Aplica-se a: Locatários da força de trabalho Locatários externos (saiba mais)
Essas perguntas frequentes sobre a colaboração B2B (entre empresas) do Microsoft Entra são atualizadas periodicamente para incluir novos tópicos.
Importante
- A partir de 4 de janeiro de 2021, o Google preteriu o suporte de entrada do WebView. Se você estiver usando a federação do Google ou a inscrição de autoatendimento com o Gmail, teste seus aplicativos nativos de linha de negócios em relação à compatibilidade.
- O recurso de senha de uso único por email agora fica ativado por padrão em todos os novos locatários e nos locatários existentes em que você não o desativou explicitamente. Quando esse recurso está desativado, o método de autenticação de fallback é solicitar que os convidados criem uma conta Microsoft.
Podemos personalizar nossa página de login para que seja mais intuitiva para nossos usuários convidados de colaboração B2B?
Para obter mais informações sobre como personalizar a página de entrada de sua organização, consulte Adicionar a identidade visual da empresa às páginas de entrada e do Painel de Acesso.
Sim. Entretanto, a capacidade de pesquisar usuários convidados existentes no SharePoint Online com o seletor de pessoas está Desativada por padrão. Para ativar a opção de pesquisa de usuários convidados existentes, defina ShowPeoplePickerSuggestionsForGuestUsers como Ativado. Ative essa configuração no nível do locatário ou no nível de conjunto de sites. Altere essa configuração usando os cmdlets Set-SPOTenant e Set-SPOSite. Com esses cmdlets, os membros podem pesquisar todos os usuários convidados existentes no diretório. Alterações no escopo do inquilino não afetam os sites do SharePoint Online que já foram provisionados.
Sim, você pode distribuir o conteúdo do Power BI para usuários convidados externos usando a colaboração B2B. Para compartilhar conteúdo do Power BI entre nuvens da Microsoft, você pode usar as configurações de nuvem da Microsoft para estabelecer a colaboração B2B mútua entre sua nuvem e uma nuvem externa.
Sim. Para obter mais informações sobre como usar o recurso de upload de arquivo .csv, consulte esta amostra do PowerShell.
É possível personalizar quase tudo no processo do emissor do convite usando as APIs de convite B2B.
Sim. Usuários convidados podem redefinir seu método de autenticação multifator da mesma forma que usuários comuns.
A organização emissora do convite realiza a autenticação multifator. Ela precisa garantir que tenha licenças suficientes para seus usuários B2B que estão usando a autenticação multifator.
E se uma organização parceira já tiver a autenticação multifator configurada? Podemos confiar na autenticação multifator?
As configurações de acesso entre locatários permitem confiar na autenticação multifator e nas declarações do dispositivo (declarações em conformidade e declarações ingressadas no Microsoft Entra híbrido) de outras organizações do Microsoft Entra.
As configurações de acesso entre locatários são uma política no diretório que armazena suas configurações de como você colabora com outras organizações. Não há limites para o número de organizações que você pode adicionar nas configurações de acesso entre locatários.
Talvez uma organização queira adicionar usuários de colaboração B2B, provisioná-los aos aplicativos conforme necessário e, em seguida, enviar convites. Use a API de convite de colaboração B2B para personalizar o fluxo de trabalho de integração.
Sim. Por padrão, os objetos convidados não estão visíveis na lista de endereços global da sua organização, mas você pode torná-los visíveis. Para obter detalhes, confira Adicionar convidados à lista de endereços global no artigo de acesso de convidado por grupo do Microsoft 365.
Com certeza. Para obter mais informações, consulte Adicionando usuários convidados a uma função.
A colaboração B2B do Microsoft Entra permite que os usuários B2B tenham acesso ao centro de administração do Microsoft Entra?
A menos que seja atribuído a um usuário a função de administrador limitado, os usuários de colaboração B2B não precisarão de acesso ao centro de administração do Microsoft Entra. No entanto, os usuários de colaboração B2B que são atribuídos à função de administrador limitado podem acessar o portal. Além disso, se um usuário convidado que não tenha uma dessas funções administrativas acessa o portal, o usuário poderá acessar determinadas partes da experiência. A função de usuário convidado tem algumas permissões no diretório.
Sim, você pode criar uma política de acesso condicional que bloqueia o acesso do usuário convidado ao centro de administração ou ao portal. Ao configurar a política de acesso condicional, você tem controle granular sobre os tipos de usuários externos aos quais deseja aplicar a política. Ao configurar essa política, tenha cuidado para evitar o bloqueio acidental do acesso a membros e administradores. Saiba mais sobre o acesso condicional para usuários externos.
A colaboração B2B do Microsoft Entra dá suporte à autenticação multifator e a contas de email do consumidor?
Sim. Há suporte para a autenticação multifator e para contas de email do consumidor na colaboração B2B do Microsoft Entra.
Se o seu locatário do Microsoft Entra for o diretório inicial de um usuário, você poderá redefinir a senha do usuário no centro de administração do Microsoft Entra. Mas você não pode redefinir diretamente uma senha para um usuário convidado que faz login com uma conta gerenciada por outro diretório do Microsoft Entra ou por um provedor de identidade externo. Somente o usuário convidado ou um administrador no diretório inicial do usuário pode redefinir a senha. Aqui estão alguns exemplos de como a redefinição de senha funciona para usuários convidados:
Os usuários convidados em um locatário do Microsoft Entra marcados como "Guest" (UserType==Guest) não podem se registrar na SSPR por meio de https://aka.ms/ssprsetup. Esses tipos de usuário convidado só podem executar a SSPR via https://aka.ms/sspr.
Os usuários convidados que entrarem com uma conta da Microsoft (por exemplo, guestuser@live.com) podem redefinir suas próprias senhas usando a redefinição de senha de autoatendimento da conta da Microsoft (SSPR). Veja Como redefinir a senha da sua conta da Microsoft.
Os usuários convidados que se conectam com uma conta do Google ou outro provedor de identidade externo podem redefinir as respectivas senhas usando o método da SSPR do provedor de identidade. Por exemplo, um usuário convidado com a Conta do Google guestuser@gmail.com pode redefinir sua senha seguindo as instruções em Alterar ou redefinir sua senha.
Se o inquilino de identidade for um inquilino Just-in-time (JIT) ou "viral" (ou seja, um inquilino separado do Azure não gerenciado), somente o usuário convidado poderá redefinir sua senha. Às vezes, uma organização assumirá o gerenciamento de locatários virais que são criados quando os funcionários usam seus emails de trabalho para se inscrever em serviços. Depois que a organização assumir um locatário viral, somente um administrador da organização poderá redefinir a senha do usuário ou habilitar a SSPR. Se necessário, como a organização de convite, você pode remover a conta de usuário convidado do diretório e reenviar um convite.
Se o diretório inicial do usuário convidado for o seu locatário do Microsoft Entra, você poderá redefinir a senha do usuário. Por exemplo, você pode ter criado um usuário ou sincronizado um usuário em seu Active Directory local e definir seu UserType como Convidado. Como esse usuário está hospedado em seu diretório, você pode redefinir sua senha no centro de administração do Microsoft Entra.
Sim, o Dynamics 365 (online) dá suporte à colaboração B2B do Microsoft Entra. Para saber mais, veja o artigo Convidar usuários com colaboração B2B do Microsoft Entra do Dynamics 365.
O Microsoft Entra ID tem um conjunto fixo de requisitos de caracteres, de força da senha e bloqueio de conta que é aplicado igualmente a todas as contas de usuário de nuvem do Microsoft Entra. As contas de usuário da nuvem são contas que não são federadas com outro provedor de identidade, como
- Conta da Microsoft
- Serviços de Federação do Active Directory
- Outro locatário de nuvem (para colaboração B2B)
Para contas federadas, a política de senha depende da política aplicada à locação local e às configurações de conta da Microsoft do usuário.
Uma organização pode desejar ter experiências diferentes em seus aplicativos para usuários locatários e convidados. Existem diretrizes padrão para isso? A presença da declaração do provedor de identidade é o modelo correto a ser usado?
Um usuário convidado pode usar qualquer provedor de identidade para autenticação. Para obter mais informações, consulte Propriedades de um usuário de colaboração B2B. Use a propriedade UserType para determinar a experiência do usuário. A reivindicação UserType não está incluída no token no momento. Os aplicativos devem usar a API do Microsoft Graph para consultar o diretório para o usuário e para obter o UserType.
Estamos constantemente ouvindo seus comentários para melhorar a colaboração B2B. Compartilhe seus cenários de usuário, práticas recomendadas e o que você gosta sobre a colaboração B2B do Microsoft Entra. Participe da discussão na Comunidade de Tecnologia da Microsoft.
Também convidamos você a enviar ideias e votar em recursos futuros em Ideias para a Colaboração B2B.
Podemos enviar um convite resgatado automaticamente, de forma que o usuário simplesmente esteja “pronto para começar”? Ou o usuário sempre deve clicar na URL de resgate?
Você pode convidar outros usuários na organização parceira usando a interface do usuário, os scripts do PowerShell ou as APIs. Você pode então enviar ao usuário convidado um link direto para um aplicativo compartilhado. Na maioria dos casos, não há mais necessidade de abrir o convite por email e clicar em uma URL de resgate. Consulte Resgate do convite de colaboração do Microsoft Entra B2B.
Como funciona a colaboração B2B quando o parceiro convidado estiver utilizando federação para adicionar sua própria autenticação local?
Se o parceiro tiver um locatário do Microsoft Entra que está federado à infraestrutura de autenticação local, o SSO (logon único) local será feito automaticamente. Se o parceiro não tiver um locatário do Microsoft Entra, uma conta do Microsoft Entra será criada para novos usuários.
Uma conta local do Azure AD B2C pode ser convidada para um locatário do Microsoft Entra para colaboração B2B?
Não. Uma conta local do Azure AD B2C pode ser usada apenas para entrar no locatário do Azure AD B2C. A conta não pode ser usada para entrar em um locatário do Microsoft Entra. Não há suporte para convidar uma conta local do Azure AD B2C para um locatário do Microsoft Entra para colaboração B2B.
Todos os aplicativos integrados ao Microsoft Entra podem oferecer suporte aos usuários convidados do Azure B2B, mas eles devem usar um ponto de extremidade configurado como um locatário para autenticar os usuários convidados. Talvez você também precise personalizar as declarações no token SAML que é emitido quando um usuário convidado se autentica no aplicativo.
Podemos forçar a autenticação multifator para usuários convidados B2B se os parceiros não têm autenticação multifator?
Sim. Para mais informações, consulte Acesso Condicional para usuários de colaboração B2B.
No SharePoint, é possível definir uma lista de “permissões” ou “negações” para usuários externos. Podemos fazer isso no Azure?
Sim. A colaboração B2B do Microsoft Entra dá suporte a listas de permitidos e bloqueados.
Para mais informações sobre quais licenças a sua organização precisa para usar o Microsoft Entra B2B, consulte Preços de IDs Externas.
Depende. Por padrão, o Microsoft Entra só permite UPN para ID de logon. Quando UPN e email são iguais, os convites e as entradas do Microsoft Entra B2B subsequentes funcionam conforme o esperado. No entanto, problemas podem surgir quando o email de um usuário e o UPN não coincidem e o email é usado, em vez do UPN, para entrar. Quando um usuário é convidado com um email não UPN, ele poderá resgatar o convite se resgatar usando o link de convite por email, mas os resgates por meio de um link direto falharão. No entanto, mesmo se o usuário resgatar o convite com êxito, as tentativas de entrada subsequentes usando o email não UPN falharão, a menos que o provedor de identidade (Microsoft Entra ID ou um provedor de identidade federado) esteja configurado para permitir o email como uma ID de logon alternativa. Esse problema pode ser reduzido:
- Habilitar o email como uma ID de logon alternativa no locatário convidado/principal do Microsoft Entra
- Habilitar o provedor de identidade federado para dar suporte ao email como ID de logon (se o Microsoft Entra ID for federado em outro provedor de identidade) ou
- Instruir o usuário a resgatar/entrar usando o próprio UPN.
Para evitar esse problema inteiramente, os administradores devem garantir que o UPN e o email dos usuários tenham o mesmo valor.
Observação
Os convites e os resgates enviados entre nuvens da Microsoft precisam usar o UPN. Não há suporte para email no momento. Por exemplo, se o usuário de um locatário do US Government for convidado para um locatário comercial, ele precisará ser convidado usando o UPN.
Nos fluxos de colaboração B2B, adicionamos usuários ao diretório e os atualizamos dinamicamente durante o processo de resgate dos convites, atribuição de aplicativos, e assim por diante. As atualizações e as gravações em geral ocorrem em uma instância do diretório e devem ser replicadas em todas as instâncias. A replicação estará concluída quando todas as instâncias estiverem atualizadas. Às vezes, quando o objeto é gravado ou atualizado em uma instância e a chamada para recuperar esse objeto for para outra instância, poderão ocorrer latências de replicação. Se isso acontecer, atualize ou tente novamente. Se você estiver gravando um aplicativo utilizando nossa API, então, tentativas com algumas retiradas é uma boa prática defensiva para aliviar esse problema.