La colaboración B2B es una funcionalidad de Microsoft Entra External ID que le permite colaborar con usuarios y asociados fuera de su organización. Con la colaboración B2B, se invita a un usuario externo a iniciar sesión en la organización de Microsoft Entra con sus propias credenciales. Este usuario de colaboración B2B puede acceder a las aplicaciones y los recursos que desea compartir con ellas. Se crea un objeto de usuario para el usuario de colaboración B2B en el mismo directorio que los empleados. Los objetos de usuario de colaboración B2B tienen privilegios limitados en el directorio de forma predeterminada, y se pueden administrar como empleados, agregarse a grupos, y así sucesivamente. En este artículo se abordan las propiedades de este objeto de usuario y las formas de administrarlo.
En la tabla siguiente se describen los usuarios de colaboración B2B en función de cómo se autentican (interna o externamente) y su relación con su organización (invitado o miembro).
Invitado externo: la mayoría de los usuarios que normalmente se consideran usuarios externos o invitados se encuentran en esta categoría. Este usuario de colaboración B2B tiene una cuenta en una organización de Microsoft Entra externa o un proveedor de identidades externo (como una identidad social) y tiene permisos de nivel de invitado en la organización del recurso. El objeto de usuario creado en el directorio de Microsoft Entra del recurso tiene un valor UserType de Invitado.
Miembro externo: este usuario de colaboración B2B tiene una cuenta en una organización de Microsoft Entra externa o un proveedor de identidades externo (como una identidad social) y acceso de nivel de miembro a los recursos de su organización. Este escenario es común en las organizaciones que constan de varios inquilinos, donde los usuarios se consideran parte de la organización más grande y necesitan acceso de nivel de miembro a los recursos de los otros inquilinos de la organización. El objeto de usuario creado en el directorio de Microsoft Entra del recurso tiene un valor UserType de Miembro.
Invitado interno: Antes de que la colaboración de Microsoft Entra B2B estuviera disponible, era habitual colaborar con distribuidores, proveedores, vendedores y otros mediante la configuración de credenciales internas para ellos y su designación como invitados estableciendo el objeto de usuario UserType en Invitado. Si tiene usuarios invitados internos como estos, puede invitarlos a usar la colaboración B2B en su lugar para que puedan usar sus propias credenciales, lo que permite a su proveedor de identidades externo administrar la autenticación y su ciclo de vida de la cuenta.
Miembro interno: por lo general, estos usuarios se consideran empleados de su organización. El usuario se autentica internamente a través de Microsoft Entra ID y el objeto de usuario creado en el directorio de Microsoft Entra de recursos tiene un UserType de miembro.
El tipo de usuario que elija tiene, entre otras, las limitaciones siguientes para las aplicaciones o servicios:
- En Azure Virtual Desktop no se admiten miembros externos ni invitados externos.
Importante
La característica de código de acceso de un solo uso por correo electrónico ahora está activada de manera predeterminada para todos los inquilinos nuevos y para los existentes en los que no se haya desactivado explícitamente. Cuando esta característica está desactivada, el método de autenticación de reserva consiste en solicitar invitaciones para crear una cuenta Microsoft.
Canje de invitación
Ahora, veamos el aspecto de un usuario de colaboración B2B de Microsoft Entra ID externa de Microsoft Entra.
Antes del canje de la invitación
Las cuentas de colaboración B2B son el resultado de los usuarios invitados que invitan a colaborar con el uso de las propias credenciales de los usuarios invitados. Cuando se envía inicialmente la invitación al usuario invitado, se crea una cuenta en el inquilino. Esta cuenta no tiene ninguna credencial asociada, ya que la autenticación la realiza el proveedor de identidades del usuario invitado. La propiedad Identities de la cuenta de usuario de invitado del directorio se establece en el dominio de la organización del host hasta que el invitado canjea su invitación. El usuario que envía la invitación se agrega como valor predeterminado del atributo Patrocinador en la cuenta de usuario invitado. En el centro de administración, el perfil del usuario invitado mostrará un estado de invitación de aceptación pendiente. La consulta de externalUserState mediante Microsoft Graph API devolverá Pending Acceptance.
Después del canje de la invitación
Una vez que el usuario de colaboración B2B acepta la invitación, la propiedad Identities se actualiza en base del proveedor de identidades del usuario.
Si el usuario de colaboración B2B usa una cuenta Microsoft o credenciales de otro proveedor de identidades, el Emisor refleja el proveedor de identidades, por ejemplo Cuenta de Microsoft, google.com o facebook.com.
Si el usuario de colaboración B2B usa credenciales de otra organización de Microsoft Entra, la propiedad Identidades es ExternalAzureAD.
Para los usuarios externos que usan credenciales internas, la propiedad Identities se establece en el dominio de organización del host. La propiedad Sincronización de directorioses Sí si la cuenta está hospedada en Active Directory local de la organización y sincronizada con Microsoft Entra ID o No si la cuenta es una cuenta de Microsoft Entra solo en la nube. La información de sincronización de directorios también está disponible mediante la propiedad onPremisesSyncEnabled en Microsoft Graph.
Propiedades de un usuario de colaboración B2B de Microsoft Entra
Nombre principal del usuario
El UPN de un objeto de usuario de colaboración B2B (es decir, los usuarios invitados) contiene el correo electrónico del usuario invitado, seguido de #EXT#, seguido de tenantname.onmicrosoft.com. Por ejemplo, si el usuario john@contoso.com se agrega como usuario externo en el directorio fabrikam, su UPN será john_contoso.com#EXT#@fabrikam.onmicrosoft.com.
Tipo de usuario
Esta propiedad indica la relación del usuario con el espacio host. Esta propiedad puede tener dos valores:
Member: este valor indica un empleado de la organización host y un usuario en la plantilla de dicha organización. Por ejemplo, este usuario espera tener acceso solo a sitios internos. Este usuario no se considera como un colaborador externo.
Invitado: este valor indica un usuario que no se considera interno de la empresa, como un colaborador externo, un asociado o un cliente. Este tipo de usuario no se espera que reciba el memo interno de un director ejecutivo (CEO) o que reciba beneficios de la empresa, por ejemplo.
Nota
UserType no tiene relación alguna con la forma en que el usuario inicia sesión, el rol de directorio del usuario, etc. Esta propiedad simplemente indica la relación del usuario con la organización host y permite a la organización exigir directivas que dependan de esta propiedad.
Identities
Esta propiedad indica el proveedor de identidades principal del usuario. Un usuario puede tener varios proveedores de identidades, que se pueden ver seleccionando el vínculo situado junto a Identities en el perfil del usuario o consultando la propiedad identities a través de Microsoft Graph API.
Nota
Identities y UserType son propiedades independientes. Un valor de Identities no implica un valor concreto de UserType.
Valor de la propiedad Identities
Estado del inicio de sesión
ExternalAzureAD
Este usuario está alojado en una organización externa y se autentica mediante una cuenta de Microsoft Entra que pertenece a la otra organización.
Cuenta Microsoft
El usuario está alojado en una cuenta de Microsoft y se autentica mediante una cuenta de Microsoft.
{dominio del host}
Este usuario se autentica mediante una cuenta de Microsoft Entra que pertenece a esta organización.
google.com
Este usuario tiene una cuenta de Gmail y se ha registrado mediante el autoservicio para la otra organización.
facebook.com
Este usuario tiene una cuenta de Facebook y se ha registrado mediante el autoservicio para la otra organización.
mail
Este usuario se ha registrado mediante el código de acceso de un solo uso (OTP) de correo electrónico de Microsoft Entra External ID.
{issuer URI}
Este usuario se encuentra en una organización externa que no usa el Microsoft Entra ID como proveedor de identidades, sino que usa un proveedor de identidades basado en aserciones de seguridad (SAML)/WS-Fed. El URI del emisor se muestra cuando se hace clic en el campo Identities.
El inicio de sesión telefónico no es compatible con usuarios externos. Las cuentas B2B no pueden usar el valorphone como proveedor de identidades.
Directorio sincronizado
La propiedad Directorio sincronizado indica si el usuario se está sincronizando con Active Directory local y con autenticación local. Esta propiedad es Sí si la cuenta está hospedada en Active Directory local de la organización y sincronizada con Microsoft Entra ID o No si la cuenta es una cuenta de Microsoft Entra solo en la nube. En Microsoft Graph, la propiedad Directorio sincronizado corresponde a onPremisesSyncEnabled.
¿Se pueden agregar usuarios de B2B de Microsoft Entra como miembros, en lugar de como invitados?
Normalmente, un usuario invitado y uno B2B de Microsoft Entra ID son sinónimos. Por tanto, de manera predeterminada los usuarios de colaboración de B2B de Microsoft Entra se agregan como UserType establecido en Invitado de forma predeterminada. Sin embargo, en algunos casos, la organización asociada forma parte de una organización mayor a la que también pertenece la organización host. En ese caso, la organización host puede tratar a los usuarios de la organización asociada como miembros, en lugar de como invitados. Use las API del Administrador de invitaciones de B2B de Microsoft Entra para agregar un usuario de la organización asociada a la organización host como miembro, o para invitarlo.
Filtro de usuarios invitados en el directorio
En la lista Usuarios, puede usar Agregar filtro para mostrar solo los usuarios invitados del directorio.
Conversión de UserType
Es posible convertir UserType de Miembro a Invitado y viceversa editando el perfil del usuario en el Centro de administración de Microsoft Entra o mediante PowerShell. Sin embargo, la propiedad UserType representa la relación del usuario con la organización. Por tanto, debe cambiar esta propiedad solo si cambia la relación del usuario con la organización. Si cambia la relación del usuario, ¿se debe cambiar el nombre principal de usuario (UPN)? ¿Debe el usuario seguir teniendo acceso a los mismos recursos? ¿Debe asignarse un buzón de correo?
Permisos de usuarios invitados
Los usuarios invitados tienen permisos de directorio restringidos predeterminados. Pueden administrar su propio perfil, cambiar su propia contraseña y recuperar algo de información sobre otros usuarios, grupos y aplicaciones. Sin embargo, no pueden leer toda la información del directorio.
Los usuarios invitados B2B no se admiten en los canales compartidos de Microsoft Teams. Para obtener acceso a canales compartidos, consulte Conexión directa B2B.
Puede haber casos en los que desee ofrecer a los usuarios invitados privilegios más altos. Puede agregar un usuario invitado a cualquier rol e, incluso, eliminar las restricciones de usuario invitado predeterminadas en el directorio para concederle los mismos privilegios que a los miembros. Se pueden desactivar las limitaciones predeterminadas para que un usuario invitado del directorio de la empresa tenga los mismos permisos que un usuario que sea miembro. Para más información, consulte el artículo Restricción de permisos de acceso de invitado en Microsoft Entra External ID.
¿Puedo hacer visibles a los usuarios invitados en la lista global de direcciones de Exchange?
Sí. De forma predeterminada, los objetos invitados no son visibles en la lista global de direcciones de su organización, pero puede usar PowerShell de Microsoft Graph para que sean visibles. Para obtener más información, consulte "Incorporación de invitados a la lista global de direcciones" en el artículo sobre el acceso de invitado por grupo en Microsoft 365.
¿Puedo actualizar la dirección de correo electrónico de un usuario invitado?
Si un usuario invitado acepta su invitación y cambia posteriormente su dirección de correo electrónico, el nuevo correo electrónico no se sincroniza automáticamente con el objeto de usuario invitado en el directorio. La propiedad mail se crea a través de Microsoft Graph API. Puede actualizar la propiedad de correo electrónico mediante Microsoft Graph API, el centro de administración de Exchange o PowerShell de Exchange Online. El cambio se reflejará en el objeto de usuario invitado de Microsoft Entra.
La posibilidad de invitar a usuarios externos a usar los recursos de Azure de la empresa es una gran ventaja, pero debe hacerlo de manera segura. Explore cómo habilitar la colaboración externa segura.
Muestre las características de Microsoft Entra ID para modernizar las soluciones de identidad, implementar soluciones híbridas e implementar la gobernanza de identidades.