?.

Zapraszanie użytkownika zewnętrznego do katalogu

Wykonaj następujące kroki, aby zaprosić użytkownika zewnętrznego do katalogu w usłudze Microsoft Entra ID.

  1. Zaloguj się do portalu Azure.

  2. Upewnij się, że ustawienia współpracy zewnętrznej organizacji są skonfigurowane tak, aby umożliwić zapraszanie użytkowników zewnętrznych. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień współpracy zewnętrznej.

  3. Select Microsoft Entra ID>Users.

  4. Wybierz pozycję Nowy użytkownik Zaproś użytkownika> zewnętrznego.

    Zrzut ekranu przedstawiający stronę Zapraszanie użytkownika zewnętrznego w witrynie Azure Portal.

  5. Wykonaj kroki, aby zaprosić użytkownika zewnętrznego. Aby uzyskać więcej informacji, zobacz Dodawanie użytkowników współpracy Microsoft Entra B2B w portalu Azure.

Po zaproszeniu użytkownika zewnętrznego do katalogu możesz wysłać użytkownikowi zewnętrznemu bezpośredni link do udostępnionej aplikacji lub użytkownik zewnętrzny może wybrać link akceptuj zaproszenie w wiadomości e-mail z zaproszeniem.

Zrzut ekranu przedstawiający wiadomość e-mail z zaproszeniem użytkownika zewnętrznego.

Aby użytkownik zewnętrzny mógł uzyskać dostęp do katalogu, musi ukończyć proces zapraszania.

Zrzut ekranu przedstawiający uprawnienia do przeglądu zaproszeń użytkowników zewnętrznych.

For more information about the invitation process, see Microsoft Entra B2B collaboration invitation redemption.

Przypisywanie roli do użytkownika zewnętrznego

Aby udzielić dostępu w Azure RBAC, należy przypisać rolę. Aby przypisać rolę do użytkownika zewnętrznego, wykonaj te same kroki , co w przypadku użytkownika członkowskiego, grupy, jednostki usługi lub tożsamości zarządzanej. Follow these steps assign a role to an external user at different scopes.

  1. Zaloguj się do portalu Azure.

  2. W polu Wyszukaj u góry wyszukaj zakres, do którego chcesz udzielić dostępu. Na przykład wyszukaj grupy zarządzania, subskrypcje, grupy zasobów lub konkretny zasób.

  3. Wybierz konkretny zasób dla tego zakresu.

  4. Wybierz pozycję Kontrola dostępu (IAM).

    Poniżej przedstawiono przykład strony Kontrola dostępu (IAM) dla grupy zasobów.

    Zrzut ekranu przedstawiający stronę Kontrola dostępu (IAM) dla grupy zasobów.

  5. Wybierz kartę Przypisania ról, aby wyświetlić przypisania ról w tym zakresie.

  6. Wybierz pozycję Dodaj>Dodaj przypisanie roli.

    Jeśli nie masz uprawnień do przypisywania ról, opcja Dodaj przypisanie roli zostanie wyłączona.

    Screenshot of Add > Add role assignment menu.

    The Add role assignment page opens.

  7. Na karcie Rola wybierz rolę, taką jak Współautor maszyny wirtualnej.

    Screenshot of Add role assignment page with Roles tab.

  8. Na karcie Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi.

    Screenshot of Add role assignment page with Members tab.

  9. Select Select members.

  10. Znajdź i wybierz użytkownika zewnętrznego. Jeśli na liście nie widzisz użytkownika, możesz wpisać w polu Wybierz , aby wyszukać w katalogu nazwę wyświetlaną lub adres e-mail.

    Możesz skorzystać z pola Wybierz, aby wyszukać w katalogu nazwę wyświetlaną lub adres e-mail.

    Zrzut ekranu przedstawiający okienko Wybieranie członków.

  11. Wybierz Wybierz, aby dodać użytkownika zewnętrznego do listy członków.

  12. Na karcie Przeglądanie i przypisywanie wybierz pozycję Przejrzyj i przypisz.

    Po kilku chwilach użytkownik zewnętrzny ma przypisaną rolę w wybranym zakresie.

    Screenshot of role assignment for Virtual Machine Contributor.

Przypisz rolę użytkownikowi zewnętrznemu, który nie znajduje się jeszcze w Twoim katalogu.

Aby przypisać rolę do użytkownika zewnętrznego, wykonaj te same kroki , co w przypadku użytkownika członkowskiego, grupy, jednostki usługi lub tożsamości zarządzanej.

Jeśli użytkownik zewnętrzny nie znajduje się jeszcze w twoim katalogu, możesz zaprosić użytkownika bezpośrednio z okienka Wybierz członków.

  1. Zaloguj się do portalu Azure.

  2. W polu Wyszukaj u góry wyszukaj zakres, do którego chcesz udzielić dostępu. Na przykład wyszukaj grupy zarządzania, subskrypcje, grupy zasobów lub konkretny zasób.

  3. Wybierz konkretny zasób dla tego zakresu.

  4. Wybierz pozycję Kontrola dostępu (IAM).

  5. Wybierz pozycję Dodaj>Dodaj przypisanie roli.

    Jeśli nie masz uprawnień do przypisywania ról, opcja Dodaj przypisanie roli zostanie wyłączona.

    Screenshot of Add > Add role assignment menu.

    The Add role assignment page opens.

  6. Na karcie Rola wybierz rolę, taką jak Współautor maszyny wirtualnej.

  7. Na karcie Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi.

    Screenshot of Add role assignment page with Members tab.

  8. Select Select members.

  9. W polu Wybierz wpisz adres e-mail osoby, którą chcesz zaprosić, i wybierz tę osobę.

    Zrzut ekranu przedstawiający zapraszanie użytkownika zewnętrznego w okienku Wybieranie członków.

  10. Wybierz Wybierz, aby dodać użytkownika zewnętrznego do listy członków.

  11. Na karcie Przeglądanie i przypisywanie wybierz pozycję Przejrzyj i przypisz , aby dodać użytkownika zewnętrznego do katalogu, przypisać rolę i wysłać zaproszenie.

    Po kilku chwilach zobaczysz powiadomienie o przypisaniu roli i informacjach o zaproszeniu.

    Zrzut ekranu przedstawiający przypisanie roli i powiadomienie zaproszonego użytkownika.

  12. Aby ręcznie zaprosić użytkownika zewnętrznego, kliknij prawym przyciskiem myszy i skopiuj link zaproszenia w powiadomieniu. Nie wybieraj linku zaproszenia, ponieważ uruchamia proces zaproszenia.

    Link zaproszenia będzie miał następujący format:

    https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...

  13. Wyślij link zaproszenia do użytkownika zewnętrznego, aby ukończyć proces zaproszenia.

    For more information about the invitation process, see Microsoft Entra B2B collaboration invitation redemption.

Usuwanie użytkownika zewnętrznego z katalogu

Przed usunięciem użytkownika zewnętrznego z katalogu należy najpierw usunąć wszystkie przypisania ról dla tego użytkownika zewnętrznego. Wykonaj następujące kroki, aby usunąć użytkownika zewnętrznego z katalogu.

  1. Otwórz Kontrolę dostępu (IAM) w zakresie, takim jak na przykład grupa zarządzania, subskrypcja, grupa zasobów lub zasób, gdzie użytkownik zewnętrzny ma przypisanie roli.

  2. Wybierz kartę Przypisania ról , aby wyświetlić wszystkie przypisania ról.

  3. Na liście przypisań ról dodaj znacznik wyboru obok użytkownika zewnętrznego z przypisaniem roli, które chcesz usunąć.

    Zrzut ekranu przedstawiający wybrane przypisanie roli do usunięcia.

  4. Wybierz Usuń.

    Zrzut ekranu komunikatu o usunięciu przypisania roli.

  5. W wyświetlonym komunikacie usuwania przypisania roli wybierz pozycję Tak.

  6. Wybierz kartę Administratorzy klasyczni.

  7. Jeśli użytkownik zewnętrzny ma przypisanie Co-Administrator, dodaj znacznik wyboru obok użytkownika zewnętrznego i wybierz pozycję Usuń.

  8. Na pasku nawigacyjnym po lewej stronie wybierz Microsoft Entra ID>Użytkownicy.

  9. Wybierz użytkownika zewnętrznego, który chcesz usunąć.

  10. Wybierz Usuń.

    Zrzut ekranu przedstawiający usuwanie użytkownika zewnętrznego.

  11. W wyświetlonym komunikacie usuwania wybierz pozycję Tak.

Rozwiązywanie problemów

Użytkownik zewnętrzny nie może przeglądać katalogu

Użytkownicy zewnętrzni mają ograniczone uprawnienia do katalogu. Na przykład użytkownicy zewnętrzni nie mogą przeglądać katalogu i nie mogą wyszukiwać grup ani aplikacji. Aby uzyskać więcej informacji, zobacz Jakie są domyślne uprawnienia użytkownika w usłudze Microsoft Entra ID?.

Zrzut ekranu przedstawiający użytkownika zewnętrznego, który nie może przeglądać użytkowników w katalogu.

Jeśli użytkownik zewnętrzny potrzebuje dodatkowych uprawnień w katalogu, możesz przypisać rolę Entra firmy Microsoft do użytkownika zewnętrznego. Jeśli naprawdę chcesz, aby użytkownik zewnętrzny miał pełny dostęp do odczytu do katalogu, możesz dodać użytkownika zewnętrznego do roli Czytelnicy katalogu w identyfikatorze Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Dodawanie użytkowników współpracy Microsoft Entra B2B w portalu Azure.

Screenshot of assigning Directory Readers role.

Użytkownik zewnętrzny nie może przeglądać użytkowników, grup ani jednostek usługi w celu przypisania ról

Użytkownicy zewnętrzni mają ograniczone uprawnienia do katalogu. Even if an external user is an Owner at a scope, if they try to assign a role to grant someone else access, they can't browse the list of users, groups, or service principals.

Screenshot of external user can't browse security principals to assign roles.

Jeśli użytkownik zewnętrzny zna dokładną nazwę logowania w katalogu, może udzielić dostępu. Jeśli naprawdę chcesz, aby użytkownik zewnętrzny miał pełny dostęp do odczytu do katalogu, możesz dodać użytkownika zewnętrznego do roli Czytelnicy katalogu w identyfikatorze Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Dodawanie użytkowników współpracy Microsoft Entra B2B w portalu Azure.

External user cannot register applications or create service principals

Użytkownicy zewnętrzni mają ograniczone uprawnienia do katalogu. Jeśli użytkownik zewnętrzny musi mieć możliwość rejestrowania aplikacji lub tworzenia jednostek usługi, możesz dodać użytkownika zewnętrznego do roli dewelopera aplikacji w usłudze Microsoft Entra ID. Aby uzyskać więcej informacji, zobacz Dodawanie użytkowników współpracy Microsoft Entra B2B w portalu Azure.

Zrzut ekranu przedstawiający użytkownika zewnętrznego, który nie może zarejestrować aplikacji.

Użytkownik zewnętrzny nie widzi nowego katalogu

Jeśli użytkownikowi zewnętrznemu został udzielony dostęp do katalogu, ale nie widzi nowego katalogu wymienionego w portalu Azure podczas próby przełączenia się na stronie Katalogi, upewnij się, że użytkownik zewnętrzny zakończył proces zaproszenia. For more information about the invitation process, see Microsoft Entra B2B collaboration invitation redemption.

Użytkownik zewnętrzny nie widzi zasobów

Jeśli użytkownik zewnętrzny udzielił dostępu do katalogu, ale nie widzi zasobów, do których udzielono im dostępu w witrynie Azure Portal, upewnij się, że użytkownik zewnętrzny wybrał prawidłowy katalog. Użytkownik zewnętrzny może mieć dostęp do wielu katalogów. Aby przełączyć katalogi, w lewym górnym rogu wybierz pozycjęKatalogi>, a następnie wybierz odpowiedni katalog.

Screenshot of Portal setting Directories section in Azure portal.

Następne kroki