Hantera externa användarkonton i Microsoft Entra-ID
Microsoft Entra B2B-samarbetsanvändare läggs till som gästanvändare i katalogen och gästbehörigheter i katalogen begränsas som standard. Ditt företag kan behöva vissa gästanvändare för att fylla roller med högre behörighet i din organisation. För att kunna definiera roller med högre behörighet kan gästanvändare läggas till i alla roller som du vill, baserat på organisationens behov.
Lägga till en B2B-användare till en roll
Microsoft rekommenderar att organisationer använder regeln om lägsta behörighet. Du kan använda Privileged Identity Management (PIM) för att bevilja åtkomst för B2B/gästanvändare.
Viktiga egenskaper för Microsoft Entra B2B-samarbetsanvändaren
UserType
Den här egenskapen anger relationen mellan användaren och värdinnehavaren. Den här egenskapen kan ha två värden:
Medlem: Det här värdet anger en anställd i värdorganisationen och en användare i organisationens lönelista. Den här användaren förväntar sig till exempel att ha åtkomst till interna webbplatser. Den här användaren betraktas inte som extern medarbetare.
Gäst: Det här värdet anger en användare som inte anses vara intern för företaget, till exempel en extern samarbetspartner, partner eller kund. En sådan användare förväntas inte få en VD:s interna PM eller få företagsförmåner, till exempel.
Kommentar
UserType har ingen relation till hur användaren loggar in, användarens katalogroll och så vidare. Den här egenskapen anger helt enkelt användarens relation till värdorganisationen och gör att organisationen kan tillämpa principer som är beroende av den här egenskapen.
Identiteter
Den här egenskapen anger användarens primära identitetsprovider. En användare kan ha flera identitetsprovidrar, som kan visas genom att välja länken bredvid Identiteter i användarens profil eller genom att fråga identitetsegenskapen via Microsoft Graph API.
| Egenskapsvärde för identiteter | Inloggningstillstånd |
|---|---|
| Extern Microsoft Entra-klientorganisation | Den här användaren finns i en extern organisation och autentiserar med hjälp av ett Microsoft Entra-konto som tillhör den andra organisationen. |
| Microsoft-konto | Den här användaren finns i ett Microsoft-konto och autentiseras med hjälp av ett Microsoft-konto. |
| {värdens domän} | Den här användaren autentiserar med hjälp av ett Microsoft Entra-konto som tillhör den här organisationen. |
| google.com | Den här användaren har ett Gmail-konto och har registrerat sig med hjälp av självbetjäning till den andra organisationen. |
| facebook.com | Den här användaren har ett Facebook-konto och har registrerat sig med hjälp av självbetjäning till den andra organisationen. |
| e-post | Den här användaren har registrerat sig med hjälp av Microsoft Entra Email engångslösenord (OTP). |
| {issuer URI} | Den här användaren finns i en extern organisation som inte använder Microsoft Entra-ID som identitetsprovider, utan i stället använder en SAML/WS-Fed-baserad identitetsprovider. |
Kan Microsoft Entra B2B-användare läggas till som medlemmar i stället för gäster?
Vanligtvis är en Microsoft Entra B2B-användare och gästanvändare synonyma. Därför läggs en Microsoft Entra B2B-samarbetsanvändare till som användare med UserType = Gäst som standard. I vissa fall är dock partnerorganisationen medlem i en större organisation som värdorganisationen också tillhör. I så fall kanske värdorganisationen vill behandla användare i partnerorganisationen som medlemmar i stället för gäster. Använd Microsoft Entra-användaregenskaperna för att ändra en gäst till en medlem.
Filtrera efter gästanvändare i katalogen
Konvertera UserType
Det går att konvertera UserType från Medlem till Gäst och vice versa med hjälp av PowerShell. Egenskapen UserType representerar dock användarens relation till organisationen. Därför bör du bara ändra den här egenskapen om användarens relation till organisationen ändras. Om relationen mellan användaren ändras, bör användarens huvudnamn (UPN) ändras? Ska användaren fortsätta att ha åtkomst till samma resurser? Ska en postlåda tilldelas? Vi rekommenderar inte att du ändrar UserType med hjälp av PowerShell som en atomisk aktivitet. Om den här egenskapen blir oföränderlig med hjälp av PowerShell rekommenderar vi inte att du använder ett beroende av det här värdet.
Ta bort begränsningar för gästanvändare
Det kan finnas fall där du vill ge gästanvändare högre behörighet. Du kan lägga till en gästanvändare i valfri roll och till och med ta bort standardbegränsningarna för gästanvändare i katalogen för att ge en användare samma behörigheter som medlemmar. Det går att inaktivera standardbegränsningarna så att en gästanvändare i företagskatalogen har samma behörigheter som en medlemsanvändare. Ta bort begränsningen i användarinställningarna i Microsoft Entra-ID-menyn.
Dynamiska grupper och Microsoft Entra B2B-samarbete
Vad är dynamiska grupper?
Dynamisk konfiguration av medlemskap i säkerhetsgrupper för Microsoft Entra-ID finns i Azure Portal. Administratörer kan ange regler för att fylla i grupper som skapas i Microsoft Entra-ID baserat på användarattribut (till exempel userType, avdelning eller land/region). Medlemmar kan läggas till eller tas bort från en säkerhetsgrupp automatiskt baserat på deras attribut. Dessa grupper kan ge åtkomst till program eller molnresurser (SharePoint-webbplatser, dokument) och tilldela licenser till medlemmar.
Lämplig Microsoft Entra ID Premium P1- eller P2-licensiering krävs för att skapa och använda dynamiska grupper.