Sincronización B2B

La aplicación Sincronización de OneDrive ahora permite a los usuarios sincronizar bibliotecas o carpetas en Microsoft SharePoint o Microsoft OneDrive que se han compartido desde otras organizaciones. Este escenario se conoce a menudo como colaboración de negocio a negocio (B2B). Llamamos a esta nueva característica en la aplicación Sincronización de OneDrive "Sincronización B2B".

Microsoft Entra las cuentas de invitado desempeñan un papel clave para que Colaboración B2B sea posible. Una cuenta de invitado de una organización se vincula a una cuenta miembro de otra organización. Una vez creada, una cuenta de invitado permite a los servicios de Microsoft 365, como OneDrive y SharePoint, conceder un permiso de invitado a sitios y carpetas de la misma manera que se concede permiso a un miembro de la organización. Dado que las cuentas de dos organizaciones están vinculadas, el usuario solo debe recordar el nombre de usuario y la contraseña de la cuenta en su organización. Como resultado, un inicio de sesión único en su cuenta permite el acceso al contenido desde su propia organización y desde cualquier otra organización que haya creado cuentas de invitado para ellas.

Importante

Se recomienda habilitar la integración de SharePoint y OneDrive con Microsoft Entra B2B para ayudar a garantizar que la cuenta de invitado Microsoft Entra necesaria para el destinatario del recurso compartido se cree en el directorio de la organización.

Requisitos de sincronización B2B

Para que los usuarios de fuera de la organización sincronicen bibliotecas y carpetas compartidas:

• El uso compartido externo debe estar habilitado para su organización.
• El uso compartido externo debe estar habilitado para el sitio o OneDrive.
• El contenido debe compartirse con personas ajenas a la organización en el nivel de sitio o carpeta. Si se comparte una carpeta, debe ser a través de un vínculo que requiera el inicio de sesión.
• Los destinatarios de uso compartido deben tener una cuenta profesional o educativa de Microsoft 365 (en Microsoft Entra ID) en la misma nube que el inquilino de contenido: Microsoft Azure Commercial, Microsoft Azure Government o Microsoft Azure China. (Tenga en cuenta que Microsoft Azure Commercial contiene los entornos de nube comercial y GCC de Microsoft 365, y Microsoft Azure Government contiene los entornos de nube GCC High y DoD).
• Las directivas de acceso condicional de Microsoft Entra deben ser compatibles con los invitados (más abajo).
• ADAL no se debe habilitar si se usan compilaciones anteriores a la 19.086.*.

En este artículo se proporciona información general sobre la experiencia de sincronización B2B y se describen estos requisitos con más detalle.

Problemas conocidos con esta versión

• El contenido compartido desde un inquilino en una nube (por ejemplo, Microsoft Azure China) no puede ser sincronizado por un usuario en otra nube (por ejemplo, Microsoft Azure Commercial).
• En el Equipo Mac, las miniaturas de archivos a petición no se mostrarán desde los sitios de la organización externa. Las miniaturas se mostrarán correctamente para los archivos de la propia organización del usuario.
• En el Equipo Mac, si la cuenta de invitado se creó con un formato de dirección de correo electrónico diferente al formulario que usan con la aplicación de sincronización, no se puede sincronizar el contenido del sitio externo. Por ejemplo, first.last@fabrikam.com frente a alias@fabrikam.com.
• En el Equipo Mac, el contenido externo se puede colocar en el equipo local en la carpeta de la propia organización del usuario en lugar de en uno con el nombre de la organización externa.
• El cliente de sincronización no admite la interfaz de usuario de autenticación interactiva para cuentas de invitado de una organización externa.

Introducción a la experiencia de sincronización B2B

Este es un ejemplo de lo que sucede después de que alguien de "Contoso" comparta un sitio o una carpeta con alguien en "Fabrikam":

1. El destinatario de Fabrikam recibe un correo electrónico como el siguiente.

   

2. Cuando el destinatario hace clic en el vínculo del correo electrónico para ir al elemento compartido, debe hacer clic en "Cuenta organizativa" para iniciar sesión con su cuenta de Fabrikam. En segundo plano, se crea la cuenta de invitado de Contoso en Microsoft Entra ID.

   

3. Es posible que el destinatario tenga que escribir su nombre de usuario o contraseña de Fabrikam y, a continuación, puede ver el elemento compartido. Si no quieren sincronizar todo lo que se ha compartido, pueden ir a la biblioteca o carpeta que quieran sincronizar. Para configurar la sincronización, deben hacer clic en el botón Sincronizar.

   

4. El explorador del invitado mostrará un mensaje en el que se le preguntará si quiere abrir "Microsoft OneDrive" y tendrá que permitirlo.

5. Si es la primera vez que el invitado usa la aplicación de sincronización con su cuenta de Fabrikam, tendrá que iniciar sesión. La dirección de correo electrónico se establecerá automáticamente en la cuenta de Fabrikam usada en los pasos anteriores. El invitado debe seleccionar "Iniciar sesión".

6. Es posible que el invitado pueda iniciar sesión en la aplicación de sincronización sin escribir su contraseña de Fabrikam si ha iniciado sesión en Windows con la misma cuenta. De lo contrario, tendrán que escribir su contraseña.

7. El invitado confirmará dónde desea sincronizar el elemento compartido en su equipo.

   Nota:

   El contenido se coloca en una carpeta cuyo nombre incluye el nombre de la organización ("SharePoint - Contoso" en este ejemplo). Si el usuario también sincroniza contenido de SharePoint desde Fabrikam, también tendrá una carpeta "SharePoint - Fabrikam".

8. El invitado continuará a través de Sincronización de OneDrive configuración de la aplicación.

9. Una vez que el invitado complete la configuración, el sitio comenzará a sincronizarse. El usuario puede hacer clic en el icono de nube azul en el área de notificación para abrir el centro de actividad Sincronización de OneDrive y ver la sincronización de archivos, abrir la carpeta local con los archivos o abrir el sitio de SharePoint en un explorador web.

Habilitación del uso compartido externo para la organización

Para que los usuarios de su organización puedan compartir con sus asociados en otras organizaciones, el uso compartido externo debe habilitarse en el nivel de organización. Para ello, debe ser un administrador global o de SharePoint en Microsoft 365. Después de habilitar el uso compartido externo en el nivel de organización, puede restringirlo sitio a sitio. La configuración de un sitio puede ser la misma que la configuración de la organización, o más restrictiva, pero no más permisiva.

Puede cambiar la configuración de uso compartido de nivel de organización en dos lugares diferentes (ambos controlan lo mismo):

• En la página Uso compartido del nuevo Centro de administración de SharePoint. Para obtener más información, consulte Cambio de la configuración de uso compartido externo de nivel de organización.
• En el Centro de administración de Microsoft 365, en la página Configuración de la organización>, SharePoint.

Importante

Si permite vínculos cualquiera (a veces denominados vínculos de "acceso anónimo"), estos vínculos no crean cuentas de invitado y, por tanto, el destinatario del recurso compartido externo no podrá aprovechar B2B Sync al recibir ese tipo de vínculo.

Para obtener más información, consulte Introducción al uso compartido externo.

Control del uso compartido externo

Al permitir que los usuarios compartan contenido de su organización externamente, puede usar varias características de Microsoft 365 para administrar quién tiene acceso al contenido. Los administradores y propietarios del sitio pueden revisar los permisos y auditar el acceso a los sitios. Para obtener información, consulte Búsqueda de contenido de sitio compartido con personas ajenas a la organización y Activación de notificaciones de uso compartido externo. Puede habilitar el uso compartido externo solo con dominios de Internet específicos o puede bloquear dominios específicos. Para obtener información, consulte Uso compartido de dominios restringidos. También puede permitir que solo los miembros de grupos de seguridad específicos compartan externamente. Para obtener información, consulta Activar o desactivar el uso compartido externo.

Se recomienda crear sitios independientes (colecciones de sitios, no subsitios) para cada unidad de trabajo que quiera compartir externamente. De este modo, puede anotar claramente los sitios para indicar que las personas ajenas a la organización tienen acceso y evitar la divulgación involuntaria de información. Para usuarios individuales que comparten contenido desde su OneDrive, se recomienda crear carpetas independientes para diferentes proyectos o grupos de colaboración.

Puede quitar el permiso de un invitado a un sitio o carpeta, o puede eliminar la cuenta de invitado para quitar su permiso de todo el contenido de la organización.

Importante

Cualquier contenido sincronizado permanecerá en el equipo del usuario una vez que se hayan quitado los permisos.

Habilitación del uso compartido externo para un sitio

Para ver o cambiar la configuración de uso compartido de cualquier sitio, use el nuevo Centro de administración de SharePoint.

1. Vaya a los Sitios activos en el Centro de administración de SharePoint e inicie sesión con una cuenta que tenga permisos de administrador para su organización.

   Nota:

   Si tiene Office 365 operado por 21Vianet (China), inicie sesión en el Centro de administración de Microsoft 365, vaya al centro de administración de SharePoint y abra la página de Sitios activos.

2. Personalice la vista según sea necesario para ver la columna Uso compartido externo.

3. Si es necesario, cambie la configuración de uso compartido externo para un sitio.

Asegúrese de que las directivas de acceso condicional (CA) de Microsoft Entra son compatibles con el acceso externo.

El administrador de inquilinos puede habilitar varios tipos de directivas de acceso condicional en su inquilino. Cuando un invitado va a acceder al contenido de un inquilino, es posible que tenga que ajustar esas directivas para que los invitados puedan acceder.

• Actualmente, el cliente de sincronización no admite la interfaz de usuario de autenticación interactiva al sincronizar contenido externo. Cualquier directiva que requiera una interfaz de usuario de inicio de sesión, como MFA (autenticación multifactor) o una solicitud TOU (términos de uso), impedirá la sincronización del contenido externo desde ese inquilino. Si un administrador de inquilinos implementa una directiva de este tipo antes de que un invitado empiece a sincronizarse desde ese inquilino, el usuario no podrá establecer la relación de sincronización. Si la directiva se implementa después de que un invitado esté sincronizando contenido del inquilino, ese invitado recibirá un error y no podrá continuar la sincronización desde el inquilino.

• Los inquilinos pueden actualizar sus Términos de uso (TOU) de vez en cuando. Una directiva puede desencadenar que el usuario vea y acepte la TDU actualizada a través de un símbolo del sistema de autenticación interactiva. Dado que la sincronización no admite la interfaz de usuario de inicio de sesión de inquilino externo, la sincronización indicará que no puede sincronizar el contenido del sitio externo.

• El cumplimiento de dispositivos requiere que el inquilino administre las máquinas de usuario y, a continuación, que estén actualizadas con los requisitos. En el caso de los invitados, es probable que sus máquinas estén administradas por su propia organización y, por tanto, no sean compatibles con la necesidad de que el inquilino de uso compartido de contenido administre sus máquinas.

• Las directivas de acceso condicional basadas en ubicación se usan normalmente para aplicar requisitos adicionales como MFA cuando el usuario no se conecta desde una ubicación de confianza (como la red de oficina del inquilino). Normalmente, en un escenario de invitado, la máquina cliente no se ubicará en las ubicaciones de confianza y, dado que la sincronización no admite MFA, es probable que no quiera que esta directiva se aplique a los invitados.

Para obtener más información, consulte Autenticación y acceso condicional para identidades externas.

Métodos de uso compartido

Los sitios y carpetas se pueden compartir de diferentes maneras en SharePoint y OneDrive:

• Si los usuarios sincronizan una carpeta, pueden hacer clic con el botón derecho en ella en Explorador de archivos para compartirla.
• Los usuarios pueden ir al sitio o carpeta de SharePoint en la web y hacer clic en el botón Compartir para compartirlo.
• Los usuarios pueden compartir sitios y carpetas en las aplicaciones móviles de SharePoint y OneDrive.
• Los administradores pueden crear cuentas de invitado y usar el Centro de administración o PowerShell para agregarlas a sitios.

Nota:

Para obtener más información sobre estos métodos, vea Aprender a compartir un sitio y Aprender a compartir una carpeta.

B2B Sync funciona con todos estos métodos de uso compartido. Solo tiene los siguientes requisitos:

• Para que los invitados sincronicen contenido compartido, el contenido debe compartirse en el nivel de sitio o carpeta. Los invitados no pueden sincronizar archivos que se comparten individualmente (por ejemplo, desde las aplicaciones de Office).
• La sincronización B2B solo funciona cuando se crean cuentas de invitado en la organización y cuando el destinatario tiene una cuenta de Microsoft Entra. No funciona cuando los usuarios comparten mediante la creación de un vínculo Cualquiera (también conocido como vínculo de "acceso anónimo") o cuando comparten con personas que tienen una cuenta de Microsoft u otra cuenta personal.

Agregar invitados a sitios de SharePoint

Como administrador de Microsoft 365, puede compartir con personas ajenas a la organización mediante la creación de invitados individualmente en el Centro de administración Microsoft Entra y, a continuación, agregarlos a un sitio de grupo de SharePoint individualmente o agregarlos a un grupo de seguridad que ya tenga permisos para el sitio que desea compartir. Si concede permisos mediante la página de permisos avanzados (en lugar de mediante el botón Compartir sitio), deberá informar al invitado de que le ha concedido permiso para el sitio. No recibirán un correo electrónico de invitación.

Importante

Si usa la página de permisos avanzados, se recomienda conceder permisos en el nivel de sitio, no en el nivel de carpeta o biblioteca de documentos.

Uso de PowerShell para crear cuentas de invitado de forma masiva y agregarlas a un grupo de SharePoint

Si necesita crear y conceder permisos a muchas cuentas de invitado, puede usar el siguiente script de PowerShell, que crea cuentas de invitado y les concede permisos a un sitio. El script toma un archivo CSV (valor separado por comas) como entrada, que contiene una lista de nombres para mostrar de usuario y direcciones de correo electrónico. Para cada nombre y dirección de correo electrónico, se crea una cuenta de invitado y esa cuenta se agrega a un grupo de seguridad para concederle permiso. El script está diseñado para que pueda alimentar el CSV de salida resultante como entrada al script en una ejecución posterior. Esto le permite agregar más usuarios al archivo CSV o volver a intentar crear cualquier cuenta con errores.

Nota:

PowerShell de Azure AD está previsto para su desuso el 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso.

Se recomienda migrar a Microsoft Graph PowerShell para interactuar con Microsoft Entra ID (anteriormente Azure AD). Microsoft Graph PowerShell permite el acceso a todas las API de Microsoft Graph y está disponible en PowerShell 7. Para obtener respuestas a las consultas de migración comunes, consulte las Preguntas más frecuentes sobre la migración.

A medida que los usuarios se agregan al grupo de Microsoft Entra, deben recibir un correo electrónico que les acoge al grupo. Después de ejecutar el script, deberá enviar un correo electrónico a los usuarios con un vínculo directo al sitio de SharePoint al que les dio permisos. Al hacer clic en el vínculo, se les presentará la interfaz de usuario siguiente para aceptar los términos de la invitación. Una vez que acepten, se llevarán al sitio que ha compartido con ellos. En ese momento, pueden hacer clic en el botón Sincronizar para empezar a sincronizar los archivos de sitios con su PC o Mac.

# first line of InviteGuests.ps1 PowerShell script
# requires latest AzureADPreview
# Get-Module -ListAvailable AzureAD*
# Uninstall-Module AzureAD
# Uninstall-Module AzureADPreview
# Install-Module AzureADPreview


# customizable properties for this script

$csvDir = ''
$csvInput = $csvDir + 'BulkInvite.csv'
$csvOutput = $csvDir + 'BulkInviteResults.csv'

$domain = 'YourTenantOrganization.onmicrosoft.com'
$admin = "admin@$domain"
$redirectUrl = 'https://YourTenantOrganization.sharepoint.com/sites/SiteName/'
$groupName = 'SiteName'


# CSV file expected format (with the header row):
# Name,Email
# Jane Doe,jane@contoso.com

$csv = import-csv $csvInput

# will prompt for credentials for the tenantorganization admin account
# (who has permissions to send invites and add to groups)
Connect-AzureAD -TenantDomain $domain -AccountId $admin

$group = (Get-AzureADGroup -SearchString $groupName)

foreach ($row in $csv)
{
    Try
    {
        if ((Get-Member -inputobject $row -name 'error') -and `
            ($row.error -eq 'success'))
        {
            $out = $row  #nothing to do, user already invited and added to group
        }
        else
        {
            echo ("name='$($row.Name)' email='$($row.Email)'")

            $inv = (New-AzureADMSInvitation -InvitedUserEmailAddress $row.Email -InvitedUserDisplayName $row.Name `
                        -InviteRedirectUrl $redirectUrl -SendInvitationMessage $false)

            $out = $row
            $out|Add-Member -MemberType ScriptProperty -force -name 'time' -Value {$(Get-Date -Format u)}
            $out|Add-Member -MemberType ScriptProperty -force -name 'status' -Value {$inv.Status}
            $out|Add-Member -MemberType ScriptProperty -force -name 'userId' -Value {$inv.InvitedUser.Id}
            $out|Add-Member -MemberType ScriptProperty -force -name 'redeemUrl' -Value {$inv.inviteRedeemUrl}
            $out|Add-Member -MemberType ScriptProperty -force -name 'inviteId' -Value {$inv.Id}

            # this will send a welcome to the group email
            Add-AzureADGroupMember -ObjectId $group.ObjectId -RefObjectId $inv.InvitedUser.Id

            $out|Add-Member -MemberType ScriptProperty -force -name 'error' -Value {'success'}
        }
    }
    Catch
    {
        $err = $PSItem.Exception.Message
        $out|Add-Member -MemberType ScriptProperty -force -name 'error' -Value {$err}
    }
    Finally
    {
        $out | export-csv -Path $csvOutput -Append
    }
}

# for more information please see
# https://learn.microsoft.com/azure/active-directory/b2b/b2b-tutorial-bulk-invite
# end of InviteGuests.ps1 powershell script

Para más información, vea:

• Experiencia de canje
• Agregar usuario sin invitación

Cuando un invitado pierde el acceso al contenido compartido

Si se elimina la cuenta de invitado de una persona o se quita su permiso para compartir contenido, la aplicación de sincronización mostrará un error.

• Aparecerá una notificación que indica que no se puede sincronizar la biblioteca.

  

• El icono de OneDrive en el área de notificación mostrará un error.

  

  Cuando el invitado hace clic en el icono, verá un banner de error en el centro de actividad.

  

Configuración de directiva para evitar la sincronización B2B

La característica B2B Sync de la aplicación Sincronización de OneDrive permite a los usuarios de una organización sincronizar contenido compartido con ellos desde otra organización. Si desea evitar que los usuarios de su organización puedan usar B2B Sync, puede establecer un valor de directiva en el equipo Windows o Mac de los usuarios para bloquear la sincronización externa.

Solo tiene que realizar estas acciones si desea evitar que los usuarios de su organización usen la característica B2B Sync (para evitar la sincronización de bibliotecas y carpetas compartidas desde otras organizaciones).

La nueva configuración de BlockExternalSync se describe en los archivos adm\OneDrive.admx y OneDrive.adml instalados como parte de la compilación de producto de Sincronización de OneDrive 19.086.* o posterior. Si usa ADM para administrar las directivas de la aplicación de sincronización, importe los nuevos archivos como lo haría normalmente para ver la nueva configuración.

Si usa otros sistemas de administración para implementar directivas en los equipos Windows de los usuarios, use el equivalente del siguiente comando para evitar la sincronización B2B:

reg add "HKLM\SOFTWARE\Policies\Microsoft\OneDrive" /v BlockExternalSync /t REG_DWORD /d 1

En un Equipo Mac con la versión de Apple Store de OneDrive, use el equivalente del siguiente comando para evitar la sincronización B2B:

defaults write com.microsoft.OneDrive-mac BlockExternalSync -bool YES

En un Equipo Mac con la versión independiente de OneDrive, use el equivalente del siguiente comando para evitar la sincronización B2B:

defaults write com.microsoft.OneDrive BlockExternalSync -bool YES