Zarządzanie kontami użytkowników zewnętrznych w usłudze Microsoft Entra ID
Użytkownicy współpracy microsoft Entra B2B są dodawani jako użytkownicy-goście do katalogu, a uprawnienia gościa w katalogu są domyślnie ograniczone. Twoja firma może potrzebować niektórych użytkowników-gości, aby wypełnić role wyższego poziomu uprawnień w organizacji. Aby umożliwić definiowanie ról o wyższych uprawnieniach, użytkownicy-goście mogą być dodawani do dowolnych ról w zależności od potrzeb organizacji.
Dodawanie użytkownika B2B do roli
Firma Microsoft zaleca, aby organizacje korzystały z reguły najniższych uprawnień. Możesz użyć usługi Privileged Identity Management (PIM), aby udzielić dostępu użytkownikom-gościom B2B/gości.
Kluczowe właściwości użytkownika współpracy B2B firmy Microsoft
UserType
Ta właściwość wskazuje relację użytkownika z dzierżawą hosta. Ta właściwość może mieć dwie wartości:
Członek: Ta wartość wskazuje pracownika organizacji hosta i użytkownika w liście płac organizacji. Na przykład ten użytkownik oczekuje dostępu do witryn tylko wewnętrznych. Ten użytkownik nie jest uważany za zewnętrznego współpracownika.
Gość: Ta wartość wskazuje użytkownika, który nie jest uważany za wewnętrzny dla firmy, na przykład zewnętrznego współpracownika, partnera lub klienta. Taki użytkownik nie oczekuje się, że otrzyma wewnętrzną notatkę dyrektora generalnego ani nie otrzyma korzyści firmowych, na przykład.
Uwaga
Typ użytkownika nie ma związku ze sposobem logowania użytkownika, rolą katalogu użytkownika itd. Ta właściwość po prostu wskazuje relację użytkownika z organizacją hosta i umożliwia organizacji wymuszanie zasad, które zależą od tej właściwości.
Tożsamości
Ta właściwość wskazuje podstawowego dostawcę tożsamości użytkownika. Użytkownik może mieć kilku dostawców tożsamości, które można wyświetlić, wybierając link obok pozycji Tożsamości w profilu użytkownika lub wysyłając zapytanie do właściwości tożsamości za pośrednictwem interfejsu API programu Microsoft Graph.
| Wartość właściwości Tożsamości | Stan logowania |
|---|---|
| Zewnętrzna dzierżawa firmy Microsoft Entra | Ten użytkownik jest umieszczony w organizacji zewnętrznej i uwierzytelnia się przy użyciu konta Microsoft Entra należącego do innej organizacji. |
| Konto Microsoft | Ten użytkownik jest w domu na koncie Microsoft i uwierzytelnia się przy użyciu konta Microsoft. |
| Domena hosta {host} | Ten użytkownik uwierzytelnia się przy użyciu konta Microsoft Entra należącego do tej organizacji. |
| google.com | Ten użytkownik ma konto Gmail i zarejestrował się przy użyciu samoobsługi w innej organizacji. |
| facebook.com | Ten użytkownik ma konto w serwisie Facebook i zarejestrował się przy użyciu samoobsługi w innej organizacji. |
| poczta | Ten użytkownik zarejestrował się przy użyciu jednorazowego kodu dostępu usługi Microsoft Entra Email (OTP). |
| {identyfikator URI wystawcy} | Ten użytkownik znajduje się w organizacji zewnętrznej, która nie używa identyfikatora Entra firmy Microsoft jako dostawcy tożsamości, ale zamiast tego używa dostawcy tożsamości opartego na protokole SAML/WS-Fed. |
Czy użytkownicy microsoft Entra B2B mogą być dodawani jako członkowie zamiast gości?
Zazwyczaj użytkownik i gość firmy Microsoft Entra B2B są synonimami. W związku z tym użytkownik współpracy microsoft Entra B2B jest dodawany jako użytkownik z userType = guest domyślnie. Jednak w niektórych przypadkach organizacja partnerska jest członkiem większej organizacji, do której należy również organizacja hosta. Jeśli tak, organizacja hostów może chcieć traktować użytkowników w organizacji partnerskiej jako członków zamiast gości. Użyj właściwości użytkownika Microsoft Entra, aby zmienić gościa na członka.
Filtruj dla użytkowników-gości w katalogu
Konwertowanie typu użytkownika
Można przekonwertować typ użytkownika z elementu członkowskiego na gościa i na odwrót przy użyciu programu PowerShell. Jednak właściwość UserType reprezentuje relację użytkownika z organizacją. W związku z tym należy zmienić tę właściwość tylko wtedy, gdy relacja użytkownika z organizacją ulegnie zmianie. Jeśli relacja użytkownika ulegnie zmianie, czy główna nazwa użytkownika (UPN) powinna ulec zmianie? Czy użytkownik powinien nadal mieć dostęp do tych samych zasobów? Czy skrzynka pocztowa powinna być przypisana? Nie zalecamy zmiany typu użytkownika przy użyciu programu PowerShell jako działania niepodzielnego. Ponadto w przypadku, gdy ta właściwość stanie się niezmienna przy użyciu programu PowerShell, nie zalecamy stosowania zależności od tej wartości.
Usuwanie ograniczeń użytkowników-gości
Mogą wystąpić przypadki, w których chcesz nadać użytkownikom-gościom wyższe uprawnienia. Możesz dodać użytkownika-gościa do dowolnej roli, a nawet usunąć domyślne ograniczenia użytkownika-gościa w katalogu, aby nadać użytkownikowi te same uprawnienia co członkowie. Można wyłączyć domyślne ograniczenia, aby użytkownik-gość w katalogu firmy miał takie same uprawnienia jak użytkownik członkowski. Usuń ograniczenie w ustawieniach użytkownika w menu Microsoft Entra ID.
Grupy dynamiczne i współpraca firmy Microsoft Entra B2B
Co to są grupy dynamiczne?
Dynamiczna konfiguracja członkostwa w grupie zabezpieczeń dla identyfikatora Entra firmy Microsoft jest dostępna w witrynie Azure Portal. Administratorzy mogą ustawić reguły wypełniania grup utworzonych w usłudze Microsoft Entra ID na podstawie atrybutów użytkownika (takich jak userType, department lub country/region). Członkowie mogą być automatycznie dodawani do grupy zabezpieczeń lub usuwani z niej na podstawie ich atrybutów. Te grupy mogą zapewniać dostęp do aplikacji lub zasobów w chmurze (witryn, dokumentów programu SharePoint) i przypisywać licencje do członków.
Do tworzenia i używania grup dynamicznych wymagane jest odpowiednie licencjonowanie Microsoft Entra ID Premium P1 lub P2.