Udělení přístupu k cloudovým prostředkům místně spravovaným partnerským účtům pomocí spolupráce Microsoft Entra B2B
Platí pro: Tenanti pracovních sil – externí tenanti (další informace)
Před ID Microsoft Entra mají organizace s místními systémy identit tradičně spravované partnerské účty ve svém místním adresáři. Když v takové organizaci začnete přesouvat aplikace do Microsoft Entra ID, chcete zajistit, aby vaši partneři měli přístup k prostředkům, které potřebují. Nezáleží na tom, jestli jsou prostředky místní nebo v cloudu. Chcete také, aby vaši partneroví uživatelé mohli používat stejné přihlašovací údaje pro místní prostředky i prostředky Microsoft Entra.
Pokud vytváříte účty pro externí partnery v místním adresáři (například vytvoříte účet s přihlašovacím názvem msullivan pro externího uživatele s názvem Maria Sullivan ve vaší partners.contoso.com doméně), můžete tyto účty synchronizovat do cloudu. Konkrétně můžete použít Microsoft Entra Connect k synchronizaci partnerských účtů s cloudem, který vytvoří uživatelský účet s typem UserType = Guest. Tato konfigurace umožňuje uživatelům partnera přistupovat ke cloudovým prostředkům pomocí stejných přihlašovacích údajů jako jejich místní účty, aniž by jim poskytli více přístupu, než potřebují. Další informace o převodu místních účtů hostů naleznete v tématu Převod místních účtů hostů na účty hostů Microsoft Entra B2B.
Poznámka:
Přečtěte si také, jak pozvat interní uživatele ke spolupráci B2B. Pomocí této funkce můžete pozvat interní uživatele typu host, aby používali spolupráci B2B bez ohledu na to, jestli jste synchronizovali své účty z místního adresáře do cloudu. Jakmile uživatel přijme pozvánku k používání spolupráce B2B, bude moct k přihlášení k prostředkům, ke kterým mají mít přístup, používat vlastní identity a přihlašovací údaje. Nebudete muset udržovat hesla ani spravovat životní cyklus účtu.
Identifikace jedinečných atributů pro UserType
Než povolíte synchronizaci atributu UserType, musíte nejprve rozhodnout, jak odvodit atribut UserType z místní Active Directory. Jinými slovy, jaké parametry v místním prostředí jsou jedinečné pro vaše externí spolupracovníky? Určete parametr, který odlišuje tyto externí spolupracovníky od členů vaší vlastní organizace.
Dva běžné přístupy k definování parametru jsou:
- Určete nepoužívaný atribut místní Active Directory (například extensionAttribute1), který se použije jako zdrojový atribut.
- Případně odvodit hodnotu atributu UserType z jiných vlastností. Chcete například synchronizovat všechny uživatele jako hosta, pokud jejich místní Active Directory atribut UserPrincipalName končí doménou @partners.contoso.com.
Podrobné požadavky na atributy naleznete v tématu Povolení synchronizace UserType.
Konfigurace microsoft Entra Connect pro synchronizaci uživatelů do cloudu
Jakmile identifikujete jedinečný atribut, můžete nakonfigurovat Microsoft Entra Connect tak, aby synchronizoval tyto uživatele do cloudu, čímž se vytvoří uživatelský účet s typem UserType = Host. Z hlediska autorizace jsou tito uživatelé nerozlišující od uživatelů B2B vytvořených prostřednictvím procesu pozvání na spolupráci Microsoft Entra B2B.
Pokyny k implementaci naleznete v tématu Povolení synchronizace userType.