Riscatto dell'invito di Collaborazione B2B di Microsoft Entra

Questo articolo descrive i modi in cui gli utenti guest possono accedere alle risorse e i processi di consenso previsti. Se si invia un messaggio di posta elettronica di invito all'utente guest, l'invito include un collegamento che può essere riscattato dall'utente guest per ottenere l'accesso all'app o al portale. Il messaggio di posta elettronica di invito è solo uno dei modi in cui gli utenti possono ottenere l'accesso alle risorse. In alternativa, è possibile aggiungere gli utenti guest alla directory e assegnare loro un collegamento diretto al portale o all'app che si vuole condividere. Indipendentemente dal metodo usato, gli utenti guest vengono guidati attraverso un primo processo di consenso. Questo processo garantisce che gli utenti guest accettino l'informativa sulla privacy e le eventuali condizioni per l'utilizzo previste.

Quando si aggiunge un utente guest alla directory, l'account utente guest presenta uno stato di consenso (visualizzabile in PowerShell) inizialmente impostato su Accettazione in sospeso. Questa impostazione rimane fino a quando l'utente guest non accetta l'invito e accetta l'informativa sulla privacy e le condizioni per l'utilizzo. Successivamente, lo stato di consenso passa ad Accettato e le pagine di consenso non vengono più presentate all'utente guest.

Importante

• A partire dal 12 luglio 2021, se i clienti di Microsoft Entra B2B configurano nuove integrazioni di Google per l'uso con l'iscrizione self-service per le applicazioni personalizzate o line-of-business, l'autenticazione con identità Google non funzionerà finché le autenticazioni non verranno spostate nelle visualizzazioni Web di sistema. Altre informazioni.
• A partire dal 30 settembre 2021, Google deprecato il supporto per l'accesso alla visualizzazione Web incorporato. Se le app autenticano gli utenti con una visualizzazione Web incorporata e si usa la federazione di Google con Azure AD B2C o Microsoft Entra B2B per gli inviti degli utenti esterni o l'iscrizione self-service, gli utenti di Google Gmail non saranno in grado di eseguire l'autenticazione. Altre informazioni.
• La funzionalità passcode monouso della posta elettronica è ora attivata per impostazione predefinita per tutti i nuovi tenant e per tutti i tenant esistenti in cui non è stata disattivata in modo esplicito. Quando questa funzionalità è disattivata, il metodo di autenticazione di fallback consiste nel richiedere agli invitati di creare un account Microsoft.

Processo di riscatto e accesso tramite un endpoint comune

Gli utenti guest possono ora accedere alle app multi-tenant o Microsoft first-party tramite un endpoint comune (URL), ad esempio https://myapps.microsoft.com. In precedenza, un URL comune reindirizzava un utente guest al tenant principale anziché al tenant della risorsa per l'autenticazione, quindi era necessario un collegamento specifico del tenant , ad esempio https://myapps.microsoft.com/?tenantid=<tenant id>. A questo punto l'utente guest può passare all'URL comune dell'applicazione, scegliere Opzioni di accesso e quindi selezionare Accedi a un'organizzazione. L'utente digita quindi il nome di dominio dell'organizzazione.

L'utente viene quindi reindirizzato all'endpoint specifico del tenant, in cui può accedere con il proprio indirizzo di posta elettronica o selezionare un provider di identità configurato.

Processo di riscatto tramite un collegamento diretto

In alternativa all'indirizzo di posta elettronica di invito o all'URL comune di un'applicazione, è possibile assegnare a un guest un collegamento diretto all'app o al portale. È prima necessario aggiungere l'utente guest alla directory tramite l'interfaccia di amministrazione di Microsoft Entra o PowerShell. Quindi è possibile usare uno dei modi personalizzabili per distribuire le applicazioni agli utenti, inclusi i collegamenti di accesso diretto. Quando un utente guest usa un collegamento diretto anziché un messaggio di posta elettronica di invito, viene comunque guidato attraverso la prima esperienza di consenso.

Nota

Un collegamento diretto è specifico del tenant. In altre parole, include un ID tenant o un dominio verificato in modo che il guest possa essere autenticato nel tenant, in cui si trova l'app condivisa. Di seguito sono riportati alcuni esempi di collegamenti diretti con il contesto del tenant:

• Pannello di accesso per le app: https://myapps.microsoft.com/?tenantid=<tenant id>
• Pannello di accesso per le app per un dominio verificato: https://myapps.microsoft.com/<;verified domain>
• Interfaccia di amministrazione di Microsoft Entra: https://entra.microsoft.com/<tenant id>
• App singola: vedere come usare un collegamento di accesso diretto

In alcuni casi, è consigliabile usare il messaggio di posta elettronica di invito anziché un collegamento diretto. Se questi casi particolari sono importanti per l'organizzazione, è consigliabile invitare gli utenti usando metodi che inviano il messaggio di posta elettronica di invito:

• È a volte possibile che l'oggetto utente invitato non abbia un indirizzo di posta elettronica a causa di un conflitto con un oggetto contatto (ad esempio, un oggetto contatto di Outlook). In questo caso, l'utente deve selezionare l'URL di riscatto nel messaggio di posta elettronica di invito.
• L'utente può accedere con un alias dell'indirizzo di posta elettronica invitato. Un alias è un altro indirizzo di posta elettronica associato a un account di posta elettronica. In questo caso, l'utente deve selezionare l'URL di riscatto nel messaggio di posta elettronica di invito.

Processo di riscatto tramite il messaggio di posta elettronica di invito

Quando si aggiunge un utente guest alla directory usando l'interfaccia di amministrazione di Microsoft Entra, viene inviato un messaggio di posta elettronica di invito al guest nel processo. È anche possibile scegliere di inviare messaggi di posta elettronica di invito quando si usa PowerShell per aggiungere utenti guest alla directory. Ecco una descrizione dell'esperienza dell'utente guest quando riscatta il collegamento nel messaggio di posta elettronica.

1. L'utente guest riceve un messaggio di posta elettronica di invito inviato da Microsoft Invitations.
2. L'utente guest seleziona Accetta l'invito nel messaggio di posta elettronica.
3. L'utente guest userà le proprie credenziali per accedere alla directory. Se l'utente guest non ha un account che può essere federato nella directory e la funzionalità OTP (Email One-Time Passcode) non è abilitata. Al guest viene richiesto di creare un account del servizio gestito personale. Per informazioni dettagliate, vedere il flusso di riscatto dell'invito.
4. L'utente guest viene guidato attraverso l'esperienza di consenso descritta di seguito.

Limitazione del processo di riscatto con l'oggetto Contact in conflitto

A volte il messaggio di posta elettronica dell'utente guest esterno invitato può essere in conflitto con un oggetto Contact esistente, con conseguente creazione dell'utente guest senza proxyAddress. Si tratta di una limitazione nota che impedisce agli utenti guest di riscattare un invito tramite un collegamento diretto tramite SAML/WS-Fed IdP, ACCOUNT del servizio gestito, Google Federation o Account passcode monouso tramite posta elettronica.

Tuttavia, gli scenari seguenti devono continuare a funzionare:

• Riscatto di un invito tramite un collegamento di riscatto tramite posta elettronica di invito usando l'IDP SAML/WS-Fed, il passcode monouso di posta elettronica e gli account di Google Federation.
• Accesso a un'applicazione dopo il processo di riscatto con account SAML/WS-Fed IdP, Passcode monouso e Google Federation .

Per sbloccare gli utenti che non possono riscattare un invito a causa di un oggetto Contatto in conflitto, seguire questa procedura:

1. Eliminare l'oggetto Contact in conflitto.
2. Eliminare l'utente guest nell'interfaccia di amministrazione di Microsoft Entra (la proprietà "Invito accettato" dell'utente deve essere in sospeso).
3. Reinvitare l'utente guest.
4. Attendere che l'utente riscatti l'invito.
5. Aggiungere di nuovo il messaggio di posta elettronica contatto dell'utente in Exchange e tutti gli elenchi di dominio di cui devono far parte.

Flusso di riscatto dell'invito

Quando un utente seleziona il collegamento Accetta invito in un messaggio di posta elettronica di invito, Microsoft Entra ID riscatta automaticamente l'invito in base all'ordine di riscatto predefinito illustrato di seguito:

1. Microsoft Entra ID esegue l'individuazione basata sull'utente per determinare se l'utente esiste già in un tenant Microsoft Entra gestito. Gli account Microsoft Entra non gestiti non possono più essere usati per il flusso di riscatto. Se il nome dell'entità utente (UPN) dell'utente corrisponde sia a un account Microsoft Entra esistente che a un account del servizio gestito personale, all'utente viene richiesto di scegliere l'account con cui si vuole riscattare.

2. Se un amministratore ha abilitato la federazione SAML/WS-Fed IdP, Microsoft Entra ID verifica se il suffisso di dominio dell'utente corrisponde al dominio di un provider di identità SAML/WS-Fed configurato e reindirizza l'utente al provider di identità preconfigurato.

3. Se un amministratore ha abilitato la federazione google, Microsoft Entra ID verifica se il suffisso di dominio dell'utente è gmail.com o googlemail.com e reindirizza l'utente a Google.

4. Il processo di riscatto controlla se l'utente dispone di un account del servizio gestito personale esistente. Se l'utente ha già un account del servizio gestito esistente, accederà con quello.

5. Una volta identificato la home directory dell'utente, l'utente viene reindirizzato al provider di identità corrispondente per l'accesso.

6. Se non viene trovata alcuna home directory e la funzionalità passcode monouso tramite posta elettronica è abilitata per gli utenti guest, viene inviato un passcode all'utente tramite il messaggio di posta elettronica invitato. L'utente recupera e immette questo passcode nella pagina di accesso di Microsoft Entra.

7. Se non viene trovata alcuna home directory e viene disabilitato il passcode monouso per gli utenti guest, all'utente viene richiesto di creare un account del servizio gestito consumer con il messaggio di posta elettronica invitato. È supportata la creazione di un account del servizio gestito con messaggi di posta elettronica di lavoro in domini non verificati in Microsoft Entra ID.

8. Dopo l'autenticazione al provider di identità corretto, l'utente viene reindirizzato all'ID Microsoft Entra per completare l'esperienza di consenso.

Riscatto configurabile

Il riscatto configurabile consente di personalizzare l'ordine dei provider di identità presentati agli utenti guest quando riscattano gli inviti. Quando un guest seleziona il collegamento Accetta invito, Microsoft Entra ID riscatta automaticamente l'invito in base all'ordine predefinito. È possibile eseguire l'override di questa operazione modificando l'ordine di riscatto del provider di identità nelle impostazioni di accesso tra tenant.

Esperienza di consenso per l'utente guest

Quando un guest accede a una risorsa in un'organizzazione partner per la prima volta, viene presentata l'esperienza di consenso seguente. Queste pagine di consenso vengono visualizzate al guest solo dopo l'accesso e non vengono visualizzate affatto se l'utente li ha già accettati.

1. L'utente guest esamina la pagina Verifica le autorizzazioni che riporta l'informativa sulla privacy dell'organizzazione che ha inviato l'invito. Per continuare, un utente deve accettare l'uso delle informazioni in conformità alle norme sulla privacy dell'organizzazione che ha inviato l'invito.

   

   Nota

   Per informazioni su come l'amministratore tenant può collegarsi all'informativa sulla privacy dell'organizzazione, vedere Procedura: Aggiungere le informazioni sulla privacy dell'organizzazione in Microsoft Entra ID.

2. Se le condizioni per l'utilizzo sono configurate, l'utente guest apre e verifica le condizioni per l'utilizzo, quindi seleziona Accetto.

   

   È possibile configurare le condizioni per l'utilizzo in Identità esterne>Condizioni per l'utilizzo.

3. Se non diversamente specificato, l'utente guest viene reindirizzato al pannello di accesso App, che elenca le applicazioni a cui l'utente guest può accedere.

   

Nella directory il valore di Invito accettato dell'utente guest passa a Sì. Se è stato creato un account del servizio gestito, il valore di Origine dell'utente guest mostra Account Microsoft. Per altre informazioni sulle proprietà dell'account utente guest, vedere Proprietà di un utente di Collaborazione B2B di Microsoft Entra. Se viene visualizzato un errore che richiede il consenso amministratore durante l'accesso a un'applicazione, vedere come concedere il consenso amministratore alle app.

Impostazione del processo di riscatto automatico

È possibile riscattare automaticamente gli inviti in modo che gli utenti non devono accettare la richiesta di consenso quando vengono aggiunti a un altro tenant per collaborazione B2B. Quando configurato, viene inviato un messaggio di posta elettronica di notifica all'utente di Collaborazione B2B che non richiede alcuna azione da parte dell'utente. Gli utenti vengono inviati direttamente tramite posta elettronica di notifica e non devono accedere al tenant prima di ricevere il messaggio di posta elettronica.

Per informazioni su come riscattare automaticamente gli inviti, vedere Panoramica dell'accesso tra tenant e Configurare le impostazioni di accesso tra tenant per collaborazione B2B.

Passaggi successivi

• Che cos'è Microsoft Entra B2B Collaboration?
• Proprietà dell'utente di Collaborazione B2B
• Invito tramite posta elettronica