Tilldela Azure-roller till externa användare med hjälp av Azure-portalen
Rollbaserad åtkomstkontroll i Azure (Azure RBAC) ger bättre säkerhetshantering för stora organisationer och för små och medelstora företag som arbetar med externa medarbetare, leverantörer eller frilansare som behöver åtkomst till specifika resurser i din miljö, men inte nödvändigtvis till hela infrastrukturen eller några faktureringsrelaterade omfång. Du kan använda funktionerna i Microsoft Entra B2B för att samarbeta med externa användare och du kan använda Azure RBAC för att bevilja bara de behörigheter som externa användare behöver i din miljö.
Förutsättningar
Om du vill tilldela Azure-roller eller ta bort rolltilldelningar måste du ha:
Microsoft.Authorization/roleAssignments/writeochMicrosoft.Authorization/roleAssignments/deletebehörigheter, till exempel administratör för användaråtkomst eller ägare
När skulle du bjuda in externa användare?
Här följer några exempelscenarier när du kan bjuda in användare till din organisation och bevilja behörigheter:
- Tillåt en extern leverantör som är egenföretagare och som bara har ett e-postkonto att komma åt dina Azure-resurser för ett projekt.
- Tillåt att en extern partner hanterar vissa resurser eller en hel prenumeration.
- Tillåt att supporttekniker som inte finns i din organisation (till exempel Microsoft-support) tillfälligt får åtkomst till din Azure-resurs för att felsöka problem.
Behörighetsskillnader mellan medlemsanvändare och gästanvändare
Användare av en katalog med medlemstyp (medlemsanvändare) har som standard andra behörigheter än användare som bjudits in från en annan katalog som gäst för B2B-samarbete (gästanvändare). Medlemsanvändare kan till exempel läsa nästan all kataloginformation medan gästanvändare har begränsade katalogbehörigheter. Mer information om medlemsanvändare och gästanvändare finns i Vad är standardanvändarbehörigheter i Microsoft Entra-ID?.
Bjud in en extern användare till din katalog
Följ de här stegen för att bjuda in en extern användare till din katalog i Microsoft Entra-ID.
Logga in på Azure-portalen.
Kontrollera att organisationens inställningar för externt samarbete är konfigurerade så att du får bjuda in externa användare. Mer information finns i Konfigurera inställningar för externt samarbete.
Välj Microsoft Entra-ID-användare>.
Välj Ny användare>Bjud in extern användare.
Följ stegen för att bjuda in en extern användare. Mer information finns i Lägga till Microsoft Entra B2B-samarbetsanvändare i Azure-portalen.
När du har bjudit in en extern användare till katalogen kan du antingen skicka en direktlänk till den externa användaren till en delad app eller så kan den externa användaren välja länken acceptera inbjudan i e-postmeddelandet för inbjudan.
För att den externa användaren ska kunna komma åt din katalog måste de slutföra inbjudan.
Mer information om inbjudan finns i Inlösen av microsoft Entra B2B-samarbetsinbjudan.
Tilldela en roll till en extern användare
För att bevilja åtkomst i Azure RBAC tilldelar du en roll. Om du vill tilldela en roll till en extern användare följer du samma steg som för en medlemsanvändare, grupp, tjänstens huvudnamn eller hanterade identitet. Följ de här stegen för att tilldela en roll till en extern användare i olika omfång.
Logga in på Azure-portalen.
I rutan Sök högst upp söker du efter det omfång som du vill bevilja åtkomst till. Sök till exempel efter Hanteringsgrupper, Prenumerationer, Resursgrupper eller en specifik resurs.
Välj den specifika resursen för det omfånget.
Välj Åtkomstkontroll (IAM) .
Nedan visas ett exempel på sidan Åtkomstkontroll (IAM) för en resursgrupp.
Välj fliken Rolltilldelningar om du vill visa rolltilldelningarna i det här omfånget.
Välj Lägg till>Lägg till rolltilldelning.
Om du inte har behörighet att tilldela roller är alternativet Lägg till rolltilldelning inaktiverat.
Sidan Lägg till rolltilldelning öppnas.
På fliken Roll väljer du en roll, till exempel Virtuell datordeltagare.
På fliken Medlemmar väljer du Användare, grupp eller tjänstens huvudnamn.
Välj Välj medlemmar.
Leta upp och välj den externa användaren. Om du inte ser användaren i listan kan du skriva i rutan Välj för att söka i katalogen efter visningsnamn eller e-postadress.
Du kan skriva i rutan Välj om du vill söka i katalogen efter visningsnamn eller e-postadress.
Välj Välj för att lägga till den externa användaren i listan Medlemmar.
På fliken Granska + tilldela väljer du Granska + tilldela.
Efter en liten stund tilldelas den externa användaren rollen i det valda omfånget.
Tilldela en roll till en extern användare som ännu inte finns i katalogen
Om du vill tilldela en roll till en extern användare följer du samma steg som för en medlemsanvändare, grupp, tjänstens huvudnamn eller hanterade identitet.
Om den externa användaren ännu inte finns i katalogen kan du bjuda in användaren direkt från fönstret Välj medlemmar.
Logga in på Azure-portalen.
I rutan Sök högst upp söker du efter det omfång som du vill bevilja åtkomst till. Sök till exempel efter Hanteringsgrupper, Prenumerationer, Resursgrupper eller en specifik resurs.
Välj den specifika resursen för det omfånget.
Välj Åtkomstkontroll (IAM) .
Välj Lägg till>Lägg till rolltilldelning.
Om du inte har behörighet att tilldela roller är alternativet Lägg till rolltilldelning inaktiverat.
Sidan Lägg till rolltilldelning öppnas.
På fliken Roll väljer du en roll, till exempel Virtuell datordeltagare.
På fliken Medlemmar väljer du Användare, grupp eller tjänstens huvudnamn.
Välj Välj medlemmar.
I rutan Välj skriver du e-postadressen till den person som du vill bjuda in och väljer den personen.
Välj Välj för att lägga till den externa användaren i listan Medlemmar.
På fliken Granska + tilldela väljer du Granska + tilldela för att lägga till den externa användaren i din katalog, tilldela rollen och skicka en inbjudan.
Efter en liten stund visas ett meddelande om rolltilldelningen och information om inbjudan.
Om du vill bjuda in den externa användaren manuellt högerklickar du på och kopierar inbjudan i meddelandet. Välj inte inbjudningslänken eftersom den startar inbjudan.
Inbjudningslänken har följande format:
https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...Skicka inbjudningslänken till den externa användaren för att slutföra inbjudan.
Mer information om inbjudan finns i Inlösen av microsoft Entra B2B-samarbetsinbjudan.
Ta bort en extern användare från din katalog
Innan du tar bort en extern användare från en katalog bör du först ta bort eventuella rolltilldelningar för den externa användaren. Följ de här stegen för att ta bort en extern användare från en katalog.
Öppna Åtkomstkontroll (IAM) i ett omfång, till exempel hanteringsgrupp, prenumeration, resursgrupp eller resurs, där den externa användaren har en rolltilldelning.
Välj fliken Rolltilldelningar för att visa alla rolltilldelningar.
I listan över rolltilldelningar lägger du till en bockmarkering bredvid den externa användaren med den rolltilldelning som du vill ta bort.
Välj Ta bort.
I meddelandet ta bort rolltilldelning som visas väljer du Ja.
Välj fliken Klassiska administratörer.
Om den externa användaren har en medadministratörstilldelning lägger du till en bock bredvid den externa användaren och väljer Ta bort.
I det vänstra navigeringsfältet väljer du Microsoft Entra ID-användare>.
Välj den externa användare som du vill ta bort.
Välj Ta bort.
I borttagningsmeddelandet som visas väljer du Ja.
Felsöka
Extern användare kan inte bläddra i katalogen
Externa användare har begränsade katalogbehörigheter. Externa användare kan till exempel inte bläddra i katalogen och kan inte söka efter grupper eller program. Mer information finns i Vilka är standardanvändarbehörigheterna i Microsoft Entra-ID?.
Om en extern användare behöver ytterligare behörigheter i katalogen kan du tilldela en Microsoft Entra-roll till den externa användaren. Om du verkligen vill att en extern användare ska ha fullständig läsåtkomst till din katalog kan du lägga till den externa användaren i rollen Katalogläsare i Microsoft Entra-ID. Mer information finns i Lägga till Microsoft Entra B2B-samarbetsanvändare i Azure-portalen.
Externa användare kan inte bläddra bland användare, grupper eller tjänstens huvudnamn för att tilldela roller
Externa användare har begränsade katalogbehörigheter. Även om en extern användare är ägare i ett omfång kan de inte bläddra i listan över användare, grupper eller tjänstens huvudnamn om de försöker tilldela en roll för att ge någon annan åtkomst.
Om den externa användaren känner till någons exakta inloggningsnamn i katalogen kan de bevilja åtkomst. Om du verkligen vill att en extern användare ska ha fullständig läsåtkomst till din katalog kan du lägga till den externa användaren i rollen Katalogläsare i Microsoft Entra-ID. Mer information finns i Lägga till Microsoft Entra B2B-samarbetsanvändare i Azure-portalen.
Extern användare kan inte registrera program eller skapa tjänstens huvudnamn
Externa användare har begränsade katalogbehörigheter. Om en extern användare behöver kunna registrera program eller skapa tjänstens huvudnamn kan du lägga till den externa användaren i rollen Programutvecklare i Microsoft Entra-ID. Mer information finns i Lägga till Microsoft Entra B2B-samarbetsanvändare i Azure-portalen.
Den externa användaren ser inte den nya katalogen
Om en extern användare har beviljats åtkomst till en katalog, men de inte ser den nya katalogen som visas i Azure-portalen när de försöker växla på sin katalogsida, kontrollerar du att den externa användaren har slutfört inbjudan. Mer information om inbjudan finns i Inlösen av microsoft Entra B2B-samarbetsinbjudan.
Externa användare ser inte resurser
Om en extern användare har beviljats åtkomst till en katalog, men de inte ser de resurser som de har beviljats åtkomst till i Azure-portalen, kontrollerar du att den externa användaren har valt rätt katalog. En extern användare kan ha åtkomst till flera kataloger. Om du vill växla kataloger väljer du Inställningar> Kataloger uppe till vänster och väljer sedan lämplig katalog.
