Správa externích uživatelských účtů v Microsoft Entra ID
Uživatelé spolupráce Microsoft Entra B2B se přidají do adresáře jako uživatelé typu host a oprávnění hostů v adresáři jsou ve výchozím nastavení omezená. Vaše firma může potřebovat, aby někteří uživatelé typu host vyplnili role s vyššími oprávněními ve vaší organizaci. Aby bylo možné podporovat definování rolí s vyššími oprávněními, je možné přidat uživatele typu host do libovolných rolí na základě potřeb vaší organizace.
Přidání uživatele B2B do role
Microsoft doporučuje, aby organizace používaly pravidlo s nejnižšími oprávněními. K udělení přístupu pro uživatele B2B/host můžete použít Privileged Identity Management (PIM).
Klíčové vlastnosti uživatele spolupráce Microsoft Entra B2B
UserType
Tato vlastnost označuje vztah uživatele k tenantům hostitele. Tato vlastnost může mít dvě hodnoty:
Člen: Tato hodnota označuje zaměstnance hostitelské organizace a uživatele v mzdovém zápisu organizace. Tento uživatel například očekává, že bude mít přístup k interním webům. Tento uživatel se nepovažuje za externího spolupracovníka.
Host: Tato hodnota označuje uživatele, který není pro společnost interní, jako je externí spolupracovník, partner nebo zákazník. Takový uživatel se neočekává, že obdrží interní poznámku generálního ředitele nebo obdrží firemní výhody, například.
Poznámka:
UserType nemá žádný vztah k tomu, jak se uživatel přihlásí, role adresáře uživatele atd. Tato vlastnost jednoduše označuje vztah uživatele k organizaci hostitele a umožňuje organizaci vynucovat zásady, které na této vlastnosti závisí.
Identity
Tato vlastnost označuje primárního zprostředkovatele identity uživatele. Uživatel může mít několik zprostředkovatelů identity, které je možné zobrazit výběrem odkazu vedle identit v profilu uživatele nebo dotazováním vlastnosti identit prostřednictvím rozhraní Microsoft Graph API.
| Hodnota vlastnosti Identityies | Stav přihlášení |
|---|---|
| Externí tenant Microsoft Entra | Tento uživatel se nachází v externí organizaci a ověřuje se pomocí účtu Microsoft Entra, který patří do jiné organizace. |
| Účet Microsoft | Tento uživatel se nachází v účtu Microsoft a ověřuje se pomocí účtu Microsoft. |
| Doména uživatele {host} | Tento uživatel se ověřuje pomocí účtu Microsoft Entra, který patří do této organizace. |
| google.com | Tento uživatel má účet Gmail a zaregistroval se pomocí samoobslužné služby v jiné organizaci. |
| facebook.com | Tento uživatel má facebookový účet a zaregistroval se pomocí samoobslužné služby v jiné organizaci. |
| pošta | Tento uživatel se zaregistroval pomocí jednorázového hesla (OTP) e-mailu Microsoft Entra. |
| Identifikátor URI vydavatele: {issuer} | Tento uživatel je domovem externí organizace, která jako zprostředkovatele identity nepoužívá ID Microsoft Entra, ale místo toho používá zprostředkovatele identity založeného na SAML/WS-Fed. |
Mohou být uživatelé Microsoft Entra B2B přidáni jako členové místo hostů?
Uživatel Microsoft Entra B2B a uživatel typu host jsou obvykle synonymem. Proto je uživatel spolupráce Microsoft Entra B2B přidán jako uživatel s typem UserType = Host ve výchozím nastavení. V některých případech je ale partnerská organizace členem větší organizace, do které patří také hostitelská organizace. Pokud ano, může hostitelská organizace chtít místo hostů zacházet s uživateli v partnerské organizaci jako se členy. Pomocí vlastností uživatele Microsoft Entra můžete změnit hosta na člena.
Filtrování uživatelů typu host v adresáři
Převést typ uživatele
UserType je možné převést z člena na hosta a naopak pomocí PowerShellu. Vlastnost UserType však představuje vztah uživatele k organizaci. Tuto vlastnost byste proto měli změnit jenom v případě, že se změní vztah uživatele k organizaci. Pokud se vztah uživatele změní, měl by se hlavní název uživatele (UPN) změnit? Má uživatel dál mít přístup ke stejným prostředkům? Má být poštovní schránka přiřazená? Uživatele UserType nedoporučujeme měnit pomocí PowerShellu jako atomické aktivity. V případě, že se tato vlastnost stane neměnnou pomocí PowerShellu, nedoporučujeme závislost na této hodnotě.
Odebrání omezení uživatelů typu host
Můžou se zde vyskytovat případy, kdy chcete uživatelům typu host udělit vyšší oprávnění. Uživatele typu host můžete přidat do libovolné role a dokonce odebrat výchozí omezení uživatele typu host v adresáři, aby uživatel získal stejná oprávnění jako členové. Výchozí omezení je možné vypnout tak, aby uživatel typu host v adresáři společnosti má stejná oprávnění jako uživatel člena. Odeberte omezení v uživatelském nastavení v nabídce Microsoft Entra ID.
Dynamické skupiny a spolupráce Microsoft Entra B2B
Co jsou dynamické skupiny?
Dynamická konfigurace členství ve skupinách zabezpečení pro ID Microsoft Entra je k dispozici na webu Azure Portal. Správci můžou nastavit pravidla pro naplnění skupin vytvořených v MICROSOFT Entra ID na základě atributů uživatele (například userType, oddělení nebo země/oblasti). Členy skupin zabezpečení lze automaticky přidávat nebo odebírat na základě jejich atributů. Tyto skupiny můžou poskytovat přístup k aplikacím nebo cloudovým prostředkům (webům SharePointu, dokumentům) a přiřazovat licence členům.
K vytváření a používání dynamických skupin se vyžaduje odpovídající licencování Microsoft Entra ID Premium P1 nebo P2.