Tyto nejčastější dotazy týkající se spolupráce Microsoft Entra business-to-business (B2B) se pravidelně aktualizují, aby zahrnovala nová témata.
Důležité
- Od 4. ledna 2021 přestane Google podporovat přihlášení k WebView. Pokud používáte federaci Google nebo samoobslužnou registraci s Gmailem, měli byste otestovat kompatibilitu aplikací nativních pro firmy.
- Funkce jednorázového hesla e-mailu je teď ve výchozím nastavení zapnutá pro všechny nové tenanty a pro všechny stávající tenanty, u kterých jste ho explicitně nevypínali. Když je tato funkce vypnutá, je metodou náhradního ověřování výzva pozvat k vytvoření účtu Microsoft.
Můžeme přizpůsobit přihlašovací stránku, aby byla pro uživatele typu host spolupráce B2B intuitivnější?
Naprosto, informace o tom, jak přizpůsobit přihlašovací stránku vaší organizace, najdete v tématu Přidání firemního brandingu pro přihlášení a Přístupový panel stránky.
Můžou uživatelé spolupráce B2B přistupovat k SharePointu Online a OneDrivu?
Ano. Možnost vyhledávat stávající uživatele typu host v SharePointu Online pomocí nástroje pro výběr osob je ve výchozím nastavení vypnutá . Pokud chcete zapnout možnost hledání stávajících uživatelů typu host, nastavte Možnost Zobrazit Lidé PickerSuggestionsForGuestUsers na Zapnuto. Toto nastavení můžete zapnout na úrovni tenanta nebo na úrovni kolekce webů. Toto nastavení můžete změnit pomocí rutin Set-SPOTenant a Set-SPOSite. Pomocí těchto rutin můžou členové prohledávat všechny stávající uživatele typu host v adresáři. Změny v oboru tenanta nemají vliv na weby SharePointu Online, které už byly zřízeny.
Mají uživatelé spolupráce B2B přístup k obsahu Power BI?
Ano, obsah Power BI můžete distribuovat externím uživatelům typu host pomocí spolupráce B2B. Pokud chcete sdílet obsah Power BI mezi cloudy Microsoftu, můžete pomocí nastavení cloudu Microsoftu vytvořit vzájemnou spolupráci B2B mezi cloudem a externím cloudem.
Je funkce nahrávání CSV stále podporovaná?
Ano. Další informace o použití funkce pro nahrání souboru .csv najdete v této ukázce PowerShellu.
Jak si můžu přizpůsobit e-maily s pozvánkou?
Pomocí rozhraní API pro pozvání B2B můžete přizpůsobit téměř všechno o procesu pozvaných uživatelů.
Můžou uživatelé typu host resetovat metodu vícefaktorového ověřování?
Ano. Uživatelé typu host můžou resetovat metodu vícefaktorového ověřování stejným způsobem jako běžní uživatelé.
Která organizace zodpovídá za vícefaktorové ověřovací licence?
Zvaná organizace provádí vícefaktorové ověřování. Pozvaná organizace musí zajistit, aby organizace má dostatek licencí pro uživatele B2B, kteří používají vícefaktorové ověřování.
Co když už má partnerová organizace nastavené vícefaktorové ověřování? Můžeme důvěřovat jejich vícefaktorovým ověřováním?
Nastavení přístupu mezi tenanty umožňují důvěřovat vícefaktorovým ověřováním a deklaracím zařízení (kompatibilní deklarace identity a deklarace identity hybridního připojení Microsoft Entra) z jiných organizací Microsoft Entra.
Kolik organizací můžu přidat do nastavení přístupu mezi tenanty?
Nastavení přístupu mezi tenanty jsou zásady v adresáři, ve které se ukládají vaše nastavení pro spolupráci s jinými organizacemi. Tento soubor zásad má limit velikosti 25 kB a po dosažení maximálního limitu není možné provést žádné další organizace ani změny, které by dále zvětšily velikost souboru. Vzhledem k tomu, jak ukládáme obsah v této zásadě, neexistuje žádný definovaný limit pro organizace, které můžete přidat do nastavení přístupu mezi tenanty. Pokud potřebujete nastavení použít u velkého počtu organizací, doporučujeme tato nastavení implementovat jako výchozí nastavení. Postupujte podle kroků k výpočtu aktuální velikosti zásad a zjistěte, jestli se blížíte dosažení limitu velikosti souboru 25 kB.
Jak můžu používat zpožděné pozvánky?
Organizace může chtít přidat uživatele pro spolupráci B2B, zřídit je v aplikacích podle potřeby a pak poslat pozvánky. K přizpůsobení pracovního postupu připojování můžete použít rozhraní API pro pozvání na spolupráci B2B.
Můžu uživatele typu host zobrazit v globálním adresáři Exchange?
Ano. Ve výchozím nastavení se objekty hostů nezobrazují v globálním adresáři vaší organizace, ale můžete je zviditelnit. Podrobnosti najdete v tématu Přidání hostů do globálního adresáře v článku o přístupu hosta microsoftu 365 pro jednotlivé skupiny.
Můžu nastavit uživatele typu host jako omezeného správce?
Jistě. Další informace najdete v tématu Přidání uživatelů typu host do role.
Umožňuje spolupráce Microsoft Entra B2B uživatelům B2B přístup do Centra pro správu Microsoft Entra?
Pokud uživatel nemá přiřazenou roli omezeného správce, uživatelé spolupráce B2B nebudou vyžadovat přístup k Centru pro správu Microsoft Entra. Uživatelé spolupráce B2B, kteří mají přiřazenou roli omezeného správce, ale mají přístup k portálu. Pokud navíc uživatel typu host, který nemá přiřazenou některou z těchto rolí správce, přistupuje k portálu, může mít přístup k určitým částem prostředí. Role uživatele typu host má v adresáři určitá oprávnění.
Můžu zablokovat přístup k Centru pro správu Microsoft Entra pro uživatele typu host?
Ano, můžete vytvořit zásadu podmíněného přístupu, která blokuje přístup uživatelů typu host do Centra pro správu nebo portálu. Při konfiguraci zásad podmíněného přístupu máte podrobnou kontrolu nad typy externích uživatelů, na které chcete zásadu použít. Při konfiguraci této zásady buďte opatrní, abyste zabránili náhodnému blokování přístupu členů a správců. Přečtěte si další informace o podmíněném přístupu pro externí uživatele.
Podporuje spolupráce Microsoft Entra B2B vícefaktorové ověřování a e-mailové účty uživatelů?
Ano. Spolupráce Microsoft Entra B2B podporuje vícefaktorové ověřování i e-mailové účty uživatelů.
Podporujete resetování hesel pro uživatele spolupráce Microsoft Entra B2B?
Pokud je vaším tenantem Microsoft Entra domovský adresář uživatele, můžete resetovat heslo uživatele z Centra pro správu Microsoft Entra. Nemůžete však přímo resetovat heslo uživatele typu host, který se přihlašuje pomocí účtu spravovaného v jiném adresáři Microsoft Entra nebo externím zprostředkovatelem identit. Heslo může resetovat pouze uživatel typu host nebo správce v domovském adresáři uživatele. Tady je několik příkladů fungování resetování hesla pro uživatele typu host:
Uživatelé typu host v tenantovi Microsoft Entra, kteří jsou označeni jako Host (UserType==Guest), se nemůžou zaregistrovat pro SSPR prostřednictvím https://aka.ms/ssprsetup. Tento typ uživatele typu host může provádět pouze samoobslužné resetování hesla prostřednictvím https://aka.ms/sspr.
Uživatelé typu host, kteří se přihlašují pomocí účtu Microsoft (například guestuser@live.com) můžou resetovat svá vlastní hesla pomocí samoobslužného resetování hesla účtu Microsoft (SSPR). Přečtěte si, jak resetovat heslo k účtu Microsoft.
Uživatelé typu host, kteří se přihlašují pomocí účtu Google nebo jiného externího zprostředkovatele identity, můžou resetovat vlastní hesla pomocí metody SSPR zprostředkovatele identity. Uživatel typu host s účtem guestuser@gmail.com Google může například resetovat heslo podle pokynů v části Změna nebo resetování hesla.
Pokud je tenant identity za běhu (JIT) nebo "virální" tenant (což znamená, že se jedná o samostatného nespravovaného tenanta Azure), může si heslo resetovat jenom uživatel typu host. Organizace někdy převezme správu virálních tenantů , které se vytvoří, když zaměstnanci používají své pracovní e-mailové adresy k registraci služeb. Jakmile organizace převezme virální tenanta, může resetovat heslo uživatele nebo povolit samoobslužné resetování hesla jenom správce v této organizaci. V případě potřeby můžete jako zvanou organizaci odebrat uživatelský účet typu host z adresáře a znovu odeslat pozvánku.
Pokud je domovský adresář uživatele typu host vaším tenantem Microsoft Entra, můžete resetovat heslo uživatele. Mohli jste například vytvořit uživatele nebo synchronizovat uživatele z vašeho místní Active Directory a nastavit typ uživatele na host. Vzhledem k tomu, že se tento uživatel nachází ve vašem adresáři, můžete resetovat heslo z Centra pro správu Microsoft Entra.
Poskytuje Microsoft Dynamics 365 online podporu pro spolupráci Microsoft Entra B2B?
Ano, Dynamics 365 (online) podporuje spolupráci Microsoft Entra B2B. Další informace najdete v článku Dynamics 365 Pozvání uživatelů pomocí spolupráce Microsoft Entra B2B.
Jaká je životnost počátečního hesla pro nově vytvořeného uživatele pro spolupráci B2B?
Id Microsoft Entra má pevnou sadu znaků, síly hesla a požadavků na uzamčení účtu, které platí stejně pro všechny uživatelské účty Microsoft Entra cloud. Cloudové uživatelské účty jsou účty, které nejsou federované s jiným zprostředkovatelem identity, například
- Účet Microsoft
- Active Directory Federation Services
- Jiný cloudový tenant (pro spolupráci B2B)
Zásady hesel pro federované účty závisí na zásadách, které se použijí v místních tenantech, a na nastavení účtu Microsoft uživatele.
Organizace může chtít mít ve svých aplikacích různá prostředí pro uživatele tenanta a uživatele typu host. Existují pro to standardní pokyny? Je přítomnost zprostředkovatele identity deklarována správným modelem, který se má použít?
Uživatel typu host může k ověření použít libovolného zprostředkovatele identity. Další informace naleznete v tématu Vlastnosti uživatele spolupráce B2B. K určení uživatelského prostředí použijte vlastnost UserType. Deklarace identity UserType není aktuálně součástí tokenu. Aplikace by měly k dotazování adresáře pro uživatele použít rozhraní Microsoft Graph API a získat typ uživatele.
Kde najdu komunitu pro spolupráci B2B, kde můžu sdílet řešení a odesílat nápady?
Neustále nasloucháme vašim názorům, abychom zlepšili spolupráci B2B. Podělte se o své uživatelské scénáře, osvědčené postupy a o tom, co se vám líbí při spolupráci Microsoft Entra B2B. Připojte se k diskuzi v technické komunitě Microsoftu.
Také vás zveme, abyste odeslali své nápady a hlasovali pro budoucí funkce v B2B Collaboration Ideas.
Můžeme poslat pozvánku, která se automaticky uplatní, aby byl uživatel právě připravený k přechodu? Nebo musí uživatel vždy kliknout na adresu URL uplatnění?
Ostatní uživatele v partnerské organizaci můžete pozvat pomocí uživatelského rozhraní, skriptů PowerShellu nebo rozhraní API. Pak můžete uživateli typu host poslat přímý odkaz na sdílenou aplikaci. Ve většině případů už není potřeba otevřít e-mailovou pozvánku a kliknout na adresu URL pro uplatnění. Podívejte se na uplatnění pozvánky na spolupráci Microsoft Entra B2B.
Jak spolupráce B2B funguje, když pozvaný partner používá federaci k přidání vlastního místního ověřování?
Pokud má partner tenanta Microsoft Entra, který je federovaný s místní infrastrukturou ověřování, místní jednotné přihlašování (SSO) se automaticky dosáhne. Pokud partner nemá tenanta Microsoft Entra, vytvoří se pro nové uživatele účet Microsoft Entra.
Může být místní účet Azure AD B2C pozván do tenanta Microsoft Entra pro spolupráci B2B?
Ne. Místní účet Azure AD B2C se dá použít jenom k přihlášení k tenantovi Azure AD B2C. Účet se nedá použít k přihlášení k tenantovi Microsoft Entra. Pozvání místního účtu Azure AD B2C do tenanta Microsoft Entra pro spolupráci B2B se nepodporuje.
Jaké aplikace a služby podporují uživatele typu host Azure B2B?
Všechny integrované aplikace Microsoft Entra můžou podporovat uživatele typu host Azure B2B, ale musí používat koncový bod nastavený jako tenant k ověřování uživatelů typu host. Je také možné, že budete muset přizpůsobit deklarace identity v tokenu SAML vydaném při ověření uživatele typu host v aplikaci.
Můžeme vynutit vícefaktorové ověřování pro uživatele typu host B2B, pokud naši partneři nemají vícefaktorové ověřování?
Ano. Další informace najdete v tématu Podmíněný přístup pro uživatele spolupráce B2B.
V SharePointu můžete definovat seznam "povolit" nebo "odepřít" externím uživatelům. Můžeme to udělat v Azure?
Ano. Spolupráce Microsoft Entra B2B podporuje seznamy povolených a blokovaných seznamů.
Jaké licence potřebujeme používat Microsoft Entra B2B?
Informace o tom, jaké licence potřebuje vaše organizace používat Microsoft Entra B2B, najdete v tématu Ceny externích ID.
Co se stane, když pozvem uživatele, jehož e-mail a hlavní název uživatele se neshoduje?
To záleží na okolnostech. Ve výchozím nastavení microsoft Entra-only povoluje hlavní názvu uživatele (UPN) pro přihlašovací ID. Když jsou hlavní název uživatele (UPN) a e-maily stejné, fungují pozvánky Microsoft Entra B2B a následné přihlášení podle očekávání. K problémům ale může dojít, když se e-mail uživatele a hlavní název uživatele (UPN) neshodují a místo hlavního názvu uživatele (UPN) se použije k přihlášení. Když je uživatel pozván s e-mailem bez hlavního názvu uživatele (UPN), bude moct pozvánku uplatnit, pokud uplatní pomocí odkazu na e-mailovou pozvánku, ale uplatnění prostřednictvím přímého odkazu se nezdaří. I když ale uživatel pozvánku úspěšně uplatní, následné pokusy o přihlášení pomocí e-mailu bez hlavního názvu uživatele (UPN) selžou, pokud není nakonfigurované zprostředkovatele identity (MICROSOFT Entra ID nebo federovaného zprostředkovatele identity), aby se e-mail povolil jako alternativní přihlašovací ID. Tento problém může zmírnit:
- Povolení e-mailu jako alternativního přihlašovacího ID v tenantovi Microsoft Entra pozvané nebo domovské
- Povolení zprostředkovatele federované identity k podpoře e-mailu jako přihlašovacího ID (pokud je ID Microsoft Entra federované k jinému zprostředkovateli identity) nebo
- Pokyn uživateli, aby uplatnil/přihlásil pomocí hlavního názvu uživatele (UPN).
Aby se tomuto problému vyhnuli úplně, měli by správci zajistit, aby hlavní název uživatele a e-maily měly stejnou hodnotu.
Poznámka:
Pozvánky a uplatnění, které se odesílají napříč cloudy Microsoftu, musí používat hlavní název uživatele (UPN). E-mail není v tuto chvíli podporován. Pokud je například uživatel z tenanta státní správy USA pozván na komerčního tenanta, musí být uživatel pozván pomocí hlavního názvu uživatele (UPN).
Okamžité: Co může způsobit latenci replikace?
V tocích spolupráce B2B přidáváme uživatele do adresáře a dynamicky je aktualizujeme během procesu uplatnění pozvánky, přiřazení aplikace atd. Aktualizace a zápisy obvykle probíhají v jedné instanci adresáře a musí se replikovat napříč všemi instancemi. Replikace se dokončí po aktualizaci všech instancí. Někdy, když je objekt zapsán nebo aktualizován v jedné instanci a volání pro načtení tohoto objektu je do jiné instance, může dojít k latencím replikace. Pokud k tomu dojde, aktualizujte nebo zkuste pomoct. Pokud píšete aplikaci pomocí našeho rozhraní API, opakování s určitými opakováními je dobrým defenzivním postupem, jak tento problém zmírnit.