Свойства пользователя службы совместной работы Azure Active Directory B2B

Служба совместной работы B2B — это возможность Azure AD для внешних удостоверений, которая позволяет совместно работать с пользователями и партнерами за пределами организации. С помощью службы совместной работы B2B вы можете отправить внешнему пользователю приглашение на вход в организацию Azure AD с использованием собственных учетных данных такого пользователя. Затем такой пользователь может получить доступ к приложениям и ресурсам, которыми вы хотите поделиться. Объект пользователя создается для пользователя службы совместной работы B2B в том же каталоге, что и ваши сотрудники. Объекты пользователей службы совместной работы B2B по умолчанию имеют ограниченные привилегии в вашем каталоге. Ими можно управлять как сотрудниками, добавлять в группы и так далее. В этой статье рассматриваются свойства этого объекта пользователя и способы управления им.

В следующей таблице описаны пользователи в службе совместной работы B2B с учетом способа аутентификации (внутренне или внешне) и отношений с организацией (гость или участник).

Схема: пользователи службы

  • Внешний гость — к этой категории относятся большинство пользователей, которые обычно считаются внешними пользователями или гостями. Такой пользователь в службе совместной работы B2B имеет учетную запись во внешней организации Azure AD или внешнем поставщике удостоверений (например, удостоверение социальных сетей) и разрешения на уровне гостя к ресурсам в организации. Объект пользователя, созданный в каталоге Azure AD ресурса, имеет UserType со значением Guest.
  • Внешний участник — такой пользователь в службе совместной работы B2B имеет учетную запись во внешней организации Azure AD или внешнем поставщике удостоверений (например, удостоверение социальных сетей) и доступ на уровне участника к ресурсам в организации. Этот сценарий распространен в организациях, включающих несколько арендаторов, где пользователи считаются частью более крупной организации и нуждаются в доступе на уровне участника к ресурсам в других арендаторах организации. Объект пользователя, созданный в каталоге Azure AD ресурса, имеет UserType со значением Member.
  • Внутренний гость — до доступности службы совместной работы Azure AD B2B совместная работа с дистрибьюторами, поставщиками и другими лицами часто осуществлялась путем настройки для них внутренних учетных данных и назначения им статуса гостям путем присвоения объекту пользователя UserType значения Guest. Если у вас есть такие гостевые пользователи, вы можете пригласить их в службу совместной работы B2B, чтобы они могли использовать собственные учетные данные. Благодаря этому их внешний поставщик удостоверений сможет управлять аутентификацией и жизненным циклом учетных записей.
  • Внутренний участник — такие пользователи обычно считаются сотрудниками организации. Пользователь выполняет аутентификацию внутренне в Azure AD, а объект пользователя, создаваемый в каталоге Azure AD ресурса, имеет UserType со значением Member.

Важно!

Функция отправки одноразового секретного кода по электронной почте теперь включена по умолчанию для всех новых арендаторов и для всех существующих арендаторов, для которых вы не отключили ее явным образом. Если эта функция отключена, в рамках резервного способа проверки подлинности будет отправляться приглашение на создание учетной записи Майкрософт.

Активация приглашения

Теперь давайте рассмотрим, как в Azure AD выглядит пользователь службы совместной работы Azure AD B2B.

До активации приглашения

Учетные записи пользователей в службе совместной работы B2B являются результатом приглашения гостевых пользователей для совместной работы с помощью гостевых учетных данных. После изначальной отправки приглашения пользователю-гостю в вашем клиенте создается учетная запись. С ней не связаны учетные данные, так как проверку подлинности гостевого пользователя выполняет поставщик удостоверений. Для свойства удостоверений для учетной записи гостевого пользователя в вашем каталоге задается домен организации узла, пока гость не активирует приглашение. На портале профиль приглашенного пользователя отобразит состояние внешнего пользователяPendingAcceptance. Запрос на externalUserState использование Microsoft API Graph вернет.Pending Acceptance

Снимок экрана: профиль пользователя перед активацией.

После активации приглашения

После того как пользователь службы совместной работы B2B примет приглашение, свойство Identityes обновляется на основе поставщика удостоверений пользователя.

  • Если пользователь службы совместной работы B2B использует учетную запись Майкрософт или учетные данные другого внешнего поставщика удостоверений, удостоверения отражают поставщика удостоверений, например учетную запись Майкрософт, google.com или facebook.com.

    Снимок экрана: профиль пользователя после активации.

  • Если пользователь службы совместной работы B2B использует учетные данные из другой Azure AD организации, удостоверения являются внешними Azure AD.

  • Для внешних пользователей, использующих внутренние учетные данные, свойству удостоверений присваивается домен организации узла. Свойство Синхронизировано с каталогом имеет значение Да, если учетная запись размещена в локальной службе Active Directory организации и синхронизирована с Azure AD, и Нет, если учетная запись является облачной учетной записью Azure AD. Сведения о синхронизации каталогов также доступны через свойство onPremisesSyncEnabled в Microsoft Graph.

Основные свойства пользователя службы совместной работы Azure AD B2B

Имя участника-пользователя

Имя участника-пользователя для объекта пользователя в службе совместной работы B2B содержит идентификатор #EXT#.

Тип пользователя

Это свойство указывает связь пользователя с главным клиентом. Оно может иметь два значения:

  • Member (Участник). Это сотрудник главной организации, получающий зарплату в этой организации. Например, это пользователь, которому нужен доступ к сайтам только для внутреннего использования. Этот пользователь не считается внешним сотрудником.

  • Guest (Гость). Это пользователь, который не считается внутренним для компании, например внешний участник совместной работы, партнер или клиент. Такой пользователь не должен, например, получать служебных записок от генерального директора или пользоваться социальным пакетом компании.

Примечание

Свойство UserType не влияет на то, как пользователь выполняет вход, какие роли он получает в каталоге и т. д. Оно только показывает связь пользователя с главной организацией, и организация может применять политики в зависимости от значения этого свойства.

Identities

Это свойство позволяет указать основного поставщика удостоверений пользователя. У пользователя может быть несколько поставщиков удостоверений, которые можно просмотреть, выбрав ссылку рядом с удостоверениями в профиле пользователя или запросив onPremisesSyncEnabled свойство через Microsoft API Graph.

Примечание

Удостоверения и UserType являются независимыми свойствами. Значение удостоверений не подразумевает определенное значение для UserType.

Значение свойства удостоверений Состояние входа
Внешняя служба Azure AD Этот пользователь зарегистрирован во внешней организации и проходит проверку подлинности с помощью учетной записи Azure AD, принадлежащей другой организации.
Учетная запись Майкрософт У этого пользователя есть учетная запись Майкрософт, которую он использует для проверки подлинности.
{домен узла} Этот пользователь проходит проверку подлинности с помощью учетной записи Azure AD, принадлежащей этой организации.
google.com У этого пользователя есть учетная запись Gmail, и он зарегистрировался с помощью самообслуживания в другой организации.
facebook.com У этого пользователя есть учетная запись Facebook, и он зарегистрировался с помощью самообслуживания в другой организации.
mail У этого пользователя есть адрес электронной почты, который не совпадает с проверенными доменами Azure AD или SAML/WS-Fed, и это не адрес Gmail или учетная запись Майкрософт.
phone У этого пользователя есть адрес электронной почты, который не совпадает с проверенными доменами Azure AD или SAML/WS-Fed, и это не адрес Gmail или учетная запись Майкрософт.
{URI издателя} Этот пользователь находится во внешней организации, которая не использует Azure Active Directory в качестве поставщика удостоверений, а использует поставщики удостоверений на основе SAML/WS-Fed. URI издателя отображается при щелчке поля удостоверений.

Синхронизировано с каталогом

Свойство Синхронизировано с каталогом указывает, синхронизирован ли пользователь с локальной службой Active Directory и выполнена ли аутентификация в локальной среде. Это свойство имеет значение Да, если учетная запись размещена в локальной службе Active Directory организации и синхронизирована с Azure AD, или Нет, если учетная запись является облачной учетной записью Azure AD. В Microsoft Graph свойство "Синхронизировано с каталогом" соответствует onPremisesSyncEnabled.

Можно ли добавить пользователей Azure AD B2B в качестве участников (Member), а не гостей (Guest)?

Как правило, понятия "пользователь службы Azure AD B2B" и "гостевой пользователь" являются синонимами. Поэтому пользователь в службе совместной работы Azure AD B2B по умолчанию добавляется как пользователь, для которого параметр UserType имеет значение Guest по умолчанию. Однако в некоторых случаях партнерская организация может входить наряду с главной организацией в более крупную организацию. В таких случаях главная организация может рассматривать пользователей из партнерской организации как участников, а не гостей. Воспользуйтесь API-интерфейсами диспетчера приглашений Azure AD B2B, чтобы добавить или пригласить пользователя из партнерской организации в главную организацию как участника.

Фильтрация гостевых пользователей в каталоге

В списке "Пользователи" можно использовать фильтр "Добавить " для отображения только гостевых пользователей в каталоге.

Снимок экрана: добавление фильтра типов пользователей для гостей.

Снимок экрана: фильтр для гостевых пользователей.

Преобразование UserType

Вы можете преобразовать UserType из Member в Guest и наоборот, изменив профиль пользователя на портале Azure или с помощью PowerShell. Однако при этом свойство UserType достоверно отражает связь пользователя с организацией. Поэтому это свойство следует изменять, только если изменяется связь пользователя с организацией. Если изменяется связь пользователя, следует ли изменять имя участника-пользователя? Сохранит ли пользователь доступ к тем же ресурсам? Нужно ли назначить почтовый ящик?

Разрешения гостевого пользователя

Гостевые пользователи обладают ограниченными разрешениями каталога по умолчанию. Они могут управлять собственным профилем, изменять свой пароль и получать сведения о других пользователях, группах и приложениях. Однако они не могут читать все данные каталога.

Гостевые пользователи B2B не поддерживаются в общих каналах Microsoft Teams. Сведения о доступе к общим каналам см. в разделе B2B direct connect.

В определенных случаях требуется предоставить гостевым пользователям привилегии более высокого уровня. Можно добавить гостевого пользователя в любую роль или даже удалить заданные по умолчанию ограничения для гостевых пользователей в каталоге. Это позволит ему пользоваться такими же привилегиями, как у участников. Ограничения, заданные по умолчанию, можно отключить. При этом гостевой пользователь получит те же разрешения в каталоге компании, что и участник. Дополнительные сведения см. в статье Ограничение разрешений гостевого пользователя в Azure Active Directory.

Снимок экрана: параметр

Можно ли сделать так, чтобы гостевые пользователи отображались в глобальном списке адресов Exchange?

Да. По умолчанию гостевые объекты не отображаются в списке глобальных адресов вашей организации, но их можно сделать видимыми с помощью Azure Active Directory PowerShell. Дополнительные сведения о добавлении гостей в глобальный список адресов для Microsoft 365 см. в статье Гостевой доступ для каждой группы Microsoft 365.

Можно ли изменить адрес электронной почты для гостевого пользователя?

Если гостевой пользователь принимает ваше приглашение, а затем изменяет свой адрес электронной почты, новые сообщения не будут автоматически синхронизированы с объектом гостевого пользователя в вашем каталоге. Свойство mail создается через API Microsoft Graph. Изменить его можно с помощью API Microsoft Graph, центра администрирования Exchange или PowerShell для Exchange Online. Это изменение будет отражено в объекте гостевого пользователя в AAD.

Дальнейшие действия