Propriétés d’un utilisateur Azure Active Directory B2B Collaboration

B2B Collaboration est une fonctionnalité d’Azure AD External Identities qui vous permet de collaborer avec des utilisateurs et des partenaires extérieurs à votre organisation. Avec B2B Collaboration, un utilisateur externe est invité à se connecter à votre organisation Azure AD à l’aide de ses propres informations d’identification. Il peut alors accéder aux applications et aux ressources que vous souhaitez partager avec lui. Un objet utilisateur est créé pour l’utilisateur de collaboration B2B dans le même répertoire que celui utilisé pour vos employés. Les objets utilisateurs de collaboration B2B ont des privilèges limités dans votre répertoire par défaut, et ils peuvent être gérés comme des employés, ajoutés à des groupes, etc. Cet article décrit les propriétés de cet objet utilisateur et explique comment le gérer.

Le tableau suivant décrit les utilisateurs B2B Collaboration en fonction de la façon dont ils s’authentifient (en interne ou en externe) et de leur relation avec votre organisation (invité ou membre).

Diagramme montrant les utilisateurs de B2B Collaboration.

  • Invité externe : la plupart des utilisateurs couramment considérés comme des utilisateurs externes ou des invités appartiennent à cette catégorie. Cet utilisateur B2B Collaboration dispose d’un compte dans une organisation Azure AD externe ou un fournisseur d’identité externe (par exemple une identité sociale) et possède des autorisations au niveau de l’invité dans l’organisation de ressources. L’objet utilisateur créé dans le répertoire resource Azure AD a pour UserType Invité.
  • Membre externe : cet utilisateur B2B Collaboration dispose d’un compte dans une organisation Azure AD externe ou un fournisseur d’identité externe (par exemple une identité sociale) et possède un accès au niveau du membre aux ressources de votre organisation. Ce scénario est courant dans les organisations qui se composent de plusieurs locataires, où les utilisateurs sont considérés comme faisant partie de l’organisation au sens large et ont besoin d’un accès au niveau du membre aux ressources des autres locataires de l’organisation. L’objet utilisateur créé dans le répertoire resource Azure AD a pour UserType Membre.
  • Invité interne : avant que Azure AD B2B Collaboration ne soit disponible, il était courant, dans le but de collaborer avec des distributeurs, fournisseurs, prestataires et autres, de configurer pour eux des informations d’identification internes et de les désigner comme invités en définissant l’objet utilisateur UserType sur Invité. Si vous avez des utilisateurs invités internes comme ceux-ci, vous pouvez les inviter à utiliser B2B Collaboration pour qu’ils puissent se servir de leurs propres informations d’identification. Leur fournisseur d’identité externe gérera ainsi l’authentification et le cycle de vie de leur compte.
  • Membre interne : ces utilisateurs sont généralement considérés comme des employés de votre organisation. L’utilisateur s’authentifie en interne par le biais d’Azure AD. L’objet utilisateur créé dans le répertoire resource Azure AD a comme UserType Membre.

Important

La fonctionnalité de code secret à usage unique par e-mail est désormais activée par défaut pour tous les nouveaux locataires et pour tous les locataires existants où vous ne l’avez pas explicitement désactivée. Quand cette fonctionnalité est désactivée, la méthode d’authentification de secours consiste à inviter les invités à créer un compte Microsoft.

Échange d’invitation

À présent, voyons à quoi ressemble un utilisateur Azure AD B2B Collaboration dans Azure AD.

Avant l'utilisation de l'invitation

Les comptes utilisateurs B2B Collaboration sont le résultat de l’invitation d’utilisateurs à collaborer à l’aide de leurs propres informations d’identification. Quand l’invitation est initialement envoyée à l’utilisateur invité, un compte est créé dans votre locataire. Ce compte n’est pas associé à des informations d’identification, car l’authentification est effectuée par le fournisseur d’identité de l’utilisateur invité. La propriété Identities du compte d’utilisateur invité dans votre annuaire est définie sur le domaine de l’organisation de l’hôte jusqu’à ce que l’invité accepte son invitation. Dans le portail, le profil de l’utilisateur invité affiche un état d’utilisateur externe de PendingAcceptance. Interroger externalUserState avec l’API Microsoft Graph retourne Pending Acceptance.

Capture d’écran du profil utilisateur avant acceptation de l’invitation.

Après l'utilisation de l'invitation

Quand l’utilisateur B2B Collaboration accepte l’invitation, la propriété Identities est mise à jour selon le fournisseur d’identité de l’utilisateur.

  • Si l’utilisateur B2B Collaboration utilise un compte Microsoft ou des informations d’identification d’un autre fournisseur d’identité externe, la propriété Identities reflète le fournisseur d’identité, par exemple Compte Microsoft, google.com ou facebook.com.

    Capture d’écran du profil utilisateur après acceptation de l’invitation.

  • Si l’utilisateur B2B Collaboration utilise des informations d’identification d’une autre organisation Azure AD, la propriété Identities devient Azure AD externe.

  • Dans le cas des utilisateurs externes qui se servent d’informations d’identification internes, la propriété Identities est définie sur le domaine d’organisation de l’hôte. La propriété Annuaire synchronisé possède la valeur Oui si le compte est hébergé dans l’annuaire Active Directory local de l’organisation et synchronisé avec Azure AD, Non s’il s’agit d’un compte Azure AD cloud uniquement. Les informations de synchronisation d’annuaires sont également disponibles par le biais de la propriété onPremisesSyncEnabled dans Microsoft Graph.

Propriétés clés de l’utilisateur Azure AD B2B collaboration

Nom d’utilisateur principal

Le nom d’utilisateur principal d’un objet utilisateur B2B Collaboration contient un identificateur #EXT#.

Type d’utilisateur

Cette propriété indique la relation de l’utilisateur avec la location hôte. Cette propriété peut avoir deux valeurs :

  • Membre : cette valeur indique un employé de l’organisation hôte et un utilisateur qui fait partie des effectifs de l’organisation. Par exemple, cet utilisateur ne peut accéder qu’à des sites internes. Il n’est pas considéré comme un collaborateur externe.

  • Invité : cette valeur indique un utilisateur qui n’est pas considéré comme interne à l’entreprise, par exemple un collaborateur externe, un partenaire ou un client. Un tel utilisateur n’est pas censé recevoir de mémo interne du PDG ou bénéficier des avantages de la société, par exemple.

Notes

La valeur UserType n’a aucun lien avec le mode de connexion de l’utilisateur, le rôle d’annuaire de l’utilisateur, etc. Cette propriété indique simplement la relation de l’utilisateur avec l’organisation hôte et permet à l’organisation d’appliquer des stratégies qui dépendent de cette propriété.

Identities

Cette propriété indique le fournisseur d’identité principal de l’utilisateur. Un utilisateur peut avoir plusieurs fournisseurs d’identité, qu’il est possible de voir en sélectionnant le lien à côté de la propriété Identities dans le profil utilisateur ou en interrogeant la propriété onPremisesSyncEnabled via l’API Microsoft Graph.

Notes

Les propriétés Identities et UserType sont indépendantes. Une valeur dans Identities n’implique pas de valeur UserType particulière.

Valeur de la propriété Identities État de connexion
Azure AD externe Cet utilisateur est hébergé dans une organisation externe et s’authentifie à l’aide d’un compte Azure AD qui appartient à l’autre organisation.
Compte Microsoft Cet utilisateur est hébergé dans un compte Microsoft et s’authentifie à l’aide d’un compte Microsoft.
{domaine de l’hôte} Cet utilisateur s’authentifie à l’aide d’un compte Azure AD qui appartient à cette organisation.
google.com Cet utilisateur dispose d’un compte Gmail et s’est inscrit en libre-service auprès de l’autre organisation.
facebook.com Cet utilisateur dispose d’un compte Facebook et s’est inscrit en libre-service auprès de l’autre organisation.
mail Cet utilisateur possède une adresse e-mail qui ne correspond pas à des domaines Azure AD ou SAML/WS-Fed vérifiés. Il ne s’agit pas d’une adresse Gmail ni d’un compte Microsoft.
phone Cet utilisateur possède une adresse e-mail qui ne correspond pas à un domaine Azure AD vérifié ni à un domaine SAML/WS-Fed. Il ne s’agit pas d’une adresse Gmail ni d’un compte Microsoft.
{URI de l’émetteur} Cet utilisateur est hébergé dans une organisation externe qui n’utilise pas Azure Active Directory comme fournisseur d’identité, mais un fournisseur d’identité SAML/WS-Fed. L’URI de l’émetteur apparaît quand l’utilisateur clique sur le champ Identities.

Annuaire synchronisé

La propriété Annuaire synchronisé indique si l’utilisateur est synchronisé avec un annuaire Active Directory local et s’il est authentifié localement. Elle possède la valeur Oui si le compte est hébergé dans l’annuaire Active Directory local de l’organisation et synchronisé avec Azure AD, Non s’il s’agit d’un compte Azure AD cloud uniquement. Dans Microsoft Graph, elle correspond à onPremisesSyncEnabled.

Des utilisateurs Azure AD B2B peuvent-ils être ajoutés en tant que membres plutôt qu’en tant qu’invités ?

En règle générale, un utilisateur Azure AD B2B et un utilisateur invité sont synonymes. Par conséquent, un utilisateur Azure AD B2B Collaboration est par défaut ajouté avec la propriété UserType définie sur Invité. Toutefois, dans certains cas, l’organisation partenaire est un membre d’une organisation plus vaste à laquelle appartient également l’organisation hôte. Il est alors possible que l’organisation hôte veuille traiter les utilisateurs de l’organisation partenaire comme membres plutôt que comme invités. Utilisez les API du Gestionnaire d’invitations Azure AD B2B pour ajouter ou inviter un utilisateur de l’organisation partenaire dans l’organisation hôte en tant que membre.

Filtrer les utilisateurs invités dans l’annuaire

Dans la liste Utilisateurs, vous pouvez utiliser Ajouter un filtre pour afficher uniquement les utilisateurs invités dans votre annuaire.

Capture d’écran montrant comment ajouter un filtre Type d’utilisateur pour les invités.

Capture d’écran montrant le filtre pour les utilisateurs invités.

Convertir la propriété UserType

Pour convertir UserType de Membre en Invité et inversement, modifiez le profil de l’utilisateur sur le Portail Azure ou avec PowerShell. Toutefois, la propriété UserType représente la relation de l’utilisateur avec l’organisation. Vous ne devez donc changer cette propriété que si la relation de l’utilisateur avec l’organisation change. Le changement de cette relation de l’utilisateur nécessite-t-il le changement du nom d’utilisateur principal (UPN) ? L’utilisateur doit-il continuer à avoir accès aux mêmes ressources ? Une boîte aux lettres doit-elle être attribuée ?

Autorisations d’utilisateur invité

Les utilisateurs invités disposent d’autorisations d’annuaire limitées par défaut. Ils peuvent gérer leur propre profil, modifier leur propre mot de passe et récupérer des informations sur d’autres utilisateurs, groupes et applications. Toutefois, ils ne peuvent pas lire toutes les informations d’annuaire.

Les utilisateurs invités B2B ne sont pas pris en charge dans les canaux partagés Microsoft Teams. Pour accéder aux canaux partagés, consultez Connexion directe B2B.

Dans certains cas, vous souhaiterez peut-être donner aux utilisateurs invités des privilèges plus élevés. Vous pouvez ajouter un utilisateur invité à un rôle quelconque et même supprimer les restrictions d’utilisateur invité par défaut dans le répertoire afin d’attribuer à l’utilisateur les mêmes privilèges que les membres. Il est possible de désactiver les limitations par défaut afin qu’un utilisateur invité dans l’annuaire de la société ait les mêmes autorisations qu’un utilisateur membre. Pour plus d’informations, consultez l’article Restreindre les autorisations d’accès invité dans Azure Active Directory.

Capture d’écran montrant l’option Utilisateurs externes dans les paramètres utilisateur.

Puis-je rendre les utilisateurs invités visibles dans la liste d’adresses globale Exchange ?

Oui. Par défaut, les objets invités ne sont pas visibles dans la liste d’adresses globale de votre organisation, mais vous pouvez utiliser Azure Active Directory PowerShell pour les rendre visibles. Pour plus d’informations, consultez « Ajouter des invités à la liste d’adresses globale » dans l’article relatif à l’accès invité par groupe dans Microsoft 365.

Puis-je mettre à jour l’adresse de messagerie d’un utilisateur invité ?

Si un utilisateur invité accepte votre invitation et qu’il modifie par la suite son adresse e-mail, le nouvel e-mail n’est pas automatiquement synchronisé avec l’objet utilisateur invité dans votre annuaire. La propriété de messagerie est créée via Microsoft API Graph. Vous pouvez mettre à jour la propriété de messagerie via l’API Microsoft Graph, le centre d’administration Exchange ou Exchange Online PowerShell. La modification sera reflétée dans l’objet utilisateur invité Azure AD.

Étapes suivantes