Udostępnij przez

Konfigurowanie ustawień współpracy zewnętrznej dla B2B w Tożsamość zewnętrzna Microsoft Entra

Dotyczy: Zielony okrąg z białym symbolem znacznika wyboru, który wskazuje następującą zawartość dotyczy dzierżawców pracowników. Dzierżawcy pracowników (dowiedz się więcej)

Ustawienia współpracy zewnętrznej umożliwiają określenie ról w organizacji, które mogą zapraszać użytkowników zewnętrznych na potrzeby współpracy B2B. Te ustawienia obejmują również opcje zezwalania lub blokowania określonych domen oraz opcje ograniczania tego, co zewnętrzni użytkownicy-goście mogą zobaczyć w katalogu Microsoft Entra. Dostępne są następujące opcje:

  • Określanie dostępu użytkowników-gości: identyfikator zewnętrzny firmy Microsoft Entra umożliwia ograniczenie tego, co zewnętrzni użytkownicy-goście mogą zobaczyć w katalogu Microsoft Entra. Można na przykład ograniczyć widok członkostwa użytkowników-gości lub zezwolić gościom na wyświetlanie tylko własnych informacji o profilu.

  • Określ, kto może zapraszać gości: domyślnie wszyscy użytkownicy w organizacji, w tym użytkownicy-goście współpracy B2B, mogą zapraszać użytkowników zewnętrznych do współpracy B2B. Jeśli chcesz ograniczyć możliwość wysyłania zaproszeń, możesz włączyć lub wyłączyć zaproszenia dla wszystkich lub ograniczyć zaproszenia do określonych ról.

  • Włącz samoobsługowe rejestrowanie gościa za pośrednictwem przepływów użytkownika: w przypadku tworzonych aplikacji można utworzyć przepływy użytkowników, które umożliwiają użytkownikowi zarejestrowanie się w aplikacji i utworzenie nowego konta gościa. Funkcję można włączyć w ustawieniach współpracy zewnętrznej, a następnie dodać do aplikacji proces rejestracji użytkownika samoobsługowego.

  • Zezwalanie na domeny lub blokowanie ich: ograniczenia współpracy umożliwiają lub odrzucają zaproszenia do określonej domeny. Aby uzyskać szczegółowe informacje, zobacz Zezwalanie na domeny lub blokowanie.

W przypadku współpracy B2B z innymi organizacjami Microsoft Entra, należy również przejrzeć ustawienia dostępu między dzierżawami, aby upewnić się, że współpraca B2B dla ruchu przychodzącego i wychodzącego ma odpowiedni zakres dostępu do określonych użytkowników, grup i aplikacji.

Uwaga

Od lipca 2025 r. firma Microsoft rozpoczyna wdrażanie aktualizacji środowiska logowania użytkownika-gościa na potrzeby współpracy B2B. Wdrożenie trwa do końca 2025 r. Dzięki tej aktualizacji użytkownicy-goście zostaną przekierowani na stronę logowania własnej organizacji, aby podać swoje poświadczenia. Użytkownicy-goście widzą elementy marki i punkt końcowy URL swojej dzierżawy macierzystej. Ten krok zapewnia większą jasność co do tego, które informacje logowania mają być używane. Po pomyślnym uwierzytelnieniu we własnej organizacji użytkownicy-goście są zwracani do organizacji w celu ukończenia procesu logowania. W poniższym przykładzie znakowanie firmy dla Produktów Spożywczych Woodgrove pojawia się po lewej stronie. W przykładzie po prawej stronie jest wyświetlane niestandardowe znakowanie dla dzierżawy głównej użytkownika.

Zrzut ekranu przedstawiający przepływ logowania użytkownika-gościa.

Konfigurowanie ustawień w portalu

W centrum administracyjnym firmy Microsoft Entra musisz mieć przypisaną rolę administratora globalnego, aby aktywować stronę Ustawienia współpracy zewnętrznej i zaktualizować ustawienia. W przypadku korzystania z programu Microsoft Graph role z mniejszymi uprawnieniami mogą być dostępne dla poszczególnych ustawień; Zobacz Konfigurowanie ustawień za pomocą programu Microsoft Graph w dalszej części tego artykułu.

Aby skonfigurować dostęp użytkowników-gości

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra.

  2. Przejdź do pozycji Entra ID>External Identities>Ustawienia zewnętrznej współpracy.

  3. W obszarze Dostęp użytkownika-gościa wybierz poziom dostępu, który mają mieć użytkownicy-goście:

    Zrzut ekranu przedstawiający ustawienia dostępu użytkownika-gościa.

    • Użytkownicy-goście mają taki sam dostęp jak członkowie (w większości włącznie): ta opcja zapewnia gościom ten sam dostęp do zasobów firmy Microsoft Entra i danych katalogu co użytkownicy będący członkami.

    • Użytkownicy-goście mają ograniczony dostęp do właściwości i członkostwa obiektów katalogu: (Ustawienie domyślne) To ustawienie blokuje gości z określonych zadań katalogu, takich jak wyliczanie użytkowników, grup lub innych zasobów katalogu. Goście mogą zobaczyć członkostwo wszystkich nieukrytych grup. Dowiedz się więcej o domyślnych uprawnieniach gościa.

    • Dostęp użytkowników-gości jest ograniczony do właściwości i członkostwa w ich własnych obiektach katalogu (najbardziej restrykcyjne): dzięki temu ustawieniu goście mogą uzyskiwać dostęp tylko do własnych profilów. Goście nie mogą wyświetlać profilów, grup ani członkostwa w grupach innych użytkowników.

Aby skonfigurować ustawienia zaproszenia gościa

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra.

  2. Przejdź do pozycji Entra ID>External Identities>Ustawienia zewnętrznej współpracy.

  3. W obszarze Ustawienia zaproszenia gościa wybierz odpowiednie ustawienia:

    Zrzut ekranu przedstawiający ustawienia zaproszenia gościa.

    • Każda osoba w organizacji może zapraszać użytkowników-gości, w tym gości i osób niebędących administratorami (w większości włącznie): aby zezwolić gościom w organizacji na zapraszanie innych gości, w tym użytkowników, którzy nie są członkami organizacji, wybierz ten przycisk radiowy.
    • Użytkownicy będący członkami i użytkownicy przypisani do określonych ról administratora mogą zapraszać użytkowników-gości, w tym gości z uprawnieniami członkami: aby zezwolić użytkownikom członkom i użytkownikom z określonymi rolami administratora na zapraszanie gości, wybierz ten przycisk radiowy.
    • Tylko użytkownicy przypisani do określonych ról administratora mogą zapraszać użytkowników-gości: aby zezwolić tylko tym użytkownikom z rolami administratora użytkowników lub osoby zapraszania gości, wybierz ten przycisk radiowy.
    • Nikt w organizacji nie może zapraszać użytkowników-gości, w tym administratorów (najbardziej restrykcyjnych): Aby odmówić wszystkim w organizacji zapraszania gości, wybierz ten przycisk radiowy.

Aby skonfigurować rejestrację samoobsługową gościa

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra.

  2. Przejdź do pozycji Entra ID>External Identities>Ustawienia zewnętrznej współpracy.

  3. W obszarze Włącz samoobsługowe rejestrowanie gościa za pośrednictwem przepływów użytkownika wybierz pozycję Tak , jeśli chcesz mieć możliwość tworzenia przepływów użytkowników, które umożliwiają użytkownikom rejestrowanie się w aplikacjach. Aby uzyskać więcej informacji na temat tego ustawienia, przeczytaj Jak dodać do aplikacji proces rejestracji użytkownika samoobsługowej.

    Zrzut ekranu pokazujący ustawienie rejestracji samoobsługowej poprzez przepływy użytkownika.

Aby skonfigurować ustawienia opuszczania użytkownika zewnętrznego

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra.

  2. Przejdź do pozycji Entra ID>External Identities>Ustawienia zewnętrznej współpracy.

  3. W obszarze Ustawienia dotyczące opuszczania organizacji przez użytkowników zewnętrznych możesz kontrolować, czy użytkownicy zewnętrzni mogą usuwać się z organizacji.

    • Tak: użytkownicy mogą opuścić organizację bez zgody administratora lub osoby kontaktowej w celu zachowania poufności informacji.
    • Nie: Użytkownicy nie mogą opuścić organizacji. Widzą komunikat kierujący ich, aby skontaktować się z administratorem lub kontaktem o ochronie prywatności, aby poprosić o usunięcie z organizacji.

    Ważne

    Możesz skonfigurować ustawienia dotyczące opuszczania użytkowników zewnętrznych tylko wtedy, gdy dodałeś informacje o ochronie prywatności do dzierżawy Microsoft Entra. W przeciwnym razie to ustawienie będzie niedostępne.

    Zrzut ekranu przedstawiający ustawienia opuszczania użytkownika zewnętrznego w portalu.

Aby skonfigurować ograniczenia współpracy (zezwalaj lub blokuj domeny)

Ważne

Firma Microsoft zaleca używanie ról z najmniejszymi uprawnieniami. Ta praktyka pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to wysoce uprzywilejowana rola, która powinna być ograniczona do scenariuszy awaryjnych lub gdy nie można użyć istniejącej roli.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra.

  2. Przejdź do pozycji Entra ID>External Identities>Ustawienia zewnętrznej współpracy.

  3. W obszarze Ograniczenia współpracy możesz wybrać, czy zezwalać na zaproszenia do określonych domen, czy blokować zaproszenia, i wprowadzać określone nazwy domen w polach tekstowych. W przypadku wielu domen wprowadź każdą domenę w nowym wierszu. Aby uzyskać więcej informacji, zobacz Zezwalanie lub blokowanie zaproszeń do użytkowników B2B z określonych organizacji.

    Zrzut ekranu przedstawiający ustawienia ograniczeń współpracy.

Konfigurowanie ustawień za pomocą programu Microsoft Graph

Ustawienia współpracy zewnętrznej można skonfigurować przy użyciu interfejsu API programu Microsoft Graph:

  • W przypadku ograniczeń dostępu użytkowników-gości i ograniczeń zapraszania gościa użyj typu zasobu authorizationPolicy .
  • W przypadku ustawienia Włącz samoobsługowe rejestrowanie gościa za pośrednictwem przepływów użytkownika użyj typu zasobu authenticationFlowsPolicy .
  • W obszarze Ustawienia dotyczące wyjścia użytkownika zewnętrznego użyj typu zasobu externalidentitiespolicy.
  • W przypadku ustawień jednorazowego kodu dostępu poczty e-mail (teraz na stronie Wszyscy dostawcy tożsamości w centrum administracyjnym firmy Microsoft Entra) użyj typu zasobu emailAuthenticationMethodConfiguration .

Przypisywanie roli osoba zapraszania gościa do użytkownika

Dzięki roli osoba zapraszającej gościa możesz przyznać poszczególnym użytkownikom możliwość zapraszania gości bez przypisywania im wyższej roli administratora uprawnień. Użytkownicy z rolą zapraszania gości mogą zapraszać gości nawet wtedy, gdy wybrano opcję Tylko użytkownicy przypisani do określonych ról administratora mogą zapraszać użytkowników-gości (w obszarze Ustawienia zaproszenia gościa).

Oto przykład pokazujący sposób dodawania użytkownika do Guest Inviter roli za pomocą programu Microsoft Graph PowerShell:


Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

Dzienniki logowania dla użytkowników B2B

Gdy użytkownik B2B zaloguje się do dzierżawy zasobów w celu współpracy, dziennik logowania jest generowany zarówno w dzierżawie głównej, jak i dzierżawie zasobów. Te dzienniki obejmują informacje, takie jak używana aplikacja, adresy e-mail, nazwa dzierżawy i identyfikator dzierżawy zarówno dla dzierżawy głównej, jak i dzierżawy zasobów.

Następne kroki

Zapoznaj się z następującymi artykułami na temat współpracy B2B firmy Microsoft:

  • Last updated on