Dotyczy:Dzierżawcy siły roboczej — dzierżawcy zewnętrzni (dowiedz się więcej)
Te często zadawane pytania dotyczące współpracy między firmami firmy Microsoft (B2B) są okresowo aktualizowane w celu uwzględnienia nowych tematów.
Ważne
- Od 4 stycznia 2021 r. obsługa logowania do aplikacji WebView firmy Google jest przestarzała. Jeśli używasz federacji Google lub samoobsługowej rejestracji w usłudze Gmail, należy przetestować aplikacje natywne dla firm pod kątem zgodności.
- Funkcja jednorazowego kodu dostępu wiadomości e-mail jest teraz domyślnie włączona dla wszystkich nowych dzierżaw i dla wszystkich istniejących dzierżaw, w których nie została jawnie wyłączona. Po wyłączeniu tej funkcji metoda uwierzytelniania rezerwowego to monit o zaproszenie do utworzenia konta Microsoft.
Czy możemy dostosować naszą stronę logowania, aby była bardziej intuicyjna dla użytkowników-gości współpracy B2B?
Absolutnie, aby uzyskać informacje na temat dostosowywania strony logowania organizacji, zobacz Dodawanie znakowania firmowego w celu logowania się i Panel dostępu stron.
Czy użytkownicy współpracy B2B mogą uzyskiwać dostęp do usług SharePoint Online i OneDrive?
Tak. Jednak możliwość wyszukiwania istniejących użytkowników-gości w usłudze SharePoint Online przy użyciu selektora osób jest domyślnie wyłączona . Aby włączyć opcję wyszukiwania istniejących użytkowników-gości, ustaw wartość Pokaż Osoby PickerSuggestionsForGuestUsers na wł. To ustawienie można włączyć na poziomie dzierżawy lub na poziomie zbioru witryn. To ustawienie można zmienić przy użyciu poleceń cmdlet Set-SPOTenant i Set-SPOSite. Za pomocą tych poleceń cmdlet członkowie mogą przeszukiwać wszystkich istniejących użytkowników-gości w katalogu. Zmiany w zakresie dzierżawy nie mają wpływu na witryny usługi SharePoint Online, które zostały już aprowidowane.
Czy użytkownicy współpracy B2B mogą uzyskiwać dostęp do zawartości usługi Power BI?
Tak, możesz dystrybuować zawartość usługi Power BI do zewnętrznych użytkowników-gości przy użyciu funkcji współpracy B2B. Aby udostępnić zawartość usługi Power BI w chmurach firmy Microsoft, możesz użyć ustawień chmury firmy Microsoft do ustanowienia wzajemnej współpracy B2B między chmurą a chmurą zewnętrzną.
Czy funkcja przekazywania csv jest nadal obsługiwana?
Tak. Aby uzyskać więcej informacji na temat korzystania z funkcji przekazywania plików .csv, zobacz ten przykład programu PowerShell.
Jak dostosować wiadomości e-mail z zaproszeniem?
Prawie wszystko o procesie zapraszania można dostosować przy użyciu interfejsów API zaproszeń B2B.
Czy użytkownicy-goście mogą zresetować swoją metodę uwierzytelniania wieloskładnikowego?
Tak. Użytkownicy-goście mogą zresetować swoją metodę uwierzytelniania wieloskładnikowego w taki sam sposób, jak zwykle użytkownicy.
Która organizacja jest odpowiedzialna za licencje uwierzytelniania wieloskładnikowego?
Organizacja zapraszania wykonuje uwierzytelnianie wieloskładnikowe. Organizacja zapraszania musi upewnić się, że organizacja ma wystarczającą liczbę licencji dla użytkowników B2B korzystających z uwierzytelniania wieloskładnikowego.
Co zrobić, jeśli organizacja partnerska ma już skonfigurowane uwierzytelnianie wieloskładnikowe? Czy możemy zaufać uwierzytelnianiu wieloskładnikowemu?
Ustawienia dostępu między dzierżawami umożliwiają zaufanie do uwierzytelniania wieloskładnikowego i oświadczeń urządzeń (zgodnych oświadczeń i oświadczeń dołączonych hybrydowo firmy Microsoft Entra) z innych organizacji firmy Microsoft Entra.
Ile organizacji mogę dodać w ustawieniach dostępu między dzierżawami?
Ustawienia dostępu między dzierżawami to zasady w katalogu, w którym są przechowywane ustawienia umożliwiające współpracę z innymi organizacjami. Ten plik zasad ma limit rozmiaru 25 kb i po jego maksymalnej zwiększeniu nie można wprowadzić żadnych dodatkowych organizacji ani zmian, które jeszcze bardziej zwiększyłyby rozmiar pliku. Ze względu na sposób przechowywania zawartości w tych zasadach nie ma zdefiniowanego limitu organizacji, które można dodać w ustawieniach dostępu między dzierżawami. Jeśli musisz zastosować ustawienia do dużej liczby organizacji, zalecamy zaimplementowanie tych ustawień jako ustawień domyślnych. Wykonaj kroki, aby obliczyć bieżący rozmiar zasad i określić, czy zbliżasz się do osiągnięcia limitu rozmiaru pliku o rozmiarze 25 kb.
Jak mogę używać opóźnionych zaproszeń?
Organizacja może chcieć dodać użytkowników współpracy B2B, aprowizować je do aplikacji zgodnie z potrzebami, a następnie wysyłać zaproszenia. Interfejs API zaproszenia do współpracy B2B umożliwia dostosowanie przepływu pracy dołączania.
Czy mogę uwidocznić użytkowników-gości na globalnej liście adresów programu Exchange?
Tak. Domyślnie obiekty gościa nie są widoczne na globalnej liście adresów organizacji, ale można je uwidocznić. Aby uzyskać szczegółowe informacje, zobacz Dodawanie gości do globalnej listy adresów w artykule Dostęp gościa na platformie Microsoft 365 dla grupy.
Czy mogę utworzyć użytkownika-gościa jako ograniczonego administratora?
Naturalnie. Aby uzyskać więcej informacji, zobacz Dodawanie użytkowników-gości do roli.
Czy współpraca B2B firmy Microsoft entra umożliwia użytkownikom B2B dostęp do centrum administracyjnego firmy Microsoft Entra?
Jeśli użytkownik nie ma przypisanej roli ograniczonego administratora, użytkownicy współpracy B2B nie będą wymagać dostępu do centrum administracyjnego firmy Microsoft Entra. Jednak użytkownicy współpracy B2B, którym przypisano rolę ograniczonego administratora, mogą uzyskiwać dostęp do portalu. Ponadto jeśli użytkownik-gość, który nie ma przypisanej jednej z tych ról administratora, uzyskuje dostęp do portalu, może być w stanie uzyskać dostęp do niektórych części środowiska. Rola użytkownika-gościa ma pewne uprawnienia w katalogu.
Czy mogę zablokować dostęp do centrum administracyjnego firmy Microsoft Entra dla użytkowników-gości?
Tak, można utworzyć zasady dostępu warunkowego, które blokują dostęp użytkownika-gościa do centrum administracyjnego lub portalu. Podczas konfigurowania zasad dostępu warunkowego masz szczegółową kontrolę nad typami użytkowników zewnętrznych, do których chcesz zastosować zasady. Podczas konfigurowania tych zasad należy zachować ostrożność, aby uniknąć przypadkowego blokowania dostępu do członków i administratorów. Dowiedz się więcej o dostępie warunkowym dla użytkowników zewnętrznych.
Czy współpraca firmy Microsoft Entra B2B obsługuje uwierzytelnianie wieloskładnikowe i konta e-mail użytkowników?
Tak. Uwierzytelnianie wieloskładnikowe i konta e-mail konsumentów są obsługiwane w przypadku współpracy firmy Microsoft Entra B2B.
Czy obsługujesz resetowanie haseł dla użytkowników współpracy firmy Microsoft Entra B2B?
Jeśli dzierżawa firmy Microsoft Entra jest katalogiem macierzystkowym użytkownika, możesz zresetować hasło użytkownika z centrum administracyjnego firmy Microsoft Entra. Nie można jednak bezpośrednio zresetować hasła użytkownika-gościa, który loguje się przy użyciu konta zarządzanego przez inny katalog usługi Microsoft Entra lub zewnętrznego dostawcę tożsamości. Hasło może zresetować tylko użytkownik-gość lub administrator wymieniony w katalogu macierzystym użytkownika. Oto kilka przykładów działania resetowania hasła dla użytkowników-gości:
Użytkownicy-goście w dzierżawie firmy Microsoft Entra, którzy są oznaczeni jako "Gość" (UserType==Guest) nie mogą zarejestrować się w usłudze samoobsługowego resetowania hasła za pośrednictwem usługi https://aka.ms/ssprsetup. Ten typ użytkownika-gościa może wykonywać tylko samoobsługowe resetowanie hasła za pomocą polecenia https://aka.ms/sspr.
Użytkownicy-goście, którzy logują się przy użyciu konta Microsoft (na przykład guestuser@live.com), mogą zresetować własne hasła przy użyciu samoobsługowego resetowania hasła (SSPR) konta Microsoft. Zobacz Jak zresetować hasło do konta Microsoft.
Użytkownicy-goście, którzy logują się przy użyciu konta Google lub innego zewnętrznego dostawcy tożsamości, mogą zresetować własne hasła przy użyciu metody samoobsługowego resetowania hasła dostawcy tożsamości. Na przykład użytkownik-gość z kontem guestuser@gmail.com Google może zresetować swoje hasło, postępując zgodnie z instrukcjami w temacie Zmienianie lub resetowanie hasła.
Jeśli dzierżawa tożsamości jest dzierżawą typu just in time (JIT) lub "wirusową" dzierżawą (co oznacza, że jest to oddzielna, niezarządzana dzierżawa platformy Azure), tylko użytkownik-gość może zresetować swoje hasło. Czasami organizacja przejmie zarządzanie wirusowymi dzierżawami , które są tworzone, gdy pracownicy używają służbowych adresów e-mail w celu zarejestrowania się w usługach. Gdy organizacja przejmie dzierżawę wirusową, tylko administrator w tej organizacji może zresetować hasło użytkownika lub włączyć samoobsługowe resetowanie hasła. Jeśli to konieczne, jako organizacja zapraszania, możesz usunąć konto użytkownika-gościa z katalogu i wysłać ponownie zaproszenie.
Jeśli katalog główny użytkownika-gościa jest dzierżawą firmy Microsoft Entra, możesz zresetować hasło użytkownika. Możesz na przykład utworzyć użytkownika lub zsynchronizować użytkownika z lokalna usługa Active Directory i ustawić typ użytkownika na wartość Gość. Ponieważ ten użytkownik znajduje się w katalogu, możesz zresetować swoje hasło z centrum administracyjnego firmy Microsoft Entra.
Czy usługa Microsoft Dynamics 365 zapewnia pomoc techniczną online dla współpracy firmy Microsoft Entra B2B?
Tak, usługa Dynamics 365 (online) obsługuje współpracę firmy Microsoft Entra B2B. Aby uzyskać więcej informacji, zobacz artykuł Dynamics 365 Invite users with Microsoft Entra B2B collaboration (Zapraszanie użytkowników za pomocą usługi Microsoft Entra B2B collaboration).
Jaki jest okres istnienia początkowego hasła dla nowo utworzonego użytkownika współpracy B2B?
Identyfikator Entra firmy Microsoft ma stały zestaw znaków, siły hasła i wymagań dotyczących blokady konta, które mają zastosowanie w równym stopniu do wszystkich kont użytkowników usługi Microsoft Entra w chmurze. Konta użytkowników w chmurze to konta, które nie są federacyjne z innym dostawcą tożsamości, na przykład
- Konto Microsoft
- Usługi Active Directory Federation Services
- Inna dzierżawa chmury (na potrzeby współpracy B2B)
W przypadku kont federacyjnych zasady haseł zależą od zasad stosowanych w dzierżawie lokalnej i ustawieniach konta Microsoft użytkownika.
Organizacja może chcieć mieć różne środowiska w swoich aplikacjach dla użytkowników dzierżawy i użytkowników-gości. Czy istnieją standardowe wskazówki dotyczące tego? Czy obecność dostawcy tożsamości twierdzi, że jest używany prawidłowy model?
Użytkownik-gość może użyć dowolnego dostawcy tożsamości do uwierzytelniania. Aby uzyskać więcej informacji, zobacz Właściwości użytkownika współpracy B2B. Użyj właściwości UserType, aby określić środowisko użytkownika. Oświadczenie UserType nie jest obecnie uwzględnione w tokenie. Aplikacje powinny używać interfejsu API programu Microsoft Graph do wykonywania zapytań dotyczących katalogu dla użytkownika i pobierania parametru UserType.
Gdzie mogę znaleźć społeczność współpracy B2B, aby udostępniać rozwiązania i przesyłać pomysły?
Stale słuchamy Twoich opinii, aby poprawić współpracę B2B. Udostępnij swoje scenariusze użytkownika, najlepsze rozwiązania i informacje o współpracy firmy Microsoft Entra B2B. Dołącz do dyskusji w społeczności technicznej firmy Microsoft.
Zachęcamy również do przesyłania pomysłów i głosowania na przyszłe funkcje na konferencji B2B Collaboration Ideas.
Czy możemy wysłać zaproszenie, które zostanie automatycznie zrealizowane, aby użytkownik był po prostu "gotowy do przejścia"? Czy też użytkownik musi zawsze klikać do adresu URL realizacji?
Możesz zaprosić innych użytkowników w organizacji partnerskiej przy użyciu interfejsu użytkownika, skryptów programu PowerShell lub interfejsów API. Następnie możesz wysłać użytkownikowi-gościowi bezpośredni link do udostępnionej aplikacji. W większości przypadków nie trzeba już otwierać zaproszenia e-mail i klikać adresu URL realizacji. Zobacz Microsoft Entra B2B collaboration invitation redemption (Realizacja zaproszenia do współpracy B2B firmy Microsoft).
Jak działa współpraca B2B, gdy zaproszony partner korzysta z federacji w celu dodania własnego uwierzytelniania lokalnego?
Jeśli partner ma dzierżawę firmy Microsoft Entra, która jest federacyjna z lokalną infrastrukturą uwierzytelniania, lokalne logowanie jednokrotne (SSO) jest automatycznie osiągane. Jeśli partner nie ma dzierżawy firmy Microsoft Entra, zostanie utworzone konto Microsoft Entra dla nowych użytkowników.
Czy konto lokalne usługi Azure AD B2C może zostać zaproszone do dzierżawy usługi Microsoft Entra na potrzeby współpracy B2B?
L.p. Konto lokalne usługi Azure AD B2C może służyć tylko do logowania się do dzierżawy usługi Azure AD B2C. Nie można użyć konta do logowania się do dzierżawy firmy Microsoft Entra. Zapraszanie konta lokalnego usługi Azure AD B2C do dzierżawy usługi Microsoft Entra na potrzeby współpracy B2B nie jest obsługiwane.
Jakie aplikacje i usługi obsługują użytkowników-gości B2B platformy Azure?
Wszystkie zintegrowane aplikacje firmy Microsoft Entra mogą obsługiwać użytkowników-gości usługi Azure B2B, ale muszą używać punktu końcowego skonfigurowanego jako dzierżawa do uwierzytelniania użytkowników-gości. Może być również konieczne dostosowanie oświadczeń w tokenie SAML wystawionym podczas uwierzytelniania użytkownika-gościa w aplikacji.
Czy możemy wymusić uwierzytelnianie wieloskładnikowe dla użytkowników-gości B2B, jeśli nasi partnerzy nie mają uwierzytelniania wieloskładnikowego?
Tak. Aby uzyskać więcej informacji, zobacz Dostęp warunkowy dla użytkowników współpracy B2B.
W programie SharePoint można zdefiniować listę "zezwalaj" lub "odmów" dla użytkowników zewnętrznych. Czy możemy to zrobić na platformie Azure?
Tak. Funkcja współpracy B2B firmy Microsoft obsługuje listy dozwolonych i listy zablokowanych.
Jakie licencje musimy używać firmy Microsoft Entra B2B?
Aby uzyskać informacje o licencjach, których organizacja potrzebuje do korzystania z usługi Microsoft Entra B2B, zobacz Cennik identyfikatora zewnętrznego.
Co się stanie, jeśli zaproszę użytkownika, którego adres e-mail i nazwa UPN nie są zgodne?
To zależy. Domyślnie firma Microsoft Entra zezwala tylko na nazwę UPN dla identyfikatora logowania. Gdy nazwa UPN i wiadomość e-mail są takie same, zaproszenia firmy Microsoft Entra B2B i kolejne logowania działają zgodnie z oczekiwaniami. Jednak problemy mogą wystąpić, gdy adres e-mail użytkownika i nazwa UPN nie są zgodne, a wiadomość e-mail jest używana zamiast nazwy UPN do logowania. Gdy użytkownik zostanie zaproszony za pomocą wiadomości e-mail innej niż UPN, będzie mógł zrealizować zaproszenie, jeśli zrealizował zaproszenie przy użyciu linku zaproszenia e-mail, ale realizacja za pośrednictwem linku bezpośredniego zakończy się niepowodzeniem. Jednak nawet jeśli użytkownik pomyślnie zrealizowa zaproszenie, kolejne próby logowania przy użyciu wiadomości e-mail innej niż nazwa UPN zakończy się niepowodzeniem, chyba że dostawca tożsamości (identyfikator Firmy Microsoft Entra lub dostawca tożsamości federacyjnej) jest skonfigurowany tak, aby zezwalał na pocztę e-mail jako alternatywny identyfikator logowania. Ten problem można rozwiązać, wykonując następujące czynności:
- Włączanie wiadomości e-mail jako alternatywnego identyfikatora logowania w dzierżawie zaproszonej/macierzystej firmy Microsoft Entra
- Włączenie dostawcy tożsamości federacyjnej do obsługi poczty e-mail jako identyfikatora logowania (jeśli identyfikator Entra firmy Microsoft jest federacyjny do innego dostawcy tożsamości) lub
- Poinstruowanie użytkownika, aby zrealizował/zalogował się przy użyciu nazwy UPN.
Aby całkowicie uniknąć tego problemu, administratorzy powinni upewnić się, że nazwy UPN i wiadomości e-mail użytkowników są takie same.
Uwaga
Zaproszenia i realizacji wysyłane w chmurach firmy Microsoft muszą używać nazwy UPN. Wiadomość e-mail nie jest obecnie obsługiwana. Jeśli na przykład użytkownik z dzierżawy instytucji rządowych USA zostanie zaproszony do dzierżawy komercyjnej, użytkownik musi zostać zaproszony przy użyciu nazwy UPN.
Natychmiastowe włączenie: Co może spowodować opóźnienie replikacji?
W przepływach współpracy B2B dodajemy użytkowników do katalogu i dynamicznie je aktualizujemy podczas procesu realizacji zaproszenia, przypisania aplikacji itd. Aktualizacje i zapisy są zwykle wykonywane w jednym wystąpieniu katalogu i muszą być replikowane we wszystkich wystąpieniach. Replikacja jest zakończona po zaktualizowaniu wszystkich wystąpień. Czasami, gdy obiekt jest zapisywany lub aktualizowany w jednym wystąpieniu, a wywołanie pobierania tego obiektu dotyczy innego wystąpienia, mogą wystąpić opóźnienia replikacji. Jeśli tak się stanie, odśwież lub ponów próbę, aby pomóc. Jeśli piszesz aplikację przy użyciu naszego interfejsu API, ponawianie prób z pewnymi wycofywaniami jest dobrą praktyką defensywną, aby złagodzić ten problem.