Egenskaper för en Azure Active Directory B2B-samarbetsanvändare

  • Artikel
  • 5 minuter för att läsa

I den här artikeln beskrivs egenskaper och tillstånd för en inbjuden Azure Active Directory B2B-samarbetsanvändare (Azure AD B2B) både före och efter inlösningen av inbjudan. En Azure AD B2B-samarbetsanvändare är en extern användare, vanligtvis från en partnerorganisation, som du bjuder in för att logga in i Din Azure AD-organisation med sina egna autentiseringsuppgifter. Den här B2B-samarbetsanvändaren (kallas även för gästanvändare) kan sedan komma åt de appar och resurser som du vill dela med dem. Ett användarobjekt skapas för B2B-samarbetsanvändaren i samma katalog som dina anställda. Användarobjekt för B2B-samarbete har begränsade behörigheter i din katalog som standard, och de kan hanteras som anställda, läggas till i grupper och så vidare.

Beroende på den inbjudande organisationens behov kan en Azure AD B2B-samarbetsanvändare finnas i något av följande konto:

  • Tillstånd 1: Härdas i en extern instans av Azure AD och representeras som en gästanvändare i den inbjudande organisationen. I det här fallet loggar B2B-användaren in med ett Azure AD-konto som tillhör den inbjudna klientorganisationen. Om partnerorganisationen inte använder Azure AD skapas fortfarande gästanvändaren i Azure AD. De måste lösa in sin inbjudan och Azure AD verifierar sin e-postadress. Det här arrangemanget kallas även för en JIT-innehavare (just-in-time), en "viral" innehavare eller en ohanterad Azure AD-innehavare.

    Viktigt

    Från och med den 1 november 2021 börjar vi lansera en ändring för att aktivera funktionen för e-postkod en gång för alla befintliga klienter och aktivera den som standard för nya klienter. Som en del av den här ändringen slutar Microsoft att skapa nya, ohanterade ("virala") Azure AD-konton och -klienter under inlösningen av B2B-samarbetsinbjudan. För att minimera störningar under helgdagar och distributionslås kommer de flesta klienter att se ändringar som distribueras i januari 2022. Vi aktiverar funktionen för e-postlösenord en gång eftersom den ger en sömlös återställningsmetod för autentisering för dina gästanvändare. Men om du inte vill tillåta att den här funktionen aktiveras automatiskt kan du inaktivera den.

  • Delstat 2: Finns i ett Microsoft-konto eller ett annat konto och representeras som en gästanvändare i värdorganisationen. I det här fallet loggar gästanvändaren in med ett Microsoft-konto eller ett socialt konto (som google.com liknande). Den inbjudna användarens identitet skapas som en Microsoft-konto i den inbjudande organisationens katalog under inlösningen av erbjudandet.

  • Delstat 3: Värdorganisationens värdorganisation har lokal Active Directory och synkroniserats med värdorganisationens Azure AD. Du kan använda Azure AD Anslut för att synkronisera partnerkonton till molnet som Azure AD B2B-användare med UserType = Gäst. Se Bevilja lokalt hanterade partnerkonton åtkomst till molnresurser.

  • Delstat 4: Värdorganisationens Azure AD med UserType = Gäst och autentiseringsuppgifter som värdorganisationen hanterar.

    Diagram som illustrerar de fyra användarstaterna

Nu ska vi se hur en Azure AD B2B-samarbetsanvändare ser ut i Azure AD.

Innan inlösning av inbjudan

Tillstånd 1- och tillstånd 2-konton är resultatet av att bjuda in gästanvändare att samarbeta med hjälp av gästanvändarna egna autentiseringsuppgifter. När inbjudan först skickas till gästanvändaren skapas ett konto i din katalog. Det här kontot har inga associerade autentiseringsuppgifter eftersom autentiseringen utförs av gästanvändarens identitetsprovider. Egenskapen Källa för gästanvändarkontot i din katalog är inställd på Inbjuden användare.

Skärmbild som visar användaregenskaper innan erbjudandet inlösning

Efter inlösning av inbjudan

När gästanvändaren har accepterat inbjudan uppdateras egenskapen Source baserat på gästanvändarens identitetsprovider.

För gästanvändare i delstat 1 är källan Extern Azure Active Directory.

Tillstånd 1 gästanvändare efter erbjudandeinlösning

För gästanvändare i delstat 2 är källan Microsoft-konto.

Tillstånd 2 gästanvändare efter erbjudandeinlösning

För gästanvändare i delstat 3 och delstat 4 anges egenskapen Source till Azure Active Directory eller Windows Server AD, enligt beskrivningen i nästa avsnitt.

Viktiga egenskaper för Azure AD B2B-samarbetsanvändaren

UserType

Den här egenskapen anger relationen mellan användaren och värdens innehavare. Den här egenskapen kan ha två värden:

  • Medlem: Det här värdet anger en medarbetare i värdorganisationen och en användare i organisationens lönelista. Den här användaren förväntar sig till exempel att ha åtkomst till interna webbplatser. Den här användaren betraktas inte som en extern samarbetspartner.

  • Gäst: Det här värdet anger en användare som inte betraktas som intern för företaget, till exempel en extern medarbetare, partner eller kund. En sådan användare förväntas inte få en VD:s interna pm eller få företagsförmåner, till exempel.

    Anteckning

    UserType har ingen relation till hur användaren loggar in, användarens katalogroll och så vidare. Den här egenskapen anger bara användarens relation till värdorganisationen och gör att organisationen kan tillämpa principer som är beroende av den här egenskapen.

Information om priser finns i Azure Active Directory priser.

Källa

Den här egenskapen anger hur användaren loggar in.

  • Inbjuden användare: Den här användaren har bjudits in men ännu inte löst in en inbjudan.

  • Extern Azure Active Directory: Den här användaren finns i en extern organisation och autentiseras med hjälp av ett Azure AD-konto som tillhör den andra organisationen. Den här typen av inloggning motsvarar Delstat 1.

  • Microsoft-konto: Den här användaren finns i en Microsoft-konto och autentiserar med hjälp av en Microsoft-konto. Den här typen av inloggning motsvarar Delstat 2.

  • Windows Server AD: Den här användaren är inloggad från lokal Active Directory som tillhör den här organisationen. Den här typen av inloggning motsvarar Delstat 3.

  • Azure Active Directory: Den här användaren autentiseras med hjälp av ett Azure AD-konto som tillhör den här organisationen. Den här typen av inloggning motsvarar Delstat 4.

    Anteckning

    Source och UserType är oberoende egenskaper. Värdet Source innebär inte ett visst värde för UserType.

Kan Azure AD B2B-användare läggas till som medlemmar i stället för gäster?

Vanligtvis är en Azure AD B2B-användare och gästanvändare synonyma. Därför läggs en Azure AD B2B-samarbetsanvändare till som en användare med UserType = Gäst som standard. Men i vissa fall är partnerorganisationen medlem i en större organisation som värdorganisationen också tillhör. I så fall kanske värdorganisationen vill behandla användare i partnerorganisationen som medlemmar i stället för gäster. Använd AZURE AD B2B Invitation Manager API:er för att lägga till eller bjuda in en användare från partnerorganisationen till värdorganisationen som medlem.

Filtrera efter gästanvändare i katalogen

Skärmbild som visar filtret för gästanvändare

Konvertera UserType

Du kan konvertera UserType från Medlem till Gäst och vice versa med hjälp av PowerShell. Egenskapen UserType representerar dock användarens relation till organisationen. Därför bör du bara ändra den här egenskapen om relationen mellan användaren och organisationen ändras. Om relationen mellan användaren ändras, bör användarens huvudnamn (UPN) ändras? Bör användaren fortsätta att ha åtkomst till samma resurser? Ska en postlåda tilldelas?

Ta bort begränsningar för gästanvändare

Det kan finnas fall där du vill ge dina gästanvändare högre behörighet. Du kan lägga till en gästanvändare till valfri roll och även ta bort standardbegränsningarna för gästanvändare i katalogen för att ge en användare samma behörigheter som medlemmar.

Det går att inaktivera standardbegränsningarna så att en gästanvändare i företagskatalogen har samma behörigheter som en medlemsanvändare.

Skärmbild som visar alternativet Externa användare i användarinställningarna

Kan jag göra gästanvändare synliga i Exchange global adresslista?

Ja. Som standard visas inte gästobjekt i organisationens globala adresslista, men du kan använda Azure Active Directory PowerShell för att göra dem synliga. Mer information finns i "Lägg till gäster i den globala adresslistan" Microsoft 365 artikeln gäståtkomst per grupp.

Kan jag uppdatera en gästanvändares e-postadress?

Om en gästanvändare accepterar din inbjudan och senare ändrar sin e-postadress synkroniseras inte det nya e-postmeddelandet automatiskt med gästanvändarobjektet i din katalog. E-postegenskapen skapas via Microsoft Graph API. Du kan uppdatera e-postegenskapen via Microsoft Graph API, Exchange administrationscenter eller Exchange Online PowerShell. Ändringen återspeglas i Azure AD-gästanvändarobjektet.

Nästa steg