Udostępnij za pośrednictwem


Zarządzanie połączonymi organizacjami w zarządzaniu upoważnieniami

Zarządzanie upoważnieniami umożliwia współpracę z osobami spoza organizacji. Jeśli często współpracujesz z wieloma użytkownikami z określonych organizacji zewnętrznych, możesz dodać te źródła tożsamości organizacji jako połączone organizacje. Posiadanie połączonej organizacji upraszcza, jak więcej osób z tych organizacji może żądać dostępu. W tym artykule opisano sposób dodawania połączonej organizacji w celu umożliwienia użytkownikom spoza organizacji żądania zasobów w katalogu.

Co to jest połączona organizacja?

Połączona organizacja to inna organizacja, z którą masz relację. Aby użytkownicy w tej organizacji mogli uzyskiwać dostęp do zasobów, takich jak witryny lub aplikacje usługi SharePoint Online, potrzebna jest reprezentacja użytkowników tej organizacji w tym katalogu. Ponieważ w większości przypadków użytkownicy w tej organizacji nie znajdują się jeszcze w katalogu Microsoft Entra, możesz użyć zarządzania upoważnieniami, aby w razie potrzeby przenieść je do katalogu Microsoft Entra.

Jeśli chcesz podać ścieżkę dla każdego, kto zażąda dostępu, i nie masz pewności, z których organizacji mogą pochodzić ci nowi użytkownicy, możesz skonfigurować zasady przypisywania pakietów dostępu dla użytkowników, którzy nie znajdują się w katalogu. W tych zasadach wybierz opcję Wszyscy użytkownicy (Wszyscy połączeni organizacje i wszyscy nowi użytkownicy zewnętrzni). Jeśli żądającego zostanie zatwierdzony i nie należą do połączonej organizacji w katalogu, zostanie automatycznie utworzona połączona organizacja.

Jeśli chcesz zezwolić tylko osobom z wyznaczonych organizacji na żądanie dostępu, najpierw utwórz te połączone organizacje. Po drugie skonfiguruj zasady przypisywania pakietów dostępu dla użytkowników, którzy nie znajdują się w katalogu, wybierz opcję Określone połączone organizacje i wybierz utworzone organizacje.

Istnieją cztery sposoby zarządzania upoważnieniami umożliwiające określenie użytkowników, którzy tworzą połączoną organizację. Może to być:

  • użytkownicy w innym katalogu firmy Microsoft Entra (z dowolnej chmury firmy Microsoft)
  • użytkownicy w innym katalogu innym niż Microsoft, które są skonfigurowane dla federacji dostawcy tożsamości SAML/WS-Fed(IdP),
  • użytkownicy w innym katalogu innym niż Microsoft, których adresy e-mail mają tę samą nazwę domeny we wspólnej i specyficznej dla tej organizacji, lub
  • użytkownicy z kontem Microsoft, takim jak z domeny live.com, jeśli masz potrzebę biznesową współpracy z użytkownikami, którzy nie mają wspólnej organizacji.

Załóżmy na przykład, że pracujesz w banku Woodgrove Bank i chcesz współpracować z dwoma organizacjami zewnętrznymi. Chcesz przyznać użytkownikom obu zewnętrznych organizacji dostęp do tych samych zasobów, ale te dwie organizacje mają różne konfiguracje:

  • Firma Contoso nie używa jeszcze identyfikatora Entra firmy Microsoft. Użytkownicy firmy Contoso mają adres e-mail kończący się contoso.com.
  • Program Graphic Design Institute używa identyfikatora Entra firmy Microsoft, a co najmniej niektórzy użytkownicy mają główną nazwę użytkownika kończącą się graphicdesigninstitute.com.

W takim przypadku można skonfigurować dwie połączone organizacje, a następnie jeden pakiet dostępu z jednymi zasadami.

  1. Upewnij się, że masz włączone uwierzytelnianie jednorazowego kodu dostępu (OTP), aby użytkownicy z tych domen, które nie są jeszcze częścią katalogów firmy Microsoft Entra, którzy uwierzytelniają się przy użyciu jednorazowego kodu dostępu poczty e-mail podczas żądania dostępu lub późniejszego uzyskiwania dostępu do zasobów. Ponadto może być konieczne skonfigurowanie ustawień zewnętrznej współpracy firmy Microsoft Entra B2B, aby umożliwić użytkownikom zewnętrznym dostęp.
  2. Utwórz połączoną organizację dla firmy Contoso. Po określeniu contoso.com domeny zarządzanie upoważnieniami rozpoznaje, że nie istnieje dzierżawa firmy Microsoft Entra skojarzona z tą domeną, a użytkownicy z tej połączonej organizacji będą rozpoznawani, jeśli uwierzytelniają się przy użyciu jednorazowego kodu dostępu poczty e-mail z domeną contoso.com adresu e-mail.
  3. Utwórz inną połączoną organizację dla Programu Graphic Design Institute. Po określeniu graphicdesigninstitute.com domeny zarządzanie upoważnieniami rozpoznaje, że istnieje dzierżawa skojarzona z tą domeną.
  4. W katalogu, który umożliwia użytkownikom zewnętrznym żądanie, utwórz pakiet dostępu.
  5. W tym pakiecie dostępu utwórz zasady przypisywania pakietów dostępu dla użytkowników, którzy jeszcze nie znajdują się w twoim katalogu. W tych zasadach wybierz opcję Określone połączone organizacje i określ dwie połączone organizacje. Dzięki temu użytkownicy z każdej organizacji mają źródło tożsamości zgodne z jedną z połączonych organizacji w celu żądania pakietu dostępu.
  6. Gdy użytkownicy zewnętrzni z główną nazwą użytkownika, która ma domenę contoso.com żądają pakietu dostępu, uwierzytelniają się przy użyciu poczty e-mail. Ta domena poczty e-mail jest zgodna z organizacją połączoną z firmą Contoso, a użytkownik będzie mógł zażądać pakietu. Po żądaniu sposób działania dostępu dla użytkowników zewnętrznych opisuje sposób zapraszania użytkownika B2B i przypisywanie dostępu dla użytkownika zewnętrznego.
  7. Ponadto użytkownicy zewnętrzni korzystający z konta organizacyjnego z dzierżawy Programu Graphic Design Institute będą zgodni z organizacją połączoną z Instytutem Projektowania Graficznego i mogą żądać pakietu dostępu. Ze względu na to, że program Graphic Design Institute używa identyfikatora Entra firmy Microsoft, wszyscy użytkownicy o nazwie głównej zgodnej z inną zweryfikowaną domeną dodaną do dzierżawy Programu Graphic Design Institute, na przykład graphicdesigninstitute.example, będą mogli również żądać dostępu pakietów przy użyciu tych samych zasad.

Diagram połączonych organizacji w przykładzie oraz ich relacje z zasadami przypisania i dzierżawą.

Sposób uwierzytelniania użytkowników z katalogu microsoft Entra lub domeny zależy od typu uwierzytelniania. Typy uwierzytelniania dla połączonych organizacji to:

Aby dowiedzieć się, jak dodać połączoną organizację, obejrzyj następujący film wideo:

Wyświetlanie listy połączonych organizacji

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

  2. Przejdź do sekcji Zarządzanie ładem>>tożsamości Połączone organizacje.

  3. W polu wyszukiwania możesz wyszukać połączoną organizację według nazwy połączonej organizacji. Nie można jednak wyszukać nazwy domeny.

Dodawanie połączonej organizacji

Aby dodać zewnętrzny katalog lub domenę firmy Microsoft jako połączoną organizację, postępuj zgodnie z instrukcjami w tej sekcji.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

  2. Przejdź do sekcji Zarządzanie ładem>>tożsamości Połączone organizacje.

  3. Na stronie Połączone organizacje wybierz pozycję Dodaj połączoną organizację.

    Przycisk

  4. Wybierz kartę Podstawowe , a następnie wprowadź nazwę wyświetlaną i opis organizacji.

    Okienko Podstawy dodawania połączonej organizacji

  5. Stan zostanie automatycznie ustawiony na Wartość Skonfigurowano podczas tworzenia nowej połączonej organizacji. Aby uzyskać więcej informacji na temat właściwości stanu połączonej organizacji, zobacz State property of connected organizations (Właściwość stanu połączonych organizacji)

  6. Wybierz kartę Katalog i domena , a następnie wybierz pozycję Dodaj katalog i domenę.

    Następnie zostanie otwarte okienko Wybierz katalogi i domeny .

  7. W polu wyszukiwania wprowadź nazwę domeny, aby wyszukać katalog lub domenę Firmy Microsoft. Możesz również dodać domeny, które nie są skojarzone z żadnym katalogiem Microsoft Entra. Pamiętaj, aby wprowadzić całą nazwę domeny.

  8. Upewnij się, że nazwy organizacji i typy uwierzytelniania są poprawne. Logowanie użytkownika przed uzyskaniem dostępu do portalu MyAccess zależy od typu uwierzytelniania dla swojej organizacji. Jeśli typ uwierzytelniania dla połączonej organizacji to Microsoft Entra ID, wszyscy użytkownicy z kontem w katalogu tej organizacji, z dowolną zweryfikowaną domeną tego katalogu Microsoft Entra, zalogują się do katalogu, a następnie będą mogli zażądać dostępu do pakietów, które umożliwiają tej połączonej organizacji. Jeśli typ uwierzytelniania to jednorazowy kod dostępu, umożliwia to użytkownikom z adresami e-mail tylko z tej domeny wizytę w portalu MyAccess. Po uwierzytelnieniu przy użyciu kodu dostępu użytkownik może wysłać żądanie.

    Okienko

    Uwaga

    Dostęp z niektórych domen może zostać zablokowany przez firmę Microsoft Entra business to business (B2B) dozwolonych lub blokowanych list. Ponadto użytkownicy, którzy mają adres e-mail, który ma tę samą domenę co połączona organizacja skonfigurowana na potrzeby uwierzytelniania firmy Microsoft Entra, ale którzy nie uwierzytelniają się w tym katalogu Microsoft Entra, nie zostaną rozpoznani jako część tej połączonej organizacji. Aby uzyskać więcej informacji, zobacz Zezwalanie lub blokowanie zaproszeń do użytkowników B2B z określonych organizacji.

  9. Wybierz pozycję Dodaj , aby dodać katalog lub domenę firmy Microsoft. Możesz dodać wiele katalogów i domen firmy Microsoft Entra.

  10. Po dodaniu katalogów lub domen firmy Microsoft wybierz pozycję Wybierz.

    Organizacje są wyświetlane na liście.

    Okienko

  11. Wybierz kartę Sponsorzy , a następnie dodaj opcjonalnych sponsorów dla tej połączonej organizacji.

    Sponsorzy są użytkownikami wewnętrznymi lub zewnętrznymi już w Twoim katalogu, którzy są punktem kontaktu dla relacji z tą połączoną organizacją. Sponsorzy wewnętrzni są członkami w katalogu. Sponsorzy zewnętrzni to użytkownicy-goście z połączonej organizacji, która została wcześniej zaproszona i znajdują się już w twoim katalogu. Sponsorzy mogą być używane jako osoby zatwierdzające, gdy użytkownicy w tej połączonej organizacji żądają dostępu do tego pakietu dostępu. Aby uzyskać informacje na temat zapraszania użytkownika-gościa do katalogu, zobacz Dodawanie użytkowników współpracy firmy Microsoft Entra B2B.

    Po wybraniu pozycji Dodaj/Usuń zostanie otwarte okienko, w którym można wybrać sponsorów wewnętrznych lub zewnętrznych. W okienku zostanie wyświetlona niefiltrowana lista użytkowników i grup w katalogu.

    Okienko Sponsorzy

  12. Wybierz kartę Przeglądanie i tworzenie , przejrzyj ustawienia organizacji, a następnie wybierz pozycję Utwórz.

    Okienko

Aktualizowanie połączonej organizacji

Jeśli połączona organizacja zmieni się w inną domenę, nazwa organizacji ulegnie zmianie lub chcesz zmienić sponsorów, możesz zaktualizować połączoną organizację, postępując zgodnie z instrukcjami w tej sekcji.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

  2. Przejdź do sekcji Zarządzanie ładem>>tożsamości Połączone organizacje.

  3. Na stronie Połączone organizacje wybierz połączoną organizację, którą chcesz zaktualizować.

  4. W okienku przeglądu połączonej organizacji wybierz pozycję Edytuj , aby zmienić nazwę organizacji, opis lub stan.

  5. W okienku Katalog i domena wybierz pozycję Aktualizuj katalog i domenę , aby zmienić katalog na inny katalog lub domenę.

  6. W okienku Sponsorzy wybierz pozycję Dodaj sponsorów wewnętrznych lub Dodaj sponsorów zewnętrznych, aby dodać użytkownika jako sponsora. Aby usunąć sponsora, wybierz sponsora, a następnie w okienku po prawej stronie wybierz pozycję Usuń.

Usuwanie połączonej organizacji

Jeśli nie masz już relacji z zewnętrznym katalogiem lub domeną firmy Microsoft Entra lub nie chcesz już mieć proponowanej połączonej organizacji, możesz usunąć połączoną organizację.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

  2. Przejdź do sekcji Zarządzanie ładem>>tożsamości Połączone organizacje.

  3. Na stronie Połączone organizacje wybierz połączoną organizację, którą chcesz usunąć, aby ją otworzyć.

  4. W okienku przeglądu połączonej organizacji wybierz pozycję Usuń , aby go usunąć.

    Przycisk Usuń połączoną organizację

Programowe zarządzanie połączoną organizacją

Możesz również tworzyć, wyświetlać, aktualizować i usuwać połączone organizacje przy użyciu programu Microsoft Graph. Użytkownik w odpowiedniej roli z aplikacją, która ma delegowane EntitlementManagement.ReadWrite.All uprawnienia, może wywołać interfejs API, aby zarządzać połączonymi obiektami organizacji i ustawiać dla nich sponsorów.

Zarządzanie połączonymi organizacjami za pomocą programu Microsoft PowerShell

Możesz również zarządzać połączonymi organizacjami w programie PowerShell za pomocą poleceń cmdlet programu Microsoft Graph PowerShell dla modułu Identity Governance w wersji 1.16.0 lub nowszej.

Ten poniższy skrypt ilustruje użycie v1.0 profilu programu Graph w celu pobrania wszystkich połączonych organizacji. Każda zwrócona połączona organizacja zawiera tożsamość listyŹródła katalogów i domen tej połączonej organizacji.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$co = Get-MgEntitlementManagementConnectedOrganization -all

foreach ($c in $co) {
  foreach ($i in $c.identitySources) {
    write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
  }
}

Właściwość stanu połączonych organizacji

Istnieją dwa różne stany dla połączonych organizacji w zarządzaniu upoważnieniami, skonfigurowane i proponowane:

  • Skonfigurowana połączona organizacja to w pełni funkcjonalna połączona organizacja, która umożliwia użytkownikom w tej organizacji dostęp do pakietów. Gdy administrator tworzy nową połączoną organizację w centrum administracyjnym firmy Microsoft Entra, jest on domyślnie w skonfigurowanym stanie od czasu utworzenia administratora i chce korzystać z tej połączonej organizacji. Ponadto po programowym utworzeniu połączonej organizacji za pośrednictwem interfejsu API należy skonfigurować stan domyślny, chyba że zostanie ustawiony jawnie inny stan.

    Skonfigurowane połączone organizacje są wyświetlane w selektorach dla połączonych organizacji i będą w zakresie wszystkich zasad przeznaczonych dla "wszystkich skonfigurowanych połączonych organizacji".

  • Proponowana połączona organizacja to połączona organizacja, która została utworzona automatycznie, ale nie utworzyła ani nie zatwierdziła organizacji przez administratora. Gdy użytkownik zarejestruje się w celu uzyskania pakietu dostępu poza skonfigurowaną połączoną organizacją, wszystkie automatycznie utworzone połączone organizacje są w stanie proponowanym , ponieważ żaden administrator w konfiguracji dzierżawy nie skonfigurował tego partnerstwa.

    Proponowane połączone organizacje nie mają zakresu dla ustawienia "wszystkie skonfigurowane połączone organizacje", ale mogą być używane w zasadach tylko dla zasad przeznaczonych dla określonych organizacji.

Tylko użytkownicy ze skonfigurowanych połączonych organizacji mogą żądać pakietów dostępu, które są dostępne dla użytkowników ze wszystkich skonfigurowanych organizacji. Użytkownicy z proponowanych połączonych organizacji mają doświadczenie, jakby nie było połączonej organizacji dla tej domeny; może wyświetlać i żądać pakietów dostępu o określonym zakresie w określonej organizacji lub w zakresie dla dowolnego użytkownika. Jeśli masz zasady w dzierżawie, które zezwalają na "wszystkie skonfigurowane połączone organizacje", upewnij się, że nie konwertujesz proponowanych połączonych organizacji dla dostawców tożsamości społecznościowych do skonfigurowania.

Uwaga

W ramach wdrażania tej nowej funkcji wszystkie połączone organizacje utworzone przed 09.09.09.20 zostały uznane za skonfigurowane. Jeśli masz pakiet dostępu, który zezwolił użytkownikom z dowolnej organizacji na rejestrację, należy przejrzeć listę połączonych organizacji utworzonych przed tą datą, aby upewnić się, że żadna z nich nie zostanie błędnie sklasyfikowana zgodnie z konfiguracją. W szczególności dostawcy tożsamości społecznościowych nie powinni być wskazywani zgodnie z konfiguracją , jeśli istnieją zasady przypisywania, które nie wymagają zatwierdzenia dla użytkowników ze wszystkich skonfigurowanych połączonych organizacji. Administrator może odpowiednio zaktualizować właściwość State . Aby uzyskać wskazówki, zobacz Aktualizowanie połączonej organizacji.

Uwaga

W niektórych przypadkach użytkownik może zażądać pakietu dostępu przy użyciu konta osobistego od dostawcy tożsamości społecznościowej, gdzie adres e-mail tego konta ma tę samą domenę co istniejąca połączona organizacja odpowiadająca dzierżawie firmy Microsoft Entra. Jeśli ten użytkownik zostanie zatwierdzony, spowoduje to utworzenie nowej proponowanej połączonej organizacji reprezentującej tą domenę. W takim przypadku upewnij się, że użytkownik używa konta organizacji, aby ponownie zażądać dostępu, a portal zidentyfikuje tego użytkownika pochodzącego ze skonfigurowanej połączonej organizacji Firmy Microsoft Entra.

Następne kroki