Queste domande frequenti sulla collaborazione business-to-business (B2B) di Microsoft Entra vengono aggiornate periodicamente per includere nuovi argomenti.
Importante
- A partire dal 4 gennaio 2021, il supporto per l'accesso a WebView deprecato di Google. Se si usa la federazione google o l'iscrizione self-service con Gmail, è consigliabile testare la compatibilità delle applicazioni native line-of-business.
- La funzionalità passcode monouso della posta elettronica è ora attivata per impostazione predefinita per tutti i nuovi tenant e per tutti i tenant esistenti in cui non è stata disattivata in modo esplicito. Quando questa funzionalità è disattivata, il metodo di autenticazione di fallback consiste nel richiedere agli invitati di creare un account Microsoft.
È possibile personalizzare la pagina di accesso in modo che sia più intuitiva per gli utenti guest di Collaborazione B2B?
Assolutamente, per informazioni su come personalizzare la pagina di accesso dell'organizzazione, vedere Aggiungere informazioni personalizzate aziendali per accedere e Pannello di accesso pagine.
Gli utenti di Collaborazione B2B possono accedere a SharePoint Online e a OneDrive?
Sì. Tuttavia, la possibilità di cercare gli utenti guest esistenti in SharePoint Online tramite la selezione utenti è disattivata per impostazione predefinita. Per attivare l'opzione di ricercare degli utenti guest esistenti, impostare ShowPeoplePickerSuggestionsForGuestUsers a On. È possibile attivare questa impostazione a livello di tenant o a livello di raccolta siti. È possibile modificare questa impostazione tramite i cmdlet Set-SPOTenant e SPOSite Set. Con questi cmdlet, i membri possono cercare tutti gli utenti guest esistenti nella directory. Le modifiche nell'ambito tenant non influiscono sui siti di SharePoint Online di cui si è già effettuato il provisioning.
Gli utenti di Collaborazione B2B possono accedere al contenuto di Power BI?
Sì, è possibile distribuire il contenuto di Power BI agli utenti guest esterni usando collaborazione B2B. Per condividere il contenuto di Power BI tra cloud Microsoft, è possibile usare le impostazioni cloud Microsoft per stabilire una collaborazione B2B reciproca tra il cloud e un cloud esterno.
La funzione di caricamento dei CSV è ancora supportata?
Sì. Per altre informazioni sull'uso della funzionalità di caricamento dei file con estensione CSV, vedere questo esempio di PowerShell.
Come è possibile personalizzare i messaggi di posta elettronica di invito?
È possibile personalizzare quasi tutti gli elementi del processo del mittente dell'invito usando le API di invito B2B.
Gli utenti guest possono reimpostare il metodo di autenticazione a più fattori?
Sì. Gli utenti guest possono reimpostare il metodo di autenticazione a più fattori nello stesso modo in cui gli utenti normali eseguono.
Quale organizzazione è responsabile delle licenze di autenticazione a più fattori?
L'organizzazione che invita esegue l'autenticazione a più fattori. L'organizzazione che invita deve assicurarsi che l'organizzazione disponga di licenze sufficienti per gli utenti B2B che usano l'autenticazione a più fattori.
Cosa accade se un'organizzazione partner ha già configurato l'autenticazione a più fattori? È possibile considerare attendibile l'autenticazione a più fattori?
Le impostazioni di accesso tra tenant consentono di considerare attendibile l'autenticazione a più fattori e le attestazioni dei dispositivi (attestazioni conformi e attestazioni aggiunte ibride di Microsoft Entra) da altre organizzazioni di Microsoft Entra.
Quante organizzazioni è possibile aggiungere nelle impostazioni di accesso tra tenant?
Le impostazioni di accesso tra tenant sono criteri nella directory in cui vengono archiviate le impostazioni per la collaborazione con altre organizzazioni. Questo file di criteri ha un limite di dimensioni di 25 KB e una volta raggiunto il limite massimo, non è possibile apportare altre organizzazioni o modifiche che aumenterebbero ulteriormente le dimensioni del file. A causa della modalità di archiviazione del contenuto in questo criterio, non esiste un limite definito di organizzazioni che è possibile aggiungere nelle impostazioni di accesso tra tenant. Se è necessario applicare le impostazioni a un numero elevato di organizzazioni, è consigliabile implementare tali impostazioni come impostazioni predefinite. Seguire la procedura per calcolare le dimensioni correnti dei criteri e determinare se si è vicini al raggiungimento del limite di dimensioni del file di 25 kb.
Come si usano gli inviti posticipati?
Un'organizzazione può vole aggiungere gli utenti di Collaborazione B2B, effettuarne il provisioning alle applicazioni che richiedono il provisioning e quindi inviare gli inviti. È possibile usare l'API di invito di Collaborazione B2B per personalizzare il flusso di lavoro di onboarding.
È possibile creare utenti guest visibili nell'elenco indirizzi globale di Exchange?
Sì. Per impostazione predefinita, gli oggetti guest non sono visibili nell'elenco indirizzi globale dell'organizzazione, ma è possibile renderli visibili. Per informazioni dettagliate, vedere Aggiungere utenti guest all'elenco indirizzi globale nell'articolo Accesso guest per gruppo di Microsoft 365.
È possibile fare in modo che un utente guest diventi amministratore con limitazioni?
Assolutamente. Per altre informazioni, vedere Aggiunta di utenti guest a un ruolo.
Microsoft Entra B2B Collaboration consente agli utenti B2B di accedere all'interfaccia di amministrazione di Microsoft Entra?
A meno che a un utente non venga assegnato il ruolo di amministratore limitato, gli utenti di Collaborazione B2B non richiederanno l'accesso all'interfaccia di amministrazione di Microsoft Entra. Tuttavia, gli utenti di Collaborazione B2B a cui è stato assegnato il ruolo di amministratore con limitazioni possono accedere al portale. Se un utente guest a cui non è assegnato nessuno di questi ruoli di amministratore accede al portale, l'utente potrebbe riuscire ad accedere a determinate parti dell'esperienza. Il ruolo di utente guest ha determinate autorizzazioni nella directory.
È possibile bloccare l'accesso all'interfaccia di amministrazione di Microsoft Entra per gli utenti guest?
Sì, è possibile creare criteri di accesso condizionale che bloccano l'accesso degli utenti guest all'interfaccia di amministrazione o al portale. Quando si configurano i criteri di accesso condizionale, si ha un controllo granulare sui tipi di utenti esterni a cui applicare i criteri. Quando si configura questo criterio, prestare attenzione e non bloccare accidentalmente l'accesso ai membri e agli amministratori. Altre informazioni sull'accesso condizionale per gli utenti esterni.
Microsoft Entra B2B Collaboration supporta l'autenticazione a più fattori e gli account di posta elettronica consumer?
Sì. L'autenticazione a più fattori e gli account di posta elettronica consumer sono entrambi supportati per La collaborazione B2B di Microsoft Entra.
È supportata la reimpostazione della password per gli utenti di Collaborazione B2B di Microsoft Entra?
Se il tenant di Microsoft Entra è la home directory per un utente, è possibile reimpostare la password dell'utente dall'interfaccia di amministrazione di Microsoft Entra. ma non è possibile reimpostare direttamente una password per un utente guest che accede con un account gestito da un'altra directory di Microsoft Entra o da un altro provider di identità esterno. Solo l'utente guest o un amministratore nella home directory dell'utente può reimpostare la password. Di seguito sono riportati alcuni esempi di come funziona la reimpostazione della password per gli utenti guest:
Gli utenti guest in un tenant di Microsoft Entra contrassegnati come "Guest" (UserType==Guest) non possono registrarsi per la reimpostazione della password self-service tramite https://aka.ms/ssprsetup. Questo tipo di utente guest può eseguire la reimpostazione della password self-service tramite https://aka.ms/sspr.
Gli utenti guest che accedono con un account Microsoft (ad esempio, guestuser@live.com) possono reimpostare le proprie password con la reimpostazione della password self-service dell'account Microsoft. Vedere Come reimpostare la password dell'account Microsoft.
Gli utenti guest che accedono con un account Google o un altro provider di identità esterno possono reimpostare le proprie password usando il metodo SSPR del provider di identità. Un utente guest con un account Google guestuser@gmail.com, ad esempio, può reimpostare la password seguendo le istruzioni contenute in Modificare o reimpostare la password.
Se il tenant dell'identità è un tenant JIT o "virale" (ovvero un tenant di Azure non gestito separato), solo l'utente guest può reimpostare la propria password. A volte un'organizzazione acquisirà la gestione dei tenant virali che vengono creati quando i dipendenti usano gli indirizzi di posta elettronica aziendali per registrarsi ai servizi. Quando l'organizzazione acquisisce un tenant virale, solo l'amministratore dell'organizzazione può reimpostare la password dell'utente o abilitare la reimpostazione password self-service. Se necessario, l'organizzazione che emette l'invito può rimuovere l'account utente guest dalla directory e inviare di nuovo l'invito.
Se la home directory dell'utente guest è il tenant di Microsoft Entra, è possibile reimpostare la password dell'utente. È ad esempio possibile che sia stato creato o sincronizzato un utente da Active Directory locale e che UserType sia stato impostato su Guest. Poiché questo utente è incluso nella directory, è possibile reimpostare la password dall'interfaccia di amministrazione di Microsoft Entra.
Microsoft Dynamics 365 fornisce supporto online per la collaborazione B2B di Microsoft Entra?
Sì, Dynamics 365 (online) supporta la collaborazione B2B di Microsoft Entra. Per altre informazioni, vedere l'articolo di Dynamics 365 Invitare gli utenti con Microsoft Entra B2B Collaboration.
Qual è la durata di una password iniziale per un nuovo utente di Collaborazione B2B?
Microsoft Entra ID ha un set fisso di requisiti di blocco di caratteri, complessità della password e account che si applicano allo stesso modo a tutti gli account utente cloud di Microsoft Entra. Gli account utente cloud sono account non federati con un altro provider di identità, ad esempio:
- Account Microsoft
- Active Directory Federation Services
- Un altro tenant cloud (per Collaborazione B2B)
Per gli account federati, i criteri password dipendono dai criteri applicati nella tenancy locale e dalle impostazioni dell'account Microsoft dell'utente.
Per un'organizzazione potrebbe essere necessario avere esperienze diverse nelle applicazioni per gli utenti tenant e gli utenti guest. Ci sono linee guida standard per questo? La presenza dell'attestazione del provider di identità è il modello corretto da usare?
Un utente guest può usare qualsiasi provider di identità per eseguire l'autenticazione. Per altre informazioni, vedere Proprietà di un utente di Collaborazione B2B. Utilizzare la proprietà UserType per determinare l'esperienza utente. L'attestazione UserType non è attualmente inclusa nel token. Le applicazioni devono usare l'API Microsoft Graph per eseguire una query nella directory per l'utente e ottenere lo UserType.
Dove è possibile trovare una community di Collaborazione B2B per condividere soluzioni e inviare idee?
Microsoft ascolta sempre commenti e suggerimenti su come migliorare la Collaborazione B2B. Condividere scenari utente, procedure consigliate e informazioni su Microsoft Entra B2B Collaboration. Gli utenti sono invitati a partecipare alla discussione nella Microsoft Tech Community.
Invitiamo anche l'utente a inviarci le proprie idee e a votare le funzionalità future nelle Idee per Collaborazione B2B.
È possibile inviare un invito che viene riscattato automaticamente, in modo che l'utente possa "iniziare subito"? Oppure l'utente deve sempre fare clic sull'URL di riscatto?
È possibile invitare altri utenti nell'organizzazione partner tramite l'interfaccia utente, script di PowerShell o API. È quindi possibile inviare all'utente guest un collegamento diretto a un'app condivisa. Nella maggior parte dei casi, non è più necessario aprire l'invito tramite posta elettronica e fare clic su un URL di riscatto. Vedere Riscatto dell'invito di Collaborazione B2B di Microsoft Entra.
Come funziona Collaborazione B2B quando il partner invitato usa la federazione per aggiungere la propria autenticazione locale?
Se il partner ha un tenant di Microsoft Entra federato all'infrastruttura di autenticazione locale, viene automaticamente ottenuto l'accesso Single Sign-On (SSO) locale. Se il partner non ha un tenant di Microsoft Entra, viene creato un account Microsoft Entra per i nuovi utenti.
Un account locale di Azure AD B2C può essere invitato a un tenant di Microsoft Entra per collaborazione B2B?
No. Un account locale di Azure AD B2C può essere usato solo per accedere al tenant di Azure AD B2C. Non è possibile usare l'account per accedere a un tenant di Microsoft Entra. L'invito a un account locale di Azure AD B2C a un tenant di Microsoft Entra per collaborazione B2B non è supportato.
Quali applicazioni e servizi supportano gli utenti guest di Azure B2B?
Tutte le applicazioni integrate di Microsoft Entra possono supportare gli utenti guest di Azure B2B, ma devono usare un endpoint configurato come tenant per autenticare gli utenti guest. Potrebbe anche essere necessario personalizzare le attestazioni nel token SAML rilasciato quando un utente guest esegue l'autenticazione all'app.
È possibile forzare l'autenticazione a più fattori per gli utenti guest B2B se i partner non dispongono dell'autenticazione a più fattori?
Sì. Per altre informazioni, vedere Accesso condizionale per gli utenti di Collaborazione B2B.
In SharePoint è possibile definire un elenco di utenti esterni "consentiti" o "negati". È possibile farlo anche in Azure?
Sì. Microsoft Entra B2B Collaboration supporta gli elenchi consentiti e gli elenchi di blocchi.
Quali licenze è necessario usare Microsoft Entra B2B?
Per informazioni sulle licenze necessarie per l'organizzazione per l'uso di Microsoft Entra B2B, vedere Prezzi di ID esterni.
Cosa accade se si invita un utente il cui indirizzo di posta elettronica e UPN non corrispondono?
Dipende. Per impostazione predefinita, Microsoft Entra-only consente l'UPN per l'ID di accesso. Quando UPN e posta elettronica sono gli stessi, gli inviti a Microsoft Entra B2B e gli accessi successivi funzionano come previsto. Tuttavia, i problemi possono verificarsi quando l'indirizzo di posta elettronica e l'UPN di un utente non corrispondono e il messaggio di posta elettronica viene usato anziché l'UPN per accedere. Quando un utente viene invitato con un messaggio di posta elettronica non UPN, sarà in grado di riscattare l'invito se riscatta usando il collegamento di invito tramite posta elettronica, ma i riscatti tramite un collegamento diretto avranno esito negativo. Tuttavia, anche se l'utente riscatta correttamente l'invito, i tentativi di accesso successivi che usano il messaggio di posta elettronica non UPN avranno esito negativo a meno che il provider di identità (ID Microsoft Entra o un provider di identità federato) sia configurato per consentire la posta elettronica come ID di accesso alternativo. È possibile ridurre tale problema nei modi seguenti:
- Abilitazione della posta elettronica come ID di accesso alternativo nel tenant microsoft Entra invitato/home
- Abilitazione del provider di identità federato per supportare la posta elettronica come ID di accesso (se Microsoft Entra ID è federato a un altro provider di identità) o
- Indica all'utente di riscattare/accedere usando il proprio UPN.
Per evitare completamente questo problema, gli amministratori devono assicurarsi che l'UPN e la posta elettronica degli utenti siano uguali.
Nota
Gli inviti e i riscatti inviati nei cloud Microsoft devono usare l'UPN. La posta elettronica non è attualmente supportata. Ad esempio, se un utente di un tenant del governo degli Stati Uniti viene invitato a un tenant commerciale, l'utente deve essere invitato usando il proprio UPN.
Instant-on: cosa può causare la latenza di replica?
Nei flussi di collaborazione B2B, aggiungiamo utenti alla directory e li aggiorniamo dinamicamente durante il processo di riscatto dell'invito, l'assegnazione di app e così via. Le operazioni di aggiornamento e scrittura vengono eseguite generalmente in un'istanza della directory e devono essere replicate in tutte le istanze. La replica viene completata quando tutte le istanze sono state aggiornate. In alcuni casi, quando un oggetto viene scritto o aggiornato in un'istanza e la chiamata per il recupero dell'oggetto viene effettuata a un'altra istanza, è possibile che si verifichino latenze della replica. In tal caso, aggiornare o riprovare. Se si sta scrivendo un'app usando l'API, è consigliabile riprovare, interrompendo temporaneamente, per risolvere il problema.