Вопрос или проблема
У меня есть несколько пользователей, которым нужен доступ к бэкэнду (либо через портал Azure, либо через новый центр администрирования Entra), но они не должны иметь возможность создавать новых пользователей.
Я дал им только роли “Читатель отчетов” и “Читатель журнала атрибутов” (им также нужно иметь возможность просматривать журналы входа и аудита)
В общих “Настройках пользователей” для моего арендатора, в разделе “Настройки внешнего сотрудничества”, я установил “Настройки приглашения гостей” на “Только пользователи, назначенные на определенные админские роли, могут приглашать гостей”.
Однако, когда пользователи входят, они все равно могут приглашать и массово приглашать пользователей:
Что я делаю не так?
Ответ или решение
Чтобы отключить функциональность "приглашения внешних пользователей" в вашем узле Azure Active Directory B2C, выполните следующие шаги:
-
Проверьте настройки приглашений гостей:
Вы уже сделали первый шаг — изменили настройки приглашений гостей. Убедитесь, что в разделе "Настройки пользователей" вашего арендодателя Azure AD B2C в "Настройках внешнего сотрудничества" параметр "Настройки приглашения гостей" установлен на "Только пользователи, назначенные конкретным административным ролям, могут приглашать пользователей-гостей". Это правильно. -
Роли пользователей:
Убедитесь, что вы действительно назначили правильные роли пользователям. Для ограничения доступа к функциональности приглашения пользователей, вам нужно убедиться, что у этих пользователей нет роли, которая позволяет приглашать гостей. Вам следует дать пользователю только такие роли, как Reports Reader и Attribute Log Reader, как вы указали. Однако, необходимо убедиться, что роли, которые позволяют приглашать пользователей, (например, Global Admin или User Administrator) не назначены. -
Проверка наследования ролей:
Иногда пользователи могут наследовать роли, которые позволяют приглашать пользователей, из групп или других учетных записей. Проверьте, не являются ли ваши пользователи участниками групп, которые имеют эти разрешения. Если они состоят в таких группах, удалите их из этих групп. -
Синхронизация изменений:
После того как настройки ролей были изменены, подождите некоторое время, так как изменения могут требовать времени для синхронизации с Azure AD. Также рекомендуется попросить пользователей выйти из системы и снова войти, чтобы обновить их сеансы и права. -
Консоль Azure и Entra Admin Center:
Если у вас все еще есть возможность приглашать пользователей после выполнения вышеупомянутых шагов, попробуйте проверить их доступ в обеих консолях — Azure Portal и Entra Admin Center. Убедитесь, что доступ к этим консольным функциям согласуется с заданными ролями. -
Документация и поддержка:
Если после выполнения всех этих шагов пользователи все еще могут приглашать гостей, возможно, стоит обратиться в службу поддержки Microsoft или ознакомиться с официальной документацией Azure AD B2C для получения более детальной информации.
Следуя этим шагам, вы сможете успешно отключить функциональность "приглашения внешних пользователей" в вашем арендодателе Azure AD B2C.