使用 Azure 门户向外部用户分配 Azure 角色
Azure 基于角色的访问控制 (RBAC) 可以为大型组织和中小型企业提供更好的安全管理,与中小企业合作的外部协作者、供应商或自由职业者需要访问你环境中的特定资源,但不一定需要访问整个基础架构或任何与计费相关的范围。 可以使用 Microsoft Entra B2B 中的功能与外部用户合作,并且可以使用 Azure RBAC 仅授予外部用户在你的环境中需要的权限。
先决条件
若要分配 Azure 角色或删除角色分配,必须满足以下条件:
Microsoft.Authorization/roleAssignments/write
和Microsoft.Authorization/roleAssignments/delete
权限,例如用户访问管理员或所有者
在什么情况下要邀请外部用户?
下面是一些你可能会将用户邀请到你的组织并向其授权的示例场景:
- 允许仅拥有电子邮件帐户的外部个体私营供应商访问项目的 Azure 资源。
- 允许外部合作伙伴管理某些资源或整个订阅。
- 允许组织外的支持工程师(如 Microsoft 支持部门)临时访问 Azure 资源,以解决问题。
成员用户与来宾用户之间的权限差异
默认情况下,具有成员类型的目录用户(成员用户)具有的权限不同于从另一个目录作为 B2B 协作来宾(来宾用户)邀请的用户。 例如,成员用户可以读取几乎所有目录信息,而来宾用户的目录权限则受限。 有关成员用户和来宾用户的详细信息,请参阅 Microsoft Entra ID 的默认用户权限是什么?。
邀请外部用户加入目录
按照以下步骤在 Microsoft Entra ID 中邀请外部用户加入目录。
登录 Azure 门户。
请确保组织的外部协作设置已配置为允许你邀请外部用户。 有关详细信息,请参阅配置外部协作设置。
选择“Microsoft Entra ID”>“用户”。
选择“新建用户”>“邀请外部用户”。
按照以下步骤邀请外部用户。 有关详细信息,请参阅在 Azure 门户中添加 Microsoft Entra B2B 协作用户。
邀请外部用户加入目录后,可以向外部用户发送指向共享应用的直接链接,或者外部用户可以选择邀请电子邮件中的接受邀请链接。
外部用户必须完成邀请过程才能访问你的目录。
有关邀请过程的详细信息,请参阅 Microsoft Entra B2B 协作邀请兑换。
向外部用户分配角色
在 Azure RBAC 中,若要授予访问权限,需分配一个角色。 若要向外部用户分配角色,需要执行与处理成员用户、组、服务主体或托管标识相同的步骤。 若要向不同范围的外部用户分配角色,请按以下步骤操作。
登录 Azure 门户。
在顶部的“搜索”框中,搜索要授权访问的范围。 例如,搜索“管理组”、“订阅”、“资源组”或某个特定资源 。
选择该范围的特定资源。
选择访问控制 (IAM)。
下面显示了资源组的“访问控制(IAM)”页的示例。
选择“角色分配”选项卡以查看此范围内的角色分配。
选择“添加”>“添加角色分配”。
如果你没有分配角色的权限,则添加角色分配选项将会禁用。
“添加角色分配”页面随即打开。
在“角色”选项卡中选择一个角色,例如“虚拟机参与者”。
在“成员”选项卡上,选择“用户、组或服务主体” 。
选择选择成员。
查找并选择外部用户。 如果没有在列表中看到用户,则可在“选择”框中键入相应内容,以便在目录中搜索显示名称或电子邮件地址。
可以在“选择”框中键入,以在目录中搜索显示名称或电子邮件地址。
选择“选择”,将外部用户添加到成员列表。
在“查看 + 分配”选项卡上,选择“查看 + 分配”。
稍等片刻,就会在所选范围为外部用户分配角色。
向目录中尚未包含的外部用户分配角色
若要向外部用户分配角色,需要执行与处理成员用户、组、服务主体或托管标识相同的步骤。
如果外部用户还不在你的目录中,则可直接从“选择成员”窗格邀请用户。
登录 Azure 门户。
在顶部的“搜索”框中,搜索要授权访问的范围。 例如,搜索“管理组”、“订阅”、“资源组”或某个特定资源 。
选择该范围的特定资源。
选择“访问控制(IAM)”。
选择“添加”>“添加角色分配”。
如果你没有分配角色的权限,则添加角色分配选项将会禁用。
“添加角色分配”页面随即打开。
在“角色”选项卡中选择一个角色,例如“虚拟机参与者”。
在“成员”选项卡上,选择“用户、组或服务主体” 。
选择选择成员。
在“选择”框中,键入要邀请的人员的电子邮件地址,然后选择该人员。
选择“选择”,将外部用户添加到成员列表。
在“查看 + 分配”选项卡上选择“查看 + 分配”,将外部用户添加到目录、分配角色并发送邀请。
过一会儿,你将看到有关角色分配的通知和有关邀请的信息。
若要手动邀请外部用户,请右键单击并复制通知中的邀请链接。 请勿选择该邀请链接,因为它会启动邀请过程。
邀请链接将采用以下格式:
https://login.partner.microsoftonline.cn/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...
将邀请链接发送给外部用户以完成邀请过程。
有关邀请过程的详细信息,请参阅 Microsoft Entra B2B 协作邀请兑换。
从目录中移除外部用户
在从目录中移除外部用户之前,应先移除该外部用户的所有角色分配。 安好以下步骤从目录中移除外部用户。
在外部用户具有角色分配的某个范围(例如管理组、订阅、资源组或资源)内打开“访问控制(IAM)”。
选择“角色分配”选项卡以查看所有角色分配。
在角色分配列表中,在具有要移除的角色分配的外部用户旁边添加一个复选标记。
选择“删除” 。
在显示的“移除角色分配”消息中,选择“是”。
选择“经典管理员”选项卡。
如果外部用户具有共同管理员分配,请在外部用户旁边添加复选标记,然后选择“移除”。
在左侧导航栏中,选择“Microsoft Entra ID”>“用户”。
选择要移除的外部用户。
选择“删除”。
在显示的“删除消息”中,选择“是”。
疑难解答
外部用户无法浏览目录
外部用户的目录权限受到限制。 例如,外部用户无法浏览目录,也无法搜索组或应用程序。 有关详细信息,请参阅 Microsoft Entra ID 的默认用户权限是什么?。
如果外部用户在目录中需要额外的权限,则可以向该外部用户分配 Microsoft Entra 角色。 如果确实希望外部用户对目录拥有完全读取访问权限,则可以在 Microsoft Entra ID 中将该外部用户添加到目录读取者角色。 有关详细信息,请参阅在 Azure 门户中添加 Microsoft Entra B2B 协作用户。
外部用户无法浏览用户、组或服务主体来分配角色
外部用户的目录权限受到限制。 即使外部用户是某个范围中的所有者,但如果他们尝试通过分配角色向他人授予访问权限,他们也无法浏览用户、组或服务主体的列表。
如果外部用户知道某人在目录中的确切登录名,则他们可以授予访问权限。 如果确实希望外部用户对目录拥有完全读取访问权限,则可以在 Microsoft Entra ID 中将该外部用户添加到目录读取者角色。 有关详细信息,请参阅在 Azure 门户中添加 Microsoft Entra B2B 协作用户。
外部用户无法注册应用程序或创建服务主体
外部用户的目录权限受到限制。 如果外部用户需要能够注册应用程序或创建服务主体,则可以在 Microsoft Entra ID 中将该外部用户添加到应用程序开发者角色。 有关详细信息,请参阅在 Azure 门户中添加 Microsoft Entra B2B 协作用户。
外部用户看不到新目录
如果已向外部用户授予了对某个目录的访问权限,但当他们尝试在其“目录”页面中切换时,他们看不到新目录在 Azure 门户中列出,请确保外部用户已完成邀请过程。 有关邀请过程的详细信息,请参阅 Microsoft Entra B2B 协作邀请兑换。
外部用户看不到资源
如果已向外部用户授予了对某个目录的访问权限,但他们在 Azure 门户中看不到自己有权访问的资源,请确保外部用户选择了正确的目录。 外部用户可能有权访问多个目录。 若要切换目录,请在左上方选择“设置”>“目录”,然后选择相应的目录。