Crear una extranet B2B con invitados administrados

Puede usar la administración Azure Active Directory derechos para crear una extranet B2B para colaborar con una organización asociada que use Azure Active Directory. Esto permite a los usuarios auto inscribirse en el sitio o equipo de extranet y recibir acceso a través de un flujo de trabajo de aprobación.

Con este método de compartir recursos para la colaboración, la organización asociada puede ayudar a mantener y aprobar a los invitados al final, lo que reduce la carga para el departamento de TI y permite a los más familiarizados con el contrato de colaboración administrar el acceso de los usuarios.

Este artículo describe los pasos para crear un paquete de recursos (en este caso, un sitio o un equipo) que puede compartir con una organización asociada a través de un modelo de registro de acceso autoservicio.

Antes de comenzar, cree el sitio o el equipo que desea compartir con la organización asociada y habilite para el uso compartido de invitados. Consulta Colaborar con invitados en un sitio o Colaborar con invitados de un equipo para obtener más información. También se recomienda revisar Crear un entorno de uso compartido de invitados seguro para obtener información sobre las características de seguridad y cumplimiento que puede usar para ayudar a mantener las directivas de gobierno al colaborar con invitados.

Requisitos de licencia

El uso de esta característica requiere una Azure AD Premium P2 licencia.

Las nubes especializadas, como Azure Germany y Azure China 21Vianet, no están disponibles actualmente para su uso.

Demostración de vídeo

En este vídeo se muestran los procedimientos descritos en este artículo.

Conectar la organización asociada

Para invitar invitados de una organización asociada, debe agregar el dominio del partner como una organización conectada en Azure Active Directory.

Para agregar una organización conectada

  1. En Azure Active Directory, haga clic en Gobierno de identidad.

  2. Haga clic en Organizaciones conectadas.

  3. Haga clic en Agregar organización conectada.

  4. Escriba un nombre y una descripción para la organización y, a continuación, haga clic en Siguiente: Directorio + dominio.

  5. Haga clic en Agregar directorio + dominio.

  6. Escriba el dominio de la organización que desea conectar y, a continuación, haga clic en Agregar.

  7. Haga clic Conectar y, a continuación, haga clic en Siguiente: Patrocinadores.

  8. Agrega personas de tu organización o de la organización a las que quieras aprobar el acceso para invitados.

  9. Haga clic en Siguiente: Revisar + Crear.

  10. Revise la configuración que ha elegido y, a continuación, haga clic en Crear.

    Captura de pantalla de la página de organizaciones conectadas en Azure Active Directory.

Elegir los recursos que se compartirán

El primer paso para seleccionar los recursos que se compartirán con una organización asociada es crear un catálogo que los contenga.

Para crear un catálogo

  1. En Azure Active Directory, haga clic en Gobierno de identidad.

  2. Haga clic en Catálogos.

  3. Haga clic en Nuevo catálogo.

  4. Escriba un nombre y una descripción para el catálogo y asegúrese de que Enabled y Enabled para usuarios externos estén establecidos en .

  5. Haga clic en Crear.

    Captura de pantalla de la página catálogos Azure Active Directory Identity Governance.

Una vez creado el catálogo, se agrega el SharePoint sitio o equipo que desea compartir con la organización asociada.

Para agregar recursos a un catálogo

  1. En Gobierno de identidades de Azure AD, haga clic en Catálogos y, a continuación, haga clic en el catálogo donde desea agregar recursos.

  2. Haga clic en Recursos y, a continuación, en Agregar recursos.

  3. Seleccione los equipos o SharePoint que desea incluir en la extranet y, a continuación, haga clic en Agregar.

    Captura de pantalla de la página de recursos del catálogo Azure Active Directory Identity Governance.

Una vez definidos los recursos que desea compartir, el siguiente paso es crear un paquete de acceso, que defina el tipo de acceso que se concede a los usuarios asociados y el proceso de aprobación de los nuevos usuarios asociados que solicitan acceso.

Para crear un paquete de acceso

  1. En Gobierno de identidades de Azure AD, haga clic en Catálogos y, a continuación, haga clic en el catálogo donde desea crear un paquete de acceso.

  2. Haga clic en Paquetes de Access y, a continuación, en Nuevo paquete de acceso.

  3. Escriba un nombre y una descripción para el paquete de acceso y, a continuación, haga clic en Siguiente: Roles de recurso.

  4. Elija los recursos del catálogo que desea usar para la extranet.

  5. Para cada recurso, en la columna Rol, elija el rol de usuario que desea conceder a los invitados que usan la extranet.

  6. Haga clic en Siguiente: Solicitudes.

  7. En Usuarios que pueden solicitar acceso, elija Para usuarios que no están en el directorio.

  8. Asegúrese de que la opción Organizaciones conectadas específicas está seleccionada y, a continuación, haga clic en Agregar directorios.

  9. Elija la organización conectada que agredía anteriormente y, a continuación, haga clic en Seleccionar

  10. En Aprobación, elija para Requerir aprobación.

  11. En Primer aprobador, elija uno de los patrocinadores que agregó anteriormente o elija un usuario específico.

  12. Haga clic en Agregar reserva y seleccione un aprobador de reserva.

  13. En Habilitar, elija .

  14. Haga clic en Siguiente: Ciclo de vida.

  15. Elija la configuración de expiración y acceso a la revisión que desea usar y, a continuación, haga clic en Siguiente: Revisar + Crear.

  16. Revise la configuración y, a continuación, haga clic en Crear.

    Captura de pantalla de la pantalla de paquetes de acceso Azure Active Directory Identity Governance.

Si te asocias con una organización grande, es posible que quieras ocultar el paquete de acceso. Si el paquete está oculto, los usuarios de la organización asociada no verán el paquete en su portal de My Access. En su lugar, se les debe enviar un vínculo directo para registrarse en el paquete. Ocultar el paquete de acceso puede reducir el número de solicitudes de acceso inadecuadas y también puede ayudar a mantener los paquetes de acceso disponibles organizados en el portal de la organización asociada.

Para establecer un paquete de acceso en oculto

  1. En Gobierno de identidades de Azure AD, haga clic en Paquetes de Access y, a continuación, haga clic en el paquete de acceso.

  2. En la página Información general, haga clic en Editar.

  3. En Propiedades, elija para Oculto y, a continuación, haga clic en Guardar.

    Captura de pantalla de una pantalla de propiedades del paquete de acceso de edición.

Invitar a usuarios asociados

Si establece el paquete de acceso en oculto, debe enviar un vínculo directo a la organización asociada para que puedan solicitar acceso a su sitio o equipo.

Para buscar el vínculo del portal de acceso

  1. En Gobierno de identidades de Azure AD, haga clic en Paquetes de Access y, a continuación, haga clic en el paquete de acceso.

  2. En la página Información general, haga clic en Copiar en el portapapeles para el vínculo Portal de My Access.

    Captura de pantalla de las propiedades del paquete de acceso con el vínculo del portal de acceso.

Una vez copiado el vínculo, puede compartirlo con su contacto en la organización asociada y puede enviarlo a los usuarios de su equipo de colaboración.

Consulta también

Crear un entorno seguro de uso compartido para invitados