Udzielanie zarządzanym lokalnie kont partnerom dostępu do zasobów w chmurze przy użyciu funkcji współpracy microsoft Entra B2B
Dotyczy:
Dzierżawcy siły roboczej — dzierżawcy zewnętrzni 
(dowiedz się więcej)
Przed identyfikatorem Entra firmy Microsoft organizacje z lokalnymi systemami tożsamości tradycyjnie zarządzały kontami partnerów w katalogu lokalnym. W takiej organizacji, gdy zaczniesz przenosić aplikacje do identyfikatora Entra firmy Microsoft, chcesz upewnić się, że partnerzy mogą uzyskiwać dostęp do potrzebnych zasobów. Nie powinno mieć znaczenia, czy zasoby są lokalne, czy w chmurze. Ponadto chcesz, aby użytkownicy partnerów mogli używać tych samych poświadczeń logowania zarówno dla zasobów lokalnych, jak i microsoft Entra.
Jeśli tworzysz konta dla partnerów zewnętrznych w katalogu lokalnym (na przykład utworzysz konto z nazwą logowania "msullivan" dla użytkownika zewnętrznego o nazwie Maria Sullivan w domenie partners.contoso.com), możesz teraz zsynchronizować te konta z chmurą. W szczególności możesz użyć programu Microsoft Entra Connect , aby zsynchronizować konta partnerów z chmurą, co powoduje utworzenie konta użytkownika z wartością UserType = Guest. Ta konfiguracja umożliwia użytkownikom partnerom uzyskiwanie dostępu do zasobów w chmurze przy użyciu tych samych poświadczeń co konta lokalne bez zapewniania im większego dostępu niż potrzebują. Aby uzyskać więcej informacji na temat konwertowania lokalnych kont gości, zobacz Konwertowanie lokalnych kont gości na konta gości Microsoft Entra B2B.
Nuta
Zobacz również, jak zapraszać użytkowników wewnętrznych do współpracy B2B. Dzięki tej funkcji możesz zaprosić użytkowników-gości wewnętrznych do korzystania ze współpracy B2B, niezależnie od tego, czy zsynchronizowano ich konta z katalogu lokalnego do chmury. Gdy użytkownik zaakceptuje zaproszenie do korzystania ze współpracy B2B, będzie mógł użyć własnych tożsamości i poświadczeń w celu zalogowania się do zasobów, do których chcesz uzyskać dostęp. Nie trzeba utrzymywać haseł ani zarządzać cyklami życia konta.
Identyfikowanie unikatowych atrybutów dla atrybutu UserType
Przed włączeniem synchronizacji atrybutu UserType należy najpierw zdecydować, jak uzyskać atrybut UserType z lokalna usługa Active Directory. Innymi słowy, jakie parametry w środowisku lokalnym są unikatowe dla zewnętrznych współpracowników? Określ parametr, który odróżnia tych zewnętrznych współpracowników od członków własnej organizacji.
Dwa typowe podejścia do definiowania parametru to:
- Wyznaczanie nieużywanego atrybutu lokalna usługa Active Directory (na przykład extensionAttribute1), który ma być używany jako atrybut źródłowy.
- Alternatywnie należy uzyskać wartość atrybutu UserType z innych właściwości. Na przykład chcesz zsynchronizować wszystkich użytkowników jako gościa, jeśli ich atrybut UserPrincipalName lokalna usługa Active Directory kończy się domeną @partners.contoso.com.
Aby uzyskać szczegółowe wymagania dotyczące atrybutów, zobacz Włączanie synchronizacji atrybutu UserType.
Konfigurowanie programu Microsoft Entra Connect w celu synchronizacji użytkowników z chmurą
Po zidentyfikowaniu unikatowego atrybutu można skonfigurować program Microsoft Entra Connect, aby zsynchronizować tych użytkowników z chmurą, co spowoduje utworzenie konta użytkownika za pomocą atrybutu UserType = Guest. Z punktu widzenia autoryzacji ci użytkownicy są nie do odróżnienia od użytkowników B2B utworzonych za pośrednictwem procesu zaproszenia do współpracy B2B firmy Microsoft.
Aby uzyskać instrukcje implementacji, zobacz Włączanie synchronizacji parametru UserType.