Condividi tramite


Invitare gli utenti interni alla collaborazione B2B

Si applica a: cerchio verde con un simbolo di segno di spunta bianco. Tenant della forza lavoro Cerchio bianco con un simbolo X grigio. Tenant esterni (altre informazioni)

Prima che fosse disponibile le funzione di collaborazione di Microsoft Entra B2B, le organizzazioni potevano collaborare con distributori, fornitori, fornitori e altri utenti ospiti configurando per loro delle credenziali interne. Chi ha utenti ospiti interni come questi può invitarli a utilizzare il servizio di collaborazione B2B. Questi utenti guest B2B possono accedere usando le proprie identità e credenziali, eliminando la necessità di manutenzione delle password o della gestione del ciclo di vita dell'account.

L'invio di un invito a un account interno esistente consente di mantenere l'ID oggetto dell'utente, il nome dell'entità utente (UPN), le appartenenze ai gruppi e le assegnazioni di app. Non è necessario eliminare manualmente e invitare nuovamente l'utente o riassegnare le risorse. Per invitare un utente si usa l'API di invito per trasferire insieme all'invito sia l'oggetto utente interno che l'indirizzo e-mail dell'utente ospite. Quando l'utente accetta l'invito il servizio B2B modifica l'oggetto utente interno esistente in un utente B2B. Da quel momento l'utente dovrà accedere ai servizi delle risorse sul cloud con le proprie credenziali B2B.

Alcune cose da considerare

  • Accesso alle risorse locali: dopo che l'utente è stato invitato a Collaborazione B2B, può comunque usare le credenziali interne per accedere alle risorse locali. È possibile evitarlo reimpostando o modificando la password dell'account interno. L'eccezione è rappresentata dall'autenticazione con codice di accesso monouso ricevuto via e-mail; se il metodo di autenticazione viene modificato in codice di accesso monouso l'utente non potrà più usare le proprie credenziali interne.

  • Fatturazione: questa funzionalità non modifica il UserType dell'utente, quindi non passa automaticamente al modello di fatturazione basato sui prezzi per utente attivo mensile (MAU) con ID esterno. Per attivare i prezzi MAU per l'utente, modificare l'attributo UserType dell'utente in guest. Occorre inoltre tenere presente che il tenant di Microsoft Entra deve essere collegato a un abbonamento ad Azure per attivare la fatturazione MAU.

  • Teams: quando l'utente accede a Teams usando le credenziali esterne, il tenant non sarà disponibile inizialmente nella selezione tenant di Teams. L'utente può accedere a Teams utilizzando un URL che contiene il contesto del tenant, ad esempio: https://teams.microsoft.com/?tenantId=<TenantId>. A quel punto il tenant sarà disponibile nel selettore dei tenant di Teams.

  • Utenti sincronizzati in locale: per gli account utente sincronizzati tra l'ambiente locale e il cloud, la directory locale rimane l'origine dell'autorità dopo che vengono invitati a utilizzare la collaborazione B2B. Le eventuali modifiche all'account locale verranno sincronizzate con l'account sul cloud, comprese la disattivazione e l'eliminazione dell'account. Pertanto, non è possibile impedire all'utente di accedere al proprio account locale mantenendo l'account cloud eliminando l'account locale. Si può invece impostare la password dell'account locale su un identificativo GUID casuale o su un altro valore sconosciuto.

Nota

In Microsoft Entra Connect Sync esiste una regola predefinita che scrive l'attributo onPremisesUserPrincipalName nell'oggetto utente. Poiché la presenza di questo attributo può impedire a un utente di accedere con credenziali esterne, blocchiamo le conversioni da interne a esterne per gli oggetti utente con questo attributo. Se si usa Microsoft Entra Connect e si vuole essere in grado di invitare utenti interni alla collaborazione B2B, è necessario modificare la regola predefinita in modo che l'attributo onPremisesUserPrincipalName non venga scritto nell'oggetto utente.

Come invitare gli utenti interni alla collaborazione B2B

È possibile usare l'interfaccia di amministrazione di Microsoft Entra, PowerShell o l'API di invito per inviare un invito B2B a un utente interno. Ci sono alcuni aspetti da considerare:

  • Prima di invitare l'utente, assicurarsi che la User.Mail proprietà dell'oggetto utente interno (la proprietà Email dell'utente nell'interfaccia di amministrazione di Microsoft Entra) sia impostata sull'indirizzo di posta elettronica esterno che useranno per la collaborazione B2B. Se l'utente interno ha già una casella di posta non è possibile modificare questa proprietà in un indirizzo e-mail esterno. È necessario aggiornare gli attributi nell'interfaccia di amministrazione di Exchange.

  • Quando un utente viene invitato riceve un invito via e-mail. Se si usa PowerShell o l'API di invito è possibile eliminare questa e-mail impostando SendInvitationMessage su False. A quel punto si può avvisare l'utente in un altro modo. Altre informazioni sull'API di invito.

  • Quando l'utente riscatta l'invito, l'account che utilizza deve corrispondere al dominio nella proprietà User.Mail. In caso contrario alcuni servizi, come Teams, non riusciranno ad autenticare l'utente.

Utilizzare l'interfaccia di amministrazione di Microsoft Entra per inviare un invito B2B

  1. Accedi al centro di amministrazione di Microsoft Entra come almeno un amministratore del provider di identità esterno .

  2. Passare a Entra ID>Utenti.

  3. Individuare l'utente nell'elenco o utilizzare la casella di ricerca. Selezionare l'utente.

  4. Nella scheda Panoramica , in Feed personale, selezionare Converti in utente esterno.

    Screenshot della scheda Panoramica del profilo utente con la card di collaborazione B2B.

    Nota

    Se la scheda dice "Inviare nuovamente l'invito dell'utente B2B o reimpostare lo stato di riscatto", l'utente è già stato invitato a usare le credenziali esterne per la collaborazione B2B.

  5. Aggiungere un indirizzo di posta elettronica esterno e selezionare Invia.

    Screenshot che mostra la pagina per convertire in utente esterno.

    Nota

    Se l'opzione non è disponibile, assicurarsi che la proprietà Email dell'utente sia impostata sull'indirizzo di posta elettronica esterno da usare per collaborazione B2B.

  6. Viene visualizzato un messaggio di conferma e l'utente riceverà un invito via e-mail. L'utente può quindi riscattare l'invito utilizzando le proprie credenziali esterne.

Utilizzare PowerShell per inviare un invito B2B

Sarà necessario il modulo Di PowerShell di Microsoft Graph più recente. Usare il seguente comando per aggiornare al modulo più recente e invitare l'utente interno alla collaborazione B2B:

Update-Module Microsoft.Graph
Connect-MgGraph -Scopes "User.ReadWrite.All"
Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee' 
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapps.microsoft.com" -InvitedUser $msGraphUser

Usare l'API di invito per inviare un invito B2B

L'esempio seguente mostra come richiamare l'API di invito per invitare un utente interno come utente B2B.

POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
ContentType: application/json
{
    "invitedUserEmailAddress": "<<external email>>",
    "sendInvitationMessage": true,
    "invitedUserMessageInfo": {
        "messageLanguage": "en-US",
        "ccRecipients": [
            {
                "emailAddress": {
                    "name": null,
                    "address": "<<optional additional notification email>>"
                }
            }
        ],
        "customizedMessageBody": "<<custom message>>"
    },
    "inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=",
    "invitedUser": {
        "id": "<<ID for the user you want to convert>>"
    }
}

La risposta all'API è la stessa che si ottiene quando si invita un nuovo utente ospite nella directory.