Share via

Definir configurações de colaboração externa

  • Artigo

As configurações de colaboração externa permitem especificar quais funções na sua organização podem convidar usuários externos para a colaboração B2B. Essas configurações também incluem opções para permitir ou bloquear domínios específicos e opções para restringir o que os usuários convidados externos podem ver no diretório do Microsoft Entra. As seguintes opções estão disponíveis:

  • Determinar o acesso de usuário convidado: a ID externa do Microsoft Entra permite restringir o que os usuários convidados externos podem ver no diretório do Microsoft Entra. Por exemplo, você pode limitar a exibição dos usuários convidados de associações a um grupo ou permitir que os convidados vejam apenas informações de perfil próprias.

  • Especificar quem pode convidar usuários: por padrão, todos os usuários da sua organização, incluindo os usuários convidados da colaboração B2B, podem convidar usuários externos para a colaboração B2B. Caso deseje limitar a capacidade de enviar convites, ative ou desative os convites para todos ou limite-os a determinadas funções.

  • Habilitar a inscrição por autoatendimento de convidado por meio dos fluxos dos usuários: para os aplicativos compilados por você, crie fluxos dos usuários que permitem que um usuário se inscreva em um aplicativo e crie uma conta de convidado. Você pode habilitar o recurso nas configurações de colaboração externa e adicionar um fluxo dos usuários de inscrição por autoatendimento ao seu aplicativo.

  • Permitir ou bloquear domínios: você pode usar restrições de colaboração para permitir ou negar convites aos domínios especificados. Para obter detalhes, confira Permitir ou bloquear domínios.

Para a colaboração B2B com outras organizações do Microsoft Entra, revise também as configurações de acesso entre locatários para garantir a colaboração B2B de entrada e saída e o acesso ao escopo a usuários, grupos e aplicativos específicos.

Para usuários finais de colaboração B2B que fazem logins em vários locatários, a identidade visual do locatário principal aparece, mesmo que não haja uma identidade visual personalizada especificada. No exemplo a seguir, a identidade visual da empresa Woodgrove Groceries aparece à esquerda. O exemplo à direita exibe a identidade visual padrão do locatário principal do usuário.

Capturas de tela mostrando uma comparação entre a experiência de login com a marca e a experiência de login padrão.

Definir configurações no portal

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador Provedor de identidade externa.

  2. Navegue até Identidade>Identidades Externas>Configurações de colaboração externa.

  3. Em Acesso do usuário convidado, escolha o nível de acesso que deseja conceder aos usuários convidados:

    Captura de tela mostrando as configurações de acesso do usuário convidado.

    • Os usuários convidados têm o mesmo acesso que os membros (mais inclusivo): essa opção fornece aos convidados o mesmo acesso aos recursos do Microsoft Entra e aos dados de diretório que os usuários membros.

    • Os usuários convidados têm acesso limitado a propriedades e associações de objetos do directory (padrão) : essa configuração bloqueia convidados de determinadas tarefas de diretório, como a enumeração de usuários, grupos ou outros recursos de diretório. Os convidados podem ver a associação de todos os grupos não ocultos. Saiba mais sobre as permissões de convidado padrão.

    • O acesso do usuário convidado é restrito a propriedades e associações de objetos próprios do diretório (mais restritivo) : com essa configuração, os convidados podem acessar somente os próprios perfis. Os convidados não têm permissão para ver os perfis, grupos ou associações de grupo dos outros usuários.

  4. Em Configurações de convite do convidado, escolha as configurações apropriadas:

    Captura de tela mostrando as configurações de acesso de convite do convidado.

    • Todas as pessoas na organização, incluindo os convidados e os que não são administradores, podem convidar usuários convidados (opção mais inclusiva): para permitir que convidados na organização chamem outros convidados, incluindo usuários que não são membros de uma organização, selecione esse botão de opção.
    • Os usuários membros e os usuários atribuídos a funções de administrador específicas podem convidar usuários convidados, incluindo os convidados com permissões de membro: para permitir que usuários membros e usuários com funções de administrador específicas chamem convidados, selecione esse botão de opção.
    • Somente os usuários atribuídos a funções de administrador específicas podem convidar usuários convidados: para permitir que somente os usuários com funções de Administrador de usuário ou Emissor de convites independente chamem convidados, selecione esse botão de opção.
    • Ninguém na organização, incluindo os administradores, pode convidar usuários convidados (opção mais restritiva) : para negar que todos na organização chamem convidados, selecione esse botão de opção.

  5. Em Habilitar a inscrição para autoatendimento de convidados por meio de fluxos de usuário, selecione Sim se você quiser poder criar fluxos de usuário que permitam que os usuários se inscrevam em aplicativos. Para obter mais informações sobre essa configuração, confira Adicionar um fluxo de usuário de inscrição para autoatendimento a um aplicativo.

    Captura de tela mostrando a configuração de inscrição para autoatendimento por meio de fluxos do usuário.

  6. Nas Configurações de saída do usuário externo, você pode controlar se os usuários externos podem se remover da sua organização.

    • Sim: os usuários podem sair da organização sem a aprovação do administrador ou do contato de privacidade.
    • Não: os usuários não podem sair da sua organização por conta própria. Ele veem uma mensagem orientando-os a entrar em contato com o administrador ou o responsável pela privacidade para solicitar a remoção da sua organização.

    Importante

    Você só poderá definir as Configurações de saída do usuário externo se tiver adicionado suas informações de privacidade ao locatário do Microsoft Entra. Caso contrário, essa configuração não estará disponível.

    Captura de tela mostrando as configurações de saída do usuário externo no portal.

  7. Em Restrições de colaboração, você pode escolher entre permitir ou negar convites para os domínios que você especificar e inserir nomes de domínio específicos nas caixas de texto. Para vários domínios, insira cada domínio em uma nova linha. Para obter mais informações, consulte Permitir ou bloquear convites para usuários B2B de organizações específicas.

    Captura de tela mostrando as configurações de restrições de Colaboração.

Definir configurações com o Microsoft Graph

As configurações de colaboração externa podem ser definidas usando a API do Microsoft Graph:

  • Para Restrições de acesso de usuário convidado e Restrições de convite de convidado, use o tipo de recurso authorizationPolicy.
  • Para a configuração Habilitar a inscrição para autoatendimento de convidado por meio de fluxos dos usuários, use o tipo de recurso authenticationFlowsPolicy.
  • Nas configurações de senha única por email (agora na página Todos os provedores de identidade no Centro de administração do Microsoft Entra), use o tipo de recurso emailAuthenticationMethodConfiguration.

Atribuir a função Emissor de convites independente a um usuário

Com a função Emissor de convites independente, você pode dar aos usuários individuais a capacidade de enviar convites sem atribuir a eles uma função de administrador de privilégio mais alto. Os usuários com a função de Emissor do convites podem chamar convidados mesmo quando a opção Somente os usuários atribuídos a funções de administrador específicas podem convidar usuários convidados está selecionada (em Configurações de convite de convidado).

Veja um exemplo que mostra como usar o Microsoft Graph PowerShell para adicionar um usuário à função Guest Inviter:


Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

Logs de conexão para usuários B2B

Quando um usuário B2B entra em um locatário de recursos para colaborar, um log de conexão é gerado tanto no locatário inicial quanto no locatário do recurso. Esses logs incluem informações como o aplicativo que está sendo usado, os endereços de email, o nome e a ID do locatário inicial e do locatário do recurso.

Próximas etapas

Consulte os seguintes artigos na colaboração do Microsoft Entra B2B: