Partager via


Comprendre et gérer les propriétés des utilisateurs invités B2B

S’applique à :Cercle vert avec un symbole de coche blanche. Locataires de main-d’œuvre Cercle blanc avec un symbole X gris. Locataires externes (en savoir plus)

B2B Collaboration est une fonctionnalité de Microsoft Entra External ID qui vous permet de collaborer avec des utilisateurs et des partenaires extérieurs à votre organisation. Avec B2B Collaboration, un utilisateur externe est invité à se connecter à votre organisation Microsoft Entra à l’aide de ses propres informations d’identification. Il peut alors accéder aux applications et aux ressources que vous souhaitez partager avec lui. Un objet utilisateur est créé pour l’utilisateur de collaboration B2B dans le même répertoire que celui utilisé pour vos employés. Les objets utilisateurs de collaboration B2B ont des privilèges limités dans votre répertoire par défaut, et ils peuvent être gérés comme des employés, ajoutés à des groupes, etc. Cet article décrit les propriétés de cet objet utilisateur et explique comment le gérer.

Le tableau suivant décrit les utilisateurs B2B Collaboration en fonction de la façon dont ils s’authentifient (en interne ou en externe) et de leur relation avec votre organisation (invité ou membre).

Diagramme montrant les utilisateurs de B2B Collaboration.

  • Invité externe : la plupart des utilisateurs couramment considérés comme des utilisateurs externes ou des invités appartiennent à cette catégorie. Cet utilisateur B2B Collaboration dispose d’un compte dans une organisation Microsoft Entra externe ou un fournisseur d’identité externe (par exemple une identité sociale) et possède des autorisations au niveau de l’invité dans l’organisation des ressources. L’objet utilisateur créé dans le répertoire ressource Microsoft Entra a pour UserType Invité.
  • Membre externe : cet utilisateur B2B Collaboration dispose d’un compte dans une organisation Microsoft Entra externe ou un fournisseur d’identité externe (par exemple une identité sociale) et possède un accès au niveau du membre aux ressources de votre organisation. Ce scénario est courant dans les organisations qui se composent de plusieurs locataires, où les utilisateurs sont considérés comme faisant partie de l’organisation au sens large et ont besoin d’un accès au niveau du membre aux ressources des autres locataires de l’organisation. L’objet utilisateur créé dans le répertoire ressource Microsoft Entra a pour UserType Membre.
  • Invité interne : avant que B2B Collaboration de Microsoft Entra ne soit disponible, il était courant, dans le but de collaborer avec des distributeurs, fournisseurs, prestataires et autres, de configurer pour eux des informations d’identification internes et de les désigner comme invités en définissant l’objet utilisateur UserType sur Invité. Si vous avez des utilisateurs invités internes comme ceux-ci, vous pouvez les inviter à utiliser B2B Collaboration pour qu’ils puissent se servir de leurs propres informations d’identification. Leur fournisseur d’identité externe gérera ainsi l’authentification et le cycle de vie de leur compte.
  • Membre interne : ces utilisateurs sont généralement considérés comme des employés de votre organisation. L’utilisateur s’authentifie en interne par Microsoft Entra ID et l’objet utilisateur créé dans le répertoire de la ressource Microsoft Entra, a un UserType Membre.

Le type d’utilisateur que vous choisissez présente les limitations suivantes pour les applications ou les services (mais ne sont pas limités à) :

Application ou service Limites
Power BI - La prise en charge du membre UserType dans Power BI est actuellement en préversion. Pour plus d’informations, consultez l’article Distribuer du contenu Power BI à des utilisateurs invités externes avec Microsoft Entra B2B.
Azure Virtual Desktop - Les membres externes et les invités externes ne sont pas pris en charge dans Azure Virtual Desktop.

Important

La fonctionnalité de code secret à usage unique par e-mail est désormais activée par défaut pour tous les nouveaux locataires et pour tous les locataires existants où vous ne l’avez pas explicitement désactivée. Quand cette fonctionnalité est désactivée, la méthode d’authentification de secours consiste à inviter les invités à créer un compte Microsoft.

Échange d’invitation

Voyons maintenant à quoi ressemble un utilisateur Microsoft Entra B2B Collaboration dans Microsoft Entra External ID.

Avant l'utilisation de l'invitation

Les comptes utilisateurs B2B Collaboration sont le résultat de l’invitation d’utilisateurs à collaborer à l’aide de leurs propres informations d’identification. Quand l’invitation est initialement envoyée à l’utilisateur invité, un compte est créé dans votre locataire. Ce compte n’est pas associé à des informations d’identification, car l’authentification est effectuée par le fournisseur d’identité de l’utilisateur invité. La propriété Identities du compte d’utilisateur invité dans votre annuaire est définie sur le domaine de l’organisation de l’hôte jusqu’à ce que l’invité accepte son invitation. L’utilisateur envoyant l’invitation est ajouté en tant que valeur par défaut de l’attribut Commanditaire sur le compte d’utilisateur invité. Dans le Centre d’administration, le profil de l’utilisateur invité affiche un état d’invitation d’acceptation en attente. Interroger externalUserState avec l’API Microsoft Graph retourne Pending Acceptance.

Capture d’écran du profil utilisateur avant acceptation de l’invitation.

Après l'utilisation de l'invitation

Lorsque l’utilisateur B2B Collaboration accepte l’invitation, la propriété Identities est mise à jour selon le fournisseur d’identité de l’utilisateur.

  • Si l’utilisateur B2B Collaboration utilise un compte Microsoft ou des informations d’identification d’un autre fournisseur d’identité externe, la propriété Identities reflète le fournisseur d’identité, par exemple Compte Microsoft, google.com ou facebook.com.

    Capture d’écran du profil utilisateur après acceptation de l’invitation.

  • Si l’utilisateur B2B Collaboration utilise des informations d’identification d’une autre organisation Microsoft Entra, la propriété Identities devient ExternalAzureAD.

  • Dans le cas des utilisateurs externes qui se servent d’informations d’identification internes, la propriété Identities est définie sur le domaine d’organisation de l’hôte. La propriété Annuaire synchronisé possède la valeur Oui si le compte est hébergé dans l’annuaire Active Directory local de l’organisation et synchronisé avec Microsoft Entra, et Non s’il s’agit d’un compte Microsoft Entra cloud uniquement. Les informations de synchronisation d’annuaires sont également disponibles par le biais de la propriété onPremisesSyncEnabled dans Microsoft Graph.

Propriétés clés d’un utilisateur Microsoft Entra B2B Collaboration

Nom d’utilisateur principal

L’UPN d’un objet utilisateur B2B Collaboration (c’est-à-dire les utilisateurs invités) contient l’e-mail de l’utilisateur invité, suivi de #EXT#, puis de tenantname.onmicrosoft.com. Par exemple, si l’utilisateur john@contoso.com est ajouté en tant qu’utilisateur externe dans le répertoire fabrikam, son UPN est john_contoso.com#EXT#@fabrikam.onmicrosoft.com.

Type d’utilisateur

Cette propriété indique la relation de l’utilisateur avec la location hôte. Cette propriété peut avoir deux valeurs :

  • Membre : cette valeur indique un employé de l’organisation hôte et un utilisateur qui fait partie des effectifs de l’organisation. Par exemple, cet utilisateur ne peut accéder qu’à des sites internes. Il n’est pas considéré comme un collaborateur externe.

  • Invité : cette valeur indique un utilisateur qui n’est pas considéré comme interne à l’entreprise, par exemple un collaborateur externe, un partenaire ou un client. Un tel utilisateur n’est pas censé recevoir de mémo interne du président-directeur général (PDG) ou bénéficier des avantages de la société, par exemple.

Remarque

La valeur UserType n’a aucun lien avec le mode de connexion de l’utilisateur, le rôle d’annuaire de l’utilisateur, etc. Cette propriété indique simplement la relation de l’utilisateur avec l’organisation hôte et permet à l’organisation d’appliquer des stratégies qui dépendent de cette propriété.

Identities

Cette propriété indique le fournisseur d’identité principal de l’utilisateur. Un utilisateur peut avoir plusieurs fournisseurs d’identité, qu’il est possible de voir en sélectionnant le lien à côté de la propriété Identities dans le profil utilisateur ou en interrogeant la propriété identities via l’API Microsoft Graph.

Remarque

Les propriétés Identities et UserType sont indépendantes. Une valeur Identités n’implique pas de valeur UserType particulière.

Valeur de la propriété Identities État de connexion
ExternalAzureAD Cet utilisateur est hébergé dans une organisation externe et s’authentifie à l’aide d’un compte Microsoft Entra qui appartient à l’autre organisation.
Compte Microsoft Cet utilisateur est hébergé dans un compte Microsoft et s’authentifie à l’aide d’un compte Microsoft.
{domaine de l’hôte} Cet utilisateur s’authentifie à l’aide d’un compte Microsoft Entra qui appartient à cette organisation.
google.com Cet utilisateur dispose d’un compte Gmail et s’est inscrit en libre-service auprès de l’autre organisation.
facebook.com Cet utilisateur dispose d’un compte Facebook et s’est inscrit en libre-service auprès de l’autre organisation.
mail Cet utilisateur s’est inscrit en utilisant un code secret à usage unique (OTP) par e-mail Microsoft Entra External ID.
{URI de l’émetteur} Cet utilisateur est hébergé dans une organisation externe qui n’utilise pas Microsoft Entra ID comme fournisseur d’identité, mais un fournisseur d’identité Security Assertion Markup Language (SAML)/WS-Fed. L’URI de l’émetteur apparaît quand l’utilisateur clique sur le champ Identities.

La connexion par téléphone n’est pas prise en charge pour les utilisateurs externes. Les comptes B2B ne peuvent pas utiliser la valeur phone comme fournisseur d’identité.

Annuaire synchronisé

La propriété Annuaire synchronisé indique si l’utilisateur est synchronisé avec un annuaire Active Directory local et s’il est authentifié localement. Cette propriété possède la valeur Oui si le compte est hébergé dans l’annuaire Active Directory local de l’organisation et synchronisé avec Microsoft Entra ID, et Non s’il s’agit d’un compte Microsoft Entra cloud uniquement. Dans Microsoft Graph, elle correspond à onPremisesSyncEnabled.

Des utilisateurs Microsoft Entra B2B peuvent-ils être ajoutés en tant que membres plutôt qu’en tant qu’invités ?

En règle générale, un utilisateur Microsoft Entra B2B est identique à un utilisateur invité. Par conséquent, un utilisateur Microsoft Entra B2B Collaboration est ajouté en tant qu’utilisateur avec la propriété UserType définie par défaut sur Invité. Toutefois, dans certains cas, l’organisation partenaire est un membre d’une organisation plus vaste à laquelle appartient également l’organisation hôte. Il est alors possible que l’organisation hôte veuille traiter les utilisateurs de l’organisation partenaire comme membres plutôt que comme invités. Utilisez les API du Gestionnaire d’invitations Microsoft Entra B2B pour ajouter ou inviter un utilisateur de l’organisation partenaire dans l’organisation hôte en tant que membre.

Filtrer les utilisateurs invités dans l’annuaire

Dans la liste Utilisateurs, vous pouvez utiliser Ajouter un filtre pour afficher uniquement les utilisateurs invités dans votre annuaire.

Capture d’écran montrant comment ajouter un filtre Type d’utilisateur pour les invités.

Capture d’écran montrant le filtre pour les utilisateurs invités.

Convertir la propriété UserType

Pour convertir UserType de Membre en Invité et inversement, modifiez le profil de l’utilisateur dans le centre d’administration Microsoft Entra ou avec PowerShell. Toutefois, la propriété UserType représente la relation de l’utilisateur avec l’organisation. Vous ne devez donc changer cette propriété que si la relation de l’utilisateur avec l’organisation change. Le changement de cette relation de l’utilisateur nécessite-t-il le changement du nom d’utilisateur principal (UPN) ? L’utilisateur doit-il continuer à avoir accès aux mêmes ressources ? Une boîte aux lettres doit-elle être attribuée ?

Autorisations d’utilisateur invité

Les utilisateurs invités disposent d’autorisations d’annuaire limitées par défaut. Ils peuvent gérer leur propre profil, modifier leur propre mot de passe et récupérer des informations sur d’autres utilisateurs, groupes et applications. Toutefois, ils ne peuvent pas lire toutes les informations d’annuaire.

Les utilisateurs invités B2B ne sont pas pris en charge dans les canaux partagés Microsoft Teams. Pour accéder aux canaux partagés, consultez Connexion directe B2B.

Dans certains cas, vous souhaiterez peut-être donner aux utilisateurs invités des privilèges plus élevés. Vous pouvez ajouter un utilisateur invité à un rôle quelconque et même supprimer les restrictions d’utilisateur invité par défaut dans le répertoire afin d’attribuer à l’utilisateur les mêmes privilèges que les membres. Il est possible de désactiver les limitations par défaut afin qu’un utilisateur invité dans l’annuaire de la société ait les mêmes autorisations qu’un utilisateur membre. Pour plus d’informations, consultez l’article Restreindre les autorisations d’accès invité dans Microsoft Entra External ID.

Capture d’écran montrant l’option Utilisateurs externes dans les paramètres utilisateur.

Puis-je rendre les utilisateurs invités visibles dans la liste d’adresses globale Exchange ?

Oui. Par défaut, les objets invités ne sont pas visibles dans la liste d’adresses globale de votre organisation, mais vous pouvez utiliser Microsoft Graph PowerShell pour les rendre visibles. Pour plus d’informations, consultez « Ajouter des invités à la liste d’adresses globale » dans l’article relatif à l’accès invité par groupe dans Microsoft 365.

Puis-je mettre à jour l’adresse de messagerie d’un utilisateur invité ?

Si un utilisateur invité accepte votre invitation et qu’il modifie par la suite son adresse e-mail, le nouvel e-mail n’est pas automatiquement synchronisé avec l’objet utilisateur invité dans votre annuaire. La propriété de messagerie est créée via Microsoft API Graph. Vous pouvez mettre à jour la propriété de messagerie via l’API Microsoft Graph, le centre d’administration Exchange ou Exchange Online PowerShell. La modification sera reflétée dans l’objet utilisateur invité Microsoft Entra.