Interne gebruikers uitnodigen voor B2B-samenwerking
Van toepassing op: Externe tenants van werknemers (meer informatie)
Voordat microsoft Entra B2B-samenwerking beschikbaar is, kunnen organisaties samenwerken met distributeurs, leveranciers, leveranciers en andere gastgebruikers door interne referenties voor hen in te stellen. Als u dergelijke interne gastgebruikers hebt, dan kunt u hen uitnodigen om in plaats daarvan B2B-samenwerking te gebruiken. Deze B2B-gastgebruikers kunnen zich aanmelden met hun eigen identiteiten en referenties, waardoor wachtwoordonderhoud of levenscyclusbeheer voor accounts niet meer nodig is.
Als u een uitnodiging verzendt naar een bestaand intern account, dan kunt u de object-id, UPN, groepslidmaatschappen en app-toewijzingen van die gebruiker behouden. U hoeft de gebruiker niet handmatig te verwijderen en opnieuw te gebruiken of resources opnieuw toe tewijst. Als u de gebruiker wilt uitnodigen, dan gebruikt u de uitnodigings-API om zowel het interne gebruikersobject als het e-mailadres van de gastgebruiker door te geven, samen met de uitnodiging. Wanneer de gebruiker de uitnodiging accepteert, dan wijzigt de B2B-service het bestaande interne gebruikersobject in een B2B-gebruiker. In de toekomst moet de gebruiker zich aanmelden bij cloudresourceservices met hun B2B-referenties.
Punten die u moet in acht nemen
Toegang tot on-premises resources: nadat de gebruiker is uitgenodigd voor een B2B-samenwerking, kunnen ze nog steeds hun interne referenties gebruiken om toegang te krijgen tot on-premises resources. U kunt dat voorkomen door het wachtwoord voor het interne account opnieuw in te schakelen of te wijzigen. De uitzondering is verificatie van eenmalige wachtwoordcode per e-mail; als de verificatiemethode van de gebruiker wordt gewijzigd in eenmalige wachtwoordcode, dan kunnen ze hun interne referenties niet meer gebruiken.
Facturering: Met deze functie wordt het UserType voor de gebruiker niet gewijzigd, zodat het factureringsmodel van de gebruiker niet automatisch wordt overgezet naar de prijzen van de maandelijkse actieve gebruiker (MAU) van de externe id. Als u de MAU-prijzen voor de gebruiker wilt activeren, wijzigt u het UserType voor de gebruiker in
guest
. Houd er ook rekening mee dat uw Microsoft Entra-tenant moet worden gekoppeld aan een Azure-abonnement om MAU-facturering te activeren.Teams: wanneer de gebruiker Teams opent met zijn externe referenties, is de tenant niet in eerste instantie beschikbaar in de Teams-tenantkiezer. De gebruiker heeft dan toegang tot Teams met een URL die de tenantcontext bevat, bijvoorbeeld:
https://teams.microsoft.com/?tenantId=<TenantId>
. Dan wordt de tenant beschikbaar in de Teams-tenantkiezer.On-premises gesynchroniseerde gebruikers: Voor de gebruikersaccounts die worden gesynchroniseerd tussen on-premises en de cloud, blijft de on-premises directory de bron van autoriteit nadat ze zijn uitgenodigd om B2B-samenwerking te gebruiken. De wijzigingen die u aanbrengt in het on-premises account, worden gesynchroniseerd met het cloudaccount, inclusief uitschakelen of verwijderen van het account. U kunt daarom niet voorkomen dat de gebruikers zich aanmelden bij hun on-premises account terwijl ze hun cloudaccount behouden door het on-premises account te verwijderen. In plaats daarvan kunt u het wachtwoord van het on-premises account instellen op willekeurige GUID of een andere onbekende waarde.
Notitie
In Microsoft Entra Connect Sync is er een standaardregel waarmee het kenmerk onPremisesUserPrincipalName naar het gebruikersobject wordt geschreven. Omdat de aanwezigheid van dit kenmerk kan voorkomen dat een gebruiker zich aanmeldt met externe referenties, blokkeren we interne naar externe conversies voor gebruikersobjecten met dit kenmerk. Als u Microsoft Entra Connect gebruikt en u interne gebruikers wilt kunnen uitnodigen voor B2B-samenwerking, moet u de standaardregel wijzigen, zodat het kenmerk onPremisesUserPrincipalName niet naar het gebruikersobject wordt geschreven.
De interne gebruikers uitnodigen voor B2B-samenwerking
U kunt het Microsoft Entra-beheercentrum, PowerShell of de uitnodigings-API gebruiken om een B2B-uitnodiging naar de interne gebruiker te verzenden. Enkele dingen die u moet noteren:
Voordat u de gebruiker uitnodigt, moet u ervoor zorgen dat de
User.Mail
eigenschap van het interne gebruikersobject (de eigenschap E-mail van de gebruiker in het Microsoft Entra-beheercentrum) is ingesteld op het externe e-mailadres dat ze gebruiken voor B2B-samenwerking. Als de interne gebruiker een bestaand postvak heeft, kunt u deze eigenschap niet wijzigen in een extern e-mailadres. U moet hun kenmerken bijwerken in het Exchange-beheercentrum.Wanneer u deze gebruiker uitnodigt, wordt er via e-mail een uitnodiging naar de gebruiker verzonden. Als u PowerShell of de uitnodigings-API gebruikt, dan kunt u deze e-mail onderdrukken door deze instelling
SendInvitationMessage
in te stellen naarFalse
. Vervolgens kunt u deze gebruiker op een andere manier op de hoogte stellen. Meer informatie over de uitnodigings-API.Wanneer de gebruiker de uitnodiging inwisselt, moet het account dat hij of zij gebruikt, overeenkomen met het domein in de eigenschap
User.Mail
. Anders kunnen sommige services, zoals bijvoorbeeld Teams, de gebruiker niet verifiëren.
Het Microsoft Entra-beheercentrum gebruiken om een B2B-uitnodiging te verzenden
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beheerder van een externe id-provider.
Blader naar Identiteit>Gebruikers>Alle gebruikers.
Zoek de gebruiker in de lijst of gebruik hiervoor het zoekvak. Selecteer dan de gebruiker.
Selecteer Op het tabblad Overzicht onder Mijn feed de optie Converteren naar externe gebruiker.
Notitie
Als er op de kaart staat "De uitnodiging van deze B2B-gebruiker opnieuw verzenden of de inwisselingsstatus opnieuw instellen.” de gebruiker is al uitgenodigd om de externe referenties te gebruiken voor B2B-samenwerking.
Voeg een extern e-mailadres toe en selecteer Verzenden.
Notitie
Als de optie niet beschikbaar is, moet u ervoor zorgen dat de eigenschap Email van de gebruiker is ingesteld op het externe e-mailadres dat ze moeten gebruiken voor B2B-samenwerking.
Er wordt een bevestigingsbericht weergegeven en er wordt via e-mail een uitnodiging naar deze gebruiker verzonden. De gebruiker kan deze uitnodiging vervolgens gebruiken met behulp van hun externe referenties.
PowerShell gebruiken om B2B-uitnodiging te verzenden
U hebt de nieuwste Microsoft Graph PowerShell-module nodig. Gebruik de volgende opdracht om bij te werken naar de nieuwste module en de interne gebruiker uit te nodigen voor B2B-samenwerking:
Update-Module Microsoft.Graph
Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee'
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapplications.microsoft.com" -InvitedUser $msGraphUser
De uitnodigings-API gebruiken om B2B-uitnodiging te verzenden
In dit onderstaande voorbeeld ziet u hoe u deze uitnodigings-API aanroept om een interne gebruiker uit te nodigen als B2B-gebruiker.
POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
ContentType: application/json
{
"invitedUserEmailAddress": "<<external email>>",
"sendInvitationMessage": true,
"invitedUserMessageInfo": {
"messageLanguage": "en-US",
"ccRecipients": [
{
"emailAddress": {
"name": null,
"address": "<<optional additional notification email>>"
}
}
],
"customizedMessageBody": "<<custom message>>"
},
"inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=",
"invitedUser": {
"id": "<<ID for the user you want to convert>>"
}
}
Het antwoord op de API is precies hetzelfde antwoord dat u krijgt wanneer u een nieuwe gastgebruiker uitnodigt voor de directory.