Partager via


Configurer les paramètres de collaboration externe pour B2B dans Microsoft Entra External ID

S'applique à :Cercle vert avec une coche blanche. Locataires de la main-d'œuvre, Cercle blanc avec un symbole X gris.locataires externes (en savoir plus)

Les paramètres de collaboration externe vous permettent de spécifier les rôles de votre organisation qui peuvent inviter des utilisateurs externes pour la collaboration B2B. Ces paramètres incluent également des options permettant d’autoriser ou de bloquer des domaines spécifiques, ainsi que des options permettant de restreindre ce que les utilisateurs invités externes peuvent voir dans votre répertoire Microsoft Entra. Les options suivantes sont disponibles :

  • Déterminer l’accès des utilisateurs invités : Microsoft Entra External ID vous permet de restreindre ce que les utilisateurs invités externes peuvent voir dans votre répertoire Microsoft Entra. Par exemple, vous pouvez limiter l’affichage des appartenances de groupe aux utilisateurs invités ou autoriser les invités à afficher uniquement leurs propres informations de profil.

  • Spécifier qui peut inviter des invités : par défaut, tous les utilisateurs de votre organisation, y compris les utilisateurs invités de collaboration B2B, peuvent inviter des utilisateurs externes à la collaboration B2B. Si vous souhaitez limiter la capacité à envoyer des invitations, vous pouvez activer ou désactiver les invitations pour tout le monde ou limiter les invitations à certains rôles.

  • Activer l’inscription en libre-service des invités via des flux d’utilisateurs : pour les applications que vous créez, vous pouvez créer des flux d’utilisateurs qui permettent à un utilisateur de s’inscrire à une application et de créer un nouveau compte invité. Vous pouvez activer la fonctionnalité dans vos paramètres de collaboration externe, puis Ajouter un flux d’utilisateur d’inscription en libre-service.

  • Autoriser ou bloquer des domaines : vous pouvez utiliser des restrictions de collaboration pour autoriser ou refuser les invitations aux domaines que vous spécifiez. Pour plus d’informations, consultez Autoriser ou bloquer des domaines.

Pour la collaboration B2B avec d’autres organisations Microsoft Entra, vous devez également vérifier vos paramètres d’accès inter-locataires afin de garantir que votre collaboration B2B entrante et sortante et l’étendue de l’accès sont limités à des utilisateurs, des groupes et des applications spécifiques.

Note

À compter de juillet 2025, Microsoft commence à déployer une mise à jour de l’expérience de connexion de l’utilisateur invité pour B2B Collaboration. Le lancement se poursuit jusqu’à la fin de 2025. Avec cette mise à jour, les utilisateurs invités accèdent initialement à la page de connexion de votre organisation. Après avoir entré leur adresse e-mail et sélectionné Suivant, ils sont redirigés vers la page de connexion de leur propre organisation pour fournir leurs informations d’identification. Les utilisateurs invités voient la marque et le point de terminaison URL de leur locataire d’origine Cette étape garantit une plus grande clarté concernant les informations de connexion à utiliser. Après une authentification réussie dans leur propre organisation, les utilisateurs invités sont renvoyés à votre organisation pour terminer le processus de connexion. Cette mise à jour est conçue pour rendre la connexion moins déroutante pour les invités d’autres organisations. Aucune action administrative n’est requise avant le déploiement. Nous vous recommandons d’examiner votre configuration B2B Collaboration actuelle pour évaluer tout impact potentiel.

Configurer les paramètres dans le portail

Dans le Centre d’administration Microsoft Entra, vous devez avoir le rôle Administrateur général pour activer la page Paramètres de collaboration externe et mettre à jour les paramètres. Lors de l’utilisation de Microsoft Graph, des rôles privilégiés moindres peuvent être disponibles pour des paramètres individuels ; Consultez Configurer les paramètres avec Microsoft Graph plus loin dans cet article.

Pour configurer l’accès des utilisateurs invité

  1. Connectez-vous au centre d’administration Microsoft Entra.

  2. Accédez à Entra ID>Identités externes>paramètres de collaboration externe.

  3. Sous Accès de l’utilisateur invité, choisissez le niveau d’accès que les utilisateurs invités doivent avoir :

    Capture d'écran montrant les paramètres d'accès des utilisateurs invités.

    • Les utilisateurs invités ont le même accès que les membres (le plus inclusif) : cette option donne aux invités le même accès aux ressources Microsoft Entra et aux données d’annuaire que les utilisateurs membres.

    • Les utilisateurs invités ont un accès limité aux propriétés et aux appartenances des objets d’annuaire : (par défaut) ce paramètre empêche les invités d’effectuer certaines tâches d’annuaire, telles que l’énumération des utilisateurs, des groupes ou d’autres ressources d’annuaire. Les invités peuvent voir l’appartenance de tous les groupes non masqués. En savoir plus sur les permissions par défaut des invités.

    • L’accès des utilisateurs invités est limité aux propriétés et aux appartenances de leurs propres objets d’annuaire (le plus restrictif) : avec ce paramètre, les invités peuvent accéder uniquement à leurs propres profils. Guests aren't allowed to see other users' profiles, groups, or group memberships.

Pour configurer les paramètres d’invitation des invités

  1. Connectez-vous au centre d’administration Microsoft Entra.

  2. Accédez à Entra ID>Identités externes>paramètres de collaboration externe.

  3. Sous Paramètres d’invitation d’invités, choisissez les paramètres appropriés :

    Capture d'écran montrant les paramètres d'invitation des invités

    • Tout le monde dans l’organisation peut inviter des utilisateurs invités, y compris les invités et les non-administrateurs (le plus inclusif) : pour autoriser les invités de l’organisation à inviter d’autres invités, y compris les utilisateurs qui ne sont pas membres d’une organisation, sélectionnez ce bouton radio.
    • Les utilisateurs membres et les utilisateurs affectés à des rôles d’administrateur spécifiques peuvent inviter des utilisateurs invités, y compris les invités disposant de permissions de membre : pour autoriser les utilisateurs membres et les utilisateurs disposant de rôles d’administrateur spécifiques à inviter des invités, sélectionnez ce bouton radio.
    • Seuls les utilisateurs affectés à des rôles d’administrateur spécifiques peuvent inviter des utilisateurs invités : pour autoriser uniquement les utilisateurs disposant des rôles Administrateur utilisateur ou Inviteur d’invités à inviter des invités, sélectionnez ce bouton radio.
    • Personne dans l’organisation ne peut inviter d’utilisateurs invités, y compris les administrateurs (option la plus restrictive) : pour empêcher tous les membres de l’organisation d’inviter des invités, sélectionnez ce bouton radio.

Pour configurer l’inscription en libre-service des invités

  1. Connectez-vous au centre d’administration Microsoft Entra.

  2. Accédez à Entra ID>Identités externes>paramètres de collaboration externe.

  3. Sous Activer l’inscription en libre-service d’invité via des flux utilisateur, sélectionnez Oui si vous souhaitez pouvoir créer des flux d’utilisateurs pour permettre aux utilisateurs de s’inscrire auprès des applications. Pour plus d’informations sur ce paramètre, consultez Ajouter un flux d’utilisateurs d’inscription en libre-service à une application.

    Capture d'écran montrant l'inscription en libre-service via le paramètre des flux d'utilisateurs.

Pour configurer les paramètres de départ des utilisateurs externes

  1. Connectez-vous au centre d’administration Microsoft Entra.

  2. Accédez à Entra ID>Identités externes>paramètres de collaboration externe.

  3. Sous Paramètres de départ de l’utilisateur externe, vous pouvez contrôler si les utilisateurs externes peuvent se supprimer de votre organisation.

    • Oui : les utilisateurs peuvent quitter l’organisation eux-mêmes sans l’approbation de votre administrateur ou de votre contact de confidentialité.
    • Non : les utilisateurs ne peuvent pas quitter votre organisation eux-mêmes. Ils voient un message les invitant à contacter votre administrateur ou votre contact de confidentialité pour demander leur suppression de votre organisation.

    Importante

    Vous pouvez configurer les paramètres de départ des utilisateurs externes uniquement si vous avez ajouté vos informations de confidentialité à votre locataire Microsoft Entra. Sinon, ce paramètre n’est pas disponible.

    Capture d’écran montrant les paramètres de congé des utilisateurs externes dans le portail.

Pour configurer les restrictions de collaboration (autoriser ou bloquer des domaines)

Importante

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cette pratique permet d’améliorer la sécurité de votre organisation. L’administrateur général est un rôle hautement privilégié qui doit être limité aux scénarios d’urgence ou lorsque vous ne pouvez pas utiliser de rôle existant.

  1. Connectez-vous au centre d’administration Microsoft Entra.

  2. Accédez à Entra ID>Identités externes>paramètres de collaboration externe.

  3. Sous Restrictions de collaboration, vous pouvez choisir d’autoriser ou de refuser les invitations aux domaines que vous spécifiez. Vous pouvez notamment entrer des noms de domaine spécifiques dans les zones de texte. Pour plusieurs domaines, entrez chaque domaine sur une nouvelle ligne. Pour plus d’informations, consultez Autoriser ou bloquer des invitations aux utilisateurs B2B à partir d’organisations spécifiques.

    Capture d'écran montrant les paramètres de restriction de la collaboration.

Configurer les paramètres avec Microsoft Graph

Les paramètres de collaboration externe peuvent être configurés à l’aide de l’API Microsoft Graph :

  • Pour les restrictions d’accès des utilisateurs invités et les restrictions d’invitation d’invités, utilisez le type de ressource authorizationPolicy.
  • Pour le paramètre Activer l’inscription en libre-service des invités via les flux d’utilisateurs, utilisez le type de ressource authenticationFlowsPolicy.
  • Pour les paramètres de congé d’utilisateur externe, utilisez le type de ressource externalidentitiespolicy .
  • Pour les paramètres de code d’accès unique par e-mail (désormais sur la page Tous les fournisseurs d’identité dans le centre d’administration Microsoft Entra), utilisez le type de ressource emailAuthenticationMethodConfiguration.

Affecter le rôle Inviteur d’invités à un utilisateur

Avec le rôle Inviter des invités, vous pouvez donner à des utilisateurs individuels la possibilité d’inviter des invités sans leur attribuer un rôle d’administrateur avec des privilèges supérieurs. Les utilisateurs disposant du rôle Inviter des invités peuvent inviter des invités même lorsque l’option Seuls les utilisateurs affectés à des rôles d’administrateur spécifiques peuvent inviter des utilisateurs invités est sélectionnée (sous Paramètres d’invitation des invités).

Voici un exemple qui montre comment utiliser Microsoft Graph PowerShell pour ajouter un utilisateur au rôle Guest Inviter :


Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

Journaux de connexion pour les utilisateurs B2B

Lorsqu’un utilisateur B2B se connecte à un locataire de ressources pour collaborer, un journal de connexion est généré à la fois dans le locataire de base et dans le locataire de la ressource. Ces journaux incluent des informations telles que l’application utilisée, les adresses e-mail, le nom du locataire et l’ID de locataire pour le locataire de base et le locataire de la ressource.

Étapes suivantes

Consultez les articles suivants sur la collaboration B2B Microsoft Entra :