Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применяется: 
Арендаторы Рабочей силы 
Внешние арендаторы (дополнительные сведения)
Параметры внешнего взаимодействия позволяют указать роли в организации, которые смогут приглашать внешних пользователей в службе "Совместная работа B2B". Эти параметры также включают параметры разрешения или блокировки определенных доменов, а также параметры ограничения того, какие внешние гостевые пользователи могут видеть в каталоге Microsoft Entra. Имеются следующие варианты:
Определение доступа гостевых пользователей: Внешний идентификатор Microsoft Entra позволяет ограничить, какие внешние гостевые пользователи могут видеть в каталоге Microsoft Entra. Например, можно запретить гостевым пользователям просмотр членства в группах или разрешить им просматривать только данные собственного профиля.
Укажите, кто может приглашать гостей: по умолчанию все пользователи в организации, включая гостевых пользователей службы совместной работы B2B, могут приглашать внешних пользователей в совместную работу B2B. Вы можете ограничить возможность отправки приглашений, включая или отключая приглашения для всех пользователей или для определенных ролей.
Включите самостоятельную регистрацию гостевых пользователей через потоки пользователей: для создаваемых приложений можно создать потоки пользователей, которые позволяют пользователю зарегистрироваться в приложении и создать новую гостевую учетную запись. Вы можете включить функцию в настройках внешнего сотрудничества, а затем добавить поток для самостоятельной регистрации пользователя в приложение.
Разрешить или заблокировать домены: можно использовать ограничения для совместной работы, чтобы разрешить или запретить приглашения указанным доменам. Дополнительные сведения см. в разделе "Разрешить" или "Блокировать домены".
Для совместной работы B2B с другими организациями Microsoft Entra следует также пересмотреть параметры доступа между клиентами, чтобы обеспечить вашу входящую и исходящую работу B2B и настроить доступ для определенных пользователей, групп и приложений.
Для конечных пользователей совместной работы B2B, выполняющих межтенантные входы, появляется символика своего домашнего клиента, даже если не указана настраиваемая фирменная символика. В следующем примере брендинг компании для продуктов Woodgrove отображается слева. В примере справа отображается фирменная символика по умолчанию для домашнего клиента пользователя.
Настройка параметров на портале
Примечание.
В Центре администрирования Microsoft Entra необходимо назначить роль глобального администратора, чтобы активировать страницу параметров внешней совместной работы и обновить параметры. При использовании Microsoft Graph для отдельных параметров могут быть доступны менее привилегированные роли; См. статью "Настройка параметров с помощью Microsoft Graph " далее в этой статье.
Настройка доступа гостевых пользователей
Войдите в Центр администрирования Microsoft Entra.
Перейдите к Entra ID>External Identities>параметрам внешней совместной работы.
В разделе "Гостевой доступ" выберите уровень доступа, который должен иметь гостевые пользователи:
Гости имеют такой же доступ, как и участники (самый полный доступ): этот параметр предоставляет гостям такой же доступ к ресурсам Microsoft Entra и данным каталога, что и членам.
Гостевые пользователи имеют ограниченный доступ к свойствам и членству в объектах каталога: (по умолчанию) Этот параметр блокирует гостей из определенных задач каталога, таких как перечисление пользователей, групп или других ресурсов каталога. Гости могут видеть членство всех не скрытых групп. Дополнительные сведения о разрешениях гостя по умолчанию.
Доступ гостевых пользователей ограничен свойствами и членством в своих собственных объектах каталога (наиболее строгих): с помощью этого параметра гости могут получить доступ только к своим собственным профилям. Гостям не разрешено просматривать профили других пользователей, группы или членство в группах.
Настройка параметров приглашения гостей
Войдите в Центр администрирования Microsoft Entra.
Перейдите к Entra ID>External Identities>External collaboration settings.
В разделе "Параметры приглашения гостей" выберите соответствующие параметры:
- Любой пользователь в организации может приглашать гостевых пользователей, включая гостей и неадминистраторов (как можно шире): чтобы разрешить гостям в организации приглашать других гостей, включая пользователей, не являющихся членами организации, выберите этот переключатель.
- Зарегистрированные пользователи и пользователи, назначенные определенным ролям администратора, могут приглашать гостевых пользователей, включая имеющих права членов. Чтобы разрешить зарегистрированным пользователям и пользователям с определенными ролями администратора приглашать гостей, нажмите эту радиокнопку.
- Только пользователи, назначенные на конкретные роли администратора, могут приглашать гостевых пользователей: чтобы разрешить приглашать гостей только тем пользователям, которым назначены роли Администратор пользователей или Приглашающий гостей, выберите этот переключатель.
- Никто в организации не может приглашать гостевых пользователей, включая администраторов (наиболее строгая настройка): чтобы запретить всем пользователям в организации приглашать гостей, выберите эту радиокнопку.
Настройка самостоятельной регистрации гостей
Войдите в Центр администрирования Microsoft Entra.
Перейдите к Entra ID>Внешние идентификаторы>Параметры внешней совместной работы.
В разделе "Включить самостоятельную регистрацию гостей через потоки пользователей" выберите "Да ", если вы хотите создать потоки пользователей, которые позволяют пользователям зарегистрироваться для приложений. Дополнительные сведения об этом параметре см. в разделе "Добавление потока пользователя самостоятельной регистрации" в приложение.
Настройка параметров выхода внешнего пользователя
Войдите в Центр администрирования Microsoft Entra.
Перейдите к Entra ID>Внешние идентификаторы>Параметры внешнего сотрудничества.
В разделе "Внешний пользователь оставляет параметры", вы можете контролировать, могут ли внешние пользователи удалять себя из вашей организации.
- Да: Пользователи могут выйти из организации без утверждения от администратора или ответственного за конфиденциальность.
- Нет. Пользователи не могут покидать вашу организацию. Они видят сообщение, которое позволяет связаться с администратором или контактом конфиденциальности, чтобы запросить удаление из вашей организации.
Внимание
Параметры выхода внешнего пользователя можно настроить только в том случае, если вы добавили сведения о конфиденциальности в клиент Microsoft Entra. В противном случае этот параметр будет недоступен.
Настройка ограничений совместной работы (разрешить или блокировать домены)
Внимание
Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Эта практика помогает повысить безопасность вашей организации. Глобальный администратор — это высоко привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций или если вы не можете использовать существующую роль.
Войдите в Центр администрирования Microsoft Entra.
Перейдите к Entra ID>Внешние идентификаторы>Настройки внешней совместной работы.
В разделе "Ограничения совместной работы" можно выбрать, разрешать или запрещать приглашения в указанные домены и вводить определенные доменные имена в текстовых полях. Если нужно заблокировать несколько доменов, вводите каждый из них в новой строке. Дополнительные сведения см. в статье "Разрешить или заблокировать приглашения для пользователей B2B из определенных организаций".
Настройка параметров с помощью Microsoft Graph
Параметры внешней совместной работы можно настроить с помощью API Microsoft Graph:
- Для ограничений доступа гостевых пользователей и ограничений приглашений гостей используйте тип ресурса authorizationPolicy .
- Для настройки включения самостоятельной регистрации гостевых пользователей через пользовательские потоки используйте тип ресурса authenticationFlowsPolicy.
- Для настроек выхода внешнего пользователя используйте тип ресурса externalidentitiespolicy.
- Для параметров однократного секретного кода электронной почты (теперь на странице "Все поставщики удостоверений " в Центре администрирования Microsoft Entra) используйте тип ресурса emailAuthenticationMethodConfiguration .
Назначение пользователю роли "Приглашающий гостей"
С помощью роли приглашений гостей вы можете предоставить отдельным пользователям возможность приглашать гостей без назначения им роли администратора с более высоким уровнем привилегий. Пользователи с ролью гостевого приглашения могут приглашать гостей, даже если выбран параметр "Только пользователи, назначенные определенным ролям администратора", могут приглашать гостевых пользователей (в разделе "Параметры приглашения гостей").
Ниже приведен пример использования Microsoft Graph PowerShell для добавления пользователя в Guest Inviter роль:
Import-Module Microsoft.Graph.Identity.DirectoryManagement
$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>
$DirObject = @{
"@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
}
New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject
Журналы входа для пользователей B2B
Когда пользователь B2B входит в клиент ресурса для совместной работы, журнал входа создается как в домашнем клиенте, так и в клиенте ресурса. Эти журналы содержат такие сведения, как используемое приложение, адреса электронной почты, имя клиента и идентификатор клиента для домашнего клиента и для клиента ресурса.
Следующие шаги
Ознакомьтесь со следующими статьями о совместной работе Microsoft Entra B2B: