Aktivera externt B2B-samarbete och hantera vilka som kan bjuda in gäster

Den här artikeln beskriver hur du aktiverar Azure Active Directory (Azure AD) B2B-samarbete, anger vem som kan bjuda in gäster och avgör vilka behörigheter gästanvändare har i Azure AD.

Som standard kan alla användare och gäster i din katalog bjuda in gäster även om de inte har tilldelats en administratörsroll. Med inställningar för externt samarbete kan du aktivera eller inaktivera gästinbjudningar för olika typer av användare i din organisation. Du kan också delegera inbjudningar till enskilda användare genom att tilldela roller som gör att de kan bjuda in gäster.

Med Azure AD kan du begränsa vad externa gästanvändare kan se i Azure AD-katalogen. Som standard är gästanvändare inställda på en begränsad behörighetsnivå som blockerar dem från att räkna upp användare, grupper eller andra katalogresurser, men låter dem se medlemskap i icke-dolda grupper. Med en ny förhandsgranskningsinställning kan du begränsa gäståtkomsten ytterligare, så att gäster bara kan visa sin egen profilinformation. Mer information finns i Begränsa behörigheter för gäståtkomst (förhandsversion).

Konfigurera inställningar för externt B2B-samarbete

Med Azure AD B2B-samarbete kan en klientorganisationsadministratör ange följande inbjudningsprinciper:

• Inaktivera inbjudningar
• Endast administratörer och användare i rollen Gäst inbjudare kan bjuda in
• Administratörer, rollen Gäst inbjudare och medlemmar kan bjuda in
• Alla användare, inklusive gäster, kan bjuda in

Som standard kan alla användare, inklusive gäster, bjuda in gästanvändare.

Så här konfigurerar du inställningar för externt samarbete:

1. Logga in på Azure Portal som innehavaradministratör.

2. Välj Azure Active Directory.

3. Välj External Identities Inställningar för externt > samarbete.

4. Under Åtkomstbegränsningar för gästanvändare (förhandsversion) väljer du den åtkomstnivå som du vill att gästanvändarna ska ha:

   • Gästanvändare har samma åtkomst som medlemmar (mest inkluderande): Det här alternativet ger gäster samma åtkomst till Azure AD-resurser och katalogdata som medlemsanvändare.

   • Gästanvändare har begränsad åtkomst till egenskaper och medlemskap i katalogobjekt: (Standard) Den här inställningen blockerar gäster från vissa katalogaktiviteter, som att räkna upp användare, grupper eller andra katalogresurser. Gäster kan se medlemskap i alla icke-dolda grupper.

   • Gästanvändaråtkomst är begränsad till egenskaper och medlemskap i sina egna katalogobjekt (mest restriktiva): Med den här inställningen kan gäster endast komma åt sina egna profiler. Gäster kan inte se andra användares profiler, grupper eller gruppmedlemskap.

5. Under Gäst inbjudningsinställningar väljer du lämpliga inställningar:

   

   • Alla i organisationen kan bjuda in gästanvändare inklusive gäster och icke-administratörer (mest inkluderande): Om du vill tillåta gäster i organisationen att bjuda in andra gäster, inklusive de som inte är medlemmar i en organisation, väljer du den här alternativknappen.
   • Medlemsanvändare och användare som har tilldelats specifika administratörsroller kan bjuda in gästanvändare, inklusive gäster med medlemsbehörighet: Om du vill tillåta medlemsanvändare och användare som har specifika administratörsroller att bjuda in gäster väljer du den här alternativknappen.
   • Endast användare som är tilldelade till specifika administratörsroller kan bjuda in gästanvändare: Om du bara vill tillåta att användare med administratörsroller bjuder in gäster väljer du den här alternativknappen. Administratörsrollerna är Global administratör, Användaradministratöroch Gäst inbjudare.
   • Ingen i organisationen kan bjuda in gästanvändare inklusive administratörer (mest restriktiva): Om du vill neka alla i organisationen från att bjuda in gäster väljer du den här alternativknappen.

     Anteckning

     Om Medlemmar kan bjuda in är inställt på Nej och Administratörer och användare i gäst inbjudarrollen kan bjuda in är inställt på Ja, kommer användare i rollen Gäst inbjudare fortfarande att kunna bjuda in gäster.

6. Under Aktivera registrering via användarflöden för gäst självbetjäning väljer du Ja om du vill kunna skapa användarflöden som låter användarna registrera sig för appar. Mer information om den här inställningen finns i Lägga till ett användarflöde för självbetjäning för registrering i en app.

   

7. Under Samarbetsbegränsningar kan du välja om du vill tillåta eller neka inbjudningar till de domäner som du anger och ange specifika domännamn i textrutorna. För flera domäner anger du varje domän på en ny rad. Mer information finns i Tillåt eller blockera inbjudningar till B2B-användare från specifika organisationer.

   

Tilldela rollen Gäst inbjudare till en användare

Med rollen Gäst inbjudare kan du ge enskilda användare möjlighet att bjuda in gäster utan att tilldela dem en global administratör eller någon annan administratörsroll. Tilldela rollen Gästinbjudare till enskilda användare. Se sedan till att ange Administratörer och användare i gästrollen som inbjudare kan bjuda in till Ja.

Här är ett exempel som visar hur du använder PowerShell för att lägga till en användare i rollen Gäst inbjudare:

Add-MsolRoleMember -RoleObjectId 95e79109-95c0-4d8e-aee3-d01accf2d47b -RoleMemberEmailAddress <RoleMemberEmailAddress>

Nästa steg

Se följande artiklar om Azure AD B2B-samarbete:

• Vad är Azure AD B2B-samarbete?
• Lägga till gästanvändare för B2B-samarbete utan inbjudan
• Lägga till en B2B-samarbetsanvändare till en roll