Bagikan melalui


Mengundang pengguna internal ke kolaborasi B2B

Berlaku untuk: Lingkaran hijau dengan simbol tanda centang putih. Penyewa Tenaga Kerja Penyewa Lingkaran putih dengan simbol X abu-abu. eksternal (pelajari lebih lanjut)

Sebelum ketersediaan kolaborasi Microsoft Entra B2B, organisasi dapat berkolaborasi dengan distributor, pemasok, vendor, dan pengguna tamu lainnya dengan menyiapkan kredensial internal untuk mereka. Jika Anda memiliki pengguna tamu internal seperti ini, Anda dapat mengundang mereka untuk menggunakan kolaborasi B2B sebagai gantinya. Pengguna tamu B2B ini akan dapat masuk menggunakan identitas dan kredensial mereka sendiri, menghilangkan kebutuhan akan pemeliharaan kata sandi atau manajemen siklus hidup akun.

Mengirim undangan ke akun internal yang sudah ada memungkinkan Anda menyimpan ID objek, UPN, keanggotaan grup, dan penetapan aplikasi pengguna tersebut. Anda tidak perlu menghapus dan mengundang kembali pengguna secara manual atau menetapkan ulang sumber daya. Untuk mengundang pengguna, Anda menggunakan API undangan untuk meneruskan objek pengguna internal dan alamat email pengguna tamu bersama dengan undangan. Saat pengguna menerima undangan, layanan B2B mengubah objek pengguna internal yang ada menjadi pengguna B2B. Ke depannya, pengguna harus masuk ke layanan sumber daya cloud menggunakan info masuk B2B mereka.

Hal-hal yang perlu dipertimbangkan

  • Akses ke sumber daya lokal: Setelah pengguna diundang ke kolaborasi B2B, mereka masih dapat menggunakan info masuk internal mereka untuk mengakses sumber daya lokal. Anda dapat mencegahnya dengan mereset atau mengubah kata sandi pada akun internal. Pengecualiannya adalah autentikasi kode akses satu kali email; jika metode autentikasi pengguna diubah menjadi kode akses satu kali, mereka tidak akan dapat menggunakan info masuk internal mereka lagi.

  • Penagihan: Fitur ini tidak mengubah UserType untuk pengguna, sehingga tidak secara otomatis mengalihkan model penagihan pengguna ke harga pengguna aktif bulanan (MAU) ID Eksternal. Untuk mengaktifkan harga MAU untuk pengguna, ubah UserType untuk pengguna ke guest. Perhatikan juga bahwa penyewa Microsoft Entra Anda harus ditautkan ke langganan Azure untuk mengaktifkan tagihan MAU.

  • Teams: Saat pengguna mengakses Teams menggunakan info masuk eksternal mereka, penyewa mereka tidak akan tersedia pada awalnya di pemilih penyewa Teams. Pengguna dapat mengakses Teams menggunakan URL yang berisi konteks penyewa, misalnya: https://teams.microsoft.com/?tenantId=<TenantId>. Setelah itu, penyewa akan tersedia di pemilih penyewa Teams.

  • Pengguna yang disinkronkan lokal: Untuk akun pengguna yang disinkronkan antara lokal dan cloud, direktori lokal tetap menjadi sumber otoritas setelah mereka diundang untuk menggunakan kolaborasi B2B. Setiap perubahan yang Anda buat pada akun lokal akan disinkronkan ke akun cloud, termasuk menonaktifkan atau menghapus akun. Oleh karena itu, Anda tidak dapat mencegah pengguna masuk ke akun lokal mereka dengan tetap mempertahankan akun cloud mereka hanya dengan menghapus akun lokal. Sebagai gantinya, Anda dapat mengatur kata sandi akun lokal ke GUID acak atau nilai lain yang tidak diketahui.

Catatan

Di Sinkronisasi Microsoft Entra Connect, ada aturan default yang menulis atribut onPremisesUserPrincipalName ke objek pengguna. Karena keberadaan atribut ini dapat mencegah pengguna masuk menggunakan kredensial eksternal, kami memblokir konversi internal ke eksternal untuk objek pengguna dengan atribut ini. Jika Anda menggunakan Microsoft Entra Connect dan ingin dapat mengundang pengguna internal ke kolaborasi B2B, Anda harus mengubah aturan default sehingga atribut onPremisesUserPrincipalName tidak ditulis ke objek pengguna.

Cara mengundang pengguna internal ke kolaborasi B2B

Anda dapat menggunakan pusat admin Microsoft Entra, PowerShell, atau API undangan untuk mengirim undangan B2B ke pengguna internal. Yang perlu diperhatikan:

  • Sebelum Anda mengundang pengguna, pastikan User.Mail properti objek pengguna internal (properti Email pengguna di pusat admin Microsoft Entra) diatur ke alamat email eksternal yang akan mereka gunakan untuk kolaborasi B2B. Jika pengguna internal memiliki kotak surat yang sudah ada, Anda tidak dapat mengubah properti ini ke alamat email eksternal. Anda harus memperbarui atributnya di pusat admin Exchange.

  • Saat Anda mengundang pengguna, undangan akan dikirimkan kepada pengguna melalui email. Jika menggunakan PowerShell atau API undangan, Anda dapat menahan email ini dengan mengatur SendInvitationMessage ke False. Kemudian Anda dapat memberi tahu pengguna dengan cara lain. Pelajari selengkapnya tentang API undangan.

  • Saat pengguna menukarkan undangan, akun yang mereka gunakan harus cocok dengan domain di properti User.Mail. Jika tidak, beberapa layanan seperti Teams tidak akan dapat mengautentikasi pengguna tersebut.

Menggunakan pusat admin Microsoft Entra untuk mengirim undangan B2B

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya administrator Penyedia Identitas Eksternal.

  2. Telusuri ke Pengguna>Identitas>Semua pengguna.

  3. Temukan pengguna dalam daftar atau gunakan kotak pencarian. Kemudian pilih pengguna.

  4. Di tab Gambaran Umum , di bawah Umpan Saya, pilih Konversi ke pengguna eksternal.

    Cuplikan layar tab Gambaran Umum profil pengguna dengan kartu kolaborasi B2B.

    Catatan

    Jika kartu bertuliskan "Kirim ulang undangan pengguna B2B ini atau atur ulang status penukaran". pengguna telah diundang untuk menggunakan kredensial eksternal untuk kolaborasi B2B.

  5. Tambahkan alamat email eksternal dan pilih Kirim.

    Cuplikan layar memperlihatkan halaman konversi ke pengguna eksternal.

    Catatan

    Jika opsi tidak tersedia, pastikan properti Email pengguna diatur ke alamat email eksternal yang harus mereka gunakan untuk kolaborasi B2B.

  6. Pesan konfirmasi akan muncul dan undangan dikirim ke pengguna melalui email. Pengguna kemudian dapat menukar undangan menggunakan info masuk eksternal mereka.

Menggunakan PowerShell untuk mengirim undangan B2B

Anda memerlukan modul Microsoft Graph PowerShell terbaru. Gunakan perintah berikut untuk memperbarui ke modul terbaru dan mengundang pengguna internal ke kolaborasi B2B:

Update-Module Microsoft.Graph
Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee' 
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapplications.microsoft.com" -InvitedUser $msGraphUser

Menggunakan API undangan untuk mengirim undangan B2B

Contoh di bawah ini menggambarkan cara memanggil API undangan untuk mengundang pengguna internal sebagai pengguna B2B.

POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
ContentType: application/json
{
    "invitedUserEmailAddress": "<<external email>>",
    "sendInvitationMessage": true,
    "invitedUserMessageInfo": {
        "messageLanguage": "en-US",
        "ccRecipients": [
            {
                "emailAddress": {
                    "name": null,
                    "address": "<<optional additional notification email>>"
                }
            }
        ],
        "customizedMessageBody": "<<custom message>>"
    },
    "inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=",
    "invitedUser": {
        "id": "<<ID for the user you want to convert>>"
    }
}

Respons terhadap API adalah respons yang sama dengan yang Anda dapatkan saat Anda mengundang pengguna tamu baru ke direktori.

Langkah berikutnya