Bevilja lokalt hanterade partnerkonton åtkomst till molnresurser med hjälp av Microsoft Entra B2B-samarbete

Före Microsoft Entra-ID har organisationer med lokala identitetssystem traditionellt hanterat partnerkonton i sin lokala katalog. När du i en sådan organisation börjar flytta appar till Microsoft Entra-ID vill du se till att dina partner kan komma åt de resurser de behöver. Det spelar ingen roll om resurserna finns lokalt eller i molnet. Du vill också att dina partneranvändare ska kunna använda samma inloggningsuppgifter för både lokala och Microsoft Entra-resurser.

Om du skapar konton för dina externa partner i din lokala katalog (till exempel skapa ett konto med inloggningsnamnet "msullivan" för en extern användare med namnet Maria Sullivan i din partners.contoso.com domän) kan du nu synkronisera dessa konton till molnet. Mer specifikt kan du använda Microsoft Entra Anslut för att synkronisera partnerkontona till molnet, vilket skapar ett användarkonto med UserType = Gäst. Detta gör att dina partneranvändare kan komma åt molnresurser med samma autentiseringsuppgifter som sina lokala konton, utan att ge dem mer åtkomst än de behöver. Mer information om hur du konverterar lokala gästkonton finns i Konvertera lokala gästkonton till Microsoft Entra B2B-gästkonton.

Kommentar

Se även hur du bjuder in interna användare till B2B-samarbete. Med den här funktionen kan du bjuda in interna gästanvändare att använda B2B-samarbete, oavsett om du har synkroniserat deras konton från din lokala katalog till molnet. När användaren godkänner inbjudan att använda B2B-samarbete kan de använda sina egna identiteter och autentiseringsuppgifter för att logga in på de resurser som du vill att de ska komma åt. Du behöver inte underhålla lösenord eller hantera kontolivscykler.

Identifiera unika attribut för UserType

Innan du aktiverar synkronisering av attributet UserType måste du först bestämma hur attributet UserType ska härledas från lokal Active Directory. Med andra ord, vilka parametrar i din lokala miljö är unika för dina externa medarbetare? Fastställ en parameter som skiljer dessa externa medarbetare från medlemmar i din egen organisation.

Två vanliga metoder för detta är att:

• Ange ett oanvänt lokal Active Directory attribut (till exempel extensionAttribute1) som ska användas som källattribut.
• Du kan också härleda värdet för Attributet UserType från andra egenskaper. Du vill till exempel synkronisera alla användare som gäst om deras lokal Active Directory UserPrincipalName-attribut slutar med domänen @partners.contoso.com.

Detaljerade attributkrav finns i Aktivera synkronisering av UserType.

Konfigurera Microsoft Entra Anslut för att synkronisera användare till molnet

När du har identifierat det unika attributet kan du konfigurera Microsoft Entra Anslut att synkronisera dessa användare till molnet, vilket skapar ett användarkonto med UserType = Guest. Ur auktoriseringssynpunkt kan dessa användare inte skiljas från B2B-användare som skapats via inbjudan till Microsoft Entra B2B-samarbetsinbjudan.

Implementeringsinstruktioner finns i Aktivera synkronisering av UserType.

Nästa steg

• Microsoft Entra B2B-samarbete för hybridorganisationer
• Bevilja B2B-användare i Microsoft Entra ID åtkomst till dina lokala program