Udostępnij za pośrednictwem


Zapraszanie użytkowników wewnętrznych do współpracy B2B

Dotyczy:Zielony okrąg z białym symbolem znacznika wyboru. Dzierżawcy siły roboczej — dzierżawcy zewnętrzni Biały okrąg z szarym symbolem X. (dowiedz się więcej)

Przed udostępnieniem współpracy firmy Microsoft Entra B2B organizacje mogą współpracować z dystrybutorami, dostawcami, dostawcami i innymi użytkownikami-gośćmi, konfigurując dla nich poświadczenia wewnętrzne. Jeśli masz użytkowników-gości wewnętrznych, możesz zaprosić ich do korzystania ze współpracy B2B. Ci użytkownicy-goście B2B będą mogli logować się przy użyciu własnych tożsamości i poświadczeń, eliminując konieczność konserwacji haseł lub zarządzania cyklem życia konta.

Wysłanie zaproszenia do istniejącego konta wewnętrznego umożliwia zachowanie identyfikatora obiektu użytkownika, nazwy UPN, członkostwa w grupach i przypisań aplikacji. Nie musisz ręcznie usuwać i przywracać użytkownika ani ponownie przypisać zasobów. Aby zaprosić użytkownika, użyj interfejsu API zaproszenia, aby przekazać zarówno wewnętrzny obiekt użytkownika, jak i adres e-mail użytkownika-gościa wraz z zaproszeniem. Gdy użytkownik zaakceptuje zaproszenie, usługa B2B zmieni istniejący obiekt użytkownika wewnętrznego na użytkownika B2B. W przyszłości użytkownik musi zalogować się do usług zasobów w chmurze przy użyciu poświadczeń B2B.

Kwestie do rozważenia

  • Dostęp do zasobów lokalnych: po zaproszeniu użytkownika do współpracy B2B nadal mogą używać swoich poświadczeń wewnętrznych do uzyskiwania dostępu do zasobów lokalnych. Możesz temu zapobiec, resetując lub zmieniając hasło na koncie wewnętrznym. Wyjątkiem jest jednorazowe uwierzytelnianie kodu dostępu w wiadomości e-mail; Jeśli metoda uwierzytelniania użytkownika zostanie zmieniona na jednorazowy kod dostępu, nie będzie już mógł używać swoich poświadczeń wewnętrznych.

  • Rozliczenia: ta funkcja nie zmienia wartości UserType dla użytkownika, więc nie powoduje automatycznego przełączenia modelu rozliczeniowego użytkownika na cennik aktywnych użytkowników (MAU) identyfikatora zewnętrznego. Aby aktywować cennik programu MAU dla użytkownika, zmień wartość UserType dla użytkownika na guest. Należy również pamiętać, że dzierżawa firmy Microsoft Entra musi być połączona z subskrypcją platformy Azure, aby aktywować rozliczenia usługi MAU.

  • Teams: gdy użytkownik uzyskuje dostęp do usługi Teams przy użyciu poświadczeń zewnętrznych, dzierżawa nie będzie początkowo dostępna w selektorze dzierżawy usługi Teams. Użytkownik może uzyskać dostęp do aplikacji Teams przy użyciu adresu URL zawierającego kontekst dzierżawy, na przykład: https://teams.microsoft.com/?tenantId=<TenantId>. Następnie dzierżawa stanie się dostępna w selektorze dzierżawy usługi Teams.

  • Użytkownicy zsynchronizowani lokalnie: w przypadku kont użytkowników synchronizowanych między środowiskiem lokalnym a chmurą katalog lokalny pozostaje źródłem uprawnień po zaproszeniu do współpracy B2B. Wszelkie zmiany wprowadzone na koncie lokalnym zostaną zsynchronizowane z kontem chmury, w tym wyłączeniem lub usunięciem konta. W związku z tym nie można uniemożliwić użytkownikowi zalogowania się do konta lokalnego przy zachowaniu konta w chmurze, po prostu usuwając konto lokalne. Zamiast tego można ustawić hasło konta lokalnego na losowy identyfikator GUID lub inną nieznaną wartość.

Uwaga

W programie Microsoft Entra Connect Sync istnieje reguła domyślna, która zapisuje atrybut onPremisesUserPrincipalName do obiektu użytkownika. Ponieważ obecność tego atrybutu może uniemożliwić użytkownikowi logowanie się przy użyciu poświadczeń zewnętrznych, blokujemy konwersje wewnętrzne-zewnętrzne dla obiektów użytkownika za pomocą tego atrybutu. Jeśli używasz programu Microsoft Entra Connect i chcesz mieć możliwość zapraszania użytkowników wewnętrznych do współpracy B2B, musisz zmodyfikować regułę domyślną, aby atrybut onPremisesUserPrincipalName nie został zapisany w obiekcie użytkownika.

Jak zapraszać użytkowników wewnętrznych do współpracy B2B

Możesz użyć centrum administracyjnego firmy Microsoft Entra, programu PowerShell lub interfejsu API zaproszenia, aby wysłać zaproszenie B2B do użytkownika wewnętrznego. Niektóre kwestie do zapamiętania:

  • Przed zaproszeniem użytkownika upewnij się, że User.Mail właściwość wewnętrznego obiektu użytkownika (właściwość Email użytkownika w centrum administracyjnym firmy Microsoft Entra) jest ustawiona na zewnętrzny adres e-mail, którego będą używać do współpracy B2B. Jeśli użytkownik wewnętrzny ma istniejącą skrzynkę pocztową, nie można zmienić tej właściwości na zewnętrzny adres e-mail. Należy zaktualizować ich atrybuty w centrum administracyjnym programu Exchange.

  • Po zaproszeniu użytkownika zaproszenie zostanie wysłane do użytkownika za pośrednictwem poczty e-mail. Jeśli używasz programu PowerShell lub interfejsu API zaproszenia, możesz pominąć tę wiadomość e-mail, ustawiając wartość SendInvitationMessage .False Następnie możesz powiadomić użytkownika w inny sposób. Dowiedz się więcej o interfejsie API zaproszeń.

  • Gdy użytkownik zrealizowa zaproszenie, używane konto musi być zgodne z domeną User.Mail we właściwości . W przeciwnym razie niektóre usługi, takie jak Teams, nie będą mogły uwierzytelnić użytkownika.

Wysyłanie zaproszenia B2B za pomocą centrum administracyjnego firmy Microsoft Entra

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zewnętrznego dostawcy tożsamości.

  2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.

  3. Znajdź użytkownika na liście lub użyj pola wyszukiwania. Następnie wybierz użytkownika.

  4. Na karcie Przegląd w obszarze Moje źródło danych wybierz pozycję Konwertuj na użytkownika zewnętrznego.

    Zrzut ekranu przedstawiający kartę Przegląd profilu użytkownika z kartą współpracy B2B.

    Uwaga

    Jeśli karta zawiera komunikat "Wyślij ponownie zaproszenie tego użytkownika B2B lub zresetuj stan realizacji". użytkownik został już zaproszony do korzystania z poświadczeń zewnętrznych na potrzeby współpracy B2B.

  5. Dodaj zewnętrzny adres e-mail i wybierz pozycję Wyślij.

    Zrzut ekranu przedstawiający stronę konwersji na użytkownika zewnętrznego.

    Uwaga

    Jeśli opcja jest niedostępna, upewnij się, że właściwość Adres e-mail użytkownika jest ustawiona na zewnętrzny adres e-mail, którego powinni używać do współpracy B2B.

  6. Zostanie wyświetlona wiadomość z potwierdzeniem i zaproszenie zostanie wysłane do użytkownika za pośrednictwem poczty e-mail. Następnie użytkownik może zrealizować zaproszenie przy użyciu poświadczeń zewnętrznych.

Wysyłanie zaproszenia B2B przy użyciu programu PowerShell

Potrzebny będzie najnowszy moduł programu Microsoft Graph PowerShell. Użyj następującego polecenia, aby zaktualizować do najnowszego modułu i zaprosić użytkownika wewnętrznego do współpracy B2B:

Update-Module Microsoft.Graph
Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee' 
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapplications.microsoft.com" -InvitedUser $msGraphUser

Wysyłanie zaproszenia za pomocą interfejsu API zaproszeń do wysyłania zaproszenia B2B

W poniższym przykładzie pokazano, jak wywołać interfejs API zaproszenia, aby zaprosić użytkownika wewnętrznego jako użytkownika B2B.

POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
ContentType: application/json
{
    "invitedUserEmailAddress": "<<external email>>",
    "sendInvitationMessage": true,
    "invitedUserMessageInfo": {
        "messageLanguage": "en-US",
        "ccRecipients": [
            {
                "emailAddress": {
                    "name": null,
                    "address": "<<optional additional notification email>>"
                }
            }
        ],
        "customizedMessageBody": "<<custom message>>"
    },
    "inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=",
    "invitedUser": {
        "id": "<<ID for the user you want to convert>>"
    }
}

Odpowiedź na interfejs API jest taka sama, jak w przypadku zaproszenia nowego użytkownika-gościa do katalogu.

Następne kroki