Pozvání interních uživatelů ke spolupráci B2B

  • Článek

Před dostupností spolupráce Microsoft Entra B2B mohou organizace spolupracovat s distributory, dodavateli, dodavateli a dalšími uživateli typu host nastavením interních přihlašovacích údajů pro ně. Pokud máte takové interní uživatele typu host, můžete je pozvat, aby místo toho používali spolupráci B2B. Tito uživatelé typu host B2B se budou moct přihlásit pomocí vlastních identit a přihlašovacích údajů, což eliminuje potřebu údržby hesel nebo správy životního cyklu účtu.

Odeslání pozvánky k existujícímu internímu účtu vám umožní zachovat ID objektu uživatele, hlavní název uživatele (UPN), členství ve skupinách a přiřazení aplikací. Nemusíte ručně odstraňovat a znovu pozvat uživatele nebo znovu přiřaďte prostředky. Pokud chcete uživatele pozvat, použijete rozhraní API pozvánky k předání interního objektu uživatele i e-mailové adresy uživatele typu host spolu s pozvánkou. Když uživatel přijme pozvánku, služba B2B změní existující interní objekt uživatele na uživatele B2B. V budoucnu se uživatel musí přihlásit ke službám cloudových prostředků pomocí svých přihlašovacích údajů B2B.

Aspekty, které je třeba zvážit

  • Přístup k místním prostředkům: Jakmile je uživatel pozván na spolupráci B2B, může k přístupu k místním prostředkům dál používat své interní přihlašovací údaje. Můžete tomu zabránit resetováním nebo změnou hesla v interním účtu. Výjimkou je jednorázové ověřování hesla e-mailem; Pokud se metoda ověřování uživatele změní na jednorázové heslo, nebude už moct používat svoje interní přihlašovací údaje.

  • Fakturace: Tato funkce nemění hodnotu UserType pro uživatele, takže se automaticky nepřepne fakturační model uživatele na ceny externího ID za měsíční aktivního uživatele (MAU). Chcete-li aktivovat ceny MAU pro uživatele, změňte userType pro uživatele na guest. Upozorňujeme také, že váš tenant Microsoft Entra musí být propojený s předplatným Azure, aby se aktivoval fakturace MAU.

  • Pozvánka je jednosměrná: Můžete pozvat interní uživatele, aby používali spolupráci B2B, ale po přidání nemůžete odebrat přihlašovací údaje B2B. Pokud chcete uživatele změnit zpět na interního uživatele, musíte odstranit objekt uživatele a vytvořit nový.

  • Teams: Když uživatel přistupuje k Teams pomocí svých externích přihlašovacích údajů, jeho tenant nebude zpočátku k dispozici ve výběru tenanta Teams. Uživatel má přístup k Teams pomocí adresy URL, která obsahuje kontext tenanta, například: https://teams.microsoft.com/?tenantId=<TenantId>. Potom se tenant zpřístupní ve výběru tenanta Teams.

  • Místní synchronizovaní uživatelé: U uživatelských účtů, které se synchronizují mezi místním prostředím a cloudem, zůstane místní adresář zdrojem autority po pozvání k použití spolupráce B2B. Všechny změny provedené v místním účtu se budou synchronizovat s cloudovým účtem, včetně zakázání nebo odstranění účtu. Proto nemůžete zabránit tomu, aby se uživatel přihlásil ke svému místnímu účtu při zachování svého cloudového účtu jednoduše odstraněním místního účtu. Místo toho můžete nastavit heslo místního účtu na náhodný identifikátor GUID nebo jinou neznámou hodnotu.

Poznámka:

V Microsoft Entra Připojení Sync existuje výchozí pravidlo, které zapisuje atribut onPremisesUserPrincipalName objektu uživatele. Vzhledem k tomu, že přítomnost tohoto atributu může zabránit uživateli v přihlášení pomocí externích přihlašovacích údajů, blokujeme interní převody na externí objekty uživatele s tímto atributem. Pokud používáte Microsoft Entra Připojení a chcete mít možnost pozvat interní uživatele ke spolupráci B2B, budete muset upravit výchozí pravidlo tak, aby atribut onPremisesUserPrincipalName nebyl zapsán do objektu uživatele.

Jak pozvat interní uživatele ke spolupráci B2B

K odeslání pozvánky internímu uživateli můžete použít Centrum pro správu Microsoft Entra, PowerShell nebo rozhraní API pozvánky B2B. Několik věcí, které si poznamenejte:

  • Než uživatele pozvete, ujistěte se, že User.Mail je vlastnost interního objektu uživatele (vlastnost E-mail uživatele v Centru pro správu Microsoft Entra) nastavená na externí e-mailovou adresu, kterou bude používat pro spolupráci B2B. Pokud má interní uživatel existující poštovní schránku, nemůžete tuto vlastnost změnit na externí e-mailovou adresu. Je nutné aktualizovat jejich atributy v Centru pro správu Exchange.

  • Když uživatele pozvete, odešle se uživateli pozvánka e-mailem. Pokud používáte PowerShell nebo rozhraní API pro pozvání, můžete tento e-mail potlačit nastavením SendInvitationMessage na False. Pak můžete uživatele upozornit jiným způsobem. Přečtěte si další informace o rozhraní API pro pozvánky.

  • Když uživatel pozvánku uplatní, musí účet, který používá, odpovídat doméně User.Mail ve vlastnosti. Jinak některé služby, například Teams, nebudou moct ověřit uživatele.

Odeslání pozvánky B2B pomocí Centra pro správu Microsoft Entra

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce externího zprostředkovatele identity.

  2. Přejděte do části Identita>Uživatelé>Všichni uživatelé.

  3. Najděte uživatele v seznamu nebo použijte vyhledávací pole. Pak vyberte uživatele.

  4. Na kartě Přehled v části Můj informační kanál vyberte Převést na externího uživatele.

    Snímek obrazovky s kartou Přehled profilu uživatele a kartou spolupráce B2B

    Poznámka:

    Pokud se na kartě zobrazí zpráva "Znovu odeslat pozvánku tohoto uživatele B2B nebo obnovit svůj stav uplatnění". Uživatel už byl pozván k používání externích přihlašovacích údajů pro spolupráci B2B.

  5. Přidejte externí e-mailovou adresu a vyberte Odeslat.

    Snímek obrazovky znázorňující stránku převést na externího uživatele

    Poznámka:

    Pokud je tato možnost nedostupná, ujistěte se, že je vlastnost e-mailu uživatele nastavená na externí e-mailovou adresu, kterou by měl použít pro spolupráci B2B.

  6. Zobrazí se potvrzovací zpráva a uživateli se odešle pozvánka e-mailem. Uživatel pak může pozvánku uplatnit pomocí svých externích přihlašovacích údajů.

Odeslání pozvánky B2B pomocí PowerShellu

Budete potřebovat nejnovější modul Microsoft Graph PowerShellu. Pomocí následujícího příkazu aktualizujte na nejnovější modul a pozvěte interního uživatele ke spolupráci B2B:

Update-Module Microsoft.Graph
Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee' 
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapplications.microsoft.com" -InvitedUser $msGraphUser

Odeslání pozvánky B2B pomocí rozhraní API pozvánky

Následující ukázka ukazuje, jak volat rozhraní API pozvánky k pozvání interního uživatele jako uživatele B2B.

POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
ContentType: application/json
{
    "invitedUserEmailAddress": "<<external email>>",
    "sendInvitationMessage": true,
    "invitedUserMessageInfo": {
        "messageLanguage": "en-US",
        "ccRecipients": [
            {
                "emailAddress": {
                    "name": null,
                    "address": "<<optional additional notification email>>"
                }
            }
        ],
        "customizedMessageBody": "<<custom message>>"
    },
    "inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=",
    "invitedUser": {
        "id": "<<ID for the user you want to convert>>"
    }
}

Odpověď na rozhraní API je stejná odpověď, kterou získáte, když do adresáře pozvete nového uživatele typu host.

Další kroky