Konfigurera inställningar för externt samarbete för B2B i microsoft entra externt ID

Gäller för: Personalklientorganisationer Externa klienter (läs mer)

Med inställningar för externt samarbete kan du ange vilka roller i din organisation som kan bjuda in externa användare för B2B-samarbete. De här inställningarna innehåller även alternativ för att tillåta eller blockera specifika domäner och alternativ för att begränsa vad externa gästanvändare kan se i din Microsoft Entra-katalog. Följande alternativ är tillgängliga:

• Fastställ gästanvändares åtkomst: Med Microsoft Entras externa ID kan du begränsa vad externa gästanvändare kan se i din Microsoft Entra-katalog. Du kan till exempel begränsa gästanvändares vy över gruppmedlemskap eller tillåta gäster att endast visa sin egen profilinformation.

• Ange vem som kan bjuda in gäster: Som standard kan alla användare i organisationen, inklusive gästanvändare för B2B-samarbete, bjuda in externa användare till B2B-samarbete. Om du vill begränsa möjligheten att skicka inbjudningar kan du aktivera eller inaktivera inbjudningar för alla eller begränsa inbjudningar till vissa roller.

• Aktivera registrering via självbetjäning via användarflöden: För program som du skapar kan du skapa användarflöden som gör att en användare kan registrera sig för en app och skapa ett nytt gästkonto. Du kan aktivera funktionen i dina inställningar för externt samarbete och sedan lägga till ett användarflöde för självbetjäningsregistrering i din app.

• Tillåt eller blockera domäner: Du kan använda samarbetsbegränsningar för att tillåta eller neka inbjudningar till de domäner som du anger. Mer information finns i Tillåt eller blockera domäner.

För B2B-samarbete med andra Microsoft Entra-organisationer bör du också granska inställningarna för åtkomst mellan klientorganisationer för att säkerställa ditt inkommande och utgående B2B-samarbete och omfångsåtkomst till specifika användare, grupper och program.

För B2B-samarbetsanvändare som utför inloggningar mellan klientorganisationer visas deras varumärkesanpassning för hemklientorganisationen, även om det inte finns någon anpassad varumärkesanpassning angiven. I följande exempel visas företagets varumärkesanpassning för Woodgrove Groceries till vänster. Exemplet till höger visar standardanpassningen för användarens hemklientorganisation.

Kommentar

Beroende på vilka inställningar för externt samarbete du vill konfigurera kan olika administratörsroller krävas. Den här artikeln anger vilken roll som krävs för varje typ av inställning. Se även Minst privilegierade roller efter uppgift för externt ID/B2C.

Konfigurera inställningar i portalen

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Så här konfigurerar du gästanvändaråtkomst

1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.

2. Bläddra till Inställningar för extern identitet>externt>samarbete.

3. Under Gästanvändaråtkomst väljer du den åtkomstnivå som du vill att gästanvändare ska ha:

   

   • Gästanvändare har samma åtkomst som medlemmar (mest inkluderande): Det här alternativet ger gäster samma åtkomst till Microsoft Entra-resurser och katalogdata som medlemsanvändare.

   • Gästanvändare har begränsad åtkomst till egenskaper och medlemskap i katalogobjekt: (Standard) Den här inställningen blockerar gäster från vissa kataloguppgifter, till exempel uppräkning av användare, grupper eller andra katalogresurser. Gäster kan se medlemskap i alla icke-dolda grupper. Läs mer om standardbehörigheter för gäst.

   • Gästanvändaråtkomst är begränsad till egenskaper och medlemskap för sina egna katalogobjekt (mest restriktiva): Med den här inställningen kan gäster endast komma åt sina egna profiler. Gäster får inte se andra användares profiler, grupper eller gruppmedlemskap.

Så här konfigurerar du inställningar för gästbjudning

1. Logga in på administrationscentret för Microsoft Entra som minst gästinbjudare.

2. Bläddra till Inställningar för extern identitet>externt>samarbete.

3. Under Inställningar för gästbjudning väljer du lämpliga inställningar:

   

   • Alla i organisationen kan bjuda in gästanvändare, inklusive gäster och icke-administratörer (mest inkluderande): Välj den här alternativknappen om du vill att gäster i organisationen ska kunna bjuda in andra gäster, inklusive användare som inte är medlemmar i en organisation.
   • Medlemsanvändare och användare som tilldelats specifika administratörsroller kan bjuda in gästanvändare, inklusive gäster med medlemsbehörighet: Välj den här alternativknappen om du vill tillåta medlemsanvändare och användare som har specifika administratörsroller att bjuda in gäster.
   • Endast användare som har tilldelats specifika administratörsroller kan bjuda in gästanvändare: Välj den här alternativknappen om du bara vill tillåta att användare med roller som användaradministratör eller gäst inbjudare bjuder in gäster.
   • Ingen i organisationen kan bjuda in gästanvändare inklusive administratörer (mest restriktiva): Välj den här alternativknappen om du vill neka alla i organisationen att bjuda in gäster.

Så här konfigurerar du självbetjäningsregistrering för gäst

1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.

2. Bläddra till Inställningar för extern identitet>externt>samarbete.

3. Under Aktivera självbetjäningsregistrering av gäst via användarflöden väljer du Ja om du vill kunna skapa användarflöden som låter användare registrera sig för appar. Mer information om den här inställningen finns i Lägga till ett användarflöde för självbetjäningsregistrering i en app.

   

Så här konfigurerar du inställningar för att lämna externa användare

1. Logga in på administrationscentret för Microsoft Entra som minst en administratör för extern identitetsprovider.

2. Bläddra till Inställningar för extern identitet>externt>samarbete.

3. Under Inställningar för extern användares ledighet kan du styra om externa användare kan ta bort sig själva från din organisation.

   • Ja: Användarna kan lämna organisationen själva utan godkännande från administratören eller sekretesskontakten.
   • Nej: Användarna kan inte själva lämna organisationen. De ser ett meddelande som vägleder dem att kontakta din administratör eller sekretesskontakt för att begära borttagning från din organisation.

   Viktigt!

   Du kan bara konfigurera inställningar för extern användares ledighet om du har lagt till din sekretessinformation i din Microsoft Entra-klientorganisation. Annars är den här inställningen inte tillgänglig.

   

Konfigurera samarbetsbegränsningar (tillåta eller blockera domäner)

Viktigt!

Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

1. Logga in på administrationscentret för Microsoft Entra som minst global administratör.

2. Bläddra till Inställningar för extern identitet>externt>samarbete.

3. Under Samarbetsbegränsningar kan du välja om du vill tillåta eller neka inbjudningar till de domäner som du anger och ange specifika domännamn i textrutorna. För flera domäner anger du varje domän på en ny rad. Mer information finns i Tillåt eller blockera inbjudningar till B2B-användare från specifika organisationer.

   

Konfigurera inställningar med Microsoft Graph

Inställningar för externt samarbete kan konfigureras med hjälp av Microsoft Graph API:

• För åtkomstbegränsningar för gästanvändare och begränsningar för gästbjudning använder du resurstypen authorizationPolicy .
• För inställningen Aktivera självbetjäningsregistrering av gäst via användarflöden använder du resurstypen authenticationFlowsPolicy .
• För inställningar för engångslösenord för e-post (nu på sidan Alla identitetsprovidrar i administrationscentret för Microsoft Entra) använder du resurstypen emailAuthenticationMethodConfiguration .

Tilldela rollen Gästinbjudare till en användare

Med rollen Gästinbjudare kan du ge enskilda användare möjlighet att bjuda in gäster utan att tilldela dem en administratörsroll med högre behörighet. Användare med rollen Gästinbjudare kan bjuda in gäster även när alternativet Endast användare som tilldelats specifika administratörsroller kan bjuda in gästanvändare har valts (under Inställningar för gästinbjudan).

Här är ett exempel som visar hur du använder Microsoft Graph PowerShell för att lägga till en användare i Guest Inviter rollen:

Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

Inloggningsloggar för B2B-användare

När en B2B-användare loggar in på en resursklient för att samarbeta genereras en inloggningslogg i både hemklientorganisationen och resursklientorganisationen. Dessa loggar innehåller information som programmet som används, e-postadresser, klientnamn och klient-ID för både hemklientorganisationen och resursklientorganisationen.

Nästa steg

Se följande artiklar om Microsoft Entra B2B-samarbete:

• Vad är Microsoft Entra B2B-samarbete?
• Lägga till en B2B-samarbetsanvändare i en roll