Conceda a contas de parceiros gerenciadas localmente acesso a recursos de nuvem usando a colaboração B2B do Microsoft Entra
Aplica-se a: Locatários da força de trabalho Locatários externos (saiba mais)
Antes do Microsoft Entra ID, as organizações com sistemas de identidade locais tradicionalmente gerenciavam contas de parceiros em seu diretório local. Em tal organização, quando você começa a mover aplicativos para o Microsoft Entra ID, você quer ter certeza de que seus parceiros podem acessar os recursos de que precisam. Não importa se os recursos estão no local ou na nuvem. Além disso, você deseja que os usuários parceiros possam usar as mesmas credenciais de entrada para recursos locais e do Microsoft Entra.
Se você criar contas para seus parceiros externos em seu diretório local (por exemplo, você cria uma conta com um nome de entrada de "msullivan" para um usuário externo chamado Maria Sullivan em seu domínio partners.contoso.com), agora você pode sincronizar essas contas com a nuvem. Especificamente, você pode usar o Microsoft Entra Connect para sincronizar as contas de parceiros com a nuvem, o que cria uma conta de usuário com UserType = Guest. Essa configuração permite que os usuários parceiros acessem recursos de nuvem usando as mesmas credenciais de suas contas locais, sem dar a eles mais acesso do que precisam. Para obter mais informações sobre como converter contas de convidado locais, consulte Converter contas de convidado locais em contas de convidado B2B do Microsoft Entra.
Observação
Veja também como convidar usuários internos para a colaboração B2B. Com esse recurso, você pode convidar usuários convidados internos para usar a colaboração B2B, independentemente de você ter sincronizado suas contas do diretório local para a nuvem. Assim que o usuário aceitar o convite para usar a colaboração B2B, ele poderá usar suas próprias identidades e credenciais para entrar nos recursos que você deseja que ele acesse. Você não precisará manter senhas ou gerenciar ciclos de vida da conta.
Identificar atributos exclusivos para UserType
Antes de habilitar a sincronização do atributo UserType, você deve primeiro decidir como derivar o atributo UserType do Ative Directory local. Em outras palavras, quais parâmetros em seu ambiente local são exclusivos para seus colaboradores externos? Determine um parâmetro que distinga esses colaboradores externos dos membros da sua própria organização.
As duas abordagens comuns para definir o parâmetro são:
- Designe um atributo do Ative Directory local não utilizado (por exemplo, extensionAttribute1) para usar como atributo de origem.
- Como alternativa, derive o valor para o atributo UserType de outras propriedades. Por exemplo, você deseja sincronizar todos os usuários como Convidado se o atributo UserPrincipalName do Ative Directory local terminar com o domínio @partners.contoso.com.
Para obter requisitos de atributos detalhados, consulte Habilitar a sincronização de UserType.
Configurar o Microsoft Entra Connect para sincronizar usuários com a nuvem
Depois de identificar o atributo exclusivo, você pode configurar o Microsoft Entra Connect para sincronizar esses usuários com a nuvem, o que cria uma conta de usuário com UserType = Guest. Do ponto de vista da autorização, esses usuários são indistinguíveis dos usuários B2B criados através do processo de convite de colaboração B2B do Microsoft Entra.
Para obter instruções de implementação, consulte Habilitar a sincronização de UserType.