Propiedades de un usuario de colaboración B2B de Azure Active Directory

La colaboración B2B es una funcionalidad de Azure AD External Identities que le permite colaborar con usuarios y asociados fuera de su organización. Con la colaboración B2B, se invita a un usuario externo a iniciar sesión en la organización de Azure AD con sus propias credenciales. Este usuario de colaboración B2B puede acceder a las aplicaciones y los recursos que desea compartir con ellas. Se crea un objeto de usuario para el usuario de colaboración B2B en el mismo directorio que los empleados. Los objetos de usuario de colaboración B2B tienen privilegios limitados en el directorio de forma predeterminada, y se pueden administrar como empleados, agregarse a grupos, y así sucesivamente. En este artículo se abordan las propiedades de este objeto de usuario y las formas de administrarlo.

En la tabla siguiente se describen los usuarios de colaboración B2B en función de cómo se autentican (interna o externamente) y su relación con su organización (invitado o miembro).

Diagrama que muestra usuarios de colaboración B2B.

  • Invitado externo: la mayoría de los usuarios que normalmente se consideran usuarios externos o invitados se encuentran en esta categoría. Este usuario de colaboración B2B tiene una cuenta en una organización de Azure AD externa o un proveedor de identidades externo (como una identidad social) y tiene permisos de nivel de invitado en la organización de recursos. El objeto de usuario creado en el directorio de Azure AD del recurso tiene un UserType de Invitado.
  • Miembro externo: este usuario de colaboración B2B tiene una cuenta en una organización de Azure AD externa o un proveedor de identidades externo (como una identidad social) y acceso de nivel de miembro a los recursos de su organización. Este escenario es común en organizaciones que constan de varios inquilinos, donde los usuarios se consideran parte de la organización más grande y necesitan acceso de nivel de miembro a los recursos de los otros inquilinos de la organización. El objeto de usuario creado en el directorio de Azure AD del recurso tiene un UserType de Miembro.
  • Invitado interno: antes de que la colaboración de Azure AD B2B estaba disponible, era habitual colaborar con distribuidores, proveedores, vendedores y otros mediante la configuración de credenciales internas para ellos y su designación como invitados estableciendo el objeto de usuario UserType en Invitado. Si tiene usuarios invitados internos como estos, puede invitarlos a usar la colaboración B2B en su lugar para que puedan usar sus propias credenciales, lo que permite a su proveedor de identidades externo administrar la autenticación y su ciclo de vida de la cuenta.
  • Miembro interno: por lo general, estos usuarios se consideran empleados de su organización. El usuario se autentica internamente a través de Azure AD y el objeto de usuario creado en el directorio Azure AD recurso tiene un UserType de Miembro.

Importante

La característica de código de acceso de un solo uso por correo electrónico ahora está activada de manera predeterminada para todos los inquilinos nuevos y para los existentes en los que no se haya desactivado explícitamente. Cuando esta característica está desactivada, el método de autenticación de reserva consiste en solicitar invitaciones para crear una cuenta Microsoft.

Canje de invitación

Ahora, veamos cómo es un usuario de colaboración de B2B de Azure AD en Azure AD.

Antes del canje de la invitación

Las cuentas de colaboración B2B son el resultado de los usuarios invitados que invitan a colaborar con el uso de las propias credenciales de los usuarios invitados. Cuando se envía inicialmente la invitación al usuario invitado, se crea una cuenta en el inquilino. Esta cuenta no tiene ninguna credencial asociada, ya que la autenticación la realiza el proveedor de identidades del usuario invitado. La propiedad Identities de la cuenta de usuario de invitado del directorio se establece en el dominio de la organización del host hasta que el invitado canjea su invitación. En el portal, el perfil del usuario invitado mostrará un estado de usuario externo de PendingAcceptance. La consulta de externalUserState mediante Microsoft Graph API devolverá Pending Acceptance.

Captura de pantalla del perfil de usuario antes del canje.

Después del canje de la invitación

Una vez que el usuario de colaboración B2B acepta la invitación, la propiedad Identities se actualiza según determine el proveedor de identidades del usuario.

  • Si el usuario de colaboración B2B usa una cuenta Microsoft o credenciales de otro proveedor de identidades, el Emisor refleja el proveedor de identidades, por ejemplo Cuenta de Microsoft, google.com o facebook.com.

    Captura de pantalla del perfil de usuario después del canje.

  • Si el usuario de colaboración B2B usa credenciales de otra organización de Azure AD, la propiedad Identities es Azure AD externo.

  • Para los usuarios externos que usan credenciales internas, la propiedad Identities se establece en el dominio de organización del host. La propiedad Directorio sincronizado es si la cuenta se encuentra en la instancia de Active Directory local de la organización y se sincroniza con Azure AD, o No si la cuenta es una cuenta de Azure AD solo en la nube. La información de sincronización de directorios también está disponible mediante la propiedad onPremisesSyncEnabled en Microsoft Graph.

Propiedades clave del usuario de colaboración de B2B de Azure AD

Nombre principal del usuario

El nombre principal de usuario de un objeto de usuario de colaboración B2B contiene un identificador #EXT#.

Tipo de usuario

Esta propiedad indica la relación del usuario con el espacio host. Esta propiedad puede tener dos valores:

  • Member: este valor indica un empleado de la organización host y un usuario en la plantilla de dicha organización. Por ejemplo, este usuario espera tener acceso solo a sitios internos. Este usuario no se considera como un colaborador externo.

  • Invitado: este valor indica un usuario que no se considera interno de la empresa, como un colaborador externo, un asociado o un cliente. No se espera que dicho usuario reciba una comunicación interna del CEO o que reciba beneficios de la empresa, por ejemplo.

Nota:

UserType no tiene relación alguna con la forma en que el usuario inicia sesión, el rol de directorio del usuario, etc. Esta propiedad simplemente indica la relación del usuario con la organización host y permite a la organización exigir directivas que dependan de esta propiedad.

Identities

Esta propiedad indica el proveedor de identidades principal del usuario. Un usuario puede tener varios proveedores de identidades que se pueden ver seleccionando el vínculo situado junto a Identities en el perfil del usuario o consultando la propiedad onPremisesSyncEnabled mediante Microsoft Graph API.

Nota

Identities y UserType son propiedades independientes. Un valor de Identities no implica un valor concreto de UserType.

Valor de la propiedad Identities Estado del inicio de sesión
Azure AD externo este usuario está alojado en una organización externa y se autentica mediante una cuenta de Azure AD que pertenece a la otra organización.
Cuenta Microsoft el usuario está alojado en una cuenta de Microsoft y se autentica mediante una cuenta de Microsoft.
{dominio del host} este usuario se autentica mediante una cuenta de Azure AD que pertenece a esta organización.
google.com Este usuario tiene una cuenta de Gmail y se ha registrado mediante el autoservicio para la otra organización.
facebook.com Este usuario tiene una cuenta de Facebook y se ha registrado mediante el autoservicio para la otra organización.
mail Este usuario tiene una dirección de correo electrónico que no coincide con los dominios de Azure AD o SAML/WS-Fed comprobados, y no es una dirección de Gmail ni una cuenta Microsoft.
phone Este usuario tiene una dirección de correo electrónico que no coincide con los dominios de Azure AD o SAML/WS-Fed comprobados, y no es una dirección de Gmail ni una cuenta Microsoft.
{issuer URI} Este usuario se encuentra en una organización externa que no usa Azure Active Directory como proveedor de identidades, sino que usa proveedores de identidades basados en SAML/WS-Fed. El URI del emisor se muestra cuando se hace clic en el campo Identities.

Directorio sincronizado

La propiedad Directorio sincronizado indica si el usuario se está sincronizando con Active Directory local y con autenticación local. Esta propiedad es si la cuenta se encuentra en la instancia de Active Directory local de la organización y se sincroniza con Azure AD, o No si la cuenta es una cuenta de Azure AD solo en la nube. En Microsoft Graph, la propiedad Directorio sincronizado corresponde a onPremisesSyncEnabled.

¿Se pueden agregar usuarios de B2B de Azure AD como miembros, en lugar de como invitados?

Normalmente, un usuario invitado y uno de B2B de Azure AD son sinónimos. Por tanto, de manera predeterminada los usuarios de colaboración de B2B de Azure AD se agregan como UserType establecido en Invitado. Sin embargo, en algunos casos, la organización asociada forma parte de una organización mayor a la que también pertenece la organización host. En ese caso, la organización host puede tratar a los usuarios de la organización asociada como miembros, en lugar de como invitados. Use las API del Administrador de invitaciones de B2B de Azure AD para agregar un usuario de la organización asociada a la organización host como miembro, o para invitarlo.

Filtro de usuarios invitados en el directorio

En la lista Usuarios, puede usar Agregar filtro para mostrar solo los usuarios invitados del directorio.

Captura de pantalla que muestra cómo agregar un filtro de tipo de usuario para invitados.

Captura de pantalla que muestra el filtro para los usuarios invitados.

Conversión de UserType

Es posible convertir UserType de Miembro a Invitado y viceversa editando el perfil del usuario en Azure Portal o mediante PowerShell. Sin embargo, la propiedad UserType representa la relación del usuario con la organización. Por tanto, debe cambiar esta propiedad solo si cambia la relación del usuario con la organización. Si cambia la relación del usuario, ¿se debe cambiar el nombre principal de usuario (UPN)? ¿Debe el usuario seguir teniendo acceso a los mismos recursos? ¿Debe asignarse un buzón de correo?

Permisos de usuarios invitados

Los usuarios invitados tienen permisos de directorio restringidos predeterminados. Pueden administrar su propio perfil, cambiar su propia contraseña y recuperar algo de información sobre otros usuarios, grupos y aplicaciones. Sin embargo, no pueden leer toda la información del directorio.

Los usuarios invitados B2B no se admiten en los canales compartidos de Microsoft Teams. Para obtener acceso a canales compartidos, consulte Conexión directa B2B.

Puede haber casos en los que desee ofrecer a los usuarios invitados privilegios más altos. Puede agregar un usuario invitado a cualquier rol e, incluso, eliminar las restricciones de usuario invitado predeterminadas en el directorio para concederle los mismos privilegios que a los miembros. Se pueden desactivar las limitaciones predeterminadas para que un usuario invitado del directorio de la empresa tenga los mismos permisos que un usuario que sea miembro. Para más información, consulte el artículo Restricción de permisos de acceso de invitado en Azure Active Directory.

Captura de pantalla que muestra la opción de usuarios externos en la configuración del usuario.

¿Puedo hacer visibles a los usuarios invitados en la lista global de direcciones de Exchange?

Sí. De forma predeterminada, los objetos de invitado no aparecen en la lista global de direcciones de la organización, pero puede usar Azure Active Directory PowerShell para que figuren. Para obtener más información, consulte "Incorporación de invitados a la lista global de direcciones" en el artículo sobre el acceso de invitado por grupo en Microsoft 365.

¿Puedo actualizar la dirección de correo electrónico de un usuario invitado?

Si un usuario invitado acepta su invitación y cambia posteriormente su dirección de correo electrónico, el nuevo correo electrónico no se sincroniza automáticamente con el objeto de usuario invitado en el directorio. La propiedad mail se crea a través de Microsoft Graph API. Puede actualizar la propiedad de correo electrónico mediante Microsoft Graph API, el centro de administración de Exchange o PowerShell de Exchange Online. El cambio se reflejará en el objeto de usuario invitado de Azure AD.

Pasos siguientes