Styra åtkomsten för externa användare i berättigandehantering

Rättighetshantering använder Microsoft Entra business-to-business (B2B) för att dela åtkomst så att du kan samarbeta med personer utanför organisationen. Med Microsoft Entra B2B autentiserar externa användare till sin hemkatalog, men har en representation i din katalog. Representationen i katalogen gör att användaren kan tilldelas åtkomst till dina resurser.

I den här artikeln beskrivs de inställningar som du kan ange för att styra åtkomsten för externa användare.

Så här kan berättigandehantering hjälpa dig

När du använder Microsoft Entra B2B-inbjudan måste du redan känna till e-postadresserna för de externa gästanvändare som du vill ta med i resurskatalogen och arbeta med. Att bjuda in varje användare fungerar bra när du arbetar med ett mindre eller kortsiktigt projekt och du redan känner alla deltagare, men den här processen är svårare att hantera om du har många användare som du vill arbeta med eller om deltagarna ändras över tid. Du kanske till exempel arbetar med en annan organisation och har en kontaktpunkt med den organisationen, men med tiden behöver ytterligare användare från den organisationen också åtkomst.

Med berättigandehantering kan du definiera en princip som gör att användare från organisationer som du anger kan själv begära ett åtkomstpaket. Den principen omfattar om godkännande krävs, om åtkomstgranskningar krävs och ett förfallodatum för åtkomsten. I de flesta fall vill du kräva godkännande för att få lämplig tillsyn över vilka användare som förs in i din katalog. Om godkännande krävs kan du för större externa organisationspartner överväga att bjuda in en eller flera användare från den externa organisationen till din katalog, utse dem till sponsorer och konfigurera att sponsorer är godkännare , eftersom de sannolikt vet vilka externa användare från organisationen som behöver åtkomst. När du har konfigurerat åtkomstpaketet hämtar du länken för åtkomstpaketets begäran så att du kan skicka länken till din kontaktperson (sponsor) i den externa organisationen. Kontakten kan dela med andra användare i deras externa organisation, och de kan använda den här länken för att begära åtkomstpaketet. Användare från den organisationen som redan har bjudits in till din katalog kan också använda den länken.

Du kan också använda berättigandehantering för att ta in användare från organisationer som inte har en egen Microsoft Entra-katalog. Du kan konfigurera en federerad identitetsprovider för deras domän eller använda e-postbaserad autentisering. Du kan också ta in användare från sociala identitetsprovidrar, inklusive användare med Microsoft-konton.

När en begäran godkänns etablerar berättigandehantering vanligtvis användaren med nödvändig åtkomst. Om användaren inte redan finns i din katalog bjuder berättigandehanteringen först in användaren. När användaren bjuds in skapar Microsoft Entra-ID automatiskt ett B2B-gästkonto åt dem, men skickar inte ett e-postmeddelande till användaren. En administratör kan tidigare ha begränsat vilka organisationer som tillåts för samarbete genom att ange en B2B-tillåtna eller blockeringslista för att tillåta eller blockera inbjudningar till andra organisationers domäner. Om användarens domän inte tillåts av dessa listor bjuds de inte in och kan inte tilldelas åtkomst förrän listorna har uppdaterats.

Eftersom du inte vill att den externa användarens åtkomst ska vara för evigt anger du ett förfallodatum i principen, till exempel 180 dagar. Om åtkomsten inte utökas efter 180 dagar tas all åtkomst som är associerad med åtkomstpaketet bort. Om den användare som bjudits in via berättigandehantering inte har några andra tilldelningar av åtkomstpaket, blockeras gästkontot från att logga in i 30 dagar och tas sedan bort när de förlorar sin senaste tilldelning. Detta förhindrar spridning av onödiga konton. Enligt beskrivningen i följande avsnitt kan de här inställningarna konfigureras.

Så här fungerar åtkomst för externa användare

Följande diagram och steg ger en översikt över hur externa användare beviljas åtkomst till ett åtkomstpaket.

1. Du lägger till en ansluten organisation för den Microsoft Entra-katalog eller domän som du vill samarbeta med. Du kan också konfigurera en ansluten organisation för en social identitetsprovider.

2. Du kan kontrollera kataloginställningen Aktiverad för externa användare i katalogen som ska innehålla åtkomstpaketet är Ja.

3. Du skapar ett åtkomstpaket i din katalog som innehåller en princip för användare som inte finns i din katalog och anger de anslutna organisationer som kan begära, godkännaren och livscykelinställningarna. Om du i principen väljer alternativet för specifika anslutna organisationer eller alternativet för alla anslutna organisationer kan endast användare från de organisationer som tidigare har konfigurerats begära det. Om du i principen väljer alternativet för alla användare kan alla användare begära, inklusive de som inte redan är en del av din katalog och inte ingår i någon ansluten organisation.

4. Du kontrollerar den dolda inställningen för åtkomstpaketet för att se till att åtkomstpaketet är dolt. Om den inte är dold kan alla användare som tillåts av principinställningarna i åtkomstpaketet bläddra efter åtkomstpaketet i My Access-portalen för din klientorganisation.

5. Du skickar en länk till min åtkomstportal till din kontakt i den externa organisation som de kan dela med sina användare för att begära åtkomstpaketet.

6. En extern användare (Requestor A i det här exemplet) använder länken Min åtkomstportal för att begära åtkomst till åtkomstpaketet. Portalen Min åtkomst kräver att användaren loggar in som en del av sin anslutna organisation. Hur användaren loggar in beror på autentiseringstypen för katalogen eller domänen som definieras i den anslutna organisationen och i inställningarna för externa användare.

7. En godkännare godkänner begäran (förutsatt att principen kräver godkännande).

8. Begäran hamnar i leveranstillståndet.

9. Med B2B-inbjudan skapas ett gästanvändarkonto i din katalog (Requestor A (Gäst) i det här exemplet). Om en tillåtna lista eller en blockeringslista har definierats tillämpas listinställningen.

10. Gästanvändaren tilldelas åtkomst till alla resurser i åtkomstpaketet. Det kan ta lite tid innan ändringar görs i Microsoft Entra-ID och andra Microsoft Online-tjänster eller anslutna SaaS-program. Mer information finns i När ändringar tillämpas.

11. Den externa användaren får ett e-postmeddelande som anger att deras åtkomst har levererats.

12. För att få åtkomst till resurserna kan den externa användaren antingen välja länken i e-postmeddelandet eller försöka komma åt någon av katalogresurserna direkt för att slutföra inbjudan.

13. Om principinställningarna innehåller ett förfallodatum tas den externa användarens åtkomsträttigheter från åtkomstpaketet bort senare när tilldelningen av åtkomstpaket för den externa användaren upphör att gälla.

14. Beroende på livscykeln för inställningar för externa användare blockeras den externa användaren från att logga in när den externa användaren inte längre har några åtkomstpakettilldelningar och det externa användarkontot tas bort från din katalog.

Inställningar för externa användare

För att säkerställa att personer utanför organisationen kan begära åtkomstpaket och få åtkomst till resurserna i dessa åtkomstpaket finns det vissa inställningar som du bör kontrollera är korrekt konfigurerade.

Aktivera katalog för externa användare

• När du skapar en ny katalog är det som standard aktiverat för att tillåta externa användare att begära åtkomstpaket i katalogen. Kontrollera att Aktiverad för externa användare är inställd på Ja.

  

  Om du är administratör eller katalogägare kan du visa listan över kataloger som för närvarande är aktiverade för externa användare i listan över kataloger i Administrationscenter för Microsoft Entra genom att ändra filterinställningen för Aktiverad för externa användare till Ja. Om någon av de kataloger som visas i den filtrerade vyn har ett icke-noll antal åtkomstpaket, kan dessa åtkomstpaket ha en princip för användare som inte finns i din katalog som tillåter externa användare att begära.

Konfigurera dina inställningar för externt samarbete i Microsoft Entra B2B

• Om du tillåter gäster att bjuda in andra gäster till din katalog kan gästbjudningar ske utanför berättigandehantering. Vi rekommenderar att du ställer in Gäster kan bjuda in till Nej för att endast tillåta korrekt styrda inbjudningar.

• Om du tidigare har använt B2B-listan måste du antingen ta bort listan eller se till att alla domäner för alla organisationer som du vill samarbeta med med hjälp av berättigandehantering läggs till i listan. Om du använder B2B-blocklistan måste du också se till att ingen domän för någon organisation som du vill samarbeta med finns med i listan.

• Om du skapar en princip för berättigandehantering för Alla användare (Alla anslutna organisationer + eventuella nya externa användare) och en användare inte tillhör en ansluten organisation i din katalog, skapas en ansluten organisation automatiskt för dem när de begär paketet. Men alla B2B-inställningar för tillåtna eller blocklisteinställningar som du har har företräde. Därför vill du ta bort listan över tillåtna, om du använder en, så att Alla användare kan begära åtkomst och exkludera alla auktoriserade domäner från blocklistan om du använder en blocklista.

• Om du vill skapa en princip för rättighetshantering som innehåller Alla användare (Alla anslutna organisationer + alla nya externa användare) måste du först aktivera autentisering med engångslösenord för e-post för din katalog. Mer information finns i E-postautentisering med engångslösenord.

• Mer information om inställningar för externt samarbete i Microsoft Entra B2B finns i Konfigurera inställningar för externt samarbete.

  

  Kommentar

  Om du skapar en ansluten organisation för en Microsoft Entra-klientorganisation från ett annat Microsoft-moln måste du också konfigurera åtkomstinställningar mellan klientorganisationer på lämpligt sätt. Mer information om hur du konfigurerar de här inställningarna finns i Konfigurera åtkomstinställningar mellan klientorganisationer.

Granska dina principer för villkorsstyrd åtkomst

• Se till att undanta appen Berättigandehantering från alla principer för villkorsstyrd åtkomst som påverkar gästanvändare. Annars kan en princip för villkorsstyrd åtkomst blockera dem från att komma åt MyAccess eller logga in på din katalog. Gäster har till exempel förmodligen ingen registrerad enhet, är inte på en känd plats och vill inte registrera om multifaktorautentisering (MFA), så om du lägger till dessa krav i en princip för villkorsstyrd åtkomst blockeras gäster från att använda berättigandehantering. Mer information finns i Vad är villkor i Villkor för villkorsstyrd åtkomst i Microsoft Entra?.

• En vanlig princip för berättigandehanteringskunder är att blockera alla appar från gäster utom Berättigandehantering för gäster. Med den här principen kan gäster ange Min åtkomst och begära ett åtkomstpaket. Det här paketet bör innehålla en grupp (det kallas Gäster från Min åtkomst i följande exempel), som ska undantas från blockeringsprincipen för alla appar. När paketet har godkänts finns gästen i katalogen. Med tanke på att slutanvändaren har tilldelningen av åtkomstpaket och ingår i gruppen kan slutanvändaren komma åt alla andra appar. Andra vanliga principer är exkludering av berättigandehanteringsapp från MFA och kompatibel enhet.

  

  

  

Kommentar

Appen Berättigandehantering innehåller rättighetshanteringssidan i MyAccess, sidan Berättigandehantering i administrationscentret för Microsoft Entra och delen Berättigandehantering i MS-grafen. De två senare kräver ytterligare behörigheter för åtkomst och kommer därför inte att nås av gäster om inte uttrycklig behörighet har angetts.

Granska dina externa delningsinställningar för SharePoint Online

• Om du vill inkludera SharePoint Online-webbplatser i dina åtkomstpaket för externa användare kontrollerar du att inställningen för extern delning på organisationsnivå är inställd på Alla (användare behöver inte logga in) eller Nya och befintliga gäster (gäster måste logga in eller ange en verifieringskod). Mer information finns i Aktivera eller inaktivera extern delning.

• Om du vill begränsa eventuell extern delning utanför berättigandehantering kan du ange inställningen för extern delning till Befintliga gäster. Sedan kan endast nya användare som bjuds in via berättigandehantering få åtkomst till dessa webbplatser. Mer information finns i Aktivera eller inaktivera extern delning.

• Kontrollera att inställningarna på platsnivå aktiverar gäståtkomst (samma alternativval som tidigare i listan). Mer information finns i Aktivera eller inaktivera extern delning för en webbplats.

Granska inställningarna för gruppdelning i Microsoft 365

• Om du vill inkludera Microsoft 365-grupper i dina åtkomstpaket för externa användare kontrollerar du att Låt användare lägga till nya gäster i organisationen är inställt på På för att tillåta gäståtkomst. Mer information finns i Hantera gäståtkomst till Microsoft 365-grupper.

• Om du vill att externa användare ska kunna komma åt SharePoint Online-webbplatsen och resurser som är associerade med en Microsoft 365-grupp kontrollerar du att du aktiverar extern delning av SharePoint Online. Mer information finns i Aktivera eller inaktivera extern delning.

• Information om hur du anger gästprincipen för Microsoft 365-grupper på katalognivå i PowerShell finns i Exempel: Konfigurera gästprincip för grupper på katalognivå.

Granska delningsinställningarna för Teams

• Om du vill inkludera Teams i dina åtkomstpaket för externa användare kontrollerar du att Tillåt gäståtkomst i Microsoft Teams är inställt på På för att tillåta gäståtkomst. Mer information finns i Konfigurera gäståtkomst i administrationscentret för Microsoft Teams.

Hantera livscykeln för externa användare

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Du kan välja vad som händer när en extern användare, som har bjudits in till din katalog genom att göra en begäran om åtkomstpaket, inte längre har några tilldelningar av åtkomstpaket. Detta kan inträffa om användaren avstår från alla sina åtkomstpakettilldelningar eller om deras senaste tilldelning av åtkomstpaket upphör att gälla. När en extern användare inte längre har några åtkomstpakettilldelningar blockeras de som standard från att logga in i din katalog. Efter 30 dagar tas gästanvändarkontot bort från din katalog. Du kan också konfigurera att en extern användare inte blockeras från att logga in eller tas bort, eller att en extern användare inte blockeras från att logga in utan tas bort (förhandsversion).

Kravroll: Global administratör eller identitetsstyrningsadministratör

1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

2. Bläddra till Berättigandehantering> för identitetsstyrning>Inställningar.

3. Välj Redigera.

   

4. I avsnittet Hantera livscykeln för externa användare väljer du de olika inställningarna för externa användare.

5. När en extern användare förlorar sin senaste tilldelning till alla åtkomstpaket, om du vill blockera dem från att logga in på den här katalogen, anger du Blockera extern användare från att logga in på den här katalogen till Ja.

   Kommentar

   Rättighetshantering blockerar endast externa gästanvändarkonton från att logga in som bjudits in via berättigandehantering eller som har lagts till i berättigandehantering för livscykelhantering genom att deras gästanvändarkonto konverteras till styrt. Observera också att en användare kommer att blockeras från att logga in även om användaren har lagts till i resurser i den här katalogen som inte har åtkomst till pakettilldelningar. Om en användare blockeras från att logga in i den här katalogen kan användaren inte begära åtkomstpaketet igen eller begära ytterligare åtkomst i den här katalogen. Konfigurera inte att blockera dem från att logga in om de senare behöver begära åtkomst till det här eller andra åtkomstpaket.

6. När en extern användare förlorar sin senaste tilldelning till alla åtkomstpaket, om du vill ta bort gästanvändarkontot i den här katalogen, anger du Ta bort extern användare till Ja.

   Kommentar

   Berättigandehantering tar endast bort externa gästanvändarkonton som bjudits in via berättigandehantering eller som har lagts till i berättigandehantering för livscykelhantering genom att deras gästanvändarkonto konverteras till styrt. Observera också att en användare tas bort från den här katalogen även om användaren har lagts till i resurser i den här katalogen som inte har åtkomst till pakettilldelningar. Om gästen fanns i den här katalogen innan de fick åtkomstpakettilldelningar kommer de att finnas kvar. Men om gästen bjöds in via en tilldelning av åtkomstpaket och efter att ha bjudits in också har tilldelats en OneDrive för företag- eller SharePoint Online-webbplats, tas de fortfarande bort. Om du ändrar inställningen Ta bort extern användare till Nej påverkas endast användare som senare förlorar sin senaste tilldelning av åtkomstpaket. Användare som har schemalagts för borttagning och blockeras från inloggning tas fortfarande bort enligt det ursprungliga schemat.

7. Om du vill ta bort gästanvändarkontot i den här katalogen kan du ange antalet dagar innan det tas bort. En extern användare meddelas när deras åtkomstpaket upphör att gälla, men det finns inget meddelande när deras konto tas bort. Om du vill ta bort gästanvändarkontot så snart de förlorar sin senaste tilldelning till åtkomstpaket anger du Antal dagar innan du tar bort den externa användaren från den här katalogen till 0. Ändringar av det här värdet påverkar bara användare som senare använder sin senaste tilldelning av åtkomstpaket. användare som har schemalagts för borttagning tas fortfarande bort enligt det ursprungliga schemat.

8. Välj Spara.

Nästa steg

• Lägga till en ansluten organisation
• För användare som inte finns i din katalog
• Felsöka