Přiřazení rolí Azure externím uživatelům pomocí webu Azure Portal
Řízení přístupu na základě role v Azure (Azure RBAC) umožňuje lepší správu zabezpečení pro velké organizace a pro malé a střední firmy pracující s externími spolupracovníky, dodavateli nebo volnými pracovníky, kteří potřebují přístup ke konkrétním prostředkům ve vašem prostředí, ale nemusí nutně přistupovat k celé infrastruktuře nebo rozsahům souvisejícím s fakturací. Pomocí možností v Microsoft Entra B2B můžete spolupracovat s externími uživateli a pomocí Azure RBAC můžete udělit jenom oprávnění, která externí uživatelé potřebují ve vašem prostředí.
Požadavky
Pokud chcete přiřadit role Azure nebo odebrat přiřazení rolí, musíte mít:
Microsoft.Authorization/roleAssignments/writeaMicrosoft.Authorization/roleAssignments/deleteoprávnění, jako je uživatelský přístup Správa istrator nebo vlastník
Kdy byste pozvali externí uživatele?
Tady je několik ukázkových scénářů, kdy můžete pozvat uživatele do vaší organizace a udělit oprávnění:
- Povolte externího samostatně pracujícího dodavatele, který má jenom e-mailový účet pro přístup k prostředkům Azure pro projekt.
- Umožňuje externímu partnerovi spravovat určité prostředky nebo celé předplatné.
- Povolte technikům podpory, kteří nejsou ve vaší organizaci (například podpoře Microsoftu), dočasně přistupovat k vašemu prostředku Azure, aby mohli řešit problémy.
Rozdíly mezi oprávněními mezi uživateli člena a uživateli typu host
Uživatelé adresáře s typem člena (uživatelé členů) mají ve výchozím nastavení různá oprávnění než uživatelé pozvaní z jiného adresáře jako host pro spolupráci B2B (uživatelé typu host). Členové můžou například číst téměř všechny informace o adresáři, zatímco uživatelé typu host mají omezená oprávnění k adresáři. Další informace o uživatelích členů a uživatelích typu host naleznete v tématu Jaké jsou výchozí uživatelská oprávnění v Microsoft Entra ID?.
Pozvání externího uživatele do adresáře
Podle těchto kroků pozvěte externího uživatele do adresáře v Microsoft Entra ID.
Přihlaste se k portálu Azure.
Ujistěte se, že jsou nastavení externí spolupráce vaší organizace nakonfigurovaná tak, abyste mohli pozvat externí uživatele. Další informace najdete v článku Konfigurace nastavení externí spolupráce.
Vyberte uživatele Microsoft Entra ID>.
Vyberte Možnost Pozvat>nového externího uživatele.
Podle pokynů zvete externího uživatele. Další informace najdete v tématu Přidání uživatelů spolupráce Microsoft Entra B2B na webu Azure Portal.
Po pozvání externího uživatele do adresáře můžete externímu uživateli buď poslat přímý odkaz na sdílenou aplikaci, nebo externí uživatel může v e-mailu s pozvánkou vybrat odkaz přijmout pozvánku.
Aby měl externí uživatel přístup k vašemu adresáři, musí dokončit proces pozvání.
Další informace o procesu pozvání najdete v tématu Uplatnění pozvánky na spolupráci Microsoft Entra B2B.
Přiřazení role externímu uživateli
Pokud chcete v Azure RBAC udělit přístup, přiřaďte roli. Pokud chcete přiřadit roli externímu uživateli, postupujte stejně jako u člena, skupiny, instančního objektu nebo spravované identity. Podle těchto kroků přiřaďte externímu uživateli roli v různých oborech.
Přihlaste se k webu Azure Portal.
Ve vyhledávacím poli v horní části vyhledejte obor, ke kterému chcete udělit přístup. Můžete například vyhledat skupiny pro správu, předplatná, skupiny prostředků nebo konkrétní prostředek.
Vyberte konkrétní prostředek pro daný obor.
Vyberte Řízení přístupu (IAM) .
Následující příklad ukazuje stránku Řízení přístupu (IAM) pro skupinu prostředků.
Výběrem karty Přiřazení rolí zobrazte přiřazení rolí v tomto oboru.
Vyberte Přidat>Přidat přiřazení role.
Pokud nemáte oprávnění přiřazovat role, možnost Přidat přiřazení role bude neaktivní.
Otevře se stránka Přidat přiřazení role.
Na kartě Role vyberte roli, například Přispěvatel virtuálních počítačů.
Na kartě Členové vyberte Uživatel, skupina nebo instanční objekt.
Zvolte Zvolit členy.
Vyhledejte a vyberte externího uživatele. Pokud uživatele v seznamu nevidíte, můžete zadáním pole Vybrat vyhledat zobrazované jméno nebo e-mailovou adresu v adresáři.
Pomocí pole Vybrat můžete v adresáři vyhledat zobrazované jméno nebo e-mailovou adresu.
Výběrem možnosti Vybrat přidáte externího uživatele do seznamu Členů.
Na kartě Revize a přiřazení vyberte Zkontrolovat a přiřadit.
Po chvíli se externímu uživateli přiřadí role ve vybraném oboru.
Přiřazení role externímu uživateli, který ještě není ve vašem adresáři
Pokud chcete přiřadit roli externímu uživateli, postupujte stejně jako u člena, skupiny, instančního objektu nebo spravované identity.
Pokud externí uživatel ještě není ve vašem adresáři, můžete ho pozvat přímo z podokna Vybrat členy.
Přihlaste se k webu Azure Portal.
Ve vyhledávacím poli v horní části vyhledejte obor, ke kterému chcete udělit přístup. Můžete například vyhledat skupiny pro správu, předplatná, skupiny prostředků nebo konkrétní prostředek.
Vyberte konkrétní prostředek pro daný obor.
Vyberte Řízení přístupu (IAM) .
Vyberte Přidat>Přidat přiřazení role.
Pokud nemáte oprávnění přiřazovat role, možnost Přidat přiřazení role bude neaktivní.
Otevře se stránka Přidat přiřazení role.
Na kartě Role vyberte roli, například Přispěvatel virtuálních počítačů.
Na kartě Členové vyberte Uživatel, skupina nebo instanční objekt.
Zvolte Zvolit členy.
Do pole Vybrat zadejte e-mailovou adresu osoby, kterou chcete pozvat, a vyberte tuto osobu.
Výběrem možnosti Vybrat přidáte externího uživatele do seznamu Členů.
Na kartě Revize a přiřazení vyberte Zkontrolovat a přiřadit a přidejte externího uživatele do adresáře, přiřaďte roli a odešlete pozvánku.
Po chvíli se zobrazí oznámení o přiřazení role a informace o pozvánce.
Pokud chcete externího uživatele pozvat ručně, klikněte pravým tlačítkem myši a zkopírujte odkaz na pozvánku v oznámení. Nevybírejte odkaz na pozvánku, protože spustí proces pozvání.
Odkaz na pozvánku bude mít následující formát:
https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...Odešlete externímu uživateli odkaz na pozvánku a dokončete proces pozvání.
Další informace o procesu pozvání najdete v tématu Uplatnění pozvánky na spolupráci Microsoft Entra B2B.
Odebrání externího uživatele z adresáře
Před odebráním externího uživatele z adresáře byste nejprve měli odebrat všechna přiřazení rolí pro daného externího uživatele. Pomocí těchto kroků odeberte externího uživatele z adresáře.
Otevřete řízení přístupu (IAM) v oboru, jako je skupina pro správu, předplatné, skupina prostředků nebo prostředek, kde má externí uživatel přiřazení role.
Výběrem karty Přiřazení rolí zobrazíte všechna přiřazení rolí.
V seznamu přiřazení rolí přidejte značku zaškrtnutí vedle externího uživatele s přiřazením role, které chcete odebrat.
Vyberte Odstranit.
V zobrazené zprávě o odebrání přiřazení role vyberte Ano.
Vyberte kartu Klasičtí správci.
Pokud má externí uživatel přiřazení spolu Správa istratoru, přidejte vedle externího uživatele značku zaškrtnutí a vyberte Odebrat.
V levém navigačním panelu vyberte Microsoft Entra ID>Users.
Vyberte externího uživatele, kterého chcete odebrat.
Vyberte Odstranit.
V zobrazené zprávě pro odstranění vyberte Ano.
Odstraňování potíží
Externí uživatel nemůže procházet adresář
Externí uživatelé mají omezená oprávnění k adresáři. Externí uživatelé například nemůžou procházet adresář a nemůžou hledat skupiny nebo aplikace. Další informace naleznete v tématu Jaké jsou výchozí uživatelská oprávnění v Microsoft Entra ID?.
Pokud externí uživatel potřebuje v adresáři další oprávnění, můžete externímu uživateli přiřadit roli Microsoft Entra. Pokud chcete, aby externí uživatel měl k vašemu adresáři úplný přístup pro čtení, můžete externího uživatele přidat do role Čtenář adresáře v Microsoft Entra ID. Další informace najdete v tématu Přidání uživatelů spolupráce Microsoft Entra B2B na webu Azure Portal.
Externí uživatel nemůže procházet uživatele, skupiny ani instanční objekty pro přiřazování rolí.
Externí uživatelé mají omezená oprávnění k adresáři. I když je externí uživatel vlastníkem v oboru, pokud se pokusí přiřadit roli, která někomu jinému udělí přístup, nemůže procházet seznam uživatelů, skupin nebo instančních objektů.
Pokud externí uživatel ví, že je v adresáři přesná přihlašovací jméno, může udělit přístup. Pokud chcete, aby externí uživatel měl k vašemu adresáři úplný přístup pro čtení, můžete externího uživatele přidat do role Čtenář adresáře v Microsoft Entra ID. Další informace najdete v tématu Přidání uživatelů spolupráce Microsoft Entra B2B na webu Azure Portal.
Externí uživatel nemůže registrovat aplikace ani vytvářet instanční objekty
Externí uživatelé mají omezená oprávnění k adresáři. Pokud externí uživatel potřebuje mít možnost registrovat aplikace nebo vytvářet instanční objekty, můžete externího uživatele přidat do role Vývojář aplikací v Microsoft Entra ID. Další informace najdete v tématu Přidání uživatelů spolupráce Microsoft Entra B2B na webu Azure Portal.
Externí uživatel nový adresář nevidí.
Pokud externímu uživateli byl udělen přístup k adresáři, ale při pokusu o přepnutí na stránku Adresáře se nový adresář nezobrazí, ujistěte se, že externí uživatel dokončil proces pozvání. Další informace o procesu pozvání najdete v tématu Uplatnění pozvánky na spolupráci Microsoft Entra B2B.
Externí uživatel nezobrazuje prostředky
Pokud externímu uživateli byl udělen přístup k adresáři, ale nezobrazují se mu prostředky, ke kterým má udělený přístup na webu Azure Portal, ujistěte se, že externí uživatel vybral správný adresář. Externí uživatel může mít přístup k více adresářům. Pokud chcete přepnout adresáře, vyberte v levém horním rohu Nastavení> Adresáře a pak vyberte příslušný adresář.
