Przypisywanie ról platformy Azure do użytkowników zewnętrznych przy użyciu witryny Azure Portal
Kontrola dostępu oparta na rolach platformy Azure (RBAC) platformy Azure umożliwia lepsze zarządzanie zabezpieczeniami dla dużych organizacji oraz dla małych i średnich firm pracujących z zewnętrznymi współpracownikami, dostawcami lub administratorami, którzy potrzebują dostępu do określonych zasobów w danym środowisku, ale niekoniecznie do całej infrastruktury lub dowolnych zakresów związanych z rozliczeniami. Możesz użyć funkcji w firmie Microsoft Entra B2B , aby współpracować z użytkownikami zewnętrznymi i użyć kontroli dostępu opartej na rolach platformy Azure, aby udzielić tylko uprawnień potrzebnych użytkownikom zewnętrznym w danym środowisku.
Wymagania wstępne
Aby przypisać role platformy Azure lub usunąć przypisania ról, musisz mieć następujące elementy:
Microsoft.Authorization/roleAssignments/write
iMicrosoft.Authorization/roleAssignments/delete
uprawnienia, takie jak Administracja istrator dostępu użytkowników lub właściciel
Kiedy zaprosisz użytkowników zewnętrznych?
Poniżej przedstawiono kilka przykładowych scenariuszy, w których użytkownicy mogą zapraszać użytkowników do organizacji i udzielać uprawnień:
- Zezwól zewnętrznemu dostawcy samoobsługowemu, który ma tylko konto e-mail, aby uzyskać dostęp do zasobów platformy Azure dla projektu.
- Zezwól zewnętrznemu partnerowi na zarządzanie określonymi zasobami lub całą subskrypcją.
- Zezwól inżynierom pomocy technicznej niezależnie od organizacji (na przykład pomocy technicznej firmy Microsoft), aby tymczasowo uzyskać dostęp do zasobu platformy Azure, aby rozwiązać problemy.
Różnice uprawnień między użytkownikami członkami a użytkownikami-gośćmi
Użytkownicy katalogu z typem członka (użytkownicy będący członkami) domyślnie mają inne uprawnienia niż użytkownicy zaproszeni z innego katalogu jako gość współpracy B2B (użytkownicy-goście). Na przykład użytkownicy będący członkami mogą odczytywać prawie wszystkie informacje o katalogu, podczas gdy użytkownicy-goście mają ograniczone uprawnienia do katalogu. Aby uzyskać więcej informacji o użytkownikach członkowskich i użytkownikach-gościach, zobacz Co to są domyślne uprawnienia użytkownika w usłudze Microsoft Entra ID?.
Zapraszanie użytkownika zewnętrznego do katalogu
Wykonaj następujące kroki, aby zaprosić użytkownika zewnętrznego do katalogu w usłudze Microsoft Entra ID.
Zaloguj się w witrynie Azure Portal.
Upewnij się, że ustawienia współpracy zewnętrznej organizacji są skonfigurowane tak, aby umożliwić zapraszanie użytkowników zewnętrznych. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień współpracy zewnętrznej.
Wybierz pozycję Użytkownicy identyfikatora>entra firmy Microsoft.
Wybierz pozycję Nowy użytkownik Zaproś użytkownika> zewnętrznego.
Wykonaj kroki, aby zaprosić użytkownika zewnętrznego. Aby uzyskać więcej informacji, zobacz Dodawanie użytkowników współpracy microsoft Entra B2B w witrynie Azure Portal.
Po zaproszeniu użytkownika zewnętrznego do katalogu możesz wysłać użytkownikowi zewnętrznemu bezpośredni link do udostępnionej aplikacji lub użytkownik zewnętrzny może wybrać link akceptuj zaproszenie w wiadomości e-mail z zaproszeniem.
Aby użytkownik zewnętrzny mógł uzyskać dostęp do katalogu, musi ukończyć proces zapraszania.
Aby uzyskać więcej informacji na temat procesu zaproszenia, zobacz Microsoft Entra B2B collaboration invitation redemption (Realizacja zaproszenia do współpracy firmy Microsoft Entra B2B).
Przypisywanie roli do użytkownika zewnętrznego
Aby udzielić dostępu na podstawie ról platformy Azure, należy przypisać rolę. Aby przypisać rolę do użytkownika zewnętrznego, wykonaj te same kroki , co w przypadku użytkownika członkowskiego, grupy, jednostki usługi lub tożsamości zarządzanej. Wykonaj następujące kroki, aby przypisać rolę do użytkownika zewnętrznego w różnych zakresach.
Zaloguj się w witrynie Azure Portal.
W polu Wyszukaj u góry wyszukaj zakres, do którego chcesz udzielić dostępu. Na przykład wyszukaj grupy zarządzania, subskrypcje, grupy zasobów lub konkretny zasób.
Wybierz konkretny zasób dla tego zakresu.
Wybierz pozycję Kontrola dostępu (IAM) .
Poniżej przedstawiono przykład strony Kontrola dostępu (IAM) dla grupy zasobów.
Wybierz kartę Przypisania ról, aby wyświetlić przypisania ról w tym zakresie.
Wybierz pozycję Dodaj>Dodaj przypisanie roli.
Jeśli nie masz uprawnień do przypisywania ról, opcja Dodaj przypisanie roli będzie wyłączona.
Zostanie otwarta strona Dodawanie przypisania roli.
Na karcie Rola wybierz rolę, taką jak Współautor maszyny wirtualnej.
Na karcie Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi.
Wybierz pozycję Wybierz członków.
Znajdź i wybierz użytkownika zewnętrznego. Jeśli na liście nie widzisz użytkownika, możesz wpisać w polu Wybierz , aby wyszukać w katalogu nazwę wyświetlaną lub adres e-mail.
Możesz skorzystać z pola Wybierz, aby wyszukać w katalogu nazwę wyświetlaną lub adres e-mail.
Wybierz pozycję Wybierz, aby dodać użytkownika zewnętrznego do listy Członkowie.
Na karcie Przeglądanie i przypisywanie wybierz pozycję Przejrzyj i przypisz.
Po kilku chwilach użytkownik zewnętrzny ma przypisaną rolę w wybranym zakresie.
Przypisywanie roli do użytkownika zewnętrznego, który nie został jeszcze w katalogu
Aby przypisać rolę do użytkownika zewnętrznego, wykonaj te same kroki , co w przypadku użytkownika członkowskiego, grupy, jednostki usługi lub tożsamości zarządzanej.
Jeśli użytkownik zewnętrzny nie znajduje się jeszcze w twoim katalogu, możesz zaprosić użytkownika bezpośrednio z okienka Wybierz członków.
Zaloguj się w witrynie Azure Portal.
W polu Wyszukaj u góry wyszukaj zakres, do którego chcesz udzielić dostępu. Na przykład wyszukaj grupy zarządzania, subskrypcje, grupy zasobów lub konkretny zasób.
Wybierz konkretny zasób dla tego zakresu.
Wybierz pozycję Kontrola dostępu (IAM) .
Wybierz pozycję Dodaj>Dodaj przypisanie roli.
Jeśli nie masz uprawnień do przypisywania ról, opcja Dodaj przypisanie roli będzie wyłączona.
Zostanie otwarta strona Dodawanie przypisania roli.
Na karcie Rola wybierz rolę, taką jak Współautor maszyny wirtualnej.
Na karcie Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi.
Wybierz pozycję Wybierz członków.
W polu Wybierz wpisz adres e-mail osoby, którą chcesz zaprosić, i wybierz tę osobę.
Wybierz pozycję Wybierz, aby dodać użytkownika zewnętrznego do listy Członkowie.
Na karcie Przeglądanie i przypisywanie wybierz pozycję Przejrzyj i przypisz, aby dodać użytkownika zewnętrznego do katalogu, przypisać rolę i wysłać zaproszenie.
Po kilku chwilach zobaczysz powiadomienie o przypisaniu roli i informacjach o zaproszeniu.
Aby ręcznie zaprosić użytkownika zewnętrznego, kliknij prawym przyciskiem myszy i skopiuj link zaproszenia w powiadomieniu. Nie wybieraj linku zaproszenia, ponieważ uruchamia proces zaproszenia.
Link zaproszenia będzie miał następujący format:
https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...
Wyślij link zaproszenia do użytkownika zewnętrznego, aby ukończyć proces zaproszenia.
Aby uzyskać więcej informacji na temat procesu zaproszenia, zobacz Microsoft Entra B2B collaboration invitation redemption (Realizacja zaproszenia do współpracy firmy Microsoft Entra B2B).
Usuwanie użytkownika zewnętrznego z katalogu
Przed usunięciem użytkownika zewnętrznego z katalogu należy najpierw usunąć wszystkie przypisania ról dla tego użytkownika zewnętrznego. Wykonaj następujące kroki, aby usunąć użytkownika zewnętrznego z katalogu.
Otwórz pozycję Kontrola dostępu (IAM) w zakresie, takim jak grupa zarządzania, subskrypcja, grupa zasobów lub zasób, w którym użytkownik zewnętrzny ma przypisanie roli.
Wybierz kartę Przypisania ról, aby wyświetlić wszystkie przypisania ról.
Na liście przypisań ról dodaj znacznik wyboru obok użytkownika zewnętrznego z przypisaniem roli, które chcesz usunąć.
Wybierz Usuń.
W wyświetlonym komunikacie usuwania przypisania roli wybierz pozycję Tak.
Wybierz kartę Administratorzy klasyczni.
Jeśli użytkownik zewnętrzny ma przypisanie współ Administracja istratora, dodaj znacznik wyboru obok użytkownika zewnętrznego i wybierz pozycję Usuń.
Na pasku nawigacyjnym po lewej stronie wybierz pozycję Microsoft Entra ID Users (Użytkownicy identyfikatora entra>firmy Microsoft).
Wybierz użytkownika zewnętrznego, który chcesz usunąć.
Wybierz Usuń.
W wyświetlonym komunikacie usuwania wybierz pozycję Tak.
Rozwiązywanie problemów
Użytkownik zewnętrzny nie może przeglądać katalogu
Użytkownicy zewnętrzni mają ograniczone uprawnienia do katalogu. Na przykład użytkownicy zewnętrzni nie mogą przeglądać katalogu i nie mogą wyszukiwać grup ani aplikacji. Aby uzyskać więcej informacji, zobacz Jakie są domyślne uprawnienia użytkownika w usłudze Microsoft Entra ID?.
Jeśli użytkownik zewnętrzny potrzebuje dodatkowych uprawnień w katalogu, możesz przypisać rolę Entra firmy Microsoft do użytkownika zewnętrznego. Jeśli naprawdę chcesz, aby użytkownik zewnętrzny miał pełny dostęp do odczytu do katalogu, możesz dodać użytkownika zewnętrznego do roli Czytelnicy katalogu w identyfikatorze Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Dodawanie użytkowników współpracy microsoft Entra B2B w witrynie Azure Portal.
Użytkownik zewnętrzny nie może przeglądać użytkowników, grup ani jednostek usługi w celu przypisania ról
Użytkownicy zewnętrzni mają ograniczone uprawnienia do katalogu. Nawet jeśli użytkownik zewnętrzny jest właścicielem w zakresie, jeśli spróbuje przypisać rolę w celu udzielenia innej osobie dostępu, nie może przeglądać listy użytkowników, grup lub jednostek usługi.
Jeśli użytkownik zewnętrzny zna dokładną nazwę logowania w katalogu, może udzielić dostępu. Jeśli naprawdę chcesz, aby użytkownik zewnętrzny miał pełny dostęp do odczytu do katalogu, możesz dodać użytkownika zewnętrznego do roli Czytelnicy katalogu w identyfikatorze Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Dodawanie użytkowników współpracy microsoft Entra B2B w witrynie Azure Portal.
Użytkownik zewnętrzny nie może zarejestrować aplikacji ani utworzyć jednostek usługi
Użytkownicy zewnętrzni mają ograniczone uprawnienia do katalogu. Jeśli użytkownik zewnętrzny musi mieć możliwość rejestrowania aplikacji lub tworzenia jednostek usługi, możesz dodać użytkownika zewnętrznego do roli dewelopera aplikacji w usłudze Microsoft Entra ID. Aby uzyskać więcej informacji, zobacz Dodawanie użytkowników współpracy microsoft Entra B2B w witrynie Azure Portal.
Użytkownik zewnętrzny nie widzi nowego katalogu
Jeśli użytkownik zewnętrzny udzielił dostępu do katalogu, ale nie widzi nowego katalogu wymienionego w witrynie Azure Portal podczas próby przełączenia się na stronie Katalogi , upewnij się, że użytkownik zewnętrzny zakończył proces zaproszenia. Aby uzyskać więcej informacji na temat procesu zaproszenia, zobacz Microsoft Entra B2B collaboration invitation redemption (Realizacja zaproszenia do współpracy firmy Microsoft Entra B2B).
Użytkownik zewnętrzny nie widzi zasobów
Jeśli użytkownik zewnętrzny udzielił dostępu do katalogu, ale nie widzi zasobów, do których udzielono im dostępu w witrynie Azure Portal, upewnij się, że użytkownik zewnętrzny wybrał prawidłowy katalog. Użytkownik zewnętrzny może mieć dostęp do wielu katalogów. Aby przełączyć katalogi, w lewym górnym rogu wybierz pozycję Ustawienia> Directories, a następnie wybierz odpowiedni katalog.