Vysvětlení a správa vlastností uživatelů typu host B2B
Platí pro: Tenanti pracovních sil – externí tenanti (další informace)
Spolupráce B2B je schopnost Microsoft Entra Externí ID, která umožňuje spolupracovat s uživateli a partnery mimo vaši organizaci. Při spolupráci B2B je externí uživatel pozván, aby se přihlásil k tenantovi pracovních sil Microsoft Entra pomocí svých vlastních přihlašovacích údajů. Tento uživatel pro spolupráci B2B pak má přístup k aplikacím a prostředkům, které s nimi chcete sdílet. Objekt uživatele se vytvoří pro uživatele spolupráce B2B ve stejném adresáři jako vaši zaměstnanci. Uživatelské objekty spolupráce B2B mají ve výchozím nastavení v adresáři omezená oprávnění a dají se spravovat jako zaměstnanci, přidávat do skupin atd. Tento článek popisuje vlastnosti tohoto objektu uživatele a způsoby jeho správy.
Následující tabulka popisuje uživatele spolupráce B2B na základě toho, jak se ověřují (interně nebo externě) a jejich vztahu k vaší organizaci (host nebo člen).
- Externí host: Většina uživatelů, kteří se běžně považují za externí uživatele nebo hosty, spadají do této kategorie. Tento uživatel pro spolupráci B2B má účet v externí organizaci Microsoft Entra nebo externím zprostředkovateli identity (jako je sociální identita) a má v organizaci prostředků oprávnění na úrovni hosta. Uživatelský objekt vytvořený v adresáři Microsoft Entra prostředku má UserType of Guest.
- Externí člen: Tento uživatel pro spolupráci B2B má účet v externí organizaci Microsoft Entra nebo externí zprostředkovatel identity (například sociální identita) a přístup na úrovni člena k prostředkům ve vaší organizaci. Tento scénář je běžný v organizacích, které se skládají z více tenantů, kde se uživatelé považují za součást větší organizace a potřebují přístup na úrovni člena k prostředkům v jiných tenantech organizace. Uživatelský objekt vytvořený v adresáři Microsoft Entra prostředku má UserType člena.
- Interní host: Než byla k dispozici spolupráce Microsoft Entra B2B, bylo běžné spolupracovat s distributory, dodavateli, dodavateli a dalšími nastavením interních přihlašovacích údajů pro ně a jejich určením jako hosty nastavením user object UserType na Host. Pokud máte interní uživatele typu host, můžete je pozvat, aby místo toho používali spolupráci B2B, aby mohli používat vlastní přihlašovací údaje a umožnit externímu poskytovateli identity spravovat ověřování a životní cyklus účtu.
- Interní člen: Tito uživatelé jsou obecně považováni za zaměstnance vaší organizace. Uživatel se interně ověřuje prostřednictvím ID Microsoft Entra a objekt uživatele vytvořený v adresáři Microsoft Entra má UserType člena.
Typ uživatele, který zvolíte, má pro aplikace nebo služby následující omezení (ale neomezuje se):
Aplikace nebo služba | Omezení |
---|---|
Power BI | - Podpora pro člena UserType v Power BI je aktuálně ve verzi Preview. Další informace naleznete v tématu Distribuce obsahu Power BI externím uživatelům typu host pomocí Microsoft Entra B2B. |
Azure Virtual Desktop | – Externí člen a externí host se ve službě Azure Virtual Desktop nepodporují. |
Důležité
Funkce jednorázového hesla e-mailu je teď ve výchozím nastavení zapnutá pro všechny nové tenanty a pro všechny stávající tenanty, u kterých jste ho explicitně nevypínali. Když je tato funkce vypnutá, je metodou náhradního ověřování výzva pozvat k vytvoření účtu Microsoft.
Uplatnění pozvánky
Teď se podíváme, jak vypadá uživatel spolupráce Microsoft Entra B2B v Microsoft Entra Externí ID.
Před uplatněním pozvánky
Uživatelské účty pro spolupráci B2B jsou výsledkem pozvání uživatelů typu host ke spolupráci pomocí vlastních přihlašovacích údajů uživatelů typu host. Při počátečním odeslání pozvánky uživateli typu host se ve vašem tenantovi vytvoří účet. K tomuto účtu nejsou přidružené žádné přihlašovací údaje, protože ověřování provádí zprostředkovatel identity uživatele typu host. Vlastnost Identityies pro uživatelský účet typu host ve vašem adresáři je nastavená na doménu organizace hostitele, dokud host neuplatní pozvánku. Uživatel, který pozvánku odesílá, se přidá jako výchozí hodnota atributu Sponzor v uživatelském účtu hosta. V Centru pro správu se v profilu pozvaného uživatele zobrazí stav pozvánky čekající na přijetí. Dotazování na externalUserState
použití rozhraní Microsoft Graph API vrátí Pending Acceptance
.
Po uplatnění pozvánky
Jakmile uživatel pro spolupráci B2B přijme pozvánku, vlastnost Identityies se aktualizuje na základě zprostředkovatele identity uživatele.
Pokud uživatel pro spolupráci B2B používá účet Microsoft nebo přihlašovací údaje od jiného externího zprostředkovatele identity,identity odrážejí zprostředkovatele identity, například účet Microsoft, google.com nebo facebook.com.
Pokud uživatel pro spolupráci B2B používá přihlašovací údaje z jiné organizace Microsoft Entra, identity jsou ExternalAzureAD.
U externích uživatelů, kteří používají interní přihlašovací údaje, je vlastnost Identities nastavená na doménu organizace hostitele. Vlastnost Synchronizovaný adresář je Ano, pokud se účet nachází v místní Active Directory organizace a synchronizuje se s ID Microsoft Entra nebo Ne, pokud je účet výhradně cloudový účet Microsoft Entra. Informace o synchronizaci adresářů jsou dostupné také prostřednictvím vlastnosti v Microsoft Graphu
onPremisesSyncEnabled
.
Klíčové vlastnosti uživatele spolupráce Microsoft Entra B2B
Hlavní název uživatele (UPN)
Hlavní název uživatele (UPN) pro objekt uživatele spolupráce B2B (tj. uživatelé typu host) obsahuje e-mail uživatele typu host následovaný #EXT# následovaný tenantname.onmicrosoft.com. Pokud je například uživatel john@contoso.com přidaný jako externí uživatel v adresáři fabrikam, bude jeho hlavní název uživatele (UPN) john_contoso.com#EXT#@fabrikam.onmicrosoft.com.
Typ uživatele
Tato vlastnost označuje vztah uživatele k tenantům hostitele. Tato vlastnost může mít dvě hodnoty:
Člen: Tato hodnota označuje zaměstnance hostitelské organizace a uživatele v mzdovém zápisu organizace. Tento uživatel například očekává, že bude mít přístup k interním webům. Tento uživatel se nepovažuje za externího spolupracovníka.
Host: Tato hodnota označuje uživatele, který není pro společnost interní, jako je externí spolupracovník, partner nebo zákazník. Takový uživatel se neočekává, že obdrží interní poznámku výkonného ředitele nebo například obdrží firemní výhody.
Poznámka:
UserType nemá žádný vztah k tomu, jak se uživatel přihlásí, role adresáře uživatele atd. Tato vlastnost jednoduše označuje vztah uživatele k organizaci hostitele a umožňuje organizaci vynucovat zásady, které na této vlastnosti závisí.
Identity
Tato vlastnost označuje primárního zprostředkovatele identity uživatele. Uživatel může mít několik zprostředkovatelů identity, které je možné zobrazit výběrem odkazu vedle identit v profilu uživatele nebo dotazováním vlastnosti identities
prostřednictvím rozhraní Microsoft Graph API.
Poznámka:
Identity a UserType jsou nezávislé vlastnosti. Hodnota Identities neznamená konkrétní hodnotu pro UserType.
Hodnota vlastnosti Identityies | Stav přihlášení |
---|---|
ExternalAzureAD | Tento uživatel se nachází v externí organizaci a ověřuje se pomocí účtu Microsoft Entra, který patří do jiné organizace. |
Účet Microsoft | Tento uživatel se nachází v účtu Microsoft a ověřuje se pomocí účtu Microsoft. |
Doména uživatele {host} | Tento uživatel se ověřuje pomocí účtu Microsoft Entra, který patří do této organizace. |
google.com | Tento uživatel má účet Gmail a zaregistroval se pomocí samoobslužné služby v jiné organizaci. |
facebook.com | Tento uživatel má facebookový účet a zaregistroval se pomocí samoobslužné služby v jiné organizaci. |
pošta | Tento uživatel se zaregistroval pomocí Microsoft Entra Externí ID jednorázového hesla (OTP). |
Identifikátor URI vydavatele: {issuer} | Tento uživatel je domovem externí organizace, která jako zprostředkovatele identity nepoužívá ID Microsoft Entra, ale místo toho používá zprostředkovatele identity založený na SAML (Security Assertion Markup Language)/WS-Fed. Identifikátor URI vystavitele se zobrazí po kliknutí na pole Identities. |
Pro externí uživatele se nepodporuje přihlášení přes telefon. Účty B2B nemůžou jako zprostředkovatele identity používat phone
hodnotu.
Synchronizovaný adresář
Vlastnost Synchronizovaný adresář označuje, jestli se uživatel synchronizuje s místní Active Directory a jestli je ověřený místně. Tato vlastnost je Ano, pokud se účet nachází v místní Active Directory organizace a synchronizuje se s ID Microsoft Entra nebo Ne, pokud je účet výhradně cloudový účet Microsoft Entra. V Microsoft Graphu odpovídá onPremisesSyncEnabled
synchronizovaná vlastnost Adresář .
Mohou být uživatelé Microsoft Entra B2B přidáni jako členové místo hostů?
Uživatel Microsoft Entra B2B a uživatel typu host jsou obvykle synonymem. Proto je uživatel spolupráce Microsoft Entra B2B přidán jako uživatel s typem UserType nastaveným na Host ve výchozím nastavení. V některých případech je ale partnerská organizace členem větší organizace, do které patří také hostitelská organizace. Pokud ano, může hostitelská organizace chtít místo hostů zacházet s uživateli v partnerské organizaci jako se členy. Pomocí rozhraní API Microsoft Entra B2B Invitation Manager můžete přidat nebo pozvat uživatele z partnerské organizace do hostitelské organizace jako člena.
Filtrování uživatelů typu host v adresáři
V seznamu Uživatelé můžete pomocí filtru Přidat zobrazit pouze uživatele typu host ve vašem adresáři.
Převést typ uživatele
UserType je možné převést z člena na host a naopak úpravou profilu uživatele v Centru pro správu Microsoft Entra nebo pomocí PowerShellu. Vlastnost UserType však představuje vztah uživatele k organizaci. Tuto vlastnost byste proto měli změnit jenom v případě, že se změní vztah uživatele k organizaci. Pokud se vztah uživatele změní, měl by se hlavní název uživatele (UPN) změnit? Má uživatel dál mít přístup ke stejným prostředkům? Má být poštovní schránka přiřazená?
Uživatelská oprávnění hosta
Uživatelé typu host mají výchozí omezená oprávnění adresáře. Můžou spravovat svůj vlastní profil, měnit vlastní heslo a načítat některé informace o jiných uživatelích, skupinách a aplikacích. Nemůžou ale číst všechny informace o adresáři.
Uživatelé typu host B2B nejsou ve sdílených kanálech Microsoft Teams podporováni. Přístup ke sdíleným kanálům najdete v tématu Přímé připojení B2B.
Můžou se zde vyskytovat případy, kdy chcete uživatelům typu host udělit vyšší oprávnění. Uživatele typu host můžete přidat do libovolné role a dokonce odebrat výchozí omezení uživatele typu host v adresáři, aby uživatel získal stejná oprávnění jako členové. Výchozí omezení je možné vypnout tak, aby uživatel typu host v adresáři společnosti má stejná oprávnění jako uživatel člena. Další informace najdete v článku o omezení oprávnění pro přístup hostů v Microsoft Entra Externí ID článku.
Můžu uživatele typu host zobrazit v globálním adresáři Exchange?
Ano. Ve výchozím nastavení se objekty hostů nezobrazují v globálním adresáři vaší organizace, ale k jejich zobrazení můžete použít Microsoft Graph PowerShell. Podrobnosti najdete v článku o přidání hostů do globálního adresáře v Microsoftu 365 pro jednotlivé skupiny.
Můžu aktualizovat e-mailovou adresu uživatele typu host?
Pokud uživatel typu host přijme vaši pozvánku a následně změní svoji e-mailovou adresu, nový e-mail se automaticky nesynchronizuje s objektem uživatele typu host ve vašem adresáři. Vlastnost pošty se vytvoří prostřednictvím rozhraní Microsoft Graph API. Vlastnost pošty můžete aktualizovat prostřednictvím rozhraní Microsoft Graph API, Centra pro správu Exchange nebo Exchange Online PowerShellu. Tato změna se projeví v objektu uživatele typu host Microsoft Entra.