Назначение ролей Azure внешним пользователям с помощью портал Azure

  • Статья

Управление доступом на основе ролей Azure (Azure RBAC) предоставляет расширенные возможности управления безопасностью для больших, малых и средних компаний, работающих с внешними сотрудниками, поставщиками или фрилансерами, которым требуется доступ к определенным ресурсам в вашей среде, а не к целой инфраструктуре или любым областям, связанным с выставлением счетов. Вы можете использовать возможности Microsoft Entra B2B для совместной работы с внешними пользователями, и вы можете использовать Azure RBAC для предоставления только разрешений, необходимых внешним пользователям в вашей среде.

Необходимые компоненты

Чтобы добавлять и удалять назначения ролей Azure, требуется следующее:

В каких ситуациях можно приглашать внешних пользователей?

Ниже приведены несколько примеров сценариев, когда вы можете пригласить пользователей в организацию и предоставить разрешения:

  • предоставление доступа к ресурсам Azure для определенного проекта внешнему независимому поставщику, у которого есть только учетная запись электронной почты;
  • разрешение внешнему партнеру управлять определенными ресурсами или целой подпиской;
  • предоставление доступа к ресурсам Azure инженерам службы поддержки, не входящей в вашу организацию (например, службе поддержки Майкрософт) для устранения неполадок.

Различия в разрешениях между зарегистрированными и гостевыми пользователями

Пользователи каталога с типом члена (пользователи-члены) имеют разные разрешения по умолчанию, чем пользователи, приглашенные из другого каталога в качестве гостя совместной работы B2B (гостевых пользователей). Например, пользователи-члены могут считывать почти все сведения о каталоге, а гостевые пользователи имеют ограниченные разрешения на каталог. Дополнительные сведения о пользователях-членах и гостевых пользователях см. в разделе "Что такое разрешения пользователей по умолчанию в идентификаторе Microsoft Entra ID?".

Приглашение внешнего пользователя в каталог

Выполните следующие действия, чтобы пригласить внешнего пользователя в каталог в идентификатор Microsoft Entra.

  1. Войдите на портал Azure.

  2. Убедитесь, что параметры внешней совместной работы вашей организации настроены таким образом, что вы можете пригласить внешних пользователей. Дополнительные сведения см. в статье Настройка параметров внешнего взаимодействия.

  3. Выберите пользователей идентификатора>Записи Майкрософт.

  4. Выберите Новый пользователь>Пригласить внешнего пользователя.

    Screenshot of Invite external user page in Azure portal.

  5. Выполните действия, чтобы пригласить внешнего пользователя. Дополнительные сведения см. в разделе "Добавление пользователей совместной работы Microsoft Entra B2B" в портал Azure.

После приглашения внешнего пользователя в каталог можно отправить внешнего пользователя прямую ссылку на общее приложение, или внешний пользователь может выбрать ссылку на приглашение в сообщении приглашения.

Screenshot of external user invite email.

Чтобы внешний пользователь мог получить доступ к каталогу, он должен завершить процесс приглашения.

Screenshot of external user invite review permissions.

Дополнительные сведения о процессе приглашения см. в статье Microsoft Entra B2B для совместной работы с активацией приглашения.

Назначение роли внешнему пользователю

Чтобы предоставить доступ при использовании Azure RBAC, нужно присвоить роль. Чтобы назначить роль внешнему пользователю, выполните те же действия , что и для пользователя-участника, группы, субъекта-службы или управляемого удостоверения. Выполните следующие действия, чтобы назначить роль внешнему пользователю в разных область.

  1. Войдите на портал Azure.

  2. В поле Поиск вверху найдите область, к которой требуется предоставить доступ. Например, найдите Группы управления, Подписки, Группы ресурсовили какой-то определенный ресурс.

  3. Выберите конкретный ресурс в этой области.

  4. Выберите Управление доступом (IAM) .

    Ниже показан пример страницы "Управление доступом (IAM)" для группы ресурсов.

    Screenshot of Access control (IAM) page for a resource group.

  5. Откройте вкладку Назначения ролей, чтобы просмотреть назначения ролей в этой области.

  6. Выберите Добавить>Добавить назначение ролей.

    Если у вас нет прав назначать роли, функция Добавить назначение ролей будет неактивна.

    Screenshot of Add > Add role assignment menu.

    Откроется страница добавления назначения ролей.

  7. На вкладке "Роль" выберите роль, например участник виртуальной машины.

    Screenshot of Add role assignment page with Roles tab.

  8. На вкладке Члены выберите Пользователь, группа или субъект-служба.

    Screenshot of Add role assignment page with Members tab.

  9. Выберите Выбрать участников.

  10. Найдите и выберите внешнего пользователя. Если пользователь не отображается в списке, введите его имя в поле Выбрать, чтобы найти в каталоге отображаемое имя и адрес электронной почты.

    В поле Выбор введите строку для поиска в каталоге по отображаемым именам или адресам электронной почты.

    Screenshot of Select members pane.

  11. Выберите "Выбрать ", чтобы добавить внешнего пользователя в список участников.

  12. На вкладке "Рецензирование и назначение " выберите "Рецензирование" и " Назначить".

    Через несколько минут внешний пользователь назначает роль на выбранном область.

    Screenshot of role assignment for Virtual Machine Contributor.

Назначение роли внешнему пользователю еще не в каталоге

Чтобы назначить роль внешнему пользователю, выполните те же действия , что и для пользователя-участника, группы, субъекта-службы или управляемого удостоверения.

Если внешний пользователь еще не находится в каталоге, вы можете пригласить пользователя непосредственно из области "Выбор участников".

  1. Войдите на портал Azure.

  2. В поле Поиск вверху найдите область, к которой требуется предоставить доступ. Например, найдите Группы управления, Подписки, Группы ресурсовили какой-то определенный ресурс.

  3. Выберите конкретный ресурс в этой области.

  4. Выберите Управление доступом (IAM) .

  5. Выберите Добавить>Добавить назначение ролей.

    Если у вас нет прав назначать роли, функция Добавить назначение ролей будет неактивна.

    Screenshot of Add > Add role assignment menu.

    Откроется страница добавления назначения ролей.

  6. На вкладке "Роль" выберите роль, например участник виртуальной машины.

  7. На вкладке Члены выберите Пользователь, группа или субъект-служба.

    Screenshot of Add role assignment page with Members tab.

  8. Выберите Выбрать участников.

  9. В поле Выбрать введите адрес электронной почты пользователя, которого вы хотите пригласить, и выберите этого пользователя.

    Screenshot of invite external user in Select members pane.

  10. Выберите "Выбрать ", чтобы добавить внешнего пользователя в список участников.

  11. На вкладке "Проверка и назначение " выберите "Рецензирование" и " Назначить " для добавления внешнего пользователя в каталог, назначения роли и отправки приглашения.

    Через несколько секунд вы увидите уведомление о назначении ролей и сведения о приглашении.

    Screenshot of role assignment and invited user notification.

  12. Чтобы вручную пригласить внешнего пользователя, щелкните правой кнопкой мыши и скопируйте ссылку приглашения в уведомлении. Не выбирайте ссылку на приглашение, так как она запускает процесс приглашения.

    Ссылка на приглашение будет представлена в следующем формате:

    https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...

  13. Отправьте ссылку на приглашение внешнему пользователю, чтобы завершить процесс приглашения.

    Дополнительные сведения о процессе приглашения см. в статье Microsoft Entra B2B для совместной работы с активацией приглашения.

Удаление внешнего пользователя из каталога

Перед удалением внешнего пользователя из каталога необходимо сначала удалить все назначения ролей для этого внешнего пользователя. Выполните следующие действия, чтобы удалить внешнего пользователя из каталога.

  1. Откройте управление доступом (IAM) на область, например группу управления, подписку, группу ресурсов или ресурс, где внешний пользователь имеет назначение роли.

  2. Перейдите на вкладку "Назначения ролей", чтобы просмотреть все назначения ролей.

  3. В списке назначений ролей добавьте проверка метку рядом с внешним пользователем с назначением роли, которую вы хотите удалить.

    Screenshot of selected role assignment to remove.

  4. Выберите Удалить.

    Screenshot of Remove role assignment message.

  5. В появившемся сообщении об удалении назначения ролей нажмите кнопку "Да".

  6. Перейдите на вкладку Классические администраторы.

  7. Если внешний пользователь имеет назначение Co-Администратор istrator, добавьте проверка метку рядом с внешним пользователем и нажмите кнопку "Удалить".

  8. На панели навигации слева выберите пользователей идентификатора Microsoft Entra.>

  9. Выберите внешнего пользователя, которого нужно удалить.

  10. Выберите команду Удалить.

    Screenshot of deleting an external user.

  11. В появившемся сообщении об удалении выберите Да.

Устранение неполадок

Внешний пользователь не может просматривать каталог

Внешние пользователи имеют ограниченные разрешения на каталог. Например, внешние пользователи не могут просматривать каталог и не могут искать группы или приложения. Дополнительные сведения см. в разделе "Что такое разрешения пользователей по умолчанию в идентификаторе Microsoft Entra ID?".

Screenshot of external user can't browse users in a directory.

Если внешний пользователь нуждается в дополнительных привилегиях в каталоге, можно назначить роль Microsoft Entra внешнему пользователю. Если вы действительно хотите, чтобы внешний пользователь имеет полный доступ на чтение к каталогу, вы можете добавить внешнего пользователя в роль читателей каталогов в идентификаторе Microsoft Entra ID. Дополнительные сведения см. в разделе "Добавление пользователей совместной работы Microsoft Entra B2B" в портал Azure.

Screenshot of assigning Directory Readers role.

Внешний пользователь не может просматривать пользователей, группы или субъекты-службы для назначения ролей

Внешние пользователи имеют ограниченные разрешения на каталог. Даже если внешний пользователь является владельцем в область, если он пытается назначить роль для предоставления другому пользователю доступа, они не могут просматривать список пользователей, групп или субъектов-служб.

Screenshot of external user can't browse security principals to assign roles.

Если внешний пользователь знает точное имя входа в каталог, он может предоставить доступ. Если вы действительно хотите, чтобы внешний пользователь имеет полный доступ на чтение к каталогу, вы можете добавить внешнего пользователя в роль читателей каталогов в идентификаторе Microsoft Entra ID. Дополнительные сведения см. в разделе "Добавление пользователей совместной работы Microsoft Entra B2B" в портал Azure.

Внешний пользователь не может регистрировать приложения или создавать субъекты-службы

Внешние пользователи имеют ограниченные разрешения на каталог. Если внешний пользователь должен иметь возможность регистрировать приложения или создавать субъекты-службы, можно добавить внешнего пользователя в роль разработчика приложений в идентификатор Microsoft Entra ID. Дополнительные сведения см. в разделе "Добавление пользователей совместной работы Microsoft Entra B2B" в портал Azure.

Screenshot of external user can't register applications.

Внешний пользователь не видит новый каталог

Если внешнему пользователю предоставлен доступ к каталогу, но он не видит новый каталог, указанный в портал Azure при попытке переключиться на страницу каталогов, убедитесь, что внешний пользователь завершил процесс приглашения. Дополнительные сведения о процессе приглашения см. в статье Microsoft Entra B2B для совместной работы с активацией приглашения.

Внешний пользователь не видит ресурсы

Если внешнему пользователю предоставлен доступ к каталогу, но они не видят ресурсы, к которым они получили доступ в портал Azure, убедитесь, что внешний пользователь выбрал правильный каталог. Внешний пользователь может иметь доступ к нескольким каталогам. Чтобы переключить каталоги, в левом верхнем углу выберите Параметры> Directory и выберите соответствующий каталог.

Screenshot of Portal setting Directories section in Azure portal.

Следующие шаги