Gerenciar organizações conectadas no gerenciamento de direitos
Com o gerenciamento de direitos, você pode colaborar com pessoas fora de sua organização. Se você colaborar frequentemente com muitos usuários de organizações externas específicas, poderá adicionar as fontes de identidade dessa organização como organizações conectadas. Ter uma organização conectada simplifica como mais pessoas dessas organizações podem solicitar acesso. Este artigo descreve como adicionar uma organização conectada para que você possa permitir que usuários fora da sua organização solicitem recursos em seu diretório.
O que é uma organização conectada?
Uma organização conectada é outra organização com a qual você tem uma relação. Para que os usuários dessa organização possam acessar seus recursos, como seus sites ou aplicativos do SharePoint Online, você precisa de uma representação dos usuários dessa organização nesse diretório. Como, na maioria dos casos, os usuários nessa organização ainda não estão em seu diretório do Microsoft Entra, você pode usar o gerenciamento de direitos para colocá-los em seu diretório do Microsoft Entra, conforme necessário.
Se você quiser fornecer um caminho para qualquer pessoa solicitar acesso e não tiver certeza sobre de quais organizações esses novos usuários podem ser, configure uma política de atribuição de pacote de acesso para usuários que não estão em seu diretório. Nessa política, selecione a opção Todos os usuários (Todas as organizações conectadas + quaisquer novos usuários externos). Se eles não pertencerem a uma organização conectada no seu diretório, uma organização conectada será criada automaticamente para eles quando solicitarem o pacote.
Se você quiser permitir apenas que indivíduos de organizações designadas solicitem acesso, primeiro crie essas organizações conectadas. Em segundo lugar, configure uma política de atribuição de pacote de acesso para usuários que não estão em seu diretório, selecione a opção de Organizações conectadas específicas e selecione as organizações que você criou.
Há três maneiras de o gerenciamento de direitos permitir que você especifique os usuários que formam uma organização conectada. Pode ser:
- usuários em outro diretório do Microsoft Entra (de qualquer nuvem da Microsoft),
- usuários em outro diretório que não seja da Microsoft que estão configurados para a federação do provedor de identidade (IdP) SAML/WS-Fed,
- usuários em outro diretório não Microsoft Entra cujos endereços de email têm o mesmo nome de domínio em comum e específicos para a organização em questão ou
- usuários com uma conta Microsoft, como do domínio live.com, se você tiver uma necessidade comercial de colaboração com usuários que não têm uma organização comum.
Por exemplo, suponha que você trabalhe no Banco Woodgrove e queira colaborar com duas organizações externas. Você deseja conceder aos usuários de ambas as organizações externas acesso aos mesmos recursos, mas essas duas organizações têm configurações diferentes:
- A Contoso ainda não usa o Microsoft Entra ID. Os usuários da Contoso têm um endereço de email que termina com contoso.com.
- O Graphic Design Institute usa o Microsoft Entra ID e seus usuários têm um nome principal de usuário que termina com graphicdesigninstitute.com.
Nesse caso, você pode configurar um pacote de acesso, com uma política e duas organizações conectadas.
- Certifique-se de ter a autenticação de senha de uso único (OTP) por email ativada, para que os usuários desses domínios que ainda não fazem parte dos diretórios do Microsoft Entra se autentiquem usando senha de uso único por email ao solicitar acesso aos seus recursos ou ao acessá-los posteriormente. Além disso, talvez seja necessário definir as configurações de colaboração externa do Microsoft Entra B2B para permitir o acesso de usuários externos.
- Criar uma organização conectada para a Contoso. Quando você especifica o domínio contoso.com, o gerenciamento de direitos reconhece que não há nenhum locatário existente do Microsoft Entra associado a esse domínio e que os usuários dessa organização conectada serão reconhecidos se eles se autenticarem com uma senha de uso único por email com um domínio de endereço de email contoso.com.
- Criar outra organização conectada para o Graphic Design Institute. Quando você especifica o domínio graphicdesigninstitute.com, o gerenciamento de direitos reconhece que há um locatário associado a esse domínio.
- Em um catálogo que permite que usuários externos solicitem, crie um pacote de acesso.
- Nesse pacote de acesso, crie uma política de atribuição de pacote de acesso para usuários que ainda não estão em seu diretório. Nessa política, selecione a opção Organizações conectadas específicas e especifique as duas organizações conectadas. Isso permite que os usuários de cada organização, com uma fonte de identidade que corresponda a uma das organizações conectadas, solicitem o pacote de acesso.
- Quando usuários externos com um nome de entidade de usuário que tem um domínio contoso.com solicitam o pacote de acesso, eles se autenticam usando o email. Este domínio de email corresponde à organização conectada à Contoso e o usuário terá permissão para solicitar o pacote. Após a solicitação, como o acesso funciona para usuários externos descreve como o usuário B2B é convidado e o acesso é atribuído ao usuário externo.
- Além disso, os usuários externos que estão usando uma conta organizacional do locatário do Graphic Design Institute corresponderiam à organização conectada ao Graphic Design Institute e teriam permissão para solicitar o pacote de acesso. E, como o Graphic Design Institute usa o Microsoft Entra, qualquer usuário com um nome principal que corresponda a um domínio verificado adicionado ao seu locatário do Graphic Design Institute, como graphicdesigninstitute.example, também seria capaz de solicitar pacotes de acesso usando a mesma política.
A forma como os usuários do diretório do Microsoft Entra ou do domínio se autenticam depende do tipo de autenticação. Os tipos de autenticação para organizações conectadas são:
- Microsoft Entra ID, na mesma nuvem
- Microsoft Entra ID, em outra nuvem
- Federação do IdP SAML/WS-Fed
- Senha de uso único(domínio)
- Conta da Microsoft
Para ver uma demonstração de como adicionar uma organização conectada, Assista ao vídeo a seguir:
Exibir a lista de organizações conectadas
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.
Navegue até Governança de identidade>Gerenciamento de direitos>Organizações conectadas.
Na caixa de pesquisa, você pode pesquisar uma organização conectada pelo nome da organização conectada. No entanto, você não pode pesquisar um nome de domínio.
Adicionar uma organização conectada
Para adicionar um diretório ou domínio do Microsoft Entra externo como uma organização conectada, siga as instruções nesta seção.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.
Navegue até Governança de identidade>Gerenciamento de direitos>Organizações conectadas.
Na página Organizações conectadas, selecione Adicionar organização conectada.
Selecione a guia noções básicas e insira um nome de exibição e uma descrição para a organização.
O estado será definido automaticamente como configurado quando você criar uma nova organização conectada. Para obter mais informações sobre a propriedade de estado de uma organização conectada, confira Propriedade de estado de organizações conectadas
Selecione a guia diretório + domínio e, em seguida, selecione Adicionar diretório + domínio.
Depois, o painel selecionar diretórios + domínios é aberto.
Na caixa de pesquisa, insira um nome de domínio para pesquisar o diretório ou domínio do Microsoft Entra. Você também pode adicionar domínios que não estão associados a nenhum diretório do Microsoft Entra. Certifique-se de inserir o nome de domínio inteiro.
Confirme se os nomes das organizações e os tipos de autenticação estão corretos. A entrada do usuário, antes de poder acessar o portal do MyAccess, depende do tipo de autenticação para sua organização. Se o tipo de autenticação para uma organização conectada for o Microsoft Entra, todos os usuários com uma conta em qualquer domínio verificado desse diretório do Microsoft Entra entrarão em seu diretório e poderão solicitar acesso aos pacotes de acesso que permitem essa organização conectada. Se o tipo de autenticação for Senha de uso único, isso permitirá que usuários com endereços de email apenas desse domínio visitem o portal do MyAccess. Depois de autenticar com a senha, o usuário poderá fazer uma solicitação.
Observação
O acesso de alguns domínios pode ser bloqueado pela lista de permissões ou negações do Microsoft Entra B2B (Entre empresas). Além disso, os usuários que têm um endereço de email que tem o mesmo domínio de uma organização conectada configurada para autenticação do Microsoft Entra, mas que não se autenticam nesse diretório do Microsoft Entra, não serão reconhecidos como parte dessa organização conectada. Para obter mais informações, consulte Permitir ou bloquear convites para usuários B2B de organizações específicas.
Selecione Adicionar para adicionar o diretório ou domínio do Microsoft Entra. Você pode adicionar vários diretórios e domínios do Microsof Entra.
Depois de adicionar os diretórios ou domínios do Microsoft Entra, selecione Selecionar.
As organizações aparecem na lista.
Selecione a guia patrocinadores e, em seguida, adicione patrocinadores opcionais para esta organização conectada.
Os patrocinadores são usuários internos ou externos que já estão em seu diretório que são o ponto de contato para a relação com essa organização conectada. Os patrocinadores internos são usuários Membros em seu diretório. Os patrocinadores externos são usuários convidados da organização conectada que foram convidados anteriormente e já estão em seu diretório. Os patrocinadores podem ser utilizados como aprovadores quando os usuários nesta organização conectada solicitam acesso a esse pacote de acesso. Para obter informações sobre como convidar um usuário convidado para seu diretório, consulte adicionar os usuários de colaboração do Microsoft Entra B2B .
Quando você seleciona Adicionar/remover, um painel é aberto no qual você pode escolher patrocinadores internos ou externos. O painel exibe uma lista não filtrada de usuários e grupos em seu diretório.
Selecione a abaRevisar + criar revise suas configurações de organização e, em seguida, selecione Criar.
Atualizar uma organização conectada
Se a organização conectada mudar para um domínio diferente, o nome da organização for alterado ou você quiser alterar os patrocinadores, você poderá atualizar a organização conectada seguindo as instruções nesta seção.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.
Navegue até Governança de identidade>Gerenciamento de direitos>Organizações conectadas.
Na página Organizações conectadas, selecione a organização conectada que você deseja atualizar.
No painel Visão geral da organização conectada, selecione Editar para alterar o nome da organização, a descrição ou o estado.
No painel diretório + domínio, selecione Atualizar diretório + domínio para alterar para um diretório ou domínio diferente.
No painel de patrocinadores, selecione Adicionar patrocinadores internos ou Adicionar patrocinadores externos para adicionar um usuário como um patrocinador. Para remover um patrocinador, selecione o patrocinador e, no painel direito, selecione excluir.
Excluir uma organização conectada
Se você não tiver mais uma relação com um diretório ou domínio externo do Microsoft Entra ou não quiser mais ter uma organização conectada proposta, poderá excluir a organização conectada.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Governança de Identidade.
Navegue até Governança de identidade>Gerenciamento de direitos>Organizações conectadas.
Na página Organizações conectadas, selecione a organização conectada que você deseja excluir para abri-la.
No painel Visão geral da organização conectada, selecione excluir para excluí-la.
Gerenciando uma organização conectada programaticamente
Você também pode criar, listar, atualizar e excluir organizações conectadas usando Microsoft Graph. Um usuário em uma função apropriada com um aplicativo que tem a permissão delegada EntitlementManagement.ReadWrite.All
pode chamar a API para gerenciar objetos connectedOrganization e definir os patrocinadores para eles.
Gerenciar organizações conectadas por meio do Microsoft PowerShell
Você também pode gerenciar organizações conectadas no PowerShell com os cmdlets do Microsoft Graph PowerShell para módulo de controle de identidade versão 1.16.0 ou posterior.
Este script abaixo ilustra o uso do perfil v1.0
do Graph para recuperar todas as organizações conectadas. Cada organização conectada retornada contém uma lista identitySources dos diretórios e domínios dessa organização conectada.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$co = Get-MgEntitlementManagementConnectedOrganization -all
foreach ($c in $co) {
foreach ($i in $c.identitySources) {
write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
}
}
Propriedade de estado de organizações conectadas
Existem dois estados diferentes para organizações conectadas no gerenciamento de direitos, configurados e propostos:
Uma organização conectada configurada é uma organização conectada totalmente funcional que permite que os usuários dentro dessa organização acessem pacotes de acesso. Quando um administrador cria uma nova organização conectada no centro de administração do Microsoft Entra, ela está no estado configurado por padrão, já que o administrador criou e deseja usar essa organização conectada. Além disso, quando uma organização conectada é criada programaticamente por meio da API, o estado padrão deve ser configurado, a menos que seja definido como outro Estado explicitamente.
As organizações conectadas configuradas aparecem nos seletores para organizações conectadas e estarão no escopo de todas as políticas direcionadas a "todas as organizações conectadas configuradas".
Uma organização conectada proposta é uma organização conectada que foi criada automaticamente, mas não teve um administrador para criar ou aprovar a organização. Quando um usuário se inscreve em um pacote de acesso fora de uma organização conectada configurada, todas as organizações conectadas criadas automaticamente estão no estado proposto, pois nenhum administrador no locatário configurou essa parceria.
As organizações conectadas propostas não estão no escopo da configuração "todas as organizações conectadas configuradas" em quaisquer políticas, mas podem ser usadas em políticas apenas para políticas direcionadas a organizações específicas.
Somente os usuários de organizações conectadas configuradas podem solicitar pacotes de acesso que estão disponíveis aos usuários de todas as organizações configuradas. Os usuários de organizações conectadas propostas têm uma experiência como se não há nenhuma organização conectada para esse domínio; Só pode ver e solicitar pacotes de acesso com escopo para sua organização específica ou com escopo para qualquer usuário. Se você tiver políticas em seu locatário que permitam "todas as organizações conectadas configuradas", certifique-se de não converter organizações conectadas propostas para provedores de identidade social configurados.
Observação
Como parte da distribuição desse novo recurso, todas as organizações conectadas criadas antes de 09/09/20 foram consideradas configuradas. Se você tiver um pacote de acesso que permitia que usuários de qualquer organização se inscrevam, examine sua lista de organizações conectadas que foram criadas antes dessa data para garantir que nenhuma seja classificada de forma incorreta conforme configurada. Em particular, os provedores de identidade social não devem ser indicados como configurados se houver políticas de atribuição que não exijam aprovação para usuários de todas as organizações conectadas configuradas. Um administrador pode atualizar a propriedade State conforme apropriado. Para obter diretrizes, consulte atualizar uma organização conectada.
Observação
Em alguns casos, um usuário pode solicitar um pacote de acesso usando a conta pessoal de um provedor de identidade social, em que o endereço de email dessa conta tem o mesmo domínio que uma organização conectada existente correspondente a um locatário do Microsoft Entra. Se esse usuário for aprovado, isso resultará em uma nova organização conectada proposta que representa esse domínio. Nesse caso, verifique se o usuário está usando a conta da organização para solicitar novamente o acesso, e o portal identificará esse usuário proveniente do locatário do Microsoft Entra da organização conectada configurada.