Configurar as definições de colaboração externa

As definições de colaboração externa permitem especificar quais as funções na sua organização que podem convidar utilizadores externos para a colaboração B2B. Estas definições também incluem opções para permitir ou bloquear domínios específicos, e opções para restringir o que os utilizadores externos podem ver no seu diretório de Azure AD. Estão disponíveis as seguintes opções:

  • Determine o acesso do utilizador do hóspede: Azure AD permite restringir o que os utilizadores externos podem ver no seu diretório de Azure AD. Por exemplo, pode limitar a visão dos utilizadores dos hóspedes sobre os membros do grupo ou permitir que os hóspedes vejam apenas as suas próprias informações de perfil.

  • Especificar quem pode convidar os hóspedes: Por padrão, todos os utilizadores da sua organização, incluindo utilizadores convidados de colaboração B2B, podem convidar utilizadores externos para a colaboração B2B. Se quiser limitar a capacidade de enviar convites, pode ligar ou desligar convites para todos, ou limitar convites a determinadas funções.

  • Ativar a inscrição de self-service do hóspede através dos fluxos do utilizador: Para aplicações que constrói, pode criar fluxos de utilizador que permitam ao utilizador inscrever-se numa aplicação e criar uma nova conta de hóspedes. Pode ativar a funcionalidade nas definições de colaboração externa e, em seguida, adicionar um fluxo de utilizador de inscrição autosserviço à sua aplicação.

  • Permitir ou bloquear domínios: Pode utilizar restrições de colaboração para permitir ou negar convites aos domínios especificados. Para mais detalhes, consulte Os domínios de Permitir ou bloquear.

Para a colaboração B2B com outras organizações Azure AD, você também deve rever as suas definições de acesso ao inquilino transversal para garantir a sua colaboração B2B de entrada e saída e acesso de âmbito a utilizadores, grupos e aplicações específicos.

Configurar definições no portal

  1. Inscreva-se no portal do Azure usando uma conta Administrador global e abra o serviço de Diretório Ativo Azure.

  2. Selecione identidades externas>Definições de colaboração externa.

  3. No acesso ao utilizador do Hóspede, escolha o nível de acesso que pretende que os utilizadores dos hóspedes tenham:

    Screenshot mostrando as definições de acesso do utilizador do hóspede.

    • Os utilizadores convidados têm o mesmo acesso que os membros (mais inclusivos): Esta opção dá aos hóspedes o mesmo acesso a recursos Azure AD e dados de diretórios como utilizadores membros.

    • Os utilizadores convidados têm acesso limitado a propriedades e membros de objetos de diretório: (Padrão) Esta definição bloqueia os hóspedes de determinadas tarefas de diretório, como enumerar utilizadores, grupos ou outros recursos do diretório. Os hóspedes podem ver a adesão de todos os grupos não escondidos. Saiba mais sobre permissões de hóspedes predefinidos.

    • O acesso do utilizador do hóspede é restrito a propriedades e membros dos seus próprios objetos de diretório (mais restritivos): Com esta configuração, os hóspedes podem aceder apenas aos seus próprios perfis. Os hóspedes não estão autorizados a ver perfis, grupos ou membros do grupo de outros utilizadores.

  4. Nas definições do convite do hóspede, escolha as definições apropriadas:

    Screenshot mostrando as definições do convite do convidado.

    • Qualquer pessoa na organização pode convidar utilizadores convidados, incluindo hóspedes e não-administradores (mais inclusivos): Para permitir que os hóspedes da organização convidem outros convidados, incluindo aqueles que não são membros de uma organização, selecione este botão de rádio.
    • Os utilizadores e utilizadores de membros atribuídos a funções específicas de administração podem convidar utilizadores convidados, incluindo convidados com permissões de membros: Para permitir que utilizadores membros e utilizadores que tenham funções específicas de administrador convidem os hóspedes, selecione este botão de rádio.
    • Apenas os utilizadores atribuídos a funções de administração específicas podem convidar utilizadores convidados: Para permitir que apenas os utilizadores com funções de administrador convidem os hóspedes, selecione este botão de rádio. As funções de administrador incluem Administrador Global, Administrador de Utilizador e Convidado Convidado.
    • Ninguém na organização pode convidar utilizadores convidados, incluindo administradores (mais restritivos): Para negar a todos na organização de convidar convidados, selecione este botão de rádio.

      Nota

      Se os Membros puderem convidar está definido para No e Admins e os utilizadores no papel de convidado convidado podem convidar está definido para Sim, os utilizadores no papel de Convidado Convidado ainda poderão convidar os convidados.

  5. In Enable guest self-service inscreva-se através dos fluxos do utilizador, selecione Sim se quiser ser capaz de criar fluxos de utilizador que permitam aos utilizadores inscreverem-se para apps. Para obter mais informações sobre esta definição, consulte adicionar um fluxo de utilizador de inscrição de autosserviço a uma aplicação.

    Screenshot mostrando self-service inscreva-se através da definição de fluxos do utilizador.

  6. Nas definições de saída de utilizador externa, pode controlar se os utilizadores externos podem retirar-se da sua organização. Se definir esta opção para , os utilizadores externos terão de contactar o seu administrador ou contacto de privacidade para serem removidos.

    • Sim: Os utilizadores podem sair da própria organização sem a aprovação do seu administrador ou contacto de privacidade.
    • Não: Os utilizadores não podem deixar a sua própria organização. Eles verão uma mensagem a guiá-los a contactar o seu administrador ou contacto de privacidade para solicitar a remoção da sua organização.

    Importante

    Só pode configurar as definições de licença externa do utilizador se tiver adicionado as suas informações de privacidade ao seu inquilino Azure AD. Caso contrário, esta definição não estará disponível.

    Screenshot mostrando Definições de saída de utilizador externas no portal.

  7. Sob as restrições de Colaboração, pode escolher se permite ou nega convites para os domínios especificados e introduza nomes de domínio específicos nas caixas de texto. Para vários domínios, insira cada domínio numa nova linha. Para obter mais informações, consulte Permitir ou bloquear convites a utilizadores B2B de organizações específicas.

    Screenshot mostrando configurações de restrições de colaboração.

Configurações de configuração com Gráfico microsoft

As definições de colaboração externa podem ser configuradas utilizando o microsoft Graph API:

Atribua o papel de Convidado Convidado a um utilizador

Com o papel de Convidado Convidado, pode dar aos utilizadores individuais a capacidade de convidar os hóspedes sem lhes atribuir um administrador global ou outro papel de administração. Atribua o papel de convidado convidado a indivíduos. Em seguida, certifique-se de definir Admins e os utilizadores no papel de convidado convidado pode convidar para Sim.

Aqui está um exemplo que mostra como usar o PowerShell para adicionar um utilizador à função guest inviter:

Add-MsolRoleMember -RoleObjectId 95e79109-95c0-4d8e-aee3-d01accf2d47b -RoleMemberEmailAddress <RoleMemberEmailAddress>

Registos de inscrição para utilizadores B2B

Quando um utilizador B2B assina um inquilino de recursos para colaborar, um registo de login é gerado tanto no arrendatário da casa como no inquilino de recursos. Estes registos incluem informações como a aplicação que está sendo usada, endereços de e-mail, nome do inquilino, e identificação do inquilino tanto para o inquilino da casa como para o inquilino de recursos.

Passos seguintes

Consulte os seguintes artigos sobre Azure AD colaboração B2B: