Eigenschappen van een Azure Active Directory B2B-samenwerkingsgebruiker

  • Artikel
  • 6 minuten om te lezen

In dit artikel worden zowel vóór als na het inwisselen van de uitnodiging de eigenschappen en staten beschreven van een uitgenodigd Azure Active Directory B2B-samenwerkingsobject (Azure AD B2B). Een azure AD B2B-samenwerkingsgebruiker is een externe gebruiker, meestal afkomstig van een partnerorganisatie, die u uitnodigt om zich aan te melden bij uw Azure AD-organisatie met behulp van hun eigen referenties. Deze B2B-samenwerkingsgebruiker (ook wel gastgebruiker genoemd) heeft vervolgens toegang tot de apps en resources die u met hen wilt delen. Er wordt een gebruikersobject gemaakt voor de B2B-samenwerkingsgebruiker in dezelfde directory als uw werknemers. Gebruikersobjecten voor B2B-samenwerking hebben standaard beperkte bevoegdheden in uw directory en kunnen worden beheerd als werknemers, worden toegevoegd aan groepen, en meer.

Afhankelijk van de behoeften van de uitnodigende organisatie kan een Azure AD B2B-samenwerkingsgebruiker een van de volgende accountaccounts hebben:

  • State 1: Homed in an external instance of Azure AD and represented as a guest user in the inviting organization. In dit geval meldt de B2B-gebruiker zich aan met een Azure AD-account dat bij de uitgenodigde tenant hoort. Als de partnerorganisatie geen gebruik maakt van Azure AD, wordt de gastgebruiker in Azure AD nog steeds gemaakt. De vereisten zijn dat ze hun uitnodiging inwisselen en dat Azure AD hun e-mailadres verifieert. Deze rangschikking wordt ook wel een JIT-tenancy (Just-In-Time), een 'virale' tenancy of een onmanagede Azure AD-tenancy genoemd.

    Belangrijk

    Vanaf 1 november 2021 wordt een wijziging uitgerold om de e-mailfunctie voor een een time-time wachtwoordcode in te zetten voor alle bestaande tenants en deze standaard in te stellen voor nieuwe tenants. Als onderdeel van deze wijziging stopt Microsoft met het maken van nieuwe, niet-beherende ('virale') Azure AD-accounts en -tenants tijdens het inwisselen van de uitnodiging voor B2B-samenwerking. Om onderbrekingen tijdens de feestdagen en implementatievergrendelingen te minimaliseren, zien de meeste tenants wijzigingen die in januari 2022 worden geïmplementeerd. We schakelen de e-mailfunctie voor een een time-time wachtwoordcode in omdat deze een naadloze terugvalmethode biedt voor uw gastgebruikers. Als u deze functie echter niet automatisch wilt in- of uitschakelen, kunt u deze uitschakelen.

  • Status 2: thuis in een Microsoft- of ander account en vertegenwoordigd als een gastgebruiker in de hostorganisatie. In dit geval meldt de gastgebruiker zich aan met een Microsoft-account of een sociaal account (google.com of vergelijkbaar). De identiteit van de uitgenodigde gebruiker wordt gemaakt als een Microsoft-account in de directory van de uitnodigende organisatie tijdens het inwisselen van de aanbieding.

  • Status 3: thuis in de on-premises Active Directory van de hostorganisatie en gesynchroniseerd met De Azure AD van de hostorganisatie. U kunt Azure AD Verbinding maken partneraccounts als Azure AD B2B-gebruikers te synchroniseren met UserType = Guest. Zie Lokaal beheerde partneraccounts toegang verlenen tot cloudresources.

  • State 4: Homed in the host organization's Azure AD with UserType = Guest and credentials that the host organization manages.

    Diagram met de vier gebruikers-staten

Laten we nu eens kijken hoe een azure AD B2B-samenwerkingsgebruiker eruitziet in Azure AD.

Vóór het inwisselen van de uitnodiging

De accounts State 1 en State 2 zijn het resultaat van het uitnodigen van gastgebruikers om samen te werken met behulp van de eigen referenties van de gastgebruikers. Wanneer de uitnodiging in eerste instantie naar de gastgebruiker wordt verzonden, wordt er een account gemaakt in uw directory. Aan dit account zijn geen referenties gekoppeld, omdat de verificatie wordt uitgevoerd door de id-provider van de gastgebruiker. De eigenschap Bron voor het gastgebruikersaccount in uw directory is ingesteld op Uitgenodigde gebruiker.

Schermopname van gebruikerseigenschappen vóór het inwisselen van de aanbieding

Na het inwisselen van de uitnodiging

Nadat de gastgebruiker de uitnodiging heeft geaccepteerd, wordt de eigenschap Bron bijgewerkt op basis van de id-provider van de gastgebruiker.

Voor gastgebruikers in staat 1 is de bron Extern Azure Active Directory.

Status 1 gastgebruiker na inwisseling van aanbieding

Voor gastgebruikers in state 2 is de bron Microsoft-account.

State 2 gastgebruiker na inwisseling van aanbieding

Voor gastgebruikers in State 3 en State 4 is de eigenschap Source ingesteld op Azure Active Directory of Windows Server AD, zoals beschreven in de volgende sectie.

Belangrijkste eigenschappen van de azure AD B2B-samenwerkingsgebruiker

UserType

Deze eigenschap geeft de relatie van de gebruiker met de hosttenancy aan. Deze eigenschap kan twee waarden hebben:

  • Lid: Deze waarde geeft een werknemer van de hostorganisatie en een gebruiker in de salarissen van de organisatie aan. Deze gebruiker verwacht bijvoorbeeld toegang te hebben tot interne sites. Deze gebruiker wordt niet beschouwd als een externe samenwerker.

  • Gast: Deze waarde geeft een gebruiker aan die niet als intern voor het bedrijf wordt beschouwd, zoals een externe medewerker, partner of klant. Van een dergelijke gebruiker wordt bijvoorbeeld niet verwacht dat deze de interne notities van een CEO ontvangt of voordelen van het bedrijf ontvangt.

    Notitie

    Het UserType heeft geen relatie met de manier waarop de gebruiker zich meldt, de directoryrol van de gebruiker, en meer. Met deze eigenschap wordt simpelweg de relatie van de gebruiker met de hostorganisatie aangegeven en kan de organisatie beleidsregels afdwingen die afhankelijk zijn van deze eigenschap.

Raadpleeg prijzen voor meer informatie Azure Active Directory prijzen.

Bron

Deze eigenschap geeft aan hoe de gebruiker zich meldt.

  • Uitgenodigde gebruiker: deze gebruiker is uitgenodigd, maar heeft nog geen uitnodiging ingewisseld.

  • Externe Azure Active Directory: Deze gebruiker is thuis in een externe organisatie en wordt geverifieerd met behulp van een Azure AD-account dat bij de andere organisatie hoort. Dit type aanmelding komt overeen met State 1.

  • Microsoft-account: Deze gebruiker is thuis in een Microsoft-account en wordt geverifieerd met behulp van een Microsoft-account. Dit type aanmelding komt overeen met State 2.

  • Windows Server AD: Deze gebruiker is aangemeld vanuit on-premises Active Directory die tot deze organisatie behoort. Dit type aanmelding komt overeen met State 3.

  • Azure Active Directory: Deze gebruiker wordt geverifieerd met behulp van een Azure AD-account dat bij deze organisatie hoort. Dit type aanmelding komt overeen met State 4.

    Notitie

    Bron en UserType zijn onafhankelijke eigenschappen. Een waarde van Bron impliceert geen bepaalde waarde voor UserType.

Kunnen Azure AD B2B-gebruikers worden toegevoegd als leden in plaats van gasten?

Normaal gesproken zijn een Azure AD B2B-gebruiker en gastgebruiker synoniem. Daarom wordt standaard een azure AD B2B-samenwerkingsgebruiker toegevoegd als een gebruiker met UserType = Guest. In sommige gevallen is de partnerorganisatie echter lid van een grotere organisatie waarvan de hostorganisatie ook deel uitmaken. Zo ja, dan wil de hostorganisatie gebruikers in de partnerorganisatie mogelijk behandelen als leden in plaats van gasten. Gebruik de Azure AD B2B Invitation Manager-API's om een gebruiker van de partnerorganisatie toe te voegen aan of uit te nodigen als lid van de hostorganisatie.

Filteren op gastgebruikers in de map

Schermopname van het filter voor gastgebruikers

UserType converteren

Het is mogelijk om UserType te converteren van Lid naar Gast en vice versa met behulp van PowerShell. De eigenschap UserType vertegenwoordigt echter de relatie van de gebruiker met de organisatie. Daarom moet u deze eigenschap alleen wijzigen als de relatie van de gebruiker met de organisatie verandert. Als de relatie van de gebruiker verandert, moet de UPN (user principal name) worden gewijzigd? Moet de gebruiker toegang blijven hebben tot dezelfde resources? Moet een postvak worden toegewezen?

Beperkingen van gastgebruikers verwijderen

Mogelijk wilt u uw gastgebruikers hogere bevoegdheden geven. U kunt een gastgebruiker toevoegen aan elke rol en zelfs de standaardbeperkingen voor gastgebruikers in de directory verwijderen om een gebruiker dezelfde bevoegdheden te geven als leden.

Het is mogelijk om de standaardbeperkingen uit te schakelen, zodat een gastgebruiker in de bedrijfsmap dezelfde machtigingen heeft als een lidgebruiker.

Schermopname van de optie Externe gebruikers in de gebruikersinstellingen

Kan ik gastgebruikers zichtbaar maken in de Exchange algemene adreslijst?

Ja. Standaard zijn gastobjecten niet zichtbaar in de algemene adreslijst van uw organisatie, maar u kunt de Azure Active Directory PowerShell gebruiken om ze zichtbaar te maken. Zie 'Gasten toevoegen aan de algemene adreslijst' in het artikel Microsoft 365 gasttoegang per groepvoor meer informatie.

Kan ik het e-mailadres van een gastgebruiker bijwerken?

Als een gastgebruiker uw uitnodiging accepteert en vervolgens het e-mailadres wijzigt, wordt het nieuwe e-mailbericht niet automatisch gesynchroniseerd met het object van de gastgebruiker in uw directory. De e-mail-eigenschap wordt gemaakt via de Microsoft Graph API. U kunt de eigenschap mail bijwerken via de Microsoft Graph-API, het Exchange-beheercentrum of Exchange Online PowerShell. De wijziging wordt weerspiegeld in het Azure AD-gastgebruikersobject.

Volgende stappen