Włączanie zewnętrznej współpracy B2B i zarządzanie osobami, które mogą zapraszać gości

W tym artykule opisano, jak włączyć Azure Active Directory (Azure AD) B2B, wyznaczyć, kto może zapraszać gości i określić uprawnienia użytkowników-gości w usłudze Azure AD.

Domyślnie wszyscy użytkownicy i goście w Twoim katalogu mogą zapraszać gości, nawet jeśli nie są przypisani do roli administratora. Ustawienia współpracy zewnętrznej umożliwiają włączanie i wyłączanie zaproszeń gości dla różnych typów użytkowników w organizacji. Możesz również delegować zaproszenia do poszczególnych użytkowników, przypisując role, które umożliwiają zapraszanie gości.

Usługa Azure AD umożliwia ograniczenie tego, co zewnętrzni użytkownicy-goście mogą zobaczyć w katalogu usługi Azure AD. Domyślnie użytkownicy-goście są ustawiani na ograniczony poziom uprawnień, który blokuje im możliwość wyliczania użytkowników, grup lub innych zasobów katalogu, ale umożliwia im wyświetlanie członkostwa w nieumytowych grupach. Nowe ustawienie wersji zapoznawczej pozwala jeszcze bardziej ograniczyć dostęp gości, dzięki czemu goście mogą wyświetlać tylko własne informacje o profilu. Aby uzyskać szczegółowe informacje, zobacz Ograniczanie uprawnień dostępu gościa (wersja zapoznawcza).

Konfigurowanie ustawień współpracy zewnętrznej B2B

Dzięki współpracy B2B w usłudze Azure AD administrator dzierżawy może ustawić następujące zasady zapraszania:

  • Wyłączanie zaproszeń
  • Tylko administratorzy i użytkownicy w roli osoby zapraszania gości mogą zapraszać
  • Administratorzy, rola osoby zapraszania gości i członkowie mogą zapraszać
  • Wszyscy użytkownicy, w tym goście, mogą zapraszać

Domyślnie wszyscy użytkownicy, w tym goście, mogą zapraszać użytkowników-gości.

Aby skonfigurować ustawienia współpracy zewnętrznej:

  1. Zaloguj się do Azure Portal jako administrator dzierżawy.

  2. Wybierz pozycję Azure Active Directory.

  3. Wybierz External Identities > ustawienia współpracy zewnętrznej.

  4. W obszarze Ograniczenia dostępu użytkowników-gości (wersja zapoznawcza) wybierz poziom dostępu, który mają mieć użytkownicy-goście:

    • Użytkownicy-goście mają taki sam dostęp jak członkowie (najbardziej włącznie): ta opcja zapewnia gościom taki sam dostęp do zasobów i danych katalogu usługi Azure AD jak użytkownicy-członkowie.

    • Użytkownicy-goście mają ograniczony dostęp do właściwości i członkostwa w obiektach katalogów: (Ustawienie domyślne) To ustawienie blokuje gościom dostęp do pewnych zadań katalogu, takich jak wyliczanie użytkowników, grup lub innych zasobów katalogu. Goście mogą zobaczyć członkostwo we wszystkich nieu ukrytych grupach.

    • Dostęp użytkowników-gości jest ograniczony do właściwości i członkoseń w ich własnych obiektach katalogu (najbardziej restrykcyjnych): w przypadku tego ustawienia goście mogą uzyskać dostęp tylko do własnych profilów. Goście nie mogą widzieć profilów, grup ani członkostwa w grupach innych użytkowników.

  5. W obszarze Ustawienia zaproszenia gościa wybierz odpowiednie ustawienia:

    Ustawienia zaproszenia gościa

    • Każda osoba w organizacji może zaprosić użytkowników-gości, w tym gości i użytkowników niebędących administratorami (najbardziej włącznie): aby zezwolić gościom w organizacji na zapraszanie innych gości, w tym tych, którzy nie są członkami organizacji, wybierz ten przycisk radiowy.
    • Użytkownicy członkowski i użytkownicy przypisani do określonych ról administratora mogą zapraszać użytkowników-gości, w tym gości z uprawnieniami członka: aby zezwolić użytkownikom członkowskim i użytkownikom z określonymi rolami administratora na zapraszanie gości, wybierz ten przycisk radiowy.
    • Tylko użytkownicy przypisani do określonych ról administratora mogą zapraszać użytkowników-gości: aby zezwolić na zapraszanie gości tylko tym użytkownikom z rolami administratora, wybierz ten przycisk radiowy. Role administratora obejmują administratora globalnego, administratora użytkownikówi osoby zapraszania gości.
    • Nikt w organizacji nie może zapraszać użytkowników-gości, w tym administratorów (najbardziej restrykcyjnych): aby uniemożliwić wszystkim w organizacji zapraszanie gości, wybierz ten przycisk radiowy.

      Uwaga

      Jeśli ustawienie Członkowie mogą zapraszać ma wartość Nie, a administratorzy i użytkownicy w roli zapraszania gości mają ustawioną wartość Tak, użytkownicy w roli osoby zapraszania gości nadal będą mogli zapraszać gości.

  6. W obszarze Włączanie samoobsługowej rejestracji gościa za pośrednictwem przepływów użytkownika wybierz pozycję Tak, jeśli chcesz mieć możliwość tworzenia przepływów użytkownika, które umożliwiają użytkownikom tworzenie kont w celu tworzenia aplikacji. Aby uzyskać więcej informacji na temat tego ustawienia, zobacz Dodawanie przepływu użytkownika samoobsługowej rejestracji do aplikacji.

    Ustawienie samoobsługowej rejestracji za pośrednictwem przepływów użytkownika

  7. W obszarze Ograniczenia współpracy możesz wybrać, czy zezwalać na zaproszenia do określonych domen, czy odmawiać ich, i wprowadzać określone nazwy domen w polach tekstowych. W przypadku wielu domen wprowadź każdą domenę w nowym wierszu. Aby uzyskać więcej informacji, zobacz Zezwalanie na zaproszenia dla użytkowników B2Bz określonych organizacji lub blokowanie ich.

    Ustawienia ograniczeń współpracy

Przypisywanie roli osoby zapraszania gości do użytkownika

Rola osoba zapraszania gości umożliwia poszczególnym użytkownikom zapraszanie gości bez przypisywania im roli administratora globalnego ani innej roli administratora. Przypisz osoba zapraszająca gości do poszczególnych osób. Następnie upewnij się, że ustawiono opcję Administratorzy i użytkownicy w roli osoby zapraszania gości mogą zapraszać na wartość Tak.

Oto przykład, który pokazuje, jak dodać użytkownika do roli osoby zapraszania gości przy użyciu programu PowerShell:

Add-MsolRoleMember -RoleObjectId 95e79109-95c0-4d8e-aee3-d01accf2d47b -RoleMemberEmailAddress <RoleMemberEmailAddress>

Następne kroki

Zobacz następujące artykuły dotyczące współpracy B2B w usłudze Azure AD: