Предоставление локально управляемым учетным записям партнеров доступа к облачным ресурсам с помощью совместной работы Microsoft Entra B2B

Область применения: клиенты рабочей силы внешние клиенты (дополнительные сведения)

Перед идентификатором Microsoft Entra организации с локальными системами удостоверений традиционно управляют учетными записями партнеров в локальном каталоге. В такой организации при запуске перемещения приложений в идентификатор Microsoft Entra необходимо убедиться, что партнеры могут получить доступ к нужным ресурсам. Это не должно иметь значения, являются ли ресурсы локальными или в облаке. Кроме того, вы хотите, чтобы пользователи-партнеры могли использовать одни и те же учетные данные для входа как для локальных, так и для ресурсов Microsoft Entra.

Если вы создаете учетные записи для внешних партнеров в локальном каталоге (например, вы создаете учетную запись с именем входа msullivan для внешнего пользователя с именем Maria Салливан в домене partners.contoso.com), теперь эти учетные записи можно синхронизировать с облаком. В частности, вы можете использовать Microsoft Entra Connect для синхронизации учетных записей партнеров с облаком, что создает учетную запись пользователя с UserType = Guest. Эта конфигурация позволяет пользователям-партнерам получать доступ к облачным ресурсам, используя те же учетные данные, что и локальные учетные записи, не предоставляя им больше доступа, чем им нужно. Дополнительные сведения о преобразовании локальных гостевых учетных записей см. в статье "Преобразование локальных гостевых учетных записей" в гостевые учетные записи Microsoft Entra B2B.

Заметка

См. также, как пригласить внутренних пользователей в совместную работу B2B. С помощью этой функции вы можете пригласить внутренних гостевых пользователей использовать совместную работу B2B независимо от того, синхронизировали ли вы свои учетные записи из локального каталога в облако. После того как пользователь примет приглашение использовать совместную работу B2B, он сможет использовать свои удостоверения и учетные данные для входа в ресурсы, к которым вы хотите получить доступ. Вам не нужно хранить пароли или управлять жизненными циклами учетных записей.

Определение уникальных атрибутов для UserType

Прежде чем включить синхронизацию атрибута UserType, сначала необходимо решить, как наследовать атрибут UserType из локальная служба Active Directory. Другими словами, какие параметры в локальной среде уникальны для внешних участников совместной работы? Определите параметр, который отличает этих внешних сотрудников от членов вашей организации.

Ниже приведены два распространенных подхода к определению параметра:

• Назначьте неиспользуемый атрибут локальная служба Active Directory (например, extensionAttribute1) для использования в качестве исходного атрибута.
• Кроме того, наследуем значение атрибута UserType из других свойств. Например, необходимо синхронизировать всех пользователей как гостевых, если атрибут userPrincipalName локальная служба Active Directory заканчивается доменом @partners.contoso.com.

Подробные требования к атрибутам см. в разделе "Включение синхронизации UserType".

Настройка Microsoft Entra Connect для синхронизации пользователей с облаком

После идентификации уникального атрибута можно настроить Microsoft Entra Connect для синхронизации этих пользователей с облаком, которая создает учетную запись пользователя с userType = Guest. С точки зрения авторизации эти пользователи неотличимы от пользователей B2B, созданных с помощью процесса приглашения на совместную работу Microsoft Entra B2B.

Инструкции по реализации см. в разделе "Включение синхронизации UserType".

Дальнейшие действия

• Совместная работа Microsoft Entra B2B для гибридных организаций
• Предоставление пользователям B2B доступа к локальным приложениям в Microsoft Entra ID