使用 Azure 入口網站將 Azure 角色指派給外部來賓使用者
Azure 角色型存取控制 (Azure RBAC) 可針對大型組織,以及與外部共同作業者、廠商或自由職業者合作的中小型企業提供更好的安全性管理,這些人員需要存取您環境中的特定資源,但不一定能存取整個基礎結構或任何計費相關範圍。 您可以使用 Microsoft Entra B2B 中的 功能來與外部來賓使用者共同作業,而且您可以使用 Azure RBAC 來授與您環境中來賓使用者所需的許可權。
必要條件
若要指派 Azure 角色或移除角色指派,您必須具備:
Microsoft.Authorization/roleAssignments/write
和Microsoft.Authorization/roleAssignments/delete
許可權,例如 使用者存取管理員istrator 或 擁有者
何時會邀請來賓使用者?
以下是您可能會邀請來賓使用者加入組織的幾個範例案例,並授與許可權:
- 允許只有電子郵件帳戶的外部自營企業廠商存取專案的 Azure 資源。
- 允許外部合作夥伴管理特定資源或整個訂用帳戶。
- 允許非貴組織中的支援工程師(例如 Microsoft 支援)暫時存取您的 Azure 資源,以針對問題進行疑難排解。
成員使用者與來賓使用者之間的許可權差異
目錄的原生成員(成員使用者)的許可權與從另一個目錄邀請的使用者不同,做為 B2B 共同作業來賓(來賓使用者)。 例如,雖然來賓使用者具有限制的目錄許可權,但成員使用者幾乎可以讀取所有目錄資訊。 如需成員使用者和來賓使用者的詳細資訊,請參閱 Microsoft Entra ID 中的預設使用者許可權為何? 。
將來賓使用者新增至您的目錄
請遵循下列步驟,使用 Microsoft Entra ID 頁面將來賓使用者新增至您的目錄。
登入 Azure 入口網站。
請務必確認您組織的外部共同作業的設定能允許您邀請來賓。 如需詳細資訊,請參閱設定外部共同作業設定。
按一下 [Microsoft Entra ID > 使用者 > ] [新增來賓使用者]。
請遵循步驟來新增來賓使用者。 如需詳細資訊,請參閱 在Azure 入口網站中新增 Microsoft Entra B2B 共同作業 使用者。
將來賓使用者新增至目錄之後,您可以將來賓使用者直接連結傳送至共用應用程式,或者來賓使用者可以按一下邀請電子郵件中的接受邀請連結。
若要讓來賓使用者能夠存取您的目錄,他們必須完成邀請程式。
如需邀請程式的詳細資訊,請參閱 Microsoft Entra B2B 共同作業邀請兌換 。
將角色指派給來賓使用者
在 Azure RBAC 中,若要授與存取權,您可以指派角色。 若要將角色指派給來賓使用者,請遵循 與成員使用者、群組、服務主體或受控識別相同的步驟 。 請遵循下列步驟,將角色指派給不同範圍的來賓使用者。
登入 Azure 入口網站。
在頂端的 [搜尋] 方塊中,搜尋您要授與存取權的範圍。 例如,搜尋 [管理群組]、[訂用帳戶]、[資源群組] 或特定資源。
按一下該範圍的特定資源。
按一下 [存取控制 (IAM)]。
下面顯示某資源群組的 [存取控制 (IAM)] 頁面範例。
按一下 [ 角色指派] 索引 標籤,以檢視此範圍的角色指派。
按一下 [ 新增 > 角色指派]。
若您沒有指派角色的權限,[新增角色指派] 選項將會被停用。
會開啟 [新增角色指派] 頁面。
在 [ 角色] 索引標籤上,選取虛擬機器參與者 之類的 角色。
在 [ 成員] 索引標籤上,選取 [ 使用者]、[群組] 或服務主體 。
按一下 [ 選取成員 ]。
尋找並選取來賓使用者。 如果您沒有在清單中看到使用者,您可以在 [選取 ] 方塊中 輸入 ,以搜尋目錄的顯示名稱或電子郵件地址。
您可以在 [選取] 方塊中輸入,以在目錄中搜尋顯示名稱或電子郵件地址。
按一下 [ 選取 ] 將來賓使用者新增至 [成員] 清單。
在 [ 檢閱 + 指派] 索引標籤上,按一下 [ 檢閱 + 指派 ]。
幾分鐘後,來賓使用者就會在選取的範圍中指派角色。
將角色指派給尚未在您的目錄中的來賓使用者
若要將角色指派給來賓使用者,請遵循 與成員使用者、群組、服務主體或受控識別相同的步驟 。
如果來賓使用者尚未在您的目錄中,您可以直接從 [選取成員] 窗格邀請使用者。
登入 Azure 入口網站。
在頂端的 [搜尋] 方塊中,搜尋您要授與存取權的範圍。 例如,搜尋 [管理群組]、[訂用帳戶]、[資源群組] 或特定資源。
按一下該範圍的特定資源。
按一下 [存取控制 (IAM)]。
按一下 [ 新增 > 角色指派]。
若您沒有指派角色的權限,[新增角色指派] 選項將會被停用。
會開啟 [新增角色指派] 頁面。
在 [ 角色] 索引標籤上,選取虛擬機器參與者 之類的 角色。
在 [ 成員] 索引標籤上,選取 [ 使用者]、[群組] 或服務主體 。
按一下 [ 選取成員 ]。
在 [ 選取 ] 方塊中,輸入您要邀請的人員的電子郵件地址,然後選取該人員。
按一下 [ 選取 ] 將來賓使用者新增至 [成員] 清單。
在 [ 檢閱 + 指派] 索引標籤上,按一下 [ 檢閱 + 指派 ],將來賓使用者新增至您的目錄、指派角色,以及傳送邀請。
幾分鐘後,您會看到角色指派的通知,以及邀請的相關資訊。
若要手動邀請來賓使用者,請以滑鼠右鍵按一下並複製通知中的邀請連結。 請勿按一下邀請連結,因為它會啟動邀請程式。
邀請連結的格式如下:
https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...
將邀請連結傳送給來賓使用者,以完成邀請程式。
如需邀請程式的詳細資訊,請參閱 Microsoft Entra B2B 共同作業邀請兌換 。
從您的目錄中移除來賓使用者
在您從目錄中移除來賓使用者之前,請先移除該來賓使用者的任何角色指派。 請遵循下列步驟,從目錄中移除來賓使用者。
在 範圍開啟存取控制 (IAM), 例如管理群組、訂用帳戶、資源群組或資源,其中來賓使用者具有角色指派。
按一下 [ 角色指派] 索引 標籤以檢視所有角色指派。
在角色指派清單中,使用您想要移除的角色指派,在來賓使用者旁邊新增核取記號。
按一下 [移除]。
在出現的移除角色指派訊息中,按一下 [ 是 ]。
按一下 [ 傳統系統管理員] 索引標籤 。
如果來賓使用者具有共同管理員istrator 指派,請在來賓使用者旁邊新增核取記號,然後按一下 [ 移除 ]。
在左側導覽列中,按一下 [Microsoft Entra ID > Users ]。
按一下您想要移除的來賓使用者。
按一下刪除。
在出現的刪除訊息中,按一下 [ 是 ]。
疑難排解
來賓使用者無法流覽目錄
來賓使用者的目錄權限受限。 例如,來賓使用者無法流覽目錄,也無法搜尋群組或應用程式。 如需詳細資訊,請參閱 Microsoft Entra ID 中的預設使用者許可權為何? 。
如果來賓使用者需要目錄中的其他許可權,您可以將 Microsoft Entra 角色指派給來賓使用者。 如果您真的想要來賓使用者擁有目錄的完整讀取權限,您可以將來賓使用者新增至 Microsoft Entra ID 中的目錄讀取者 角色。 如需詳細資訊,請參閱 在Azure 入口網站中新增 Microsoft Entra B2B 共同作業 使用者。
來賓使用者無法流覽使用者、群組或服務主體以指派角色
來賓使用者的目錄權限受限。 即使來賓使用者是範圍中的 擁有者 ,如果他們嘗試指派角色來授與其他人存取權,他們也無法流覽使用者、群組或服務主體的清單。
如果來賓使用者知道目錄中某人的確切登入名稱,他們可以授與存取權。 如果您真的想要來賓使用者擁有目錄的完整讀取權限,您可以將來賓使用者新增至 Microsoft Entra ID 中的目錄讀取者 角色。 如需詳細資訊,請參閱 在Azure 入口網站中新增 Microsoft Entra B2B 共同作業 使用者。
來賓使用者無法註冊應用程式或建立服務主體
來賓使用者的目錄權限受限。 如果來賓使用者必須能夠註冊應用程式或建立服務主體,您可以在 Microsoft Entra ID 中將來賓使用者新增至 應用程式開發人員 角色。 如需詳細資訊,請參閱 在Azure 入口網站中新增 Microsoft Entra B2B 共同作業 使用者。
來賓使用者看不到新目錄
如果來賓使用者已獲授與目錄的存取權,但在嘗試在 [目錄] 頁面中切換 時,他們看不到Azure 入口網站中列出的新目錄,請確定來賓使用者已完成邀請程式。 如需邀請程式的詳細資訊,請參閱 Microsoft Entra B2B 共同作業邀請兌換 。
來賓使用者看不到資源
如果來賓使用者已獲授與目錄的存取權,但看不到他們在Azure 入口網站中被授與存取權的資源,請確定來賓使用者已選取正確的目錄。 來賓使用者可能可以存取多個目錄。 若要切換目錄,請在左上方按一下 [設定 > Directories ],然後按一下適當的目錄。