Przypisywanie ról platformy Azure do użytkowników zewnętrznych przy użyciu witryny Azure Portal

  • Artykuł

Kontrola dostępu oparta na rolach platformy Azure (RBAC) platformy Azure umożliwia lepsze zarządzanie zabezpieczeniami dla dużych organizacji oraz dla małych i średnich firm pracujących z zewnętrznymi współpracownikami, dostawcami lub administratorami, którzy potrzebują dostępu do określonych zasobów w danym środowisku, ale niekoniecznie do całej infrastruktury lub dowolnych zakresów związanych z rozliczeniami. Możesz użyć funkcji w firmie Microsoft Entra B2B , aby współpracować z użytkownikami zewnętrznymi i użyć kontroli dostępu opartej na rolach platformy Azure, aby udzielić tylko uprawnień potrzebnych użytkownikom zewnętrznym w danym środowisku.

Wymagania wstępne

Aby przypisać role platformy Azure lub usunąć przypisania ról, musisz mieć następujące elementy:

  • Microsoft.Authorization/roleAssignments/writei Microsoft.Authorization/roleAssignments/delete uprawnienia, takie jak Administracja istrator dostępu użytkowników lub właściciel

Kiedy zaprosisz użytkowników zewnętrznych?

Poniżej przedstawiono kilka przykładowych scenariuszy, w których użytkownicy mogą zapraszać użytkowników do organizacji i udzielać uprawnień:

  • Zezwól zewnętrznemu dostawcy samoobsługowemu, który ma tylko konto e-mail, aby uzyskać dostęp do zasobów platformy Azure dla projektu.
  • Zezwól zewnętrznemu partnerowi na zarządzanie określonymi zasobami lub całą subskrypcją.
  • Zezwól inżynierom pomocy technicznej niezależnie od organizacji (na przykład pomocy technicznej firmy Microsoft), aby tymczasowo uzyskać dostęp do zasobu platformy Azure, aby rozwiązać problemy.

Różnice uprawnień między użytkownikami członkami a użytkownikami-gośćmi

Użytkownicy katalogu z typem członka (użytkownicy będący członkami) domyślnie mają inne uprawnienia niż użytkownicy zaproszeni z innego katalogu jako gość współpracy B2B (użytkownicy-goście). Na przykład użytkownicy będący członkami mogą odczytywać prawie wszystkie informacje o katalogu, podczas gdy użytkownicy-goście mają ograniczone uprawnienia do katalogu. Aby uzyskać więcej informacji o użytkownikach członkowskich i użytkownikach-gościach, zobacz Co to są domyślne uprawnienia użytkownika w usłudze Microsoft Entra ID?.

Zapraszanie użytkownika zewnętrznego do katalogu

Wykonaj następujące kroki, aby zaprosić użytkownika zewnętrznego do katalogu w usłudze Microsoft Entra ID.

  1. Zaloguj się w witrynie Azure Portal.

  2. Upewnij się, że ustawienia współpracy zewnętrznej organizacji są skonfigurowane tak, aby umożliwić zapraszanie użytkowników zewnętrznych. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień współpracy zewnętrznej.

  3. Wybierz pozycję Użytkownicy identyfikatora>entra firmy Microsoft.

  4. Wybierz pozycję Nowy użytkownik Zaproś użytkownika> zewnętrznego.

    Screenshot of Invite external user page in Azure portal.

  5. Wykonaj kroki, aby zaprosić użytkownika zewnętrznego. Aby uzyskać więcej informacji, zobacz Dodawanie użytkowników współpracy microsoft Entra B2B w witrynie Azure Portal.

Po zaproszeniu użytkownika zewnętrznego do katalogu możesz wysłać użytkownikowi zewnętrznemu bezpośredni link do udostępnionej aplikacji lub użytkownik zewnętrzny może wybrać link akceptuj zaproszenie w wiadomości e-mail z zaproszeniem.

Screenshot of external user invite email.

Aby użytkownik zewnętrzny mógł uzyskać dostęp do katalogu, musi ukończyć proces zapraszania.

Screenshot of external user invite review permissions.

Aby uzyskać więcej informacji na temat procesu zaproszenia, zobacz Microsoft Entra B2B collaboration invitation redemption (Realizacja zaproszenia do współpracy firmy Microsoft Entra B2B).

Przypisywanie roli do użytkownika zewnętrznego

Aby udzielić dostępu na podstawie ról platformy Azure, należy przypisać rolę. Aby przypisać rolę do użytkownika zewnętrznego, wykonaj te same kroki , co w przypadku użytkownika członkowskiego, grupy, jednostki usługi lub tożsamości zarządzanej. Wykonaj następujące kroki, aby przypisać rolę do użytkownika zewnętrznego w różnych zakresach.

  1. Zaloguj się w witrynie Azure Portal.

  2. W polu Wyszukaj u góry wyszukaj zakres, do którego chcesz udzielić dostępu. Na przykład wyszukaj grupy zarządzania, subskrypcje, grupy zasobów lub konkretny zasób.

  3. Wybierz konkretny zasób dla tego zakresu.

  4. Wybierz pozycję Kontrola dostępu (IAM) .

    Poniżej przedstawiono przykład strony Kontrola dostępu (IAM) dla grupy zasobów.

    Screenshot of Access control (IAM) page for a resource group.

  5. Wybierz kartę Przypisania ról, aby wyświetlić przypisania ról w tym zakresie.

  6. Wybierz pozycję Dodaj>Dodaj przypisanie roli.

    Jeśli nie masz uprawnień do przypisywania ról, opcja Dodaj przypisanie roli będzie wyłączona.

    Screenshot of Add > Add role assignment menu.

    Zostanie otwarta strona Dodawanie przypisania roli.

  7. Na karcie Rola wybierz rolę, taką jak Współautor maszyny wirtualnej.

    Screenshot of Add role assignment page with Roles tab.

  8. Na karcie Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi.

    Screenshot of Add role assignment page with Members tab.

  9. Wybierz pozycję Wybierz członków.

  10. Znajdź i wybierz użytkownika zewnętrznego. Jeśli na liście nie widzisz użytkownika, możesz wpisać w polu Wybierz , aby wyszukać w katalogu nazwę wyświetlaną lub adres e-mail.

    Możesz skorzystać z pola Wybierz, aby wyszukać w katalogu nazwę wyświetlaną lub adres e-mail.

    Screenshot of Select members pane.

  11. Wybierz pozycję Wybierz, aby dodać użytkownika zewnętrznego do listy Członkowie.

  12. Na karcie Przeglądanie i przypisywanie wybierz pozycję Przejrzyj i przypisz.

    Po kilku chwilach użytkownik zewnętrzny ma przypisaną rolę w wybranym zakresie.

    Screenshot of role assignment for Virtual Machine Contributor.

Przypisywanie roli do użytkownika zewnętrznego, który nie został jeszcze w katalogu

Aby przypisać rolę do użytkownika zewnętrznego, wykonaj te same kroki , co w przypadku użytkownika członkowskiego, grupy, jednostki usługi lub tożsamości zarządzanej.

Jeśli użytkownik zewnętrzny nie znajduje się jeszcze w twoim katalogu, możesz zaprosić użytkownika bezpośrednio z okienka Wybierz członków.

  1. Zaloguj się w witrynie Azure Portal.

  2. W polu Wyszukaj u góry wyszukaj zakres, do którego chcesz udzielić dostępu. Na przykład wyszukaj grupy zarządzania, subskrypcje, grupy zasobów lub konkretny zasób.

  3. Wybierz konkretny zasób dla tego zakresu.

  4. Wybierz pozycję Kontrola dostępu (IAM) .

  5. Wybierz pozycję Dodaj>Dodaj przypisanie roli.

    Jeśli nie masz uprawnień do przypisywania ról, opcja Dodaj przypisanie roli będzie wyłączona.

    Screenshot of Add > Add role assignment menu.

    Zostanie otwarta strona Dodawanie przypisania roli.

  6. Na karcie Rola wybierz rolę, taką jak Współautor maszyny wirtualnej.

  7. Na karcie Członkowie wybierz pozycję Użytkownik, grupa lub jednostka usługi.

    Screenshot of Add role assignment page with Members tab.

  8. Wybierz pozycję Wybierz członków.

  9. W polu Wybierz wpisz adres e-mail osoby, którą chcesz zaprosić, i wybierz tę osobę.

    Screenshot of invite external user in Select members pane.

  10. Wybierz pozycję Wybierz, aby dodać użytkownika zewnętrznego do listy Członkowie.

  11. Na karcie Przeglądanie i przypisywanie wybierz pozycję Przejrzyj i przypisz, aby dodać użytkownika zewnętrznego do katalogu, przypisać rolę i wysłać zaproszenie.

    Po kilku chwilach zobaczysz powiadomienie o przypisaniu roli i informacjach o zaproszeniu.

    Screenshot of role assignment and invited user notification.

  12. Aby ręcznie zaprosić użytkownika zewnętrznego, kliknij prawym przyciskiem myszy i skopiuj link zaproszenia w powiadomieniu. Nie wybieraj linku zaproszenia, ponieważ uruchamia proces zaproszenia.

    Link zaproszenia będzie miał następujący format:

    https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...

  13. Wyślij link zaproszenia do użytkownika zewnętrznego, aby ukończyć proces zaproszenia.

    Aby uzyskać więcej informacji na temat procesu zaproszenia, zobacz Microsoft Entra B2B collaboration invitation redemption (Realizacja zaproszenia do współpracy firmy Microsoft Entra B2B).

Usuwanie użytkownika zewnętrznego z katalogu

Przed usunięciem użytkownika zewnętrznego z katalogu należy najpierw usunąć wszystkie przypisania ról dla tego użytkownika zewnętrznego. Wykonaj następujące kroki, aby usunąć użytkownika zewnętrznego z katalogu.

  1. Otwórz pozycję Kontrola dostępu (IAM) w zakresie, takim jak grupa zarządzania, subskrypcja, grupa zasobów lub zasób, w którym użytkownik zewnętrzny ma przypisanie roli.

  2. Wybierz kartę Przypisania ról, aby wyświetlić wszystkie przypisania ról.

  3. Na liście przypisań ról dodaj znacznik wyboru obok użytkownika zewnętrznego z przypisaniem roli, które chcesz usunąć.

    Screenshot of selected role assignment to remove.

  4. Wybierz Usuń.

    Screenshot of Remove role assignment message.

  5. W wyświetlonym komunikacie usuwania przypisania roli wybierz pozycję Tak.

  6. Wybierz kartę Administratorzy klasyczni.

  7. Jeśli użytkownik zewnętrzny ma przypisanie współ Administracja istratora, dodaj znacznik wyboru obok użytkownika zewnętrznego i wybierz pozycję Usuń.

  8. Na pasku nawigacyjnym po lewej stronie wybierz pozycję Microsoft Entra ID Users (Użytkownicy identyfikatora entra>firmy Microsoft).

  9. Wybierz użytkownika zewnętrznego, który chcesz usunąć.

  10. Wybierz Usuń.

    Screenshot of deleting an external user.

  11. W wyświetlonym komunikacie usuwania wybierz pozycję Tak.

Rozwiązywanie problemów

Użytkownik zewnętrzny nie może przeglądać katalogu

Użytkownicy zewnętrzni mają ograniczone uprawnienia do katalogu. Na przykład użytkownicy zewnętrzni nie mogą przeglądać katalogu i nie mogą wyszukiwać grup ani aplikacji. Aby uzyskać więcej informacji, zobacz Jakie są domyślne uprawnienia użytkownika w usłudze Microsoft Entra ID?.

Screenshot of external user can't browse users in a directory.

Jeśli użytkownik zewnętrzny potrzebuje dodatkowych uprawnień w katalogu, możesz przypisać rolę Entra firmy Microsoft do użytkownika zewnętrznego. Jeśli naprawdę chcesz, aby użytkownik zewnętrzny miał pełny dostęp do odczytu do katalogu, możesz dodać użytkownika zewnętrznego do roli Czytelnicy katalogu w identyfikatorze Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Dodawanie użytkowników współpracy microsoft Entra B2B w witrynie Azure Portal.

Screenshot of assigning Directory Readers role.

Użytkownik zewnętrzny nie może przeglądać użytkowników, grup ani jednostek usługi w celu przypisania ról

Użytkownicy zewnętrzni mają ograniczone uprawnienia do katalogu. Nawet jeśli użytkownik zewnętrzny jest właścicielem w zakresie, jeśli spróbuje przypisać rolę w celu udzielenia innej osobie dostępu, nie może przeglądać listy użytkowników, grup lub jednostek usługi.

Screenshot of external user can't browse security principals to assign roles.

Jeśli użytkownik zewnętrzny zna dokładną nazwę logowania w katalogu, może udzielić dostępu. Jeśli naprawdę chcesz, aby użytkownik zewnętrzny miał pełny dostęp do odczytu do katalogu, możesz dodać użytkownika zewnętrznego do roli Czytelnicy katalogu w identyfikatorze Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Dodawanie użytkowników współpracy microsoft Entra B2B w witrynie Azure Portal.

Użytkownik zewnętrzny nie może zarejestrować aplikacji ani utworzyć jednostek usługi

Użytkownicy zewnętrzni mają ograniczone uprawnienia do katalogu. Jeśli użytkownik zewnętrzny musi mieć możliwość rejestrowania aplikacji lub tworzenia jednostek usługi, możesz dodać użytkownika zewnętrznego do roli dewelopera aplikacji w usłudze Microsoft Entra ID. Aby uzyskać więcej informacji, zobacz Dodawanie użytkowników współpracy microsoft Entra B2B w witrynie Azure Portal.

Screenshot of external user can't register applications.

Użytkownik zewnętrzny nie widzi nowego katalogu

Jeśli użytkownik zewnętrzny udzielił dostępu do katalogu, ale nie widzi nowego katalogu wymienionego w witrynie Azure Portal podczas próby przełączenia się na stronie Katalogi , upewnij się, że użytkownik zewnętrzny zakończył proces zaproszenia. Aby uzyskać więcej informacji na temat procesu zaproszenia, zobacz Microsoft Entra B2B collaboration invitation redemption (Realizacja zaproszenia do współpracy firmy Microsoft Entra B2B).

Użytkownik zewnętrzny nie widzi zasobów

Jeśli użytkownik zewnętrzny udzielił dostępu do katalogu, ale nie widzi zasobów, do których udzielono im dostępu w witrynie Azure Portal, upewnij się, że użytkownik zewnętrzny wybrał prawidłowy katalog. Użytkownik zewnętrzny może mieć dostęp do wielu katalogów. Aby przełączyć katalogi, w lewym górnym rogu wybierz pozycję Ustawienia> Directories, a następnie wybierz odpowiedni katalog.

Screenshot of Portal setting Directories section in Azure portal.

Następne kroki