Azure 基于角色的访问控制(Azure RBAC) 可为大型组织和与外部协作者、供应商或自由职业者合作的中小企业提供更好的安全管理,这些组织需要访问环境中的特定资源,但不一定能够访问整个基础结构或任何与计费相关的范围。 可以使用 Microsoft Entra B2B 中的功能与外部用户协作,并且可以使用 Azure RBAC 仅授予外部用户在你的环境中所需的权限。
先决条件
若要分配 Azure 角色或删除角色分配,必须具有:
-
Microsoft.Authorization/roleAssignments/write和Microsoft.Authorization/roleAssignments/delete权限,如 用户访问管理员 或 所有者
何时邀请外部用户?
下面是一些示例方案,可以邀请用户加入组织并授予权限:
- 允许仅通过电子邮件帐户进行身份验证的外部自由职业者访问项目的 Azure 资源。
- 允许外部合作伙伴管理某些资源或整个订阅。
- 允许不在您组织内的支持工程师(例如 Microsoft 支持)临时访问您的 Azure 资源以排查问题。
成员用户和来宾用户之间的权限差异
默认情况下,具有成员类型(成员用户)的目录的用户的权限不同于作为 B2B 协作来宾(来宾用户)从另一个目录邀请的用户。 例如,成员用户可以读取几乎所有的目录信息,而来宾用户具有受限的目录权限。 有关成员用户和来宾用户的详细信息,请参阅 Microsoft Entra ID 中的默认用户权限是什么?。
邀请外部用户加入目录
按照以下步骤将外部用户邀请到 Microsoft Entra ID 中的目录。
登录到 Azure 门户。
确保已配置组织的外部协作设置,以便允许邀请外部用户。 有关详细信息,请参阅 “配置外部协作设置”。
选择 Microsoft Entra ID>用户。
选择 “新建用户>邀请外部用户”。
按照步骤邀请外部用户。 有关详细信息,请参阅 在 Azure 门户中添加Microsoft Entra B2B 协作用户。
邀请外部用户加入目录后,可以将外部用户直接链接到共享应用,或者外部用户可以在邀请电子邮件中选择接受邀请链接。
要使外部用户能够访问目录,他们必须完成邀请过程。
有关邀请过程的详细信息,请参阅 Microsoft Entra B2B 协作邀请兑换。
向外部用户分配角色
在 Azure RBAC 中,若要授予访问权限,请分配角色。 若要向外部用户分配角色,请遵循与成员用户、组、服务主体或托管标识 相同的步骤 。 按照以下步骤将角色分配给不同范围内的外部用户。
登录到 Azure 门户。
在顶部的“搜索”框中,搜索要授予对其的访问权限的范围。 例如,搜索“管理组”、“订阅”、“资源组”或某个特定资源。
选择该范围的特定资源。
选择“访问控制(IAM)”。
下面显示了资源组的“访问控制(IAM)”页的示例。
选择“角色分配”选项卡以查看此范围内的角色分配。
选择添加>添加角色分配。
如果没有分配角色的权限,将禁用 “添加角色分配 ”选项。
此时会打开 “添加角色分配 ”页。
在“ 角色 ”选项卡上,选择 虚拟机参与者等角色。
在“ 成员 ”选项卡上,选择“ 用户”、“组”或服务主体。
选择“选择成员”。
查找并选择外部用户。 如果未在列表中看到用户,则可以在 “选择 ”框中键入以搜索目录查找显示名称或电子邮件地址。
可以在“选择”框中键入,以在目录中搜索显示名称或电子邮件地址。
选择 “选择 ”以将外部用户添加到“成员”列表。
在“ 审阅 + 分配 ”选项卡上,选择“ 审阅 + 分配”。
片刻之后,外部用户将在所选范围内被分配角色。
向尚未在目录中的外部用户分配角色
若要向外部用户分配角色,请遵循与成员用户、组、服务主体或托管标识 相同的步骤 。
如果外部用户尚不在目录中,可以直接从“选择成员”窗格中邀请用户。
登录到 Azure 门户。
在顶部的“搜索”框中,搜索要授予对其的访问权限的范围。 例如,搜索“管理组”、“订阅”、“资源组”或某个特定资源。
选择该范围的特定资源。
选择“访问控制(IAM)”。
选择添加>添加角色分配。
如果没有分配角色的权限,将禁用 “添加角色分配 ”选项。
此时会打开 “添加角色分配 ”页。
在“ 角色 ”选项卡上,选择 虚拟机参与者等角色。
在“ 成员 ”选项卡上,选择“ 用户”、“组”或服务主体。
选择“选择成员”。
在 “选择 ”框中,键入要邀请的人员的电子邮件地址,然后选择该人员。
选择 “选择 ”以将外部用户添加到“成员”列表。
在“ 审阅 + 分配 ”选项卡上,选择“ 审阅 + 分配 ”以将外部用户添加到目录、分配角色并发送邀请。
片刻之后,你将看到角色分配的通知以及有关邀请的信息。
若要手动邀请外部用户,请右键单击并复制通知中的邀请链接。 不要选择邀请链接,因为它会启动邀请过程。
邀请链接的格式如下:
https://login.partner.microsoftonline.cn/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...将邀请链接发送给外部用户以完成邀请过程。
有关邀请过程的详细信息,请参阅 Microsoft Entra B2B 协作邀请兑换。
从目录中删除外部用户
在从目录中删除外部用户之前,应首先删除该外部用户的任何角色分配。 按照以下步骤从目录中删除外部用户。
在范围(例如管理组、订阅、资源组或资源)上打开 访问控制(IAM), 其中外部用户具有角色分配。
选择 “角色分配 ”选项卡以查看所有角色分配。
在角色分配列表中,勾选要删除角色分配的外部用户旁边的复选框。
选择“删除”。
在显示的“删除角色分配”消息中,选择“ 是”。
选择“经典管理员”选项卡。
如果外部用户具有 Co-Administrator 分配,请在外部用户旁边添加勾选标记,然后选择“ 删除”。
在左侧导航栏中,选择 Microsoft Entra ID>用户。
选择要删除的外部用户。
选择 删除。
在显示的删除消息中,选择“ 是”。
Troubleshoot
外部用户无法浏览目录
外部用户具有受限的目录权限。 例如,外部用户无法浏览目录,也无法搜索组或应用程序。 有关详细信息,请参阅Microsoft Entra ID 中的默认用户权限是什么?
如果外部用户需要目录中的其他权限,可以将Microsoft Entra 角色分配给外部用户。 如果确实希望外部用户拥有对目录的完全读取访问权限,则可以将外部用户添加到 Microsoft Entra ID 中的 目录读取者 角色。 有关详细信息,请参阅 在 Azure 门户中添加Microsoft Entra B2B 协作用户。
外部用户无法浏览用户、组或服务主体来分配角色
外部用户具有受限的目录权限。 即使外部用户是某个范围内的 所有者 ,如果他们尝试分配角色来授予其他人访问权限,他们也无法浏览用户、组或服务主体的列表。
如果外部用户知道某人在目录中的确切登录名称,他们可以授予访问权限。 如果确实希望外部用户拥有对目录的完全读取访问权限,则可以将外部用户添加到 Microsoft Entra ID 中的 目录读取者 角色。 有关详细信息,请参阅 在 Azure 门户中添加Microsoft Entra B2B 协作用户。
外部用户无法注册应用程序或创建服务主体
外部用户具有受限的目录权限。 如果外部用户需要能够注册应用程序或创建服务主体,则可以将外部用户添加到 Microsoft Entra ID 中的 应用程序开发人员 角色。 有关详细信息,请参阅 在 Azure 门户中添加Microsoft Entra B2B 协作用户。
外部用户看不到新目录
如果已向外部用户授予对目录的访问权限,但在尝试在 目录页中 切换时,他们看不到 Azure 门户中列出的新目录,请确保外部用户已完成邀请过程。 有关邀请过程的详细信息,请参阅 Microsoft Entra B2B 协作邀请兑换。
外部用户看不到资源
如果已向外部用户授予对目录的访问权限,但看不到他们在 Azure 门户中被授予其访问权限的资源,请确保外部用户选择了正确的目录。 外部用户可能有权访问多个目录。 若要切换目录,请在左上角选择“设置>”,然后选择相应的目录。
