Federação com provedores de identidade SAML/WS-Fed
Aplica-se a: 
Locatários da força de trabalho 
Locatários externos (saiba mais)
Observação
A Federação direta na ID externa do Microsoft Entra agora é conhecida como Federação do IdP (provedor de identidade) do SAML/WS-Fed.
Este artigo descreve como configurar a federação com qualquer organização cujo IdP (provedor de identidade) ofereça suporte aos protocolos SAML 2.0 ou WS-Fed. Quando você configura a federação com o IdP de um parceiro, os usuários convidados desse domínio podem usar as respectivas contas institucionais gerenciadas pelo IdP para entrar no seu locatário do Microsoft Entra e começar a colaborar com você. Não é necessário que o usuário convidado crie uma conta do Microsoft Entra separada.
Importante
- Você pode configurar a federação do IdP SAML/WS-Fed com domínios verificados do Microsoft Entra ID. O domínio verificado deve estar em um locatário separado de onde você está configurando a federação. Depois de configurado, é possível verificar se os usuários entram com o IdP federado em vez do Microsoft Entra ID ao configurar a ordem de resgate de convite nas configurações de acesso entre locatários para Colaboração B2B de entrada.
- Não damos mais suporte a uma lista de permitidos de IdPs para novas federações IdP SAML/WS-Fed. Quando você estiver configurando uma nova federação externa, veja a Etapa 1: Determinar se o parceiro precisa atualizar os registros de texto DNS.
- Na solicitação SAML enviada pelo Microsoft Entra ID para federações externas, a URL do Emissor é um ponto de extremidade locatário. Para novas federações, recomendamos que todos os nossos parceiros definam a audiência do IdP baseado em SAML ou WS-Fed como um ponto de extremidade locatário. Consulte as seções de atributos e declarações obrigatórias SAML 2.0 e WS-Fed. As federações existentes configuradas com o ponto de extremidade global continuarão funcionando, mas novas federações deixarão de funcionar se o IdP externo estiver esperando uma URL do emissor global na solicitação SAML.
- A limitação de domínio único foi removida. Agora é possível associar vários domínios a uma configuração de federação individual.
- Removemos a limitação que exigia que o domínio da URL de autenticação coincida com o domínio de destino ou que pertença a um IdP permitido. Para obter detalhes, consulte Etapa 1: determinar se o parceiro precisa atualizar seus registros de texto de DNS.
Quando um usuário convidado é autenticado com a federação do idP do SAML/WS-Fed?
Depois de você configurar a federação com o IdP SAML/WS-Fed de uma organização:
Se o domínio com o qual você está federando não for um domínio verificado do Microsoft Entra ID, os novos usuários convidados que você convidar serão autenticados usando esse IdP SAML/WS-Fed.
Se o domínio for verificado pelo Microsoft Entra ID, você também precisará definir as configurações de Ordem de resgate (versão prévia) nas configurações de acesso entre locatários para colaboração B2B de entrada para priorizar o resgate com o IdP federado. Em seguida, todos os novos usuários convidados que você convidou serão autenticados usando esse IdP SAML/WS-Fed.
É importante observar que a configuração da federação não altera o método de autenticação para usuários convidados que já resgataram um convite enviado por você. Estes são alguns exemplos:
- Os usuários convidados já resgataram seus convites e, posteriormente, você configurou a federação com o IdP SAML/WS-Fed da organização. Esses usuários convidados continuam usando o mesmo método de autenticação que usaram antes de você configurar a federação.
- Configure a federação com o IdP SAML/WS-Fed de uma organização e convide usuários convidados. Em seguida, a organização parceira mudará posteriormente para o Microsoft Entra ID. Os usuários convidados que já resgataram os convites continuarão usando o IdP SAML/WS-Fed federado, desde que exista a política de federação do seu locatário.
- Exclua a federação com o IdP SAML/WS-Fed de uma organização. Qualquer usuário convidado que esteja usando o IdP SAML/WS-Fed não conseguirá entrar.
Em qualquer um desses cenários, você pode atualizar o método de autenticação de um usuário convidado redefinindo seu status de resgate.
A federação do idP do SAML/WS-Fed está vinculada a namespaces de domínio, como contoso.com e fabrikam.com. Ao estabelecer uma federação com o AD FS ou um IdP de terceiros, as organizações associam um ou mais namespaces de domínio a esses IdPs.
Experiência do usuário final
Com a federação do IdP do SAML/WS-Fed, os usuários convidados usam as respectivas contas organizacionais para entrar em seu locatário do Microsoft Entra. Quando eles estão acessando recursos compartilhados e são solicitados a entrar, os usuários são redirecionados para seu IdP. Após a entrada bem-sucedida, eles são redirecionados ao Microsoft Entra para acessar os recursos. Se a sessão do Microsoft Entra expirar ou se tornar inválida e o IdP federado tiver o SSO habilitado, o usuário terá a experiência de SSO. Se a sessão do usuário federado for válida, ele não será solicitado a entrar novamente. Caso contrário, o usuário é redirecionado para seu IdP para entrar.
Pontos de extremidade de entrada
Agora os usuários convidados da federação do IdP do SAML/WS-Fed podem entrar em seus aplicativos multilocatário ou internos da Microsoft usando um ponto de extremidade comum (em outras palavras, uma URL de aplicativo geral que não inclui o contexto do locatário). Durante o processo de entrada, o usuário convidado escolhe Opções de entrada e seleciona Entrar em uma organização. Em seguida, ele digita o nome da sua organização e continua a entrada usando as respectivas credenciais.
Os usuários convidados da federação do IdP do SAML/WS-Fed também podem usar pontos de extremidade de aplicativos que incluam suas informações de locatário, por exemplo:
https://myapps.microsoft.com/?tenantid=<your tenant ID>https://myapps.microsoft.com/<your verified domain>.onmicrosoft.comhttps://portal.azure.com/<your tenant ID>
Você também pode fornecer aos usuários convidados um link direto para um aplicativo ou recurso incluindo suas informações de locatário, por exemplo, https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>.
Perguntas frequentes
Posso configurar a federação de IdP SAML/WS-Fed com domínios verificados do Microsoft Entra ID?
Sim, você pode configurar a federação do IdP SAML/WS-Fed com outros domínios verificados do Microsoft Entra ID. Isso inclui domínios verificados em que o locatário passou por uma aquisição de administrador. Se o domínio com o qual você está federando for verificado pelo Microsoft Entra ID, você também precisará definir as configurações da Ordem de resgate (versão prévia) em suas configurações de acesso entre locatários para colaboração B2B de entrada para garantir que, quando os usuários convidados entrarem, eles resgatem seus convites usando o IdP federado em vez do Microsoft Entra ID.
Atualmente, não há suporte para configurações de ordem de resgate entre nuvens. Se o domínio com o qual você está federando for o Microsoft Entra ID verificado em uma nuvem diferente da Microsoft, o resgate do Microsoft Entra sempre terá precedência.
Posso configurar a federação do idP do SAML/WS-Fed com um domínio para o qual exista um locatário não gerenciado (verificado por email)?
Sim, é possível configurar a federação do IdP do SAML/WS-Fed com os domínios que não são verificados por DNS no Microsoft Entra ID, incluindo locatários do Microsoft Entra não gerenciados (verificados por email ou "virais"). Esses locatários são criados quando um usuário resgata um convite B2B ou executa uma inscrição por autoatendimento para o Microsoft Entra ID usando um domínio que não existe atualmente.
Posso configurar a federação com vários domínios do mesmo locatário?
Sim, agora há suporte para federações de IdP de SAML/WS-Fed com vários domínios do mesmo locatário.
Preciso renovar o certificado de autenticação quando ele expirar?
Se você especificar a URL de metadados nas configurações do IdP, o Microsoft Entra ID renovará automaticamente o certificado de assinatura quando ele expirar. No entanto, se o certificado for rotacionado por qualquer motivo antes do prazo de expiração, ou se você não fornecer uma URL de metadados, o Microsoft Entra ID não poderá renová-lo. Nesse caso, você precisa atualizar o certificado de assinatura manualmente.
Se a federação do IdP do SAML/WS-Fed e a autenticação de senha de uso único por email estiverem habilitadas, qual método terá precedência?
Quando se estabelece uma federação do IdP do SAML/WS-Fed com uma organização parceira, ela tem precedência sobre a autenticação de senha de uso único por email para novos usuários convidados dessa organização. Se um usuário convidado resgatou um convite usando a autenticação por senha de uso único antes de você configurar a federação de IdP SAML/WS-Fed, ele continuará a usar a autenticação por senha de uso único.
A federação do IdP do SAML/WS-Fed resolve problemas de entrada devidos a uma locação parcialmente sincronizada?
Não, o recurso de senha de uso único por email deve ser usado neste cenário. Uma "locação parcialmente sincronizada" refere-se a um locatário do Microsoft Entra de parceiro no qual as identidades de usuário local não estão totalmente sincronizadas com a nuvem. Um hóspede cuja identidade ainda não existe na nuvem, mas que tenta resgatar seu convite B2B, não conseguirá entrar. O recurso de senha de uso único permitiria que esse convidado entrasse. O recurso de federação do IdP do SAML/WS-Fed aborda os cenários em que o convidado tem sua própria conta institucional gerenciada por IdP, mas não há nenhuma presença do Microsoft Entra na organização.
Quando a federação do IdP do SAML/WS-Fed é configurada em uma organização, é necessário que cada convidado receba um convite individual e resgate esse convite?
Ao chamar novos convidados, você ainda precisa enviar convites ou fornecer links diretos para que os convidados possam concluir as etapas de resgate. Para convidados existentes, você não precisa necessariamente enviar novos convites. Os convidados existentes continuarão usando o método de autenticação utilizado antes da configuração da federação. Se você quiser que esses convidados comecem a usar a federação para autenticação, você pode redefinir o status de resgate. Na próxima vez que acessarem o aplicativo ou usarem o link no convite, eles repetirão o processo de resgate e começarão a usar a federação como método de autenticação.
Há uma forma de enviar uma solicitação assinada para o provedor de identidade SAML?
Atualmente, o recurso de federação SAML/WS-Fed do Microsoft Entra não dá suporte ao envio de um token de autenticação assinado para o provedor de identidade SAML.
Quais permissões são necessárias para configurar um provedor de identidade SAML/Ws-Fed?
Você precisa ser pelo menos um Administrador de Provedor de Identidade Externo para configurar um provedor de identidade SAML/Ws-Fed.
A federação elimina a necessidade de criar uma conta de convidado em meu diretório para o usuário de Colaboração B2B?
Não. Uma conta de convidado é criada para um usuário de Colaboração B2B em seu diretório, independente do método de autenticação ou federação usado. Esse objeto de usuário permite conceder acesso a aplicativos, atribuir funções e definir a associação em grupos de segurança.
Etapa 1: determinar se o parceiro precisa atualizar seus registros de texto de DNS
A depender do IdP do parceiro, ele pode precisar atualizar seus registros DNS para habilitar a federação com você. Use as etapas a seguir para determinar se são necessárias atualizações de DNS.
Observação
Não damos mais suporte a uma lista de permitidos de IdPs para novas federações IdP SAML/WS-Fed.
Verifique a URL de autenticação passiva do IdP do parceiro para conferir se o domínio corresponde ao domínio de destino ou a um host dentro do domínio de destino. Em outras palavras, ao configurar a federação para
fabrikam.com:- Se a ponto de extremidade de autenticação passiva for
https://fabrikam.comouhttps://sts.fabrikam.com/adfs(um host no mesmo domínio), nenhuma alteração de DNS será necessária. - Se o ponto de extremidade de autenticação passiva for
https://fabrikamconglomerate.com/adfsouhttps://fabrikam.com.uk/adfs, o domínio não corresponde ao domínio fabrikam.com, portanto, o parceiro precisa adicionar um registro de texto para a URL de autenticação à sua configuração DNS.
- Se a ponto de extremidade de autenticação passiva for
Se forem necessárias alterações de DNS com base na etapa anterior, peça ao parceiro para adicionar um registro TXT aos registros DNS do domínio do parceiro, como no exemplo a seguir:
fabrikam.com. IN TXT DirectFedAuthUrl=https://fabrikamconglomerate.com/adfs
Etapa 2: configurar o provedor de identidade da organização parceira
Em seguida, a organização parceira precisa configurar o respectivo provedor de identidade com as declarações e relações de confiança da terceira parte confiável necessárias.
Observação
Para ilustrar como configurar um IdP do SAML/WS-Fed para uma federação, usaremos os Serviços de Federação do Active Directory (AD FS) como exemplo. Confira o artigo Configurar a federação do IdP do SAML/WS-Fed com o AD FS, que fornece exemplos de como configurar o AD FS como um provedor de identidade SAML 2.0 ou WS-Fed em preparação para a federação.
Configuração do SAML 2.0
O Microsoft Entra B2B pode ser configurado para federar com IdPs que usam o protocolo SAML com os requisitos específicos listados nesta seção. Para obter mais informações sobre como configurar uma relação de confiança entre seu IdP SAML e o Microsoft Entra ID, consulte Usar um IdP (provedor de identidade) SAML 2.0 para SSO.
Observação
Você pode configurar a federação do IdP SAML/WS-Fed com outros domínios verificados do Microsoft Entra ID. Confira a seção Perguntas frequentes para obter detalhes.
Atributos e declarações SAML 2.0 necessários
As tabelas a seguir mostram os requisitos para declarações e atributos específicos que devem ser configurados no provedor de identidade de terceiros. Para configurar a federação, os atributos a seguir precisam ser recebidos na resposta SAML 2.0 do IdP. Esses atributos podem ser configurados vinculando ao arquivo XML do serviço de token de segurança online ou inserindo-os manualmente.
Observação
Certifique-se de que o valor corresponda à nuvem para a qual você está configurando a federação externa.
Atributos necessários para a resposta SAML 2.0 do IdP:
| Atributo | Valor |
|---|---|
| AssertionConsumerService | https://login.microsoftonline.com/login.srf |
| Público | https://login.microsoftonline.com/<tenant ID>/ (Recomendável) Substitua <tenant ID> pela ID de locatário do locatário do Microsoft Entra com o qual você está configurando a federação.Na solicitação SAML enviada pelo Microsoft Entra ID para federações externas, a URL do Emissor é um ponto de extremidade locatário (por exemplo, https://login.microsoftonline.com/<tenant ID>/). Para novas federações, recomendamos que todos os nossos parceiros definam a audiência do IdP baseado em SAML ou WS-Fed como um ponto de extremidade locatário. As federações existentes configuradas com o ponto de extremidade global (por exemplo, urn:federation:MicrosoftOnline) continuarão funcionando, mas as novas federações deixarão de funcionar se o IdP externo estiver esperando uma URL do emissor global na solicitação SAML enviada pelo Microsoft Entra ID. |
| Emissor | O URI do emissor do IdP do parceiro, por exemplo, http://www.example.com/exk10l6w90DHM0yi... |
Declarações necessárias para o token SAML 2.0 emitido pelo IdP:
| Nome do atributo | Valor |
|---|---|
| Formato NameID | urn:oasis:names:tc:SAML:2.0:nameid-format:persistent |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
emailaddress |
Configuração de WS-Fed
O Microsoft Entra B2B pode ser configurado para federar com IdPs que usam o protocolo WS-Fed. Esta seção discute os requisitos. Atualmente, os dois provedores WS-Fed que foram testados quanto à compatibilidade com o Microsoft Entra ID incluem o AD FS e o Shibboleth. Para obter mais informações sobre como estabelecer um objeto de confiança de terceira parte confiável entre o Microsoft Entra ID e um provedor em conformidade com o WS-Fed, confira o "Documento de integração do STS usando protocolos WS", disponível nos Documentos de compatibilidade do provedor de identidade do Microsoft Entra.
Observação
Você pode configurar a federação do IdP SAML/WS-Fed com outros domínios verificados do Microsoft Entra ID. Confira a seção Perguntas frequentes para obter detalhes.
Atributos e declarações WS-Fed necessários
As tabelas a seguir mostram os requisitos para declarações e atributos específicos que devem ser configurados no provedor de identidade WS-FED de terceiros. Para configurar a federação, os atributos a seguir precisam ser recebidos na mensagem WS-Fed do IdP. Esses atributos podem ser configurados vinculando ao arquivo XML do serviço de token de segurança online ou inserindo-os manualmente.
Observação
Certifique-se de que o valor corresponda à nuvem para a qual você está configurando a federação externa.
Atributos necessários na mensagem WS-Fed do IdP:
| Atributo | Valor |
|---|---|
| PassiveRequestorEndpoint | https://login.microsoftonline.com/login.srf |
| Público | https://login.microsoftonline.com/<tenant ID>/ (Recomendável) Substitua <tenant ID> pela ID de locatário do locatário do Microsoft Entra com o qual você está configurando a federação.Na solicitação SAML enviada pelo Microsoft Entra ID para federações externas, a URL do Emissor é um ponto de extremidade locatário (por exemplo, https://login.microsoftonline.com/<tenant ID>/). Para novas federações, recomendamos que todos os nossos parceiros definam a audiência do IdP baseado em SAML ou WS-Fed como um ponto de extremidade locatário. As federações existentes configuradas com o ponto de extremidade global (por exemplo, urn:federation:MicrosoftOnline) continuarão funcionando, mas as novas federações deixarão de funcionar se o IdP externo estiver esperando uma URL do emissor global na solicitação SAML enviada pelo Microsoft Entra ID. |
| Emissor | O URI do emissor do IdP do parceiro, por exemplo, http://www.example.com/exk10l6w90DHM0yi... |
Declarações necessárias para o token WS-Fed emitido pelo IdP:
| Atributo | Valor |
|---|---|
| ImmutableID | http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID |
| emailaddress | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Etapa 3: configurar a federação do IdP do SAML/WS-Fed no Microsoft Entra ID
Em seguida, configure a federação com o IdP configurado na etapa 1 no Microsoft Entra ID. Use o centro de administração do Microsoft Entra ou a API do Microsoft Graph. Pode levar de 5 a 10 minutos para a política de federação entrar em vigor. Durante esse tempo, não tente resgatar um convite para o domínio da federação. Os atributos a seguir são obrigatórios:
- URI do emissor do IdP do parceiro
- Ponto de extremidade de autenticação passiva do parceiro IdP (apenas https é compatível)
- Certificado
Para configurar a federação no centro de administração do Microsoft Entra
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Faça login no centro de administração do Microsoft Entra como, pelo menos, um administrador de Provedor de Identidade Externo.
Navegue até Identidade>Identidades Externas>Todos os provedores de identidade.
Selecione a guia Personalizado e selecione Adicionar novo>SAML/WS-Fed.
Na página Novo IdP de SAML/WS-Fed, insira o seguinte:
- Nome de exibição – insira um nome para identificar o IdP do parceiro.
- Protocolo do provedor de identidade – selecione SAML ou WS-Fed.
- Nome de domínio do IdP da federação – insira o nome de domínio de destino do IdP do parceiro para federação. Durante essa configuração inicial, insira apenas um nome de domínio. Você pode adicionar mais domínios posteriormente.
Selecione um método para preencher os metadados. Se você tiver um arquivo que contenha os metadados, poderá preencher automaticamente os campos selecionando Arquivo de metadados de análise e procurar pelo arquivo. Ou você pode selecionar Inserir os metadados manualmente e inserir as seguintes informações:
- O URI do Emissor do IdP SAML do parceiro ou a ID da Entidade do IdP WS-Fed do parceiro.
- O Ponto de extremidade de autenticação passiva do IdP SAML do parceiro ou o Ponto de extremidade do solicitante passivo do IdP WS-Fed do parceiro.
- Certificado – A ID do certificado de autenticação.
- URL de metadados – o local dos metadados do IdP para a renovação automática do certificado de assinatura.
Observação
A URL de metadados é opcional, no entanto, é altamente recomendável. Se você fornecer a URL de metadados, o Microsoft Entra ID poderá renovar automaticamente o certificado de autenticação quando ele expirar. Se a rotação do certificado for realizada por qualquer motivo antes da hora de expiração ou se você não fornecer uma URL de metadados, o Microsoft Entra ID não poderá renová-lo. Nesse caso, você precisará atualizar o certificado de autenticação manualmente.
Clique em Salvar. O provedor de identidade é adicionado à lista de Provedores de identidade de SAML/WS-Fed.
(Opcional) Para adicionar mais nomes de domínio ao provedor de identidade federada, faça o seguinte:
Selecione o link na coluna Domínios.
Ao lado de Nome de domínio do IdP de federação, digite o nome do domínio e clique em Adicionar. Repita a etapa para cada domínio que você deseja adicionar. Quando tiver terminado, selecione Concluído.
Para configurar a federação usando a API do Microsoft Graph
Você pode usar o tipo de recurso samlOrWsFedExternalDomainFederation da API do Microsoft Graph para configurar a federação com um provedor de identidade que dá suporte ao protocolo SAML ou WS-Fed.
Etapa 4: Configurar a ordem de resgate para domínios verificados do Microsoft Entra ID
Se o domínio for verificado pelo Microsoft Entra ID, defina as configurações de Ordem de resgate nas configurações de acesso entre locatários para colaboração B2B de entrada. Mova os provedores de identidade SAML/WS-Fed para a parte superior da lista de Provedores de identidade primários para priorizar o resgate com o IdP federado.
Observação
As configurações do centro de administração do Microsoft Entra para o recurso de resgate configurável estão sendo distribuídas para os clientes no momento. Até que as configurações estejam disponíveis no centro de administração, você poderá configurar a ordem de resgate de convite usando a API REST do Microsoft Graph (versão beta). Consulte Exemplo 2: Atualizar a configuração de resgate de convite padrão na documentação de referência do Microsoft Graph.
Etapa 5: Testar a federação do IdP SAML/WS-Fed no Microsoft Entra ID
Agora, teste a configuração da federação convidando um novo usuário B2B. Para ver mais detalhes, confira Adicionar usuários de colaboração do Microsoft Entra B2B no centro de administração do Microsoft Entra.
Como atualizar os detalhes do certificado ou da configuração?
Na página Todos os provedores de identidade, você pode exibir a lista de provedores de identidade SAML/WS-Fed que você configurou e as respectivas datas de validade de certificado. Nessa lista, você pode renovar certificados e modificar outros detalhes de configuração.
Faça login no centro de administração do Microsoft Entra como, pelo menos, um administrador de Provedor de Identidade Externo.
Navegue até Identidade>Identidades Externas>Todos os provedores de identidade.
Selecione a guia Personalizado.
Role até um provedor de identidade na lista ou use a caixa de pesquisa.
Como atualizar os detalhes do certificado ou modificar os detalhes da configuração:
- Na coluna Configuração do provedor de identidade, selecione o link Editar.
- Na página de configuração, modifique qualquer um dos seguintes detalhes:
- Nome de exibição – nome de exibição da organização do parceiro.
- Protocolo do provedor de identidade – selecione SAML ou WS-Fed.
- Ponto de extremidade de autenticação passiva – o ponto de extremidade passivo do solicitante do IdP do parceiro.
- Certificado – A ID do certificado de autenticação. Para renová-la, insira uma nova ID de certificado.
- URL de metadados – a URL que contém os metadados do parceiro, usada para a renovação automática do certificado de autenticação.
- Selecione Salvar.
Para editar os domínios associados ao parceiro, selecione o link na coluna Domínios. No painel de detalhes do domínio, faça o seguinte:
- Para adicionar um domínio, digite o nome dele ao lado de Nome de domínio do IdP federado e clique em Adicionar. Repita a etapa para cada domínio que você deseja adicionar.
- Para excluir um domínio, selecione o ícone de exclusão ao lado dele.
- Quando tiver terminado, selecione Concluído.
Observação
Para remover a federação com o parceiro, exclua todos os domínios, exceto um, e siga as etapas na próxima seção.
Como fazer para remover uma federação?
É possível remover a configuração de federação. Se você fizer isso, os usuários convidados da federação que já resgataram seus convites não poderão mais entrar. Mas você pode dar a eles acesso aos seus recursos novamente redefinindo seu status de resgate. Para remover uma configuração de um IdP no centro de administração do Microsoft Entra:
Faça login no centro de administração do Microsoft Entra como, pelo menos, um administrador de Provedor de Identidade Externo.
Navegue até Identidade>Identidades Externas>Todos os provedores de identidade.
Selecione a guia Personalizado e role até o provedor de identidade na lista ou use a caixa de pesquisa.
Selecione o link na coluna Domínios para exibir os detalhes do domínio do IdP.
Exclua todos os domínios, exceto um, na lista de Nome de domínio.
Selecione Excluir configuração e, em seguida, Concluído.
Clique em OK para confirmar a exclusão.
Você também pode remover a federação usando o tipo de recurso samlOrWsFedExternalDomainFederation da API do Microsoft Graph.
Próximas etapas
Saiba mais sobre a experiência de resgate de convite quando usuários externos entram com vários provedores de identidade.