Concedere agli account partner gestiti in locale l'accesso alle risorse cloud usando Microsoft Entra B2B Collaboration
Si applica a: 
Tenant esterni della forza lavoro 
(altre informazioni)
Prima di Microsoft Entra ID, le organizzazioni con sistemi di gestione delle identità locali hanno tradizionalmente account partner gestiti nella directory locale. In un'organizzazione di questo tipo, quando si inizia a spostare le app in Microsoft Entra ID, si vuole assicurarsi che i partner possano accedere alle risorse necessarie. Non è importante se le risorse si trovano in locale o nel cloud. Si vuole anche che gli utenti partner possano usare le stesse credenziali di accesso per le risorse locali e Microsoft Entra.
Se si creano account per i partner esterni nella directory locale( ad esempio, si crea un account con un nome di accesso "msullivan" per un utente esterno denominato Maria Sullivan nel dominio di partners.contoso.com), è ora possibile sincronizzare questi account nel cloud. In particolare, è possibile usare Microsoft Entra Connessione per sincronizzare gli account partner nel cloud, che crea un account utente con UserType = Guest. In questo modo, si consente agli utenti partner di accedere alle risorse cloud con le stesse credenziali degli account locali, senza concedere loro un accesso più esteso di quanto necessario. Per altre informazioni sulla conversione di account guest locali, vedere Convertire gli account guest locali in account guest Microsoft Entra B2B.
Nota
Vedere anche come invitare utenti interni alla collaborazione B2B. Con questa funzionalità, è possibile invitare utenti guest interni a usare collaborazione B2B, indipendentemente dal fatto che gli account siano stati sincronizzati dalla directory locale al cloud. Quando l'utente accetta l'invito a usare collaborazione B2B, sarà in grado di usare le proprie identità e credenziali per accedere alle risorse a cui si vuole accedere. Non è necessario gestire le password o gestire i cicli di vita degli account.
Identificare gli attributi univoci per UserType
Per abilitare la sincronizzazione dell'attributo UserType, è prima necessario decidere in che modo tale attributo verrà ricavato da Active Directory locale. In altre parole, quali parametri nell'ambiente locale sono univoci per i collaboratori esterni? Definire un parametro che distingua i collaboratori esterni dai membri dell'organizzazione.
A questo scopo, due approcci comuni sono:
- Individuare un attributo di Active Directory locale non usato, ad esempio extensionAttribute1, e usarlo come attributo di origine.
- In alternativa, è possibile ricavare il valore dell'attributo UserType da altre proprietà. Ad esempio, si vuole sincronizzare tutti gli utenti come Guest se il Active Directory locale attributo UserPrincipalName termina con il dominio @partners.contoso.com.
Per altre informazioni sui requisiti per gli attributi, vedere Abilitare la sincronizzazione di UserType.
Configurare Microsoft Entra Connessione per sincronizzare gli utenti con il cloud
Dopo aver identificato l'attributo univoco, è possibile configurare Microsoft Entra Connessione per sincronizzare questi utenti nel cloud, che crea un account utente con UserType = Guest. Dal punto di vista dell'autorizzazione, questi utenti sono indistinguibili dagli utenti B2B creati tramite il processo di invito di Collaborazione B2B di Microsoft Entra.
Per istruzioni sull'implementazione, vedere Abilitare la sincronizzazione di UserType.