Zarządzanie dostępem dla użytkowników zewnętrznych w zarządzaniu upoważnieniami

Zarządzanie upoważnieniami używa firmy Microsoft Entra business-to-business (B2B) do udostępniania dostępu, aby umożliwić współpracę z osobami spoza organizacji. Dzięki usłudze Microsoft Entra B2B użytkownicy zewnętrzni uwierzytelniają się poprzez swoje własne katalogi, ale są reprezentowani w twoim katalogu. Obecność w twoim katalogu umożliwia użytkownikowi przypisanie dostępu do twoich zasobów.

W tym artykule opisano ustawienia, które można określić, aby zarządzać dostępem dla użytkowników zewnętrznych.

Jak zarządzanie upoważnieniami może pomóc

Korzystając z funkcji zapraszania Microsoft Entra B2B, musisz już znać adresy e-mail zewnętrznych użytkowników-gości, których chcesz zaprosić do korzystania z katalogu zasobów i z nimi pracować. Bezpośrednie zapraszanie każdego użytkownika działa świetnie, gdy pracujesz nad mniejszym lub krótkoterminowym projektem i znasz już wszystkich uczestników, ale ten proces jest trudniejszy do zarządzania, jeśli masz wielu użytkowników, z którymi chcesz pracować, lub jeśli uczestnicy zmieniają się wraz z upływem czasu. Na przykład możesz pracować z inną organizacją i mieć jeden punkt kontaktu z organizacją, ale z czasem więcej użytkowników z tej organizacji będzie również potrzebować dostępu.

Za pomocą zarządzania upoważnieniami można zdefiniować zasady, które umożliwiają użytkownikom z organizacji możliwość samodzielnego żądania pakietu dostępu. Te zasady obejmują, czy wymagane jest zatwierdzenie, czy przeglądy dostępu są wymagane, oraz data wygaśnięcia dostępu. W większości przypadków chcesz wymagać zatwierdzenia, aby mieć odpowiedni nadzór nad tym, którzy użytkownicy są wprowadzani do katalogu. Jeśli wymagane jest zatwierdzenie, w przypadku głównych partnerów organizacji zewnętrznych możesz rozważyć zaproszenie co najmniej jednego użytkownika z organizacji zewnętrznej do katalogu, wyznaczenie ich jako sponsorów i skonfigurowanie, że sponsorzy są osobami zatwierdzającym — ponieważ prawdopodobnie będą wiedzieć, którzy użytkownicy zewnętrzni z organizacji potrzebują dostępu. Po skonfigurowaniu pakietu dostępu uzyskaj link żądania pakietu dostępu, aby można było wysłać ten link do osoby kontaktowej (sponsora) w organizacji zewnętrznej. Osoba kontaktowa może udostępnić link innym użytkownikom w swojej zewnętrznej organizacji, a oni mogą użyć tego linku, aby zażądać pakietu dostępu. Użytkownicy z tej organizacji, którzy są już zaproszeni do katalogu, mogą również używać tego linku.

Możesz również użyć funkcji zarządzania dostępem do wprowadzania użytkowników z organizacji, które nie mają własnego katalogu Microsoft Entra. Możesz skonfigurować dostawcę tożsamości federacyjnej dla swojej domeny lub użyć uwierzytelniania opartego na wiadomości e-mail. Możesz również wprowadzić użytkowników od dostawców tożsamości społecznych, w tym tych z kontami Microsoft.

Zazwyczaj po zatwierdzeniu żądania zarządzanie upoważnieniami aprowizuje użytkownika z wymaganym dostępem. Jeśli użytkownik nie znajduje się jeszcze w twoim katalogu, zarządzanie upoważnieniami najpierw zaprosi użytkownika. Gdy użytkownik zostanie zaproszony, identyfikator Entra firmy Microsoft automatycznie utworzy dla niego konto gościa B2B, ale nie wyśle użytkownikowi wiadomości e-mail. Administrator mógł ograniczyć, które organizacje mogą współpracować, ustawiając listę B2B dozwolonych lub zablokowanych, aby zezwalać na zaproszenia do domen innych organizacji lub je blokować. Jeśli domena użytkownika nie jest dozwolona przez te listy, nie zostanie zaproszony i nie można mu przypisać dostępu, dopóki listy nie zostaną zaktualizowane.

Ponieważ nie chcesz, aby dostęp użytkownika zewnętrznego trwał wiecznie, należy określić datę wygaśnięcia w zasadach, taką jak 180 dni. Po upływie 180 dni, jeśli ich dostęp nie zostanie rozszerzony, zarządzanie upoważnieniami usunie cały dostęp skojarzony z tym pakietem dostępu. Domyślnie jeśli użytkownik, który został zaproszony za pośrednictwem zarządzania upoważnieniami, nie ma żadnych innych przypisań pakietów dostępu, po utracie ostatniego przypisania konto gościa zostanie zablokowane do zalogowania się przez 30 dni, a później usunięte. Zapobiega to rozprzestrzenianiu niepotrzebnych kont. Zgodnie z opisem w poniższych sekcjach te ustawienia można konfigurować.

Jak działa dostęp dla użytkowników zewnętrznych

Poniższy diagram i kroki zawierają omówienie sposobu udzielania użytkownikom zewnętrznym dostępu do pakietu dostępu.

1. Dodajesz połączoną organizację dla katalogu lub domeny Microsoft Entra, z którą chcesz współpracować. Możesz również skonfigurować połączoną organizację dla dostawcy tożsamości społecznościowych.

2. Sprawdź w ustawieniach wykazu, czy opcja Włączone dla użytkowników zewnętrznych ma wartość Tak, aby katalog zawierał pakiet dostępu.

3. W swoim katalogu należy utworzyć pakiet dostępu zawierający zasady Dla użytkowników spoza katalogu; określający połączone organizacje, które mogą składać wnioski, osobę zatwierdzającą oraz ustawienia cyklu życia. W przypadku wybrania w zasadach opcji określonych połączonych organizacji lub opcji wszystkich połączonych organizacji, tylko użytkownicy z tych organizacji, które zostały wcześniej skonfigurowane, mogą składać wnioski. Jeśli wybierzesz opcję w polityce dla wszystkich użytkowników, każdy użytkownik może złożyć wniosek, w tym ci, którzy nie są jeszcze częścią katalogu i nie należą do żadnej połączonej organizacji.

4. Sprawdź ukryte ustawienie pakietu dostępu, aby upewnić się, że jest on ukryty. Jeśli nie jest ukryty, każdy użytkownik upoważniony przez ustawienia zasad w tym pakiecie dostępu może przeglądać pakiet dostępu w portalu Mój dostęp dla twojej dzierżawy.

5. Możesz wysłać link do portalu Mój dostęp do kontaktu w organizacji zewnętrznej, który mogą udostępnić swoim użytkownikom, aby poprosić o pakiet dostępu.

6. Użytkownik zewnętrzny (Requestor A w tym przykładzie) używa linku do portalu Mój Dostęp, aby poprosić o dostęp do pakietu dostępu. Portal Mój dostęp wymaga zalogowania się użytkownika w ramach połączonej organizacji. Sposób logowania użytkownika zależy od typu uwierzytelniania katalogu lub domeny zdefiniowanej w połączonej organizacji i ustawieniach użytkowników zewnętrznych.

7. Osoba zatwierdzająca zatwierdza żądanie (zakładając, że zasady wymagają zatwierdzenia).

8. Żądanie przechodzi do stanu dostarczania.

9. Przy użyciu procesu zapraszania B2B konto użytkownika-gościa jest tworzone w twoim katalogu (Requestor A (Gość) w tym przykładzie). Jeśli zdefiniowano listę dozwolonych lub listę zablokowanych, zostanie zastosowane ustawienie listy.

10. Użytkownik-gość ma przypisany dostęp do wszystkich zasobów w pakiecie dostępu. Wprowadzenie zmian w identyfikatorze Entra firmy Microsoft i innych usługach Microsoft Online Services lub połączonych aplikacjach SaaS może zająć trochę czasu. Aby uzyskać więcej informacji, zobacz Kiedy są stosowane zmiany.

11. Użytkownik zewnętrzny otrzymuje wiadomość e-mail z informacją, że ich dostęp został dostarczony.

12. Aby uzyskać dostęp do zasobów, użytkownik zewnętrzny może wybrać link w wiadomości e-mail lub spróbować uzyskać dostęp do dowolnego zasobu katalogu bezpośrednio w celu ukończenia procesu zaproszenia.

13. Jeśli ustawienia zasad obejmują datę wygaśnięcia, później, gdy przypisanie pakietu dostępu dla użytkownika zewnętrznego wygaśnie, prawa dostępu użytkownika zewnętrznego z tego pakietu dostępu zostaną usunięte.

14. W zależności od cyklu życia ustawień użytkowników zewnętrznych, gdy użytkownik zewnętrzny nie ma już żadnych przypisań pakietów dostępu, użytkownik zewnętrzny nie może się zalogować, a konto użytkownika zewnętrznego zostanie usunięte z katalogu.

Ustawienia dla użytkowników zewnętrznych

Aby upewnić się, że osoby spoza organizacji mogą żądać pakietów dostępu i uzyskiwać dostęp do zasobów w tych pakietach dostępu, istnieją pewne ustawienia, które należy zweryfikować, są prawidłowo skonfigurowane.

Włączanie wykazu dla użytkowników zewnętrznych

• Domyślnie podczas tworzenia nowego wykazu jest on włączony, aby umożliwić użytkownikom zewnętrznym żądanie dostępu pakietów w wykazie. Upewnij się, że opcja Włączone dla użytkowników zewnętrznych ma wartość Tak.

  

  Jeśli jesteś administratorem lub właścicielem wykazu, możesz wyświetlić listę katalogów, które są obecnie włączone dla użytkowników zewnętrznych, na liście katalogów centrum administracyjnego firmy Microsoft Entra, zmieniając ustawienie filtru Włączone dla użytkowników zewnętrznych na Tak. Jeśli którykolwiek z tych katalogów pokazanych w tym przefiltrowanym widoku ma niezerową liczbę pakietów dostępu, te pakiety dostępu mogą mieć zasady dla użytkowników, którzy nie znajdują się w katalogu pozwalające użytkownikom zewnętrznym na składanie wniosków.

Konfigurowanie ustawień współpracy zewnętrznej firmy Microsoft Entra B2B

• Zezwolenie gościom na zapraszanie innych gości do katalogu oznacza, że zaproszenia gości mogą odbywać się poza zarządzaniem upoważnieniami. Zalecamy ustawienie opcji Goście mogą zapraszać na wartość Nie , aby zezwalać tylko na odpowiednie zaproszenia zarządzane.

• Jeśli wcześniej używasz listy dozwolonych B2B, musisz usunąć listę lub upewnić się, że wszystkie domeny wszystkich organizacji, z którymi chcesz współpracować przy użyciu zarządzania upoważnieniami, zostaną dodane do listy. Alternatywnie, jeśli używasz listy blokowanych B2B, musisz upewnić się, że żadna z domen organizacji, z którymi chcesz współpracować, nie znajduje się na tej liście.

• Jeśli utworzysz zasady zarządzania upoważnieniami dla wszystkich użytkowników (Wszystkie połączone organizacje i wszyscy nowi użytkownicy zewnętrzni), a użytkownik nie należy do połączonej organizacji w katalogu, połączona organizacja zostanie automatycznie utworzona podczas żądania pakietu. Jednak wszelkie ustawienia B2B dotyczące listy dozwolonych lub zablokowanych mają pierwszeństwo. W związku z tym chcesz usunąć listę dozwolonych, jeśli używasz tej listy, aby wszyscy użytkownicy mogli żądać dostępu i wykluczyć wszystkie autoryzowane domeny z listy zablokowanych, jeśli używasz listy zablokowanych.

• Jeśli chcesz utworzyć zasady zarządzania upoważnieniami obejmujące wszystkich użytkowników (Wszystkie połączone organizacje i nowych użytkowników zewnętrznych), musisz najpierw włączyć uwierzytelnianie za pomocą jednorazowego kodu dostępu poczty e-mail dla katalogu. Aby uzyskać więcej informacji, zobacz Jednorazowe uwierzytelnianie hasła e-mail.

• Aby uzyskać więcej informacji na temat ustawień współpracy zewnętrznej firmy Microsoft Entra B2B, zobacz Konfigurowanie ustawień współpracy zewnętrznej.

  

Przejrzyj ustawienia dostępu między dzierżawami

• Upewnij się, że ustawienia dostępu między dzierżawami dla przychodzącej współpracy B2B umożliwiają żądanie i przypisywanie dostępu. Należy sprawdzić, czy ustawienia zezwalają dzierżawcom należącym do bieżących lub przyszłych połączonych organizacji oraz czy użytkownicy z tych dzierżaw nie są blokowani przed zapraszaniem. Ponadto sprawdź, czy ci użytkownicy mogą korzystać z ustawień dostępu między dzierżawami, aby umożliwić uwierzytelnianie w aplikacjach, dla których chcesz włączyć scenariusze współpracy. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień dostępu między dzierżawami.
• Jeśli tworzysz powiązaną organizację dla dzierżawcy Microsoft Entra z innej chmury Microsoft, musisz również odpowiednio skonfigurować ustawienia dostępu między dzierżawcami. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień chmury firmy Microsoft.

Przeglądanie zasad dostępu warunkowego

• Pamiętaj, aby wykluczyć aplikację Zarządzanie upoważnieniami z dowolnych zasad dostępu warunkowego, które mają wpływ na użytkowników-gości. W przeciwnym razie zasady dostępu warunkowego mogą zablokować możliwość dostępu do usługi MyAccess lub zalogowania się do Twojego katalogu. Na przykład goście prawdopodobnie nie mają zarejestrowanego urządzenia, nie są w znanej lokalizacji i nie chcą ponownie rejestrować się w celu uwierzytelniania wieloskładnikowego (MFA), dlatego dodanie tych wymagań w zasadach dostępu warunkowego uniemożliwi gościom korzystanie z zarządzania upoważnieniami. Aby uzyskać więcej informacji, zobacz Co to są warunki w usłudze Microsoft Entra Conditional Access?.

• Jeśli dostęp warunkowy blokuje wszystkie aplikacje w chmurze, upewnij się, że oprócz wykluczenia aplikacji Entitlement Management, również Request Approvals Read Platform są wykluczone w twojej zasadzie dostępu warunkowego. Zacznij od potwierdzenia, że masz niezbędne role: administrator dostępu warunkowego, administrator aplikacji, administrator przypisania atrybutu i administrator definicji atrybutu. Następnie utwórz niestandardowy atrybut zabezpieczeń z odpowiednią nazwą i wartościami. Znajdź jednostkę usługi dla Request Approvals Read Platform w Enterprise Applications i przypisz tej aplikacji atrybut niestandardowy z wybraną wartością. W zasadach dostępu warunkowego zastosuj filtr, aby wykluczyć wybrane aplikacje na podstawie niestandardowej nazwy atrybutu i wartości przypisanej do platformy Request Approvals Read Platform. Aby uzyskać więcej informacji na temat filtrowania aplikacji w zasadach dostępu warunkowego, zobacz : Dostęp warunkowy: Filtr dla aplikacji

  

  

  

Uwaga

Aplikacja Zarządzanie upoważnieniami obejmuje stronę zarządzania upoważnieniami w obszarze MyAccess, stronę zarządzania upoważnieniami centrum administracyjnego firmy Microsoft Entra oraz część Zarządzanie upoważnieniami programu MS Graph. Te dwa ostatnie wymagają dodatkowych uprawnień dostępu, dlatego nie będą dostępne dla gości, chyba że podano jawne uprawnienia.

Przeglądanie ustawień udostępniania zewnętrznego usługi SharePoint Online

• Jeśli chcesz uwzględnić witryny usługi SharePoint Online w pakietach dostępu dla użytkowników zewnętrznych, upewnij się, że ustawienie udostępniania zewnętrznego na poziomie organizacji ma wartość Każdy (użytkownicy nie wymagają logowania) lub Nowi i istniejący goście (goście muszą się zalogować lub podać kod weryfikacyjny). Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie udostępniania zewnętrznego.

• Jeśli chcesz ograniczyć udostępnianie zewnętrzne poza zarządzaniem dostępem, możesz ustawić ustawienie udostępniania zewnętrznego na Istniejący goście. Następnie tylko nowi użytkownicy zaproszeni za pośrednictwem zarządzania upoważnieniami mogą uzyskać dostęp do tych witryn. Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie udostępniania zewnętrznego.

• Upewnij się, że ustawienia na poziomie lokacji umożliwiają dostęp gościa (te same opcje co wcześniej wymienione). Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie udostępniania zewnętrznego dla witryny.

Przeglądanie ustawień udostępniania grup platformy Microsoft 365

• Jeśli chcesz uwzględnić grupy platformy Microsoft 365 w pakietach dostępu dla użytkowników zewnętrznych, upewnij się, że opcja Zezwalaj użytkownikom na dodawanie nowych gości do organizacji ma wartość Włączone , aby zezwolić na dostęp gościa. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem gościa do Grupy Microsoft 365.

• Jeśli chcesz, aby użytkownicy zewnętrzni mogli uzyskiwać dostęp do witryny i zasobów usługi SharePoint Online skojarzonych z grupą platformy Microsoft 365, upewnij się, że włączono udostępnianie zewnętrzne usługi SharePoint Online. Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie udostępniania zewnętrznego.

• Aby uzyskać informacje o sposobie ustawiania zasad gościa dla grup platformy Microsoft 365 na poziomie katalogu w programie PowerShell, zobacz Przykład: Konfigurowanie zasad gościa dla grup na poziomie katalogu.

Przeglądanie ustawień udostępniania usługi Teams

• Jeśli chcesz uwzględnić aplikację Teams w pakietach dostępu dla użytkowników zewnętrznych, upewnij się, że opcja Zezwalaj na dostęp gościa w usłudze Microsoft Teams jest ustawiona na wartość Włączone , aby zezwolić na dostęp gościa. Aby uzyskać więcej informacji, zobacz Konfigurowanie dostępu gościa w centrum administracyjnym usługi Microsoft Teams.

Zarządzanie cyklem życia użytkowników zewnętrznych

Możesz wybrać, co się stanie, gdy użytkownik zewnętrzny, który został zaproszony do katalogu, wysyłając żądanie pakietu dostępu, nie ma już żadnych przypisań pakietów dostępu. Może się tak zdarzyć, jeśli użytkownik zrezygnowa ze wszystkich przypisań pakietów dostępu lub ich ostatnie przypisanie pakietu dostępu wygaśnie. Domyślnie, gdy użytkownik zewnętrzny nie ma już żadnych przypisań pakietów dostępu, nie może zalogować się do katalogu. Po upływie 30 dni konto użytkownika-gościa zostanie usunięte z katalogu. Można również skonfigurować, że użytkownik zewnętrzny nie jest zablokowany do logowania lub usunięcia albo że użytkownik zewnętrzny nie jest zablokowany do logowania, ale jest usuwany.

1. Zaloguj się do Centrum administracyjnego Microsoft Entra jako co najmniej Administrator zarządzania tożsamościami.

2. Przejdź do Zarządzanie tożsamościami>Zarządzanie uprawnieniami>Ustawienia.

3. Zaznacz Edytuj.

   

4. W sekcji Zarządzanie cyklem życia użytkowników zewnętrznych wybierz różne ustawienia dla użytkowników zewnętrznych.

5. Gdy użytkownik zewnętrzny utraci ostatnie przypisanie do jakichkolwiek pakietów dostępu, jeśli chcesz zablokować im logowanie się do tego katalogu, ustaw opcję Blokuj logowanie użytkownika zewnętrznego do tego katalogu na wartość Tak.

   Uwaga

   Zarządzanie upoważnieniami blokuje tylko zewnętrzne konta użytkowników-gości przed zalogowaniem się, które zostały zaproszone za pośrednictwem zarządzania upoważnieniami lub które zostały dodane do zarządzania upoważnieniami na potrzeby zarządzania cyklem życia przez przekonwertowanie konta użytkownika-gościa na zarządzane. Należy również pamiętać, że użytkownik nie będzie mógł się zalogować, nawet jeśli ten użytkownik został dodany do zasobów w tym katalogu, które nie miały dostępu do przypisań pakietów. Jeśli użytkownik nie może zalogować się do tego katalogu, użytkownik nie będzie mógł ponownie zażądać pakietu dostępu lub zażądać dodatkowego dostępu w tym katalogu. Nie należy konfigurować blokowania ich logowania, jeśli będą musieli później zażądać dostępu do tego lub innych pakietów dostępu.

6. Gdy użytkownik zewnętrzny utraci ostatnie przypisanie do pakietów dostępu, jeśli chcesz usunąć swoje konto użytkownika-gościa w tym katalogu, ustaw opcję Usuń użytkownika zewnętrznego na Wartość Tak.

   Uwaga

   Zarządzanie upoważnieniami usuwa tylko zewnętrzne konta użytkowników-gości, które zostały zaproszone za pośrednictwem zarządzania upoważnieniami lub zostały dodane do zarządzania upoważnieniami na potrzeby zarządzania cyklem życia przez przekonwertowanie konta użytkownika-gościa na zarządzane. Należy również pamiętać, że użytkownik zostanie usunięty z tego katalogu, nawet jeśli ten użytkownik został dodany do zasobów w tym katalogu, które nie miały dostępu do przypisań pakietów. Jeśli gość był już obecny w tym katalogu przed otrzymaniem przypisania pakietów dostępu, pozostanie w nim. Jeśli jednak gość został zaproszony za pośrednictwem przypisania pakietu dostępu, a po zaproszeniu przypisano go również do witryny OneDrive dla Firm lub SharePoint Online, nadal zostanie usunięty. Zmiana ustawienia Usuń użytkownika zewnętrznego na Nie ma wpływu tylko na użytkowników, którzy następnie utracą swoje ostatnie przypisanie pakietu dostępu; użytkownicy, którzy zostali zaplanowani do usunięcia i zostaną zablokowani przed zalogowaniem, będą nadal usuwane zgodnie z oryginalnym harmonogramem.

7. Jeśli chcesz usunąć konto użytkownika-gościa w tym katalogu, możesz ustawić liczbę dni przed jego usunięciem. Gdy użytkownik zewnętrzny jest powiadamiany o wygaśnięciu pakietu dostępu, nie ma powiadomienia o usunięciu konta. Jeśli chcesz usunąć konto użytkownika-gościa zaraz po utracie ostatniego przypisania do pakietów dostępu, ustaw wartość Liczba dni przed usunięciem użytkownika zewnętrznego z tego katalogu na 0. Zmiany tej wartości mają wpływ tylko na użytkowników, którzy później korzystają z ich ostatniego przypisania pakietu dostępu; użytkownicy, którzy zostali przeznaczeni do usunięcia, zostaną usunięci zgodnie z pierwotnym harmonogramem.

8. Wybierz pozycję Zapisz.

Następne kroki

• Dodawanie połączonej organizacji
• W przypadku użytkowników, którzy nie znajdują się w katalogu
• Rozwiązywanie problemów