Samouczek — dołączanie użytkowników zewnętrznych do identyfikatora Entra firmy Microsoft za pomocą procesu zatwierdzania
Zarządzanie upoważnieniami można użyć jako sposobu dołączania użytkowników zewnętrznych. Ta funkcja umożliwia użytkownikom zewnętrznym żądanie dostępu do zestawu zasobów oraz skonfigurowanie zatwierdzeń przed uzyskaniem dostępu do katalogu. W przypadku użytkowników zewnętrznych dołączonych za pośrednictwem uprawnień można zarządzać ich cyklem życia za pośrednictwem pakietów dostępu. Po wygaśnięciu ostatniego pakietu dostępu zostaną one usunięte z katalogu.
W tym samouczku pracujesz dla banku WoodGrove Bank jako administrator IT. Poproszono Cię o utworzenie pakietu dostępu do dołączania partnerów spoza organizacji, z którą współpracuje twoja grupa biznesowa. Potrzebują oni dostępu do grupy usługi Teams o nazwie Współpraca zewnętrzna. Zatwierdzenie jest wymagane przez wewnętrznego sponsora dla organizacji współpracujących. Ponadto poinformowano Cię, że dostęp partnera musi wygasnąć po upływie 60 dni. Aby korzystać z zarządzania upoważnieniami, musisz mieć jedną z następujących licencji:
- Microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra
- Licencja Enterprise Mobility + Security (EMS) E5
Aby uzyskać więcej informacji, zobacz Wymagania licencyjne.
Krok 1. Konfigurowanie podstaw
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.
Napiwek
Inne role z najmniejszymi uprawnieniami, które mogą wykonać to zadanie, obejmują właściciela wykazu, administratora użytkowników i menedżera pakietów dostępu.
Przejdź do pakietu dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami>.
Po wybraniu strony pakietu dostępu, jeśli zostanie wyświetlona odmowa dostępu, upewnij się, że w katalogu znajduje się licencja Microsoft Entra ID P2 lub Zarządzanie tożsamością Microsoft Entra.
Wybierz pozycję Nowy pakiet dostępu.
Na karcie Podstawy wprowadź nazwę Pakiet użytkownika zewnętrznego i opis Dostęp dla użytkowników zewnętrznych oczekujących na zatwierdzenie.
Możesz pozostawić listę rozwijaną Wykaz ustawioną na Wartość Ogólne.
Krok 2. Konfigurowanie zasobów
Wybierz przycisk Dalej , aby otworzyć kartę Role zasobów.
Na tej karcie wybierasz zasoby i rolę zasobu do uwzględnienia w pakiecie dostępu.
Wybierz pozycję Grupy i zespoły i wyszukaj grupę Współpraca zewnętrzna.
Krok 3. Konfigurowanie żądań
Wybierz przycisk Dalej , aby otworzyć kartę Żądania .
Na tej karcie utworzysz zasady żądania. Zasady definiują reguły lub bariery zabezpieczające w celu uzyskania dostępu do pakietu dostępu. Utworzysz zasady, które umożliwiają określonemu użytkownikowi w katalogu zasobów żądanie tego pakietu dostępu.
W sekcji Użytkownicy, którzy mogą zażądać dostępu, wybierz pozycję Dla użytkowników, którzy nie znajdują się w katalogu, a następnie wybierz pozycję Wszyscy użytkownicy (Wszyscy połączeni organizacje i nowi użytkownicy zewnętrzni).
Ponieważ każdy użytkownik, który nie znajduje się jeszcze w twoim katalogu, może wyświetlić i przesłać żądanie dla tego pakietu dostępu, ustawienie Tak jest obowiązkowe dla ustawienia Wymagaj zatwierdzenia .
Następujące ustawienia umożliwiają skonfigurowanie sposobu działania zatwierdzeń dla użytkowników zewnętrznych:
W polu Wymagaj uzasadnienia osoby żądającej pozostaw wartość Tak.
W polu Ile etapów pozostaw tę wartość jako 1.
W przypadku scenariusza osoby zatwierdzającej wybierz pozycję Wewnętrzny sponsor. Ta opcja pochodzi ze skonfigurowanej połączonej organizacji , w której można sponsorować dla określonych organizacji, z którymi pracujesz. Dzięki temu można ustawić osobę określoną w połączonej organizacji z organizacji jako osoba zatwierdzająca.
Dla decyzji należy podjąć w ilu dniach? pozostawić to jako 14.
W polu Wymagaj uzasadnienia osoby zatwierdzającej pozostaw wartość Tak.
Ustaw opcję Włącz nowe żądania i przypisania na Wartość Tak , aby umożliwić żądanie uzyskania tego pakietu dostępu natychmiast po jego utworzeniu.
Krok 4. Konfigurowanie informacji o żądaniu
Wybierz pozycję Dalej, aby otworzyć kartę Informacje o żądaniu
Na tym ekranie możesz zadać dodatkowe pytania, aby zebrać więcej informacji od osoby żądającej. Te pytania są wyświetlane w formularzu żądania i można je ustawić na wymagane lub opcjonalne. Na razie możesz pozostawić je jako puste.
Krok 5. Konfigurowanie cyklu życia
Wybierz przycisk Dalej, aby otworzyć kartę Cykl życia
W sekcji Wygaśnięcie ustaw opcję Przypisanie pakietu programu Access wygasa na Liczba dni.
Ustaw opcję Przypisanie wygasa po upływie 60 dni. To pole określa, kiedy użytkownicy-goście muszą odnowić dostęp.
Można również skonfigurować przeglądy dostępu, które umożliwiają okresowe sprawdzanie, czy gość nadal potrzebuje dostępu do pakietu dostępu. Przegląd może być samodzielnym przeglądem lub można ustawić określone recenzje dla tego zadania. Aby uzyskać więcej informacji, zobacz Przeglądy dostępu.
Krok 6. Przeglądanie i tworzenie pakietu dostępu
Wybierz przycisk Dalej , aby otworzyć kartę Przeglądanie i tworzenie .
Na tym ekranie możesz przejrzeć konfigurację pakietu dostępu przed utworzeniem. Jeśli występują jakiekolwiek problemy, możesz użyć kart, aby przejść do określonego punktu w środowisku tworzenia, aby dokonać edycji.
Jeśli chcesz wybrać wybrane opcje, wybierz pozycję Utwórz. Po kilku chwilach powinno zostać wyświetlone powiadomienie o pomyślnym utworzeniu pakietu dostępu.
Po utworzeniu zostanie wyświetlona strona Przegląd pakietu dostępu. Możesz znaleźć link Mój portal dostępu i skopiować wartość tutaj. Udostępnij ten link użytkownikom zewnętrznym i może przejść do żądania tego pakietu, aby rozpocząć współpracę.
Krok 7. Czyszczenie zasobów
W tym kroku można usunąć pakiet dostępu pakietu użytkownika zewnętrznego.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.
Napiwek
Inne role z najmniejszymi uprawnieniami, które mogą wykonać to zadanie, obejmują menedżera pakietów programu Access.
Przejdź do pakietu dostępu do zarządzania upoważnieniami do zarządzania>tożsamościami>.
Otwórz pakiet dostępu do pakietu użytkownika zewnętrznego.
Wybierz pozycję Role zasobów.
Wybierz grupę współpracy zewnętrznej, którą dodano do tego pakietu dostępu, a następnie w okienku Szczegóły wybierz pozycję Usuń rolę zasobu. W wyświetlonym komunikacie wybierz pozycję Tak.
Otwórz listę pakietów dostępu.
W polu Pakiet użytkownika zewnętrznego wybierz wielokropek (...), a następnie wybierz pozycję Usuń. W wyświetlonym komunikacie wybierz pozycję Tak.
Następne kroki
Dowiedz się więcej o tworzeniu pakietów dostępu w celu zarządzania dostępem do innych typów zasobów, takich jak aplikacje i witryny. Samouczek: zarządzanie dostępem do zasobów w zarządzaniu upoważnieniami