Azure-rollen toewijzen aan externe gebruikers met behulp van Azure Portal

Met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kunt u beter beveiligingsbeheer voor grote organisaties en voor kleine en middelgrote bedrijven die werken met externe medewerkers, leveranciers of zelfstandigen die toegang nodig hebben tot specifieke resources in uw omgeving, maar niet noodzakelijkerwijs voor de volledige infrastructuur of eventuele factureringsbereiken. U kunt de mogelijkheden in Microsoft Entra B2B gebruiken om samen te werken met externe gebruikers en u kunt Azure RBAC gebruiken om alleen de machtigingen te verlenen die externe gebruikers nodig hebben in uw omgeving.

Vereisten

Als u Azure-rollen wilt toewijzen of roltoewijzingen wilt verwijderen, moet u het volgende hebben:

• Machtigingen voor Microsoft.Authorization/roleAssignments/write en Microsoft.Authorization/roleAssignments/delete, zoals Beheerder van gebruikerstoegang of Eigenaar

Wanneer zou u externe gebruikers uitnodigen?

Hier volgen enkele voorbeeldscenario's waarin u gebruikers kunt uitnodigen voor uw organisatie en machtigingen kunt verlenen:

• Sta een externe zelfstandige leverancier toe die alleen een e-mailaccount heeft voor toegang tot uw Azure-resources voor een project.
• Toestaan dat een externe partner bepaalde resources of een volledig abonnement beheert.
• Sta ondersteuningstechnici in uw organisatie (zoals Microsoft-ondersteuning) toe om tijdelijk toegang te krijgen tot uw Azure-resource om problemen op te lossen.

Machtigingsverschillen tussen lidgebruikers en gastgebruikers

Gebruikers van een directory met lidtype (lidgebruikers) hebben standaard andere machtigingen dan gebruikers die zijn uitgenodigd vanuit een andere directory als gast voor B2B-samenwerking (gastgebruikers). Leden kunnen bijvoorbeeld bijna alle adreslijstgegevens lezen terwijl gastgebruikers beperkte adreslijstmachtigingen hebben. Zie Wat zijn de standaardgebruikers in Microsoft Entra ID voor meer informatie over lidgebruikers en gastgebruikers.

Een externe gebruiker uitnodigen voor uw directory

Volg deze stappen om een externe gebruiker uit te nodigen voor uw directory in Microsoft Entra ID.

1. Meld u aan bij het Azure-portaal.

2. Zorg ervoor dat de instellingen voor externe samenwerking van uw organisatie zodanig zijn geconfigureerd dat u externe gebruikers mag uitnodigen. Zie Instellingen voor externe samenwerking configureren voor meer informatie.

3. Selecteer Microsoft Entra ID-gebruikers>.

4. Selecteer Nieuwe gebruiker>Externe gebruiker uitnodigen.

   

5. Volg de stappen om een externe gebruiker uit te nodigen. Zie Microsoft Entra B2B-samenwerkingsgebruikers toevoegen in Azure Portal voor meer informatie.

Nadat u een externe gebruiker hebt uitgenodigd voor de adreslijst, kunt u de externe gebruiker een directe koppeling naar een gedeelde app sturen of de externe gebruiker kan de koppeling uitnodiging accepteren selecteren in de uitnodigingsmail.

Als de externe gebruiker toegang heeft tot uw adreslijst, moet deze het uitnodigingsproces voltooien.

Zie De uitnodiging voor Microsoft Entra B2B-samenwerking inwisselen voor meer informatie over het uitnodigingsproces.

Een rol toewijzen aan een externe gebruiker

In Azure RBAC wijst u een rol toe om toegang te verlenen. Als u een rol wilt toewijzen aan een externe gebruiker, volgt u dezelfde stappen als voor een lidgebruiker, groep, service-principal of beheerde identiteit. Volg deze stappen om een rol toe te wijzen aan een externe gebruiker in verschillende bereiken.

1. Meld u aan bij het Azure-portaal.

2. Zoek in het zoekvak bovenaan naar het bereik waartoe u toegang wilt verlenen. Zoek bijvoorbeeld naar Beheergroepen, Abonnementen, Resourcegroepen of een specifieke resource.

3. Selecteer de specifieke resource voor dat bereik.

4. Klik op Toegangsbeheer (IAM) .

   Hieronder ziet u een voorbeeld van de pagina IAM (Toegangsbeheer) voor een resourcegroep.

   

5. Selecteer het tabblad Roltoewijzingen om de roltoewijzingen voor dit bereik weer te geven.

6. Selecteer Toevoegen>Roltoewijzing toevoegen.

   Als u niet bent gemachtigd voor het toewijzen van rollen, is de optie Roltoewijzing toevoegen uitgeschakeld.

   

   De pagina Roltoewijzing toevoegen wordt geopend.

7. Selecteer op het tabblad Rol een rol zoals Inzender voor virtuele machines.

   

8. Selecteer op het tabblad Leden de optie Gebruiker, groep of service-principal.

   

9. Selecteer Leden selecteren.

10. Zoek en selecteer de externe gebruiker. Als u de gebruiker niet in de lijst ziet, kunt u in het vak Selecteren typen om in de map naar weergavenaam of e-mailadres te zoeken.

    U kunt in het vak Selecteren typen om in de map te zoeken naar weergavenaam of e-mailadres.

    

11. Selecteer Selecteren om de externe gebruiker toe te voegen aan de lijst Leden.

12. Selecteer Beoordelen en toewijzen op het tabblad Beoordelen en toewijzen.

    Na enkele ogenblikken krijgt de externe gebruiker de rol toegewezen in het geselecteerde bereik.

    

Een rol toewijzen aan een externe gebruiker die nog niet in uw directory staat

Als u een rol wilt toewijzen aan een externe gebruiker, volgt u dezelfde stappen als voor een lidgebruiker, groep, service-principal of beheerde identiteit.

Als de externe gebruiker zich nog niet in uw directory bevindt, kunt u de gebruiker rechtstreeks uitnodigen vanuit het deelvenster Leden selecteren.

1. Meld u aan bij het Azure-portaal.

2. Zoek in het zoekvak bovenaan naar het bereik waartoe u toegang wilt verlenen. Zoek bijvoorbeeld naar Beheergroepen, Abonnementen, Resourcegroepen of een specifieke resource.

3. Selecteer de specifieke resource voor dat bereik.

4. Klik op Toegangsbeheer (IAM) .

5. Selecteer Toevoegen>Roltoewijzing toevoegen.

   Als u niet bent gemachtigd voor het toewijzen van rollen, is de optie Roltoewijzing toevoegen uitgeschakeld.

   

   De pagina Roltoewijzing toevoegen wordt geopend.

6. Selecteer op het tabblad Rol een rol zoals Inzender voor virtuele machines.

7. Selecteer op het tabblad Leden de optie Gebruiker, groep of service-principal.

   

8. Selecteer Leden selecteren.

9. Typ in het vak Selecteren het e-mailadres van de persoon die u wilt uitnodigen en selecteer die persoon.

   

10. Selecteer Selecteren om de externe gebruiker toe te voegen aan de lijst Leden.

11. Selecteer Op het tabblad Beoordelen en toewijzen de optie Controleren + toewijzen om de externe gebruiker toe te voegen aan uw directory, de rol toe te wijzen en een uitnodiging te verzenden.

    Na enkele ogenblikpen ziet u een melding van de roltoewijzing en informatie over de uitnodiging.

    

12. Als u de externe gebruiker handmatig wilt uitnodigen, klikt u met de rechtermuisknop en kopieert u de uitnodigingskoppeling in de melding. Selecteer de uitnodigingskoppeling niet omdat het uitnodigingsproces wordt gestart.

    De uitnodigingskoppeling heeft de volgende indeling:

    https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...

13. Verzend de uitnodigingskoppeling naar de externe gebruiker om het uitnodigingsproces te voltooien.

    Zie De uitnodiging voor Microsoft Entra B2B-samenwerking inwisselen voor meer informatie over het uitnodigingsproces.

Een externe gebruiker uit uw directory verwijderen

Voordat u een externe gebruiker uit een directory verwijdert, moet u eerst roltoewijzingen voor die externe gebruiker verwijderen. Volg deze stappen om een externe gebruiker uit een directory te verwijderen.

1. Open Toegangsbeheer (IAM) in een bereik, zoals beheergroep, abonnement, resourcegroep of resource, waarbij de externe gebruiker een roltoewijzing heeft.

2. Selecteer het tabblad Roltoewijzingen om alle roltoewijzingen weer te geven.

3. Voeg in de lijst met roltoewijzingen een vinkje toe naast de externe gebruiker met de roltoewijzing die u wilt verwijderen.

   

4. Selecteer Verwijderen.

   

5. Selecteer Ja in het bericht roltoewijzing verwijderen dat wordt weergegeven.

6. Selecteer het tabblad Klassieke beheerders.

7. Als de externe gebruiker een co-Beheer istrator-toewijzing heeft, voegt u een vinkje toe naast de externe gebruiker en selecteert u Verwijderen.

8. Selecteer In de linkernavigatiebalk Microsoft Entra ID-gebruikers>.

9. Selecteer de externe gebruiker die u wilt verwijderen.

10. Selecteer Verwijderen.

    

11. Selecteer Ja in het bericht verwijderen dat wordt weergegeven.

Problemen oplossen

Externe gebruiker kan niet door de map bladeren

Externe gebruikers hebben beperkte mapmachtigingen. Externe gebruikers kunnen bijvoorbeeld niet door de map bladeren en kunnen niet zoeken naar groepen of toepassingen. Zie Wat zijn de standaardgebruikersmachtigingen in Microsoft Entra ID? voor meer informatie.

Als een externe gebruiker aanvullende bevoegdheden in de directory nodig heeft, kunt u een Microsoft Entra-rol toewijzen aan de externe gebruiker. Als u wilt dat een externe gebruiker volledige leestoegang tot uw adreslijst heeft, kunt u de externe gebruiker toevoegen aan de rol Directory Readers in Microsoft Entra ID. Zie Microsoft Entra B2B-samenwerkingsgebruikers toevoegen in Azure Portal voor meer informatie.

Externe gebruiker kan niet door gebruikers, groepen of service-principals bladeren om rollen toe te wijzen

Externe gebruikers hebben beperkte mapmachtigingen. Zelfs als een externe gebruiker eigenaar van een bereik is, kunnen ze niet door de lijst met gebruikers, groepen of service-principals bladeren als ze een rol proberen toe te wijzen om iemand anders toegang te verlenen.

Als de externe gebruiker weet dat iemands exacte aanmeldingsnaam in de directory heeft, kan deze persoon toegang verlenen. Als u wilt dat een externe gebruiker volledige leestoegang tot uw adreslijst heeft, kunt u de externe gebruiker toevoegen aan de rol Directory Readers in Microsoft Entra ID. Zie Microsoft Entra B2B-samenwerkingsgebruikers toevoegen in Azure Portal voor meer informatie.

Externe gebruiker kan geen toepassingen registreren of service-principals maken

Externe gebruikers hebben beperkte mapmachtigingen. Als een externe gebruiker toepassingen moet kunnen registreren of service-principals moet kunnen maken, kunt u de externe gebruiker toevoegen aan de rol Toepassingsontwikkelaar in Microsoft Entra-id. Zie Microsoft Entra B2B-samenwerkingsgebruikers toevoegen in Azure Portal voor meer informatie.

Externe gebruiker ziet de nieuwe map niet

Als een externe gebruiker toegang heeft gekregen tot een directory, maar de nieuwe map niet wordt weergegeven in Azure Portal wanneer deze probeert over te schakelen op de pagina Mappen , controleert u of de externe gebruiker het uitnodigingsproces heeft voltooid. Zie De uitnodiging voor Microsoft Entra B2B-samenwerking inwisselen voor meer informatie over het uitnodigingsproces.

Externe gebruiker ziet geen resources

Als een externe gebruiker toegang heeft gekregen tot een directory, maar de resources waarvoor ze toegang hebben in Azure Portal niet worden weergegeven, controleert u of de externe gebruiker de juiste map heeft geselecteerd. Een externe gebruiker heeft mogelijk toegang tot meerdere mappen. Als u van directory wilt wisselen, selecteert u linksboven Instellingen> Directories en selecteert u vervolgens de juiste map.

Volgende stappen

• Microsoft Entra B2B-samenwerkingsgebruikers toevoegen in Azure Portal
• Eigenschappen van een Microsoft Entra B2B-samenwerkingsgebruiker
• De elementen van het e-mailadres van de B2B-samenwerkingsuitnodiging - Microsoft Entra-id