将来宾用户添加到Microsoft Entra ID 中的目录后,应用程序所有者会将来宾用户发送指向他们想要共享的应用的直接链接。 Microsoft Entra 管理员可以在其 Microsoft Entra 租户中为应用程序库或基于 SAML 的应用设置自助服务管理。 这样,即使来宾用户尚未添加到目录中,应用程序所有者也会管理其来宾用户。 为应用配置自助服务后,应用程序所有者可以使用访问面板邀请来宾用户访问应用,或将来宾用户添加到有权访问该应用的组中。
自助服务应用管理对于库和基于 SAML 的应用需要管理员进行基础设置。请按照设置步骤摘要(有关详细说明,请参阅本页后面的 先决条件)操作:
- 为租户启用自助服务组管理
- 创建一个组以分配到应用,并将用户设为所有者
- 为自助服务设置应用,并将组分配给应用
注释
- 本文介绍如何为添加到 Microsoft Entra 租户的基于 SAML 的库和基于 SAML 的应用设置自助服务管理。 还可以 设置自助服务Microsoft 365 个组 ,以便用户可以管理对其自己的Microsoft 365 组的访问权限。 有关用户可以与来宾用户共享 Office 文件和应用的更多方式,请参阅 Microsoft 365 组 和 SharePoint 文件或文件夹中的来宾访问。
- 如果用户具有 “来宾邀请者 ”角色,则只能邀请来宾。
邀请某人加入有权访问应用的组
为自助服务配置应用后,可以邀请来宾用户加入你管理的有权访问要共享的应用的组。 来宾用户不需要预先存在于目录中。 应用程序所有者遵循以下步骤邀请来宾用户加入组,以便他们可以访问该应用。
- 确认你是有权访问要共享的应用的自助服务组的所有者。
- 转到
https://myapplications.windowsazure.cn打开你的访问面板。 - 选择 “群组” 应用。
- 在“我拥有的组”中,选择可以访问您要共享的应用的组。
- 在组成员列表顶部,选择 + 按钮。
- 在 “添加成员 搜索”框中,输入来宾用户的电子邮件地址。 (可选)包括欢迎消息。
- 选择 “添加” 以自动向来宾用户发送邀请。 发送邀请后,该用户帐户将以来宾的形式自动添加到目录。
先决条件
自助服务应用管理需要Microsoft Entra 管理员设置一些初始设置。作为此设置的一部分,将应用配置为自助服务,并将组分配给应用程序所有者可以管理的应用。 还可以设置组以允许任何人请求成员身份,但需要组所有者的批准。 (详细了解 自助服务组管理。
注释
你无法将来宾用户添加到动态组或与本地 Active Directory 同步的组。
启用租户的自助服务组管理功能
- 至少以用户管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>群组>所有群组。
- 在 “设置”下,选择“ 常规”。
- 在 自助服务组管理下,在“所有者可以在访问面板中管理组成员身份请求”旁,选择是。
- 选择“保存”。
创建一个组以分配到应用,并将用户设为所有者
- 至少以用户管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>群组>所有群组。
- 选择新建组。
- 在 “组类型”下,选择“ 安全性”。
- 键入组名称和组说明。
- 在 “成员身份类型”下,选择“ 已分配”。
- 选择“ 创建”,然后关闭 “组” 页。
- 在 “组 - 所有组 ”页上,打开组。
- 在“ 管理”下,选择“ 所有者>添加所有者”。 搜索需要管理应用程序访问权限的用户。 选择用户,然后选择 “选择”。
为应用配置自助服务功能,并将该组分配到该应用
至少以用户管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>企业应用。
在应用程序列表中,选择 “所有应用程序”,找到并打开该应用。
在“ 管理”下,选择 “单一登录”,并设置应用程序进行单一登录。 (有关详细信息,请参阅 如何管理企业应用的单一登录。
在“ 管理”下,选择 “自助服务”,并设置自助服务应用访问权限。 (有关详细信息,请参阅 如何使用自助服务应用访问。)
注释
对于设置应将分配的用户添加到哪个组?,请选择在上一部分中创建的组。
在“ 管理”下,选择“ 用户和组”,并验证创建的自助服务组是否显示在列表中。
若要将应用添加到组所有者的访问面板,请选择 “添加用户>用户和组”。 搜索组所有者并选择用户,选择 “选择”,然后选择“ 分配 ”以将用户添加到应用。
后续步骤
请参阅以下有关 Microsoft Entra B2B 协作的文章: