Управление подключенными организациями в управлении правами доступа

С помощью управления правами вы можете сотрудничать с людьми за пределами организации. При частой совместной работе с многими пользователями из определенных внешних организаций можно добавить источники удостоверений этих организаций в качестве подключенных организаций. Наличие подключенной организации упрощает процесс запроса доступа для большего числа людей из этих организаций. В этой статье описывается, как добавить подключенную организацию, чтобы разрешить пользователям за пределами организации запрашивать ресурсы в каталоге.

Что такое подключенная организация?

Подключенная организация — это иная организация, с которой у вас есть взаимоотношения. Чтобы пользователи в этой организации могли получать доступ к ресурсам, таким как сайты или приложения SharePoint Online, необходимо представление пользователей этой организации в этом каталоге. Поскольку в большинстве случаев пользователи в этой организации еще не в каталоге Microsoft Entra, вы можете использовать управление правами для их доставки в каталог Microsoft Entra по мере необходимости.

Если вы хотите предоставить путь для всех, кто запрашивает доступ, и вы не уверены, какие организации могут быть новыми пользователями, вы можете настроить политику назначения пакетов доступа для пользователей, не входящих в каталог. В этой политике выберите параметр "Все пользователи" (все подключенные организации и любые новые внешние пользователи). Если запрашивающее лицо утверждено, и оно не принадлежит к подключенной организации в вашем каталоге, для него автоматически будет создана подключенная организация.

Если вы хотите разрешить только пользователям из назначенных организаций запрашивать доступ, сначала создайте эти подключенные организации. Во-вторых, настройте политику назначения пакетов доступа для пользователей, не входящих в каталог, выберите параметр "Определенные подключенные организации" и выберите созданные организации.

Существует четыре способа управления правами, которые позволяют указать пользователей, которые формируют подключенную организацию. Это может быть:

• пользователи другого каталога Microsoft Entra (из любого облака Майкрософт),
• пользователи другого каталога, отличного от Майкрософт, настроенные для совместной работы с поставщиком удостоверений личности (IdP) SAML/WS-Fed,
• пользователи в другом каталоге, отличном от Майкрософт, адреса электронной почты которых имеют одно и то же доменное имя, общее и конкретное для этой организации, или
• пользователи с учетной записью Майкрософт, например из домена live.com, если у вас есть бизнес-потребность в совместной работе с пользователями, у которых нет общей организации.

Например, вы работаете в банке Woodgrove Bank и хотите сотрудничать с двумя внешними организациями. Вы хотите предоставить пользователям из обеих внешних организаций доступ к тем же ресурсам, но у этих двух организаций разные конфигурации:

• Компания Contoso пока не использует идентификатор Microsoft Entra. У пользователей Contoso есть адрес электронной почты, заканчивающийся contoso.com.
• В Институте графического дизайна используют Microsoft Entra ID, и, по крайней мере, у некоторых пользователей основное имя пользователя заканчивается на graphicdesigninstitute.com.

В этом случае можно настроить две подключенные организации, а затем один пакет доступа с одной политикой.

1. Убедитесь, что включена аутентификация с помощью одноразового пароля (OTP) для электронной почты, чтобы пользователи из тех доменов, которые еще не являются частью каталогов Microsoft Entra, могли пройти аутентификацию с использованием одноразового пароля электронной почты при запросе доступа или позднем доступе к вашим ресурсам. Кроме того, может потребоваться настроить параметры внешней совместной работы Microsoft Entra B2B , чтобы разрешить внешним пользователям доступ.
2. Создайте подключенную организацию для Contoso. При указании домена contoso.com управление полномочиями распознает, что нет существующего клиента Microsoft Entra, связанного с этим доменом, и что пользователи из этой подключенной организации будут распознаны, если они проходят проверку подлинности посредством однократного пароля для домена электронной почты contoso.com.
3. Создайте другую подключенную организацию для института графического проектирования. При указании graphicdesigninstitute.com домена управление правами признает, что с этим доменом связан клиент.
4. В каталоге, который позволяет внешним пользователям запрашивать, создайте пакет доступа.
5. В этом пакете доступа создайте политику назначения пакетов доступа для пользователей, которые еще не в каталоге. В этой политике выберите параметр "Определенные подключенные организации " и укажите две подключенные организации. Это позволяет пользователям из каждой организации с источником удостоверений, соответствующим одной из подключенных организаций, запрашивать пакет доступа.
6. Когда внешние пользователи с именем участника-пользователя, имеющего домен contoso.com запрашивают пакет доступа, они проходят проверку подлинности по электронной почте. Этот домен электронной почты соответствует организации, подключенной к Contoso, и пользователю будет разрешено запрашивать пакет. После запроса как работает доступ для внешних пользователей описывается, как пользователь B2B затем приглашается и доступ назначается внешнему пользователю.
7. Кроме того, внешние пользователи, использующие учетную запись организации из клиента Института графического проектирования, соответствуют организации, подключенной к институту графического проектирования, и могут запрашивать пакет доступа. И, поскольку в Институте графического дизайна используется идентификатор Microsoft Entra, все пользователи с основным именем, которое соответствует другому проверенному домену, который добавляется в клиент Института графического дизайна, например graphicdesigninstitute.example, также смогут запрашивать пакеты доступа с помощью той же политики.

Способ проверки подлинности пользователей из каталога Microsoft Entra или домена зависит от типа проверки подлинности. Типы проверки подлинности для подключенных организаций

• Идентификатор Microsoft Entra в том же облаке
• Идентификатор Microsoft Entra в другом облаке
• Федерация поставщика удостоверений (IDP) SAML/WS-Fed
• Одноразовый секретный код (домен)
• Учетная запись Майкрософт

Пример добавления подключенной организации см. в следующем видео.

Просмотр списка подключенных организаций

1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум Администратора Управления Идентификацией.

2. Перейдите к Управление идентификаторами>Управление правами>Подключенные организации.

3. В поле поиска можно найти подключенную организацию по имени подключенной организации. Однако не удается найти доменное имя.

Добавление подключенной организации

Чтобы добавить внешний каталог Microsoft Entra или домен в качестве подключенной организации, следуйте инструкциям в этом разделе.

1. Войдите в Центр администрирования Microsoft Entra, как минимум, в качестве администратора управления удостоверениями.

2. Перейдите к управлению удостоверениями>управлению правами>подключенным организациям.

3. На странице "Подключенные организации" выберите "Добавить подключенную организацию".

   

4. Перейдите на вкладку "Основные сведения" , а затем введите отображаемое имя и описание для организации.

   

5. При создании подключенной организации состояние будет автоматически задано как настроенное . Дополнительные сведения о свойстве состояния подключенной организации см. в разделе "Состояние" подключенных организаций

6. Выберите вкладку "Каталог + домен ", а затем нажмите кнопку "Добавить каталог + домен".

   Откроется область выбора каталогов и доменов .

7. В поле поиска введите доменное имя для поиска каталога или домена Microsoft Entra. Вы также можете добавить домены, которые не связаны с любым каталогом Microsoft Entra. Обязательно введите полное доменное имя.

8. Проверьте правильность имен организаций и типов проверки подлинности. Вход пользователя перед получением доступа на портал MyAccess зависит от типа проверки подлинности для его организации. Если тип проверки подлинности для подключенной организации является идентификатором Microsoft Entra, все пользователи с учетной записью в каталоге этой организации, с любым проверенным доменом этого каталога Microsoft Entra, будут входить в свой каталог, а затем запрашивать доступ к пакетам, которые позволяют этой подключенной организации. Если выбран тип проверки подлинности "Одноразовый секретный код", то перейти на портал MyAccess смогут только пользователи с адресами электронной почты из этого домена. После проверки подлинности с помощью секретного кода пользователь может отправить запрос.

   

   Примечание.

   Доступ из некоторых доменов может быть заблокирован списком разрешений или запретов Microsoft Entra B2B. Кроме того, пользователи с адресом электронной почты с тем же доменом, что и подключенная организация, настроенная для проверки подлинности Microsoft Entra, но не прошедшие проверку подлинности в этом каталоге Microsoft Entra, не будут распознаны как часть подключенной организации. Дополнительные сведения см. в статье "Разрешить или заблокировать приглашения для пользователей B2B из определенных организаций".

9. Выберите "Добавить ", чтобы добавить каталог Или домен Microsoft Entra. Можно добавить несколько каталогов и доменов Microsoft Entra.

10. После добавления каталогов или доменов Microsoft Entra нажмите кнопку "Выбрать".

    Организации появляются в списке.

    

11. Выберите вкладку "Спонсоры ", а затем добавьте необязательных спонсоров для этой подключенной организации.

    Спонсоры — это внутренние или внешние пользователи, уже находящиеся в каталоге, которые являются точкой контакта для связи с этой подключенной организацией. Внутренние спонсоры — это пользователи, входящие в ваш каталог. Внешние спонсоры — это гостевые пользователи из подключенной организации, которые были приглашены ранее и уже находятся в вашем каталоге. Спонсоры могут быть задействованы как утверждающие лица, когда пользователи в этой связанной организации запрашивают доступ к этому пакету доступа. Сведения о том, как пригласить гостевого пользователя в каталог, см. в разделе "Добавление пользователей совместной работы Microsoft Entra B2B".

    При нажатии кнопки "Добавить или удалить" откроется панель, в которой можно выбрать внутренних или внешних спонсоров. На этой панели отображается нефильтрованный список пользователей и групп в каталоге.

    

12. Выберите вкладку "Просмотр и создание ", просмотрите параметры организации и нажмите кнопку "Создать".

    

Обновление подключенной организации

Если подключенная организация изменит домен, название организации изменится или вы захотите изменить спонсоров, можно обновить подключенную организацию, следуя инструкциям в этом разделе.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор управления удостоверениями.

2. Перейдите к управлению идентификацией>управлению правами>подключенным организациям.

3. На странице "Подключенные организации" выберите подключенную организацию, которую вы хотите обновить.

4. В области обзора подключенной организации выберите "Изменить ", чтобы изменить имя организации, описание или состояние.

5. В области "Каталог + домен " выберите "Обновить каталог и домен ", чтобы изменить его в другой каталог или домен.

6. В области "Спонсоры " выберите "Добавить внутренних спонсоров " или "Добавить внешних спонсоров ", чтобы добавить пользователя в качестве спонсора. Чтобы удалить спонсора, выберите спонсора и в правой области нажмите кнопку "Удалить".

Удаление подключенной организации

Если у вас больше нет связи с внешним каталогом Или доменом Microsoft Entra, или вы больше не хотите иметь предлагаемую подключенную организацию, вы можете удалить подключенную организацию.

1. Войдите в Центр администрирования Microsoft Entra в качестве по крайней мере Администратора управления удостоверениями.

2. Перейдите к управлению удостоверениями>управлению правами>подключенным организациям.

3. На странице "Подключенные организации" выберите подключенную организацию, которую нужно удалить, чтобы открыть ее.

4. В области обзора подключенной организации выберите «Удалить», чтобы удалить её.

   

Программное управление подключенной организацией

Вы также можете создавать, перечислять, обновлять и удалять подключенные организации с помощью Microsoft Graph. Пользователь в соответствующей роли с приложением с делегированным EntitlementManagement.ReadWrite.All разрешением может вызвать API для управления объектами connectedOrganization и задать для них спонсоров.

Управление подключенными организациями с помощью Microsoft PowerShell

Вы также можете управлять подключенными организациями в PowerShell с помощью командлетов из модуля Microsoft Graph PowerShell cmdlets for Identity Governance версии 1.16.0 или более поздней версии.

Следующий скрипт показывает, как использовать профиль v1.0 Graph для извлечения всех связанных организаций. Каждая возвращаемая подключенная организация содержит список identitySources каталогов и доменов этой подключенной организации.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$co = Get-MgEntitlementManagementConnectedOrganization -all

foreach ($c in $co) {
  foreach ($i in $c.identitySources) {
    write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
  }
}

Государственная собственность связанных организаций

Существуют два разных состояния для подключенных организаций в управлении доступом: настроенное и предложенное.

• Настроенная организация — это полностью функционирующая подключенная организация, которая позволяет пользователям этой организации получать доступ к пакетам. Когда администратор создает новую подключенную организацию в Центре администрирования Microsoft Entra, он находится в настроенном состоянии по умолчанию, так как администратор создал и хочет использовать эту подключенную организацию. Кроме того, при программном создании подключенной организации через API состояние по умолчанию должно быть настроено , если не задано другое состояние явным образом.

  Настроенные подключенные организации отображаются в списке выбора подключенных организаций и будут охвачены политиками, нацеленными на все настроенные подключенные организации.

• Предложенная подключенная организация — это подключенная организация, которая была создана автоматически, но не была создана или утверждена администратором. Когда пользователь оформляет подписку на пакет доступа за пределами настроенной подключенной организации, все автоматически созданные подключенные организации находятся в предлагаемом состоянии, так как ни один администратор в вашем клиенте не настроил это партнерство.

  Предлагаемые подключенные организации не относятся к параметру "все настроенные подключенные организации" для любых политик, но их можно использовать только для политик, предназначенных для конкретных организаций.

Запрашивать пакеты для доступа, которые доступны пользователям из всех настроенных организаций, могут лишь пользователи из настроенных подключенных организаций. Пользователи из предлагаемых подключенных организаций имеют такое же впечатление, как если бы для этого домена не было подключенной организации; могут просматривать и запрашивать пакеты доступа, относящиеся к определенной организации или к любому пользователю. Если у вас есть политики в клиенте, разрешающие "все настроенные подключенные организации", убедитесь, что вы не преобразуете предлагаемые подключенные организации для поставщиков удостоверений социальных сетей в настроенные.

Следующие шаги

• Управление доступом для внешних пользователей
• Управление доступом для пользователей, не входящих в каталог