Hantera anslutna organisationer i berättigandehantering

Med berättigandehantering kan du samarbeta med personer utanför organisationen. Om du ofta samarbetar med många användare från specifika externa organisationer kan du lägga till organisationens identitetskällor som anslutna organisationer. Att ha en ansluten organisation förenklar hur fler personer från dessa organisationer kan begära åtkomst. Den här artikeln beskriver hur du lägger till en ansluten organisation så att du kan tillåta användare utanför organisationen att begära resurser i katalogen.

Vad är en ansluten organisation?

En ansluten organisation är en annan organisation som du har en relation till. För att användarna i organisationen ska kunna komma åt dina resurser, till exempel SharePoint Online-webbplatser eller -appar, behöver du en representation av organisationens användare i den katalogen. Eftersom användarna i organisationen i de flesta fall inte redan finns i din Microsoft Entra-katalog kan du använda rättighetshantering för att föra in dem i din Microsoft Entra-katalog efter behov.

Om du vill ange en sökväg för vem som helst att begära åtkomst, och du inte är säker på vilka organisationer de nya användarna kommer från, kan du konfigurera en tilldelningsprincip för åtkomstpaket för användare som inte finns i din katalog. I den principen väljer du alternativet Alla användare (Alla anslutna organisationer + alla nya externa användare). Om beställaren godkänns och de inte tillhör en ansluten organisation i din katalog skapas en ansluten organisation automatiskt för dem.

Om du bara vill tillåta att enskilda personer från utsedda organisationer begär åtkomst skapar du först de anslutna organisationerna. För det andra konfigurerar du en tilldelningsprincip för åtkomstpaket för användare som inte finns i din katalog, väljer alternativet Specifika anslutna organisationer och väljer de organisationer som du har skapat.

Det finns fyra sätt som berättigandehantering gör att du kan ange de användare som utgör en ansluten organisation. Det kan vara:

  • användare i en annan Microsoft Entra-katalog (från alla Microsoft-moln),
  • användare i en annan icke-Microsoft-katalog som har konfigurerats för SAML/WS-Fed-identitetsproviderfederation (IdP),
  • användare i en annan icke-Microsoft-katalog, vars e-postadresser alla har samma domännamn gemensamt och specifikt för den organisationen, eller
  • användare med ett Microsoft-konto, till exempel från domänen live.com, om du har ett affärsbehov för samarbete med användare som inte har någon gemensam organisation.

Anta till exempel att du arbetar på Woodgrove Bank och vill samarbeta med två externa organisationer. Du vill ge användare från båda externa organisationer åtkomst till samma resurser, men dessa två organisationer har olika konfigurationer:

  • Contoso använder ännu inte Microsoft Entra-ID. Contoso-användare har en e-postadress som slutar med contoso.com.
  • Graphic Design Institute använder Microsoft Entra-ID och åtminstone några av deras användare har ett användarnamn som slutar med graphicdesigninstitute.com.

I det här fallet kan du konfigurera två anslutna organisationer och sedan ett åtkomstpaket med en princip.

  1. Se till att du har aktiverat autentisering med engångslösenord (OTP), så att användare från de domäner som ännu inte är en del av Microsoft Entra-kataloger som autentiserar med e-post engångslösenord när de begär åtkomst eller senare får åtkomst till dina resurser. Dessutom kan du behöva konfigurera dina inställningar för externt samarbete i Microsoft Entra B2B för att tillåta externa användare åtkomst.
  2. Skapa en ansluten organisation för Contoso. När du anger domänen contoso.com identifierar rättighetshantering att det inte finns någon befintlig Microsoft Entra-klientorganisation som är associerad med domänen och att användare från den anslutna organisationen identifieras om de autentiserar med ett e-postmeddelande engångslösenord med en contoso.com e-postadressdomän.
  3. Skapa en annan ansluten organisation för Graphic Design Institute. När du anger domänen graphicdesigninstitute.com identifierar rättighetshantering att det finns en klientorganisation som är associerad med domänen.
  4. Skapa ett åtkomstpaket i en katalog som gör det möjligt för externa användare att begära.
  5. I det åtkomstpaketet skapar du en tilldelningsprincip för åtkomstpaket för användare som ännu inte finns i din katalog. I den principen väljer du alternativet Specifika anslutna organisationer och anger de två anslutna organisationerna. På så sätt kan användare från varje organisation, med en identitetskälla som matchar en av de anslutna organisationerna, begära åtkomstpaketet.
  6. När externa användare med ett användarhuvudnamn som har en domän med contoso.com begär åtkomstpaketet autentiserar de med e-post. Den här e-postdomänen matchar den Contoso-anslutna organisationen och användaren får begära paketet. När de har frågat beskriver hur åtkomst fungerar för externa användare hur B2B-användaren sedan bjuds in och åtkomst tilldelas för den externa användaren.
  7. Dessutom skulle externa användare som använder ett organisationskonto från Graphic Design Institute-klientorganisationen matcha den Graphic Design Institute-anslutna organisationen och få begära åtkomstpaketet. Och eftersom Graphic Design Institute använder Microsoft Entra-ID skulle alla användare med ett huvudnamn som matchar en annan verifierad domän som läggs till i Graphic Design Institute-klientorganisationen, till exempel graphicdesigninstitute.example, också kunna begära åtkomstpaket med hjälp av samma princip.

Diagram över anslutna organisationer i exempel och deras relationer med en tilldelningsprincip och med en klientorganisation.

Hur användare från Microsoft Entra-katalogen eller domänen autentiserar beror på autentiseringstypen. Autentiseringstyperna för anslutna organisationer är:

En demonstration av hur du lägger till en ansluten organisation finns i följande video:

Visa listan över anslutna organisationer

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

  2. Bläddra till Identitetsstyrning>Berättigandehantering>Anslutna organisationer.

  3. I sökrutan kan du söka efter en ansluten organisation med namnet på den anslutna organisationen. Du kan dock inte söka efter ett domännamn.

Lägga till en ansluten organisation

Följ anvisningarna i det här avsnittet om du vill lägga till en extern Microsoft Entra-katalog eller domän som en ansluten organisation.

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

  2. Bläddra till Identitetsstyrning>Berättigandehantering>Anslutna organisationer.

  3. På sidan Anslutna organisationer väljer du Lägg till ansluten organisation.

    Knappen Lägg till ansluten organisation

  4. Välj fliken Grundläggande och ange sedan ett visningsnamn och en beskrivning för organisationen.

    Fönstret

  5. Tillståndet anges automatiskt till Konfigurerad när du skapar en ny ansluten organisation. Mer information om tillståndsegenskap för en ansluten organisation finns i Tillståndsegenskap för anslutna organisationer

  6. Välj fliken Katalog + domän och välj sedan Lägg till katalog + domän.

    Sedan öppnas fönstret Välj kataloger + domäner .

  7. I sökrutan anger du ett domännamn för att söka efter Microsoft Entra-katalogen eller domänen. Du kan också lägga till domäner som inte är associerade med någon Microsoft Entra-katalog. Se till att ange hela domännamnet.

  8. Bekräfta att organisationsnamnen och autentiseringstyperna är korrekta. Användarinloggning, innan de kan komma åt MyAccess-portalen, beror på autentiseringstypen för organisationen. Om autentiseringstypen för en ansluten organisation är Microsoft Entra-ID loggar alla användare med ett konto i organisationens katalog, med en verifierad domän för den Microsoft Entra-katalogen, in i deras katalog och kan sedan begära åtkomst till åtkomstpaket som tillåter den anslutna organisationen. Om autentiseringstypen är engångslösenord kan användare med e-postadresser från just den domänen besöka MyAccess-portalen. När de har autentiserats med lösenordet kan användaren göra en begäran.

    Fönstret

    Kommentar

    Åtkomst från vissa domäner kan blockeras av att Microsoft Entra business to business (B2B) tillåter eller nekar listan. Dessutom identifieras inte användare som har en e-postadress som har samma domän som en ansluten organisation som konfigurerats för Microsoft Entra-autentisering, men som inte autentiserar till den Microsoft Entra-katalogen, som en del av den anslutna organisationen. Mer information finns i Tillåt eller blockera inbjudningar till B2B-användare från specifika organisationer.

  9. Välj Lägg till för att lägga till Microsoft Entra-katalogen eller domänen. Du kan lägga till flera Microsoft Entra-kataloger och domäner.

  10. När du har lagt till Microsoft Entra-kataloger eller -domäner väljer du Välj.

    Organisationen(erna) visas i listan.

    Fönstret Katalog + domän

  11. Välj fliken Sponsorer och lägg sedan till valfria sponsorer för den här anslutna organisationen.

    Sponsorer är interna eller externa användare som redan finns i din katalog och som är kontaktpunkten för relationen med den här anslutna organisationen. Interna sponsorer är medlemsanvändare i din katalog. Externa sponsorer är gästanvändare från den anslutna organisationen som tidigare bjudits in och som redan finns i din katalog. Sponsorer kan användas som godkännare när användare i den här anslutna organisationen begär åtkomst till det här åtkomstpaketet. Information om hur du bjuder in en gästanvändare till din katalog finns i Lägga till Microsoft Entra B2B-samarbetsanvändare.

    När du väljer Lägg till/ta bort öppnas ett fönster där du kan välja interna eller externa sponsorer. Fönstret visar en ofiltrerad lista över användare och grupper i din katalog.

    Fönstret Sponsorer

  12. Välj fliken Granska + skapa , granska organisationens inställningar och välj sedan Skapa.

    Fönstret Granska + skapa

Uppdatera en ansluten organisation

Om den anslutna organisationen ändras till en annan domän, organisationens namn ändras eller om du vill ändra sponsorerna kan du uppdatera den anslutna organisationen genom att följa anvisningarna i det här avsnittet.

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

  2. Bläddra till Identitetsstyrning>Berättigandehantering>Anslutna organisationer.

  3. På sidan Anslutna organisationer väljer du den anslutna organisation som du vill uppdatera.

  4. I den anslutna organisationens översiktsfönster väljer du Redigera för att ändra organisationens namn, beskrivning eller tillstånd.

  5. I fönstret Katalog + domän väljer du Uppdatera katalog + domän för att ändra till en annan katalog eller domän.

  6. I fönstret Sponsorer väljer du Lägg till interna sponsorer eller Lägg till externa sponsorer för att lägga till en användare som sponsor. Om du vill ta bort en sponsor väljer du sponsorn och väljer Ta bort i den högra rutan.

Ta bort en ansluten organisation

Om du inte längre har en relation med en extern Microsoft Entra-katalog eller domän, eller om du inte längre vill ha en föreslagen ansluten organisation, kan du ta bort den anslutna organisationen.

  1. Logga in på administrationscentret för Microsoft Entra som minst identitetsstyrningsadministratör.

  2. Bläddra till Identitetsstyrning>Berättigandehantering>Anslutna organisationer.

  3. På sidan Anslutna organisationer väljer du den anslutna organisation som du vill ta bort för att öppna den.

  4. I den anslutna organisationens översiktsfönster väljer du Ta bort för att ta bort den.

    Knappen Ta bort ansluten organisation

Hantera en ansluten organisation programmatiskt

Du kan också skapa, lista, uppdatera och ta bort anslutna organisationer med hjälp av Microsoft Graph. En användare i en lämplig roll med ett program som har delegerad EntitlementManagement.ReadWrite.All behörighet kan anropa API:et för att hantera connectedOrganization-objekt och ange sponsorer för dem.

Hantera anslutna organisationer via Microsoft PowerShell

Du kan också hantera anslutna organisationer i PowerShell med cmdletar från Microsoft Graph PowerShell-cmdletar för modulen Identitetsstyrning version 1.16.0 eller senare.

Följande skript illustrerar hur du använder Graph-profilen v1.0 för att hämta alla anslutna organisationer. Varje returnerad ansluten organisation innehåller en lista med identitetKällor för kataloger och domäner för den anslutna organisationen.

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$co = Get-MgEntitlementManagementConnectedOrganization -all

foreach ($c in $co) {
  foreach ($i in $c.identitySources) {
    write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
  }
}

Tillståndsegenskap för anslutna organisationer

Det finns två olika tillstånd för anslutna organisationer inom berättigandehantering, konfigurerade och föreslagna:

  • En konfigurerad ansluten organisation är en fullt fungerande ansluten organisation som ger användare inom organisationen åtkomst till paket. När en administratör skapar en ny ansluten organisation i administrationscentret för Microsoft Entra är den som standard konfigurerad eftersom administratören skapade och vill använda den här anslutna organisationen. När en ansluten organisation skapas programmatiskt via API:et bör standardtillståndet dessutom konfigureras om det inte anges till ett annat tillstånd uttryckligen.

    Konfigurerade anslutna organisationer visas i plockarna för anslutna organisationer och kommer att finnas i omfånget för alla principer som riktar sig till "alla konfigurerade anslutna organisationer".

  • En föreslagen ansluten organisation är en ansluten organisation som har skapats automatiskt, men som inte har fått någon administratör att skapa eller godkänna organisationen. När en användare registrerar sig för ett åtkomstpaket utanför en konfigurerad ansluten organisation är alla automatiskt skapade anslutna organisationer i det föreslagna tillståndet eftersom ingen administratör i klientorganisationen konfigurerar det partnerskapet.

    Föreslagna anslutna organisationer omfattas inte av inställningen "alla konfigurerade anslutna organisationer" för alla principer, men kan endast användas i principer för principer som riktar sig till specifika organisationer.

Endast användare från konfigurerade anslutna organisationer kan begära åtkomstpaket som är tillgängliga för användare från alla konfigurerade organisationer. Användare från föreslagna anslutna organisationer har en upplevelse som om det inte finns någon ansluten organisation för den domänen. kan bara se och begära åtkomstpaket som är begränsade till deras specifika organisation eller begränsas till alla användare. Om du har principer i din klientorganisation som tillåter "alla konfigurerade anslutna organisationer" kontrollerar du att du inte konverterar föreslagna anslutna organisationer för sociala identitetsprovidrar till konfigurerade.

Kommentar

Som en del av lanseringen av den här nya funktionen ansågs alla anslutna organisationer som skapades före 09/09/20 vara konfigurerade. Om du hade ett åtkomstpaket som gjorde det möjligt för användare från någon organisation att registrera sig bör du granska din lista över anslutna organisationer som skapades före det datumet för att säkerställa att ingen är felkategoriserad som konfigurerad. I synnerhet bör sociala identitetsprovidrar inte anges som konfigurerade om det finns tilldelningsprinciper som inte kräver godkännande för användare från alla konfigurerade anslutna organisationer. En administratör kan uppdatera egenskapen Tillstånd efter behov. Vägledning finns i Uppdatera en ansluten organisation.

Kommentar

I vissa fall kan en användare begära ett åtkomstpaket med sitt personliga konto från en social identitetsprovider, där kontots e-postadress har samma domän som en befintlig ansluten organisation som motsvarar en Microsoft Entra-klientorganisation. Om användaren godkänns skulle det resultera i en ny föreslagen ansluten organisation som representerar domänen. I det här fallet kontrollerar du att användaren använder sitt organisationskonto i stället för att begära åtkomst igen, och portalen identifierar den här användaren som kommer från den konfigurerade anslutna organisationens Microsoft Entra-klientorganisation.

Nästa steg