Настройка параметров внешнего взаимодействия

Параметры внешнего взаимодействия позволяют указать роли в организации, которые смогут приглашать внешних пользователей в службе "Совместная работа B2B". Среди них есть параметры, позволяющие разрешить или заблокировать определенные домены или указать, какие внешние гостевые пользователи могут просматривать ваш каталог Azure AD. Доступны следующие параметры.

  • Определение доступа для гостевого пользователя. Azure AD позволяет ограничить ресурсы, которые могут просматривать в каталоге Azure AD внешние гостевые пользователи. Например, можно запретить гостевым пользователям просмотр членства в группах или разрешить им просматривать только данные своего профиля.

  • Выбор пользователей, которые могут приглашать гостей. По умолчанию все пользователи в организации, в том числе гостевые пользователи службы "Совместная работа B2B", могут приглашать внешних пользователей в службу "Совместная работа B2B". Вы можете ограничить возможность отправки приглашений, включая или отключая приглашения для всех пользователей или для определенных ролей.

  • Применение пользовательских потоков для самостоятельной регистрации гостей. Для создаваемых приложений можно создавать потоки пользователей, позволяющие пользователю зарегистрироваться в приложении и создать новую учетную запись гостя. Вы можете включить эту возможность в параметрах внешнего взаимодействия, а затем добавить в приложение поток самостоятельной регистрации пользователя.

  • Разрешение и блокировка доменов. Вы можете использовать ограничения совместной работы, чтобы разрешить или запретить приглашения для указанных доменов. Подробнее см. статью о разрешении и блокировке доменов.

Для организации совместной работы B2B с другими организациями Azure AD следует также проверить параметры доступа между клиентами и убедиться, что разрешен входящей и исходящей трафик для совместной работы B2B и доступ для конкретных пользователей, групп и приложений.

Настройка параметров на портале

  1. Войдите на портал Azure с учетной записью глобального администратора и откройте службу Azure Active Directory.

  2. Выберите Внешние удостоверения>Параметры внешнего взаимодействия.

  3. В разделе Ограничения доступа гостевых пользователей выберите уровень доступа, который должны иметь гостевые пользователи:

    Screenshot showing Guest user access settings.

    • Гостевые пользователи имеют тот же уровень доступа, что и члены (максимальное разрешение) . Этот параметр предоставляет гостям такой же доступ к ресурсам и данным каталога Azure Active Directory, как у пользователей-членов.

    • У гостевых пользователей ограничен доступ к свойствам и членствам объектов каталога (используется по умолчанию). Этот параметр блокирует для гостей доступ к определенным задачам каталога, например перечислению пользователей, групп или других ресурсов каталога. Гости могут видеть членство всех не скрытых групп. Дополнительные сведения о разрешениях гостя по умолчанию.

    • У гостевых пользователей есть доступ только к свойствам и членствам их собственных объектов каталога (максимальное ограничение) . Этот параметр позволяет гостям получать доступ только к собственным профилям. Гостям не разрешено просматривать профили, группы или членство других пользователей в группах.

  4. В разделе Параметры приглашения гостя выберите соответствующие параметры.

    Screenshot showing Guest invite settings.

    • Любой пользователь в организации может приглашать гостевых пользователей, в том числе гостей и пользователей без прав администратора (наиболее комплексное) . Чтобы разрешить гостям в организации приглашать других гостей, в том числе тех, которые не являются членами организации, выберите этот переключатель.
    • Пользователи-участники и пользователи, которым назначены определенные роли администратора, могут приглашать гостевых пользователей, в том числе гостей с разрешениями участников. Чтобы разрешить пользователям-участникам и пользователям с определенными ролями администратора приглашать гостей, выберите этот переключатель.
    • Только пользователи, которым назначены определенные роли администратора, могут приглашать гостевых пользователей. Чтобы разрешить приглашать гостей только этим пользователям с ролями администратора, выберите этот переключатель. К ролям администратора относятся следующие роли: глобальный администратор, администратор пользователей и приглашающий гостей.
    • Никто в организации не может приглашать гостевых пользователей, включая администраторов (наиболее ограничивающее) . Чтобы запретить всем пользователям в организации приглашать гостей, выберите этот переключатель.

      Примечание

      Если параметру Участники могут приглашать других пользователей присвоено значение Нет, а для параметра Администраторы и пользователи с ролью приглашающего гостей могут приглашать других пользователей задано значение Да, то пользователи с ролью Приглашающий гостей сохранят возможность приглашать гостей.

  5. Для параметра Включение самостоятельной регистрации гостей через Маршруты пользователей выберите Да, если хотите иметь возможность создавать потоки пользователей, позволяющие им регистрироваться в приложениях. Дополнительные сведения об этом параметре см. в статье Добавление потока для самостоятельной регистрации пользователей в приложении.

    Screenshot showing Self-service sign up via user flows setting.

  6. В разделе Ограничения взаимодействия можно указать, следует ли разрешить или запретить создание приглашений для определенных доменов, и ввести в текстовые поля конкретные имена доменов. Если нужно заблокировать несколько доменов, вводите каждый из них в новой строке. Дополнительные сведения см. в статье Предоставление или отзыв приглашений пользователям B2B из отдельных организаций.

    Screenshot showing Collaboration restrictions settings.

Настройка параметров с помощью Microsoft Graph

Параметры внешней совместной работы можно настроить с помощью API Microsoft Graph:

  • Для параметров Ограничения доступа гостевых пользователей и Ограничения приглашений гостей используйте тип ресурса authorizationPolicy.
  • Для параметра Применение пользовательских потоков для самостоятельной регистрации гостей используйте тип ресурса authenticationFlowsPolicy.
  • Для параметров одноразового секретного кода электронной почты (теперь на странице Все поставщики удостоверений на портале Azure) используйте тип ресурса emailAuthenticationMethodConfiguration.

Назначение пользователю роли "Приглашающий гостей"

С помощью роли "Приглашающий гостей" вы можете предоставить отдельным пользователям возможность приглашать гостей, не назначая им роль глобального или иного администратора. Назначьте пользователям роль "Приглашающий гостей". Убедитесь, что для политики Администраторы и пользователи с ролью приглашающего гостей могут приглашать других пользователей установлено значение Да.

Ниже приведен пример, показывающий, как использовать PowerShell, чтобы добавить пользователя в роль Guest Inviter:

Add-MsolRoleMember -RoleObjectId 95e79109-95c0-4d8e-aee3-d01accf2d47b -RoleMemberEmailAddress <RoleMemberEmailAddress>

Журналы входа для пользователей B2B

Когда пользователь B2B входит в клиент ресурса для совместной работы, журнал входа создается как в домашнем клиенте, так и в клиенте ресурса. Эти журналы содержат такие сведения, как используемое приложение, адреса электронной почты, имя клиента и идентификатор клиента для домашнего клиента и для клиента ресурса.

Дальнейшие действия

Другие статьи о службе совместной работы Azure AD B2B перечислены ниже.