Compartilhar via


Definir configurações de colaboração externa para B2B na ID Externa do Microsoft Entra

Aplica-se a: Círculo verde com um símbolo de marca de seleção branca. Locatários da força de trabalho Círculo branco com um símbolo X cinza. Locatários externos (saiba mais)

As configurações de colaboração externa permitem especificar quais funções na sua organização podem convidar usuários externos para a colaboração B2B. Essas configurações também incluem opções para permitir ou bloquear domínios específicos e opções para restringir o que os usuários convidados externos podem ver no diretório do Microsoft Entra. As opções a seguir estão disponíveis:

  • Determinar o acesso do usuário convidado: a ID Externa do Microsoft Entra permite restringir o que os usuários convidados externos podem ver no diretório do Microsoft Entra. Por exemplo, você pode limitar a exibição dos usuários convidados de associações a um grupo ou permitir que os convidados vejam apenas as próprias informações de perfil.

  • Especifique quem pode convidar convidados: por padrão, todos os usuários em sua organização, incluindo usuários convidados de colaboração B2B, podem convidar usuários externos para a colaboração B2B. Caso deseje limitar a capacidade de enviar convites, ative ou desative os convites para todos ou limite-os a determinadas funções.

  • Habilitar a inscrição de autoatendimento de convidado por meio de fluxos de usuário: Para os aplicativos que você desenvolve, é possível criar fluxos de usuário que permitam a inscrição de um convidado em um aplicativo e a criação de uma nova conta de convidado. Você pode habilitar o recurso em suas configurações de colaboração externa e, em seguida, adicionar um fluxo de usuário de inscrição de autoatendimento ao seu aplicativo.

  • Permitir ou bloquear domínios: você pode usar restrições de colaboração para permitir ou negar convites aos domínios especificados. Para obter detalhes, consulte Permitir ou bloquear domínios.

Para a colaboração B2B com outras organizações do Microsoft Entra, revise também as configurações de acesso entre locatários para garantir a colaboração B2B de entrada e saída e o acesso ao escopo a usuários, grupos e aplicativos específicos.

Observação

A partir de julho de 2025, a Microsoft começa a lançar uma atualização para a experiência de entrada do usuário convidado para colaboração B2B. A distribuição continua até o final de 2025. Com essa atualização, os usuários convidados serão redirecionados para a página de entrada da própria organização para fornecer suas credenciais. Os usuários convidados visualizam a marca e o ponto de extremidade do URL de seu locatário inicial. Esta etapa garante maior clareza em relação às informações de entrada a serem usadas. Após a autenticação bem-sucedida em sua própria organização, os usuários convidados são retornados à sua organização para concluir o processo de entrada. No exemplo a seguir, a identidade visual da empresa Woodgrove Groceries aparece à esquerda. O exemplo à direita exibe a identidade visual personalizada para o locatário residencial do usuário.

Captura de tela mostrando o fluxo de logon do usuário convidado.

Definir configurações no portal

No centro de administração do Microsoft Entra, você deve receber a função de Administrador Global para ativar a página Configurações de Colaboração Externa e atualizar as configurações. Ao usar o Microsoft Graph, funções com privilégios menores podem estar disponíveis para configurações individuais; consulte Definir configurações com o Microsoft Graph mais adiante neste artigo.

Para configurar o acesso de usuário convidado

  1. Entre no Centro de administração do Microsoft Entra.

  2. Navegue até Entra ID>Identidades Externas>configurações de colaboração externa.

  3. Em Acesso de usuário convidado, escolha o nível de acesso que você deseja que os usuários convidados tenham:

    Captura de tela mostrando as configurações de acesso do usuário convidado.

    • Os usuários convidados têm o mesmo acesso que os membros (mais inclusivos): essa opção fornece aos convidados o mesmo acesso aos recursos e dados de diretório do Microsoft Entra que os usuários membros.

    • Os usuários convidados têm acesso limitado a propriedades e associações de objetos de diretório: (Padrão) Essa configuração bloqueia os convidados de determinadas tarefas de diretório, como enumerar usuários, grupos ou outros recursos de diretório. Os convidados podem ver a afiliação de todos os grupos não ocultos. Saiba mais sobre as permissões de convidado padrão.

    • O acesso de usuário convidado é restrito a propriedades e associações de seus próprios objetos de diretório (mais restritivos): com essa configuração, os convidados podem acessar apenas seus próprios perfis. Os convidados não têm permissão para ver os perfis, grupos ou associações de grupo dos outros usuários.

Configurar o convite de convidado

  1. Entre no Centro de administração do Microsoft Entra.

  2. Navegue até Entra ID>Identidades Externas>configurações de colaboração externa.

  3. Nas configurações de convite de convidado, escolha as configurações apropriadas:

    Captura de tela mostrando as configurações de convite de convidado.

    • Todas as pessoas na organização, incluindo os convidados e os que não são administradores, podem convidar usuários convidados (opção mais inclusiva): para permitir que convidados na organização chamem outros convidados, incluindo usuários que não são membros de uma organização, selecione esse botão de opção.
    • Usuários membros e usuários atribuídos a funções de administrador específicas podem convidar usuários convidados, incluindo convidados com permissões de membro: para permitir que usuários membros e usuários que têm funções de administrador específicas convidem convidados, selecione este botão de opção.
    • Somente os usuários atribuídos a funções de administrador específicas podem convidar convidados: Para permitir que somente os usuários com funções de Administrador de Usuário ou Convidador de Convidados possam convidar, selecione este botão de seleção.
    • Ninguém na organização pode convidar usuários convidados, incluindo administradores (mais restritivos): para negar que todos na organização convidem convidados, selecione este botão de opção.

Como configurar a de inscrição para autoatendimento do convidado

  1. Entre no Centro de administração do Microsoft Entra.

  2. Navegue até Entra ID>Identidades Externas>configurações de colaboração externa.

  3. Em Habilitar a inscrição de autoatendimento de convidado por meio de fluxos de usuário, selecione Sim se você quiser poder criar fluxos de usuário que permitem que os usuários se inscrevam em aplicativos. Para obter mais informações sobre essa configuração, consulte Adicionar um fluxo de usuário de inscrição de autoatendimento a um aplicativo.

    Captura de tela mostrando a configuração de inscrição para autoatendimento por meio de fluxos do usuário.

Para definir as configurações de licença do usuário externo

  1. Entre no Centro de administração do Microsoft Entra.

  2. Navegue até Entra ID>Identidades Externas>configurações de colaboração externa.

  3. Nas configurações de saída do usuário externo, você pode controlar se os usuários externos podem se remover da sua organização.

    • Sim: os usuários podem sair da organização sem a aprovação do seu administrador ou contato de privacidade.
    • Não: os usuários não podem sair da sua organização por conta própria. Ele veem uma mensagem orientando-os a entrar em contato com o administrador ou o responsável pela privacidade para solicitar a remoção da sua organização.

    Importante

    Você só poderá definir as configurações de saída do usuário externo se tiver adicionado suas informações de privacidade ao seu locatário do Microsoft Entra. Caso contrário, essa configuração não estará disponível.

    Captura de tela mostrando as configurações de saída do usuário externo no portal.

Para configurar restrições de colaboração (permitir ou bloquear domínios)

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Essa prática ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência ou quando você não pode usar uma função existente.

  1. Entre no Centro de administração do Microsoft Entra.

  2. Navegue até Entra ID>Identidades Externas>configurações de colaboração externa.

  3. Em restrições de colaboração, você pode escolher se deseja permitir ou negar convites para os domínios especificados e inserir nomes de domínio específicos nas caixas de texto. Para vários domínios, insira cada domínio em uma nova linha. Para obter mais informações, consulte Permitir ou bloquear convites para usuários B2B de organizações específicas.

    Captura de tela mostrando as configurações de restrições de colaboração.

Definir configurações com o Microsoft Graph

As configurações de colaboração externa podem ser definidas usando a API do Microsoft Graph:

  • Para restrições de acesso de usuário convidado e restrições de convite de convidado, use o tipo de recurso authorizationPolicy .
  • Para a configuração Habilitar inscrição para autoatendimento de convidado por meio de fluxos dos usuários, use o tipo de recurso authenticationFlowsPolicy.
  • Para configurações de saída para usuários externos, use o tipo de recurso externalidentitiespolicy.
  • Para configurações de senha única por email (agora na página Todos os provedores de identidade no Centro de administração do Microsoft Entra), use o tipo de recurso emailAuthenticationMethodConfiguration .

Atribuir a função Emissor de convites independente a um usuário

Com a função Convidador , você pode dar aos usuários individuais a capacidade de convidar convidados sem atribuir a eles uma função de administrador de privilégios mais alta. Os usuários com a função de Convidado podem convidar convidados mesmo quando a opção Somente os usuários atribuídos a funções de administrador específicas podem convidar usuários convidados está selecionada (em configurações de convite de convidado).

Veja um exemplo que mostra como usar o Microsoft Graph PowerShell para adicionar um usuário à função Guest Inviter:


Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

Logs de conexão para usuários B2B

Quando um usuário B2B entra em um locatário de recursos para colaborar, um log de conexão é gerado tanto no locatário inicial quanto no locatário do recurso. Esses registros incluem informações como o aplicativo que está sendo usado, endereços de email, nome do locatário e ID do locatário, tanto para o locatário inicial quanto para o locatário de recursos.

Próximas etapas

Consulte os seguintes artigos na colaboração do Microsoft Entra B2B: