Zarządzanie dostępem dla użytkowników zewnętrznych w zarządzaniu upoważnieniami
Zarządzanie upoważnieniami używa firmy Microsoft Entra business-to-business (B2B) do udostępniania dostępu, aby umożliwić współpracę z osobami spoza organizacji. Dzięki usłudze Microsoft Entra B2B użytkownicy zewnętrzni uwierzytelniają się w katalogu głównym, ale mają reprezentację w katalogu. Reprezentacja w katalogu umożliwia użytkownikowi przypisanie dostępu do zasobów.
W tym artykule opisano ustawienia, które można określić, aby zarządzać dostępem dla użytkowników zewnętrznych.
Jak zarządzanie upoważnieniami może pomóc
Korzystając ze środowiska zapraszania firmy Microsoft Entra B2B , musisz już znać adresy e-mail zewnętrznych użytkowników-gości, z których chcesz korzystać, i pracować z katalogiem zasobów. Bezpośrednie zapraszanie każdego użytkownika działa świetnie, gdy pracujesz nad mniejszym lub krótkoterminowym projektem i znasz już wszystkich uczestników, ale ten proces jest trudniejszy do zarządzania, jeśli masz wielu użytkowników, z którymi chcesz pracować, lub jeśli uczestnicy zmieniają się wraz z upływem czasu. Na przykład możesz pracować z inną organizacją i mieć jeden punkt kontaktu z organizacją, ale z czasem więcej użytkowników z tej organizacji będzie również potrzebować dostępu.
Za pomocą zarządzania upoważnieniami można zdefiniować zasady, które umożliwiają użytkownikom z organizacji możliwość samodzielnego żądania pakietu dostępu. Te zasady obejmują, czy wymagane jest zatwierdzenie, czy przeglądy dostępu są wymagane, oraz data wygaśnięcia dostępu. W większości przypadków chcesz wymagać zatwierdzenia, aby mieć odpowiedni nadzór nad tym, którzy użytkownicy są wprowadzani do katalogu. Jeśli wymagane jest zatwierdzenie, w przypadku głównych partnerów organizacji zewnętrznych możesz rozważyć zaproszenie co najmniej jednego użytkownika z organizacji zewnętrznej do katalogu, wyznaczenie ich jako sponsorów i skonfigurowanie, że sponsorzy są osobami zatwierdzającym — ponieważ prawdopodobnie będą wiedzieć, którzy użytkownicy zewnętrzni z organizacji potrzebują dostępu. Po skonfigurowaniu pakietu dostępu uzyskaj link żądania pakietu dostępu, aby można było wysłać ten link do osoby kontaktowej (sponsora) w organizacji zewnętrznej. Ten kontakt może udostępnić innym użytkownikom w organizacji zewnętrznej i może użyć tego linku, aby zażądać pakietu dostępu. Użytkownicy z tej organizacji, którzy są już zaproszeni do katalogu, mogą również używać tego linku.
Możesz również użyć funkcji zarządzania upoważnieniami w celu wprowadzenia użytkowników z organizacji, które nie mają własnego katalogu Firmy Microsoft Entra. Możesz skonfigurować dostawcę tożsamości federacyjnej dla swojej domeny lub użyć uwierzytelniania opartego na wiadomości e-mail. Możesz również zabrać użytkowników z dostawców tożsamości społecznościowych, w tym tych z kontami Microsoft.
Zazwyczaj po zatwierdzeniu żądania zarządzanie upoważnieniami aprowizuje użytkownika z wymaganym dostępem. Jeśli użytkownik nie znajduje się jeszcze w twoim katalogu, zarządzanie upoważnieniami najpierw zaprosi użytkownika. Gdy użytkownik zostanie zaproszony, identyfikator Entra firmy Microsoft automatycznie utworzy dla niego konto gościa B2B, ale nie wyśle użytkownikowi wiadomości e-mail. Administrator mógł ograniczyć, które organizacje mogą współpracować, ustawiając listę dozwolonych lub dozwolonych przez organizację B2B dozwolonych lub zablokowanych zaproszeń do domen innych organizacji. Jeśli domena użytkownika nie jest dozwolona przez te listy, nie są zapraszane i nie można przypisać dostępu do momentu zaktualizowania list.
Ponieważ nie chcesz, aby dostęp użytkownika zewnętrznego trwał wiecznie, należy określić datę wygaśnięcia w zasadach, taką jak 180 dni. Po upływie 180 dni, jeśli ich dostęp nie zostanie rozszerzony, zarządzanie upoważnieniami usunie cały dostęp skojarzony z tym pakietem dostępu. Domyślnie jeśli użytkownik, który został zaproszony za pośrednictwem zarządzania upoważnieniami, nie ma żadnych innych przypisań pakietów dostępu, po utracie ostatniego przypisania konto gościa zostanie zablokowane do zalogowania się przez 30 dni, a później usunięte. Zapobiega to rozprzestrzenianiu niepotrzebnych kont. Zgodnie z opisem w poniższych sekcjach te ustawienia można konfigurować.
Jak działa dostęp dla użytkowników zewnętrznych
Poniższy diagram i kroki zawierają omówienie sposobu udzielania użytkownikom zewnętrznym dostępu do pakietu dostępu.
Dodasz połączoną organizację dla katalogu microsoft Entra lub domeny, z którą chcesz współpracować. Możesz również skonfigurować połączoną organizację dla dostawcy tożsamości społecznościowych.
Sprawdź ustawienie wykazu Włączone dla użytkowników zewnętrznych w wykazie, aby zawierał pakiet dostępu ma wartość Tak.
W katalogu należy utworzyć pakiet dostępu zawierający zasady Dla użytkowników, którzy nie znajdują się w katalogu , i określa połączone organizacje, które mogą żądać, osoba zatwierdzająca i ustawienia cyklu życia. W przypadku wybrania w zasadach opcji określonych połączonych organizacji lub opcji wszystkich połączonych organizacji tylko użytkownicy z tych organizacji, których wcześniej skonfigurowano, mogą żądać tylko użytkownicy z tych organizacji. Jeśli wybierzesz opcję zasad dla wszystkich użytkowników, każdy użytkownik może zażądać, w tym tych, które nie są jeszcze częścią katalogu, a nie częścią żadnej połączonej organizacji.
Sprawdź ukryte ustawienie w pakiecie dostępu, aby upewnić się, że pakiet dostępu jest ukryty. Jeśli nie jest ona ukryta, każdy użytkownik dozwolony przez ustawienia zasad w tym pakiecie dostępu może przeglądać pakiet dostępu w portalu Mój dostęp dla dzierżawy.
Możesz wysłać link portalu Mój dostęp do twojego kontaktu w organizacji zewnętrznej, który może udostępnić swoim użytkownikom, aby poprosić o pakiet dostępu.
Użytkownik zewnętrzny (requestor A w tym przykładzie) używa linku Portalu Mój dostęp do żądania dostępu do pakietu dostępu. Portal Mój dostęp wymaga zalogowania się użytkownika w ramach połączonej organizacji. Sposób logowania użytkownika zależy od typu uwierzytelniania katalogu lub domeny zdefiniowanej w połączonej organizacji i ustawieniach użytkowników zewnętrznych.
Osoba zatwierdzająca zatwierdza żądanie (zakładając, że zasady wymagają zatwierdzenia).
Żądanie przechodzi do stanu dostarczania.
Przy użyciu procesu zapraszania B2B konto użytkownika-gościa jest tworzone w twoim katalogu (Requestor A (Gość) w tym przykładzie). Jeśli zdefiniowano listę dozwolonych lub listę zablokowanych, zostanie zastosowane ustawienie listy.
Użytkownik-gość ma przypisany dostęp do wszystkich zasobów w pakiecie dostępu. Wprowadzenie zmian w identyfikatorze Entra firmy Microsoft i innych usługach Microsoft Online Services lub połączonych aplikacjach SaaS może zająć trochę czasu. Aby uzyskać więcej informacji, zobacz Kiedy są stosowane zmiany.
Użytkownik zewnętrzny otrzymuje wiadomość e-mail z informacją, że ich dostęp został dostarczony.
Aby uzyskać dostęp do zasobów, użytkownik zewnętrzny może wybrać link w wiadomości e-mail lub spróbować uzyskać dostęp do dowolnego zasobu katalogu bezpośrednio w celu ukończenia procesu zaproszenia.
Jeśli ustawienia zasad obejmują datę wygaśnięcia, później, gdy przypisanie pakietu dostępu dla użytkownika zewnętrznego wygaśnie, prawa dostępu użytkownika zewnętrznego z tego pakietu dostępu zostaną usunięte.
W zależności od cyklu życia ustawień użytkowników zewnętrznych, gdy użytkownik zewnętrzny nie ma już żadnych przypisań pakietów dostępu, użytkownik zewnętrzny nie może się zalogować, a konto użytkownika zewnętrznego zostanie usunięte z katalogu.
Ustawienia dla użytkowników zewnętrznych
Aby upewnić się, że osoby spoza organizacji mogą żądać pakietów dostępu i uzyskiwać dostęp do zasobów w tych pakietach dostępu, istnieją pewne ustawienia, które należy zweryfikować, są prawidłowo skonfigurowane.
Włączanie wykazu dla użytkowników zewnętrznych
Domyślnie podczas tworzenia nowego wykazu jest on włączony, aby umożliwić użytkownikom zewnętrznym żądanie dostępu pakietów w wykazie. Upewnij się, że opcja Włączone dla użytkowników zewnętrznych ma wartość Tak.
Jeśli jesteś administratorem lub właścicielem wykazu, możesz wyświetlić listę katalogów, które są obecnie włączone dla użytkowników zewnętrznych, na liście katalogów centrum administracyjnego firmy Microsoft Entra, zmieniając ustawienie filtru Włączone dla użytkowników zewnętrznych na Tak. Jeśli którykolwiek z tych wykazów pokazanych w tym filtrowym widoku ma niezerową liczbę pakietów dostępu, te pakiety dostępu mogą mieć zasady dla użytkowników, którzy nie znajdują się w katalogu , które umożliwiają użytkownikom zewnętrznym żądanie.
Konfigurowanie ustawień współpracy zewnętrznej firmy Microsoft Entra B2B
Zezwolenie gościom na zapraszanie innych gości do katalogu oznacza, że zaproszenia gości mogą odbywać się poza zarządzaniem upoważnieniami. Zalecamy ustawienie opcji Goście mogą zapraszać na wartość Nie , aby zezwalać tylko na odpowiednie zaproszenia zarządzane.
Jeśli wcześniej używasz listy dozwolonych B2B, musisz usunąć listę lub upewnić się, że wszystkie domeny wszystkich organizacji, z którymi chcesz współpracować przy użyciu zarządzania upoważnieniami, zostaną dodane do listy. Alternatywnie, jeśli używasz listy bloków B2B, musisz upewnić się, że żadna domena żadnej organizacji, z którą chcesz współpracować, znajduje się na tej liście.
Jeśli utworzysz zasady zarządzania upoważnieniami dla wszystkich użytkowników (Wszystkie połączone organizacje i wszyscy nowi użytkownicy zewnętrzni), a użytkownik nie należy do połączonej organizacji w katalogu, połączona organizacja zostanie automatycznie utworzona podczas żądania pakietu. Jednak wszystkie ustawienia listy dozwolonych lub zablokowanych B2B mają pierwszeństwo. W związku z tym chcesz usunąć listę dozwolonych, jeśli używasz tej listy, aby wszyscy użytkownicy mogli żądać dostępu i wykluczyć wszystkie autoryzowane domeny z listy zablokowanych, jeśli używasz listy zablokowanych.
Jeśli chcesz utworzyć zasady zarządzania upoważnieniami obejmujące wszystkich użytkowników (Wszystkie połączone organizacje i nowych użytkowników zewnętrznych), musisz najpierw włączyć uwierzytelnianie za pomocą jednorazowego kodu dostępu poczty e-mail dla katalogu. Aby uzyskać więcej informacji, zobacz E-mail jednorazowe uwierzytelnianie kodu dostępu.
Aby uzyskać więcej informacji na temat ustawień współpracy zewnętrznej firmy Microsoft Entra B2B, zobacz Konfigurowanie ustawień współpracy zewnętrznej.
Przeglądanie ustawień dostępu między dzierżawami
- Upewnij się, że ustawienia dostępu między dzierżawami dla przychodzącej współpracy B2B umożliwiają zażądanie i przypisanie dostępu. Należy sprawdzić, czy ustawienia zezwalają dzierżawcom należącym do bieżących lub przyszłych połączonych organizacji oraz czy użytkownicy z tych dzierżaw nie będą zapraszani. Ponadto sprawdź, czy ci użytkownicy mogą korzystać z ustawień dostępu między dzierżawami, aby umożliwić uwierzytelnianie w aplikacjach, dla których chcesz włączyć scenariusze współpracy. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień dostępu między dzierżawami.
- Jeśli tworzysz połączoną organizację dla dzierżawy firmy Microsoft Entra z innej chmury firmy Microsoft, musisz również odpowiednio skonfigurować ustawienia dostępu między dzierżawami. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień chmury firmy Microsoft.
Przeglądanie zasad dostępu warunkowego
Pamiętaj, aby wykluczyć aplikację Zarządzanie upoważnieniami z dowolnych zasad dostępu warunkowego, które mają wpływ na użytkowników-gości. W przeciwnym razie zasady dostępu warunkowego mogą zablokować dostęp do usługi MyAccess lub zalogować się do katalogu. Na przykład goście prawdopodobnie nie mają zarejestrowanego urządzenia, nie są w znanej lokalizacji i nie chcą ponownie rejestrować się w celu uwierzytelniania wieloskładnikowego (MFA), dlatego dodanie tych wymagań w zasadach dostępu warunkowego uniemożliwi gościom korzystanie z zarządzania upoważnieniami. Aby uzyskać więcej informacji, zobacz Co to są warunki w usłudze Microsoft Entra Conditional Access?.
Jeśli dostęp warunkowy blokuje wszystkie aplikacje w chmurze, oprócz wykluczania aplikacji do zarządzania upoważnieniami, upewnij się, że platforma odczytu zatwierdzeń żądań jest również wykluczona w zasadach dostępu warunkowego. Zacznij od potwierdzenia, że masz niezbędne role: administrator dostępu warunkowego, administrator aplikacji, administrator przypisania atrybutu i administrator definicji atrybutu. Następnie utwórz niestandardowy atrybut zabezpieczeń z odpowiednią nazwą i wartościami. Znajdź jednostkę usługi dla opcji Odczytaj platformę zatwierdzeń żądań w aplikacjach dla przedsiębiorstw i przypisz atrybut niestandardowy z wybraną wartością do tej aplikacji. W zasadach urzędu certyfikacji zastosuj filtr, aby wykluczyć wybrane aplikacje na podstawie niestandardowej nazwy atrybutu i wartości przypisanej do platformy odczytu zatwierdzeń żądań. Aby uzyskać więcej informacji na temat filtrowania aplikacji w zasadach urzędu certyfikacji, zobacz : Dostęp warunkowy: Filtr dla aplikacji
Uwaga
Aplikacja Zarządzanie upoważnieniami obejmuje stronę zarządzania upoważnieniami w obszarze MyAccess, stronę zarządzania upoważnieniami centrum administracyjnego firmy Microsoft Entra oraz część Zarządzanie upoważnieniami programu MS Graph. Te dwa ostatnie wymagają dodatkowych uprawnień dostępu, dlatego nie będą dostępne dla gości, chyba że podano jawne uprawnienia.
Przeglądanie ustawień udostępniania zewnętrznego usługi SharePoint Online
Jeśli chcesz uwzględnić witryny usługi SharePoint Online w pakietach dostępu dla użytkowników zewnętrznych, upewnij się, że ustawienie udostępniania zewnętrznego na poziomie organizacji ma wartość Każdy (użytkownicy nie wymagają logowania) lub Nowi i istniejący goście (goście muszą się zalogować lub podać kod weryfikacyjny). Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie udostępniania zewnętrznego.
Jeśli chcesz ograniczyć udostępnianie zewnętrzne poza zarządzaniem upoważnieniami, możesz ustawić ustawienie udostępniania zewnętrznego na Wartość Istniejący goście. Następnie tylko nowi użytkownicy zaproszeni za pośrednictwem zarządzania upoważnieniami mogą uzyskać dostęp do tych witryn. Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie udostępniania zewnętrznego.
Upewnij się, że ustawienia na poziomie lokacji umożliwiają dostęp gościa (te same opcje co wcześniej wymienione). Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie udostępniania zewnętrznego dla witryny.
Przeglądanie ustawień udostępniania grup platformy Microsoft 365
Jeśli chcesz uwzględnić grupy platformy Microsoft 365 w pakietach dostępu dla użytkowników zewnętrznych, upewnij się, że opcja Zezwalaj użytkownikom na dodawanie nowych gości do organizacji ma wartość Włączone , aby zezwolić na dostęp gościa. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem gościa do Grupy Microsoft 365.
Jeśli chcesz, aby użytkownicy zewnętrzni mogli uzyskiwać dostęp do witryny i zasobów usługi SharePoint Online skojarzonych z grupą platformy Microsoft 365, upewnij się, że włączono udostępnianie zewnętrzne usługi SharePoint Online. Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie udostępniania zewnętrznego.
Aby uzyskać informacje o sposobie ustawiania zasad gościa dla grup platformy Microsoft 365 na poziomie katalogu w programie PowerShell, zobacz Przykład: Konfigurowanie zasad gościa dla grup na poziomie katalogu.
Przeglądanie ustawień udostępniania usługi Teams
- Jeśli chcesz uwzględnić aplikację Teams w pakietach dostępu dla użytkowników zewnętrznych, upewnij się, że opcja Zezwalaj na dostęp gościa w usłudze Microsoft Teams jest ustawiona na wartość Włączone , aby zezwolić na dostęp gościa. Aby uzyskać więcej informacji, zobacz Konfigurowanie dostępu gościa w centrum administracyjnym usługi Microsoft Teams.
Zarządzanie cyklem życia użytkowników zewnętrznych
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Możesz wybrać, co się stanie, gdy użytkownik zewnętrzny, który został zaproszony do katalogu, wysyłając żądanie pakietu dostępu, nie ma już żadnych przypisań pakietów dostępu. Może się tak zdarzyć, jeśli użytkownik zrezygnowa ze wszystkich przypisań pakietów dostępu lub ich ostatnie przypisanie pakietu dostępu wygaśnie. Domyślnie, gdy użytkownik zewnętrzny nie ma już żadnych przypisań pakietów dostępu, nie może zalogować się do katalogu. Po upływie 30 dni konto użytkownika-gościa zostanie usunięte z katalogu. Można również skonfigurować, że użytkownik zewnętrzny nie jest zablokowany do logowania lub usunięcia albo że użytkownik zewnętrzny nie jest zablokowany do logowania, ale jest usuwany.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.
Przejdź do pozycji Zarządzanie tożsamościami>Ustawienia zarządzania upoważnieniami.>
Zaznacz Edytuj.
W sekcji Zarządzanie cyklem życia użytkowników zewnętrznych wybierz różne ustawienia dla użytkowników zewnętrznych.
Gdy użytkownik zewnętrzny utraci ostatnie przypisanie do jakichkolwiek pakietów dostępu, jeśli chcesz zablokować im logowanie się do tego katalogu, ustaw opcję Blokuj logowanie użytkownika zewnętrznego do tego katalogu na wartość Tak.
Uwaga
Zarządzanie upoważnieniami blokuje tylko zewnętrzne konta użytkowników-gości przed zalogowaniem się, które zostały zaproszone za pośrednictwem zarządzania upoważnieniami lub które zostały dodane do zarządzania upoważnieniami na potrzeby zarządzania cyklem życia przez przekonwertowanie konta użytkownika-gościa na zarządzane. Należy również pamiętać, że użytkownik nie będzie mógł się zalogować, nawet jeśli ten użytkownik został dodany do zasobów w tym katalogu, które nie miały dostępu do przypisań pakietów. Jeśli użytkownik nie może zalogować się do tego katalogu, użytkownik nie będzie mógł ponownie zażądać pakietu dostępu lub zażądać dodatkowego dostępu w tym katalogu. Nie należy konfigurować blokowania logowania się, jeśli następnie będzie musiał zażądać dostępu do tych lub innych pakietów dostępu.
Gdy użytkownik zewnętrzny utraci ostatnie przypisanie do pakietów dostępu, jeśli chcesz usunąć swoje konto użytkownika-gościa w tym katalogu, ustaw opcję Usuń użytkownika zewnętrznego na Wartość Tak.
Uwaga
Zarządzanie upoważnieniami usuwa tylko zewnętrzne konta użytkowników-gości, które zostały zaproszone za pośrednictwem zarządzania upoważnieniami lub zostały dodane do zarządzania upoważnieniami na potrzeby zarządzania cyklem życia przez przekonwertowanie konta użytkownika-gościa na zarządzane. Należy również pamiętać, że użytkownik zostanie usunięty z tego katalogu, nawet jeśli ten użytkownik został dodany do zasobów w tym katalogu, które nie miały dostępu do przypisań pakietów. Jeśli gość był obecny w tym katalogu przed otrzymaniem przypisań pakietów dostępu, pozostanie. Jeśli jednak gość został zaproszony za pośrednictwem przypisania pakietu dostępu, a po zaproszeniu został również przypisany do witryny OneDrive dla Firm lub SharePoint Online, nadal zostaną usunięte. Zmiana ustawienia Usuń użytkownika zewnętrznego na Nie ma wpływu tylko na użytkowników, którzy następnie utracą swoje ostatnie przypisanie pakietu dostępu; użytkownicy, którzy zostali zaplanowani do usunięcia i zostaną zablokowani przed zalogowaniem, będą nadal usuwane zgodnie z oryginalnym harmonogramem.
Jeśli chcesz usunąć konto użytkownika-gościa w tym katalogu, możesz ustawić liczbę dni przed jego usunięciem. Gdy użytkownik zewnętrzny jest powiadamiany o wygaśnięciu pakietu dostępu, nie ma powiadomienia o usunięciu konta. Jeśli chcesz usunąć konto użytkownika-gościa zaraz po utracie ostatniego przypisania do pakietów dostępu, ustaw wartość Liczba dni przed usunięciem użytkownika zewnętrznego z tego katalogu na 0. Zmiany tej wartości mają wpływ tylko na użytkowników, którzy następnie używają ich ostatniego przypisania pakietu dostępu; użytkownicy, którzy zostali zaplanowani na usunięcie, będą nadal usuwani zgodnie z oryginalnym harmonogramem.
Wybierz pozycję Zapisz.