Udostępnij za pośrednictwem

Typowe zagadnienia dotyczące zarządzania użytkownikami w środowisku wielosąsiadów

  • Artykuł

Ten artykuł jest trzecim w serii artykułów, które zawierają wskazówki dotyczące konfigurowania i zapewniania zarządzania cyklem życia użytkowników w środowiskach wielodostępnych firmy Microsoft. Poniższe artykuły z serii zawierają więcej informacji zgodnie z opisem.

Wskazówki ułatwiają osiągnięcie spójnego stanu zarządzania cyklem życia użytkowników. Zarządzanie cyklem życia obejmuje włączanie, zarządzanie i wyłączanie użytkowników w różnych dzierżawach przy użyciu dostępnych narzędzi platformy Azure, które obejmują współpracę B2B Microsoft Entra i synchronizację pomiędzy dzierżawami.

Wymagania dotyczące synchronizacji są unikatowe dla konkretnych potrzeb organizacji. Podczas projektowania rozwiązania spełniającego wymagania organizacji poniższe zagadnienia zawarte w tym artykule ułatwiają zidentyfikowanie najlepszych opcji.

  • Synchronizacja między dzierżawcami
  • Obiekt katalogu
  • Microsoft Entra — dostęp warunkowy
  • Dodatkowa kontrola dostępu
  • Office 365

Synchronizacja międzylokatorska

Synchronizacja między dzierżawcami może sprostać wyzwaniom związanym ze współpracą i dostępem w organizacjach wielodzierżawczych. W poniższej tabeli przedstawiono typowe przypadki użycia synchronizacji. Możesz użyć zarówno synchronizacji między dzierżawami, jak i rozwoju klientów, aby spełnić przypadki użycia, gdy zagadnienia są istotne dla więcej niż jednego modelu współpracy.

Przypadek użycia Synchronizacja między tenantami Programowanie niestandardowe
Zarządzanie cyklem życia użytkowników Ikona znacznika wyboru Ikona znacznika wyboru
Udostępnianie plików i dostęp do aplikacji Ikona znacznika wyboru Ikona znacznika wyboru
Obsługa synchronizacji z/z suwerennych chmur Ikona znacznika wyboru
Kontrola synchronizacji z najemcy zasobów Ikona znacznika wyboru
Synchronizowanie obiektów grupy Ikona znacznika wyboru
Łącza menedżera synchronizacji Ikona znacznika wyboru Ikona znacznika wyboru
Źródło autorytetu na poziomie atrybutu Ikona znacznika wyboru
Zapis wstecz Microsoft Entra do usługi Microsoft Windows Server Active Directory Ikona znacznika wyboru

Zagadnienia dotyczące obiektu katalogu

Zapraszanie użytkownika zewnętrznego przy użyciu nazwy UPN i adresu SMTP

Firma Microsoft Entra B2B oczekuje, że UserPrincipalName (UPN) użytkownika jest podstawowym adresem Simple Mail Transfer Protocol (SMTP) (adres e-mail) do wysyłania zaproszeń. Gdy nazwa UPN użytkownika jest taka sama jak podstawowy adres SMTP, funkcja B2B działa zgodnie z oczekiwaniami. Jeśli jednak nazwa UPN różni się od podstawowego adresu SMTP użytkownika zewnętrznego, może nie zostać rozwiązana, kiedy użytkownik zaakceptuje zaproszenie. Ten problem może być wyzwaniem, jeśli nie znasz rzeczywistej nazwy UPN użytkownika. Musisz odnaleźć nazwę UPN i użyć jej podczas wysyłania zaproszeń dla B2B.

W sekcji dotyczącej usługi Microsoft Exchange Online w tym artykule wyjaśniono, jak zmienić domyślny podstawowy protokół SMTP dla użytkowników zewnętrznych. Ta technika jest przydatna, jeśli chcesz, aby wszystkie wiadomości e-mail i powiadomienia dotyczące zewnętrznych użytkowników były przesyłane do rzeczywistego, podstawowego adresu SMTP zamiast do nazwy UPN (Nazwa Użytkownika w systemie). Może to być wymagane, jeśli UPN nie można kierować przepływu poczty.

Konwertowanie typu użytkownika zewnętrznego

Jeśli używasz konsoli do ręcznego tworzenia zaproszenia dla konta użytkownika zewnętrznego, tworzy obiekt użytkownika z typem użytkownik-gość. Użycie innych technik tworzenia zaproszeń umożliwia ustawienie typu użytkownika na coś innego niż zewnętrzne konto gościa. Na przykład w przypadku korzystania z interfejsu API można skonfigurować, czy konto jest kontem zewnętrznym, czy zewnętrznym kontem gościa.

W przypadku konwersji z zewnętrznego użytkownika-gościa na konto użytkownika zewnętrznego użytkownika członkowskiego mogą wystąpić problemy ze sposobem obsługi kont B2B przez usługę Exchange Online. Nie można włączać funkcji poczty e-mail dla kont, które zaprosiłeś jako użytkowników zewnętrznych. Aby włączyć konto zewnętrznego członka, skorzystaj z następującej najlepszej metody.

  • Zaproś użytkowników między organizacji jako zewnętrzne konta użytkowników-gości.
  • Pokaż konta w GAL.
  • Ustaw wartość UserType na Członek.

W przypadku korzystania z tego podejścia konta są wyświetlane jako obiekty MailUser w usłudze Exchange Online i w usłudze Office 365. Należy również pamiętać, że istnieje wyzwanie związane z czasem. Upewnij się, że użytkownik jest widoczny w GAL, sprawdzając, czy właściwość ShowInAddressList użytkownika Microsoft Entra pasuje do właściwości HiddenFromAddressListsEnabled w Exchange Online PowerShell (które są odwrotnościami siebie). Sekcja usługi Microsoft Exchange Online w tym artykule zawiera więcej informacji na temat zmiany widoczności.

Można przekonwertować użytkownika członkowskiego na użytkownika-gościa, co jest przydatne w przypadku użytkowników wewnętrznych, którzy mają być ograniczeni do uprawnień na poziomie gościa. Wewnętrzni użytkownicy-goście to użytkownicy, którzy nie są pracownikami organizacji, ale dla których zarządzasz ich użytkownikami i poświadczeniami. Może to pozwolić uniknąć licencjonowania wewnętrznego użytkownika-gościa.

Problemy z używaniem obiektów kontaktów e-mail zamiast użytkowników lub członków zewnętrznych

Możesz reprezentować użytkowników z innej dzierżawy przy użyciu tradycyjnej synchronizacji GAL. Jeśli wykonujesz synchronizację GAL, a nie używasz współpracy microsoft Entra B2B, tworzy obiekt kontaktu poczty.

  • Obiekt kontaktowy poczty oraz zewnętrzny członek z obsługą poczty lub użytkownik-gość nie mogą współistnieć w tej samej dzierżawie, mając ten sam adres e-mail jednocześnie.
  • Jeśli obiekt kontaktowy poczty e-mail istnieje dla tego samego adresu e-mail co zaproszony użytkownik zewnętrzny, tworzony jest użytkownik zewnętrzny, ale nie ma on aktywowanej funkcji poczty e-mail.
  • Jeśli użytkownik zewnętrzny z aktywną obsługą poczty istnieje z tym samym adresem e-mail, próba utworzenia obiektu kontaktu poczty zgłasza wyjątek w momencie tworzenia.

Ważne

Używanie kontaktów poczty wymaga usług Active Directory Services (AD DS) lub programu PowerShell usługi Exchange Online. Program Microsoft Graph nie udostępnia wywołania interfejsu API do zarządzania kontaktami.

W poniższej tabeli przedstawiono wyniki obiektów kontaktów poczty i stanów użytkowników zewnętrznych.

Istniejący stan Scenariusz obsługi Skuteczny wynik
Brak Zaproś członka B2B Członkowski użytkownik bez obsługi poczty e-mail. Zobacz ważną notatkę.
Brak Zaproś gościa B2B Włącz użytkownika zewnętrznego dla poczty.
Obiekt kontaktu poczty istnieje Zaproś członka B2B Błąd. Konflikt adresów serwera proxy.
Obiekt kontaktu poczty istnieje Zaproś gościa B2B Kontakt e-mail i użytkownik zewnętrzny z włączoną obsługą poczty innej niż poczta. Zobacz ważną notatkę.
Zewnętrzny użytkownik-gość z obsługą poczty Tworzenie obiektu kontaktu poczty Błąd
Użytkownik zewnętrzny z funkcją obsługi poczty istnieje Tworzenie kontaktu e-mail Błąd

Firma Microsoft zaleca korzystanie ze współpracy microsoft Entra B2B (zamiast tradycyjnej synchronizacji GAL) w celu utworzenia:

  • Zewnętrzni użytkownicy, których włączasz do wyświetlania w GAL.
  • Zewnętrzni użytkownicy, którzy są domyślnie wyświetlani w GAL, ale nie mają włączonej obsługi poczty e-mail.

Możesz używać obiektu kontaktu pocztowego, aby pokazać użytkowników w GAL (Liście Globalnej Adresów). Takie podejście integruje GAL bez podawania innych uprawnień, ponieważ kontakty poczty nie są podmiotami bezpieczeństwa.

Postępuj zgodnie z tym zalecanym podejściem, aby osiągnąć cel:

Obiekt kontaktu poczty nie może przekonwertować na obiekt użytkownika. W związku z tym właściwości skojarzone z obiektem kontaktu poczty e-mail nie mogą być przenoszone (takie jak członkostwo w grupach i inny dostęp do zasobów). Użycie obiektu kontaktu poczty do reprezentowania użytkownika wiąże się z następującymi wyzwaniami.

  • Grupy usługi Office 365. Grupy usługi Office 365 obsługują zasady dotyczące typów użytkowników, którzy mogą być członkami grup i korzystać z zawartości skojarzonej z grupami. Na przykład grupa może nie zezwalać użytkownikom-gościom na dołączanie. Te zasady nie mogą zarządzać obiektami kontaktów poczty.
  • Microsoft Entra Samoobsługowe zarządzanie grupami (SSGM). Obiekty kontaktów poczty nie mogą być członkami grup przy użyciu funkcji SSGM. Może być konieczne użycie większej liczby narzędzi do zarządzania grupami z adresatami reprezentowanymi jako kontakty zamiast obiektów użytkownika.
  • Zarządzanie Microsoft Entra ID, przeglądy kontroli dostępu. Możesz użyć funkcji przeglądów dostępu, aby przejrzeć i potwierdzić członkostwo w grupie usługi Office 365. Przeglądy dostępu są oparte na obiektach użytkownika. Członkowie reprezentowani przez obiekty kontaktowe poczty są poza zakresem przeglądów dostępu.
  • Zarządzanie Microsoft Entra ID, Zarządzanie uprawnieniami (EM). Gdy używasz EM do włączania żądań dostępu samoobsługowego dla użytkowników zewnętrznych w portalu EM firmy, obiekt użytkownika tworzony jest w momencie żądania. Nie obsługuje obiektów kontaktów poczty e-mail.

Zagadnienia dotyczące dostępu warunkowego firmy Microsoft Entra

Stan użytkownika, urządzenia lub sieci w dzierżawie głównej użytkownika nie jest przekazywany do dzierżawy zasobów. W związku z tym użytkownik zewnętrzny może nie spełniać zasad dostępu warunkowego, które korzystają z poniższych kontrolek.

Jeśli jest to dozwolone, można zastąpić to zachowanie za pomocą ustawień dostępu między dzierżawami (CTAS), które honorują uwierzytelnianie wieloskładnikowe i zgodność urządzeń z dzierżawy głównej.

  • Wymagaj uwierzytelniania wieloskładnikowego. Bez skonfigurowania CTAS użytkownik zewnętrzny musi zarejestrować się lub odpowiedzieć na uwierzytelnianie wieloskładnikowe w dzierżawie zasobów (nawet jeśli uwierzytelnianie wieloskładnikowe zostało uwzględnione w dzierżawie macierzystej). Ten scenariusz powoduje wiele wyzwań związanych z uwierzytelnianiem wieloskładnikowym. Jeśli muszą zresetować dowody uwierzytelniania wieloskładnikowego, mogą nie zdawać sobie sprawy z wielu rejestracji tych dowodów w różnych dzierżawach. Jeśli użytkownik nie jest świadomy, może być zmuszony do skontaktowania się z administratorem w dzierżawie głównej, dzierżawie zasobów lub obu tych przypadkach.
  • Wymagaj, aby urządzenie było oznaczone jako zgodne. Bez skonfigurowania CTAS tożsamość urządzenia nie jest zarejestrowana w dzierżawie zasobów, więc użytkownik zewnętrzny nie może uzyskać dostępu do zasobów, które wymagają tej kontroli.
  • Wymagaj urządzenia przyłączonego hybrydowo do Microsoft Entra. Bez skonfigurowania CTAS, tożsamość urządzenia nie jest zarejestrowana w dzierżawie zasobów ani w lokalnej usłudze Active Directory połączonej z dzierżawą zasobów. W związku z tym użytkownik zewnętrzny nie może uzyskać dostępu do zasobów, które wymagają tej kontroli.
  • Wymagaj zatwierdzonej aplikacji klienckiej lub Wymagaj zasad ochrony aplikacji. Bez skonfigurowania usługi CTAS użytkownicy zewnętrzni nie mogą zastosować zasady Intune MAM dla dzierżawy zasobów, ponieważ wymaga ona także rejestracji urządzenia. Zasady dostępu warunkowego dzierżawy zasobów, korzystając z tego mechanizmu kontrolnego, nie zezwalają na spełnienie zasad przez ochronę MAM dzierżawy domowej. Wyklucz użytkowników zewnętrznych z wszystkich zasad dostępu warunkowego opartego na funkcji MAM.

Ponadto, chociaż można użyć następujących warunków dostępu warunkowego, należy pamiętać o możliwych konsekwencjach.

  • Ryzyko związane z logowaniem i ryzyko związane z użytkownikiem. Zachowanie użytkownika w dzierżawie macierzystej częściowo wpływa na ryzyko związane z logowaniem i ryzyko użytkownika. Najemca przechowuje dane i ocenę ryzyka. Jeśli zasady dzierżawy zasobów blokują użytkownika zewnętrznego, administrator dzierżawy zasobów może nie być w stanie włączyć dostępu. Ochrona Microsoft Entra ID i użytkownicy B2B wyjaśnia, jak Ochrona ID firmy Microsoft Entra wykrywa naruszone poświadczenia dla użytkowników Microsoft Entra.
  • Lokalizacje. Nazwane definicje lokalizacji w dzierżawie zasobów określają zakres zasad. Zakres zasad nie ocenia zaufanych lokalizacji zarządzanych w dzierżawie głównej. Jeśli Twoja organizacja chce udostępniać zaufane lokalizacje między dzierżawami, zdefiniuj lokalizacje w każdej z dzierżaw, gdzie określasz zasoby i zasady dostępu warunkowego.

Zabezpieczanie Twojego środowiska wielotenantowego

Zabezpieczanie środowiska multitenant rozpoczyna się od zapewnienia, że każdy najemca przestrzega najlepszych praktyk w zakresie bezpieczeństwa. Zapoznaj się z listą kontrolną zabezpieczeń i najlepszymi rozwiązaniami, aby uzyskać wskazówki dotyczące zabezpieczania dzierżawy. Upewnij się, że te najlepsze rozwiązania są przestrzegane i przeanalizuj je z najemcami, z którymi ściśle współpracujesz.

Ochrona kont administratorów i zapewnianie najniższych uprawnień

Monitoruj swoje środowisko wielodostępne

  • Monitoruj zmiany zasad dostępu między dzierżawcami za pomocą interfejsu użytkownika UI dzienników inspekcji, interfejsu API lub integracji z Azure Monitor (na potrzeby proaktywnych alertów). Zdarzenia inspekcji używają kategorii "CrossTenantAccessSettings" i "CrossTenantIdentitySyncSettings". Monitorując zdarzenia inspekcji w tych kategoriach, mogą Państwo zidentyfikować jakiekolwiek zmiany zasad dostępu między dzierżawami w Twojej dzierżawie i podjąć działania. Podczas tworzenia alertów w usłudze Azure Monitor można utworzyć zapytanie, takie jak poniższe, aby zidentyfikować wszelkie zmiany zasad dostępu między dzierżawami.
AuditLogs
| where Category contains "CrossTenant"
  • Monitoruj jakichkolwiek nowych partnerów dodanych w ustawieniach dostępu między dzierżawami.
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
  • Monitoruj zmiany w zasadach dostępu między dzierżawami zezwalających lub niezezwalających na synchronizację.
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
  • Monitoruj dostęp do aplikacji w swojej dzierżawie za pomocą pulpitu nawigacyjnego aktywności dostępu między dzierżawami. Monitorowanie umożliwia sprawdzenie, kto uzyskuje dostęp do zasobów w dzierżawie i skąd pochodzą ci użytkownicy.

Niech ustawieniem domyślnym będzie odmowa

  • Wymagaj przypisania użytkownika dla aplikacji. Jeśli aplikacja ma właściwość wymagane przypisanie użytkownika? ustawioną na Nie, użytkownicy zewnętrzni mogą uzyskiwać dostęp do aplikacji. Ogranicz swoją aplikację Microsoft Entra do zestawu użytkowników w ramach dzierżawy Microsoft Entra wyjaśnia, w jaki sposób zarejestrowane aplikacje w ramach dzierżawy Microsoft Entra są domyślnie dostępne dla wszystkich użytkowników dzierżawy, którzy pomyślnie się uwierzytelniają.
  • Zaktualizuj ustawienia współpracy zewnętrznej, aby tylko użytkownicy będący członkami i użytkownicy przypisani do określonych ról administratora mogli zapraszać użytkowników-gości, w tym gości z uprawnieniami członków. Uniemożliwia to gościom w dzierżawie zapraszanie innych użytkowników.
  • Włączaj synchronizację między dzierżawami lub zasady dostępu między dzierżawami oparte na zaufaniu do MFA tylko w przypadku dzierżaw o wysokim poziomie zaufania.
  • Utwórz domyślną politykę blokowania ruchu wychodzącego i zezwalaj tylko użytkownikom na logowanie się jako goście do zatwierdzonych najemców przy użyciu tożsamości służbowej. Zapewni to izolację najemców oraz dwukierunkowy przepływ informacji między nimi.
  • Ogranicz dostęp użytkowników zewnętrznych do wstępnie zdefiniowanej listy dzierżaw przy użyciu ograniczeń najemców .
  • Sprawdź, czy ograniczenie dostępu gościa nie jest ustawione na wartość "Użytkownicy-goście mają taki sam dostęp, jak członkowie (najbardziej inkluzywne).
  • Sprawdź, czy opcja "Włącz rejestrację samoobsługową gościa za pośrednictwem przepływów użytkownika" jest wyłączona. Przepływ rejestracji samoobsługowej umożliwia tworzenie tożsamości gości w tenantcie bez inicjatywy ze strony użytkowników wewnętrznych.

Obrona w Głębi

Warunkowy Dostęp.

  • Definiowanie zasad kontroli dostępu w celu kontrolowania dostępu do zasobów.
  • Projektowanie zasad dostępu warunkowego z myślą o użytkownikach zewnętrznych.
  • Sprawdź, czy polityka dostępu warunkowego dotycząca częstotliwości logowania jest stosowana do wszystkich logowań gości. Częstotliwość logowania powinna być ograniczona do maksymalnie 24 godzin. Tokeny gości logowanych z urządzeń niezarządzanych są narażone na większe ryzyko eksfiltracji tokenu i ataków ponownego odtwarzania tokenu. Ograniczenie okresu istnienia tokenu zmniejsza narażenie na ryzyko. Zapewni to, że nawet jeśli token jest eksfiltrowany, aktor zagrożenia ma ograniczone okno użycia.
  • Utwórz dedykowane zasady dostępu warunkowego dla kont zewnętrznych. Jeśli twoja organizacja używa warunku grupy członkostwa dynamicznego wszystkich użytkowników w istniejących zasadach dostępu warunkowego, te zasady mają wpływ na użytkowników zewnętrznych, ponieważ są one w zakresie wszystkich użytkowników.

Sterowanie dostępem między dzierżawcami

Jednostki zarządzania z ograniczeniami

W przypadku używania grup zabezpieczeń do kontrolowania, kto znajduje się w zakresie synchronizacji między dzierżawami, ogranicz możliwość dokonywania zmian w grupie zabezpieczeń. Zminimalizuj liczbę właścicieli grup zabezpieczeń przypisanych do zadania synchronizacji między dzierżawami i uwzględnij grupy w jednostce zarządzania ograniczonego dostępu. Spowoduje to ograniczenie liczby osób, które mogą dodawać lub usuwać członków grupy oraz zarządzać kontami w różnych dzierżawach.

Inne zagadnienia dotyczące kontroli dostępu

Postanowienia

Warunki użytkowania firmy Microsoft stanowią prostą metodę, która umożliwia organizacjom prezentowanie informacji użytkownikom końcowym. Warunki użytkowania umożliwiają wymaganie od użytkowników zewnętrznych zatwierdzenia warunków użytkowania przed uzyskaniem dostępu do zasobów.

Zagadnienia dotyczące licencjonowania użytkowników-gości z funkcjami Microsoft Entra ID P1 lub P2

Ceny Microsoft Entra Zewnętrzny ID są oparte na miesięcznych aktywnych użytkownikach (MAU). Liczba aktywnych użytkowników to liczba unikatowych użytkowników z aktywnością uwierzytelniania w ciągu miesiąca kalendarzowego. Model rozliczeń dla Microsoft Entra External ID opisuje sposób ustalania cen na podstawie MAU.

Zagadnienia dotyczące usługi Office 365

Poniższe informacje dotyczą usługi Office 365 w kontekście scenariuszy tego artykułu. Szczegółowe informacje są dostępne w witrynie Microsoft 365 intertenant collaboration 365 intertenant collaboration(Współpraca międzydostępna 365). W tym artykule opisano opcje, które obejmują używanie centralnej lokalizacji dla plików i konwersacji, udostępniania kalendarzy, korzystania z wiadomości błyskawicznych, połączeń audio/wideo na potrzeby komunikacji i zabezpieczania dostępu do zasobów i aplikacji.

Microsoft Exchange Online

Usługa Exchange Online ogranicza niektóre funkcje dla użytkowników zewnętrznych. Limity można zmniejszyć, tworząc użytkowników zewnętrznych członków zamiast zewnętrznych użytkowników-gości. Obsługa użytkowników zewnętrznych ma następujące ograniczenia.

  • Możesz przypisać licencję usługi Exchange Online do użytkownika zewnętrznego. Nie można jednak wydać im tokenu dla usługi Exchange Online. Wyniki są następujące, że nie mogą uzyskać dostępu do zasobu.
    • W dzierżawie zasobów użytkownicy zewnętrzni nie mogą korzystać z udostępnionych ani delegowanych skrzynek pocztowych usługi Exchange Online.
    • Możesz przypisać użytkownika zewnętrznego do udostępnionej skrzynki pocztowej, ale nie może uzyskać do niej dostępu.
  • Musisz ujawnić użytkowników zewnętrznych, aby uwzględnić ich w Globalnej Liście Adresowej. Domyślnie są one ukryte.
    • Ukryci zewnętrzni użytkownicy są tworzeni w momencie zapraszania. Tworzenie jest niezależne od tego, czy użytkownik zrealizował zaproszenie. W związku z tym, jeśli wszyscy użytkownicy zewnętrzni zostaną ujawnieni, lista zawiera obiekty użytkowników zewnętrznych, którzy nie przyjęli zaproszenia. W zależności od scenariusza możesz lub nie chcesz, aby obiekty zostały wyświetlone.
    • Użytkownicy zewnętrzni mogą zostać odkryci przy użyciu programu Exchange Online PowerShell. Możesz wykonać polecenie cmdlet Set-MailUser programu PowerShell, aby ustawić właściwość HiddenFromAddressListsEnabled na wartość $false.

Na przykład:

Set-MailUser [ExternalUserUPN] -HiddenFromAddressListsEnabled:\$false\

Gdzie ExternalUserUPN to obliczona nazwa główna użytkownika (UserPrincipalName).

Na przykład:

Set-MailUser externaluser1_contoso.com#EXT#@fabrikam.onmicrosoft.com\ -HiddenFromAddressListsEnabled:\$false

Użytkownicy zewnętrzni mogą zostać ukryci w Centrum administracyjne platformy Microsoft 365.

  • Aktualizacje można ustawić tylko na właściwości specyficzne dla programu Exchange (takie jak PrimarySmtpAddress, ExternalEmailAddress, EmailAddresses i MailTip) przy użyciu programu Exchange Online PowerShell. Centrum administracyjne usługi Exchange Online nie umożliwia modyfikowania atrybutów przy użyciu graficznego interfejsu użytkownika (GUI).

Jak pokazano w przykładzie, możesz użyć polecenia cmdlet Set-MailUser programu PowerShell dla właściwości specyficznych dla poczty. Istnieją właściwości użytkownika, które można zmodyfikować za pomocą polecenia cmdlet Set-User PowerShell. Większość właściwości można modyfikować za pomocą interfejsów API programu Microsoft Graph.

Jedną z najbardziej przydatnych funkcji Set-MailUser jest możliwość manipulowania właściwością EmailAddresses . Ten wielowartościowy atrybut może zawierać wiele adresów proxy dla użytkownika zewnętrznego (takich jak SMTP, X500, Protokół inicjowania sesji (SIP)). Domyślnie użytkownik zewnętrzny ma podstawowy adres SMTP skorelowany z nazwą UserPrincipalName (UPN). Jeśli chcesz zmienić podstawowy protokół SMTP lub dodać adresy SMTP, możesz ustawić tę właściwość. Nie można użyć Centrum administracyjnego programu Exchange; należy użyć programu PowerShell usługi Exchange Online. Dodawanie lub usuwanie adresów e-mail skrzynki pocztowej w usłudze Exchange Online pokazuje różne sposoby modyfikowania wielowartościowej właściwości, takiej jak EmailAddresses.

Program Microsoft SharePoint na platformie Microsoft 365

Program SharePoint na platformie Microsoft 365 ma własne uprawnienia specyficzne dla usługi, zależnie od tego, czy użytkownik (wewnętrzny lub zewnętrzny) jest członkiem czy gościem w dzierżawie Microsoft Entra. Udostępnianie zewnętrzne platformy Microsoft 365 i współpraca B2B firmy Microsoft Entra opisuje, jak umożliwić integrację z programem SharePoint i usługą OneDrive w celu udostępniania plików, folderów, elementów listy, bibliotek dokumentów i witryn osobom spoza Twojej organizacji. Rozwiązanie Microsoft 365 robi to podczas korzystania z usługi Azure B2B na potrzeby uwierzytelniania i zarządzania.

Po włączeniu udostępniania zewnętrznego w programie SharePoint na platformie Microsoft 365 możliwość wyszukiwania użytkowników-gości w selektorze osób platformy Microsoft 365 jest domyślnie wyłączona . To ustawienie uniemożliwia użytkownikom-gościom bycie odnajdywanymi, gdy są ukryci przed listą adresową usługi Exchange Online. Użytkownicy-goście mogą stać się widoczni na dwa sposoby (nie wykluczające się wzajemnie):

  • Możesz włączyć możliwość wyszukiwania użytkowników-gości na następujące sposoby:
  • Użytkownicy-goście widoczni w GAL usługi Exchange Online są również widoczni w selektorze osób w SharePoint w Microsoft 365. Konta są widoczne niezależnie od ustawień opcji ShowPeoplePickerSuggestionsForGuestUsers.

Microsoft Teams

Usługa Microsoft Teams ma funkcje ograniczające dostęp i oparte na typie użytkownika. Zmiany typu użytkownika mogą mieć wpływ na dostęp do zawartości i dostępne funkcje. Usługa Microsoft Teams wymaga od użytkowników zmiany kontekstu, korzystając z mechanizmu przełączania dzierżaw w kliencie Teams podczas pracy w Teams poza dzierżawą główną.

Mechanizm przełączania dzierżawy dla usługi Microsoft Teams może wymagać od użytkowników ręcznego przełączenia kontekstu klienta usługi Teams podczas pracy w usłudze Teams poza ich dzierżawą główną.

Możesz umożliwić użytkownikom usługi Teams z innej domeny zewnętrznej znajdowanie, nawiązywanie połączeń, czatów i konfigurowanie spotkań z użytkownikami za pomocą federacji usługi Teams. Zarządzanie spotkaniami zewnętrznymi i czatami z osobami i organizacjami przy użyciu tożsamości firmy Microsoft opisuje, jak umożliwić użytkownikom w organizacji czat i spotkać się z osobami spoza organizacji korzystającymi z firmy Microsoft jako dostawcy tożsamości.

Zagadnienia dotyczące licencjonowania użytkowników-gości w usłudze Teams

W przypadku korzystania z usługi Azure B2B z obciążeniami usługi Office 365 kluczowe kwestie to sytuacje, w których użytkownicy-goście (wewnętrzni lub zewnętrzni) nie mają takiego samego doświadczenia jak użytkownicy będący członkami.

  • Grupy Microsoft.Dodawanie gości do grup Microsoft 365 opisuje, w jaki sposób dostęp gościa w grupach Microsoft 365 umożliwia Tobie i Twojemu zespołowi współpracę z osobami spoza organizacji, udzielając im dostępu do konwersacji grupowych, plików, zaproszeń kalendarza i notesu grupy.
  • Microsoft Teams.Funkcje właściciela zespołu, członka i gościa w Microsoft Teams opisują środowisko konta gościa. Możesz umożliwić pełne wrażenia w usłudze Teams, korzystając z użytkowników będących zewnętrznymi członkami.
    • W przypadku wielu dzierżaw w chmurze komercyjnej użytkownicy licencjonowani w dzierżawie macierzystej mogą uzyskiwać dostęp do zasobów w innej dzierżawie w ramach tej samej jednostki prawnej. Dostęp można udzielić przy użyciu ustawienia zewnętrznych członków bez dodatkowych opłat licencyjnych. To ustawienie dotyczy programów SharePoint i OneDrive dla zespołów i grup.
    • W przypadku wielu dzierżawców w innych chmurach Microsoft oraz wielu dzierżawców w różnych chmurach sprawdzanie licencji członków B2B nie jest jeszcze dostępne. Użycie członka B2B z Teams wymaga dodatkowej licencji dla każdego członka B2B. To wymaganie może również mieć wpływ na inne obciążenia, takie jak usługa Power BI.
    • Użycie członków B2B dla najemców, którzy nie są częścią tej samej jednostki prawnej, podlega dodatkowym wymaganiom licencyjnym.
  • Funkcje zarządzania tożsamością. Zarządzanie upoważnieniami i przeglądy dostępu mogą wymagać innych licencji dla użytkowników zewnętrznych.
  • Inne produkty. Produkty takie jak dynamics customer relationship management (CRM) mogą wymagać licencjonowania w każdej dzierżawie, w której użytkownik jest reprezentowany.

Następne kroki