Configurare le impostazioni di collaborazione esterna

Le impostazioni di collaborazione esterna consentono di specificare quali ruoli nell'organizzazione possono invitare utenti esterni per la collaborazione B2B. Queste impostazioni includono anche opzioni per consentire o bloccare domini specifici e opzioni per limitare quali utenti guest esterni possono visualizzare nella directory di Microsoft Entra. Sono disponibili le seguenti opzioni:

• Determinare l'accesso utente guest: Microsoft Entra per ID esterno consente di limitare gli utenti guest esterni visualizzati nella directory Microsoft Entra. Ad esempio, è possibile limitare la visualizzazione degli utenti guest delle appartenenze ai gruppi o consentire agli utenti guest di visualizzare solo le proprie informazioni sul profilo.

• Specificare chi può invitare utenti guest: per impostazione predefinita, tutti gli utenti dell'organizzazione, inclusi gli utenti guest di Collaborazione B2B, possono invitare utenti esterni a Collaborazione B2B. Se si vuole limitare la possibilità di inviare inviti, è possibile attivare o disattivare gli inviti per tutti o limitare gli inviti a determinati ruoli.

• Abilitare l'iscrizione self-service guest tramite flussi utente: per le applicazioni compilate, è possibile creare flussi utente che consentano a un utente di iscriversi a un'app e creare un nuovo account guest. È possibile abilitare la funzionalità nelle impostazioni di collaborazione esterna e quindi aggiungere un flusso utente di iscrizione self-service all'app.

• Consenti o blocca domini: è possibile usare le restrizioni di collaborazione per consentire o negare gli inviti ai domini specificati. Per informazioni dettagliate, vedere Consentire o bloccare i domini.

Per la collaborazione B2B con altre organizzazioni di Microsoft Entra, è anche consigliabile esaminare le impostazioni di accesso tra tenant per assicurarsi che la collaborazione B2B in ingresso e in uscita e l'accesso all'ambito a utenti, gruppi e applicazioni specifici.

Per gli utenti finali di Collaborazione B2B che eseguono accessi tra tenant, viene visualizzata la personalizzazione del tenant principale, anche se non è specificata alcuna personalizzazione. Nell'esempio seguente la personalizzazione dell'azienda per Woodgrove Groceries viene visualizzata a sinistra. Nell'esempio a destra viene visualizzata la personalizzazione predefinita per il tenant principale dell'utente.

Configurare le impostazioni nel portale

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore del provider di identità esterno.

2. Passare a Identità>esterne - Impostazioni>di collaborazione esterna.

3. In Accesso utente guest scegliere il livello di accesso che si vuole che gli utenti guest abbiano:

   

   • Gli utenti guest hanno lo stesso accesso ai membri (più inclusi): questa opzione consente agli utenti guest di accedere alle risorse di Microsoft Entra e ai dati della directory degli utenti membri.

   • Gli utenti guest hanno accesso limitato alle proprietà e alle appartenenze degli oggetti directory: (impostazione predefinita) Questa impostazione impedisce agli utenti guest di determinate attività di directory, ad esempio l'enumerazione di utenti, gruppi o altre risorse di directory. Gli utenti guest possono vedere l'appartenenza di tutti i gruppi non nascosti. Altre informazioni sulle autorizzazioni guest predefinite.

   • L'accesso utente guest è limitato alle proprietà e alle appartenenze dei propri oggetti directory (più restrittivo): con questa impostazione, gli utenti guest possono accedere solo ai propri profili. Gli utenti guest non possono visualizzare profili, gruppi o appartenenze a gruppi di altri utenti.

4. In Impostazioni invito guest scegliere le impostazioni appropriate:

   

   • Chiunque nell'organizzazione può invitare utenti guest, inclusi utenti guest e non amministratori (la maggior parte inclusi): per consentire agli utenti guest dell'organizzazione di invitare altri utenti guest, inclusi gli utenti che non sono membri di un'organizzazione, selezionare questo pulsante di opzione.
   • Gli utenti membri e gli utenti assegnati a ruoli di amministratore specifici possono invitare utenti guest, inclusi gli utenti guest con autorizzazioni membro: per consentire agli utenti membri e agli utenti con ruoli di amministratore specifici di invitare utenti guest, selezionare questo pulsante di opzione.
   • Solo gli utenti assegnati a ruoli di amministratore specifici possono invitare utenti guest: per consentire solo agli utenti con ruoli di amministratore di invitare utenti guest, selezionare questo pulsante di opzione. I ruoli di amministratore includono Global Amministrazione istrator, User Amministrazione istrator e Guest Inviter.
   • Nessuno dell'organizzazione può invitare utenti guest inclusi gli amministratori (più restrittivi): per impedire a tutti gli utenti dell'organizzazione di invitare utenti guest, selezionare questo pulsante di opzione.

5. In Abilita iscrizione self-service guest tramite flussi utente selezionare Sì se si vuole poter creare flussi utente che consentano agli utenti di iscriversi per le app. Per altre informazioni su questa impostazione, vedere Aggiungere un flusso utente di iscrizione self-service a un'app.

   

6. In Impostazioni di uscita utente esterno è possibile controllare se gli utenti esterni possono rimuoverli dall'organizzazione.

   • Sì: gli utenti possono lasciare l'organizzazione senza l'approvazione dell'amministratore o del contatto per la privacy.
   • No: gli utenti non possono lasciare l'organizzazione. Viene visualizzato un messaggio che li guida per contattare l'amministratore o il contatto per la privacy per richiedere la rimozione dall'organizzazione.

   Importante

   È possibile configurare le impostazioni di uscita dall'utente esterno solo se sono state aggiunte le informazioni sulla privacy al tenant di Microsoft Entra. In caso contrario, questa impostazione non sarà disponibile.

   

7. In Restrizioni di collaborazione è possibile scegliere se consentire o negare gli inviti ai domini specificati e immettere nomi di dominio specifici nelle caselle di testo. Per specificare più domini, immettere ognuno in una nuova riga. Per altre informazioni, consultare Consentire o bloccare gli inviti agli utenti B2B da organizzazioni specifiche.

   

Configurare le impostazioni con Microsoft Graph

Le impostazioni di collaborazione esterna possono essere configurate tramite l'API Microsoft Graph:

• Per Restrizioni di accesso utente guest e Restrizioni di invito guest, usare il tipo di risorsa authorizationPolicy .
• Per l'impostazione Abilita iscrizione self-service guest tramite flussi utente, usare il tipo di risorsa authenticationFlowsPolicy .
• Per le impostazioni di passcode monouso tramite posta elettronica (ora nella pagina Tutti i provider di identità nell'interfaccia di amministrazione di Microsoft Entra), usare il tipo di risorsa emailAuthenticationMethodConfiguration .

Assegnare il ruolo Mittente dell'invito guest a un utente

Con il ruolo Mittente dell'invito guest, è possibile concedere ai singoli utenti la possibilità di invitare utenti guest senza assegnargli un Amministrazione istrator globale o un altro ruolo di amministratore. Gli utenti con il ruolo Mittente dell'invito guest possono invitare utenti guest anche quando l'opzione Solo gli utenti assegnati a ruoli di amministratore specifici possono invitare gli utenti guest (in Impostazioni invito guest).

Ecco un esempio che illustra come usare Microsoft Graph PowerShell per aggiungere un utente al Guest Inviter ruolo:

Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

Log di accesso per gli utenti B2B

Quando un utente B2B accede a un tenant di risorse per collaborare, viene generato un log di accesso sia nel tenant principale che nel tenant delle risorse. Questi log includono informazioni come l'applicazione usata, gli indirizzi di posta elettronica, il nome del tenant e l'ID tenant sia per il tenant principale che per il tenant della risorsa.

Passaggi successivi

Vedere gli articoli seguenti sulla collaborazione B2B di Microsoft Entra:

• Che cos'è Microsoft Entra B2B Collaboration?
• Aggiunta di un utente di Collaborazione B2B a un ruolo