Compartir a través de

Canje de invitación de colaboración B2B

Se aplica a: Círculo verde con una marca de verificación blanca. Inquilinos de personal Círculo blanco con un símbolo X gris. Inquilinos externos (más información)

En este artículo se explica el proceso de canje de invitación de Microsoft Entra B2B para los usuarios invitados, incluido cómo acceden a los recursos y completan los pasos de consentimiento necesarios. Tanto si envía un correo electrónico de invitación como si proporciona un vínculo directo, los invitados se guían a través de un proceso seguro de inicio de sesión y consentimiento para garantizar el cumplimiento de los términos de privacidad y los términos de uso de su organización.

Al agregar un usuario invitado al directorio, la cuenta de este tiene un estado de consentimiento (visible en PowerShell) que se establece inicialmente en PendingAcceptance. Esta configuración permanece hasta que el invitado acepta la invitación, la política de privacidad y los términos de uso. Después de eso, el estado de consentimiento cambia a Accepted y las páginas de consentimiento dejan de aparecer para el invitado.

Importante

Proceso de canje e inicio de sesión a través de un punto de conexión común

Ahora, los usuarios invitados pueden iniciar sesión en las aplicaciones multiinquilino o las aplicaciones propias de Microsoft mediante un punto de conexión común (una dirección URL); por ejemplo, https://myapps.microsoft.com. Anteriormente, si se utilizaba una dirección URL común, el usuario invitado accedía automáticamente al inquilino principal en lugar de al inquilino del recursos para autenticarse, por lo que se necesitaba un vínculo específico del inquilino (por ejemplo, https://myapps.microsoft.com/?tenantid=<tenant id>). Ahora, el usuario invitado puede ir a la dirección URL común de la aplicación, elegir Opciones de inicio de sesión y seleccionar Sign in to an organization (Iniciar sesión en una organización). Luego, el usuario tiene que escribir el nombre de dominio de la organización.

Captura de pantalla del diagrama de flujo de canje de invitación de Microsoft Entra B2B.

Luego, se redirecciona automáticamente al usuario al punto de conexión específico del inquilino, donde puede iniciar sesión con su dirección de correo electrónico o seleccionar un proveedor de identidades que se haya configurado.

Como alternativa al correo electrónico de invitación o a la dirección URL común de una aplicación, asigne a un invitado un vínculo directo a la aplicación o al portal. En primer lugar, agregue el usuario invitado al directorio a través del Centro de administración de Microsoft Entra o PowerShell. A continuación, use cualquiera de las formas personalizables de implementar aplicaciones para los usuarios, incluidos los vínculos de inicio de sesión directo. Cuando un invitado usa un vínculo directo en lugar del correo electrónico de invitación, todavía se le guía a través de la experiencia de consentimiento por primera vez.

Nota

Un vínculo directo es específico del inquilino. En otras palabras, contienen un identificador del inquilino o un dominio verificado para que el invitado puede autenticarse en el inquilino donde se encuentra la aplicación compartida. Estos son algunos ejemplos de vínculos directos con el contexto del inquilino:

  • Panel de acceso de aplicaciones: https://myapps.microsoft.com/?tenantid=<tenant id>
  • Panel de acceso de aplicaciones para un dominio comprobado: https://myapps.microsoft.com/<;verified domain>
  • Centro de administración Microsoft Entra: https://entra.microsoft.com/<tenant id>
  • Aplicación individual: consulte cómo usar un vínculo de inicio de sesión en directo

Estos son algunos aspectos a tener en cuenta sobre el uso de un vínculo directo frente a un correo electrónico de invitación:

  • Alias de correo electrónico: Los invitados que usan un alias de la dirección de correo electrónico que se invitó necesitan una invitación por correo electrónico. (Un alias es otra dirección de correo electrónico asociada a una cuenta de correo electrónico). El usuario debe seleccionar la dirección URL de canje en el correo electrónico de invitación.

  • Objetos de contacto en conflicto: el proceso de canje se ha actualizado para evitar problemas de inicio de sesión cuando un objeto de usuario invitado entra en conflicto con un objeto de contacto en el directorio. Siempre que agregue o invite a un invitado con un correo electrónico que coincida con un contacto existente, la propiedad proxyAddresses del objeto de usuario invitado se deja vacía. Anteriormente, External ID solo buscaba la propiedad proxyAddresses, por lo que se producía un error en el canje de vínculo directo cuando no se encontraba ninguna coincidencia. Ahora, la id. externa busca en las propiedades proxyAddresses y correo electrónico invitado.

Proceso de canje a través del correo electrónico de invitación

Al agregar un usuario invitado a su directorio mediante el Centro de administración de Microsoft Entra, se envía un correo electrónico de invitación al invitado. También puede enviar correos electrónicos de invitación cuando use PowerShell para agregar usuarios invitados al directorio. Esta es una descripción de la experiencia del invitado cuando canjea el vínculo del correo electrónico.

  1. El invitado recibe un correo electrónico de invitación que se envía desde Microsoft Invitations.
  2. El invitado selecciona Aceptar invitación en el correo electrónico.
  3. El invitado usa sus propias credenciales para iniciar sesión en el directorio. Si el invitado no tiene una cuenta que se pueda federar en el directorio y la característica de código de acceso de un solo uso (OTP) de correo electrónico no está habilitada, se pedirá al invitado que cree una cuenta personal de Microsoft (MSA). Consulte Flujo de canje de invitación para más información.
  4. Al invitado se le guiará por la experiencia de consentimiento que se describe a continuación.

Flujo del canje de invitación

Cuando un usuario selecciona el vínculo Aceptar invitación en un correo electrónico de invitación, Microsoft Entra ID canjea automáticamente la invitación en función del orden de canje predeterminado:

Recorte de pantalla que muestra el diagrama de flujo del canje.

  1. Microsoft Entra ID realiza la detección basada en el usuario para determinar si el usuario ya existe en un inquilino de Microsoft Entra administrado. (Las cuentas de Microsoft Entra no administradas ya no se pueden usar para el flujo de canje). Si el nombre principal de usuario (UPN) del usuario coincide con una cuenta de Microsoft Entra existente y una MSA personal, se le pedirá al usuario que elija con qué cuenta desea canjear.

  2. Si un administrador ha habilitado SAML/WS-Fed federación de IdP, el identificador de Microsoft Entra comprueba si el sufijo de dominio del usuario coincide con el dominio de un proveedor de identidades SAML/WS-Fed configurado y redirige al usuario al proveedor de identidades preconfigurado.

  3. Si un administrador ha habilitado la federación de Google, Microsoft Entra ID comprobará si el sufijo de dominio del usuario es gmail.com o googlemail.com y redirigirá al usuario a Google.

  4. El proceso de canje comprueba si el usuario tiene una MSA personal existente. Si el usuario ya tiene una MSA existente, inicia sesión con su MSA existente.

  5. Una vez identificado el directorio principal del usuario, el usuario se envía al proveedor de identidades correspondiente para iniciar sesión.

  6. Si no se encuentra ningún directorio principal y la característica de código de acceso de un solo uso de correo electrónico está habilitada para invitados, se envía un código de acceso al usuario a través del correo electrónico invitado. El usuario recuperará el código de acceso y lo escribirá en la página de inicio de sesión de Microsoft Entra.

  7. Si no se encuentra ningún directorio principal y se deshabilita el código de acceso de un solo uso de correo electrónico para invitados, se le pedirá al usuario que cree una MSA de consumidor con el correo electrónico invitado. Se admite la creación de una MSA con correos electrónicos profesionales en dominios que no se comprueban en Microsoft Entra ID.

  8. Después de autenticarse en el proveedor de identidades correcto, se redirige al usuario a Microsoft Entra ID para completar la experiencia de consentimiento.

Canje configurable

Canje configurable le permite personalizar el orden de los proveedores de identidades presentados a los invitados cuando canjean sus invitaciones. Cuando un invitado selecciona el vínculo Aceptar invitación, Microsoft Entra ID canjea automáticamente la invitación en función del orden predeterminado. Para invalidarlo, cambie el orden de canje del proveedor de identidad en la configuración de acceso entre inquilinos.

Cuando un invitado inicia sesión en un recurso de una organización asociada, se le muestra la siguiente experiencia de consentimiento. Estas páginas de consentimiento solo se muestran al invitado después del inicio de sesión y no se muestran en absoluto si el usuario ya las ha aceptado.

  1. El invitado revisa la página Revisar permisos que describe la declaración de privacidad de la organización que invita. Un usuario debe aceptar el uso de su información de acuerdo con las políticas de privacidad de la organización que invita para poder continuar.

    Al aceptar esta solicitud de consentimiento, reconoce que se compartirán determinados elementos de su cuenta. Estos incluyen el nombre, la foto y la dirección de correo electrónico, así como los identificadores de directorio que la otra organización podría usar para administrar mejor su cuenta y mejorar la experiencia entre organizaciones.

    Captura de pantalla que muestra la página Revisar permisos.

    Nota

    Para obtener información sobre cómo puede, como administrador de inquilinos, vincular a la declaración de privacidad de su organización, consulte Procedimiento: Incorporación de información de privacidad de su organización en Microsoft Entra ID.

  2. Si se han configurado términos de uso, el invitado debe abrirlos y revisarlos y seleccionar Aceptar.

    Captura de pantalla en la que se muestran los nuevos términos de uso.

    Puede configurar los Términos de uso en External Identities>Términos de uso.

  3. A menos que se especifique otra cosa, al invitado se le redirige al panel de acceso a las aplicaciones, que enumera las aplicaciones a las que puede acceder.

    Captura de pantalla que muestra el panel de acceso a las aplicaciones.

En su directorio, el valor de Invitación aceptada cambia a . Si se creó una MSA, el Origen del usuario muestra Cuenta Microsoft. Para más información sobre las propiedades de la cuenta de usuario invitado, consulte Propiedades de un usuario de colaboración Microsoft Entra B2B. Si ve un error que requiere el consentimiento del administrador al acceder a una aplicación, consulte Cómo conceder consentimiento de administrador a las aplicaciones.

Configuración del proceso de canje automático

Es posible que quiera canjear automáticamente las invitaciones para que los usuarios no tengan que aceptar la solicitud de consentimiento cuando se agregan a otro inquilino para la colaboración B2B. Cuando se configura, se envía un correo electrónico de notificación al usuario de colaboración B2B que no requiere ninguna acción por parte del usuario. Los usuarios se envían el correo electrónico de notificación directamente, no necesitan acceder primero al inquilino para recibir el correo electrónico.

Para obtener información sobre cómo canjear automáticamente las invitaciones, consulte Introducción al acceso entre inquilinos y Configuración del acceso entre inquilinos para la colaboración B2B.

Pasos siguientes