Externe B2B-samenwerking inschakelen en beheren wie gasten kan uitnodigen

In dit artikel wordt beschreven hoe u Azure Active Directory B2B-samenwerking (Azure AD) inschakelen, aanwijzen wie gasten kan uitnodigen en bepalen welke machtigingen gastgebruikers hebben in uw Azure AD.

Standaard kunnen alle gebruikers en gasten in uw directory gasten uitnodigen, zelfs als ze niet zijn toegewezen aan een beheerdersrol. Met instellingen voor externe samenwerking kunt u gastuitnodigingen in- of uitschakelen voor verschillende soorten gebruikers in uw organisatie. U kunt uitnodigingen ook delegeren aan afzonderlijke gebruikers door rollen toe te wijzen waarmee ze gasten kunnen uitnodigen.

Met Azure AD kunt u beperken wat externe gastgebruikers kunnen zien in uw Azure AD-directory. Gastgebruikers worden standaard ingesteld op een beperkt machtigingsniveau, waardoor ze geen gebruikers, groepen of andere directoryresources kunnen opsnoemen, maar ze het lidmaatschap van niet-verborgen groepen kunnen zien. Met een nieuwe preview-instelling kunt u gasttoegang nog verder beperken, zodat gasten alleen hun eigen profielgegevens kunnen bekijken. Zie Machtigingen voor gasttoegang beperken (preview) voor meer informatie.

Instellingen voor externe B2B-samenwerking configureren

Met Azure AD B2B-samenwerking kan een tenantbeheerder het volgende uitnodigingsbeleid instellen:

  • Uitnodigingen uitschakelen
  • Alleen beheerders en gebruikers met de rol Gastnodiger kunnen uitnodigen
  • Beheerders, de rol Gastnodiger en leden kunnen uitnodigen
  • Alle gebruikers, inclusief gasten, kunnen uitnodigen

Standaard kunnen alle gebruikers, inclusief gasten, gastgebruikers uitnodigen.

Instellingen voor externe samenwerking configureren:

  1. Meld u aan bij Azure Portal tenantbeheerder.

  2. Selecteer Azure Active Directory.

  3. Selecteer External Identities > Instellingen voor externe samenwerking.

  4. Kies onder Toegangsbeperkingen voor gastgebruikers (preview) het toegangsniveau dat gastgebruikers moeten hebben:

    • Gastgebruikers hebben dezelfde toegang als leden (meest inclusief): met deze optie hebben gasten dezelfde toegang tot Azure AD-resources en adreslijstgegevens als lidgebruikers.

    • Gastgebruikers hebben beperkte toegang tot eigenschappen en lidmaatschappen van mapobjecten : (standaardinstelling) Met deze instelling worden gasten van bepaalde adreslijsttaken, zoals het opsnoemen van gebruikers, groepen of andere directoryresources, blokkeert. Gasten kunnen het lidmaatschap van alle niet-verborgen groepen zien.

    • Toegang van gastgebruikers is beperkt tot eigenschappen en lidmaatschappen van hun eigen directory-objecten (meest beperkende): met deze instelling hebben gasten alleen toegang tot hun eigen profielen. Gasten mogen de profielen, groepen of groepslidmaatschap van andere gebruikers niet zien.

  5. Kies onder Instellingen voor gast uitnodigen de juiste instellingen:

    Instellingen voor gast uitnodigen

    • Iedereen in de organisatie kan gastgebruikers uitnodigen, inclusief gasten en niet-beheerders (meest inclusief): selecteer dit keuzerondje om gasten in de organisatie toe te staan andere gasten uit te nodigen, inclusief gasten die geen lid zijn van een organisatie.
    • Lidgebruikers en gebruikers die zijn toegewezen aan specifieke beheerdersrollen kunnen gastgebruikers uitnodigen, inclusief gasten met lidmachtigingen: selecteer dit keuzerondje om leden en gebruikers met specifieke beheerdersrollen toe te staan gasten uit te nodigen.
    • Alleen gebruikers die zijn toegewezen aan specifieke beheerdersrollen kunnen gastgebruikers uitnodigen: als u wilt dat alleen gebruikers met beheerdersrollen gasten kunnen uitnodigen, selecteert u dit keuzerondje. De beheerdersrollen zijn globale beheerder, gebruikersbeheerderen gastuitnodiger.
    • Niemand in de organisatie kan gastgebruikers uitnodigen, inclusief beheerders (meest beperkend): als u wilt dat iedereen in de organisatie gasten uitnodigt, selecteert u dit keuzerondje.

      Notitie

      Als Leden kunnen uitnodigen is ingesteld op Nee en Beheerders en gebruikers met de rol gastnodiger kunnen uitnodigen is ingesteld op Ja, kunnen gebruikers met de rol Gastnodiger nog steeds gasten uitnodigen.

  6. Selecteer onder Aanmelden via gebruikersstromen voor selfservice voor gasten inschakelen de optie Ja als u gebruikersstromen wilt kunnen maken waarmee gebruikers zich kunnen registreren voor apps. Zie Een selfservicegebruikersstroom voor aanmelden toevoegen aan een app voor meer informatie over deze instelling.

    Instelling selfservice voor registreren via gebruikersstromen

  7. Onder Samenwerkingsbeperkingen kunt u kiezen of u uitnodigingen wilt toestaan of weigeren voor de domeinen die u opgeeft, en kunt u specifieke domeinnamen invoeren in de tekstvakken. Voer voor meerdere domeinen elk domein in op een nieuwe regel. Zie Uitnodigingen voor B2B-gebruikersvan specifieke organisaties toestaan of blokkeren voor meer informatie.

    Instellingen voor samenwerkingsbeperkingen

De rol Gastnodiger toewijzen aan een gebruiker

Met de rol Gastuitnodiger kunt u individuele gebruikers de mogelijkheid geven om gasten uit te nodigen zonder hen een globale beheerder of andere beheerdersrol toe te wijzen. Wijs de Afzender van gastuitnodigingen toe aan personen. Zorg er vervolgens voor dat u Beheerders en gebruikers in de rol gast-inviter in stelt om uit te nodigen voor Ja.

Hier ziet u een voorbeeld van het gebruik van PowerShell om een gebruiker toe te voegen aan de rol Gastuitnodiger:

Add-MsolRoleMember -RoleObjectId 95e79109-95c0-4d8e-aee3-d01accf2d47b -RoleMemberEmailAddress <RoleMemberEmailAddress>

Volgende stappen

Zie de volgende artikelen over Azure AD B2B-samenwerking: