在权利管理中管理连接组织
使用权利管理,可以与组织外部的人员进行协作。 如果你经常与来自特定外部组织的多位用户协作,可以将这些组织的标识源添加为连接的组织。 建立连接的组织可以简化这些组织中的更多用户请求访问权限的方式。 本文介绍了如何添加连接的组织,以便允许组织外部的用户请求目录中的资源。
什么是连接的组织?
连接的组织是你与之有关系的另一个组织。 为了使该组织中的用户能够访问你的资源(例如 SharePoint Online 站点或应用),你需要在该目录中具有表示该组织的用户。 因为在大多数情况下,该组织中的用户不在你的 Microsoft Entra ID 目录中,你可以根据需要使用权利管理将他们引入你的 Microsoft Entra ID 目录。
如果要为任何用户提供请求访问权限的路径,并且不确定这些新用户可能来自哪些组织,则可以针对不在目录中的用户配置访问包分配策略。 在该策略中,选择“所有用户 (所有连接的组织 + 任何新的外部用户)”选项。 如果请求者获得批准,并且他们不属于目录中的已连接组织,则会自动为其创建连接的组织。
如果只想允许来自指定组织的个人用户请求访问权限,请先创建这些连接的组织。 接着,针对不在目录中的用户配置访问包分配策略,选择“特定的连接组织”选项,然后选择你创建的组织。
权利管理有 4 种方法可让你指定形成连接组织的用户。 可以是:
- 其他Microsoft Entra ID 目录(来自任何 Microsoft 云)中的用户,
- 为 SAML/WS-Fed 标识提供者 (IdP) 联合配置的另一个非 Microsoft 目录中的用户,
- 另一个非 Microsoft 目录中的用户,他们的电子邮件地址都具有特定于该组织的相同域名,或
- 具有 Microsoft 帐户的用户,例如来自 live.com 域(如果你有与没有共同组织的用户协作的业务需求)。
例如,假设你在 Woodgrove Bank 工作,想要与两个外部组织协作。 你希望为这两个外部组织的用户提供对相同资源的访问权限,但这两个组织的配置不同:
- Contoso 尚未使用 Microsoft Entra ID。 Contoso 用户的电子邮件地址以 contoso.com 结尾。
- Graphic Design Institute 使用 Microsoft Entra ID,至少其中部分用户的用户主体名称以 graphicdesigninstitute.com 结尾。
在这种情况下,可以配置两个连接的组织、一个访问包和一个策略。
- 请确保已打开电子邮件一次性密码 (OTP) 身份验证,以便包括所属域还不属于 Microsoft Entra 目录且在请求访问或稍后访问资源时使用电子邮件一次性密码进行身份验证的用户。 此外,可能需要配置 Microsoft Entra B2B 外部协作设置,以允许外部用户访问。
- 为 Contoso 创建连接的组织。 指定域 contoso.com 时,权利管理将识别是否不存在与该域关联的现有 Microsoft Entra 租户,并且如果来自该连接组织的用户使用一次性密码对具有 contoso.com 电子邮件地址域的电子邮件进行身份验证,则会识别该用户。
- 为 Graphic Design Institute 创建另一个连接的组织。 指定域 graphicdesigninstitute.com 时,权利管理会识别是否存在与该域关联的租户。
- 在允许外部用户请求的目录中,创建访问包。
- 在该访问包中,为尚未在目录中的用户创建访问包分配策略。 在该策略中,选择“特定的连接组织”选项,并指定两个连接的组织。 这样,每个组织中具有与其中一个连接组织一致的标识源的用户都可以请求访问包。
- 当用户主体名称具有 contoso.com 域的外部用户请求访问包时,他们会使用电子邮件进行身份验证。 此电子邮件域将与 Contoso 连接的组织一致,并且将允许用户请求包。 请求后,外部用户访问权限的工作方式描述了如何邀请 B2B 用户,以及如何为外部用户分配访问权限。
- 此外,使用 Graphic Design Institute 租户中的组织帐户的外部用户将匹配 Graphic Design Institute 连接的组织,并被允许请求访问包。 而且,由于 Graphic Design Institute 使用 Microsoft Entra ID,因此如果用户的主体名称与已添加到 Graphic Design Institute 租户的已验证的域(例如 graphicdesigninstitute.example)匹配,那么这些用户也都可通过使用相同的策略来请求访问包。
Microsoft Entra 目录或域中的用户进行身份验证的方式取决于身份验证类型。 连接的组织的身份验证类型为:
- 在同一云中的 Microsoft Entra ID
- 在另一个云中的 Microsoft Entra ID
- SAML/WS-Fed 标识提供者 (IdP) 联合身份验证
- 一次性密码(域)
- Microsoft 帐户
有关如何添加连接的组织的演示,请观看以下视频:
查看连接组织的列表
提示
本文中的步骤可能因开始使用的门户而略有不同。
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“权利管理”>“连接的组织”。
在搜索框中,可按连接组织的名称来搜索连接组织。 但是,无法搜索域名。
添加连接的组织
若要将外部 Microsoft Entra 目录或域添加为连接的组织,请按照此部分中的说明进行操作。
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“权利管理”>“连接的组织”。
在“连接的组织”页上,选择“添加连接的组织”。
选择“基本信息”选项卡,然后输入组织的显示名称和描述。
当你创建新的连接的组织时,状态将自动设置为“已配置”。 有关已连接组织的状态属性的详细信息,请参阅连接的组织的状态属性
选择“目录 + 域”选项卡,然后选择“添加目录 + 域”。
此时会打开“选择目录 + 域”窗格。
在搜索框中,输入一个域名来搜索 Microsoft Entra 目录或域。 还可添加不与任何 Microsoft Entra 目录关联的域。 请务必输入整个域名。
确认组织名称和身份验证类型正确无误。 在能够访问 MyAccess 门户之前,用户登录取决于其组织的身份验证类型。 如果连接组织的身份验证类型为 Microsoft Entra ID,而用户在该组织的目录中拥有帐户且在该 Microsoft Entra 目录中拥有任何已验证的域中,那么这些用户都将登录到他们的目录,然后可以请求访问允许该连接组织的访问包。 如果身份验证类型为一次性密码,则电子邮件地址属于此域的用户才能访问 MyAccess 门户。 使用密码进行身份验证后,用户可以发出请求。
注意
Microsoft Entra 企业到企业 (B2B) 允许或拒绝列表可能会阻止来自某些域的访问。 此外,如果用户的电子邮件地址与为 Microsoft Entra 身份验证配置的连接组织具有相同的域,但未向该 Microsoft Entra 目录进行身份验证,则不会将这些用户识别为该连接组织的一部分。 有关详细信息,请参阅允许或阻止向特定组织中的 B2B 用户发送邀请。
选择“添加”以添加 Microsoft Entra 目录或域。 可以添加多个 Microsoft Entra 目录和域。
添加 Microsoft Entra 目录或域后,请选择“选择”。
组织会显示在列表中。
选择“发起人”选项卡,然后为此连接的组织添加可选的发起人。
发起人是已在你的目录中的内部或外部用户,他们是与此连接的组织建立关系的联系点。 内部发起人是你的目录中的成员用户。 外部发起人是来自连接的组织且以前已受邀并已在你的目录中的来宾用户。 当此连接的组织中的用户请求访问此访问包时,可将发起人用作审批者。 若要了解如何将来宾用户邀请到目录,请参阅添加 Microsoft Entra B2B 协作用户。
选择“添加/删除”时,会打开一个窗格,可在其中选择内部或外部发起人。 此窗格显示你的目录中用户和组的未筛选列表。
选择“查看 + 创建”选项卡,查看你的组织设置,然后选择“创建”。
更新连接的组织
如果连接的组织更改为其他域、组织名称发生更改,或者你想要更改发起人,则可以按照本部分中的说明更新连接的组织。
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“权利管理”>“连接的组织”。
在“连接的组织”页上,选择要更新的连接的组织。
在连接的组织的概览窗格中,选择“编辑”以更改组织名称、描述或状态。
在“目录 + 域”窗格中选择“更新目录 + 域”,改为使用其他目录或域。
在“发起人”窗格中选择“添加内部发起人”或“添加外部发起人”,将某个用户添加为发起人。 若要删除某个发起人,请选择该发起人,然后在右窗格中选择“删除”。
删除连接的组织
如果不再与外部 Microsoft Entra 目录或域之间有关系,或者不想再有建议的连接组织,则可以删除连接的组织。
至少以标识治理管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“权利管理”>“连接的组织”。
在“连接的组织”页上,选择要删除的连接的组织以将其打开。
在连接的组织的概览窗格中,选择“删除”以将其删除。
以编程方式管理连接的组织
你还可以使用 Microsoft Graph 创建、列出、更新和删除连接的组织。 通过具有委托的 EntitlementManagement.ReadWrite.All
权限的应用程序,相应角色中的用户可以调用 API 来管理 connectedOrganization 对象并为其设置发起人。
通过 Microsoft PowerShell 管理连接的组织
还可使用 Microsoft Graph PowerShell cmdlet for Identity Governance 模块 1.16.0 或更高版本中的 cmdlet 在 PowerShell 中管理连接的组织。
下面的脚本演示如何使用 Graph 的 v1.0
配置文件检索所有连接的组织。 每个返回的连接组织都包含一个列表,其中列出了该连接组织的目录和域的 identitySource。
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$co = Get-MgEntitlementManagementConnectedOrganization -all
foreach ($c in $co) {
foreach ($i in $c.identitySources) {
write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
}
}
连接的组织的状态属性
在权利管理中,连接的组织有两种不同的状态,即“已配置”和“建议”:
已配置的连接的组织是功能齐全的连接的组织,它允许该组织中的用户对访问包进行访问。 当管理员在 Microsoft Entra 管理中心创建新连接的组织时,默认情况下,它会处于“已配置”状态,因为管理员已创建并需要使用此连接的组织。 此外,当通过 API 以编程方式创建连接的组织时,除非显式设置为另一种状态,否则默认状态应为“已配置”。
已配置的连接组织会显示在连接组织的选取器中,并将在面向“所有配置的连接组织”的任何策略的范围内。
建议的连接的组织是已自动创建但没有管理员创建或批准该组织的连接的组织。 当用户在已配置的连接的组织之外注册访问包时,任何自动创建的连接的组织都将处于“建议”状态,因为租户中没有管理员设置该合作关系。
建议的连接的组织不在任何策略的“所有已配置的连接的组织”设置的范围内,但只能在面向特定组织的策略中使用。
只有已配置的连接的组织中的用户才能请求对所有已配置组织的用户可用的访问包。 建议的连接的组织中用户的体验就好像该域没有连接的组织一样;只能查看和请求范围限于其特定组织或限定为任何用户的访问包。 如果租户中有允许“所有已配置的连接组织”的策略,请确保不要将社交标识提供程序的“建议”连接组织转换为“已配置”。
注意
在推出这一新功能的过程中,20/09/09 之前创建的所有连接的组织都被视为“已配置”。 如果你有允许来自任何组织的用户进行注册的访问包,则应查看在该日期之前创建的连接的组织列表,以确保未将其误分类为“已配置”。 特别是,如果有分配策略不需要所有已配置的连接组织中的用户批准,则不应将社交标识提供者指示为“已配置”。 管理员可以根据需要更新“状态”属性。 有关指南,请参阅更新连接的组织。
注意
在某些情况下,用户可能会使用其在社交标识提供者处的个人帐户来请求访问包,该帐户的电子邮件地址与对应于 Microsoft Entra 租户的现有连接组织具有相同的域。 如果该用户获得批准,则会生成新建议的表示该域的连接组织。 在这种情况下,请确保用户改用其组织帐户来重新请求访问权限,门户将识别此用户来自已配置的连接组织 Microsoft Entra 租户。