Invitar a usuarios internos a la colaboración B2B
Antes de la disponibilidad de la colaboración de Microsoft Entra B2B, las organizaciones pueden colaborar con distribuidores, proveedores y otros usuarios invitados mediante la configuración de credenciales internas para ellos. Si tiene usuarios de invitado internos como estos, puede invitarlos a usar la colaboración B2B en su lugar. Estos usuarios invitados B2B podrán iniciar sesión con sus propias identidades y credenciales, lo que elimina la necesidad de mantenimiento de contraseñas o administración del ciclo de vida de las cuentas.
El envío de una invitación a una cuenta interna existente le permite conservar el identificador de objeto, el UPN, la pertenencia a grupos y las asignaciones de aplicaciones de ese usuario. No es necesario eliminar y volver a invitar al usuario manualmente ni reasignar los recursos. Para invitar al usuario, use la API de invitación para pasar el objeto de usuario interno y la dirección de correo electrónico del usuario invitado junto con la invitación. Cuando el usuario acepta la invitación, el servicio B2B cambia el objeto de usuario interno existente a un usuario de B2B. A partir de ahí, el usuario debe iniciar sesión en los servicios de recursos de nube con sus credenciales de B2B.
Aspectos que se deben tener en cuenta:
Acceso a recursos locales: Una vez que se ha invitado al usuario a la colaboración B2B, todavía puede usar sus credenciales internas para acceder a los recursos locales. Para evitarlo, puede restablecer o cambiar la contraseña en la cuenta interna. La excepción es Autenticación con código de acceso de un solo uso por correo electrónico. Si el método de autenticación del usuario se cambia a código de acceso de un solo uso, ya no podrá usar sus credenciales internas.
Facturación: esta característica no cambia el UserType del usuario, por lo que no cambia automáticamente el modelo de facturación del usuario a los precios de usuarios activos mensuales (MAU) de id. externa. Para activar los precios de MAU para el usuario, cambie UserType para el usuario a
guest. Además tenga en cuenta que el inquilino de Microsoft Entra debe estar vinculado a una suscripción de Azure para activar la facturación de MAU.La invitación es unidireccional: Puede invitar a usuarios internos a usar la colaboración B2B, pero no puede quitar las credenciales de B2B una vez agregadas. Para volver a cambiar el usuario a un usuario solo interno, deberá eliminar el objeto de usuario y crear otro.
Teams: Cuando el usuario accede a Teams con sus credenciales externas, su inquilino no estará disponible inicialmente en el selector de inquilinos de Teams. El usuario puede acceder a Teams mediante una dirección URL que contiene el contexto del inquilino, por ejemplo:
https://teams.microsoft.com/?tenantId=<TenantId>. Después de esto, el inquilino estará disponible en el selector de inquilinos de Teams.Usuarios sincronizados locales: para las cuentas de usuario sincronizadas entre el entorno local y la nube, el directorio local sigue siendo el origen de autoridad después de haber invitado a los usuarios a usar la colaboración B2B. Los cambios que realice en la cuenta local se sincronizarán con la cuenta en la nube, incluida la deshabilitación o eliminación de la cuenta. Por lo tanto, solo mediante la eliminación de la cuenta local, no puede evitar que el usuario inicie sesión en su cuenta local mientras conserva su cuenta en la nube. En su lugar, puede establecer la contraseña de la cuenta local en un GUID aleatorio u otro valor desconocido.
Nota:
En Microsoft Entra Connect Sync, hay una regla predeterminada que escribe el atributo onPremisesUserPrincipalName en el objeto del usuario. Dado que la presencia de este atributo puede impedir que un usuario inicie sesión con credenciales externas, se bloquean las conversiones internas a externas para los objetos de usuario con este atributo. Si usa Microsoft Entra Connect y desea poder invitar a usuarios internos a la colaboración B2B, deberá modificar la regla predeterminada para que el atributo onPremisesUserPrincipalName no se escriba en el objeto de usuario.
Invitación de usuarios internos a la colaboración B2B
Para enviar una invitación B2B a un usuario interno, puede usar el Centro de administración de Microsoft Entra, PowerShell o la API de invitación. Cosas que tener en cuenta:
Antes de invitar al usuario, asegúrese de que la propiedad
User.Maildel objeto de usuario interno (propiedad Email del usuario en el Centro de administración de Microsoft Entra) esté establecida en la dirección de correo electrónico externa que usará para la colaboración B2B. Si el usuario interno tiene un buzón, no puede cambiar esta propiedad a una dirección de correo electrónico externa. Debe actualizar sus atributos en el Centro de administración de Exchange.Cuando invita al usuario, se le envía una invitación por correo electrónico. Si usa PowerShell o la API de invitación, puede suprimir este correo electrónico estableciendo
SendInvitationMessageenFalse. Después, puede informar al usuario de otra manera. Más información sobre la API de invitación.Cuando el usuario canjea la invitación, la cuenta que use debe coincidir con el dominio de la propiedad
User.Mail. De lo contrario, algunos servicios, como Teams, no podrán autenticar al usuario.
Usar el Centro de administración de Microsoft Entra para enviar una invitación B2B
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador del proveedor de identidades externo.
Vaya aIdentidad>Usuarios>Todos los usuarios.
Busque el usuario en la lista o use el cuadro de búsqueda. A continuación, seleccione el usuario.
En la pestaña Información general , en Mi fuente, seleccione Convertir en usuario externo.
Nota
Si la tarjeta dice "Vuelva a enviar la invitación de este usuario B2B o restablezca su estado de canje", ya se ha invitado al usuario a usar las credenciales externas para la colaboración B2B.
Agregue una dirección de correo electrónico externa y seleccione Enviar.
Nota
Si la opción no está disponible, asegúrese de que la propiedad Email del usuario esté establecida en la dirección de correo electrónico externa que debe usar para la colaboración B2B.
Aparece un mensaje de confirmación y se envía una invitación al usuario por correo electrónico. El usuario ya puede canjear la invitación con sus credenciales externas.
Uso de PowerShell para enviar una invitación a B2B
Lo que necesitas para instalar el último módulo de PowerShell de Microsoft Graph. Utilice el siguiente comando para actualizar al último módulo e invitar al usuario interno a la colaboración B2B:
Update-Module Microsoft.Graph
Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee'
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapplications.microsoft.com" -InvitedUser $msGraphUser
Uso de la API de invitación para enviar una invitación a B2B
En el ejemplo siguiente se muestra cómo llamar a la API de invitación para invitar a un usuario interno como un usuario de B2B.
POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
ContentType: application/json
{
"invitedUserEmailAddress": "<<external email>>",
"sendInvitationMessage": true,
"invitedUserMessageInfo": {
"messageLanguage": "en-US",
"ccRecipients": [
{
"emailAddress": {
"name": null,
"address": "<<optional additional notification email>>"
}
}
],
"customizedMessageBody": "<<custom message>>"
},
"inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=",
"invitedUser": {
"id": "<<ID for the user you want to convert>>"
}
}
La respuesta a la API es la misma respuesta que se obtiene al invitar a un nuevo usuario invitado al directorio.