A Microsoft Entra B2B együttműködési felhasználó tulajdonságai
A B2B együttműködés a Microsoft Entra Külső ID képessége, amely lehetővé teszi a szervezeten kívüli felhasználókkal és partnerekkel való együttműködést. A B2B-együttműködéssel egy külső felhasználó saját hitelesítő adataival jelentkezhet be a Microsoft Entra-szervezetbe. Ez a B2B együttműködési felhasználó ezután hozzáférhet a velük megosztani kívánt alkalmazásokhoz és erőforrásokhoz. A B2B együttműködési felhasználó számára egy felhasználói objektum jön létre ugyanabban a címtárban, mint az alkalmazottak. A B2B együttműködési felhasználói objektumok alapértelmezés szerint korlátozott jogosultságokkal rendelkeznek a címtárban, és kezelhetők, mint az alkalmazottak, hozzáadhatók a csoportokhoz stb. Ez a cikk a felhasználói objektum tulajdonságait és kezelésének módjait ismerteti.
Az alábbi táblázat a B2B együttműködési felhasználókat ismerteti a hitelesítés (belső vagy külső) és a szervezettel (vendég vagy tag) való kapcsolatuk alapján.
- Külső vendég: A legtöbb olyan felhasználó, akit gyakran külső felhasználónak vagy vendégnek tartanak, ebbe a kategóriába tartozik. Ez a B2B együttműködési felhasználó rendelkezik egy külső Microsoft Entra-szervezetben vagy külső identitásszolgáltatóban (például közösségi identitásban) lévő fiókkal, és vendégszintű engedélyekkel rendelkezik az erőforrás-szervezetben. A Microsoft Entra erőforrásban létrehozott felhasználói objektumhoz tartozik a Vendég userType tulajdonsága.
- Külső tag: Ez a B2B együttműködési felhasználó rendelkezik egy külső Microsoft Entra-szervezetben vagy külső identitásszolgáltatóban (például közösségi identitásban) lévő fiókkal, és tagszintű hozzáféréssel rendelkezik a szervezet erőforrásaihoz. Ez a forgatókönyv gyakori a több bérlőből álló szervezetekben, ahol a felhasználók a nagyobb szervezet részét képezik, és tagszintű hozzáférésre van szükségük a szervezet más bérlőinek erőforrásaihoz. A Microsoft Entra könyvtárban létrehozott felhasználói objektum rendelkezik a Tag UserType elemével.
- Belső vendég: Mielőtt a Microsoft Entra B2B együttműködés elérhető lett volna, gyakori volt a forgalmazókkal, szállítókkal, szállítókkal és másokkal való együttműködés azáltal, hogy belső hitelesítő adatokat állít be számukra, és vendégként jelöli ki őket a UserType felhasználói objektum vendégként való beállításával. Ha ilyen belső vendégfelhasználókkal rendelkezik, meghívhatja őket a B2B-együttműködés használatára, hogy saját hitelesítő adataikat használhassák, így külső identitásszolgáltatójuk kezelheti a hitelesítést és a fiók életciklusát.
- Belső tag: Ezeket a felhasználókat általában a szervezet alkalmazottainak tekintik. A felhasználó belsőleg hitelesít a Microsoft Entra-azonosítón keresztül, és a Microsoft Entra erőforrásban létrehozott felhasználói objektum rendelkezik a Tag UserType elemével.
A választott felhasználótípusra az alábbi korlátozások vonatkoznak az alkalmazásokra vagy szolgáltatásokra (de nem korlátozódnak):
| Alkalmazás vagy szolgáltatás | Korlátozások |
|---|---|
| Power BI | – A Power BI UserType-tagjának támogatása jelenleg előzetes verzióban érhető el. További információ: Power BI-tartalom terjesztése külső vendégfelhasználóknak a Microsoft Entra B2B-vel. |
| Azure Virtual Desktop | – A külső tag és a külső vendég nem támogatott az Azure Virtual Desktopban. |
Fontos
Az egyszeri e-mail pin-kód funkció alapértelmezés szerint be van kapcsolva az összes új bérlő és minden olyan meglévő bérlő esetében, ahol nem kapcsolta ki explicit módon. Ha ez a funkció ki van kapcsolva, a tartalék hitelesítési módszer arra kéri a meghívottakat, hogy hozzanak létre egy Microsoft-fiókot.
Meghívás érvényesítése
Most nézzük meg, hogyan néz ki egy Microsoft Entra B2B együttműködési felhasználó a Microsoft Entra Külső ID.
Meghívó beváltás előtt
A B2B együttműködési felhasználói fiókok annak az eredménye, hogy meghívják a vendégfelhasználókat az együttműködésre a vendégfelhasználók saját hitelesítő adataival. Amikor a meghívót először elküldi a vendégfelhasználónak, létrejön egy fiók a bérlőben. Ez a fiók nem rendelkezik hozzá társított hitelesítő adatokkal, mert a hitelesítést a vendégfelhasználó identitásszolgáltatója végzi. A címtárban lévő vendégfelhasználói fiók Identityes tulajdonsága a gazdagép szervezeti tartományára van állítva, amíg a vendég vissza nem váltja a meghívást. A meghívót küldő felhasználó a vendégfelhasználói fiók Szponzor attribútumának alapértelmezett értékeként lesz hozzáadva. A felügyeleti központban a meghívott felhasználó profilja a PendingAcceptance külső felhasználói állapotát jeleníti meg. A Microsoft Graph API használatával kapcsolatos externalUserState lekérdezések a következőt fogják visszaadni Pending Acceptance:
Meghívás beváltás után
Miután a B2B együttműködési felhasználó elfogadta a meghívást, az Identityes tulajdonság frissül a felhasználó identitásszolgáltatója alapján.
Ha a B2B együttműködési felhasználó Egy másik külső identitásszolgáltatótól származó Microsoft-fiókot vagy hitelesítő adatokat használ, az identitások az identitásszolgáltatót tükrözik, például Microsoft-fiókot, google.com vagy facebook.com.
Ha a B2B együttműködési felhasználó egy másik Microsoft Entra-szervezet hitelesítő adatait használja, az Identityes az ExternalAzureAD.
A belső hitelesítő adatokat használó külső felhasználók esetében az Identityes tulajdonság a gazdagép szervezeti tartományára van állítva. A címtár szinkronizált tulajdonsága Igen, ha a fiók a szervezet helyi Active Directory van otthon, és szinkronizálva van a Microsoft Entra-azonosítóval, vagy nem, ha a fiók csak felhőalapú Microsoft Entra-fiók. A címtárszinkronizálási információk a
onPremisesSyncEnabledMicrosoft Graph tulajdonságán keresztül is elérhetők.
A Microsoft Entra B2B együttműködési felhasználó főbb tulajdonságai
Felhasználó egyszerű neve
A B2B együttműködési felhasználói objektum egyszerű neve (UPN) egy #EXT# azonosítót tartalmaz.
Felhasználó típusa
Ez a tulajdonság a felhasználó és a gazdagép bérlői viszonyát jelzi. Ennek a tulajdonságnak két értéke lehet:
Tag: Ez az érték a gazdaszervezet alkalmazottját és a szervezet bérjegyzékében szereplő felhasználót jelöli. Ez a felhasználó például arra számít, hogy hozzáféréssel rendelkezik a csak belső webhelyekhez. Ez a felhasználó nem tekinthető külső közreműködőnek.
Vendég: Ez az érték olyan felhasználót jelöl, aki nem tekinthető a vállalat belső szervezetének, például külső közreműködőnek, partnernek vagy ügyfélnek. Az ilyen felhasználónak nem kell megkapnia egy ügyvezető igazgató (vezérigazgató) belső feljegyzését, és nem kaphat például vállalati előnyöket.
Feljegyzés
A UserType nincs összefüggésben a felhasználó bejelentkezésének módjával, a felhasználó címtárszerepkörével stb. Ez a tulajdonság egyszerűen jelzi a felhasználónak a gazdagép szervezettel való kapcsolatát, és lehetővé teszi a szervezet számára a tulajdonságtól függő szabályzatok kikényszerítését.
Identitások
Ez a tulajdonság a felhasználó elsődleges identitásszolgáltatóját jelzi. A felhasználó több identitásszolgáltatóval is rendelkezhet, amelyek megtekinthetők a felhasználó profiljában az Identitások melletti hivatkozás kiválasztásával vagy a identities tulajdonság Microsoft Graph API-n keresztüli lekérdezésével.
Feljegyzés
Az identitások és a UserType független tulajdonságok. Az identitások értéke nem utal a UserType adott értékére.
| Identityes tulajdonság értéke | Bejelentkezési állapot |
|---|---|
| ExternalAzureAD | Ez a felhasználó egy külső szervezetben található, és a másik szervezethez tartozó Microsoft Entra-fiókkal hitelesít. |
| Microsoft-fiók | Ez a felhasználó egy Microsoft-fiókban található, és egy Microsoft-fiókkal hitelesít. |
| {gazdagép tartománya} | Ez a felhasználó a szervezethez tartozó Microsoft Entra-fiókkal hitelesít. |
| google.com | Ez a felhasználó rendelkezik Gmail-fiókkal, és önkiszolgáló szolgáltatással regisztrált a másik szervezet számára. |
| facebook.com | Ez a felhasználó rendelkezik Facebook-fiókkal, és önkiszolgáló regisztrációval regisztrált a másik szervezet számára. |
| levélküldés | Ez a felhasználó Microsoft Entra Külső ID egyszeri pin-kód (OTP) használatával regisztrált. |
| {kiállító URI} | Ez a felhasználó egy külső szervezetben található, amely nem a Microsoft Entra-azonosítót használja identitásszolgáltatóként, hanem egy SAML-/WS-Fed-alapú identitásszolgáltatót használ. A kiállító URI-ja akkor jelenik meg, ha az Identityes (Identitások) mezőre kattint. |
Telefon bejelentkezés külső felhasználók számára nem támogatott. A B2B-fiókok nem használhatnak phone értéket identitásszolgáltatóként.
Címtár szinkronizálva
A címtár szinkronizált tulajdonsága azt jelzi, hogy a felhasználó szinkronizálva van-e a helyi Active Directory, és a rendszer a helyszínen hitelesíti. Ez a tulajdonság Igen, ha a fiók a szervezet helyi Active Directory van otthon, és szinkronizálva van a Microsoft Entra-azonosítóval, vagy nem, ha a fiók csak felhőalapú Microsoft Entra-fiók. A Microsoft Graph címtárszinkronizálási tulajdonsága a következőnek felel meg onPremisesSyncEnabled: .
Felveheti a Microsoft Entra B2B-felhasználókat a vendégek helyett tagokként?
A Microsoft Entra B2B-felhasználók és vendégfelhasználók általában szinonimák. Ezért a Microsoft Entra B2B együttműködési felhasználó alapértelmezés szerint Vendég értékre van állítva a UserType beállítással. Bizonyos esetekben azonban a partnerszervezet egy nagyobb szervezet tagja, amelyhez a gazdaszervezet is tartozik. Ha igen, előfordulhat, hogy a gazdaszervezet vendég helyett tagként szeretné kezelni a partnerszervezet felhasználóit. A Microsoft Entra B2B Invitation Manager API-kkal felvehet vagy meghívhat egy felhasználót a partnerszervezetből a gazdaszervezetbe tagként.
Szűrés vendégfelhasználók számára a címtárban
A Felhasználók listában a Szűrő hozzáadása funkcióval csak a vendégfelhasználók jelennek meg a címtárban.
UserType konvertálása
A UserType tagról vendégre alakítható át, és fordítva a felhasználó profiljának szerkesztésével a Microsoft Entra felügyeleti központban vagy a PowerShell használatával. A UserType tulajdonság azonban a felhasználó szervezethez való viszonyát jelöli. Ezért csak akkor módosítsa ezt a tulajdonságot, ha a felhasználó és a szervezet kapcsolata megváltozik. Ha a felhasználó kapcsolata megváltozik, módosítania kell a felhasználónév (UPN) nevét? A felhasználónak továbbra is hozzá kell férnie ugyanazokhoz az erőforrásokhoz? Hozzá kell rendelni egy postaládát?
Vendégfelhasználók engedélyei
A vendégfelhasználók alapértelmezett korlátozott címtárengedélyekkel rendelkeznek. Kezelhetik a saját profiljukat, módosíthatják a saját jelszavukat, és lekérhetnek néhány információt más felhasználókról, csoportokról és alkalmazásokról. Azonban nem tudják beolvasni az összes könyvtárinformációt.
A B2B-vendégfelhasználók nem támogatottak a Microsoft Teams megosztott csatornáiban. A megosztott csatornákhoz való hozzáférésről lásd a közvetlen B2B-kapcsolatot.
Előfordulhatnak olyan esetek, amikor magasabb szintű jogosultságokat szeretne biztosítani a vendégfelhasználóknak. Bármely szerepkörhöz hozzáadhat egy vendégfelhasználót, és akár eltávolíthatja a címtár alapértelmezett vendégfelhasználói korlátozásait is, hogy a felhasználónak ugyanazokat a jogosultságokat biztosíthassa, mint a tagok. Kikapcsolhatja az alapértelmezett korlátozásokat, hogy a vállalati címtárban lévő vendégfelhasználók ugyanazokkal az engedélyekkel rendelkezhessenek, mint a tagfelhasználók. További információ: A vendéghozzáférés korlátozása engedélyek Microsoft Entra Külső ID cikkben.
Megjeleníthetem a vendégfelhasználók listáját az Exchange globális címlistájában?
Igen. Alapértelmezés szerint a vendégobjektumok nem láthatók a szervezet globális címlistájában, de a Microsoft Graph PowerShell használatával láthatóvá teheti őket. További részletekért tekintse meg a Microsoft 365 csoportonkénti vendéghozzáférésről szóló cikkének "Vendégek hozzáadása a globális címlistához" című szakaszát.
Frissíthetem egy vendégfelhasználó e-mail-címét?
Ha egy vendégfelhasználó elfogadja a meghívást, és később módosítja az e-mail-címét, az új e-mail nem szinkronizálódik automatikusan a címtár vendégfelhasználói objektumával. A levelezési tulajdonság a Microsoft Graph API-n keresztül jön létre. A levelezési tulajdonságot a Microsoft Graph API-n, az Exchange felügyeleti központban vagy az Exchange Online PowerShellen keresztül frissítheti. A módosítás megjelenik a Microsoft Entra vendégfelhasználói objektumában.