Resgate de convite de colaboração B2B do Microsoft Entra

Este artigo descreve as maneiras como os usuários convidados podem acessar seus recursos e o processo de consentimento que encontrarão. Se você enviar um e-mail de convite para o convidado, o convite incluirá um link que o convidado pode resgatar para obter acesso ao seu aplicativo ou portal. O e-mail de convite é apenas uma das formas de os hóspedes terem acesso aos seus recursos. Como alternativa, você pode adicionar convidados ao seu diretório e dar-lhes um link direto para o portal ou aplicativo que deseja compartilhar. Independentemente do método utilizado, os hóspedes são guiados através de um processo de consentimento pela primeira vez. Este processo garante que os seus hóspedes concordam com os termos de privacidade e aceitam quaisquer termos de utilização que tenha configurado.

Quando você adiciona um usuário convidado ao seu diretório, a conta de usuário convidado tem um status de consentimento (visível no PowerShell) que é inicialmente definido como PendingAcceptance. Esta definição mantém-se até que o hóspede aceite o seu convite e concorde com a sua política de privacidade e termos de utilização. Depois disso, o status de consentimento muda para Aceito e as páginas de consentimento não são mais apresentadas ao hóspede.

Importante

  • A partir de 12 de julho de 2021, se os clientes do Microsoft Entra B2B configurarem novas integrações do Google para uso com a inscrição de autoatendimento para seus aplicativos personalizados ou de linha de negócios, a autenticação com identidades do Google não funcionará até que as autenticações sejam movidas para as visualizações da Web do sistema. Mais informações.
  • A partir de 30 de setembro de 2021, o Google está desativando o suporte de login incorporado à visualização da Web. Se seus aplicativos autenticarem usuários com uma visualização da Web incorporada e você estiver usando a federação do Google com o Azure AD B2C ou o Microsoft Entra B2B para convites de usuários externos ou inscrição de autoatendimento, os usuários do Google Gmail não poderão se autenticar. Mais informações.
  • O recurso de senha única de e-mail agora está ativado por padrão para todos os novos locatários e para todos os locatários existentes nos quais você não o desativou explicitamente. Quando esse recurso é desativado, o método de autenticação de fallback é solicitar que os convidados criem uma conta da Microsoft.

Processo de resgate e entrada por meio de um ponto de extremidade comum

Os utilizadores convidados podem agora iniciar sessão nas suas aplicações multiinquilinas ou de primeira parte da Microsoft através de um ponto de extremidade comum (URL), por exemplo https://myapps.microsoft.com. Anteriormente, uma URL comum redirecionava um usuário convidado para seu locatário doméstico em vez de seu locatário de recurso para autenticação, portanto, um link específico do locatário era necessário (por exemplo https://myapps.microsoft.com/?tenantid=<tenant id>). Agora, o utilizador convidado pode aceder ao URL comum da aplicação, escolher Opções de início de sessão e, em seguida, selecionar Iniciar sessão numa organização. Em seguida, o usuário digita o nome de domínio da sua organização.

Capturas de ecrã a mostrar pontos de extremidade comuns utilizados para iniciar sessão.

O usuário é então redirecionado para seu ponto de extremidade específico do locatário, onde pode entrar com seu endereço de e-mail ou selecionar um provedor de identidade que você configurou.

Como alternativa ao e-mail de convite ou ao URL comum de um aplicativo, você pode dar a um convidado um link direto para seu aplicativo ou portal. Primeiro, você precisa adicionar o usuário convidado ao seu diretório por meio do centro de administração do Microsoft Entra ou do PowerShell. Em seguida, você pode usar qualquer uma das maneiras personalizáveis de implantar aplicativos para os usuários, incluindo links de logon direto. Quando um hóspede usa um link direto em vez do e-mail de convite, ele ainda será guiado pela experiência de consentimento pela primeira vez.

Nota

Um link direto é específico do locatário. Em outras palavras, ele inclui um ID de locatário ou domínio verificado para que o convidado possa ser autenticado em seu locatário, onde o aplicativo compartilhado está localizado. Eis alguns exemplos de ligações diretas com o contexto do inquilino:

  • Painel de acesso às aplicações: https://myapps.microsoft.com/?tenantid=<tenant id>
  • Painel de acesso de aplicativos para um domínio verificado: https://myapps.microsoft.com/<;verified domain>
  • Centro de administração do Microsoft Entra: https://entra.microsoft.com/<tenant id>
  • Aplicativo individual: veja como usar um link de logon direto

Há alguns casos em que o e-mail de convite é recomendado através de um link direto. Se esses casos especiais forem importantes para sua organização, recomendamos que você convide usuários usando métodos que ainda enviam o email de convite:

  • Às vezes, o objeto de usuário convidado pode não ter um endereço de email devido a um conflito com um objeto de contato (por exemplo, um objeto de contato do Outlook). Nesse caso, o usuário deve selecionar a URL de resgate no e-mail de convite.
  • O utilizador pode iniciar sessão com um alias do endereço de e-mail que foi convidado. (Um alias é outro endereço de e-mail associado a uma conta de e-mail.) Nesse caso, o usuário deve selecionar a URL de resgate no e-mail de convite.

Processo de resgate através do e-mail de convite

Quando você adiciona um usuário convidado ao seu diretório usando o centro de administração do Microsoft Entra, um email de convite é enviado para o convidado no processo. Você também pode optar por enviar emails de convite quando estiver usando o PowerShell para adicionar usuários convidados ao seu diretório. Aqui está uma descrição da experiência do hóspede quando ele resgata o link no e-mail.

  1. O convidado recebe um e-mail de convite enviado pelo Microsoft Invitations.
  2. O hóspede seleciona Aceitar convite no e-mail.
  3. O convidado usará suas próprias credenciais para entrar no seu diretório. Se o convidado não tiver uma conta que possa ser federada ao seu diretório e o recurso de código de acesso único (OTP) de e-mail não estiver habilitado, o convidado será solicitado a criar um MSA pessoal. Consulte o fluxo de resgate do convite para obter detalhes.
  4. O hóspede é guiado através da experiência de consentimento descrita abaixo.

Limitação do processo de resgate com objeto Contact conflitante

Às vezes, o e-mail do usuário convidado convidado pode entrar em conflito com um objeto Contact existente, resultando na criação do usuário convidado sem um proxyAddress. Essa é uma limitação conhecida que impede que usuários convidados resgatem um convite por meio de um link direto usando contas SAML/WS-Fed IdP, MSAs, Google Federation ou Email One-Time Passcode .

No entanto, os seguintes cenários devem continuar a funcionar:

Para desbloquear usuários que não podem resgatar um convite devido a um objeto Contact conflitante, siga estas etapas:

  1. Exclua o objeto Contact conflitante.
  2. Exclua o usuário convidado no centro de administração do Microsoft Entra (a propriedade "Convite aceito" do usuário deve estar em um estado pendente).
  3. Convide novamente o usuário convidado.
  4. Aguarde até que o usuário resgate o convite.
  5. Adicione o email de contato do usuário de volta ao Exchange e a quaisquer DLs dos quais ele deva fazer parte.

Fluxo de resgate de convites

Quando um usuário seleciona o link Aceitar convite em um email de convite, o Microsoft Entra ID resgata automaticamente o convite com base na ordem de resgate padrão mostrada abaixo:

Captura de tela mostrando o diagrama de fluxo de resgate.

  1. O Microsoft Entra ID executa a descoberta baseada no usuário para determinar se o usuário já existe em um locatário gerenciado do Microsoft Entra. (As contas não gerenciadas do Microsoft Entra não podem mais ser usadas para o fluxo de resgate.) Se o UPN (Nome Principal do Usuário) do usuário corresponder a uma conta existente do Microsoft Entra e a um MSA pessoal, o usuário será solicitado a escolher com qual conta deseja resgatar.

  2. Se um administrador tiver habilitado a federação IdP SAML/WS-Fed, o Microsoft Entra ID verificará se o sufixo de domínio do usuário corresponde ao domínio de um provedor de identidade SAML/WS-Fed configurado e redirecionará o usuário para o provedor de identidade pré-configurado.

  3. Se um administrador tiver ativado a federação do Google, o Microsoft Entra ID verificará se o sufixo de domínio do usuário está gmail.com ou se googlemail.com e redirecionará o usuário para o Google.

  4. O processo de resgate verifica se o usuário tem um MSA pessoal existente. Se o usuário já tiver um MSA existente, ele entrará com seu MSA existente.

  5. Depois que o diretório base do usuário é identificado, o usuário é enviado ao provedor de identidade correspondente para entrar.

  6. Se nenhum diretório pessoal for encontrado e o recurso de senha única de e-mail estiver habilitado para convidados, uma senha será enviada ao usuário por meio do e-mail convidado. O usuário recupera e insere essa senha na página de entrada do Microsoft Entra.

  7. Se nenhum diretório base for encontrado e a senha única de e-mail para convidados estiver desativada, o usuário será solicitado a criar um MSA de consumidor com o e-mail convidado. Suportamos a criação de um MSA com e-mails de trabalho em domínios que não são verificados no Microsoft Entra ID.

  8. Depois de se autenticar no provedor de identidade correto, o usuário é redirecionado para o Microsoft Entra ID para concluir a experiência de consentimento.

Resgate configurável (Pré-visualização)

O resgate configurável permite personalizar a ordem dos provedores de identidade apresentados aos hóspedes quando eles resgatam seus convites. Quando um convidado seleciona o link Aceitar convite , o ID do Microsoft Entra resgata automaticamente o convite com base na ordem padrão. Você pode substituir isso alterando a ordem de resgate do provedor de identidade em suas configurações de acesso entre locatários.

Quando um hóspede inicia sessão num recurso numa organização parceira pela primeira vez, é-lhe apresentada a seguinte experiência de consentimento. Estas páginas de consentimento são mostradas ao hóspede apenas após o início de sessão e não são apresentadas se o utilizador já as tiver aceite.

  1. O hóspede analisa a página Rever permissões que descreve a declaração de privacidade da organização convidadora. Um usuário deve Aceitar o uso de suas informações de acordo com as políticas de privacidade da organização convidativa para continuar.

    Captura de ecrã a mostrar a página Rever permissões.

    Nota

    Para obter informações sobre como você, como administrador de locatário, pode vincular à declaração de privacidade da sua organização, consulte Como: Adicionar as informações de privacidade da sua organização no Microsoft Entra ID.

  2. Se os termos de utilização estiverem configurados, o hóspede abre e revê os termos de utilização e, em seguida, seleciona Aceitar.

    Captura de ecrã a mostrar os novos termos de utilização.

    Você pode configurar os termos de uso em Termos de uso de Identidades Externas>.

  3. A menos que especificado de outra forma, o convidado é redirecionado para o painel de acesso Aplicativos, que lista os aplicativos que o convidado pode acessar.

    Captura de ecrã a mostrar o painel de acesso Aplicações.

No diretório, o valor Convite aceito do convidado muda para Sim. Se um MSA foi criado, a Origem do convidado mostra a Conta da Microsoft. Para obter mais informações sobre as propriedades da conta de usuário convidado, consulte Propriedades de um usuário de colaboração B2B do Microsoft Entra. Se vir um erro que requer o consentimento do administrador ao aceder a uma aplicação, veja como conceder consentimento de administrador às aplicações.

Configuração do processo de resgate automático

Talvez você queira resgatar automaticamente os convites para que os usuários não precisem aceitar o prompt de consentimento quando forem adicionados a outro locatário para colaboração B2B. Quando configurado, um e-mail de notificação é enviado para o usuário de colaboração B2B que não requer nenhuma ação do usuário. Os usuários recebem o e-mail de notificação diretamente e não precisam acessar o locatário primeiro antes de receber o e-mail. A seguir mostra um exemplo de e-mail de notificação se você resgatar convites automaticamente em ambos os locatários.

Captura de tela que mostra o e-mail de notificação B2B quando o prompt de consentimento é suprimido.

Para obter informações sobre como resgatar convites automaticamente, consulte Visão geral do acesso entre locatários e Configurar configurações de acesso entre locatários para colaboração B2B.

Próximos passos