Compartir por


Canje de invitación de colaboración B2B

Se aplica a: Círculo verde con un símbolo de marca de verificación blanca. Inquilinos de personal Círculo blanco con un símbolo X gris. Inquilinos externos (obtener más información)

En este artículo se describen las maneras en las que los usuarios invitados pueden acceder a los recursos y el proceso de consentimiento que se encuentran. Si envía un correo electrónico de invitación al invitado, la invitación incluye un vínculo que este puede canjear para acceder a la aplicación o al portal. El correo electrónico de invitación es solo uno de los modos de acceso de los invitados a los recursos. Como alternativa, puede agregar invitados a su directorio y proporcionarles un vínculo directo al portal o a la aplicación que desee compartir. Independientemente del método que usen, la primera vez se les guiará por un proceso de consentimiento. Este proceso garantiza que los invitados acepten los términos de privacidad y los términos de uso que haya configurado.

Al agregar un usuario invitado al directorio, la cuenta de este tiene un estado de consentimiento (visible en PowerShell) que se establece inicialmente en PendingAcceptance. Esta configuración permanece hasta que el invitado acepta la invitación, la política de privacidad y los términos de uso. Después de eso, el estado de consentimiento cambia a Accepted y las páginas de consentimiento dejan de aparecer para el invitado.

Importante

Proceso de canje e inicio de sesión mediante un punto de conexión común

Ahora, los usuarios invitados pueden iniciar sesión en las aplicaciones multiinquilino o las aplicaciones propias de Microsoft mediante un punto de conexión común (una dirección URL); por ejemplo, https://myapps.microsoft.com. Anteriormente, si se utilizaba una dirección URL común, el usuario invitado accedía automáticamente al inquilino principal en lugar de al inquilino del recursos para autenticarse, por lo que se necesitaba un vínculo específico del inquilino (por ejemplo, https://myapps.microsoft.com/?tenantid=<tenant id>). Ahora, el usuario invitado puede ir a la dirección URL común de la aplicación, elegir Opciones de inicio de sesión y seleccionar Sign in to an organization (Iniciar sesión en una organización). Luego, el usuario tiene que escribir el nombre de dominio de la organización.

Capturas de pantalla que muestran los puntos de conexión habituales que se usan para iniciar sesión.

Luego, se redirecciona automáticamente al usuario al punto de conexión específico del inquilino, donde puede iniciar sesión con su dirección de correo electrónico o seleccionar un proveedor de identidades que se haya configurado.

En lugar de la invitación por correo electrónico o la dirección URL común de la aplicación, también puede proporcionar al invitado un vínculo directo a la aplicación o al portal. Primero debe agregar el usuario invitado a su directorio mediante el Centro de administración Microsoft Entra o PowerShell. Puede usar cualquiera de las maneras personalizables para implementar las aplicaciones para los usuarios, incluidos los vínculos de inicio de sesión en directo. Cuando un invitado usa un vínculo directo en lugar de la invitación por correo electrónico, también se le guía por la experiencia de consentimiento inicial.

Nota

Los vínculos directos son específicos del inquilino. En otras palabras, contienen un identificador del inquilino o un dominio verificado para que el invitado puede autenticarse en el inquilino donde se encuentra la aplicación compartida. Estos son algunos ejemplos de vínculos directos con el contexto del inquilino:

  • Panel de acceso de aplicaciones: https://myapps.microsoft.com/?tenantid=<tenant id>
  • Panel de acceso de aplicaciones para un dominio comprobado: https://myapps.microsoft.com/<;verified domain>
  • Centro de administración Microsoft Entra: https://entra.microsoft.com/<tenant id>
  • Aplicación individual: consulte cómo usar un vínculo de inicio de sesión en directo

Estos son algunos aspectos a tener en cuenta sobre el uso de un vínculo directo frente a un correo electrónico de invitación:

  • Alias de correo electrónico: los invitados que usan un alias de la dirección de correo electrónico invitada necesitarán una invitación por correo electrónico. (Un alias es otra dirección de correo electrónico asociada a una cuenta de correo electrónico). El usuario debe seleccionar la dirección URL de canje en el correo electrónico de invitación.

  • Objetos de contacto en conflicto: el proceso de canje se ha actualizado para evitar problemas de inicio de sesión cuando un objeto de usuario invitado entra en conflicto con un objeto de contacto en el directorio. Siempre que agregue o invite a un invitado con un correo electrónico que coincida con un contacto existente, la propiedad proxyAddresses del objeto de usuario invitado se deja vacía. Anteriormente, el identificador externo solo buscaba la propiedad proxyAddresses, por lo que se produjo un error en el canje de vínculo directo cuando no pudo encontrar ninguna coincidencia. Ahora, el identificador externo busca en las propiedades proxyAddresses y correo electrónico invitado.

Proceso de canje a través del correo electrónico de invitación

Al agregar un usuario invitado al directorio mediante el Centro de administración Microsoft Entra, se envía un correo electrónico de invitación al invitado en el proceso. También puede enviar correos electrónicos de invitación cuando use PowerShell para agregar usuarios invitados al directorio. Esta es una descripción de la experiencia del invitado cuando canjea el vínculo del correo electrónico.

  1. El invitado recibe un correo electrónico de invitación que se envía desde Microsoft Invitations.
  2. El invitado selecciona Aceptar invitación en el correo electrónico.
  3. El invitado usará sus propias credenciales para iniciar sesión en el directorio. Si el invitado no tiene una cuenta que se pueda federar al directorio y la característica código de acceso de un solo uso (OTP) de correo electrónico no está habilitada, se solicita al invitado que cree una cuenta MSA personal. Consulte Flujo de canje de invitación para más información.
  4. Al invitado se le guiará por la experiencia de consentimiento que se describe a continuación.

Flujo del canje de invitación

Cuando un usuario selecciona el vínculo Aceptar invitación de un correo electrónico de invitación, Microsoft Entra ID canjea automáticamente la invitación basándose en el orden de canje predeterminado que se muestra a continuación:

Captura de pantalla que muestra el diagrama de flujo del canje.

  1. Microsoft Entra ID realiza la detección basada en el usuario para determinar si el usuario ya existe en un inquilino de Microsoft Entra administrado. (Las cuentas de Microsoft Entra no administradas ya no se pueden usar para el flujo de canje). Si el nombre principal de usuario UPN coincide con una cuenta de Microsoft Entra existente y una MSA personal, se le pedirá al usuario que elija la cuenta con la que quiere hacer el canje.

  2. Si un administrador ha habilitado la federación de IdP de SAML/WS-Fed, Microsoft Entra ID comprueba si el sufijo de dominio del usuario coincide con el dominio de un proveedor de identidades SAML/WS-Fed configurado y redirige al usuario al proveedor de identidades configurado previamente.

  3. Si un administrador ha habilitado la federación de Google, Microsoft Entra ID comprobará si el sufijo de dominio del usuario es gmail.com o googlemail.com y redirigirá al usuario a Google.

  4. El proceso de canje comprueba si el usuario tiene una MSA personal existente. Si el usuario ya tiene una MSA existente, la usará para iniciar sesión.

  5. Una vez identificado el directorio principal del usuario, el usuario se envía al proveedor de identidades correspondiente para iniciar sesión.

  6. Si no se encuentra ningún directorio principal y la característica de código de acceso de un solo uso de correo electrónico está habilitada para invitados, se envía un código de acceso al usuario a través del correo electrónico invitado. El usuario recuperará el código de acceso y lo escribirá en la página de inicio de sesión de Microsoft Entra.

  7. Si no se encuentra ningún directorio principal y se deshabilita el código de acceso de un solo uso de correo electrónico para invitados, se le pedirá al usuario que cree una MSA de consumidor con el correo electrónico invitado. Se admite la creación de una MSA con correos electrónicos profesionales en dominios que no se comprueban en Microsoft Entra ID.

  8. Después de autenticarse en el proveedor de identidades correcto, se redirige al usuario a Microsoft Entra ID para completar la experiencia de consentimiento.

Canje configurable

El Canje configurable le permite personalizar el orden de los proveedores de identidades presentados a los invitados cuando canjean sus invitaciones. Cuando un invitado selecciona el vínculo Aceptar invitación, Microsoft Entra ID canjea automáticamente la invitación en función del orden predeterminado. Para invalidarlo, cambie el orden de canje del proveedor de identidades en la configuración de acceso entre inquilinos.

Cuando un invitado inicia sesión en un recurso de una organización asociada, se le muestra la siguiente experiencia de consentimiento. Estas páginas de consentimiento solo se muestran al invitado después del inicio de sesión y no se muestran en absoluto si el usuario ya las ha aceptado.

  1. El invitado debe revisar la página Revisar permisos, donde se describe la declaración de privacidad de la organización anfitriona. Para poder continuar, el usuario debe Aceptar el uso de su información de acuerdo con las directivas de privacidad de la organización anfitriona.

    Al aceptar esta solicitud de consentimiento, reconoce que se compartirán determinados elementos de su cuenta. Entre ellos se incluyen su nombre, foto y dirección de correo electrónico, así como identificadores de directorio que la otra organización puede utilizar para administrar mejor su cuenta y mejorar su experiencia entre organizaciones.

    Captura de pantalla que muestra la página Revisar permisos.

    Nota:

    Para obtener información sobre cómo puede, como administrador de inquilinos, vincular a la declaración de privacidad de su organización, consulte Procedimiento: Incorporación de información de privacidad de su organización en Microsoft Entra ID.

  2. Si se han configurado términos de uso, el invitado debe abrirlos y revisarlos y seleccionar Aceptar.

    Captura de pantalla en la que se muestran los nuevos términos de uso.

    Puede configurar los Términos de uso en External Identities>Términos de uso.

  3. A menos que se especifique otra cosa, al invitado se le redirige al panel de acceso a las aplicaciones, que enumera las aplicaciones a las que puede acceder.

    Captura de pantalla que muestra el panel de acceso a las aplicaciones.

En su directorio, el valor de Invitación aceptada cambia a . Si se creó una MSA, el Origen del usuario muestra Cuenta Microsoft. Para más información sobre las propiedades de la cuenta de usuario invitado, consulte Propiedades de un usuario de colaboración Microsoft Entra B2B. Si ve un error que requiere el consentimiento del administrador al acceder a una aplicación, consulte Cómo conceder consentimiento de administrador a las aplicaciones.

Configuración del proceso de canje automático

Es posible que quiera canjear automáticamente las invitaciones para que los usuarios no tengan que aceptar la solicitud de consentimiento cuando se agregan a otro inquilino para la colaboración B2B. Cuando se configura, se envía un correo electrónico de notificación al usuario de colaboración B2B que no requiere ninguna acción por parte del usuario. Los usuarios se envían el correo electrónico de notificación directamente, no necesitan acceder primero al inquilino para recibir el correo electrónico.

Para obtener información sobre cómo canjear automáticamente las invitaciones, consulte Introducción al acceso entre inquilinos y Configuración del acceso entre inquilinos para la colaboración B2B.

Pasos siguientes