Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : Locataires de main-d’œuvre
Locataires externes (en savoir plus)
Cet article explique le processus d’échange d’invitations Microsoft Entra B2B pour les utilisateurs invités, notamment comment ils accèdent à vos ressources et effectuent les étapes de consentement requises. Que vous envoyiez un e-mail d’invitation ou fournissez un lien direct, les invités sont guidés par le biais d’un processus de connexion et de consentement sécurisé pour garantir la conformité aux conditions d’utilisation et aux conditions d’utilisation de votre organisation.
Lorsque vous ajoutez un utilisateur invité à votre annuaire, le compte d’utilisateur invité présente un état de consentement (affichable dans PowerShell) qui est initialement défini sur PendingAcceptance. Ce paramètre est maintenu jusqu’à ce que l’invité accepte votre invitation et approuve votre politique de confidentialité ainsi que vos conditions d’utilisation. Après cela, l’état de consentement passe à Accepté, et les pages de consentement ne sont plus présentées à l’invité.
Important
- À partir du 12 juillet 2021, si les clients B2B de Microsoft Entra configurent de nouvelles intégrations Google pour une utilisation avec l’inscription en libre-service pour leurs applications métier ou personnalisées, l’authentification avec les identités Google ne fonctionnera pas tant que les authentifications ne seront pas déplacées vers les vues web du système. Plus d’informations
- À partir du 30 septembre 30, 2021, Google déprécie la prise en charge de la connexion aux vues web intégrée. Si vos applications authentifient les utilisateurs avec une vue web incorporée et que vous utilisez la Fédération des services Google avec Azure AD B2C ou Microsoft Entra B2B pour des invitations utilisateur externes ou une inscription en libre-service, les utilisateurs de Google Gmail ne pourront pas s’authentifier. Plus d’informations
- La fonctionnalité de code secret à usage unique par e-mail est désormais activée par défaut pour tous les nouveaux locataires et pour tous les locataires existants où vous ne l’avez pas explicitement désactivée. Quand cette fonctionnalité est désactivée, la méthode d’authentification de secours consiste à inviter les invités à créer un compte Microsoft.
Processus d’acceptation et connexion par un point de terminaison commun
Les utilisateurs invités peuvent désormais se connecter à vos applications mutualisées ou Microsoft via un point de terminaison commun (URL), par exemple https://myapps.microsoft.com
. Jusqu’ici, une URL commune redirigeait l’utilisateur invité vers son locataire d’origine au lieu de votre locataire de ressources pour l’authentification. Un lien spécifique au locataire était donc nécessaire (par exemple https://myapps.microsoft.com/?tenantid=<tenant id>
). Désormais, l’utilisateur invité peut accéder à l’URL commune de l’application, choisir Options de connexion, puis sélectionner Sign in to an organization (Se connecter à une organisation). L’utilisateur tape ensuite le nom de domaine de votre organisation.
L’utilisateur est ensuite redirigé vers votre point de terminaison propre au locataire, où il peut soit se connecter avec son adresse e-mail, soit sélectionner un fournisseur d’identité que vous avez configuré.
Processus d’acceptation par un lien direct
En guise d’alternative à l’adresse e-mail d’invitation ou à l’URL commune d’une application, donnez à un invité un lien direct vers votre application ou portail. Tout d’abord, ajoutez l’utilisateur invité à votre annuaire via le Centre d’administration Microsoft Entra ou PowerShell. Utilisez ensuite l’une des méthodes personnalisables pour déployer des applications sur des utilisateurs, y compris des liens d’authentification directe. Lorsqu’un invité utilise un lien direct au lieu de l’e-mail d’invitation, il est toujours guidé par le biais de la première expérience de consentement.
Notes
Un lien direct est spécifique au locataire. En d’autres termes, il inclut un ID de locataire ou un domaine vérifié pour permettre à l’invité d’être authentifié dans votre locataire, là où se trouve l’application partagée. Voici quelques exemples de liens directs avec contexte de locataire :
- Panneau d’accès des applications :
https://myapps.microsoft.com/?tenantid=<tenant id>
- Panneau d’accès des applications pour un domaine vérifié :
https://myapps.microsoft.com/<;verified domain>
- Centre d’administration Microsoft Entra :
https://entra.microsoft.com/<tenant id>
- Application individuelle : voir comment utiliser un lien d’authentification directe
Voici quelques points à noter concernant l’utilisation d’un lien direct par opposition à un e-mail d’invitation :
Alias d’e-mail : Les invités qui utilisent un alias de l’adresse e-mail qui a été invitée ont besoin d’une invitation par e-mail. (Un alias est une autre adresse e-mail associée à un compte e-mail.) L’utilisateur doit sélectionner l’URL d’acceptation dans l’e-mail d’invitation.
Objets contact en conflit : le processus d’acceptation a été mis à jour pour éviter les problèmes de connexion quand un objet utilisateur invité est en conflit avec un objet contact dans l’annuaire. Chaque fois que vous ajoutez ou invitez un invité avec un e-mail qui correspond à un contact existant, la propriété proxyAddresses de l’objet utilisateur invité est laissée vide. Auparavant, la solution ID externe recherchait uniquement la propriété proxyAddresses. L’acceptation par lien direct échouait donc quand aucune correspondance n’était trouvée. Désormais, ID externe recherche à la fois les propriétés proxyAddresses et les propriétés des e-mails invités.
Processus d’acceptation par l’e-mail d’invitation
Lorsque vous ajoutez un utilisateur invité à votre annuaire à l’aide du Centre d’administration Microsoft Entra, un e-mail d’invitation est envoyé à l’invité. Vous pouvez également choisir d’envoyer des e-mails d’invitation lorsque vous utilisez PowerShell pour ajouter des utilisateurs invités à votre annuaire. Voici une description de l’expérience de l’invité lorsqu’il accepte le lien dans l’e-mail.
- L’invité reçoit un e-mail d’invitation qui est envoyé depuis Invitations Microsoft.
- L’invité sélectionne Accepter l’invitation dans l’e-mail.
- L’invité utilise ses propres informations d’identification pour se connecter à votre annuaire. Si l’invité n’a pas de compte qui peut être fédéré à votre annuaire et que la fonctionnalité de code secret à usage unique (OTP) de messagerie électronique n’est pas activée, l’invité est invité à créer un compte Microsoft personnel (MSA). Pour plus d’informations, reportez-vous au flux d’acceptation d’invitation.
- L’invité est guidé tout au long de l’expérience de consentement décrite ci-dessous.
Flux d’acceptation d’invitation
Lorsqu’un utilisateur sélectionne le lien Accepter l’invitation dans un e-mail d’invitation, l’ID Microsoft Entra échange automatiquement l’invitation en fonction de l’ordre d’échange par défaut :
Microsoft Entra ID effectue une découverte basée sur l’utilisateur pour déterminer si l’utilisateur existe déjà dans un tenant (locataire) Microsoft Entra managé. (Les comptes Microsoft Entra non gérés ne peuvent plus être utilisés pour le flux d’échange.) Si le nom d’utilisateur principal (UPN) de l’utilisateur correspond à la fois à un compte Microsoft Entra existant et à un MSA personnel, l’utilisateur est invité à choisir le compte avec lequel il souhaite échanger.
Si un administrateur a activé la fédération SAML/WS-Fed IdP, Microsoft Entra ID vérifie si le suffixe de domaine de l’utilisateur correspond au domaine d’un fournisseur d’identité SAML/WS-Fed configuré et redirige l’utilisateur vers le fournisseur d’identité préconfiguré.
Si un administrateur a activé la Fédération des services Google, Microsoft Entra ID vérifie si le suffixe de domaine de l’utilisateur est gmail.com ou googlemail.com et le redirige vers Google.
Le processus d’acceptation vérifie si l’utilisateur dispose d’un MSA personnel. Si l’utilisateur dispose déjà d’un MSA existant, il se connecte avec son MSA existant.
Une fois que le répertoire de base de l’utilisateur est identifié, l’utilisateur est envoyé au fournisseur d’identité correspondant pour se connecter.
Si aucun annuaire de base n’est trouvé et que la fonctionnalité de code secret à usage unique par e-mail est activée pour les invités, un code secret est envoyé à l’utilisateur via l’e-mail invité. L’utilisateur récupère et entre ce code secret dans la page de connexion Microsoft Entra.
Si aucun annuaire de base n’est trouvé et que la fonctionnalité de code secret à usage unique par e-mail pour les invités est désactivée, l’utilisateur est invité à créer un MSA consommateur avec l’e-mail invité. Nous prenons en charge la création d’un MSA avec des e-mails professionnels dans des domaines qui ne sont pas vérifiés dans Microsoft Entra ID.
Après s’être authentifié auprès du fournisseur d’identité approprié, l’utilisateur est redirigé vers Microsoft Entra ID pour terminer l’expérience de consentement.
Acceptation configurable
L’acceptation configurable vous permet de personnaliser l’ordre des fournisseurs d’identité présentés aux invités lorsqu’ils acceptent vos invitations. Lorsqu’un invité sélectionne le lien Accepter l’invitation, Microsoft Entra ID accepte automatiquement l’invitation selon l’ordre par défaut. Remplacez cette option en modifiant l’ordre d’échange du fournisseur d’identité dans vos paramètres d’accès interlocataire.
Expérience de consentement de l’invité
Lorsqu’un invité se connecte pour la première fois à une ressource d’une organisation partenaire, l’expérience de consentement suivante lui est présentée. Ces pages de consentement sont affichées à l’invité uniquement après la connexion, et elles ne sont pas affichées du tout si l’utilisateur les a déjà acceptées.
L’invité passe en revue la page Vérifier les autorisations décrivant la déclaration de confidentialité de l’organisation invitante. Un utilisateur doit accepter l’utilisation de ses informations conformément aux politiques de confidentialité de l’organisation invitante pour continuer.
En acceptant cette invite de consentement, vous consentez à ce que certains éléments de votre compte soient partagés. Il s’agit notamment de votre nom, de votre photo et de votre adresse e-mail, ainsi que des identificateurs d’annuaire qui peuvent être utilisés par l’autre organisation pour mieux gérer votre compte et améliorer votre expérience inter-organisation.
Notes
Pour obtenir plus d’informations sur la manière dont vous pouvez, en tant qu’administrateur de tenant (locataire), créer un lien vers la déclaration de confidentialité de votre organisation, consultez Guide pratique pour ajouter les informations de confidentialité de votre organisation dans Microsoft Entra ID.
Si les conditions d’utilisation sont configurées, l’invité ouvre et passe en revue les conditions d’utilisation, puis il sélectionne Accepter.
Vous pouvez configurer les conditions d’utilisation dans Identités externes>conditions d’utilisation.
Sauf indication contraire, l’invité est redirigé vers le panneau d’accès des applications qui liste les applications auxquelles l’invité peut accéder.
Dans votre annuaire, la valeur de Invitation acceptée de l’invité passe à Oui. Si un MSA a été créé, la Source de l’invité affiche Compte Microsoft. Pour obtenir plus d’informations sur les propriétés du compte d’utilisateur invité, consultez Propriétés d’un utilisateur B2B Collaboration Microsoft Entra. Si vous voyez une erreur qui requiert le consentement administrateur lors de l’accès à une application, consultez comment accorder le consentement administrateur aux applications.
Paramètre du processus d’acceptation automatique
Vous souhaiterez peut-être utiliser automatiquement les invitations afin que les utilisateurs n’aient pas à accepter l’invite de consentement lorsqu’ils sont ajoutés à un autre locataire pour la collaboration B2B. Une fois configuré, un e-mail de notification est envoyé à l’utilisateur de la collaboration B2B ; il ne nécessite aucune action de la part de l’utilisateur. Les utilisateurs reçoivent directement l’e-mail de notification et n’ont pas besoin d’accéder au locataire avant de recevoir l’e-mail.
Pour plus d’informations sur l’échange automatique d’invitations, consultez Vue d’ensemble de l’accès interlocataire et Configurer les paramètres d’accès multilocataire pour la collaboration B2B.