Proprietà di un utente di Collaborazione B2B di Microsoft Entra B2B
La collaborazione B2B è una funzionalità di Microsoft Entra External ID che consente di collaborare con utenti e partner esterni all'organizzazione. Con la collaborazione B2B, un utente esterno viene invitato ad accedere all'organizzazione di Microsoft Entra usando le proprie credenziali. Questo utente può quindi accedere alle app e alle risorse che l'azienda desidera condividere con lui. Viene creato un oggetto utente per l'utente di collaborazione B2B nella stessa directory dei dipendenti. Gli oggetti utente di collaborazione B2B hanno privilegi limitati nella directory per impostazione predefinita e possono essere gestiti come dipendenti, essere aggiunti a gruppi e così via. Questo articolo illustra le proprietà di questo oggetto utente e i modi per gestirlo.
La tabella seguente descrive gli utenti di Collaborazione B2B in base al modo in cui eseguono l'autenticazione (internamente o esternamente) e la relazione con l'organizzazione (guest o membro).
- Guest esterno: la maggior parte degli utenti che sono comunemente considerati utenti esterni o guest rientrano in questa categoria. Questo utente di Collaborazione B2B ha un account in un'organizzazione Microsoft Entra esterna o in un provider di identità esterno (ad esempio un'identità di social networking) e dispone delle autorizzazioni a livello di guest nell'organizzazione delle risorse. L'oggetto utente creato nella directory Microsoft Entra della risorsa ha un UserType di Guest.
- Membro esterno: questo utente di Collaborazione B2B ha un account in un'organizzazione Microsoft Entra esterna o in un provider di identità esterno (ad esempio un'identità social) e l'accesso a livello di membro alle risorse dell'organizzazione. Questo scenario è comune nelle organizzazioni costituite da più tenant, in cui gli utenti sono considerati parte dell'organizzazione più grande e necessitano dell'accesso a livello di membro alle risorse negli altri tenant dell'organizzazione. L'oggetto utente creato nella directory Microsoft Entra della risorsa ha un UserType di Member.
- Guest interno: prima che microsoft Entra B2B collaboration fosse disponibile, è stato comune collaborare con distributori, fornitori, fornitori e altri configurando le credenziali interne per loro e designandole come guest impostando l'oggetto utente UserType su Guest. Se si hanno utenti guest interni come questi, è possibile invitarli a usare collaborazione B2B in modo che possano usare le proprie credenziali, consentendo al provider di identità esterno di gestire l'autenticazione e il ciclo di vita dell'account.
- Membro interno: questi utenti sono in genere considerati dipendenti dell'organizzazione. L'utente esegue l'autenticazione internamente tramite Microsoft Entra ID e l'oggetto utente creato nella directory Microsoft Entra della risorsa ha un UserType di Member.
Il tipo di utente scelto presenta le limitazioni seguenti per le app o i servizi (ma non sono limitati a):
| App o servizio | Limiti |
|---|---|
| Power BI | - Il supporto per il membro UserType in Power BI è attualmente in anteprima. Per altre informazioni, vedere Distribuire il contenuto di Power BI agli utenti guest esterni con Microsoft Entra B2B. |
| Desktop virtuale Azure | - Il membro esterno e il guest esterno non sono supportati in Desktop virtuale Azure. |
Importante
La funzionalità passcode monouso della posta elettronica è ora attivata per impostazione predefinita per tutti i nuovi tenant e per tutti i tenant esistenti in cui non è stata disattivata in modo esplicito. Quando questa funzionalità è disattivata, il metodo di autenticazione di fallback consiste nel richiedere agli invitati di creare un account Microsoft.
Riscatto di un invito
A questo punto, vediamo l'aspetto di un utente di Collaborazione B2B di Microsoft Entra B2B in Microsoft Entra per ID esterno.
Prima del riscatto dell'invito
Gli account utente di Collaborazione B2B sono il risultato dell'invito degli utenti guest a collaborare usando le credenziali degli utenti guest. Quando l'invito viene inizialmente inviato all'utente guest, viene creato un account nel tenant. Questo account non ha credenziali, in quanto l'autenticazione viene eseguita dal provider di identità dell'utente guest. La proprietà Identityes per l'account utente guest nella directory è impostata sul dominio dell'organizzazione dell'host fino a quando il guest non riscatta l'invito. L'utente che invia l'invito viene aggiunto come valore predefinito per l'attributo Sponsor nell'account utente guest. Nell'interfaccia di amministrazione il profilo dell'utente invitato mostrerà lo stato utente esterno PendingAcceptance. L'esecuzione di query per externalUserState l'uso dell'API Microsoft Graph restituirà Pending Acceptance.
Dopo il riscatto dell'invito
Dopo che l'utente di Collaborazione B2B accetta l'invito, la proprietà Identityes viene aggiornata in base al provider di identità dell'utente.
Se l'utente di Collaborazione B2B usa un account Microsoft o le credenziali di un altro provider di identità esterno, le identità riflettono il provider di identità, ad esempio account Microsoft, google.com o facebook.com.
Se l'utente di Collaborazione B2B usa le credenziali di un'altra organizzazione Microsoft Entra, Identities è ExternalAzureAD.
Per gli utenti esterni che usano credenziali interne, la proprietà Identityes viene impostata sul dominio dell'organizzazione dell'host. La proprietà sincronizzata directory è Sì se l'account è incluso nella Active Directory locale dell'organizzazione e sincronizzato con l'ID Microsoft Entra oppure No se l'account è un account Microsoft Entra solo cloud. Le informazioni di sincronizzazione della directory sono disponibili anche tramite la
onPremisesSyncEnabledproprietà in Microsoft Graph.
Proprietà chiave dell'utente di collaborazione di Microsoft Entra B2B
Nome entità utente
Il nome dell'entità utente (UPN) per un oggetto utente di Collaborazione B2B contiene un identificatore #EXT#.
Tipo di utente
Questa proprietà indica la relazione tra l'utente e la tenancy host. I valori possibili per questa proprietà sono due.
Membro: questo valore indica un dipendente dell'organizzazione host e un utente retribuito dall'organizzazione. L'utente prevede ad esempio di avere accesso solo ai siti interni e non viene considerato un collaboratore esterno.
Guest: questo valore indica un utente che non è considerato interno all'azienda, ad esempio un collaboratore esterno, un partner o un cliente. Un utente di questo tipo non dovrebbe ricevere una nota interna di amministratore delegato (CEO) o ricevere vantaggi aziendali, ad esempio.
Nota
La proprietà UserType non ha alcun legame con la modalità di accesso, con il ruolo della directory dell'utente e così via. Questa proprietà indica semplicemente la relazione dell'utente con l'organizzazione host e consente all'organizzazione di applicare i criteri che dipendono da questa proprietà.
Identità
Questa proprietà indica il provider di identità primario dell'utente. Un utente può avere diversi provider di identità, che possono essere visualizzati selezionando il collegamento accanto a Identità nel profilo dell'utente o eseguendo una query sulla identities proprietà tramite l'API Microsoft Graph.
Nota
Le identità e UserType sono proprietà indipendenti. Un valore di Identityes non implica un valore specifico per UserType.
| Valore della proprietà Identities | Stato di accesso |
|---|---|
| ExternalAzureAD | Questo utente è allocato in un'organizzazione esterna ed esegue l'autenticazione utilizzando un account Microsoft Entra appartenente all'altra organizzazione. |
| Account Microsoft | l'utente è incluso in un account Microsoft ed esegue l'autenticazione con un account Microsoft. |
| {dominio dell'host} | Questo utente esegue l'autenticazione utilizzando un account Microsoft Entra appartenente a questa organizzazione. |
| google.com | Questo utente ha un account Gmail e ha effettuato l'iscrizione usando la modalità self-service all'altra organizzazione. |
| facebook.com | Questo utente ha un account Facebook e ha effettuato l'iscrizione usando la modalità self-service all'altra organizzazione. |
| L'utente ha eseguito l'iscrizione usando Microsoft Entra per ID esterno passcode monouso tramite posta elettronica (OTP). | |
| {URI autorità di certificazione} | Questo utente si trova in un'organizzazione esterna che non usa l'ID Microsoft Entra come provider di identità, ma usa invece un provider di identità basato su SAML (Security Assertion Markup Language)/WS-Fed. L'URI dell'autorità di certificazione viene visualizzato quando si fa clic sul campo Identità. |
Telefono l'accesso non è supportato per gli utenti esterni. Gli account B2B non possono usare phone il valore come provider di identità.
Directory sincronizzata
La proprietà sincronizzata Directory indica se l'utente viene sincronizzato con Active Directory locale ed è autenticato in locale. Questa proprietà è Sì se l'account è incluso nella Active Directory locale dell'organizzazione e sincronizzato con Microsoft Entra ID oppure No se l'account è un account Microsoft Entra solo cloud. In Microsoft Graph la proprietà sincronizzata Directory corrisponde a onPremisesSyncEnabled.
Gli utenti di Microsoft Entra B2B possono essere aggiunti come membri anziché come utenti guest?
In genere, un utente di Microsoft Entra B2B e un utente guest sono sinonimi. Pertanto, un utente di Collaborazione B2B di Microsoft Entra viene aggiunto come utente con UserType impostato su Guest per impostazione predefinita. In alcuni casi, tuttavia, l'organizzazione partner fa parte di un'organizzazione più ampia a cui appartiene anche l'organizzazione host. In tal caso, l'organizzazione host potrebbe voler considerare gli utenti dell'organizzazione partner come membri e non come utenti guest. Usare le API di Microsoft Entra B2B Invitation Manager per aggiungere o invitare un utente dell'organizzazione partner all'organizzazione host come membro.
Filtrare gli utenti guest nella directory
Nell'elenco Utenti è possibile usare Aggiungi filtro per visualizzare solo gli utenti guest nella directory.
Convertire UserType
È possibile convertire UserType da Member a Guest e viceversa modificando il profilo dell'utente nell'interfaccia di amministrazione di Microsoft Entra o tramite PowerShell. Tuttavia, la proprietà UserType rappresenta la relazione dell'utente con l'organizzazione. Di conseguenza, è consigliabile modificare questa proprietà solo se la relazione dell'utente con l'organizzazione cambia. Se la relazione dell'utente cambia, è necessario modificare anche il nome dell'entità utente (UPN)? L'utente deve continuare ad avere accesso alle stesse risorse? È necessario assegnare una cassetta postale all'utente?
Autorizzazioni utente guest
Gli utenti guest dispongono delle autorizzazioni predefinite per le directory con restrizioni. Possono gestire il proprio profilo, modificare la propria password e recuperare alcune informazioni su altri utenti, gruppi e app. Tuttavia, non possono leggere tutte le informazioni sulla directory.
Gli utenti guest B2B non sono supportati nei canali condivisi di Microsoft Teams. Per l'accesso ai canali condivisi, vedere Connessione diretta B2B.
In alcuni casi potrebbe essere necessario assegnare agli utenti guest privilegi più elevati. È possibile aggiungere un utente guest a qualsiasi ruolo nonché rimuovere le limitazioni dell'utente guest predefinito nella directory per assegnare all'utente gli stessi privilegi dei membri. È possibile disattivare le limitazioni predefinite in modo che un utente guest nella directory aziendale abbia le stesse autorizzazioni di un utente membro. Per altre informazioni, vedere l'articolo Limitare le autorizzazioni di accesso guest in Microsoft Entra per ID esterno.
È possibile creare utenti guest visibili nell'elenco indirizzi globale di Exchange?
Sì. Per impostazione predefinita, gli oggetti guest non sono visibili nell'elenco indirizzi globale dell'organizzazione, ma è possibile usare Microsoft Graph PowerShell per renderli visibili. Per informazioni dettagliate, vedere "Aggiungere utenti guest all'elenco indirizzi globale" nell'articolo Accesso guest per gruppo di Microsoft 365.
È possibile aggiornare l'indirizzo di posta elettronica di un utente guest?
Se un utente guest accetta l'invito e successivamente modifica l'indirizzo di posta elettronica, il nuovo messaggio di posta elettronica non viene sincronizzato automaticamente con l'oggetto utente guest nella directory. La proprietà mail viene creata tramite l'API Microsoft Graph. È possibile aggiornare la proprietà di posta elettronica tramite l'API Microsoft Graph, l'interfaccia di amministrazione di Exchange o Exchange Online PowerShell. La modifica verrà riflessa nell'oggetto utente guest di Microsoft Entra.