适用于:
员工租户;
外部租户(了解详细信息)
将来宾用户添加到Microsoft Entra ID 中的目录后,应用程序所有者会将来宾用户发送指向他们想要共享的应用的直接链接。 Microsoft Entra 管理员还可以在其 Microsoft Entra 租户中设置面向库或基于 SAML 的应用的自助管理。 这样,即使来宾用户尚未添加到目录中,应用程序所有者也会管理其来宾用户。 为应用配置自助服务后,应用程序所有者可以使用访问面板邀请来宾用户访问应用,或将来宾用户添加到有权访问该应用的组中。
基于 SAML 的应用和库的自助服务应用管理需要管理员进行一些初始配置。请按照设置步骤的概述(有关更详细的说明,请参阅本页后面的 先决条件):
- 启用面向租户的自助服务组管理
- 创建要分配到应用的组,并将相应用户设为所有者
- 设置应用以实现自助服务,并将组分配到应用
注意
- 本文介绍如何设置自助服务管理,以管理你添加到 Microsoft Entra 租户中的库和基于 SAML 的应用。 还可以 设置自助服务Microsoft 365 个组 ,以便用户可以管理对其自己的Microsoft 365 组的访问权限。 有关用户可以与来宾用户共享 Office 文件和应用的更多方式,请参阅 Microsoft 365 组 和 SharePoint 文件或文件夹中的来宾访问。
- 如果用户具有“来宾邀请者”角色,则他们只能邀请来宾。
邀请某人加入有权访问该应用的组
为自助服务配置应用后,可以邀请来宾用户加入你管理的有权访问要共享的应用的组。 来宾用户无需预先存在于目录中。 应用程序所有者遵循以下步骤邀请来宾用户加入该组,以便能够访问该应用。
- 确认你是有权访问要共享的应用的自助服务组的所有者。
- 通过转到
https://myapps.microsoft.com来打开访问面板。 - 选择“组”应用。
- 在“我拥有的组”中,选择能够访问您要共享的应用的组。
- 在组成员列表顶部,选择 + 按钮。
- 在 “添加成员 搜索”框中,输入来宾用户的电子邮件地址。 (可选)包含一条欢迎消息。
- 选择“添加”,以自动向来宾用户发送邀请。 发送邀请后,该用户帐户将以来宾的形式自动添加到目录。
先决条件
自助服务应用管理需要Microsoft Entra 管理员设置一些初始设置。作为此设置的一部分,将应用配置为自助服务,并将组分配给应用程序所有者可以管理的应用。 还可以设置组以允许任何人请求成员身份,但需要组所有者的批准。 (详细了解 自助服务组管理。
注意
不能将来宾用户添加到动态用户组或与本地 Active Directory 同步的用户组中。
启用面向租户的自助服务组管理
- 以至少用户管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>组>所有组。
- 在“设置”下选择“常规”。
- 在“自助服务组管理”下的“所有者可以在访问面板中管理组成员身份请求”的旁边,选择“是”。
- 选择“保存”。
创建要分配到应用的组,并将相应用户设为所有者
- 以至少用户管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>组>所有组。
- 选择 “新建”组。
- 在“组类型”下,选择“安全性”。
- 输入组名称和组说明。
- 在“成员身份类型”下,选择“已分配”。
- 选择“创建”,并关闭“组”页。
- 在“组 - 所有组”页上,打开该组。
- 在“管理”下,选择“所有者”“添加所有者”。> 搜索应管理应用程序访问权限的用户。 选择用户,再选择“选择”。
为应用配置自助服务,并将该组分配给应用。
以至少用户管理员身份登录到 Microsoft Entra 管理中心。
转到 Entra ID>Enterprise 应用程序。
在应用程序列表中,选择 “所有应用程序”,找到并打开该应用。
在“ 管理”下,选择 “单一登录”,并设置应用程序进行单一登录。 (有关详细信息,请参阅 如何管理企业应用的单一登录。
在“管理”下,选择“自助服务”,然后设置自助服务应用访问权限。 (有关详细信息,请参阅 如何使用自助服务应用访问。)
注意
对于“应将已分配的用户添加到哪个组?”设置,请选择在上一部分创建的组。
在“管理”下,选择“用户和组”,并检查创建的自助服务组是否显示在列表中。
若要将应用添加到组所有者的访问面板,请选择“添加用户”“用户和组”。 搜索组所有者并选择用户,选择“选择”,然后选择“分配”,以将用户添加到应用。
后续步骤
请参阅以下有关 Microsoft Entra B2B 协作的文章: