Povolení externí spolupráce B2B a správa toho, kdo může zvát hosty

tento článek popisuje, jak povolit spolupráci B2B v Azure Active Directory (Azure ad), určit, kdo může pozvat hosty a určit oprávnění, která mají uživatelé typu host ve službě Azure AD.

Ve výchozím nastavení mohou všichni uživatelé a hosté ve vašem adresáři pozvat hosty i v případě, že nejsou přiřazeni k roli správce. Nastavení externí spolupráce vám umožní zapnout nebo vypnout pozvánky hostů pro různé typy uživatelů ve vaší organizaci. Můžete také delegovat pozvánky na jednotlivé uživatele přiřazením rolí, které jim umožní pozvat hosty.

Azure AD umožňuje omezit, co můžou externí uživatelé typu Host zobrazit v adresáři služby Azure AD. Ve výchozím nastavení jsou uživatelé typu Host nastaveni na úroveň omezené úrovně oprávnění, která je blokuje při vytváření výčtu uživatelů, skupin nebo jiných prostředků adresáře, ale umožňuje zobrazit členství neskrytých skupin. Nové nastavení ve verzi Preview umožňuje omezit přístup hostů ještě dál, aby mohli hosté zobrazit jenom svoje vlastní informace o profilu. Podrobnosti najdete v tématu omezení oprávnění přístupu hosta (Preview).

Konfigurace nastavení externí spolupráce B2B

Díky spolupráci Azure AD B2B může správce tenanta nastavit následující zásady pro pozvánky:

  • Vypnout pozvánky
  • Povolit zvaní jenom správcům a uživatelům s rolí Odesílatel pozvánek hostů.
  • Povolit zvaní jenom správcům, roli Odesílatel pozvánky hostů a členům.
  • Povolit zvaní všem uživatelům, včetně hostů.

Ve výchozím nastavení mohou všichni uživatelé, včetně hostů, pozvat uživatele typu Host.

Konfigurace nastavení externí spolupráce:

  1. Přihlaste se k Azure Portal jako správce tenanta.

  2. Vyberte Azure Active Directory.

  3. Vyberte externí identity externí > nastavení spolupráce.

  4. V části omezení přístupu uživatele typu Host (Preview) vyberte úroveň přístupu, kterou mají mít uživatelé typu Host:

    • Uživatelé typu Host mají stejný přístup jako členové (nejvíc včetně): Tato možnost dává hostům stejný přístup k prostředkům a datům Azure AD jako členské uživatele.

    • Uživatelé typu Host mají omezený přístup k vlastnostem a členstvím objektů adresáře: (výchozí) Toto nastavení blokuje hosty z určitých úloh adresáře, jako je vytváření výčtu uživatelů, skupin nebo jiných prostředků adresáře. Hosté můžou zobrazit členství všech neskrytých skupin.

    • Přístup uživatelů typu Host je omezený na vlastnosti a členství svých objektů adresáře (nejvíce omezující): s tímto nastavením můžou hosté přistupovat jenom k vlastním profilům. Hosté nemají povoleno zobrazovat profily, skupiny nebo členství v jiných uživatelích.

  5. V části nastavení pozvánky hosta vyberte odpovídající nastavení:

    Nastavení pozvánky hosta

    • Kdokoli v organizaci může pozvat uživatele typu Host, včetně hostů a správců (nejvíce včetně): Pokud chcete, aby hostům v organizaci mohli pozvat další hosty včetně těch, kteří nejsou členy organizace, vyberte tento přepínací tlačítko.
    • Uživatelé členů a uživatelé přiřazení k určitým rolím Správce můžou pozvat uživatele typu Host, včetně hostů s oprávněními členů: Pokud chcete, aby mohli uživatelé a uživatelé s konkrétními rolemi správce pozvat na hosty, vyberte tento přepínač.
    • Pozvat uživatele typu Host můžou pozvat jenom uživatelé, kteří jsou přiřazeni k určitým rolím Správce: Pokud chcete, aby mohli pozvat jenom ty uživatele s rolemi správce, vyberte tento přepínací tlačítko. Mezi role správce patří globální správce, Správce uživatelůa Pozvánka hosta.
    • Nikdo v organizaci nemůže pozvat uživatele typu Host, včetně správců (nejvíce omezující): Pokud chcete, aby všichni v organizaci zakázali zvát hosty, vyberte tento přepínací tlačítko.

      Poznámka

      Pokud je možné, že členové můžou pozvat na možnost ne a Správci a uživatelé v roli pozvat pozvánky hosta je nastavená na Ano, uživatelé v roli pozvání hosta budou mít i nadále možnost pozvat hosty.

  6. V části Povolit samoobslužnou registraci hosta prostřednictvím toků uživatelů vyberte Ano , pokud chcete mít možnost vytvářet toky uživatelů, které umožňují uživatelům zaregistrovat se k aplikacím. Další informace o tomto nastavení najdete v tématu Přidání uživatelského toku samoobslužné registrace do aplikace.

    Samoobslužná registrace pomocí nastavení toků uživatelů

  7. V části omezení spolupráce můžete zvolit, zda chcete povolit nebo odepřít pozvánky k zadaným doménám a zadat konkrétní názvy domén v textových polích. V případě více domén zadejte každou doménu na nový řádek. Další informace najdete v tématu Povolení nebo blokování pozvánek uživatelům B2B z konkrétních organizací.

    Nastavení omezení spolupráce

Přiřazení role pozvánky hosta uživateli

Pomocí role pozvat hosta můžete dát jednotlivým uživatelům možnost pozvat hosty bez přiřazení globálního správce nebo jiné role správce. Přiřaďte roli pozvánky hosta jednotlivcům. Pak se ujistěte, že jste nastavili správce a uživatelé v roli pozvání hosta, který může pozvat na Ano.

Tady je příklad, který ukazuje, jak pomocí PowerShellu přidat uživatele do role pozvat hosta:

Add-MsolRoleMember -RoleObjectId 95e79109-95c0-4d8e-aee3-d01accf2d47b -RoleMemberEmailAddress <RoleMemberEmailAddress>

Další kroky

Přečtěte si následující články o spolupráci Azure AD B2B: