Предоставление локально управляемым учетным записям партнеров доступа к облачным ресурсам с помощью совместной работы Microsoft Entra B2B
Перед идентификатором Microsoft Entra организации с локальными системами удостоверений традиционно управляют учетными записями партнеров в локальном каталоге. В такой организации при запуске перемещения приложений в идентификатор Microsoft Entra необходимо убедиться, что партнеры могут получить доступ к нужным ресурсам. Расположение этих ресурсов (локально или в облаке) не должно иметь никакого значения. Кроме того, вы хотите, чтобы пользователи-партнеры могли использовать одни и те же учетные данные для входа как для локальных, так и для ресурсов Microsoft Entra.
Если вы создаете учетные записи для внешних партнеров в локальном каталоге (например, вы создаете учетную запись с именем входа msullivan для внешнего пользователя с именем Maria Салливан в домене partners.contoso.com), теперь эти учетные записи можно синхронизировать с облаком. В частности, вы можете использовать Microsoft Entra Подключение для синхронизации учетных записей партнеров с облаком, что создает учетную запись пользователя с UserType = Guest. Так вы разрешите партнерам обращаться к облачным ресурсам с теми же учетными данными, которые они используют локально, предоставляя им только требуемые для этого права доступа. Дополнительные сведения о преобразовании локальных гостевых учетных записей см. в статье "Преобразование локальных гостевых учетных записей" в гостевые учетные записи Microsoft Entra B2B.
Примечание.
См. также, как пригласить внутренних пользователей к совместной работе B2B. С помощью этой функции можно пригласить внутренних пользователей с правами гостя к совместной работе B2B независимо от того, синхронизированы ли эти учетные записи из локального каталога с облаком. После того как пользователь примет приглашение к совместной работе B2B, он сможет использовать свои удостоверения и учетные данные для доступа к разрешенным ресурсам. Вам не нужно сохранять пароли или управлять жизненным циклом учетных записей.
Определение уникальных атрибутов для UserType
Перед включением синхронизации атрибута UserType необходимо решить, каким образом этот атрибут будет получен из локальной службы Active Directory. Другими словами, какие параметры в локальной среде являются уникальными для внешних участников совместной работы? Определите параметр, который позволяет отличить этих участников от членов вашей организации.
Для этого существуют два распространенных подхода.
- Назначьте неиспользуемый локальный атрибут Active Directory (например, extensionAttribute1) в качестве исходного атрибута.
- Кроме того, можно получить значение атрибута UserType из других свойств. Например, можно синхронизировать всех пользователей с правами гостя, если их локальный атрибут Active Directory UserPrincipalName заканчивается доменом @partners.contoso.com.
Подробные требования к атрибутам приведены в разделе Включение синхронизации атрибута UserType.
Настройка Microsoft Entra Подключение для синхронизации пользователей с облаком
После идентификации уникального атрибута можно настроить Microsoft Entra Подключение для синхронизации этих пользователей с облаком, которая создает учетную запись пользователя с UserType = Guest. С точки зрения авторизации эти пользователи неотличимы от пользователей B2B, созданных с помощью процесса приглашения на совместную работу Microsoft Entra B2B.
Инструкции по реализации приведены в разделе Включение синхронизации атрибута UserType.