Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применяется к: 
Арендаторы трудовых ресурсов (дополнительные сведения)
Возможность B2B-сотрудничества, предоставляемая Microsoft Entra External ID, позволяет взаимодействовать с пользователями и партнерами вне вашей организации. Во время B2B сотрудничества внешний пользователь может войти в клиент Microsoft Entra для управления рабочими ресурсами с помощью собственных учетных данных. Затем такой пользователь для B2B-сотрудничества может получить доступ к приложениям и ресурсам, которыми вы хотите поделиться. Объект пользователя создается для пользователя службы совместной работы B2B в том же каталоге, что и ваши сотрудники. Объекты пользователей совместной работы B2B по умолчанию имеют ограниченные привилегии в вашем каталоге, и ими можно управлять так же, как сотрудниками, например, добавлять в группы или назначать им приложения. В этой статье рассматриваются свойства этого объекта пользователя и способы управления им.
В следующей таблице описаны пользователи в службе совместной работы B2B с учетом способа аутентификации (внутренне или внешне) и отношений с организацией (гость или участник).
- Внешний гость — к этой категории относятся большинство пользователей, которые обычно считаются внешними пользователями или гостями. Этот пользователь службы совместной работы B2B имеет учетную запись во внешней организации Microsoft Entra или внешний поставщик удостоверений (например, социальное удостоверение), и у них есть разрешения на гостевой уровень в организации ресурсов. Объект пользователя, созданный в каталоге Microsoft Entra, имеет тип пользователя Гость.
- Внешний участник. Этот пользователь совместной работы B2B имеет учетную запись во внешней организации Microsoft Entra или внешний поставщик удостоверений (например, социальное удостоверение) и доступ на уровне участника к ресурсам в вашей организации. Этот сценарий распространен в организациях, состоящих из нескольких клиентов, где пользователи считаются частью более крупной организации и нуждаются в доступе на уровне участников к ресурсам в других клиентах организации. Объект пользователя, созданный в каталоге Microsoft Entra, имеет тип пользователя Member.
- Внутренний гость: До создания совместной работы Microsoft Entra B2B организации часто сотрудничали с распространителями, поставщиками, продавцами и другими партнерами, создавая для них внутренние учетные данные. Эти внешние пользователи были назначены гостями, задав свойству UserType объекта пользователя значение Guest. Если у вас есть такие гостевые пользователи, вы можете пригласить их в службу совместной работы B2B, чтобы они могли использовать собственные учетные данные. Благодаря этому их внешний поставщик удостоверений сможет управлять аутентификацией и жизненным циклом учетных записей.
- Внутренний член: Эти пользователи считаются сотрудниками вашей организации. Пользователь проходит внутреннюю аутентификацию через Microsoft Entra ID, а объект пользователя, созданный в каталоге Microsoft Entra, имеет тип пользователя "Участник".
Тип пользователя, который вы выбрали, имеет следующие ограничения для приложений или служб (но не ограничивается):
| Приложение или служба | Ограничения |
|---|---|
| Power BI | — Поддержка типа пользователя UserType в Power BI в настоящее время находится в стадии предварительной версии. Дополнительные сведения см. в статье Распространение содержимого Power BI внешним гостевым пользователям с помощью Microsoft Entra B2B. |
| Виртуальный рабочий стол Azure | — Сведения об ограничениях см. в разделе "Предварительные требования для виртуального рабочего стола Azure". |
| Microsoft Teams | — Сведения об ограничениях см. в статье "Совместная работа с гостями из других облачных сред Microsoft 365". |
Внимание
Функция отправки одноразового секретного кода по электронной почте теперь включена по умолчанию для всех новых арендаторов и для всех существующих арендаторов, для которых вы не отключили ее явным образом. Если эта функция отключена, в рамках резервного способа проверки подлинности будет отправляться приглашение на создание учетной записи Майкрософт.
Активация приглашения
Теперь давайте посмотрим, как выглядит пользователь B2B-сотрудничества Microsoft Entra в Microsoft Entra External ID.
До погашения приглашения
Учетные записи пользователей в службе совместной работы B2B являются результатом приглашения гостевых пользователей для совместной работы с помощью гостевых учетных данных. После изначальной отправки приглашения пользователю-гостю в вашем клиенте создается учетная запись. С ней не связаны учетные данные, так как проверку подлинности гостевого пользователя выполняет поставщик удостоверений. Свойство Идентификаторы для гостевой учетной записи в вашем каталоге устанавливается на домен организации-хозяина до тех пор, пока гость не активирует свое приглашение. Пользователь, отправляющий приглашение, добавляется в качестве значения по умолчанию для атрибута Спонсора в гостевой учетной записи пользователя. В центре администрирования профиль приглашенного пользователя показывает состояние приглашенияв ожидании принятия. Запрос externalUserState с использованием API Microsoft Graph возвращает Pending Acceptance.
После погашения приглашения
После того как пользователь B2B-сотрудничества принимает приглашение, свойство Identities обновляется на основе поставщика удостоверений пользователя.
Если пользователь B2B взаимодействия использует учетную запись Microsoft или учетные данные другого внешнего поставщика удостоверений, Удостоверения отражают поставщика удостоверений, например Microsoft Account, google.com или facebook.com.
Если пользователь B2B совместной работы использует учетные данные из другой организации Microsoft Entra, идентификаторы — ExternalAzureAD.
Для внешних пользователей, использующих внутренние учетные данные, свойство идентичностей устанавливается на домен организационного хоста. Свойство синхронизации каталога — Да, если учетная запись размещена в локальной службе Active Directory в организации и синхронизирована с Microsoft Entra ID, или Нет, если учетная запись является только облачной учетной записью Microsoft Entra. Сведения о синхронизации каталогов также доступны через свойство
onPremisesSyncEnabledв Microsoft Graph.
Ключевые свойства пользователя совместной работы Microsoft Entra B2B
Имя субъекта-пользователя
UPN для объекта пользователя совместной работы B2B (гостевые пользователи) включает адрес электронной почты гостевого пользователя, затем #EXT#, и затем tenantname.onmicrosoft.com. Например, если пользователь john@contoso.com добавлен как внешний пользователь в каталоге fabrikam, то его UPN — john_contoso.com#EXT#@fabrikam.onmicrosoft.com.
Тип пользователя
Это свойство указывает отношение пользователя к хост-тенантству. Оно может иметь два значения:
Member (Член). Это сотрудник принимающей организации и пользователь в системе начисления зарплаты этой организации. Например, это пользователь, которому нужен доступ к сайтам только для внутреннего использования. Этот пользователь не считается внешним сотрудником.
Guest (Гость). Это пользователь, который не считается внутренним для компании, например внешний участник совместной работы, партнер или клиент. Не ожидается, что такой пользователь получит внутреннюю служебную записку от генерального директора или получит, например, корпоративные льготы.
Примечание.
Свойство UserType не имеет отношения к тому, как пользователь выполняет вход, роли пользователя в каталоге и т. д. Оно только показывает связь пользователя с главной организацией, и организация может применять политики в зависимости от значения этого свойства.
Удостоверения
Это свойство указывает основной поставщик удостоверений пользователя. У пользователя может быть несколько поставщиков удостоверений, которые можно просмотреть, выбрав ссылку рядом с удостоверениями в профиле пользователя или запросив identities свойство через API Microsoft Graph.
Примечание.
Идентификаторы и UserType являются независимыми свойствами. Значение Идентификаторы не означает определенного значения для UserType.
| Значение свойства идентификаторов | Состояние входа |
|---|---|
| ExternalAzureAD | Этот пользователь находится во внешней организации и проходит проверку подлинности с помощью учетной записи Microsoft Entra, которая принадлежит другой организации. |
| Учетная запись Майкрософт | Этот пользователь привязан к учетной записи Microsoft и использует ее для аутентификации. |
| {домен узла} | Этот пользователь проходит проверку подлинности с помощью учетной записи Microsoft Entra, принадлежащую этой организации. |
| google.com | У этого пользователя есть учетная запись Gmail, и он зарегистрировался с помощью самообслуживания в другой организации. |
| facebook.com | У этого пользователя есть учетная запись Facebook, и он зарегистрировался с помощью самообслуживания в другой организации. |
| почта | Этот пользователь зарегистрировался с помощью одноразового кода электронной почты Microsoft Entra External ID (OTP). |
| {URI издателя} | Этот пользователь находится во внешней организации, которая не использует Microsoft Entra ID в качестве провайдера удостоверений, а вместо этого использует провайдер на основе языка разметки утверждений безопасности (SAML) или WS-Fed. URI издателя отображается при щелчке поля удостоверений. |
Вход на телефон не поддерживается для внешних пользователей. Учетные записи B2B не могут использовать phone в качестве идентификационного провайдера.
Каталог синхронизирован
Свойство Синхронизировано с каталогом указывает, синхронизирован ли пользователь с локальной службой Active Directory и выполнена ли аутентификация в локальной среде. Это свойство имеет значение "Да", если учетная запись размещена в локальной службе Active Directory организации и синхронизируется с Microsoft Entra ID, или "Нет", если учетная запись является только облачной учетной записью Microsoft Entra. В Microsoft Graph свойство "Синхронизировано с каталогом" соответствует onPremisesSyncEnabled.
Можно ли добавлять пользователей Microsoft Entra B2B в качестве участников вместо гостей?
Как правило, пользователь Microsoft Entra B2B и гостевой пользователь являются синонимами. Таким образом, пользователь совместной работы Microsoft Entra B2B добавляется как пользователь с UserType, установленным по умолчанию на Guest. Однако в некоторых случаях партнерская организация может входить наряду с главной организацией в более крупную организацию. В таких случаях главная организация может рассматривать пользователей из партнерской организации как участников, а не гостей. Используйте API диспетчера приглашений Microsoft Entra B2B, чтобы добавить или пригласить пользователя из партнерской организации в хост-организацию в качестве участника.
Фильтрация гостевых пользователей в каталоге
В списке "Пользователи" можно использовать фильтр "Добавить", чтобы отобразить только гостевых пользователей в каталоге.
Преобразование UserType
Можно преобразовать UserType из участника в гостевую и наоборот, изменив профиль пользователя в Центре администрирования Microsoft Entra или с помощью PowerShell. Однако при этом свойство UserType достоверно отражает связь пользователя с организацией. Поэтому это свойство следует изменять, только если изменяется связь пользователя с организацией. Если изменяется отношение пользователя, следует ли изменять имя пользователя (UPN)? Сохранит ли пользователь доступ к тем же ресурсам? Нужно ли назначить почтовый ящик?
Разрешения пользователя-гостя
Гостевые пользователи обладают ограниченными разрешениями каталога по умолчанию. Они могут управлять собственным профилем, изменять свой пароль и получать сведения о других пользователях, группах и приложениях. Однако они не могут читать все данные каталога.
Гостевые пользователи B2B не поддерживаются в общих каналах Microsoft Teams. Сведения о доступе к общим каналам см. в статье B2B Direct Connect.
Могут возникнуть случаи, когда вы хотите предоставить гостевым пользователям более высокие привилегии. Можно добавить гостевого пользователя в любую роль или даже удалить заданные по умолчанию ограничения для гостевых пользователей в каталоге. Это позволит ему пользоваться такими же привилегиями, как у участников. Ограничения, заданные по умолчанию, можно отключить. При этом гостевой пользователь получит те же разрешения в каталоге компании, что и участник. Дополнительные сведения см. в разделе "Ограничение разрешений гостевого доступа" во внешнем идентификаторе Microsoft Entra.
Можно ли сделать так, чтобы гостевые пользователи отображались в глобальном списке адресов Exchange?
Да. По умолчанию гостевые объекты не отображаются в глобальном списке адресов вашей организации, но вы можете использовать Microsoft Graph PowerShell, чтобы сделать их видимыми. Дополнительные сведения о добавлении гостей в глобальный список адресов для Microsoft 365 см. в статье Гостевой доступ для каждой группы Microsoft 365.
Можно ли изменить адрес электронной почты для гостевого пользователя?
Если гостевой пользователь принимает приглашение и позже изменяет свой адрес электронной почты, новое сообщение электронной почты не синхронизируется с объектом гостевого пользователя в каталоге. Свойство mail создается через API Microsoft Graph. Вы можете обновить параметр почты с помощью API Microsoft Graph, центра администрирования Exchange или PowerShell для Exchange Online. Это изменение отражается в объекте гостевого пользователя Microsoft Entra.