Comprendere e gestire le proprietà degli utenti guest B2B
Si applica a: Tenant delle risorse Tenant esterni (altre informazioni)
La collaborazione B2B è una funzionalità di Microsoft Entra per ID esterno che consente di collaborare con utenti e partner esterni all'organizzazione. Con la collaborazione B2B, un utente esterno viene invitato ad accedere all'organizzazione di Microsoft Entra usando le proprie credenziali. Questo utente può quindi accedere alle app e alle risorse che l'azienda desidera condividere con lui. Viene creato un oggetto utente per l'utente di collaborazione B2B nella stessa directory dei dipendenti. Gli oggetti utente di collaborazione B2B hanno privilegi limitati nella directory per impostazione predefinita e possono essere gestiti come dipendenti, essere aggiunti a gruppi e così via. Questo articolo illustra le proprietà di questo oggetto utente e i modi per gestirlo.
La tabella seguente descrive gli utenti di collaborazione B2B in base al modo in cui eseguono l'autenticazione (internamente o esternamente) e la relazione con l'organizzazione (guest o membro).
- Guest esterno: la maggior parte degli utenti che sono comunemente considerati utenti o guest esterni rientrano in questa categoria. Questo utente di collaborazione B2B ha un account in un'organizzazione esterna di Microsoft Entra o in un provider di identità esterno (ad esempio un'identità social), e dispone delle autorizzazioni a livello di guest nell'organizzazione delle risorse. L'oggetto utente creato nella directory Microsoft Entra della risorsa ha un UserType guest.
- Membro esterno: questo utente di collaborazione B2B ha un account in un'organizzazione di Microsoft Entra esterna o in un provider di identità esterno (ad esempio un'identità social), e un accesso a livello di membro alle risorse nell'organizzazione. Questo scenario è comune nelle organizzazioni costituite da più tenant, in cui gli utenti sono considerati parte dell'organizzazione più grande e necessitano dell'accesso a livello di membro alle risorse negli altri tenant dell'organizzazione. L'oggetto utente creato nella directory Microsoft Entra della risorsa ha un UserType di Membro.
- Guest interno: prima che collaborazione B2B di Microsoft Entra fosse disponibile, spesso si collaborava con distributori, fornitori e altri configurando le credenziali interne per loro e designandoli come guest impostando l'oggetto utente UserType su Guest. Se si hanno utenti guest interni come questi, è possibile invitarli a usare collaborazione B2B in modo che possano usare le proprie credenziali, consentendo al provider di identità esterno di gestire l'autenticazione e il ciclo di vita dell'account.
- Membro interno: questi utenti vengono considerati in genere dipendenti dell'organizzazione. L'utente esegue l'autenticazione internamente tramite Microsoft Entra ID e l'oggetto utente creato nella directory Microsoft Entra della risorsa ha un UserType di Membro.
Il tipo utente scelto presenta le limitazioni seguenti per le app o i servizi (ma non si limita a queste):
App o servizio | Limiti |
---|---|
Power BI | - Il supporto per il membro UserType in Power BI è attualmente in anteprima. Per altre informazioni, vedere Distribuire il contenuto di Power BI agli utenti guest esterni con Microsoft Entra B2B. |
Desktop virtuale Azure | - Membri e guest esterni non sono supportati nel Desktop virtuale Azure. |
Importante
La funzionalità di passcode monouso tramite email è ora attivata per impostazione predefinita per tutti i nuovi tenant e per tutti i tenant esistenti in cui non è stata disattivata in modo esplicito. Quando questa funzionalità è disattivata, il metodo di autenticazione di fallback consiste nel richiedere agli invitati di creare un account Microsoft.
Riscatto dell'invito
A questo punto, parliamo di un utente di collaborazione B2B di Microsoft Entra in Microsoft Entra per ID esterno.
Prima del riscatto dell'invito
Gli account utente di collaborazione B2B sono il risultato dell'invito di utenti guest a collaborare usando le credenziali degli utenti guest. Quando viene inizialmente inviato l'invito all'utente guest, viene creato un account nel tenant. Questo account non ha credenziali, in quanto l'autenticazione viene eseguita dal provider di identità dell'utente guest. La proprietà Identità per l'account utente guest nella directory è impostata sul dominio dell'organizzazione dell'host fino a quando il guest non riscatta l'invito. L'utente che invia l'invito viene aggiunto come valore predefinito per l'attributo Sponsor nell'account utente guest. Nell'interfaccia di amministrazione il profilo dell'utente invitato mostrerà lo stato Invito in attesa di accettazione. L'esecuzione di query per externalUserState
usando l'API Microsoft Graph restituirà Pending Acceptance
.
Dopo il riscatto dell'invito
Dopo la collaborazione B2B, l'utente accetta l'invito, la proprietà Identità viene aggiornata in base al provider di identità dell'utente.
Se l'utente di collaborazione B2B usa un account Microsoft o le credenziali di un altro provider di identità esterno, Identità riflette il provider di identità, ad esempio Microsoft account, google.com o facebook.com.
Se l’utente di collaborazione B2B usa le credenziali di un’altra organizzazione di Microsoft Entra, Identità esterne di Azure AD.
Per gli utenti esterni che usano credenziali interne, la proprietà Identità viene impostata sul dominio dell’organizzazione dell’host. La proprietà directory sincronizzata è Sì se l’account è incluso nella Active Directory locale dell’organizzazione ed è sincronizzato con Microsoft Entra ID oppure No se l’account è un account Microsoft Entra solo cloud. Le informazioni di sincronizzazione della directory sono disponibili anche tramite la proprietà
onPremisesSyncEnabled
in Microsoft Graph.
Proprietà chiave dell'utente di collaborazione di Microsoft Entra B2B
User Principal Name
L’UPN per un oggetto utente di collaborazione B2B (ovvero gli utenti guest) contiene l’e-mail dell’utente guest, seguita da #EXT#, seguita dal tenantname.onmicrosoft.com. Ad esempio, se l'utente john@contoso.com viene aggiunto come utente esterno nella directory fabrikam, il relativo UPN sarà john_contoso.com#EXT#@fabrikam.onmicrosoft.com.
Tipo utente
Questa proprietà indica la relazione tra l'utente e la tenancy host. I valori possibili per questa proprietà sono due.
Membro: questo valore indica un dipendente dell'organizzazione host e un utente retribuito dall'organizzazione. L'utente prevede ad esempio di avere accesso solo ai siti interni e non viene considerato un collaboratore esterno.
Guest: questo valore indica un utente che non è considerato interno all'azienda, ad esempio un collaboratore esterno, un partner o un cliente. È improbabile che un utente di questo tipo, ad esempio, riceva un promemoria interno del CEO o riceva vantaggi dall'azienda.
Nota
La proprietà UserType non ha alcun legame con la modalità di accesso, con il ruolo della directory dell'utente e così via. Questa proprietà indica semplicemente la relazione dell'utente con l'organizzazione host e consente all'organizzazione di applicare i criteri che dipendono da questa proprietà.
Identità
Questa proprietà indica il provider di identità primario dell’utente. Un utente può avere diversi provider di identità, che possono essere visualizzati selezionando il collegamento accanto a Identità nel profilo dell'utente o eseguendo una query sulla proprietà identities
tramite l’API Microsoft Graph.
Nota
Identità e UserType sono proprietà indipendenti. Un valore di Identità non implica un valore specifico per UserType.
Valore della proprietà Identità | Stato di accesso |
---|---|
ExternalAzureAD | Questo utente è allocato in un'organizzazione esterna ed esegue l'autenticazione utilizzando un account Microsoft Entra appartenente all'altra organizzazione. |
Account Microsoft | Questo utente è allocato in un account Microsoft ed esegue l'autenticazione con un account Microsoft. |
{dominio dell'host} | Questo utente esegue l'autenticazione utilizzando un account Microsoft Entra appartenente a questa organizzazione. |
google.com | Questo utente ha un account Gmail e ha effettuato l'iscrizione usando la modalità self-service all'altra organizzazione. |
facebook.com | Questo utente ha un account Facebook e ha effettuato l'iscrizione usando la modalità self-service all'altra organizzazione. |
L'utente ha effettuato l'iscrizione utilizzando il passcode monouso OTP tramite la posta elettronica di Microsoft Entra per ID esterno. | |
{URI emittente} | Questo utente si trova in un'organizzazione esterna che non usa Microsoft Entra ID come provider di identità, ma usa invece un provider di identità basato su Security Assertion Markup Language (SAML)/WS-Fed. L'URI dell'autorità di certificazione viene visualizzato quando si fa clic sul campo Identità. |
L'accesso tramite telefono non è supportato per gli utenti esterni. Gli account B2B non possono usare il valore phone
come provider di identità.
Directory sincronizzata
La proprietà Directory sincronizzata indica se l'utente viene sincronizzato con Active Directory locale ed è autenticato in locale. Questa proprietà è Sì se l'account è incluso nella Active Directory locale dell'organizzazione e sincronizzato con Microsoft Entra ID oppure No se l'account è un account Microsoft Entra solo cloud. In Microsoft Graph la proprietà Directory sincronizzata corrisponde a onPremisesSyncEnabled
.
Gli utenti di Microsoft Entra B2B possono essere aggiunti come membri anziché come guest?
In genere, un utente di Microsoft Entra B2B e un utente guest sono sinonimi. Pertanto, un utente di collaborazione B2B di Microsoft Entra viene aggiunto come utente con UserType impostato su Guest per impostazione predefinita. In alcuni casi, tuttavia, l'organizzazione partner è un membro di un'organizzazione più grande a cui appartiene anche l'organizzazione host. In tal caso, l'organizzazione host potrebbe voler considerare gli utenti dell'organizzazione partner come membri e non come guest. Usa le API di gestione inviti di Microsoft Entra B2B per aggiungere o invitare un utente dell'organizzazione partner come membro dell'organizzazione host.
Filtrare gli utenti guest nella directory
Nell’elenco Utenti è possibile usare Aggiungi filtro per visualizzare solo gli utenti guest nella directory.
Convertire UserType
È possibile convertire UserType da Membro a Guest e viceversa modificando il profilo dell’utente nell’interfaccia di amministrazione di Microsoft Entra o tramite PowerShell. Tuttavia, la proprietà UserType rappresenta la relazione dell'utente con l'organizzazione. Di conseguenza, è consigliabile modificare questa proprietà solo se la relazione dell'utente con l'organizzazione cambia. Se la relazione dell'utente cambia, è necessario modificare anche il nome dell'entità utente (UPN)? L'utente deve continuare ad avere accesso alle stesse risorse? È necessario assegnare una cassetta postale?
Autorizzazioni utenti guest
Gli utenti guest hanno autorizzazioni limitate nella directory per impostazione predefinita. Possono gestire il proprio profilo, modificare la propria password e recuperare alcune informazioni su altri utenti, gruppi e app. Tuttavia, non possono leggere tutte le informazioni della directory.
Gli utenti guest B2B non sono supportati nei canali condivisi di Microsoft Teams. Per l’accesso ai canali condivisi, consulta Connessione diretta B2B.
In alcuni casi potrebbe essere necessario assegnare agli utenti guest privilegi più elevati. È possibile aggiungere un utente guest a qualsiasi ruolo nonché rimuovere le limitazioni dell'utente guest predefinito nella directory per assegnare all'utente gli stessi privilegi dei membri. È possibile disattivare le limitazioni predefinite in modo che un utente guest nella directory aziendale abbia le stesse autorizzazioni di un utente membro. Per altre informazioni, consulta l’articolo Limitare le autorizzazioni di accesso guest in Microsoft Entra per ID esterno.
È possibile creare utenti guest visibili nell'elenco indirizzi globale di Exchange?
Sì. Per impostazione predefinita, gli oggetti guest non sono visibili nell'elenco indirizzi globale dell'organizzazione, ma è possibile usare PowerShell di Microsoft Graph per renderli visibili. Per informazioni dettagliate, consulta "Aggiungere guest all'elenco degli indirizzi globale" nell'articolo Accesso guest per gruppo di Microsoft 365.
È possibile aggiornare l'indirizzo di posta elettronica di un utente guest?
Se un utente guest accetta l'invito e successivamente modifica l'indirizzo di posta elettronica, il nuovo messaggio di posta elettronica non viene sincronizzato automaticamente con l'oggetto utente guest nella directory. La proprietà e-mail viene creata tramite l'API di Microsoft Graph. È possibile aggiornare la proprietà e-mail tramite l'API Microsoft Graph, l'interfaccia di amministrazione di Exchange o PowerShell di Exchange Online. La modifica verrà riflessa nell'oggetto utente guest di Microsoft Entra.