Estas preguntas frecuentes (P+F) sobre la colaboración de empresa a empresa (B2B) de Microsoft Entra se actualizan periódicamente para incluir nuevos temas.
Importante
- A partir del 4 de enero de 2021, Google retiró la compatibilidad con el inicio de sesión en WebView. Si usa la federación de Google o el registro de autoservicio con Gmail, debería probar la compatibilidad de las aplicaciones nativas de línea de negocio.
- La característica de código de acceso de un solo uso por correo electrónico ahora está activada de manera predeterminada para todos los inquilinos nuevos y para los existentes en los que no se haya desactivado explícitamente. Cuando esta característica está desactivada, el método de autenticación de reserva consiste en solicitar invitaciones para crear una cuenta Microsoft.
¿Se puede personalizar la página de inicio de sesión de forma que resulte más intuitiva para los usuarios invitados a la colaboración B2B?
Absolutamente, para obtener información sobre cómo personalizar la página de inicio de sesión de la organización, vea Agregar personalización de marca de empresa para iniciar sesión y páginas del Panel de acceso.
¿Pueden acceder los usuarios de colaboración B2B a SharePoint Online y OneDrive?
Sí. Sin embargo, la capacidad de buscar usuarios invitados existentes en SharePoint Online mediante el uso del selector de personas está desactivada. Para activar la opción de búsqueda de usuarios invitados existentes, establezca ShowPeoplePickerSuggestionsForGuestUsers en Activado. Esta configuración se puede activar en el nivel del inquilino o en el nivel de colección de sitios. Esta configuración se puede cambiar mediante los cmdlets Set-SPOTenant y SPOSite. Con estos cmdlets, los miembros pueden buscar todos los usuarios invitados existentes en el directorio. Los cambios en el ámbito del inquilino no afectan a los sitios de SharePoint Online que ya se han aprovisionado.
¿Pueden los usuarios de colaboración B2B acceder al contenido de Power BI?
Sí, puede distribuir contenido de Power BI a usuarios invitados externos mediante la colaboración B2B. Para compartir contenido de Power BI en nubes de Microsoft, puede usar la configuración de la nube de Microsoft para establecer la colaboración mutua B2B entre la nube y una nube externa.
¿Aún se admite la característica de carga de CSV?
Sí. Para más información acerca de cómo utilizar la característica de carga de archivos .csv, vea este ejemplo de PowerShell.
¿Cómo puedo personalizar mis correos electrónicos de invitación?
Mediante las API de invitación de B2B puede personalizar casi todos los elementos del proceso del invitador.
¿Pueden restablecer los usuarios invitados su método de autenticación multifactor?
Sí. Los usuarios invitados pueden restablecer su método de autenticación multifactor de la misma manera que los usuarios normales.
¿Qué organización es la responsable de las licencias de Multi-Factor Authentication?
La organización que invita realiza la autenticación multifactor. La organización que invita debe asegurarse de que la organización tenga suficientes licencias para sus usuarios B2B que utilizan Multi-Factor Authentication.
¿Qué ocurre si una organización asociada ya tiene Multi-Factor Authentication configurado? ¿Podemos confiar en su autenticación multifactor?
Configuración de acceso entre inquilinos le permite confiar en la autenticación multifactor y las notificaciones de dispositivo (notificaciones compatibles y las notificaciones combinadas híbridas de Microsoft Entra) de otras organizaciones de Microsoft Entra.
¿Cuántas organizaciones puedo agregar en la configuración de acceso entre inquilinos?
La configuración de acceso entre inquilinos es una directiva del directorio que almacena la configuración sobre cómo colaborar con otras organizaciones. Este archivo de directiva tiene un límite de tamaño de 25 kb y, una vez que se alcanza el máximo, no se pueden agregar organizaciones ni realizar cambios adicionales que aumenten aún más el tamaño del archivo. Debido a cómo almacenamos el contenido en esta directiva, no hay ningún límite definido de organizaciones que puede agregar en la configuración de acceso entre inquilinos. Si necesita aplicar la configuración a un gran número de organizaciones, se recomienda implementar esa configuración como configuración predeterminada. Siga los pasos para calcular el tamaño actual de la directiva y determinar si está cerca de alcanzar el límite de tamaño de archivo de 25 kb.
¿Cómo se usan las invitaciones diferidas?
Algunas organizaciones pueden desear agregar usuarios de colaboración B2B, aprovisionarlos en las aplicaciones cuando sea necesario y, luego, enviar las invitaciones. Puede usar la API de invitación de colaboración B2B para personalizar el flujo de trabajo de incorporación.
¿Puedo hacer visibles a los usuarios invitados en la lista global de direcciones de Exchange?
Sí. De forma predeterminada, los objetos invitados no son visibles en la lista global de direcciones de su organización, pero puede hacer que sean visibles. Para obtener más información, consulte Incorporación de invitados a la lista global de direcciones en el artículo sobre el acceso de invitado por grupo en Microsoft 365.
¿Puedo hacer que un usuario invitado sea un administrador limitado?
Totalmente. Para más información, consulte Asignación de roles de administrador en la versión preliminar de Azure Active Directory.
¿La colaboración B2B de Microsoft Entra permite a los usuarios B2B acceder al Centro de administración de Microsoft Entra?
A menos que a un usuario se le asigne la función de administrador limitado, los usuarios de colaboración B2B no necesitarán acceso al Centro de administración de Microsoft Entra. Sin embargo, los usuarios de colaboración B2B a los que se asigna el rol de administrador limitado pueden acceder al portal. Además, si un usuario invitado al que no se le han asignado estos roles de administrador tuviera acceso al portal, podría acceder a determinadas partes de la experiencia. El rol de usuario invitado tiene algunos permisos en el directorio.
¿Puedo bloquear el acceso al centro de administración de Microsoft Entra para los usuarios invitados?
Sí, puede crear una directiva de acceso condicional que bloquee el acceso de los usuarios invitados al centro de administración o al portal. Al configurar la directiva de acceso condicional, tiene un control pormenorizado sobre los tipos de usuarios externos a los que desea aplicar la directiva. Cuando configure esta directiva tenga cuidado de evitar que se bloquee accidentalmente el acceso a los administradores y miembros. Obtenga más información sobre el Acceso condicional para usuarios externos.
¿La colaboración B2B de Microsoft Entra admite la autenticación multifactor y las cuentas de correo electrónico de los consumidores?
Sí. La autenticación multifactor y las cuentas de correo electrónico del consumidor son compatibles con la colaboración B2B de Microsoft Entra.
¿Va a admitir el restablecimiento de contraseñas con los usuarios de la colaboración B2B de Microsoft Entra?
Si su inquilino de Microsoft Entra es el directorio de inicio de un usuario, puede restablecer la contraseña del usuario desde el Centro de administración de Microsoft Entra. Sin embargo, no puede restablecer directamente la contraseña de los usuarios invitados que inician sesión con una cuenta administrada por otro proveedor de identidades externo o por otro directorio de Microsoft Entra. En ese caso, solo podrá restablecer la contraseña el usuario invitado o un administrador del directorio principal del usuario. A continuación, se incluyen algunos ejemplos de cómo funciona el restablecimiento de contraseñas con los usuarios invitados:
Los usuarios invitados de un inquilino de Microsoft Entra que estén marcados como "invitado" (UserType==Invitado) no se pueden registrar para SSPR mediante https://aka.ms/ssprsetup. Este tipo de usuario invitado solo puede realizar SSPR mediante https://aka.ms/sspr.
Los usuarios invitados que inicien sesión con una cuenta Microsoft (por ejemplo guestuser@live.com) podrán restablecer sus propias contraseñas con el autoservicio de restablecimiento de contraseñas (SSPR) de la cuenta Microsoft. Consulte Cómo restablecer la contraseña de tu cuenta Microsoft.
Los usuarios invitados que inicien sesión con una cuenta de Google u otro proveedor de identidades externo podrán restablecer sus propias contraseñas mediante el método de SSPR de su proveedor de identidades. Por ejemplo, un usuario invitado con la cuenta de Google guestuser@gmail.com puede restablecer su contraseña siguiendo las instrucciones acerca de cómo cambiar o restablecer la contraseña.
Si el inquilino de la identidad es un inquilino Just-In-Time (JIT) o un inquilino "viral" (es decir, un inquilino de Azure que es independiente y no está administrado), solamente el usuario invitado podrá restablecer su contraseña. A veces, una organización asumirá la administración de los inquilinos virales que se crean cuando los empleados usan sus direcciones de correo electrónico del trabajo para registrarse en los servicios. Después de que la organización se haga cargo de un inquilino viral, solo un administrador de dicha organización puede restablecer la contraseña del usuario o habilitar SSPR. Si es necesario, como la organización que invita, puede quitar la cuenta del usuario invitado del directorio y volver a enviar una invitación.
Si el directorio principal del usuario invitado es su inquilino de Microsoft Entra, usted podrá restablecer la contraseña del usuario. Por ejemplo, es posible que haya creado o sincronizado un usuario desde la instancia local de Active Directory y que haya establecido UserType en Guest (invitado). Debido a que este usuario está alojado en su directorio, puede restablecer su contraseña desde el Centro de administración de Microsoft Entra.
¿Proporciona Microsoft Dynamics 365 compatibilidad en línea con la colaboración B2B de Microsoft Entra?
Sí, Dynamics 365 (en línea) admite la colaboración B2B de Microsoft Entra. Para más información, consulte el artículo de Dynamics 365 Invitar a usuarios con colaboración B2B de Microsoft Entra.
¿Cuál es la duración de una contraseña inicial para un usuario de colaboración B2B recién creado?
Microsoft Entra ID tiene un conjunto fijo de requisitos de bloqueo de cuentas, seguridad de la contraseña y caracteres que se aplican igualmente a todas las cuentas de usuario en la nube de Microsoft Entra. Las cuentas de usuario en la nube son cuentas que no están federadas con otro proveedor de identidades, como:
- Cuenta Microsoft
- Servicios de federación de Active Directory
- Otro inquilino de nube (para la colaboración B2B)
En el caso de las cuentas federadas, la directiva de contraseñas depende de la directiva que se aplica en el inquilino local y la configuración de la cuenta Microsoft del usuario.
Una organización puede tener distintas experiencias en sus aplicaciones para los usuarios inquilinos y los usuarios invitados. ¿Hay instrucciones estándar para esto? ¿La presencia de la notificación del proveedor de identidades es el modelo más adecuado para usarlo?
Un usuario invitado puede utilizar cualquier proveedor de identidades para realizar la autenticación. Para más información, consulte Propiedades de un usuario de colaboración B2B de Azure Active Directory. Use la propiedad UserType para determinar la experiencia del usuario. La notificación UserType no está incluida actualmente en el token. Las aplicaciones deben usar Microsoft Graph API para consultar el usuario en el directorio y obtener UserType.
¿Dónde puedo encontrar una comunidad de colaboración B2B para compartir soluciones y enviar ideas?
Escuchamos constantemente sus comentarios para mejorar la colaboración B2B. Comparta escenarios de usuario, procedimientos recomendados y todo lo que le guste de la colaboración B2B de Microsoft Entra. Únase al debate en Microsoft Tech Community.
También le invitamos a enviar sus ideas y a votar las características futuras en el sitio de ideas para la colaboración B2B.
¿Podemos enviarle una invitación que se canjee automáticamente para que el usuario pueda empezar en cualquier momento? ¿O bien, el usuario siempre tiene que hacer clic para desplazarse a la dirección URL de canje?
Puede invitar a otros usuarios de la organización asociada utilizando la interfaz de usuario, los scripts de PowerShell o las API. Después, puede enviar al usuario invitado un vínculo directo a una aplicación compartida. En la mayoría de los casos, ya no es necesario abrir la invitación de correo electrónico y hacer clic en una dirección URL de canje. Consulte el Canje de invitación de colaboración de B2B de Microsoft Entra.
¿Cómo funciona la colaboración B2B cuando el asociado invitado utiliza la federación para agregar su propia autenticación local?
Si el asociado tiene un inquilino de Microsoft Entra que está federado en la infraestructura de autenticación local, se consigue automáticamente el inicio de sesión único (SSO) local. Si el asociado no tiene un inquilino de Microsoft Entra, se crea una cuenta de Microsoft Entra para los nuevos usuarios.
¿Se puede invitar una cuenta local de Azure AD B2C a un inquilino de Microsoft Entra para la colaboración B2B?
No. Solo se puede usar una cuenta local de Azure AD B2C para iniciar sesión en el inquilino de Azure AD B2C. La cuenta no se puede utilizar para iniciar sesión en un inquilino de Microsoft Entra. No se admite invitar una cuenta local de Azure AD B2C a un inquilino de Microsoft Entra para la colaboración B2B.
¿Qué aplicaciones y los servicios admiten los usuarios invitados de Azure B2B?
Todas las aplicaciones integradas de Microsoft Entra pueden admitir usuarios invitados de colaboración B2B de Azure, pero deben usar un punto final configurado como inquilino para autenticar a los usuarios invitados. También es posible que necesite personalizar las notificaciones del token SAML que se emite cuando un usuario invitado se autentica en la aplicación.
¿Podemos forzar la autenticación multifactor para usuarios invitados de B2B si nuestros asociados no la tienen?
Sí. Para más información, consulte Acceso condicional para usuarios de colaboración B2B.
En SharePoint puede definir una lista de "permitidos" o "denegados" para usuarios externos. ¿Se puede hacer esto en Azure?
Sí. La colaboración B2B de Microsoft Entra admite listas de permitidos y de bloqueados.
¿Qué licencias se necesitan para usar B2B de Microsoft Entra?
Para información sobre las licencias que tu organización necesita para usar la colaboración B2B de Microsoft Entra, consulta los Precios de Id. externa.
¿Qué ocurre si invito a un usuario cuyo correo electrónico y UPN no coinciden?
Depende. De forma predeterminada, Microsoft Entra solo permite UPN para el identificador de inicio de sesión. Si el UPN y el correo electrónico son los mismos, las invitaciones B2B de Microsoft Entra y los inicios de sesión posteriores funcionan según lo previsto. Sin embargo, pueden surgir problemas si el correo electrónico de un usuario y el UPN no coinciden, y el correo electrónico se usa en lugar del UPN para iniciar sesión. Cuando se invita a un usuario con un correo electrónico que no es el UPN, podrá canjear la invitación si el canje se realiza mediante el vínculo de invitación por correo electrónico, pero se producirá un error si el canje se efectúa a través de un vínculo directo. Sin embargo, aunque el usuario canjee correctamente la invitación, los intentos de inicio de sesión posteriores mediante un correo electrónico que no es el UPN generarán un error a menos que el proveedor de identidades (ya sea Microsoft Entra ID o un proveedor de identidades federado) esté configurado para permitir el correo electrónico como un identificador de inicio de sesión alternativo. Este problema se puede mitigar con las acciones siguientes:
- Habilitar el correo electrónico como un identificador de inicio de sesión alternativo en el inquilino invitado o principal de Microsoft Entra
- Permitir que el proveedor de identidad federado admita el correo electrónico como ID de inicio de sesión (si Microsoft Entra ID está federado con otro proveedor de identidad) o
- Indicar al usuario que canjee o inicie sesión con su UPN.
Para evitar este problema por completo, los administradores deben asegurarse de que el UPN y el correo electrónico de los usuarios son idénticos.
Nota:
Las invitaciones y canjes que se envían en las nubes de Microsoft deben usar UPN. El correo electrónico no se admite en este momento. Por ejemplo, si se invita a un usuario de un inquilino de la Administración Pública de Estados Unidos a un inquilino comercial, se debe invitar al usuario mediante su UPN.
Activación instantánea: ¿Qué puede provocar la latencia de replicación?
En los flujos de colaboración B2B, hemos agregado usuarios al directorio y los hemos actualizado dinámicamente durante el proceso de canje de invitación, la asignación de aplicaciones y así sucesivamente. Las actualizaciones y escrituras se producen normalmente en una instancia de directorio y se deben replicar en todas las instancias. La replicación se completa una vez que se actualicen todas las instancias. En ocasiones, cuando el objeto se escribe o se actualiza en una instancia y la llamada para recuperar este objeto es a otra instancia, pueden producirse latencias en la replicación. Si esto sucede, actualice o vuelva a intentarlo. Si está escribiendo una aplicación mediante la API, los reintentos con algún retroceso es una buena práctica defensiva para mitigar este problema.