Управление доступом для внешних пользователей в управлении правами

Управление правами использует Microsoft Entra business-to-business (B2B) для совместного доступа, чтобы вы могли совместно работать с людьми за пределами вашей организации. При использовании Microsoft Entra B2B внешние пользователи проходят проверку подлинности в своем домашнем каталоге, но отображаются в вашем каталоге. Представление в каталоге позволяет назначать пользователю доступ к ресурсам.

В этой статье описываются параметры, которые можно использовать для управления доступом внешних пользователей.

Как управление правами может помочь

При использовании интерфейса приглашения Microsoft Entra B2B необходимо уже знать адреса электронной почты внешних гостевых пользователей, с которыми вы хотите войти в каталог ресурсов и работать с ним. Приглашать каждого пользователя напрямую удобно, если вы работаете над небольшим или краткосрочным проектом и уже знаете всех участников. Однако этим процессом сложнее управлять, если вы работаете со множеством пользователей или состав участников со временем меняется. Например, вы можете работать с другой организацией и иметь одну точку контакта с этой организацией, но с течением времени больше пользователей из этой организации также потребуется доступ.

Благодаря управлению правами вы можете определить политику, которая разрешает пользователям из указанных организаций самостоятельно запрашивать пакет для доступа. Эта политика включает сведения о том, нужны ли утверждения и проверки доступа, а также дату окончания срока, на который предоставляется доступ. В большинстве случаев вы хотите требовать утверждения, чтобы иметь соответствующий контроль над тем, какие пользователи добавлены в ваш каталог. Если требуется утверждение, то для крупных внешних партнеров организации может потребоваться пригласить одного или нескольких пользователей из внешней организации в каталог, назначить их в качестве спонсоров и настроить, что спонсоры являются утверждающими, так как они, скорее всего, знают, какие внешние пользователи из своей организации нуждаются в доступе. После настройки пакета доступа получите ссылку на запрос пакета доступа, чтобы вы могли отправить эту ссылку контактному лицу (спонсору) во внешней организации. Это контактное лицо может предоставлять доступ другим пользователям в своей организации, а также использовать ссылку, чтобы запрашивать пакет для доступа. Пользователи из этой организации, которые уже приглашены в каталог, также могут использовать такую ссылку.

Вы также можете использовать управление правами для привлечения пользователей из организаций, у которых нет собственного каталога Microsoft Entra. Вы можете настроить федеративный поставщик удостоверений для своего домена или использовать проверку подлинности на основе электронной почты. Вы также можете пригласить пользователей из социальных провайдеров, включая пользователей с учетными записями Майкрософт.

Как правило, при утверждении запроса управление правами подготавливает пользователя к необходимому доступу. Если пользователь еще не добавлен в ваш каталог, управление доступом сначала пригласит его. При приглашении пользователя идентификатор Microsoft Entra автоматически создает для них гостевую учетную запись B2B, но не отправляет пользователю сообщение электронной почты. Администратор может ограничить, какие организации разрешены для совместной работы, задав список разрешений или блокировок B2B, чтобы разрешить или заблокировать приглашения в домены других организаций. Если домен пользователя не разрешен этими списками, он не приглашен и не может быть назначен доступ до тех пор, пока списки не будут обновлены.

Так как вы не хотите, чтобы доступ внешнего пользователя длиться вечно, вы указываете дату окончания срока действия в политике, например 180 дней. После 180 дней, если доступ не расширен, управление правами будет удалять все доступы, связанные с этим пакетом доступа. По умолчанию, если пользователь, приглашенный через управление правами, не имеет других назначений пакетов доступа, то после потери последнего назначения их гостевая учетная запись блокируется на 30 дней, а затем удаляется. Это предотвращает накопление ненужных учетных записей. Как рассказывается в следующих разделах, эти параметры можно настраивать.

Принцип работы доступа для внешних пользователей

Приведенные ниже схема и инструкции помогут вам получить представление о том, как внешние пользователи получают права на пакет для доступа.

1. Вы добавляете подключенную организацию для каталога Microsoft Entra или домена, с которым вы хотите сотрудничать. Вы также можете настроить подключенную организацию для социального провайдера удостоверений.

2. Вы проверяете параметр Включено для внешних пользователей в каталоге, чтобы убедиться, что пакет доступа Да.

3. Вы создаете пакет доступа в каталоге, который включает политику для пользователей, не входящих в каталог, и указывает подключенные организации, которые могут подать запрос, а также утверждающего лица и параметры жизненного цикла. Если выбрать в политике параметр определенных подключенных организаций или вариант всех подключенных организаций, то только пользователи из тех организаций, которые ранее были настроены, могут запрашивать. Если в политике выбрать параметр всех пользователей, любой пользователь может сделать запрос, включая тех, которые еще не являются частью вашего каталога и не являются частью любой подключенной организации.

4. Проверьте скрытый параметр пакета доступа, чтобы убедиться, что пакет доступа скрыт. Если он не скрыт, любой пользователь, разрешенный параметрами политики в этом пакете доступа, может найти пакет доступа на портале My Access для вашего клиента.

5. Вы отправляете контактному лицу из внешней организации ссылку на портал “Мой доступ”, которую этот представитель может передать своим пользователям, чтобы те запрашивали пакет для доступа.

6. Внешний пользователь (в этом примере — Запрашивающий А) использует ссылку на портал “Мой доступ”, чтобы запросить доступ к пакету для доступа. Портал «Мой доступ» требует, чтобы пользователь вошёл в систему в рамках подключенной организации. Способ входа пользователя зависит от типа проверки подлинности в каталоге или на домене, определенного в подключенной организации и параметрах внешних пользователей.

7. Утверждающий утверждает запрос (если политика требует утверждения).

8. Запрос переходит в состояние доставки.

9. В ходе процесса приглашения B2B в каталоге создается гостевая учетная запись (в этом примере — Запрашивающий А (гость)). Если определен список разрешений или блок-список, применяется параметр списка.

10. Гостевому пользователю предоставляется доступ ко всем ресурсом, входящим в пакет для доступа. Для внесения изменений в идентификатор Microsoft Entra и других веб-служб Майкрософт или подключенных приложений SaaS может потребоваться некоторое время. Дополнительные сведения см. в разделе Когда применяются изменения.

11. Внешний пользователь получает электронное письмо о том, что ему предоставлен доступ.

12. Чтобы получить доступ к ресурсам, внешний пользователь может выбрать ссылку в сообщении электронной почты или попытаться получить доступ к любому из ресурсов каталога непосредственно для завершения процесса приглашения.

13. Если в параметрах политики указана дата истечения срока, то после истечения срока действия назначения пакета доступа права внешнего пользователя на этот пакет удаляются.

14. В зависимости от жизненного цикла настроек внешних пользователей, когда у внешнего пользователя больше нет назначений пакетов доступа, он блокируется от входа, и его учетная запись удаляется из вашего каталога.

Параметры для внешних пользователей

Чтобы гарантировать, что пользователи за пределами организации могут запрашивать пакеты для доступа и получать доступ к ресурсам из этих пакетов, необходимо проверить правильность настройки некоторых параметров.

Включение каталога для внешних пользователей

• По умолчанию при создании нового каталога она включена, чтобы разрешить внешним пользователям запрашивать пакеты доступа в каталоге. Убедитесь, что для параметра Включен для внешних пользователей задано значение Да.

  

  Если вы являетесь администратором или владельцем каталога, вы можете просмотреть список каталогов, включенных для внешних пользователей в списке каталогов Центра администрирования Microsoft Entra, изменив параметр фильтра для включения для внешних пользователей на "Да". Если любой из этих каталогов, показанных в этом отфильтрованном представлении, имеет ненулевое количество пакетов доступа, эти пакеты доступа могут иметь политику для пользователей, не входящих в каталог , которые позволяют внешним пользователям запрашивать.

Настройка параметров внешней совместной работы Microsoft Entra B2B

• Если гостям разрешено приглашать в каталог других гостей, то приглашения могут отправляться вне области действия управления правами. Рекомендуем задать для параметра Гости могут приглашать других пользователей значение Нет, чтобы разрешить только надлежащим образом контролируемые приглашения.

• Если вы ранее использовали список разрешений B2B, необходимо удалить этот список или убедиться, что все домены всех организаций, с которыми вы хотите сотрудничать с использованием управления правами, добавляются в список. Кроме того, если вы используете список блокировок B2B, необходимо убедиться, что в этом списке нет домена какой-либо организации, с которой вы хотите сотрудничать.

• Если была создана политика управления правами для всех пользователей (всех подключенных организаций и новых внешних пользователей) и пользователь не относится к подключенной организации в каталоге, то после отправки запроса на получение пакета для него будет автоматически создана подключенная организация. Однако любые настройки B2B списков разрешений или блокировок, которые у вас есть, имеют приоритет. Поэтому необходимо удалить список разрешений, если вы использовали его, чтобы все пользователи могли запрашивать доступ и исключать все авторизованные домены из списка блокировок, если вы используете блок-список.

• Если вам нужно создать политику управления правами, которая включает всех пользователей (все подключенные организации и новых внешних пользователей), необходимо сначала включить для каталога проверку подлинности с отправкой одноразового секретного кода по электронной почте. Дополнительные сведения см. в статье Проверка подлинности с отправкой одноразового секретного кода по электронной почте.

• Дополнительные сведения о параметрах внешней совместной работы Microsoft Entra B2B см. в разделе "Настройка параметров внешней совместной работы".

  

Проверка параметров междудоменного доступа

• Убедитесь, что параметры доступа между клиентами для входящего взаимодействия B2B позволяют запрашивать и назначать доступ. Убедитесь, что настройки позволяют арендаторам, которые являются частью ваших текущих или будущих подключенных организаций, и что пользователи из этих арендаторов не заблокированы для приглашения. Кроме того, убедитесь, что эти пользователи разрешены параметрами доступа между клиентами, чтобы иметь возможность проходить проверку подлинности в приложениях, для которых требуется включить сценарии совместной работы. Дополнительные сведения см. в разделе "Настройка параметров доступа между клиентами".
• Если вы создаете подключенную организацию для клиента Microsoft Entra из другого облака Майкрософт, необходимо также настроить параметры доступа между клиентами соответствующим образом. Дополнительные сведения см. в разделе "Настройка параметров облака Майкрософт".

Проверка политик условного доступа

• Не забудьте исключить приложение "Управление правами" из любых политик условного доступа, влияющих на гостевых пользователей. В противном случае политика условного доступа может заблокировать им доступ к MyAccess или вход в ваш каталог. Например, у гостей, скорее всего, нет зарегистрированного устройства, они не находятся в известной локации и не хотят повторно зарегистрироваться для многофакторной проверки подлинности (MFA), поэтому добавление этих требований в политику условного доступа заблокирует гостей от использования управления правами доступа. Дополнительные сведения см. в разделе "Что такое условия в условном доступе Microsoft Entra?".

• Если условный доступ блокирует все облачные приложения, помимо исключения Приложения управления правами доступа, убедитесь, что Request Approvals Read Platform также исключены в политике условного доступа. Сначала убедитесь, что у вас есть необходимые роли: администратор условного доступа, администратор приложения, администратор назначения атрибутов и администратор определения атрибутов. Затем создайте настраиваемый атрибут безопасности с соответствующим именем и значениями. Найдите основной сервис для Request Approvals Read Platform в корпоративных приложениях и назначьте пользовательский атрибут с выбранным значением этому приложению. В политике условного доступа примените фильтр для исключения выбранных приложений на основе имени и значения пользовательского атрибута, назначенных для платформы Request Approvals Read Platform. Дополнительные сведения о фильтрации приложений в политиках условного доступа см. в статье : условный доступ: фильтрация приложений

  

  

  

Примечание.

Приложение "Управление правами" включает в себя модуль управления правами MyAccess, компонент управления правами в центре администрирования Microsoft Entra и секцию управления правами в Microsoft Graph. Последние два требуют дополнительных разрешений для доступа, поэтому гости не будут обращаться к ним, если не предоставлено явное разрешение.

Проверка параметров внешнего доступа в SharePoint Online

• Если вы хотите включить сайты SharePoint Online в пакеты доступа для внешних пользователей, убедитесь, что для параметра внешнего общего доступа уровня организации задано значение "Любой пользователь " (пользователи не требуют входа) или новые и существующие гости (гости должны войти или предоставить код проверки). Дополнительные сведения см. в разделе о включении и отключении внешнего доступа.

• Чтобы ограничить внешний доступ за пределами системы управления правами, можно задать для параметра внешнего доступа значение Существующие гости. Затем только новые пользователи, приглашенные через управление правами, могут получить доступ к этим сайтам. Дополнительные сведения см. в разделе о включении и отключении внешнего доступа.

• Убедитесь, что в параметрах на уровне сайта включен гостевой доступ (настройте параметры так же, как указано выше). Дополнительные сведения см. в статье Изменение параметров общего доступа для сайта.

Проверка параметров группового доступа в Microsoft 365

• Если вам нужно включить группы Microsoft 365 в пакеты для доступа внешних пользователей, убедитесь, что для параметра Разрешить пользователям добавлять гостей в организацию задано значение Включено, чтобы разрешить гостевой доступ. Дополнительные сведения см. в разделе Управление гостевым доступом к группам Microsoft 365.

• Если вам нужно, чтобы внешние пользователи могли получить доступ к сайту SharePoint Online и ресурсам, связанным с группой Microsoft 365, убедитесь, что в SharePoint Online включен внешний доступ. Дополнительные сведения см. в разделе о включении и отключении внешнего доступа.

• Сведения о том, как настроить политику гостевого доступа для групп Microsoft 365 на уровне каталога с помощью PowerShell, см. в разделе Пример. Настройка гостевой политики для групп на уровне каталога.

Проверка параметров общего доступа в Teams

• Если вы хотите включить Teams в пакеты для доступа внешних пользователей, убедитесь, что для параметра Разрешить гостевой доступ в Microsoft Teams задано значение Включено, чтобы разрешить гостевой доступ. Дополнительные сведения см. в разделе Настройка гостевого доступа в Центре администрирования Microsoft Teams.

Управление жизненным циклом внешних пользователей

Вы можете выбрать, что делать, когда у внешнего пользователя, приглашенного в ваш каталог с помощью запроса на доступный пакет, больше нет назначенных пакетов доступа. Такая ситуация может возникнуть, если пользователь отказывается от всех назначений пакетов доступа или срок действия последнего назначения пакета истекает. По умолчанию, когда внешний пользователь больше не имеет назначений пакетов доступа, ему блокируют доступ к вашему каталогу. Через 30 дней учетная запись гостевого пользователя удаляется из вашей директории. Вы также можете настроить, чтобы внешний пользователь не был заблокирован для входа в систему или удалён, либо чтобы внешний пользователь не был заблокирован для входа в систему, но удалён.

1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум Администратора управления удостоверениями.

2. Перейдите к управлению идентификацией>управлению полномочиями>настройкам.

3. Выберите Изменить.

   

4. В разделе Управление жизненным циклом внешних пользователей выберите различные параметры для внешних пользователей.

5. Если вы хотите блокировать вход в этот каталог, когда внешний пользователь теряет последний назначенный ему пакет для доступа, задайте для параметра Блокировать для внешнего пользователя вход в этот каталог значение Да.

   Примечание.

   Управление правами блокирует вход только внешних гостевых учетных записей пользователей, которые были приглашены с помощью управления правами или которые были добавлены в управление правами для управления жизненным циклом путем преобразования учетной записи гостевого пользователя в управляемый. Кроме того, обратите внимание, что пользователь будет заблокирован для входа, даже если этот пользователь был добавлен к ресурсам в этом каталоге, которые не были связаны с назначениями пакетов доступа. Если пользователю запрещено входить в каталог, он не сможет снова запросить пакет для доступа или дополнительные права доступа в этом каталоге. Не настраивайте блокировку входа, если впоследствии им потребуется запросить доступ к этим или другим пакетам доступа.

6. Если вы хотите удалять гостевую учетную запись внешнего пользователя, когда он теряет последний назначенный ему пакет для доступа в этом каталоге, задайте для параметра Удалить внешнего пользователя значение Да.

   Примечание.

   Управление правами удаляет только внешние учетные записи гостевых пользователей, которые были приглашены с помощью управления правами или которые были добавлены в управление правами для управления жизненным циклом путем преобразования учетной записи гостевого пользователя в управляемый. Кроме того, обратите внимание, что пользователь будет удален из этого каталога, даже если этот пользователь был добавлен в ресурсы в этом каталоге, которые не имели доступа к назначениям пакетов. Если гость уже присутствовал в этом каталоге до получения назначений пакетов доступа, они там и останутся. Однако, если гость был приглашен с помощью назначения пакета доступа, и после приглашения также назначен на сайт OneDrive для бизнеса или SharePoint Online, он все равно будет удален. Изменение параметра "Удалить внешнего пользователя" на "Нет только" влияет на пользователей, которые впоследствии теряют свое последнее назначение пакета доступа; пользователи, которые были запланированы на удаление и заблокированы при входе, по-прежнему будут удалены в исходном расписании.

7. Если вы хотите удалить учетную запись гостевого пользователя в этом каталоге, можно задать количество дней до его удаления. Хотя внешний пользователь уведомляется о истечении срока действия пакета доступа, уведомление об удалении учетной записи отсутствует. Если вы хотите удалить учетную запись гостя, как только она потеряет свое последнее назначение пакетам доступа, задайте для числа дней перед удалением внешнего пользователя из этого каталога значение 0. Изменения этого значения влияют только на пользователей, которые впоследствии используют назначение пакета последнего доступа; Пользователи, которые были запланированы на удаление, по-прежнему будут удалены в исходном расписании.

8. Выберите Сохранить.

Следующие шаги

• Добавление подключенной организации
• для пользователей вне вашего каталога,
• Устранение неполадок