Vlastnosti uživatele Azure Active Directory spolupráci B2B
Tento článek popisuje Azure Active Directory vlastnosti a stavy objektu uživatele spolupráce B2B (Azure AD B2B) před uplatněním pozvánky i po jejich uplatnění. Uživatel spolupráce B2B služby Azure AD je externí uživatel, obvykle z partnerské organizace, který pozvete k přihlášení do vaší organizace Azure AD pomocí svých vlastních přihlašovacích údajů. Tento uživatel spolupráce B2B (obvykle označované také jako uživatel hosta) pak může přistupovat k aplikacím a prostředkům, které s ním chcete sdílet. Uživatelský objekt se vytvoří pro uživatele spolupráce B2B ve stejném adresáři jako vaši zaměstnanci. Uživatelské objekty spolupráce B2B mají ve vašem adresáři ve výchozím nastavení omezená oprávnění, která je možné spravovat jako zaměstnanci, přidávat do skupin atd.
V závislosti na potřebách zvoucí organizace může být uživatel spolupráce Azure AD B2B v jednom z následujících stavů účtu:
Stav 1: Žije v externí instanci Azure AD a reprezentuje se jako uživatel typu host ve zvoucí organizaci. V tomto případě se uživatel B2B přihlásí pomocí účtu Azure AD, který patří do pozvaně tenanta. Pokud partnerská organizace azure AD nevyu i nadále používá, vytvoří se uživatel hosta ve službě Azure AD. Požadavky jsou v tom, že uplatní pozvánku a Azure AD ověří svou e-mailovou adresu. Toto uspořádání se také nazývá "za běhu" (JIT), "virální"ancy nebo nespravovanáancy Azure AD.
Důležité
Od 1. listopadu 2021 začneme zavánět změnu, aby se pro všechny stávající tenanty zaplala funkce pro jedno časové heslo e-mailu, a ve výchozím nastavení ji povolíme pro nové tenanty. V rámci této změny Microsoft během uplatnění pozvánky ke spolupráci B2B přestane vytvářet nové nespravované (virální) účty a tenanty Azure AD. Aby se minimalizovaly výpadky během svátků a uzamykání nasazení, uvidí většina tenantů změny, které byly provedeny v lednu 2022. Funkci e-mailu s časovým přístupovým kódem povolíme, protože poskytuje bezproblémovou metodu základního ověřování pro uživatele guest. Pokud ale nechcete, aby se tato funkce zapnula automaticky, můžete ji zakázat.
Stav 2: Homed in a Microsoft or other account a represented as a guest user in the host organization. V tomto případě se uživatel hosta přihlásí pomocí účtu účet Microsoft nebo účtu na sociálních sítích (google.com nebo podobně). Identita pozvané uživatele se během uplatnění nabídky vytvoří účet Microsoft v adresáři zvoucí organizace.
Stav 3: Domovská stránka hostitelské organizace místní Active Directory synchronizovaná s Azure AD hostitelské organizace. Pomocí služby Azure AD Připojení synchronizovat partnerské účty do cloudu jako uživatele Azure AD B2B s typem uživatele = hostem. Viz Udělení přístupu ke cloudovým prostředkům místně spravovaným partnerským účtům.
Stav 4: Domovská stránka v Azure AD hostitelské organizace s typem uživatele = host a přihlašovacími údaji, které spravuje hostitelská organizace.
Teď se podívejme, jak ve službě Azure AD vypadá uživatel spolupráce B2B ve službě Azure AD.
Před uplatněním pozvánky
Účty států 1 a 2 jsou výsledkem pozvání uživatelů hosta ke spolupráci pomocí vlastních přihlašovacích údajů uživatelů hosta. Při počátečním odeslání pozvánky uživateli guest se ve vašem adresáři vytvoří účet. K tomuto účtu nejsou přidružené žádné přihlašovací údaje, protože ověřování provádí zprostředkovatel identity uživatele hosta. Vlastnost Zdroj pro uživatelský účet hosta ve vašem adresáři je nastavená na Pozvaný uživatel.
Po uplatnění pozvánky
Jakmile uživatel hosta přijme pozvánku, aktualizuje se vlastnost Source na základě zprostředkovatele identity uživatele hosta.
Pro uživatele hosta ve stavu 1 je zdroj externí Azure Active Directory.
Pro uživatele guest ve stavu 2 je zdrojem účet Microsoft.
Pro uživatele guest ve státech State 3 a State 4 je vlastnost Source nastavená na Azure Active Directory nebo Windows Server AD, jak je popsáno v další části.
Klíčové vlastnosti uživatele spolupráce B2B služby Azure AD
UserType
Tato vlastnost označuje vztah uživatele k hostování. Tato vlastnost může mít dvě hodnoty:
Člen: Tato hodnota označuje zaměstnance hostitelské organizace a uživatele v rámci mzdy organizace. Tento uživatel například očekává, že bude mít přístup pouze k interním webům. Tento uživatel není považován za externího spolupracovníka.
Host: Tato hodnota označuje uživatele, který není považován za interní pro společnost, jako je externí spolupracovník, partner nebo zákazník. Neočekává se, že takový uživatel obdrží interní poznámku výkonného ředitele nebo například získá výhody společnosti.
Poznámka
UserType nemá žádný vztah k způsobu, jakým se uživatel přihlásí, role adresáře uživatele atd. Tato vlastnost jednoduše označuje vztah uživatele k hostitelské organizaci a umožňuje organizaci vynucovat zásady, které jsou na této vlastnosti závislé.
Podrobnosti související s cenami najdete v tématu Azure Active Directory s cenami.
Zdroj
Tato vlastnost určuje, jak se uživatel přihlásí.
Pozvaný uživatel: Tento uživatel byl pozván, ale ještě nevyučil pozvánku.
Externí Azure Active Directory: Tento uživatel je v externí organizaci a ověřuje se pomocí účtu Azure AD, který patří do druhé organizace. Tento typ přihlášení odpovídá státu 1.
účet Microsoft: Tento uživatel je v účet Microsoft a ověřuje se pomocí účet Microsoft. Tento typ přihlášení odpovídá státu 2.
Windows Server AD: Tento uživatel je přihlášený z místní Active Directory, který patří do této organizace. Tento typ přihlášení odpovídá státu 3.
Azure Active Directory: Tento uživatel se ověřuje pomocí účtu Azure AD, který patří do této organizace. Tento typ přihlášení odpovídá státu 4.
Poznámka
Source a UserType jsou nezávislé vlastnosti. Hodnota Source neznamená konkrétní hodnotu userType.
Je možné přidat uživatele Azure AD B2B jako členy místo hostů?
Uživatel Azure AD B2B a uživatel hosta jsou obvykle synonymem. Proto se uživatel spolupráce Azure AD B2B přidá jako uživatel s hodnotou UserType = Guest ve výchozím nastavení. V některých případech je však partnerská organizace členem větší organizace, do které patří také hostitelská organizace. Pokud ano, hostitelská organizace může chtít s uživateli v partnerské organizaci zacházet jako s členy místo s hosty. Pomocí rozhraní API Správce pozvánek Azure AD B2B můžete přidat nebo pozvat uživatele z partnerské organizace do hostitelské organizace jako člena.
Filtrování uživatelů typu host v adresáři
Převod typu uživatele
Typ uživatele je možné převést z člena na hosta a naopak pomocí PowerShellu. Vlastnost UserType však představuje vztah uživatele k organizaci. Proto byste tuto vlastnost měli změnit pouze v případě, že se změní vztah uživatele k organizaci. Pokud se vztah uživatele změní, měl by se změnit hlavní název uživatele (UPN)? Má mít uživatel dál přístup ke stejným prostředkům? Má se poštovní schránka přiřadit?
Odebrání omezení uživatelů hosta
Mohou se zobrazit případy, kdy chcete uživatelům typu host poskytnout vyšší oprávnění. Uživatele typu host můžete přidat do libovolné role a dokonce můžete odebrat výchozí omezení uživatelů typu host v adresáři, abyste uživateli mohli poskytnout stejná oprávnění jako členové.
Výchozí omezení je možné vypnout, aby měl uživatel guest v adresáři společnosti stejná oprávnění jako člen.
Můžu uživatele hosta zviditelnit v Exchange globálních adres?
Ano. Ve výchozím nastavení nejsou objekty hosta viditelné v globálním seznamu adres vaší organizace, ale můžete je pomocí Azure Active Directory PowerShellu nastavit jako viditelné. Podrobnosti najdete v tématu Přidání hostů do globálního seznamu adres v článku Microsoft 365 přístupu hostů pro každou skupinu.
Můžu aktualizovat e-mailovou adresu uživatele hosta?
Pokud uživatel typu host přijme vaši pozvánku a následně změní svou e-mailovou adresu, nový e-mail se automaticky nesynchronní s objektem uživatele typu host ve vašem adresáři. Vlastnost mail se vytvoří prostřednictvím rozhraní MICROSOFT Graph API. Vlastnost mail můžete aktualizovat prostřednictvím rozhraní Microsoft Graph API, centra pro Exchange nebo Exchange Online PowerShellu. Tato změna se projeví v objektu uživatele typu host služby Azure AD.