Convidar usuários internos para Colaboração B2B

  • Artigo

Antes da disponibilidade da colaboração B2B do Microsoft Entra, as organizações podiam colaborar com distribuidores, fornecedores, vendedores e outros usuários convidados, configurando credenciais internas para eles. Se você tiver usuários convidados internos como esses, poderá convidá-los para usar a Colaboração B2B. Estes usuários convidados B2B poderão entrar usando suas próprias identidades e credenciais, eliminando a necessidade de manutenção de senhas ou gerenciamento do ciclo de vida da conta.

O envio de um convite para uma conta interna existente permite reter a ID de objeto, o UPN, as associações de grupo e as atribuições de aplicativo desse usuário. Você não precisa excluir e convidar o usuário novamente nem transferir recursos de maneira manual. Para convidar o usuário, use a API de convite para passar o objeto de usuário interno e o endereço de email do usuário convidado junto com o convite. Quando o usuário aceita o convite, o serviço B2B altera o objeto de usuário interno existente para um usuário B2B. No futuro, o usuário precisa entrar nos serviços de recursos de nuvem usando as credenciais B2B dele.

Itens a serem considerados

  • Acesso a recursos locais: depois que o usuário é convidado para Colaboração B2B, ele ainda pode usar as credenciais internas dele para acessar recursos locais. Você pode impedir isso redefinindo ou alterando a senha na conta interna. A exceção é enviar um email de autenticação de senha de uso único; se o método de autenticação do usuário for alterado para senha de uso único, ele não poderá mais usar as credenciais internas dele.

  • Faturamento: esse recurso não altera o UserType do usuário, portanto, não muda automaticamente o modelo de cobrança do usuário para ID externo de usuário ativo mensal (MAU). Para ativar o preço de MAU do usuário, altere o UserType dele para guest. Observe também que seu locatário do Microsoft Entra deve estar vinculado a uma assinatura do Azure para ativar a cobrança do MAU.

  • Convite unidirecional: você pode convidar usuários internos para usar a Colaboração B2B, mas não pode remover as credenciais B2B depois que elas são adicionadas. Para alterar o usuário de volta para um usuário somente interno, você precisará excluir o objeto de usuário e criar um.

  • Teams: quando o usuário acessa o Teams usando as credenciais externas dele, o locatário dele não estará disponível inicialmente no seletor de locatários do Teams. O usuário pode acessar o Teams usando uma URL que contém o contexto do locatário, por exemplo: https://teams.microsoft.com/?tenantId=<TenantId>. Depois disso, o locatário ficará disponível no seletor de locatários do Teams.

  • Usuários sincronizados no local: para contas de usuário sincronizadas entre o local e a nuvem, o diretório local permanece a fonte de autoridade depois que eles são convidados a usar a Colaboração B2B. As alterações feitas na conta local serão sincronizadas com a conta de nuvem, incluindo a desabilitação ou a exclusão da conta. Portanto, você não pode impedir que o usuário entre na conta local dele enquanto mantém a conta de nuvem dele simplesmente excluindo a conta local. Em vez disso, você pode definir a senha da conta local como um GUID aleatório ou outro valor desconhecido.

Observação

No Microsoft Entra Connect Sync, existe uma regra padrão que grava o atributo onPremisesUserPrincipalName no objeto do usuário. Como a presença desse atributo pode impedir que um usuário entre usando credenciais externas, bloqueamos conversões internas para externas para objetos de usuários com esse atributo. Se estiver usando o Microsoft Entra Connect e deseja poder convidar usuários internos para a colaboração B2B, será necessário modificar a regra padrão para que o atributo onPremisesUserPrincipalName não seja gravado no objeto do usuário.

Como convidar usuários internos para Colaboração B2B

Você pode usar o centro de administração do Microsoft Entra, o PowerShell ou a API de convite para enviar um convite B2B ao usuário interno. Algumas coisas a serem observadas:

  • Antes de convidar o usuário, verifique se a propriedade User.Mail do objeto de usuário interno (a propriedade Email do usuário no centro de administração do Microsoft Entra) está definida como o endereço de email externo que será usado para colaboração B2B. Se o usuário interno tem uma caixa de correio existente, você não poderá alterar esta propriedade para um endereço de email externo. Você deve atualizar seus atributos no Centro de administração do Exchange.

  • Quando você convida o usuário, um convite é enviado ao usuário por email. Se você estiver usando o PowerShell ou a API de convite, poderá suprimir esse email definindo SendInvitationMessage como False. Em seguida, você poderá notificar o usuário de outra maneira. Saiba mais sobre a API de convite.

  • Quando o usuário resgatar o convite, a conta que ele está usando deverá corresponder ao domínio na propriedade User.Mail. Caso contrário, alguns serviços, como o Teams, não poderão autenticar o usuário.

Usar o centro de administração do Microsoft Entra para enviar um convite B2B

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador Provedor de identidade externa.

  2. Navegue até Identidade>Usuários>Todos os usuários.

  3. Localize o usuário na lista ou use a caixa de pesquisa. Em seguida, selecione o usuário.

  4. Na guia Visão geral, em Meu Feed, selecione Converter em usuário externo.

    Captura de tela da guia Visão geral do perfil do usuário com cartão de colaboração B2B.

    Observação

    Se estiver no cartão “Reenvie o convite deste usuário B2B ou redefina o status de resgate”. o usuário já foi convidado a usar credenciais externas para colaboração B2B.

  5. Adicione um endereço de email externo e selecione Enviar.

    Captura de tela mostrando a página de conversão em usuário externo.

    Observação

    Se a opção não estiver disponível, verifique se a propriedade Email do usuário está definida para o endereço de email externo que deverá ser usado para colaboração B2B.

  6. Uma mensagem de confirmação é exibida e um convite é enviado ao usuário por email. Em seguida, o usuário poderá resgatar o convite usando suas credenciais externas.

Usar o PowerShell para enviar um convite B2B

Você precisará do módulo do Microsoft Graph PowerShell mais recente. Use o seguinte comando para atualizar para o módulo mais recente módulo e convidar o usuário interno para a Colaboração B2B:

Update-Module Microsoft.Graph
Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee' 
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapplications.microsoft.com" -InvitedUser $msGraphUser

Usar a API de convite para enviar um convite B2B

O exemplo a seguir ilustra como chamar a API de convite para convidar um usuário interno como um usuário B2B.

POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
ContentType: application/json
{
    "invitedUserEmailAddress": "<<external email>>",
    "sendInvitationMessage": true,
    "invitedUserMessageInfo": {
        "messageLanguage": "en-US",
        "ccRecipients": [
            {
                "emailAddress": {
                    "name": null,
                    "address": "<<optional additional notification email>>"
                }
            }
        ],
        "customizedMessageBody": "<<custom message>>"
    },
    "inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=",
    "invitedUser": {
        "id": "<<ID for the user you want to convert>>"
    }
}

A resposta à API é a mesma resposta que você obtém ao convidar um novo usuário para o diretório.

Próximas etapas