Canje de invitación de colaboración de Microsoft Entra B2B

En este artículo se describen las maneras en las que los usuarios invitados pueden acceder a los recursos y el proceso de consentimiento que se encuentran. Si envía un correo electrónico de invitación al invitado, la invitación incluye un vínculo que este puede canjear para acceder a la aplicación o al portal. El correo electrónico de invitación es solo uno de los modos de acceso de los invitados a los recursos. Como alternativa, puede agregar invitados a su directorio y proporcionarles un vínculo directo al portal o a la aplicación que desee compartir. Independientemente del método que usen, la primera vez se les guiará por un proceso de consentimiento. Este proceso garantiza que los invitados acepten los términos de privacidad y los términos de uso que haya configurado.

Al agregar un usuario invitado al directorio, la cuenta de este tiene un estado de consentimiento (visible en PowerShell) que se establece inicialmente en PendingAcceptance. Esta configuración permanece hasta que el invitado acepta la invitación, la política de privacidad y los términos de uso. Después de eso, el estado de consentimiento cambia a Accepted y las páginas de consentimiento dejan de aparecer para el invitado.

Importante

• A partir del 12 de julio de 2021, si los clientes de Microsoft Entra B2B configuran nuevas integraciones de Google para usarlas con registro de autoservicio para sus aplicaciones personalizadas o de línea de negocio, la autenticación con identidades de Google no funcionará hasta que las autenticaciones se trasladen a las vistas web del sistema. Más información.
• A partir del 30 de septiembre de 2021, Google retira la compatibilidad con el inicio de sesión en la vista web insertada. Si sus aplicaciones autentican a los usuarios con una vista web insertada y va a usar la federación de Google con Azure AD B2C o Microsoft Entra B2B para las invitaciones de usuarios externos o el registro de autoservicio, los usuarios de Google Gmail no podrán autenticarse. Más información.
• La característica de código de acceso de un solo uso por correo electrónico ahora está activada de manera predeterminada para todos los inquilinos nuevos y para los existentes en los que no se haya desactivado explícitamente. Cuando esta característica está desactivada, el método de autenticación de reserva consiste en solicitar invitaciones para crear una cuenta Microsoft.

Proceso de canje e inicio de sesión mediante un punto de conexión común

Ahora, los usuarios invitados pueden iniciar sesión en las aplicaciones multiinquilino o las aplicaciones propias de Microsoft mediante un punto de conexión común (una dirección URL); por ejemplo, https://myapps.microsoft.com. Anteriormente, si se utilizaba una dirección URL común, el usuario invitado accedía automáticamente al inquilino principal en lugar de al inquilino del recursos para autenticarse, por lo que se necesitaba un vínculo específico del inquilino (por ejemplo, https://myapps.microsoft.com/?tenantid=<tenant id>). Ahora, el usuario invitado puede ir a la dirección URL común de la aplicación, elegir Opciones de inicio de sesión y seleccionar Sign in to an organization (Iniciar sesión en una organización). Luego, el usuario tiene que escribir el nombre de dominio de la organización.

Luego, se redirecciona automáticamente al usuario al punto de conexión específico del inquilino, donde puede iniciar sesión con su dirección de correo electrónico o seleccionar un proveedor de identidades que se haya configurado.

Proceso de canje a través de un vínculo directo

En lugar de la invitación por correo electrónico o la dirección URL común de la aplicación, también puede proporcionar al invitado un vínculo directo a la aplicación o al portal. Primero debe agregar el usuario invitado a su directorio mediante el Centro de administración Microsoft Entra o PowerShell. Puede usar cualquiera de las maneras personalizables para implementar las aplicaciones para los usuarios, incluidos los vínculos de inicio de sesión en directo. Cuando un invitado usa un vínculo directo en lugar de la invitación por correo electrónico, también se le guía por la experiencia de consentimiento inicial.

Nota

Los vínculos directos son específicos del inquilino. En otras palabras, contienen un identificador del inquilino o un dominio verificado para que el invitado puede autenticarse en el inquilino donde se encuentra la aplicación compartida. Estos son algunos ejemplos de vínculos directos con el contexto del inquilino:

• Panel de acceso de aplicaciones: https://myapps.microsoft.com/?tenantid=<tenant id>
• Panel de acceso de aplicaciones para un dominio comprobado: https://myapps.microsoft.com/<;verified domain>
• Centro de administración Microsoft Entra: https://entra.microsoft.com/<tenant id>
• Aplicación individual: consulte cómo usar un vínculo de inicio de sesión en directo

En algunos casos se recomienda el correo electrónico de invitación en lugar del vínculo directo. Si estos casos especiales son importantes para su organización, se recomienda que invite a los usuarios mediante métodos que aún envíen el correo electrónico de invitación:

• A veces, el objeto de usuario invitado puede no tener una dirección de correo electrónico debido a un conflicto con un objeto de contacto (por ejemplo, un objeto de contacto de Outlook). En este caso, el usuario debe seleccionar la dirección URL de canje en el correo electrónico de invitación.
• El usuario puede iniciar sesión con un alias de la dirección de correo electrónico a la que se invitó. (Un alias es otra dirección de correo electrónico asociada a una cuenta de correo electrónico). En este caso, el usuario debe seleccionar la dirección URL de canje en el correo electrónico de invitación.

Proceso de canje a través del correo electrónico de invitación

Al agregar un usuario invitado al directorio mediante el Centro de administración Microsoft Entra, se envía un correo electrónico de invitación al invitado en el proceso. También puede enviar correos electrónicos de invitación cuando use PowerShell para agregar usuarios invitados al directorio. Esta es una descripción de la experiencia del invitado cuando canjea el vínculo del correo electrónico.

1. El invitado recibe un correo electrónico de invitación que se envía desde Microsoft Invitations.
2. El invitado selecciona Aceptar invitación en el correo electrónico.
3. El invitado usará sus propias credenciales para iniciar sesión en el directorio. Si el invitado no tiene una cuenta que se pueda federar al directorio y la característica código de acceso de un solo uso (OTP) de correo electrónico no está habilitada, se solicita al invitado que cree una cuenta MSA personal. Consulte Flujo de canje de invitación para más información.
4. Al invitado se le guiará por la experiencia de consentimiento que se describe a continuación.

Proceso de limitación de canje con el objeto Contact en conflicto

A veces, el correo electrónico del usuario invitado externo puede entrar en conflicto con un objeto Contact existente, lo que da lugar a que el usuario invitado se cree sin una propiedad proxyAddress. Esta es una limitación conocida que impide que los usuarios invitados canjeen una invitación mediante un vínculo directo con SAML/WS-Fed IdP, MSA, federación de Google o cuentas de código de acceso de un solo uso de correo electrónico.

Sin embargo, los escenarios siguientes deberían seguir funcionando:

• Canjear una invitación mediante un vínculo de canje en un correo electrónico de invitación con SAML/WS-Fed IdP, cuentas de código de acceso de un solo uso de correo electrónico y cuentas de federación de Google.
• Volver a iniciar sesión en una aplicación después del proceso de canje utilizando SAML/WS-Fed IdP, código de acceso de correo electrónico de un solo uso y cuentas de federación de Google.

Para desbloquear a los usuarios que no pueden canjear una invitación debido a un objeto Contact en conflicto, siga estos pasos:

1. Elimine el objeto Contact en conflicto.
2. Elimine el usuario invitado en el Centro de administración Microsoft Entra (la propiedad "Invitación aceptada" del usuario debe estar en estado pendiente).
3. Vuelva a invitar al usuario externo.
4. Espere a que el usuario canjee la invitación.
5. Vuelva a agregar el correo electrónico de contacto del usuario en Exchange y cualquier DL de la que debe formar parte.

Flujo del canje de invitación

Cuando un usuario selecciona el vínculo Aceptar invitación de un correo electrónico de invitación, Microsoft Entra ID canjea automáticamente la invitación basándose en el orden de canje predeterminado que se muestra a continuación:

1. Microsoft Entra ID realiza la detección basada en el usuario para determinar si el usuario ya existe en un inquilino de Microsoft Entra administrado. (Las cuentas de Microsoft Entra no administradas ya no se pueden usar para el flujo de canje). Si el nombre principal de usuario UPN coincide con una cuenta de Microsoft Entra existente y una MSA personal, se le pedirá al usuario que elija la cuenta con la que quiere hacer el canje.

2. Si un administrador ha habilitado la federación de IdP de SAML/WS-Fed, Microsoft Entra ID comprueba si el sufijo de dominio del usuario coincide con el dominio de un proveedor de identidades SAML/WS-Fed configurado y redirige al usuario al proveedor de identidades configurado previamente.

3. Si un administrador ha habilitado la federación de Google, Microsoft Entra ID comprobará si el sufijo de dominio del usuario es gmail.com o googlemail.com y redirigirá al usuario a Google.

4. El proceso de canje comprueba si el usuario tiene una MSA personal existente. Si el usuario ya tiene una MSA existente, la usará para iniciar sesión.

5. Una vez identificado el directorio principal del usuario, el usuario se envía al proveedor de identidades correspondiente para iniciar sesión.

6. Si no se encuentra ningún directorio principal y la característica de código de acceso de un solo uso de correo electrónico está habilitada para invitados, se envía un código de acceso al usuario a través del correo electrónico invitado. El usuario recuperará el código de acceso y lo escribirá en la página de inicio de sesión de Microsoft Entra.

7. Si no se encuentra ningún directorio principal y se deshabilita el código de acceso de un solo uso de correo electrónico para invitados, se le pedirá al usuario que cree una MSA de consumidor con el correo electrónico invitado. Se admite la creación de una MSA con correos electrónicos profesionales en dominios que no se comprueban en Microsoft Entra ID.

8. Después de autenticarse en el proveedor de identidades correcto, se redirige al usuario a Microsoft Entra ID para completar la experiencia de consentimiento.

Canje configurable

El Canje configurable le permite personalizar el orden de los proveedores de identidades presentados a los invitados cuando canjean sus invitaciones. Cuando un invitado selecciona el vínculo Aceptar invitación, Microsoft Entra ID canjea automáticamente la invitación en función del orden predeterminado. Para invalidarlo, cambie el orden de canje del proveedor de identidades en la configuración de acceso entre inquilinos.

Experiencia de consentimiento para el invitado

Cuando un invitado inicia sesión en un recurso de una organización asociada, se le muestra la siguiente experiencia de consentimiento. Estas páginas de consentimiento solo se muestran al invitado después del inicio de sesión y no se muestran en absoluto si el usuario ya las ha aceptado.

1. El invitado debe revisar la página Revisar permisos, donde se describe la declaración de privacidad de la organización anfitriona. Para poder continuar, el usuario debe Aceptar el uso de su información de acuerdo con las directivas de privacidad de la organización anfitriona.

   

   Nota:

   Para obtener información sobre cómo puede, como administrador de inquilinos, vincular a la declaración de privacidad de su organización, consulte Procedimiento: Incorporación de información de privacidad de su organización en Microsoft Entra ID.

2. Si se han configurado términos de uso, el invitado debe abrirlos y revisarlos y seleccionar Aceptar.

   

   Puede configurar los Términos de uso en External Identities>Términos de uso.

3. A menos que se especifique otra cosa, al invitado se le redirige al panel de acceso a las aplicaciones, que enumera las aplicaciones a las que puede acceder.

   

En su directorio, el valor de Invitación aceptada cambia a Sí. Si se creó una MSA, el Origen del usuario muestra Cuenta Microsoft. Para más información sobre las propiedades de la cuenta de usuario invitado, consulte Propiedades de un usuario de colaboración Microsoft Entra B2B. Si ve un error que requiere el consentimiento del administrador al acceder a una aplicación, consulte Cómo conceder consentimiento de administrador a las aplicaciones.

Configuración del proceso de canje automático

Es posible que quiera canjear automáticamente las invitaciones para que los usuarios no tengan que aceptar la solicitud de consentimiento cuando se agregan a otro inquilino para la colaboración B2B. Cuando se configura, se envía un correo electrónico de notificación al usuario de colaboración B2B que no requiere ninguna acción por parte del usuario. Los usuarios se envían el correo electrónico de notificación directamente, no necesitan acceder primero al inquilino para recibir el correo electrónico.

Para obtener información sobre cómo canjear automáticamente las invitaciones, consulte Introducción al acceso entre inquilinos y Configuración del acceso entre inquilinos para la colaboración B2B.

Pasos siguientes

• ¿Qué es la colaboración B2B de Microsoft Entra?
• Propiedades de usuario de la colaboración B2B
• Invitación por correo electrónico