Definir configurações de colaboração externa
As configurações de colaboração externa permitem especificar quais funções na sua organização podem convidar usuários externos para a colaboração B2B. Essas configurações também incluem opções para permitir ou bloquear domínios específicos e opções para restringir o que os usuários convidados externos podem ver no diretório do Azure AD. As seguintes opções estão disponíveis:
Determinar o acesso de usuário convidado: o Azure AD permite restringir o que os usuários convidados externos podem ver no diretório do Azure AD. Por exemplo, você pode limitar a exibição dos usuários convidados de associações a um grupo ou permitir que os convidados vejam apenas informações de perfil próprias.
Especificar quem pode convidar usuários: por padrão, todos os usuários da sua organização, incluindo os usuários convidados da colaboração B2B, podem convidar usuários externos para a colaboração B2B. Caso deseje limitar a capacidade de enviar convites, ative ou desative os convites para todos ou limite-os a determinadas funções.
Habilitar a inscrição por autoatendimento de convidado por meio dos fluxos dos usuários: para os aplicativos compilados por você, crie fluxos dos usuários que permitem que um usuário se inscreva em um aplicativo e crie uma conta de convidado. Você pode habilitar o recurso nas configurações de colaboração externa e adicionar um fluxo dos usuários de inscrição por autoatendimento ao seu aplicativo.
Permitir ou bloquear domínios: você pode usar restrições de colaboração para permitir ou negar convites aos domínios especificados. Para obter detalhes, confira Permitir ou bloquear domínios.
Para a colaboração B2B com outras organizações do Azure AD, revise também as configurações de acesso entre locatários para garantir a colaboração B2B de entrada e saída e o acesso ao escopo a usuários, grupos e aplicativos específicos.
Para usuários finais de colaboração B2B que fazem logins em vários locatários, a identidade visual do locatário principal aparece, mesmo que não haja uma identidade visual personalizada especificada. No exemplo a seguir, a identidade visual da empresa Woodgrove Groceries aparece à esquerda. O exemplo à direita exibe a identidade visual padrão do locatário principal do usuário.
Definir configurações no portal
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador Provedor de identidade externa.
Navegue até Identidade>Identidades Externas>Configurações de colaboração externa.
Em Acesso do usuário convidado, escolha o nível de acesso que deseja conceder aos usuários convidados:
Os usuários convidados têm o mesmo acesso que os membros (mais inclusivo) : essa opção fornece aos convidados o mesmo acesso aos recursos do Azure AD e aos dados de diretório que os usuários membros.
Os usuários convidados têm acesso limitado a propriedades e associações de objetos do directory (padrão) : essa configuração bloqueia convidados de determinadas tarefas de diretório, como a enumeração de usuários, grupos ou outros recursos de diretório. Os convidados podem ver a associação de todos os grupos não ocultos. Saiba mais sobre as permissões de convidado padrão.
O acesso do usuário convidado é restrito a propriedades e associações de objetos próprios do diretório (mais restritivo) : com essa configuração, os convidados podem acessar somente os próprios perfis. Os convidados não têm permissão para ver os perfis, grupos ou associações de grupo dos outros usuários.
Em Configurações de convite do convidado, escolha as configurações apropriadas:
- Todas as pessoas na organização, incluindo os convidados e os que não são administradores, podem convidar usuários convidados (opção mais inclusiva): para permitir que convidados na organização chamem outros convidados, incluindo aqueles que não são membros de uma organização, selecione esse botão de opção.
- Os usuários membros e os usuários atribuídos a funções de administrador específicas podem convidar usuários convidados, incluindo os convidados com permissões de membro: para permitir que usuários membros e usuários com funções de administrador específicas chamem convidados, selecione esse botão de opção.
- Somente os usuários atribuídos a funções de administrador específicas podem convidar usuários convidados: para permitir que somente os usuários com funções de administrador chamem convidados, selecione esse botão de opção. As funções de administrador incluem Administrador Global, Administrador de Usuárioe Emissor do Convite ao Convidado.
- Ninguém na organização, incluindo os administradores, pode convidar usuários convidados (opção mais restritiva) : para negar que todos na organização chamem convidados, selecione esse botão de opção.
Em Habilitar a inscrição para autoatendimento de convidados por meio de fluxos de usuário, selecione Sim se você quiser poder criar fluxos de usuário que permitam que os usuários se inscrevam em aplicativos. Para obter mais informações sobre essa configuração, confira Adicionar um fluxo de usuário de inscrição para autoatendimento a um aplicativo.
Nas Configurações de saída do usuário externo, você pode controlar se os usuários externos podem se remover da sua organização. Se você definir essa opção como Não, os usuários externos precisarão entrar em contato com seu administrador ou contato de privacidade para serem removidos.
- Sim: os usuários podem sair da organização sem a aprovação do administrador ou do contato de privacidade.
- Não: os usuários não podem sair da sua organização por conta própria. Eles verão uma mensagem orientando-os a entrar em contato com seu administrador ou contato de privacidade para solicitar a remoção de sua organização.
Importante
Você só poderá definir as Configurações de saída do usuário externo se tiver adicionado suas informações de privacidade ao locatário do Azure AD. Caso contrário, essa configuração não estará disponível.
Em Restrições de colaboração, você pode escolher entre permitir ou negar convites para os domínios que você especificar e inserir nomes de domínio específicos nas caixas de texto. Para vários domínios, insira cada domínio em uma nova linha. Para obter mais informações, consulte Permitir ou bloquear convites para usuários B2B de organizações específicas.
Definir configurações com o Microsoft Graph
As configurações de colaboração externa podem ser definidas usando a API do Microsoft Graph:
- Para Restrições de acesso de usuário convidado e Restrições de convite de convidado, use o tipo de recurso authorizationPolicy.
- Para a configuração Habilitar a inscrição para autoatendimento de convidado por meio de fluxos dos usuários, use o tipo de recurso authenticationFlowsPolicy.
- Para configurações de senha de uso único por email (agora na página Todos os provedores de identidade no Centro de administração do Microsoft Entra), use o tipo de recurso emailAuthenticationMethodConfiguration.
Atribuir a função Emissor de convites independente a um usuário
Com a função Emissor de convites independente, você pode dar aos usuários individuais a capacidade de enviar convites sem atribuir a eles um administrador global ou outra função de administrador. Atribua a Função Emissor de convites independente às pessoas. Não se esqueça de definir Administradores e usuários na função de emissor de convites independente podem convidar como Sim.
Veja um exemplo que mostra como usar o PowerShell para adicionar um usuário à função Emissor de convite para convidado:
Add-MsolRoleMember -RoleObjectId 95e79109-95c0-4d8e-aee3-d01accf2d47b -RoleMemberEmailAddress <RoleMemberEmailAddress>
Logs de conexão para usuários B2B
Quando um usuário B2B entra em um locatário de recursos para colaborar, um log de conexão é gerado tanto no locatário inicial quanto no locatário do recurso. Esses logs incluem informações como o aplicativo que está sendo usado, os endereços de email, o nome e a ID do locatário inicial e do locatário do recurso.
Próximas etapas
Consulte os seguintes artigos na colaboração B2B do Azure AD: