Gerencie organizações conectadas no gerenciamento de direitos
Com o gerenciamento de direitos, você pode colaborar com pessoas fora da sua organização. Se você colabora frequentemente com muitos usuários de organizações externas específicas, pode adicionar as fontes de identidade dessas organizações como organizações conectadas. Ter uma organização conectada simplifica a forma como mais pessoas dessas organizações podem solicitar acesso. Este artigo descreve como adicionar uma organização conectada para que você possa permitir que usuários fora da sua organização solicitem recursos em seu diretório.
O que é uma organização conectada?
Uma organização conectada é outra organização com a qual você tem um relacionamento. Para que os usuários dessa organização possam acessar seus recursos, como seus sites ou aplicativos do SharePoint Online, você precisa de uma representação dos usuários dessa organização nesse diretório. Como na maioria dos casos os usuários dessa organização ainda não estão no diretório do Microsoft Entra, você pode usar o gerenciamento de direitos para trazê-los para o diretório do Microsoft Entra conforme necessário.
Se você quiser fornecer um caminho para qualquer pessoa solicitar acesso e não tiver certeza de quais organizações esses novos usuários podem ser, poderá configurar uma política de atribuição de pacote de acesso para usuários que não estejam em seu diretório. Nessa política, selecione a opção Todos os usuários (Todas as organizações conectadas + novos usuários externos). Se o solicitante for aprovado e não pertencer a uma organização conectada em seu diretório, uma organização conectada será criada automaticamente para ele.
Se você quiser permitir que apenas indivíduos de organizações designadas solicitem acesso, primeiro crie essas organizações conectadas. Em segundo lugar, configure uma política de atribuição de pacote de acesso para usuários que não estão no seu diretório, selecione a opção de Organizações conectadas específicas e selecione as organizações que você criou.
Há quatro maneiras pelas quais o gerenciamento de direitos permite especificar os usuários que formam uma organização conectada. Pode ser:
- usuários em outro diretório do Microsoft Entra (de qualquer nuvem da Microsoft),
- usuários em outro diretório não-Microsoft que estão configurados para federação de provedor de identidade (IdP) SAML/WS-Fed,
- usuários em outro diretório que não seja da Microsoft, cujos endereços de email tenham o mesmo nome de domínio em comum e específico para essa organização, ou
- usuários com uma Conta da Microsoft, como da live.com de domínio, se você tiver uma necessidade comercial de colaboração com usuários que não têm uma organização comum.
Por exemplo, suponha que você trabalhe no Woodgrove Bank e queira colaborar com duas organizações externas. Você deseja dar aos usuários de ambas as organizações externas acesso aos mesmos recursos, mas essas duas organizações têm configurações diferentes:
- A Contoso ainda não usa o Microsoft Entra ID. Os usuários da Contoso têm um endereço de email que termina com contoso.com.
- O Graphic Design Institute usa o Microsoft Entra ID e pelo menos alguns de seus usuários têm um nome principal de usuário que termina com graphicdesigninstitute.com.
Nesse caso, você pode configurar duas organizações conectadas e, em seguida, um pacote de acesso com uma política.
- Certifique-se de ter a autenticação OTP (one-time passcode) de email ativada, para que os usuários desses domínios que ainda não fazem parte dos diretórios do Microsoft Entra que se autentiquem usando senha única de email ao solicitar acesso ou acessar posteriormente seus recursos. Além disso, talvez seja necessário configurar as configurações de colaboração externa do Microsoft Entra B2B para permitir o acesso de usuários externos.
- Crie uma organização conectada para a Contoso. Quando você especifica o contoso.com de domínio, o gerenciamento de direitos reconhece que não há nenhum locatário existente do Microsoft Entra associado a esse domínio e que os usuários dessa organização conectada serão reconhecidos se autenticarem com uma senha única de email com um domínio de endereço de email contoso.com.
- Crie outra organização conectada para o Graphic Design Institute. Quando você especifica o domínio graphicdesigninstitute.com, o gerenciamento de direitos reconhece que há um locatário associado a esse domínio.
- Em um catálogo que permite que usuários externos solicitem, crie um pacote de acesso.
- Nesse pacote de acesso, crie uma política de atribuição de pacote de acesso para usuários que ainda não estão no diretório. Nessa política, selecione a opção Organizações conectadas específicas e especifique as duas organizações conectadas. Isso permite que os usuários de cada organização, com uma fonte de identidade que corresponda a uma das organizações conectadas, solicitem o pacote de acesso.
- Quando usuários externos com um nome principal de usuário que tenha um domínio de contoso.com solicitam o pacote de acesso, eles se autenticam usando email. Esse domínio de email corresponde à organização conectada à Contoso e o usuário terá permissão para solicitar o pacote. Depois que eles solicitam, como o acesso funciona para usuários externos descreve como o usuário B2B é então convidado e o acesso é atribuído para o usuário externo.
- Além disso, os usuários externos que estão usando uma conta organizacional do locatário do Graphic Design Institute corresponderiam à organização conectada ao Graphic Design Institute e teriam permissão para solicitar o pacote de acesso. E, como o Graphic Design Institute usa o Microsoft Entra ID, qualquer usuário com um nome principal que corresponda a outro domínio verificado adicionado ao locatário do Graphic Design Institute, como graphicdesigninstitute.example, também poderá solicitar pacotes de acesso usando a mesma política.
Como os usuários do diretório ou domínio do Microsoft Entra se autenticam depende do tipo de autenticação. Os tipos de autenticação para organizações conectadas são:
- Microsoft Entra ID, na mesma nuvem
- Microsoft Entra ID, em outra nuvem
- Federação do provedor de identidade (IdP) SAML/WS-Fed
- Código de acesso único (domínio)
- Conta Microsoft
Para obter uma demonstração de como adicionar uma organização conectada, assista ao seguinte vídeo:
Exibir a lista de organizações conectadas
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Governança de>identidade, Gerenciamento de direitos,>Organizações conectadas.
Na caixa de pesquisa, você pode procurar uma organização conectada pelo nome da organização conectada. No entanto, não é possível procurar um nome de domínio.
Adicionar uma organização associada
Para adicionar um diretório ou domínio externo do Microsoft Entra como uma organização conectada, siga as instruções nesta seção.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Governança de>identidade, Gerenciamento de direitos,>Organizações conectadas.
Na página Organizações conectadas, selecione Adicionar organização conectada.
Selecione a guia Noções básicas e insira um nome para exibição e uma descrição para a organização.
O estado será automaticamente definido como Configurado quando você criar uma nova organização conectada. Para obter mais informações sobre a propriedade de estado de uma organização conectada, consulte Propriedade de estado de organizações conectadas
Selecione a guia Diretório + domínio e, em seguida, selecione Adicionar diretório + domínio.
Em seguida, o painel Selecionar diretórios + domínios é aberto.
Na caixa de pesquisa, digite um nome de domínio para procurar o diretório ou domínio do Microsoft Entra. Você também pode adicionar domínios que não estão associados a nenhum diretório do Microsoft Entra. Certifique-se de inserir o nome de domínio inteiro.
Confirme se o(s) nome(s) da organização e o(s) tipo(s) de autenticação estão corretos. O login do usuário, antes de poder acessar o portal MyAccess, depende do tipo de autenticação de sua organização. Se o tipo de autenticação para uma organização conectada for Microsoft Entra ID, todos os usuários com uma conta no diretório dessa organização, com qualquer domínio verificado desse diretório do Microsoft Entra, entrarão em seu diretório e, em seguida, poderão solicitar acesso a pacotes de acesso que permitam essa organização conectada. Se o tipo de autenticação for uma senha única, isso permitirá que usuários com endereços de e-mail apenas desse domínio visitem o portal MyAccess. Depois de autenticar com a senha, o usuário pode fazer uma solicitação.
Nota
O acesso de alguns domínios pode ser bloqueado pela lista de permissões ou recusas do Microsoft Entra business to business (B2B). Além disso, os usuários que têm um endereço de email que tem o mesmo domínio de uma organização conectada configurada para autenticação do Microsoft Entra, mas que não se autenticam nesse diretório do Microsoft Entra, não serão reconhecidos como parte dessa organização conectada. Para obter mais informações, consulte Permitir ou bloquear convites para usuários B2B de organizações específicas.
Selecione Adicionar para adicionar o diretório ou domínio do Microsoft Entra. Você pode adicionar vários diretórios e domínios do Microsoft Entra.
Depois de adicionar os diretórios ou domínios do Microsoft Entra, selecione Selecionar.
A(s) organização(ões) aparece(m) na lista.
Selecione a guia Patrocinadores e adicione patrocinadores opcionais para esta organização conectada.
Os patrocinadores são usuários internos ou externos que já estão em seu diretório e que são o ponto de contato para o relacionamento com essa organização conectada. Os patrocinadores internos são usuários membros em seu diretório. Os patrocinadores externos são usuários convidados da organização conectada que foram convidados anteriormente e já estão no seu diretório. Os patrocinadores podem ser utilizados como aprovadores quando os usuários dessa organização conectada solicitam acesso a este pacote de acesso. Para obter informações sobre como convidar um usuário convidado para seu diretório, consulte Adicionar usuários de colaboração B2B do Microsoft Entra.
Quando você seleciona Adicionar/Remover, um painel é aberto no qual você pode escolher patrocinadores internos ou externos. O painel exibe uma lista não filtrada de usuários e grupos em seu diretório.
Selecione o separador Rever + criar, reveja as definições da sua organização e, em seguida, selecione Criar.
Atualizar uma organização conectada
Se a organização conectada mudar para um domínio diferente, o nome da organização mudar ou você quiser alterar os patrocinadores, você poderá atualizar a organização conectada seguindo as instruções nesta seção.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Governança de>identidade, Gerenciamento de direitos,>Organizações conectadas.
Na página Organizações conectadas, selecione a organização conectada que você deseja atualizar.
No painel de visão geral da organização conectada, selecione Editar para alterar o nome, a descrição ou o estado da organização.
No painel Diretório + domínio, selecione Atualizar diretório + domínio para alterar para um diretório ou domínio diferente.
No painel Patrocinadores, selecione Adicionar patrocinadores internos ou Adicionar patrocinadores externos para adicionar um usuário como patrocinador. Para remover um patrocinador, selecione-o e, no painel direito, selecione Excluir.
Excluir uma organização conectada
Se você não tiver mais um relacionamento com um diretório ou domínio externo do Microsoft Entra ou não quiser mais ter uma organização conectada proposta, poderá excluir a organização conectada.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Governança de>identidade, Gerenciamento de direitos,>Organizações conectadas.
Na página Organizações conectadas, selecione a organização conectada que você deseja excluir para abri-la.
No painel de visão geral da organização conectada, selecione Excluir para excluí-la.
Gerenciando uma organização conectada programaticamente
Você também pode criar, listar, atualizar e excluir organizações conectadas usando o Microsoft Graph. Um usuário em uma função apropriada com um aplicativo que tem a permissão delegada EntitlementManagement.ReadWrite.All
pode chamar a API para gerenciar objetos connectedOrganization e definir patrocinadores para eles.
Gerenciar organizações conectadas por meio do Microsoft PowerShell
Você também pode gerenciar organizações conectadas no PowerShell com os cmdlets do Microsoft Graph PowerShell para o módulo de Governança de Identidade versão 1.16.0 ou posterior.
Este script a seguir ilustra o uso do v1.0
perfil do Graph para recuperar todas as organizações conectadas. Cada organização conectada retornada contém uma identidade de listaFontes dos diretórios e domínios dessa organização conectada.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$co = Get-MgEntitlementManagementConnectedOrganization -all
foreach ($c in $co) {
foreach ($i in $c.identitySources) {
write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
}
}
Propriedade estatal de organizações ligadas
Existem dois estados diferentes para organizações conectadas na gestão de direitos, configurados e propostos:
Uma organização conectada configurada é uma organização conectada totalmente funcional que permite que os usuários dentro dessa organização acessem pacotes. Quando um administrador cria uma nova organização conectada no centro de administração do Microsoft Entra, ela está no estado configurado por padrão, uma vez que o administrador criou e deseja usar essa organização conectada. Além disso, quando uma organização conectada é criada programaticamente por meio da API, o estado padrão deve ser configurado , a menos que definido para outro estado explicitamente.
As organizações conectadas configuradas aparecem nos seletores para organizações conectadas e estarão no escopo de quaisquer políticas destinadas a "todas as organizações conectadas configuradas".
Uma organização conectada proposta é uma organização conectada que foi criada automaticamente, mas não teve um administrador criando ou aprovando a organização. Quando um usuário se inscreve para um pacote de acesso fora de uma organização conectada configurada, todas as organizações conectadas criadas automaticamente estão no estado proposto , uma vez que nenhum administrador no locatário configura essa parceria.
As organizações conectadas propostas não estão no escopo da configuração "todas as organizações conectadas configuradas" em nenhuma política, mas podem ser usadas em políticas apenas para políticas direcionadas a organizações específicas.
Somente usuários de organizações conectadas configuradas podem solicitar pacotes de acesso que estão disponíveis para usuários de todas as organizações configuradas. Os usuários de organizações conectadas propostas têm uma experiência como se não houvesse uma organização conectada para esse domínio; só pode ver e solicitar pacotes de acesso com escopo para sua organização específica ou com escopo para qualquer usuário. Se você tiver políticas em seu locatário que permitam "todas as organizações conectadas configuradas", certifique-se de não converter as organizações conectadas propostas para provedores de identidade social em configuradas.
Nota
Como parte da implementação deste novo recurso, todas as organizações conectadas criadas antes de 09/09/20 foram consideradas configuradas. Se você tinha um pacote de acesso que permitia que usuários de qualquer organização se inscrevessem, você deve revisar sua lista de organizações conectadas que foram criadas antes dessa data para garantir que nenhuma seja categorizada incorretamente como configurada. Em particular, os provedores de identidade social não devem ser indicados como configurados se houver políticas de atribuição que não exijam aprovação para usuários de todas as organizações conectadas configuradas. Um administrador pode atualizar a propriedade State conforme apropriado. Para obter orientações, consulte Atualizar uma organização conectada.
Nota
Em alguns casos, um usuário pode solicitar um pacote de acesso usando sua conta pessoal de um provedor de identidade social, onde o endereço de email dessa conta tem o mesmo domínio que uma organização conectada existente correspondente a um locatário do Microsoft Entra. Se esse usuário for aprovado, isso resultará em uma nova organização conectada proposta representando esse domínio. Nesse caso, verifique se o usuário está usando sua conta da organização em vez de solicitar acesso novamente e o portal identificará esse usuário vindo do locatário Microsoft Entra da organização conectada configurada.