Typowe zagadnienia dotyczące wielodostępnych funkcji zarządzania użytkownikami

Ten artykuł jest trzecim w serii artykułów, które zawierają wskazówki dotyczące konfigurowania i zapewniania zarządzania cyklem życia użytkowników w środowiskach wielodostępnych firmy Microsoft. Poniższe artykuły z serii zawierają więcej informacji zgodnie z opisem.

• Wprowadzenie do wielodostępnego zarządzania użytkownikami jest pierwszą z serii artykułów, które zawierają wskazówki dotyczące konfigurowania i zapewniania zarządzania cyklem życia użytkowników w środowiskach wielodostępnych firmy Microsoft.
• Scenariusze zarządzania użytkownikami wielodostępnym opisują trzy scenariusze , w których można używać funkcji zarządzania użytkownikami wielodostępnym: inicjowanych przez użytkownika końcowego, skryptów i zautomatyzowanych.
• Typowe rozwiązania dotyczące wielodostępnego zarządzania użytkownikami , gdy pojedyncza dzierżawa nie działa w danym scenariuszu, ten artykuł zawiera wskazówki dotyczące następujących wyzwań: automatyczne zarządzanie cyklem życia użytkownika i alokacja zasobów w dzierżawach, udostępnianie aplikacji lokalnych między dzierżawami.

Wskazówki ułatwiają osiągnięcie spójnego stanu zarządzania cyklem życia użytkowników. Zarządzanie cyklem życia obejmuje aprowizowanie i anulowanie aprowizacji użytkowników w dzierżawach przy użyciu dostępnych narzędzi platformy Azure, które obejmują współpracę B2B firmy Microsoft (B2B) i synchronizację między dzierżawami.

Wymagania dotyczące synchronizacji są unikatowe dla konkretnych potrzeb organizacji. Podczas projektowania rozwiązania spełniającego wymagania organizacji poniższe zagadnienia zawarte w tym artykule ułatwiają zidentyfikowanie najlepszych opcji.

• Synchronizacja między dzierżawami
• Obiekt katalogu
• Microsoft Entra — dostęp warunkowy
• Dodatkowa kontrola dostępu
• Office 365

Synchronizacja między dzierżawami

Synchronizacja między dzierżawami może sprostać wyzwaniom związanym ze współpracą i dostępem do wielu organizacji. W poniższej tabeli przedstawiono typowe przypadki użycia synchronizacji. Możesz użyć zarówno synchronizacji między dzierżawami, jak i tworzenia klientów, aby spełnić przypadki użycia, gdy zagadnienia są istotne dla więcej niż jednego wzorca współpracy.

Przypadek użycia	Synchronizacja między dzierżawami	Programowanie niestandardowe
Zarządzanie cyklem życia użytkowników
Udostępnianie plików i dostęp do aplikacji
Obsługa synchronizacji z/z suwerennych chmur
Kontrolowanie synchronizacji z dzierżawy zasobów
Synchronizowanie obiektów grupy
Łącza menedżera synchronizacji
Źródło urzędu na poziomie atrybutu
Microsoft Entra write-back do usługi Microsoft Windows Server Active Directory

Zagadnienia dotyczące obiektu katalogu

Zapraszanie użytkownika zewnętrznego przy użyciu nazwy UPN i adresu SMTP

Firma Microsoft Entra B2B oczekuje, że użytkownik UserPrincipalName (UPN) jest podstawowym adresem PROTOKOŁU SMTP (SMTP) do wysyłania zaproszeń. Gdy nazwa UPN użytkownika jest taka sama jak podstawowy adres SMTP, funkcja B2B działa zgodnie z oczekiwaniami. Jeśli jednak nazwa UPN różni się od podstawowego adresu SMTP użytkownika zewnętrznego, może się nie powieść, gdy użytkownik zaakceptuje zaproszenie. Ten problem może być wyzwaniem, jeśli nie znasz rzeczywistej nazwy UPN użytkownika. Musisz odnaleźć nazwę UPN i użyć jej podczas wysyłania zaproszeń dla B2B.

W sekcji dotyczącej usługi Microsoft Exchange Online w tym artykule wyjaśniono, jak zmienić domyślny podstawowy protokół SMTP dla użytkowników zewnętrznych. Ta technika jest przydatna, jeśli chcesz, aby wszystkie wiadomości e-mail i powiadomienia zewnętrzne były przesyłane do rzeczywistego podstawowego adresu SMTP, w przeciwieństwie do nazwy UPN. Może to być wymagane, jeśli nazwa UPN nie jest w stanie kierować przepływu poczty.

Konwertowanie typu użytkownika zewnętrznego

Jeśli używasz konsoli do ręcznego tworzenia zaproszenia dla konta użytkownika zewnętrznego, tworzy obiekt użytkownika z typem użytkownik-gość. Użycie innych technik tworzenia zaproszeń umożliwia ustawienie typu użytkownika na inną niż zewnętrzne konto gościa. Na przykład w przypadku korzystania z interfejsu API można skonfigurować, czy konto jest kontem zewnętrznym, czy zewnętrznym kontem gościa.

• Niektóre limity funkcjonalności gościa można usunąć.
• Możesz przekonwertować konta gościa na typ użytkownika członkowskiego.

W przypadku konwersji z zewnętrznego użytkownika-gościa na konto użytkownika zewnętrznego użytkownika członkowskiego mogą wystąpić problemy ze sposobem obsługi kont B2B przez usługę Exchange Online. Nie można włączać kont poczty e-mail zaproszonych jako użytkownicy zewnętrzni. Aby włączyć konto zewnętrznego elementu członkowskiego, użyj następującego najlepszego podejścia.

• Zaproś użytkowników między organizacji jako zewnętrzne konta użytkowników-gości.
• Pokaż konta w gal.
• Ustaw wartość UserType na Element członkowski.

W przypadku korzystania z tego podejścia konta są wyświetlane jako obiekty MailUser w usłudze Exchange Online i w usłudze Office 365. Należy również pamiętać, że istnieje wyzwanie chronometrażu. Upewnij się, że użytkownik jest widoczny w gal, sprawdzając zarówno właściwość Microsoft Entra user ShowInAddressList, jak i właściwość Exchange Online PowerShell HiddenFromAddressListsEnabled (które są od siebie odwrócone). Sekcja usługi Microsoft Exchange Online w tym artykule zawiera więcej informacji na temat zmiany widoczności.

Można przekonwertować użytkownika członkowskiego na użytkownika-gościa, co jest przydatne w przypadku użytkowników wewnętrznych, którzy mają być ograniczeni do uprawnień na poziomie gościa. Wewnętrzni użytkownicy-goście to użytkownicy, którzy nie są pracownikami organizacji, ale dla których zarządzasz ich użytkownikami i poświadczeniami. Może to pozwolić uniknąć licencjonowania wewnętrznego użytkownika-gościa.

Problemy z używaniem obiektów kontaktów poczty e-mail zamiast użytkowników zewnętrznych lub członków

Możesz reprezentować użytkowników z innej dzierżawy przy użyciu tradycyjnej synchronizacji GAL. Jeśli wykonujesz synchronizację GAL, a nie używasz współpracy microsoft Entra B2B, tworzy obiekt kontaktu poczty.

• Obiekt kontaktów poczty i zewnętrzny członek z włączoną obsługą poczty lub użytkownik-gość nie może współistnieć w tej samej dzierżawie z tym samym adresem e-mail w tym samym czasie.
• Jeśli obiekt kontaktu poczty e-mail istnieje dla tego samego adresu e-mail co zaproszony użytkownik zewnętrzny, tworzy użytkownika zewnętrznego, ale nie jest włączony.
• Jeśli użytkownik zewnętrzny z włączoną obsługą poczty istnieje z tą samą pocztą, próba utworzenia obiektu kontaktu poczty zgłasza wyjątek podczas tworzenia.

Ważne

Używanie kontaktów poczty wymaga usług Active Directory Services (AD DS) lub programu PowerShell usługi Exchange Online. Program Microsoft Graph nie udostępnia wywołania interfejsu API do zarządzania kontaktami.

W poniższej tabeli przedstawiono wyniki obiektów kontaktów poczty i stanów użytkowników zewnętrznych.

Istniejący stan	Scenariusz obsługi	Skuteczny wynik
Brak	Zaproś członka B2B	Użytkownik członkowski z włączoną obsługą poczty e-mail. Zobacz ważną notatkę.
Brak	Zapraszanie gościa B2B	Użytkownik zewnętrzny z obsługą poczty.
Obiekt kontaktu poczty istnieje	Zaproś członka B2B	Błąd. Konflikt adresów serwera proxy.
Obiekt kontaktu poczty istnieje	Zapraszanie gościa B2B	Kontakt e-mail i użytkownik zewnętrzny z włączoną obsługą poczty innej niż poczta. Zobacz ważną notatkę.
Zewnętrzny użytkownik-gość z obsługą poczty	Tworzenie obiektu kontaktu poczty	Błąd
Użytkownik zewnętrzny z obsługą poczty istnieje	Tworzenie kontaktu e-mail	Błąd

Firma Microsoft zaleca korzystanie ze współpracy microsoft Entra B2B (zamiast tradycyjnej synchronizacji GAL) w celu utworzenia:

• Użytkownicy zewnętrzni, którzy włączyli wyświetlanie w gal.
• Zewnętrzni użytkownicy będący członkami, którzy są domyślnie wyświetlani w gal, ale nie są włączeni pocztą e-mail.

Możesz użyć obiektu kontaktu poczty, aby pokazać użytkowników w gal. Takie podejście integruje gal bez podawania innych uprawnień, ponieważ kontakty poczty nie są podmiotami zabezpieczeń.

Postępuj zgodnie z tym zalecanym podejściem, aby osiągnąć cel:

• Zapraszanie użytkowników-gości.
• Odkryj je z GAL.
• Wyłącz je, blokując ich logowanie.

Obiekt kontaktu poczty nie może przekonwertować na obiekt użytkownika. W związku z tym właściwości skojarzone z obiektem kontaktu poczty e-mail nie mogą być przenoszone (takie jak członkostwo w grupach i inny dostęp do zasobów). Użycie obiektu kontaktu poczty do reprezentowania użytkownika wiąże się z następującymi wyzwaniami.

• Grupy usługi Office 365. Grupy usługi Office 365 obsługują zasady dotyczące typów użytkowników, którzy mogą być członkami grup i korzystać z zawartości skojarzonej z grupami. Na przykład grupa może nie zezwalać użytkownikom-gościom na dołączanie. Te zasady nie mogą zarządzać obiektami kontaktów poczty.
• Microsoft Entra Self-service group management (SSGM). Obiekty kontaktów poczty nie kwalifikują się do bycia członkami w grupach przy użyciu funkcji SSGM. Może być konieczne użycie większej liczby narzędzi do zarządzania grupami z adresatami reprezentowanymi jako kontakty zamiast obiektów użytkownika.
• Zarządzanie tożsamością Microsoft Entra, przeglądy dostępu. Możesz użyć funkcji przeglądów dostępu, aby przejrzeć i potwierdzić członkostwo w grupie usługi Office 365. Przeglądy dostępu są oparte na obiektach użytkownika. Elementy członkowskie reprezentowane przez obiekty kontaktu poczty są poza zakresem przeglądów dostępu.
• Zarządzanie tożsamością Microsoft Entra, Zarządzanie upoważnieniami (EM). Gdy używasz pakietu EM do włączania żądań dostępu samoobsługowego dla użytkowników zewnętrznych w portalu EM firmy, tworzy obiekt użytkownika w czasie żądania. Nie obsługuje obiektów kontaktów poczty e-mail.

Zagadnienia dotyczące dostępu warunkowego firmy Microsoft Entra

Stan użytkownika, urządzenia lub sieci w dzierżawie głównej użytkownika nie jest przekazywany do dzierżawy zasobów. W związku z tym użytkownik zewnętrzny może nie spełniać zasad dostępu warunkowego, które korzystają z poniższych kontrolek.

Jeśli jest to dozwolone, można zastąpić to zachowanie za pomocą ustawień dostępu między dzierżawami (CTAS), które honorują uwierzytelnianie wieloskładnikowe i zgodność urządzeń z dzierżawy głównej.

• Wymagaj uwierzytelniania wieloskładnikowego. Bez skonfigurowania usługi CTAS użytkownik zewnętrzny musi zarejestrować/odpowiedzieć na uwierzytelnianie wieloskładnikowe w dzierżawie zasobów (nawet jeśli uwierzytelnianie wieloskładnikowe zostało spełnione w dzierżawie macierzystej). Ten scenariusz powoduje wiele wyzwań związanych z uwierzytelnianiem wieloskładnikowym. Jeśli konieczne jest zresetowanie weryfikacji uwierzytelniania wieloskładnikowego, mogą nie być świadomi wielu rejestracji weryfikacji uwierzytelniania wieloskładnikowego w różnych dzierżawach. Brak świadomości może wymagać od użytkownika kontaktu z administratorem w dzierżawie głównej, dzierżawie zasobów lub obu tych przypadkach.
• Wymagaj, aby urządzenie było oznaczone jako zgodne. Bez skonfigurowania CTAS tożsamość urządzenia nie jest zarejestrowana w dzierżawie zasobów, więc użytkownik zewnętrzny nie może uzyskać dostępu do zasobów, które wymagają tej kontroli.
• Wymagaj urządzeń przyłączonych hybrydowo do usługi Microsoft Entra. Bez skonfigurowania funkcji CTAS tożsamość urządzenia nie jest zarejestrowana w dzierżawie zasobów (lub lokalna usługa Active Directory połączona z dzierżawą zasobów). W związku z tym użytkownik zewnętrzny nie może uzyskać dostępu do zasobów, które wymagają tej kontroli.
• Wymagaj zatwierdzonej aplikacji klienckiej lub Wymagaj zasad ochrony aplikacji. Bez skonfigurowania usługi CTAS użytkownicy zewnętrzni nie mogą zastosować zasad zarządzania aplikacjami mobilnymi (MAM) dzierżawy zasobów, ponieważ wymagają one również rejestracji urządzeń. Zasady dostępu warunkowego dzierżawy zasobów, korzystając z tej kontrolki, nie zezwalają na ochronę funkcji MAM dzierżawy domowej w celu spełnienia zasad. Wyklucz użytkowników zewnętrznych z wszystkich zasad dostępu warunkowego opartego na funkcji MAM.

Ponadto, chociaż można użyć następujących warunków dostępu warunkowego, należy pamiętać o możliwych konsekwencjach.

• Ryzyko związane z logowaniem i ryzyko związane z użytkownikiem. Zachowanie użytkownika w dzierżawie macierzystej określa częściowo ryzyko związane z logowaniem i ryzykiem użytkownika. Dzierżawa domowa przechowuje dane i ocenę ryzyka. Jeśli zasady dzierżawy zasobów blokują użytkownika zewnętrznego, administrator dzierżawy zasobów może nie być w stanie włączyć dostępu. Ochrona tożsamości Microsoft Entra i użytkownicy B2B wyjaśniają, jak Ochrona tożsamości Microsoft Entra wykrywa poświadczenia naruszone dla użytkowników firmy Microsoft Entra.
• Lokalizacje. Nazwane definicje lokalizacji w dzierżawie zasobów określają zakres zasad. Zakres zasad nie ocenia zaufanych lokalizacji zarządzanych w dzierżawie głównej. Jeśli organizacja chce udostępniać zaufane lokalizacje między dzierżawami, zdefiniuj lokalizacje w każdej dzierżawie, w której definiujesz zasoby i zasady dostępu warunkowego.

Zabezpieczanie środowiska wielodostępu

Zabezpieczanie środowiska wielodostępnego rozpoczyna się od zapewnienia, że każda dzierżawa jest zgodna z najlepszymi rozwiązaniami w zakresie zabezpieczeń. Zapoznaj się z listą kontrolną zabezpieczeń i najlepszymi rozwiązaniami, aby uzyskać wskazówki dotyczące zabezpieczania dzierżawy. Upewnij się, że te najlepsze rozwiązania są przestrzegane i zapoznaj się z nimi z wszystkimi dzierżawami, z którymi ściśle współpracujesz.

Ochrona kont administratorów i zapewnianie najniższych uprawnień

• Znajdowanie i rozwiązywanie problemów z lukami w zakresie silnego uwierzytelniania dla administratorów
• Zwiększ bezpieczeństwo przy użyciu zasady najniższych uprawnień zarówno dla użytkowników , jak i aplikacji. Przejrzyj role najniższych uprawnień według zadania w identyfikatorze Entra firmy Microsoft.
• Zminimalizuj trwały dostęp administratora, włączając usługę Privileged Identity Management.

Monitorowanie środowiska wielodostępu

• Monitoruj zmiany zasad dostępu między dzierżawami przy użyciu interfejsu użytkownika dzienników inspekcji, interfejsu API lub integracji usługi Azure Monitor (w przypadku proaktywnych alertów). Zdarzenia inspekcji używają kategorii "CrossTenantAccessSettings" i "CrossTenantIdentitySyncSettings". Monitorując zdarzenia inspekcji w tych kategoriach, można zidentyfikować wszelkie zmiany zasad dostępu między dzierżawami w dzierżawie i podjąć działania. Podczas tworzenia alertów w usłudze Azure Monitor można utworzyć zapytanie, takie jak poniższe, aby zidentyfikować wszelkie zmiany zasad dostępu między dzierżawami.

AuditLogs
| where Category contains "CrossTenant"

• Monitoruj wszystkich nowych partnerów dodanych do ustawień dostępu między dzierżawami.

AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId

• Monitoruj zmiany w zasadach dostępu między dzierżawami zezwalających na synchronizację i nie zezwalających na synchronizację.

AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"

• Monitorowanie dostępu do aplikacji w dzierżawie przy użyciu pulpitu nawigacyjnego aktywności dostępu między dzierżawami. Monitorowanie umożliwia sprawdzenie, kto uzyskuje dostęp do zasobów w dzierżawie i skąd pochodzą ci użytkownicy.

Niech ustawieniem domyślnym będzie odmowa

• Wymagaj przypisania użytkownika dla aplikacji. Jeśli aplikacja ma wymagane przypisanie użytkownika? właściwość ma wartość Nie, użytkownicy zewnętrzni mogą uzyskiwać dostęp do aplikacji. Ogranicz swoją aplikację Microsoft Entra do zestawu użytkowników w ramach dzierżawy Microsoft Entra wyjaśnia, w jaki sposób zarejestrowane aplikacje w ramach dzierżawy Microsoft Entra są domyślnie dostępne dla wszystkich użytkowników dzierżawy, którzy pomyślnie się uwierzytelniają.
• Zaktualizuj ustawienia współpracy zewnętrznej, aby tylko użytkownicy będący członkami i użytkownicy przypisani do określonych ról administratora mogli zapraszać użytkowników-gości, w tym gości z uprawnieniami członków. Uniemożliwia to gościom w dzierżawie zapraszanie innych użytkowników.
• Włączaj synchronizację między dzierżawami lub zasady dostępu między dzierżawami, które opierają się na zaufaniu do MFA, tylko dla dzierżawców o wysokim poziomie zaufania.
• Utwórz domyślne zasady blokowania ruchu wychodzącego i zezwalaj tylko użytkownikom na logowanie się jako goście do zatwierdzonych dzierżaw przy użyciu tożsamości firmowej. Zapewni to izolację najemców oraz dwukierunkowy przepływ informacji między nimi.
• Ogranicz dostęp użytkowników zewnętrznych do wstępnie zdefiniowanej listy dzierżaw przy użyciu ograniczeń dzierżawy .
• Sprawdź, czy ograniczenie dostępu gościa nie jest ustawione na wartość "Użytkownicy-goście mają taki sam dostęp, jak członkowie (najbardziej inkluzywne).
• Sprawdź, czy opcja "Włącz rejestrację samoobsługową gościa za pośrednictwem przepływów użytkownika" jest wyłączona. Przepływ rejestracji samoobsługowej umożliwia tworzenie tożsamości gościa w dzierżawie bez inicjowania od użytkowników wewnętrznych.

Ochrona w głębi systemu

Dostęp warunkowy.

• Definiowanie zasad kontroli dostępu w celu kontrolowania dostępu do zasobów.
• Projektowanie zasad dostępu warunkowego z myślą o użytkownikach zewnętrznych.
• Sprawdź, czy zasada częstotliwości logowania w polityce dostępu warunkowego jest stosowana do wszystkich logowań gości. Częstotliwość logowania powinna być ograniczona do maksymalnie 24 godzin. Tokeny gości logowanych z urządzeń niezarządzanych są narażone na większe ryzyko eksfiltracji tokenu i ataków ponownego odtwarzania tokenu. Ograniczenie okresu istnienia tokenu zmniejsza narażenie na ryzyko. Zapewni to, że nawet jeśli token jest eksfiltrowany, aktor zagrożenia ma ograniczone okno użycia.
• Utwórz dedykowane zasady dostępu warunkowego dla kont zewnętrznych. Jeśli twoja organizacja używa warunku grupy członkostwa dynamicznego wszystkich użytkowników w istniejących zasadach dostępu warunkowego, te zasady mają wpływ na użytkowników zewnętrznych, ponieważ są one w zakresie wszystkich użytkowników.

Sterowanie dostępem między dzierżawcami

• Zarządzać dostępem między dzierżawami przy użyciu zarządzania uprawnieniami, przeglądów dostępu i przepływów pracy cyklu życia.

Jednostki zarządzania z ograniczeniami

W przypadku używania grup zabezpieczeń do kontrolowania, kto znajduje się w zakresie synchronizacji między dzierżawami, ogranicz, kto może wprowadzać zmiany w grupie zabezpieczeń. Zminimalizuj liczbę właścicieli grup zabezpieczeń przypisanych do zadania synchronizacji między dzierżawami i uwzględnij grupy w jednostce zarządzania z ograniczeniami. Spowoduje to ograniczenie liczby osób, które mogą dodawać lub usuwać członków grupy oraz zarządzać kontami w różnych dzierżawach.

Inne zagadnienia dotyczące kontroli dostępu

Postanowienia

Warunki użytkowania firmy Microsoft stanowią prostą metodę, która umożliwia organizacjom prezentowanie informacji użytkownikom końcowym. Warunki użytkowania umożliwiają wymaganie od użytkowników zewnętrznych zatwierdzenia warunków użytkowania przed uzyskaniem dostępu do zasobów.

Zagadnienia dotyczące licencjonowania użytkowników-gości z funkcjami Microsoft Entra ID P1 lub P2

Tożsamość zewnętrzna Microsoft Entra ceny są oparte na miesięcznych aktywnych użytkownikach (MAU). Liczba aktywnych użytkowników to liczba unikatowych użytkowników z aktywnością uwierzytelniania w ciągu miesiąca kalendarzowego. Model rozliczeń dla Tożsamość zewnętrzna Microsoft Entra opisuje sposób ustalania cen na podstawie jednostki MAU.

Zagadnienia dotyczące usługi Office 365

Poniższe informacje dotyczą usługi Office 365 w kontekście scenariuszy tego artykułu. Szczegółowe informacje są dostępne w witrynie Microsoft 365 intertenant collaboration 365 intertenant collaboration(Współpraca międzydostępna 365). W tym artykule opisano opcje, które obejmują używanie centralnej lokalizacji dla plików i konwersacji, udostępniania kalendarzy, korzystania z wiadomości błyskawicznych, połączeń audio/wideo na potrzeby komunikacji i zabezpieczania dostępu do zasobów i aplikacji.

Microsoft Exchange Online

Usługa Exchange Online ogranicza niektóre funkcje dla użytkowników zewnętrznych. Limity można zmniejszyć, tworząc użytkowników zewnętrznych członków zamiast zewnętrznych użytkowników-gości. Obsługa użytkowników zewnętrznych ma następujące ograniczenia.

• Możesz przypisać licencję usługi Exchange Online do użytkownika zewnętrznego. Nie można jednak wydać im tokenu dla usługi Exchange Online. Wyniki są następujące, że nie mogą uzyskać dostępu do zasobu.
  • Użytkownicy zewnętrzni nie mogą używać udostępnionych ani delegowanych skrzynek pocztowych usługi Exchange Online w dzierżawie zasobów.
  • Możesz przypisać użytkownika zewnętrznego do udostępnionej skrzynki pocztowej, ale nie może uzyskać do niej dostępu.
• Musisz odkryć użytkowników zewnętrznych, aby uwzględnić ich w gal. Domyślnie są one ukryte.
  • Ukrytych użytkowników zewnętrznych są tworzone w czasie zapraszania. Tworzenie jest niezależne od tego, czy użytkownik zrealizował zaproszenie. W związku z tym, jeśli wszyscy użytkownicy zewnętrzni zostaną odkryci, lista zawiera obiekty użytkowników zewnętrznych, którzy nie zrealizowali zaproszenia. W zależności od scenariusza możesz lub nie chcesz, aby obiekty zostały wyświetlone.
  • Użytkownicy zewnętrzni mogą zostać ukryci przy użyciu programu PowerShell usługi Exchange Online. Możesz wykonać polecenie cmdlet Set-MailUser programu PowerShell, aby ustawić właściwość HiddenFromAddressListsEnabled na wartość $false.

Na przykład:

Set-MailUser [ExternalUserUPN] -HiddenFromAddressListsEnabled:\$false\

Gdzie ExternalUserUPN to obliczona nazwa UserPrincipalName.

Na przykład:

Set-MailUser externaluser1_contoso.com#EXT#@fabricam.onmicrosoft.com\ -HiddenFromAddressListsEnabled:\$false

Użytkownicy zewnętrzni mogą zostać ukryci w Centrum administracyjne platformy Microsoft 365.

• Aktualizacje można ustawić tylko na właściwości specyficzne dla programu Exchange (takie jak PrimarySmtpAddress, ExternalEmailAddress, EmailAddresses i MailTip) przy użyciu programu Exchange Online PowerShell. Centrum administracyjne usługi Exchange Online nie umożliwia modyfikowania atrybutów przy użyciu graficznego interfejsu użytkownika (GUI).

Jak pokazano w przykładzie, możesz użyć polecenia cmdlet Set-MailUser programu PowerShell dla właściwości specyficznych dla poczty. Istnieją właściwości użytkownika, które można zmodyfikować za pomocą polecenia cmdlet Set-User PowerShell. Większość właściwości można modyfikować za pomocą interfejsów API programu Microsoft Graph.

Jedną z najbardziej przydatnych funkcji Set-MailUser jest możliwość manipulowania właściwością EmailAddresses . Ten wielowartościowy atrybut może zawierać wiele adresów proxy dla użytkownika zewnętrznego (takich jak SMTP, X500, Protokół inicjowania sesji (SIP)). Domyślnie użytkownik zewnętrzny ma podstawowy adres SMTP skorelowany z nazwą UserPrincipalName (UPN). Jeśli chcesz zmienić podstawowy protokół SMTP lub dodać adresy SMTP, możesz ustawić tę właściwość. Nie można użyć Centrum administracyjnego programu Exchange; należy użyć programu PowerShell usługi Exchange Online. Dodawanie lub usuwanie adresów e-mail skrzynki pocztowej w usłudze Exchange Online pokazuje różne sposoby modyfikowania wielowartościowej właściwości, takiej jak EmailAddresses.

Program Microsoft SharePoint na platformie Microsoft 365

Program SharePoint na platformie Microsoft 365 ma własne uprawnienia specyficzne dla usługi w zależności od tego, czy użytkownik (wewnętrzny lub zewnętrzny) jest członkiem typu lub gościem w dzierżawie microsoft Entra. Udostępnianie zewnętrzne platformy Microsoft 365 i współpraca firmy Microsoft Entra B2B opisuje sposób włączania integracji z programem SharePoint i usługą OneDrive w celu udostępniania plików, folderów, elementów listy, bibliotek dokumentów i witryn osobom spoza organizacji. Rozwiązanie Microsoft 365 robi to podczas korzystania z usługi Azure B2B na potrzeby uwierzytelniania i zarządzania.

Po włączeniu udostępniania zewnętrznego w programie SharePoint na platformie Microsoft 365 możliwość wyszukiwania użytkowników-gości w selektorze osób platformy Microsoft 365 jest domyślnie wyłączona . To ustawienie uniemożliwia użytkownikom-gościom odnajdywanie, gdy są ukryte przed galą usługi Exchange Online. Użytkownicy-goście mogą stać się widoczni na dwa sposoby (nie wykluczające się wzajemnie):

• Możesz włączyć możliwość wyszukiwania użytkowników-gości na następujące sposoby:
  • Zmodyfikuj ustawienie ShowPeoplePickerSuggestionsForGuestUsers na poziomie dzierżawy i zbioru witryn.
  • Ustaw tę funkcję przy użyciu poleceń cmdlet set-SPOTenant i Set-SPOSiteSharePoint w programie PowerShell platformy Microsoft 365.
• Użytkownicy-goście widoczni w galerii gal usługi Exchange Online są również widoczni w selektorze osób w programie SharePoint na platformie Microsoft 365. Konta są widoczne niezależnie od ustawienia ShowPeoplePickerSuggestionsForGuestUsers.

Microsoft Teams

Usługa Microsoft Teams ma funkcje ograniczające dostęp i oparte na typie użytkownika. Zmiany typu użytkownika mogą mieć wpływ na dostęp do zawartości i dostępne funkcje. Usługa Microsoft Teams wymaga od użytkowników zmiany kontekstu przy użyciu mechanizmu przełączania dzierżawy klienta usługi Teams podczas pracy w aplikacji Teams poza ich dzierżawą główną.

Mechanizm przełączania dzierżawy dla usługi Microsoft Teams może wymagać od użytkowników ręcznego przełączenia kontekstu klienta usługi Teams podczas pracy w usłudze Teams poza ich dzierżawą główną.

Możesz umożliwić użytkownikom usługi Teams z innej domeny zewnętrznej znajdowanie, nawiązywanie połączeń, czatów i konfigurowanie spotkań z użytkownikami za pomocą federacji usługi Teams. Zarządzanie spotkaniami zewnętrznymi i czatami z osobami i organizacjami przy użyciu tożsamości firmy Microsoft opisuje, jak umożliwić użytkownikom w organizacji czat i spotkać się z osobami spoza organizacji korzystającymi z firmy Microsoft jako dostawcy tożsamości.

Zagadnienia dotyczące licencjonowania użytkowników-gości w usłudze Teams

W przypadku korzystania z usługi Azure B2B z obciążeniami usługi Office 365 najważniejsze zagadnienia obejmują wystąpienia, w których użytkownicy-goście (wewnętrzni lub zewnętrzni) nie mają takiego samego środowiska jak użytkownicy będący członkami.

• Grupy firmy Microsoft.Dodawanie gości do grup usługi Office 365 opisuje, w jaki sposób dostęp gościa w Grupy Microsoft 365 umożliwia i zespołowi współpracę z osobami spoza organizacji, udzielając im dostępu do konwersacji grupowych, plików, zaproszeń kalendarza i notesu grupy.
• Microsoft Teams.Funkcje właściciela zespołu, członka i gościa w usłudze Teams opisują środowisko konta gościa w usłudze Microsoft Teams. Środowisko pełnej wierności w usłudze Teams można włączyć przy użyciu użytkowników zewnętrznych.
  • W przypadku wielu dzierżaw w chmurze komercyjnej użytkownicy licencjonowani w dzierżawie macierzystej mogą uzyskiwać dostęp do zasobów w innej dzierżawie w ramach tej samej jednostki prawnej. Dostęp można udzielić przy użyciu ustawienia zewnętrznych członków bez dodatkowych opłat licencyjnych. To ustawienie dotyczy programów SharePoint i OneDrive dla zespołów i grup.
  • W przypadku wielu dzierżaw w innych chmurach firmy Microsoft i w przypadku wielu dzierżaw w różnych chmurach testy licencji członka B2B nie są jeszcze dostępne. Użycie elementu członkowskiego B2B w usłudze Teams wymaga dodatkowej licencji dla każdego członka B2B. To wymaganie może również mieć wpływ na inne obciążenia, takie jak usługa Power BI.
  • Użycie elementu członkowskiego B2B dla dzierżaw, które nie są częścią tej samej jednostki prawnej, podlegają dodatkowym wymaganiom licencyjnym.
• Funkcje ładu tożsamości. Zarządzanie upoważnieniami i przeglądy dostępu mogą wymagać innych licencji dla użytkowników zewnętrznych.
• Inne produkty. Produkty takie jak dynamics customer relationship management (CRM) mogą wymagać licencjonowania w każdej dzierżawie, w której użytkownik jest reprezentowany.

Następne kroki

• Wprowadzenie do wielodostępnego zarządzania użytkownikami jest pierwszą z serii artykułów, które zawierają wskazówki dotyczące konfigurowania i zapewniania zarządzania cyklem życia użytkowników w środowiskach wielodostępnych firmy Microsoft.
• Scenariusze zarządzania użytkownikami wielodostępnym opisują trzy scenariusze , w których można używać funkcji zarządzania użytkownikami wielodostępnym: inicjowanych przez użytkownika końcowego, skryptów i zautomatyzowanych.
• Typowe rozwiązania dotyczące wielodostępnego zarządzania użytkownikami , gdy pojedyncza dzierżawa nie działa w danym scenariuszu, ten artykuł zawiera wskazówki dotyczące następujących wyzwań: automatyczne zarządzanie cyklem życia użytkownika i alokacja zasobów w dzierżawach, udostępnianie aplikacji lokalnych między dzierżawami.
• Program Microsoft Collaboration Framework dla bazy przemysłowej US Defense opisuje architektury referencyjne kandydatów dla tożsamości w celu uwzględnienia organizacji wielodostępnych (MTO). Ten scenariusz dotyczy konkretnie tych obiektów MTO, które mają wdrożenie w suwerennej chmurze USA z platformą Microsoft 365 US Government (GCC High) i platformą Azure Government. Dotyczy to również współpracy zewnętrznej w wysoce regulowanych środowiskach, w tym organizacji, które znajdują się w chmurze komercyjnej lub suwerennej USA.