Konfigurace nastavení externí spolupráce

Nastavení externí spolupráce umožňuje určit, které role ve vaší organizaci můžou pozvat externí uživatele pro spolupráci B2B. Tato nastavení také zahrnují možnosti povolení nebo blokování konkrétních domén a možnosti omezení toho, co můžou externí uživatelé typu host vidět ve vašem Azure AD adresáři. Dostupné jsou tyto možnosti:

  • Určení přístupu uživatelů typu host: Azure AD umožňuje omezit, co můžou externí uživatelé typu host vidět ve vašem adresáři Azure AD. Můžete například omezit zobrazení členství ve skupinách uživatelů typu host nebo povolit hostům zobrazit jenom informace o vlastním profilu.

  • Určete, kdo může pozvat hosty: Ve výchozím nastavení můžou všichni uživatelé ve vaší organizaci, včetně uživatelů typu host spolupráce B2B, pozvat externí uživatele do spolupráce B2B. Pokud chcete omezit možnost odesílat pozvánky, můžete pozvánky zapnout nebo vypnout pro všechny nebo omezit pozvánky na určité role.

  • Povolte samoobslužnou registraci hostů prostřednictvím toků uživatelů: Pro aplikace, které sestavujete, můžete vytvořit toky uživatelů, které uživateli umožňují zaregistrovat se k aplikaci a vytvořit nový účet hosta. Funkci můžete povolit v nastavení externí spolupráce a pak do aplikace přidat samoobslužný tok uživatele pro registraci.

  • Povolit nebo blokovat domény: Pomocí omezení spolupráce můžete povolit nebo odepřít pozvánky k zadaným doménám. Podrobnosti najdete v tématu Povolení nebo blokování domén.

V případě spolupráce B2B s dalšími Azure AD organizacemi byste měli také zkontrolovat nastavení přístupu mezi tenanty, abyste zajistili příchozí a odchozí spolupráci B2B a rozsah přístupu konkrétním uživatelům, skupinám a aplikacím.

Konfigurace nastavení na portálu

  1. Přihlaste se k Azure Portal pomocí účtu Globální správce a otevřete službu Azure Active Directory.

  2. Vyberte nastavení externí spolupráce IdentityiesExternal>.

  3. V části Přístup uživatelů typu host zvolte úroveň přístupu, kterou mají mít uživatelé typu host:

    Screenshot showing Guest user access settings.

    • Uživatelé typu host mají stejný přístup jako členové (většina inkluzivních): Tato možnost poskytuje hostům stejný přístup k Azure AD prostředkům a datům adresáře jako členové.

    • Uživatelé typu host mají omezený přístup k vlastnostem a členstvím objektů adresáře: (Výchozí) Toto nastavení blokuje hosty z určitých úloh adresáře, jako je výčet uživatelů, skupin nebo jiných prostředků adresáře. Hosté můžou zobrazit členství ve všech neskrytá skupině. Přečtěte si další informace o výchozích oprávněních hosta.

    • Přístup uživatelů typu host je omezen na vlastnosti a členství vlastních objektů adresáře (nejvíce omezující): S tímto nastavením můžou hosté přistupovat jenom k vlastním profilům. Hosté nemohou zobrazit profily, skupiny nebo členství ve skupinách jiných uživatelů.

  4. V části Nastavení pozvání hosta zvolte odpovídající nastavení:

    Screenshot showing Guest invite settings.

    • Kdokoli v organizaci může pozvat uživatele typu host, včetně hostů a nesprávců (nejvíce včetně): Pokud chcete hostům v organizaci umožnit pozvat další hosty včetně těch, kteří nejsou členy organizace, vyberte toto přepínač.
    • Uživatelé člena a uživatelé přiřazení ke konkrétním rolím správce můžou pozvat uživatele typu host včetně hostů s oprávněními člena: Pokud chcete povolit uživatelům a uživatelům, kteří mají konkrétní role správce, aby mohli pozvat hosty, vyberte toto přepínač.
    • Pozvat uživatele typu host můžou jenom uživatelé přiřazení ke konkrétním rolím správce: Pokud chcete povolit pozvání hostů jenom uživatelům s rolemi správce, vyberte toto přepínač. Mezi role správce patří globální správce, správce uživatelů a pozvaný host.
    • Nikdo v organizaci nemůže pozvat uživatele typu host včetně správců (nejvíce omezujících): Pokud chcete všem uživatelům v organizaci odepřít pozvání hostů, vyberte toto přepínač.

      Poznámka

      Pokud je možnost Pozvat členy nastavená na Nea Správci a uživatelé v roli pozvat zvaní hosta, je možnost Ano, uživatelé v roli Pozvat hosta budou moct pozvat hosty.

  5. V části Povolit samoobslužnou registraci hosta prostřednictvím toků uživatelů vyberte Ano , pokud chcete mít možnost vytvářet toky uživatelů, které uživatelům umožňují zaregistrovat se k aplikacím. Další informace o tomto nastavení najdete v tématu Přidání samoobslužného toku uživatele do aplikace.

    Screenshot showing Self-service sign up via user flows setting.

  6. V části Omezení spolupráce můžete zvolit, jestli chcete povolit nebo odepřít pozvánky k doménám, které zadáte, a zadat do textových polí konkrétní názvy domén. U více domén zadejte každou doménu na nový řádek. Další informace najdete v tématu Povolení nebo blokování pozvánek uživatelům B2B z konkrétních organizací.

    Screenshot showing Collaboration restrictions settings.

Konfigurace nastavení pomocí Microsoft Graph

Nastavení externí spolupráce je možné nakonfigurovat pomocí microsoft Graph API:

  • Pro omezení přístupu uživatelů typu host a omezení pozvání hosta použijte typ prostředku authorizationPolicy .
  • Pro povolení samoobslužné registrace hosta prostřednictvím nastavení toků uživatelů použijte typ prostředku authenticationFlowsPolicy .
  • Pro nastavení jednorázového hesla e-mailu (teď na stránce Všichni zprostředkovatelé identit v Azure Portal) použijte typ prostředku emailAuthenticationMethodConfiguration.

Přiřazení role Pozvat hosta uživateli

S rolí Pozvat hosta můžete jednotlivým uživatelům udělit možnost pozvat hosty bez přiřazení globálního správce nebo jiné role správce. Přiřaďte roli pozvacího hosta jednotlivcům. Pak se ujistěte, že jste v roli pozvacího hosta nastavili správce a uživatele, kteří můžou pozvat na ano.

Tady je příklad, který ukazuje, jak pomocí PowerShellu přidat uživatele do role Pozvat hosta:

Add-MsolRoleMember -RoleObjectId 95e79109-95c0-4d8e-aee3-d01accf2d47b -RoleMemberEmailAddress <RoleMemberEmailAddress>

Protokoly přihlášení pro uživatele B2B

Když se uživatel B2B přihlásí k tenantovi prostředků, aby spolupracoval, vygeneruje se přihlašovací protokol v domovském tenantovi i tenantovi prostředku. Mezi tyto protokoly patří informace, jako je použití aplikace, e-mailové adresy, název tenanta a ID tenanta pro domácího tenanta i tenanta prostředku.

Další kroky

Projděte si následující články o spolupráci B2B Azure AD: