Külső B2B-együttműködés engedélyezése és a vendégmeghívási jogosultság kezelése

Ez a cikk azt ismerteti, hogyan engedélyezheti a Azure Active Directory (Azure AD) B2B-együttműködést, meghatározhatja, hogy ki hívhat meg vendégfelhasználókat, és meghatározhatja, hogy a vendégfelhasználók milyen engedélyekkel rendelkezik az Azure AD-ben.

Alapértelmezés szerint a címtárban található összes felhasználó és vendég akkor is meghívhat vendégeket, ha nincs rendszergazdai szerepkörhöz rendelve. A külső együttműködési beállításokkal be- és kikapcsolhatja a vendégmeghívásokat a szervezet különböző típusú felhasználói számára. A meghívókat delegálhatja egyéni felhasználóknak is, ha olyan szerepköröket rendel hozzá, amelyek lehetővé teszik a vendégek meghívását.

Az Azure AD segítségével korlátozhatja, hogy külső vendégfelhasználók mit láthatnak az Azure AD-címtárban. Alapértelmezés szerint a vendégfelhasználók egy korlátozott engedélyszintre vannak beállítva, amely megakadályozza a felhasználók, csoportok vagy más címtárerőforrások számbavételét, de lehetővé teszi számukra a nem rejtett csoportok tagságának beállítását. Egy új előzetes verziójú beállítással még tovább korlátozhatja a vendég hozzáférését, így a vendégek csak a saját profiljuk adatait láthatják. Részletekért lásd: Vendégelérési engedélyek korlátozása (előzetes verzió).

B2B külső együttműködési beállítások konfigurálása

Az Azure AD B2B-együttműködéssel a bérlői rendszergazda a következő meghívási szabályzatokat állíthatja be:

  • Meghívók kikapcsolása
  • Csak a Vendég meghívója szerepkörben a rendszergazdák és a felhasználók meghívót kaphatnak
  • A rendszergazdák, a Vendég meghívója szerepkör és a tagok meghívhatja őket
  • Minden felhasználó, a vendégeket is beleértve, meghívhatja

Alapértelmezés szerint minden felhasználó meghívhat vendégfelhasználót, beleértve a vendégfelhasználót is.

Külső együttműködési beállítások konfigurálása:

  1. Jelentkezzen be a Azure Portal bérlői rendszergazdaként.

  2. Válassza a Azure Active Directory lehetőséget.

  3. Válassza External Identities > külső együttműködési beállítások lehetőséget.

  4. A Vendégfelhasználói hozzáférési korlátozások (előzetes verzió) alatt válassza ki a vendégfelhasználók hozzáférési szintjét:

    • A vendégfelhasználók ugyanazokkal a hozzáféréssel rendelkezik, mint a tagok (a legbefoghatóbbak): Ez a beállítás a tagfelhasználókval azonos hozzáférést biztosít a vendégeknek az Azure AD-erőforrásokhoz és címtáradatokhoz.

    • A vendégfelhasználók korlátozott hozzáféréssel rendelkeznek a címtárobjektumok tulajdonságaihoz és tagságához: (Alapértelmezett) Ez a beállítás letiltja bizonyos címtárfeladatok, például a felhasználók, csoportok vagy más címtárerőforrások számbavételét. A vendégek láthatják az összes nem rejtett csoport tagságát.

    • A vendégfelhasználói hozzáférés a saját címtárobjektumaik tulajdonságaira és tagságára korlátozódik (legszigorúbb): Ezzel a beállítással a vendégek csak a saját profiljaikhoz férhetnek hozzá. A vendégek nem láthatják más felhasználók profiljait, csoportjait vagy csoporttagságokat.

  5. A Vendég meghívása beállítások alatt válassza ki a megfelelő beállításokat:

    Vendég meghívásának beállításai

    • A szervezeten belül bárki meghívhat vendégfelhasználókat, beleértve a vendégfelhasználókat és a nem rendszergazdákat (a legbefogatottabb) : Ha engedélyeznie kell, hogy a szervezet vendégfelhasználói meghívni tudjanak más vendégfelhasználókat, beleértve azokat is, akik nem tagjai a szervezetnek, jelölje be ezt a választógombot.
    • A tagfelhasználók és az adott rendszergazdai szerepkörökhöz rendelt felhasználók vendégfelhasználókat hívnak meg, beleértve a tag engedélyekkel rendelkező vendégfelhasználókat is: Ha a tagfelhasználók és a meghatározott rendszergazdai szerepkörökkel rendelkező felhasználók számára engedélyezni kell a vendégek meghívását, jelölje be ezt a választógombot.
    • Csak az adott rendszergazdai szerepkörökhöz rendelt felhasználók hívnak meg vendégfelhasználókat: Ha csak a rendszergazdai szerepkörökkel rendelkező felhasználók számára engedélyezi a vendégek meghívását, jelölje be ezt a választógombot. A rendszergazdai szerepkörök közé tartozik a globális rendszergazda, a felhasználói rendszergazdaés a vendég meghívója.
    • A szervezeten belül senki sem hívhat meg vendégfelhasználókat, beleértve a rendszergazdákat is (a legszigorúbb) : Ha a szervezeten belül mindenki számára meg kell tagadni a vendégek meghívását, jelölje be ezt a választógombot.

      Megjegyzés

      Ha a Tagok meghívhatja a meghívást beállítás a Nem, a Rendszergazdák és a Vendég meghívója szerepkörben a Meghívható vendégfelhasználók beállítás Igen, a Vendég meghívója szerepkör felhasználói továbbra is meghívni tudják a vendégfelhasználókat.

  6. Az E-mail egyszer használt PIN-kód küldése a vendégeknek alatt válassza ki a megfelelő beállításokat (további információ: E-mailes egyszer használt PIN-kódos hitelesítés):

    • E-mail-cím automatikus engedélyezése a vendégek számára 2021. októberben. (Alapértelmezett) Ha az e-mailes pin-kód funkció még nincs engedélyezve a bérlő számára, 2021 októberében automatikusan bekapcsol. Nincs szükség további műveletre, ha azt szeretné, hogy a funkció engedélyezve legyen. Ha már engedélyezte vagy letiltotta a funkciót, ez a lehetőség nem érhető el.

    • Engedélyezze az e-mailes egyszer megadott PIN-kódot a vendégek számára. Bekapcsolja az e-mailes, egyszer használható PIN-kód funkciót a bérlője számára.

    • Tiltsa le a vendégek e-mailes pin-kódját. Kikapcsolja az e-mailes pin-kód funkcióját a bérlő számára, és megakadályozza, hogy a funkció 2021 októberében bekapcsoljon.

    Megjegyzés

    A fenti beállítások helyett a következő váltógombot láthatja, ha engedélyezte vagy letiltotta ezt a funkciót, vagy ha korábban már feliratkozott az előzetes verzióra:

    Az e-mailes pin-kód engedélyezésének engedélyezése

  7. Az Enable guest self-service sign up via user flows(Vendég önkiszolgáló regisztráció engedélyezése felhasználói folyamatokon keresztül) alatt válassza az Igen lehetőséget, ha olyan felhasználói folyamatokat szeretne létrehozni, amelyek lehetővé teszik a felhasználók számára az alkalmazásokra való regisztrációt. További információ erről a beállításról: Önkiszolgáló bejelentkezési felhasználói folyamat hozzáadása egy alkalmazáshoz.

    Önkiszolgáló regisztráció felhasználói folyamatokon keresztül beállítás

  8. Az Együttműködési korlátozások alatt kiválaszthatja, hogy engedélyezi vagy megtagadja a megadott tartományokra való meghívásokat, és a szövegmezőkben megadott tartományneveket ad meg. Több tartomány esetén adja meg az egyes tartományokat egy új sorban. További információ: Adott szervezetektől származó B2B-felhasználók meghívásának engedélyezése vagy blokkolása.

    Együttműködési korlátozások beállításai

Vendég meghívója szerepkör hozzárendelése egy felhasználóhoz

A Vendég meghívója szerepkör lehetővé teszi, hogy az egyes felhasználók meghívják a vendégfelhasználót anélkül, hogy globális rendszergazdai vagy más rendszergazdai szerepkört rendelnek hozzájuk. Rendelje hozzá a vendégmeghívó szerepkört az egyénekhez. Ezután győződjön meg arról, hogy a Vendég meghívója szerepkörben a Rendszergazdák és felhasználók meghívása igenre van állítva.

Az alábbi példa bemutatja, hogyan adhat hozzá felhasználót a Vendég meghívója szerepkörhöz a PowerShell használatával:

Add-MsolRoleMember -RoleObjectId 95e79109-95c0-4d8e-aee3-d01accf2d47b -RoleMemberEmailAddress <RoleMemberEmailAddress>

Következő lépések

Tekintse meg az Azure AD B2B-együttműködésről a következő cikkeket: