Configurar as definições de colaboração externa

As configurações de colaboração externa permitem especificar quais funções em sua organização podem convidar usuários externos para colaboração B2B. Essas configurações também incluem opções para permitir ou bloquear domínios específicos e opções para restringir o que os usuários convidados externos podem ver no diretório do Microsoft Entra. Também estão disponíveis as seguintes opções:

• Determinar o acesso do usuário convidado: a ID Externa do Microsoft Entra permite restringir o que os usuários convidados externos podem ver no diretório do Microsoft Entra. Por exemplo, você pode limitar a visualização de membros de grupos por usuários convidados ou permitir que os convidados visualizem apenas suas próprias informações de perfil.

• Especifique quem pode convidar convidados: por padrão, todos os usuários em sua organização, incluindo usuários convidados de colaboração B2B, podem convidar usuários externos para colaboração B2B. Se quiser limitar a capacidade de enviar convites, pode ativar ou desativar convites para todos ou limitar os convites a determinadas funções.

• Habilitar a inscrição de autoatendimento de convidado por meio de fluxos de usuário: para aplicativos que você cria, você pode criar fluxos de usuário que permitem que um usuário se inscreva em um aplicativo e crie uma nova conta de convidado. Você pode habilitar o recurso em suas configurações de colaboração externa e, em seguida , adicionar um fluxo de usuário de inscrição de autoatendimento ao seu aplicativo.

• Permitir ou bloquear domínios: você pode usar restrições de colaboração para permitir ou negar convites para os domínios especificados. Para obter detalhes, consulte Permitir ou bloquear domínios.

Para colaboração B2B com outras organizações do Microsoft Entra, você também deve revisar suas configurações de acesso entre locatários para garantir sua colaboração B2B de entrada e saída e acesso ao escopo para usuários, grupos e aplicativos específicos.

Para usuários finais de colaboração B2B que executam logins entre locatários, a marca do locatário doméstico é exibida, mesmo que não haja uma marca personalizada especificada. No exemplo a seguir, a marca da empresa para Woodgrove Groceries aparece à esquerda. O exemplo à direita exibe a marca padrão para o locatário doméstico do usuário.

Definir definições no portal

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador do Provedor de Identidade Externo.

2. Navegue até Configurações de colaboração externa de identidades>>externas.

3. Em Acesso de usuário convidado, escolha o nível de acesso que você deseja que os usuários convidados tenham:

   

   • Os usuários convidados têm o mesmo acesso que os membros (mais inclusivos): essa opção oferece aos convidados o mesmo acesso aos recursos e dados de diretório do Microsoft Entra que os usuários membros.

   • Os usuários convidados têm acesso limitado a propriedades e associações de objetos de diretório: (Padrão) Essa configuração bloqueia os convidados de determinadas tarefas de diretório, como enumerar usuários, grupos ou outros recursos de diretório. Os hóspedes podem ver a associação de todos os grupos não ocultos. Saiba mais sobre as permissões de convidado padrão.

   • O acesso de usuário convidado é restrito a propriedades e associações de seus próprios objetos de diretório (mais restritivos): com essa configuração, os convidados podem acessar apenas seus próprios perfis. Os hóspedes não têm permissão para ver os perfis, grupos ou associações de grupos de outros usuários.

4. Em Configurações de convite de convidado, escolha as configurações apropriadas:

   

   • Qualquer pessoa na organização pode convidar usuários convidados, incluindo convidados e não administradores (mais inclusivos): para permitir que convidados na organização convidem outros convidados, incluindo usuários que não são membros de uma organização, selecione este botão de opção.
   • Os usuários membros e os usuários atribuídos a funções de administrador específicas podem convidar usuários convidados, incluindo convidados com permissões de membro: para permitir que usuários membros e usuários com funções de administrador específicas convidem convidados, selecione este botão de opção.
   • Somente os usuários atribuídos a funções de administrador específicas podem convidar usuários convidados: para permitir que apenas os usuários com funções de administrador convidem convidados, selecione este botão de opção. As funções de administrador incluem Administrador Global, Administrador de Usuário e Convidado Inviter.
   • Ninguém na organização pode convidar usuários convidados, incluindo administradores (mais restritivos): para impedir que todos na organização convidem convidados, selecione este botão de opção.

5. Em Habilitar inscrição de autoatendimento de convidado por meio de fluxos de usuário, selecione Sim se quiser criar fluxos de usuário que permitam que os usuários se inscrevam em aplicativos. Para obter mais informações sobre essa configuração, consulte Adicionar um fluxo de usuário de inscrição pessoal a um aplicativo.

   

6. Em Configurações de licença do usuário externo, você pode controlar se os usuários externos podem se remover da sua organização.

   • Sim: os usuários podem sair da própria organização sem a aprovação do seu administrador ou contato de privacidade.
   • Não: os usuários não podem sair da sua organização. Eles veem uma mensagem orientando-os a entrar em contato com seu administrador ou contato de privacidade para solicitar a remoção da sua organização.

   Importante

   Você pode definir as configurações de licença do usuário externo somente se tiver adicionado suas informações de privacidade ao locatário do Microsoft Entra. Caso contrário, essa configuração não estará disponível.

   

7. Em Restrições de colaboração, você pode escolher se deseja permitir ou negar convites para os domínios especificados e inserir nomes de domínio específicos nas caixas de texto. Para vários domínios, insira cada domínio em uma nova linha. Para obter mais informações, consulte Permitir ou bloquear convites para usuários B2B de organizações específicas.

   

Definir definições com o Microsoft Graph

As configurações de colaboração externa podem ser definidas usando a API do Microsoft Graph:

• Para restrições de acesso de usuário convidado e restrições de convite de convidado, use o tipo de recurso authorizationPolicy.
• Para a configuração Habilitar inscrição de autoatendimento de convidado por meio de fluxos de usuário, use o tipo de recurso authenticationFlowsPolicy .
• Para configurações de senha única de email (agora na página Todos os provedores de identidade no centro de administração do Microsoft Entra), use o tipo de recurso emailAuthenticationMethodConfiguration .

Atribuir a função Guest Inviter a um usuário

Com a função Guest Inviter, você pode dar a usuários individuais a capacidade de convidar convidados sem atribuir-lhes uma função de Administrador Global ou outra função de administrador. Os usuários com a função Convidado Convidado podem convidar convidados mesmo quando a opção Somente usuários atribuídos a funções de administrador específicas podem convidar usuários convidados está selecionada (em Configurações de convite de convidado).

Veja um exemplo que mostra como usar o Microsoft Graph PowerShell para adicionar um usuário à Guest Inviter função:

Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

Logs de login para usuários B2B

Quando um usuário B2B entra em um locatário de recurso para colaborar, um log de entrada é gerado no locatário doméstico e no locatário do recurso. Esses logs incluem informações como o aplicativo que está sendo usado, endereços de email, nome do locatário e ID do locatário para o locatário doméstico e o locatário do recurso.

Próximos passos

Consulte os seguintes artigos sobre a colaboração B2B do Microsoft Entra:

• O que é a colaboração B2B do Microsoft Entra?
• Adicionando um usuário de colaboração B2B a uma função