Správa připojených organizací ve správě nároků

Pomocí správy nároků můžete spolupracovat s lidmi mimo vaši organizaci. Pokud často spolupracujete s mnoha uživateli z konkrétních externích organizací, můžete přidat zdroje identit dané organizace jako připojené organizace. Propojená organizace zjednodušuje, jak více lidí z těchto organizací může požádat o přístup. Tento článek popisuje, jak přidat připojenou organizaci, abyste uživatelům mimo vaši organizaci umožnili žádat o prostředky ve vašem adresáři.

Co je propojená organizace?

Propojená organizace je jiná organizace, se kterou máte vztah. Aby uživatelé v této organizaci měli přístup k vašim prostředkům, jako jsou weby nebo aplikace SharePointu Online, potřebujete reprezentaci uživatelů této organizace v tomto adresáři. Protože ve většině případů uživatelé v této organizaci ještě nejsou ve vašem adresáři Microsoft Entra, můžete je podle potřeby použít ke správě nároků.

Pokud chcete zadat cestu, ze které by mohl kdokoli požádat o přístup, a nejste si jistí, ze kterých organizací můžou být tito noví uživatelé, můžete nakonfigurovat zásady přiřazení přístupového balíčku pro uživatele, kteří nejsou ve vašem adresáři. V této zásadě vyberte možnost Všichni uživatelé (Všechny připojené organizace + všichni noví externí uživatelé). Pokud je žadatel schválený a nepatří do připojené organizace ve vašem adresáři, automaticky se pro ně vytvoří propojená organizace.

Pokud chcete povolit přístup jenom jednotlivcům z určených organizací, vytvořte nejprve tyto připojené organizace. Za druhé nakonfigurujte zásady přiřazení přístupového balíčku pro uživatele, kteří nejsou ve vašem adresáři, vyberte možnost Konkrétní připojené organizace a vyberte organizace, které jste vytvořili.

Správa nároků umožňuje určit uživatele, kteří tvoří propojenou organizaci, čtyři způsoby. Může to být:

  • uživatelé v jiném adresáři Microsoft Entra (z libovolného cloudu Microsoftu),
  • uživatelé v jiném adresáři než Microsoftu, který je nakonfigurovaný pro federaci SAML/WS-Fed identity Provider (IdP),
  • uživatelé v jiném adresáři než Microsoftu, jehož e-mailové adresy mají stejný název domény společné a specifické pro danou organizaci, nebo
  • uživatelé s účtem Microsoft, například z domény live.com, pokud máte obchodní potřebu spolupráce s uživateli, kteří nemají žádnou společnou organizaci.

Předpokládejme například, že pracujete ve společnosti Woodgrove Bank a chcete spolupracovat se dvěma externími organizacemi. Chcete uživatelům z obou externích organizací udělit přístup ke stejným prostředkům, ale tyto dvě organizace mají různé konfigurace:

  • Společnost Contoso zatím nepoužívá ID Microsoft Entra. Uživatelé společnosti Contoso mají e-mailovou adresu, která končí contoso.com.
  • Graphic Design Institute používá Microsoft Entra ID a alespoň někteří uživatelé mají hlavní název uživatele, který končí graphicdesigninstitute.com.

V takovém případě můžete nakonfigurovat dvě propojené organizace a pak jeden přístupový balíček s jednou zásadou.

  1. Ujistěte se , že máte zapnuté jednorázové ověřování jednorázovým heslem (OTP), aby uživatelé z těchto domén, které ještě nejsou součástí adresářů Microsoft Entra, kteří se ověřovali pomocí jednorázového hesla e-mailu při vyžádání přístupu nebo novějšího přístupu k vašim prostředkům. Kromě toho možná budete muset nakonfigurovat nastavení externí spolupráce Microsoft Entra B2B tak, aby umožňovala externím uživatelům přístup.
  2. Vytvořte propojenou organizaci pro Contoso. Když zadáte doménu contoso.com, správa nároků rozpozná, že k této doméně není přidružený žádný tenant Microsoft Entra a že uživatelé z této připojené organizace budou rozpoznáni, pokud se ověří pomocí jednorázového hesla e-mailu s doménou contoso.com e-mailové adresy.
  3. Vytvořte další propojenou organizaci pro Grafický design Institute. Když zadáte doménu graphicdesigninstitute.com, správa nároků rozpozná, že je k ní přidružený tenant.
  4. V katalogu, který umožňuje externím uživatelům požadovat, vytvořte přístupový balíček.
  5. V takovém přístupového balíčku vytvořte zásadu přiřazení přístupového balíčku pro uživatele, kteří ještě nejsou ve vašem adresáři. V této zásadě vyberte možnost Konkrétní propojené organizace a zadejte dvě propojené organizace. To umožňuje uživatelům z každé organizace se zdrojem identity, který odpovídá jedné z připojených organizací, požádat o přístupový balíček.
  6. Když externí uživatelé s hlavním názvem uživatele, který má doménu contoso.com požádat o přístupový balíček, ověřují se pomocí e-mailu. Tato e-mailová doména se shoduje s organizací připojenou společností Contoso a uživatel si bude moct balíček vyžádat. Jakmile požádá o to, jak přístup funguje pro externí uživatele, popisuje, jak je uživatel B2B pak pozván a přístup je přiřazen externímu uživateli.
  7. Externí uživatelé, kteří používají účet organizace z tenanta Graphic Design Institute, by navíc odpovídali organizaci propojené s grafickým designovým institutem a mohli požádat o přístupový balíček. A vzhledem k tomu, že Grafický design institute používá Microsoft Entra ID, všichni uživatelé s hlavním názvem, který odpovídá jiné ověřené doméně přidané do tenanta Graphic Design Institute, například graphicdesigninstitute.example, by také mohli požádat o přístupové balíčky pomocí stejné zásady.

Diagram propojených organizací v příkladu a jejich vztahů se zásadami přiřazení a tenantem

Způsob ověřování uživatelů z adresáře Nebo domény Microsoft Entra závisí na typu ověřování. Typy ověřování pro připojené organizace jsou:

Ukázku přidání připojené organizace najdete v následujícím videu:

Zobrazení seznamu propojených organizací

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

  2. Přejděte do správy nároků zásad správného řízení>identit>připojených organizací.

  3. Do vyhledávacího pole můžete vyhledat propojenou organizaci podle názvu připojené organizace. Nemůžete ale hledat název domény.

Přidání připojené organizace

Pokud chcete přidat externí adresář nebo doménu Microsoft Entra jako připojenou organizaci, postupujte podle pokynů v této části.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

  2. Přejděte do správy nároků zásad správného řízení>identit>připojených organizací.

  3. Na stránce Připojené organizace vyberte Přidat připojenou organizaci.

    Tlačítko Přidat připojenou organizaci

  4. Vyberte kartu Základy a zadejte zobrazovaný název a popis organizace.

    Podokno

  5. Stav se automaticky nastaví na Nakonfigurovaný při vytváření nové připojené organizace. Další informace o stavu vlastnosti připojené organizace naleznete v tématu State property of connected organizations

  6. Vyberte kartu Adresář + doména a pak vyberte Přidat adresář + doménu.

    Otevře se podokno Vybrat adresáře a domény .

  7. Do vyhledávacího pole zadejte název domény a vyhledejte adresář nebo doménu Microsoft Entra. Můžete také přidat domény, které nejsou přidružené k žádnému adresáři Microsoft Entra. Nezapomeňte zadat celý název domény.

  8. Ověřte správnost názvů a typů ověřování organizace. Přihlášení uživatele před přístupem k portálu MyAccess závisí na typu ověřování pro svoji organizaci. Pokud je typ ověřování pro připojenou organizaci Microsoft Entra ID, všichni uživatelé s účtem v adresáři dané organizace s libovolnou ověřenou doménou tohoto adresáře Microsoft Entra se přihlásí ke svému adresáři a pak můžou požádat o přístup k přístupovým balíčkům, které tuto propojenou organizaci umožňují. Pokud je typ ověřování jednorázovým heslem, umožníte uživatelům s e-mailovými adresami z této domény navštívit portál MyAccess. Po ověření pomocí hesla může uživatel vytvořit žádost.

    Podokno Vybrat adresáře a domény

    Poznámka:

    Přístup z některých domén může blokovat seznam povolených nebo odepřít microsoft Entra business to business (B2B). Kromě toho uživatelé, kteří mají e-mailovou adresu, která má stejnou doménu jako propojená organizace nakonfigurovaná pro ověřování Microsoft Entra, ale kteří se neověřují v daném adresáři Microsoft Entra, nebudou rozpoznáváni jako součást této připojené organizace. Další informace najdete v tématu Povolení nebo blokování pozvánek uživatelůM B2B z konkrétních organizací.

  9. Vyberte Přidat a přidejte adresář nebo doménu Microsoft Entra. Můžete přidat více adresářů a domén Microsoft Entra.

  10. Po přidání adresářů nebo domén Microsoft Entra vyberte Vybrat.

    V seznamu se zobrazí organizace.

    Podokno Adresář a doména

  11. Vyberte kartu Sponzory a přidejte volitelné sponzory pro tuto propojenou organizaci.

    Sponzory jsou interní nebo externí uživatelé, kteří jsou již ve vašem adresáři kontaktním bodem pro vztah s touto propojenou organizací. Interní sponzory jsou členští uživatelé ve vašem adresáři. Externí sponzory jsou uživatelé typu host z připojené organizace, které byly dříve pozvány a jsou již ve vašem adresáři. Sponzory je možné využít jako schvalovatele, když uživatelé v této připojené organizaci požadují přístup k tomuto přístupového balíčku. Informace o tom, jak pozvat uživatele typu host do adresáře, najdete v tématu Přidání uživatelů spolupráce Microsoft Entra B2B.

    Když vyberete Přidat nebo odebrat, otevře se podokno, ve kterém můžete zvolit interní nebo externí sponzory. V podokně se zobrazí nefiltrovaný seznam uživatelů a skupin v adresáři.

    Podokno Sponzory

  12. Vyberte kartu Zkontrolovat a vytvořit, zkontrolujte nastavení organizace a pak vyberte Vytvořit.

    Podokno Zkontrolovat a vytvořit

Aktualizace připojené organizace

Pokud se propojená organizace změní na jinou doménu, změní se název organizace nebo chcete změnit sponzory, můžete propojenou organizaci aktualizovat podle pokynů v této části.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

  2. Přejděte do správy nároků zásad správného řízení>identit>připojených organizací.

  3. Na stránce Připojené organizace vyberte připojenou organizaci, kterou chcete aktualizovat.

  4. V podokně přehledu připojené organizace vyberte Upravit a změňte název organizace, popis nebo stav.

  5. V podokně Adresář a doména vyberte Aktualizovat adresář + doménu a změňte ho na jiný adresář nebo doménu.

  6. V podokně Sponzory vyberte Přidat interní sponzory nebo Přidat externí sponzory a přidejte uživatele jako sponzora. Pokud chcete sponzora odebrat, vyberte sponzora a v pravém podokně vyberte Odstranit.

Odstranění připojené organizace

Pokud už nemáte vztah s externím adresářem nebo doménou Microsoft Entra nebo už nechcete mít navrženou propojenou organizaci, můžete propojenou organizaci odstranit.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad správného řízení identit.

  2. Přejděte do správy nároků zásad správného řízení>identit>připojených organizací.

  3. Na stránce Připojené organizace vyberte připojenou organizaci, kterou chcete odstranit, a otevřete ji.

  4. V podokně přehledu připojené organizace vyberte Odstranit a odstraňte ho.

    Tlačítko Odstranit připojenou organizaci

Správa propojené organizace prostřednictvím kódu programu

Pomocí Microsoft Graphu můžete také vytvářet, vypisovat, aktualizovat a odstraňovat připojené organizace. Uživatel v příslušné roli s aplikací, která má delegované EntitlementManagement.ReadWrite.All oprávnění, může volat rozhraní API pro správu propojených objektůorganizace a nastavit pro ně sponzory.

Správa připojených organizací prostřednictvím Microsoft PowerShellu

Připojené organizace můžete spravovat také v PowerShellu pomocí rutin z rutin Prostředí Microsoft Graph PowerShell pro modul zásad správného řízení identit verze 1.16.0 nebo novější.

Tento následující skript znázorňuje použití v1.0 profilu Graphu k načtení všech připojených organizací. Každá vrácená propojená organizace obsahuje seznam identitySource adresářů a domén připojené organizace.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$co = Get-MgEntitlementManagementConnectedOrganization -all

foreach ($c in $co) {
  foreach ($i in $c.identitySources) {
    write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
  }
}

State property of connected organizations

Ve správě nároků existují dva různé stavy pro připojené organizace, které jsou nakonfigurované a navržené:

  • Nakonfigurovaná propojená organizace je plně funkční propojená organizace, která uživatelům v organizaci umožňuje přístup k balíčkům. Když správce vytvoří novou propojenou organizaci v Centru pro správu Microsoft Entra, je ve výchozím nastavení nakonfigurovaný, protože správce vytvořil a chce tuto propojenou organizaci používat. Kromě toho platí, že pokud je propojená organizace vytvořená prostřednictvím kódu programu prostřednictvím rozhraní API, měl by být výchozí stav nakonfigurovaný , pokud není explicitně nastavený na jiný stav.

    Nakonfigurované propojené organizace se zobrazují ve výběru propojených organizací a budou v rozsahu pro všechny zásady, které cílí na všechny nakonfigurované připojené organizace.

  • Navrhovaná propojená organizace je propojená organizace, která se vytvořila automaticky, ale neměla správce, který organizaci nevytvořil ani neschvaloval. Když se uživatel zaregistruje k přístupovém balíčku mimo nakonfigurovanou propojenou organizaci, všechny automaticky vytvořené připojené organizace jsou v navrhovaném stavu, protože toto partnerství nenastavuje žádný správce.

    Navrhované propojené organizace nejsou v rozsahu nastavení "všechny nakonfigurované propojené organizace" u všech zásad, ale dají se použít jenom v zásadách určených pro konkrétní organizace.

Přístupové balíčky, které jsou dostupné uživatelům ze všech nakonfigurovaných organizací, můžou vyžádat jenom uživatelé z nakonfigurovaných organizací. Uživatelé z navržených propojených organizací mají zkušenosti, jako by pro danou doménu nebyla připojená organizace; může zobrazit a požádat o přístupové balíčky omezené pouze na jejich konkrétní organizaci nebo omezené na libovolného uživatele. Pokud máte ve svém tenantovi zásady, které umožňují "všechny nakonfigurované propojené organizace", ujistěte se, že nepřeveďte navrhované propojené organizace pro zprostředkovatele sociálních identit na nakonfigurované.

Poznámka:

V rámci zavádění této nové funkce byly považovány za nakonfigurované všechny propojené organizace vytvořené před 9. 9. 20. Pokud jste měli přístupový balíček, který uživatelům z jakékoli organizace umožnil registraci, měli byste si projít seznam propojených organizací vytvořených před tímto datem, abyste měli jistotu, že žádná není chybně zařazená jako nakonfigurovaná. Zprostředkovatelé sociálních identit by se zejména neměli označovat jako nakonfigurované , pokud existují zásady přiřazení, které nevyžadují schválení pro uživatele ze všech nakonfigurovaných propojených organizací. Správce může podle potřeby aktualizovat vlastnost State . Pokyny najdete v tématu Aktualizace připojené organizace.

Poznámka:

V některých případech může uživatel požádat o přístupový balíček pomocí svého osobního účtu od zprostředkovatele sociální identity, kde má e-mailová adresa daného účtu stejnou doménu jako existující propojená organizace odpovídající tenantovi Microsoft Entra. Pokud je tento uživatel schválen, bude mít za následek novou navrženou propojenou organizaci představující tuto doménu. V takovém případě se ujistěte, že uživatel k opětovnému vyžádání přístupu používá svůj účet organizace, a portál identifikuje tohoto uživatele pocházejícího z nakonfigurovaného tenanta Microsoft Entra připojené organizace.

Další kroky