Concedere agli account partner gestiti in locale l'accesso alle risorse sul cloud usando il servizio di collaborazione di Microsoft Entra B2B
Si applica a: 
Tenant delle risorse 
Tenant esterni (Ulteriori informazioni)
Prima dell'arrivo di Microsoft Entra ID, le organizzazioni con sistemi di gestione delle identità locali generalmente gestivano gli account partner nella directory locale. In quelle organizzazioni, quando si inizia a spostare le app in Microsoft Entra ID, è necessario assicurarsi che i partner possano accedere alle risorse di cui hanno bisogno. Non è importante se le risorse si trovano in locale o nel cloud. Inoltre gli utenti delle aziende partner devono poter usare le stesse credenziali di accesso sia per le risorse locali che per quelle di Microsoft Entra.
Se si creano degli account per i partner esterni nella directory locale (ad esempio, un account con il nome di accesso "msullivan" per un'utente esterna che si chiama Maria Sullivan nel proprio dominio partners.contoso.com), ora è possibile sincronizzare sul cloud gli account creati. In particolare è possibile utilizzare Microsoft Entra Connect per sincronizzare gli account partner sul cloud, creando un account utente con UserType = Guest. Questa configurazione consente agli utenti partner di accedere alle risorse cloud con le stesse credenziali degli account locali, senza concedere loro un accesso più esteso di quanto necessario. Per ulteriori informazioni sulla conversione degli account ospiti guest locali, consulta la sezione Convertire gli account ospiti locali in account ospiti di Microsoft Entra B2B.
Nota
Leggi anche come invitare gli utenti interni alle attività di collaborazione B2B. Questa funzione permette di invitare gli utenti ospiti interni a utilizzare il servizio di collaborazione B2B, indipendentemente dal fatto che i loro account siano stati sincronizzati dalla directory locale al cloud. Quando l'utente accetta l'invito alla collaborazione B2B può usare le proprie identità e credenziali per accedere alle risorse di cui ha bisogno. Non è necessario conservare le password né gestire i cicli di vita degli account.
Identificare gli attributi univoci per UserType
Per abilitare la sincronizzazione dell'attributo UserType, è prima necessario decidere in che modo tale attributo verrà ricavato da Active Directory locale. In altre parole, quali parametri nell'ambiente locale sono univoci per i collaboratori esterni? Definire un parametro che distingua i collaboratori esterni dai membri dell'organizzazione.
I due approcci comuni alla definizione del parametro sono:
- Individuare un attributo di Active Directory locale non usato, ad esempio extensionAttribute1, e usarlo come attributo di origine.
- In alternativa, è possibile ricavare il valore dell'attributo UserType da altre proprietà. Ad esempio, è possibile sincronizzare tutti gli utenti come ospiti se l'attributo locale UserPrincipalName di Active Directory termina con il dominio @partners.contoso.com.
Per altre informazioni sui requisiti per gli attributi, vedere Abilitare la sincronizzazione di UserType.
Configurare Microsoft Entra Connect per sincronizzare gli utenti sul cloud
Dopo aver individuato l'attributo univoco è possibile configurare Microsoft Entra Connect in modo da sincronizzare questi utenti sul cloud, creando un account utente con UserType = Guest. Dal punto di vista delle autorizzazioni questi utenti sono indistinguibili dagli utenti B2B creati con la procedura di invito alla collaborazione in Microsoft Entra B2B.
Per istruzioni sull'implementazione, vedere Abilitare la sincronizzazione di UserType.