Si applica a: Tenant delle risorse Tenant esterni (altre informazioni)
Le domande frequenti, o FAQ, sulla collaborazione business-to-business o B2B di Microsoft Entra vengono aggiornate periodicamente in modo da includere nuovi argomenti.
Importante
- A partire dal 4 gennaio 2021, Google ha deprecato il supporto dell'accesso WebView. Se si usa la federazione Google o l'iscrizione self-service con Gmail, è consigliabile testare la compatibilità delle applicazioni line-of-business native.
- La funzionalità di passcode monouso tramite e-mail è ora attivata per impostazione predefinita per tutti i nuovi tenant e per tutti i tenant esistenti in cui non è stata disattivata in modo esplicito. Quando questa funzionalità è disattivata, il metodo di autenticazione di fallback consiste nel richiedere agli invitati di creare un account Microsoft.
È possibile personalizzare la pagina di accesso in modo che sia più intuitiva per gli utenti guest di Collaborazione B2B?
Per altre informazioni su come personalizzare la pagina di accesso dell'organizzazione, vedere Aggiungere le informazioni personalizzate dell'azienda alla pagina di accesso e al pannello di accesso.
Sì. Tuttavia, la possibilità di cercare gli utenti guest esistenti in SharePoint Online tramite la selezione utenti è disattivata per impostazione predefinita. Per attivare l'opzione di ricercare degli utenti guest esistenti, impostare ShowPeoplePickerSuggestionsForGuestUsers a On. È possibile attivare questa impostazione a livello di tenant o a livello di raccolta siti. È possibile modificare questa impostazione tramite i cmdlet Set-SPOTenant e SPOSite Set. Con questi cmdlet, i membri possono cercare tutti gli utenti guest esistenti nella directory. Le modifiche nell'ambito tenant non influiscono sui siti di SharePoint Online di cui si è già effettuato il provisioning.
Sì, è possibile distribuire il contenuto di Power BI agli utenti guest esterni tramite Collaborazione B2B. Per condividere il contenuto di Power BI tra cloud Microsoft, è possibile usare le impostazioni cloud Microsoft per stabilire una collaborazione B2B reciproca tra il proprio cloud e un cloud esterno.
Sì. Per altre informazioni sull'uso della funzionalità di caricamento dei file con estensione CSV, vedere questo esempio di PowerShell.
È possibile personalizzare quasi tutti gli elementi del processo del mittente dell'invito usando le API di invito B2B.
Sì. Gli utenti guest possono reimpostare il metodo di autenticazione a più fattori nello stesso modo in cui lo fanno gli utenti normali.
L'organizzazione che invia l'invito esegue l'autenticazione a più fattori. L'organizzazione che invia l'invito deve assicurarsi che l'organizzazione abbia un numero sufficiente di licenze per gli utenti B2B che usano l'autenticazione a più fattori.
Che cosa accade se un'organizzazione partner ha già configurato l'autenticazione a più fattori? È possibile considerare attendibile l'autenticazione a più fattori?
Le impostazioni di accesso tra tenant consentono inoltre di considerare attendibili le attestazioni dell’autenticazione a più fattori (MFA) e dei dispositivi (attestazioni conformi e attestazioni aggiunte ibride di Microsoft Entra) di altre organizzazioni di Microsoft Entra.
Le impostazioni di accesso tra tenant sono un criterio presente nella directory in cui vengono archiviate le impostazioni per la collaborazione con altre organizzazioni. Non esistono limiti al numero di organizzazioni che è possibile aggiungere nelle impostazioni di accesso tra tenant.
Un'organizzazione può vole aggiungere gli utenti di Collaborazione B2B, effettuarne il provisioning alle applicazioni che richiedono il provisioning e quindi inviare gli inviti. È possibile usare l'API di invito di Collaborazione B2B per personalizzare il flusso di lavoro di onboarding.
Sì. Per impostazione predefinita, gli oggetti guest non sono visibili nell'elenco degli indirizzi globale dell'organizzazione, ma è possibile renderli visibili. Per informazioni dettagliate, vedere Aggiungere utenti guest all'elenco degli indirizzi globale nell'articolo Accesso guest per gruppo di Microsoft 365.
Assolutamente. Per altre informazioni, vedere Aggiunta di utenti guest a un ruolo.
Collaborazione B2B di Microsoft Entra consente agli utenti B2B di accedere all'Interfaccia di amministrazione di Microsoft Entra?
A meno che a un utente non sia assegnato il ruolo di amministratore con limitazioni, gli utenti di Collaborazione B2B non avranno bisogno di accedere all’Interfaccia di amministrazione di Microsoft Entra. Tuttavia, gli utenti di Collaborazione B2B a cui è stato assegnato il ruolo di amministratore con limitazioni possono accedere al portale. Se un utente guest a cui non è assegnato nessuno di questi ruoli di amministratore accede al portale, l'utente potrebbe riuscire ad accedere a determinate parti dell'esperienza. Il ruolo di utente guest ha determinate autorizzazioni nella directory.
È possibile bloccare l'accesso all'Interfaccia di amministrazione di Microsoft Entra per gli utenti guest?
Sì, è possibile creare un criterio di accesso condizionale che blocchi l'accesso degli utenti guest all'interfaccia di amministrazione o al portale. Quando si configura il criterio di accesso condizionale, si ha un controllo granulare sui tipi di utenti esterni a cui applicare tale criterio. Quando si configura questo criterio, prestare attenzione e non bloccare accidentalmente l'accesso ai membri e agli amministratori. Altre informazioni sull'accesso condizionale per gli utenti esterni.
Collaborazione B2B di Microsoft Entra supporta l'autenticazione a più fattori e gli account di posta elettronica Consumer?
Sì. Collaborazione B2B di Microsoft Entra supporta sia l'autenticazione a più fattori che gli account di posta elettronica Consumer.
È supportata la reimpostazione della password per gli utenti di Collaborazione B2B di Microsoft Entra?
Se il tenant di Microsoft Entra è la home directory per un utente, è possibile reimpostare la password dell'utente dall'Interfaccia di amministrazione di Microsoft Entra. ma non è possibile reimpostare direttamente una password per un utente guest che accede con un account gestito da un'altra directory di Microsoft Entra o da un altro provider di identità esterno. Solo l'utente guest o un amministratore nella home directory dell'utente può reimpostare la password. Di seguito sono riportati alcuni esempi di come funziona la reimpostazione della password per gli utenti guest:
Gli utenti guest in un tenant di Microsoft Entra contrassegnati come "Guest" (UserType==Guest) non possono registrarsi per la reimpostazione password self-service tramite https://aka.ms/ssprsetup. Questo tipo di utente guest può eseguire la reimpostazione della password self-service tramite https://aka.ms/sspr.
Gli utenti guest che accedono con un account Microsoft (ad esempio, guestuser@live.com) possono reimpostare le proprie password con la reimpostazione della password self-service dell'account Microsoft. Vedere Come reimpostare la password dell'account Microsoft.
Gli utenti guest che accedono con un account Google o un altro provider di identità esterno possono reimpostare le proprie password usando il metodo di reimpostazione della password self-service del provider di identità. Un utente guest con un account Google guestuser@gmail.com, ad esempio, può reimpostare la password seguendo le istruzioni contenute in Modificare o reimpostare la password.
Se il tenant dell'identità è un tenant JIT o "virale" (ovvero un tenant di Azure non gestito separato), solo l'utente guest può reimpostare la propria password. A volte un'organizzazione acquisirà la gestione dei tenant virali che vengono creati quando i dipendenti usano gli indirizzi di posta elettronica aziendali per registrarsi ai servizi. Quando l'organizzazione acquisisce un tenant virale, solo l'amministratore dell'organizzazione può reimpostare la password dell'utente o abilitare la reimpostazione password self-service. Se necessario, l'organizzazione che emette l'invito può rimuovere l'account utente guest dalla directory e inviare di nuovo l'invito.
Se la home directory dell'utente guest corrisponde al tenant di Microsoft Entra, è possibile reimpostare la password dell'utente. È ad esempio possibile che sia stato creato o sincronizzato un utente da Active Directory locale e che UserType sia stato impostato su Guest. Poiché questo utente è incluso nella directory, è possibile reimpostare la password dall'Interfaccia di amministrazione di Microsoft Entra.
Sì, Dynamics 365 (online) supporta Collaborazione B2B di Microsoft Entra. Per altre informazioni, vedere l'articolo di Dynamics 365 Invitare gli utenti con Collaborazione B2B di Microsoft Entra.
Microsoft Entra ID ha requisiti fissi per il set di caratteri, la complessità della password e il blocco account che si applicano equamente a tutti gli account utente cloud di Microsoft Entra. Gli account utente cloud sono account non federati con un altro provider di identità, ad esempio:
- Account Microsoft
- Active Directory Federation Services
- Un altro tenant cloud (per Collaborazione B2B)
Per gli account federati, i criteri password dipendono dai criteri applicati nella tenancy locale e dalle impostazioni dell'account Microsoft dell'utente.
Per un'organizzazione potrebbe essere necessario avere esperienze diverse nelle applicazioni per gli utenti tenant e gli utenti guest. Ci sono linee guida standard per questo? La presenza dell'attestazione del provider di identità è il modello corretto da usare?
Un utente guest può usare qualsiasi provider di identità per eseguire l'autenticazione. Per altre informazioni, vedere Proprietà di un utente di Collaborazione B2B. Utilizzare la proprietà UserType per determinare l'esperienza utente. L'attestazione UserType non è attualmente inclusa nel token. Le applicazioni devono usare l'API Microsoft Graph per eseguire una query nella directory per l'utente e ottenere lo UserType.
Dove è possibile trovare una community di Collaborazione B2B per condividere soluzioni e inviare idee?
Microsoft ascolta sempre commenti e suggerimenti su come migliorare la Collaborazione B2B. Condividere gli scenari utente e le procedure consigliate e comunicare gli aspetti positivi di Collaborazione B2B di Microsoft Entra. Gli utenti sono invitati a partecipare alla discussione nella Microsoft Tech Community.
Invitiamo anche l'utente a inviarci le proprie idee e a votare le funzionalità future nelle Idee per Collaborazione B2B.
È possibile inviare un invito che viene riscattato automaticamente, in modo che l'utente possa "iniziare subito"? Oppure l'utente deve sempre fare clic sull'URL di riscatto?
È possibile invitare altri utenti nell'organizzazione partner tramite l'interfaccia utente, script di PowerShell o API. È quindi possibile inviare all'utente guest un collegamento diretto a un'app condivisa. Nella maggior parte dei casi, non è più necessario aprire l'invito tramite posta elettronica e fare clic su un URL di riscatto. Vedere Riscattare l'invito di Collaborazione B2B di Microsoft Entra.
Come funziona Collaborazione B2B quando il partner invitato usa la federazione per aggiungere la propria autenticazione locale?
Se il partner ha un tenant di Microsoft Entra federato all'infrastruttura di autenticazione locale,viene automaticamente applicato l'accesso Single Sign-On (SSO) locale. Se il partner non ha un tenant di Microsoft Entra, viene creato un account Microsoft Entra per i nuovi utenti.
È possibile invitare un account locale di Azure AD B2C a un tenant di Microsoft Entra per Collaborazione B2B?
No. Un account locale di Azure AD B2C può essere usato solo per accedere al tenant di Azure AD B2C. Non è possibile usare l'account per accedere a un tenant di Microsoft Entra. Non è possibile invitare un account locale di Azure AD B2C a un tenant di Microsoft Entra per Collaborazione B2B.
Tutte le applicazioni integrate in Microsoft Entra possono supportare gli utenti guest di Azure B2B, ma devono usare la configurazione di un endpoint come tenant per autenticare gli utenti guest. Potrebbe anche essere necessario personalizzare le attestazioni nel token SAML rilasciato quando un utente guest esegue l'autenticazione all'app.
Se i partner non dispongono dell' autenticazione a più fattori, è possibile forzarla per gli utenti guest di B2B?
Sì. Per altre informazioni, vedere Accesso condizionale per gli utenti di Collaborazione B2B.
In SharePoint è possibile definire un elenco di utenti esterni "consentiti" o "negati". È possibile farlo anche in Azure?
Sì. Collaborazione B2B di Microsoft Entra B2B supporta gli elenchi di elementi consentiti e gli elenchi di elementi bloccati.
Per informazioni sulle licenze necessarie all'organizzazione per usare B2B di Microsoft Entra, vedere Prezzi degli ID esterni.
Dipende. Per impostazione predefinita, Microsoft Entra consente solo l'UPN come ID di accesso. Quando UPN e posta elettronica corrispondono, gli inviti B2B di Microsoft Entra e gli accessi successivi funzionano come previsto. Tuttavia, possono verificarsi dei problemi quando l'indirizzo di posta elettronica e l'UPN di un utente non corrispondono e viene usato per l’accesso il messaggio di posta elettronica anziché l'UPN. Quando un utente viene invitato con un messaggio di posta elettronica non UPN, sarà in grado di riscattare l'invito se riscatta usando il collegamento all’invito del messaggio di posta elettronica. Tuttavia, i riscatti tramite un collegamento diretto avranno esito negativo. Tuttavia, anche se l'utente riscatta correttamente l'invito, i tentativi di accesso successivi che usano il messaggio di posta elettronica non UPN avranno esito negativo a meno che il provider di identità (ID di Microsoft Entra o un provider di identità federato) sia configurato per consentire la posta elettronica come ID di accesso alternativo. È possibile ridurre tale problema nei modi seguenti:
- Abilitazione della posta elettronica come ID di accesso alternativo nel tenant di Microsoft Entra invitato/home
- Abilitazione del provider di identità federato per il supporto della posta elettronica come ID di accesso (se Microsoft Entra ID è federato a un altro provider di identità) o
- Segnalazione all'utente della necessità di riscattare/accedere con il proprio UPN.
Per evitare assolutamente questo problema, gli amministratori devono assicurarsi che l'UPN e la posta elettronica degli utenti contengano lo stesso valore.
Nota
Gli inviti e i riscatti inviati tramite i cloud Microsoft devono usare l'UPN. La posta elettronica non è attualmente supportata. Ad esempio, se un utente di un tenant del governo degli Stati Uniti viene invitato a un tenant commerciale, l'utente deve essere invitato con il suo UPN.
Nei flussi di Collaborazione B2B gli utenti vengono aggiunti alla directory e aggiornati in modo dinamico durante il riscatto dell'invito, l'assegnazione di app e così via. Le operazioni di aggiornamento e scrittura vengono eseguite generalmente in un'istanza della directory e devono essere replicate in tutte le istanze. La replica viene completata quando tutte le istanze sono state aggiornate. In alcuni casi, quando un oggetto viene scritto o aggiornato in un'istanza e la chiamata per il recupero dell'oggetto viene effettuata a un'altra istanza, è possibile che si verifichino latenze della replica. In tal caso, aggiornare o riprovare. Se si sta scrivendo un'app usando l'API, è consigliabile riprovare, interrompendo temporaneamente, per risolvere il problema.