Compreender e gerir as propriedades dos utilizadores convidados B2B
Aplica-se a: Locatários da força de trabalho Locatários externos (saiba mais)
A colaboração B2B é um recurso do Microsoft Entra External ID que permite colaborar com usuários e parceiros fora da sua organização. Com a colaboração B2B, um usuário externo é convidado a entrar em sua organização do Microsoft Entra usando suas próprias credenciais. Esse usuário de colaboração B2B pode acessar os aplicativos e recursos que você deseja compartilhar com eles. Um objeto de usuário é criado para o usuário de colaboração B2B no mesmo diretório que seus funcionários. Os objetos de usuário de colaboração B2B têm privilégios limitados em seu diretório por padrão, e podem ser gerenciados como funcionários, adicionados a grupos e assim por diante. Este artigo discute as propriedades desse objeto de usuário e maneiras de gerenciá-lo.
A tabela a seguir descreve os usuários de colaboração B2B com base em como eles se autenticam (interna ou externamente) e seu relacionamento com sua organização (convidado ou membro).
- Convidado externo: a maioria dos usuários que são comumente considerados usuários externos ou convidados se enquadram nessa categoria. Esse usuário de colaboração B2B tem uma conta em uma organização externa do Microsoft Entra ou em um provedor de identidade externo (como uma identidade social) e tem permissões de nível de convidado na organização de recursos. O objeto de usuário criado no diretório de recurso Microsoft Entra tem um UserType de convidado.
- Membro externo: este usuário de colaboração B2B tem uma conta em uma organização externa do Microsoft Entra ou um provedor de identidade externo (como uma identidade social) e acesso em nível de membro aos recursos em sua organização. Esse cenário é comum em organizações que consistem em vários locatários, onde os usuários são considerados parte da organização maior e precisam de acesso em nível de membro aos recursos em outros locatários da organização. O objeto de usuário criado no diretório de recurso Microsoft Entra tem um UserType de Membro.
- Convidado interno: Antes da colaboração B2B do Microsoft Entra estar disponível, era comum colaborar com distribuidores, fornecedores, fornecedores e outros, configurando credenciais internas para eles e designando-os como convidados definindo o objeto de usuário UserType como Convidado. Se você tiver usuários convidados internos como esses, poderá convidá-los a usar a colaboração B2B para que possam usar suas próprias credenciais, permitindo que seu provedor de identidade externo gerencie a autenticação e o ciclo de vida da conta.
- Membro interno: esses usuários geralmente são considerados funcionários da sua organização. O usuário se autentica internamente via ID do Microsoft Entra e o objeto de usuário criado no diretório do recurso Microsoft Entra tem um UserType de Membro.
O tipo de usuário escolhido tem as seguintes limitações para aplicativos ou serviços (mas não estão limitados a):
Aplicação ou serviço | Limitações |
---|---|
Power BI | - O suporte para UserType Member no Power BI está atualmente em visualização. Para obter mais informações, consulte Distribuir conteúdo do Power BI para usuários convidados externos com o Microsoft Entra B2B. |
Azure Virtual Desktop | - Membro externo e convidado externo não são suportados na Área de Trabalho Virtual do Azure. |
Importante
O recurso de senha única de e-mail agora está ativado por padrão para todos os novos locatários e para todos os locatários existentes nos quais você não o desativou explicitamente. Quando esse recurso é desativado, o método de autenticação de fallback é solicitar que os convidados criem uma conta da Microsoft.
Resgate de convite
Agora, vamos ver como é um usuário de colaboração B2B do Microsoft Entra no ID Externo do Microsoft Entra.
Antes do resgate do convite
As contas de usuário de colaboração B2B são o resultado de convidar usuários convidados para colaborar usando as próprias credenciais dos usuários convidados. Quando o convite é enviado inicialmente para o usuário convidado, uma conta é criada em seu locatário. Essa conta não tem credenciais associadas a ela porque a autenticação é executada pelo provedor de identidade do usuário convidado. A propriedade Identities para a conta de usuário convidado em seu diretório é definida como o domínio da organização do host até que o convidado resgate seu convite. O usuário que envia o convite é adicionado como um valor padrão para o atributo Patrocinador na conta de usuário convidado. No centro de administração, o perfil do usuário convidado mostrará um estado Convite de Aceitação pendente. A consulta para externalUserState
usar a API do Microsoft Graph retornará Pending Acceptance
.
Após o resgate do convite
Depois que o usuário de colaboração B2B aceita o convite, a propriedade Identities é atualizada com base no provedor de identidade do usuário.
Se o usuário de colaboração B2B estiver usando uma conta da Microsoft ou credenciais de outro provedor de identidade externo, Identidades refletirá o provedor de identidade, por exemplo , Conta da Microsoft, google.com ou facebook.com.
Se o usuário de colaboração B2B estiver usando credenciais de outra organização do Microsoft Entra, Identities será ExternalAzureAD.
Para usuários externos que estão usando credenciais internas, a propriedade Identities é definida como o domínio da organização do host. A propriedade Directory synced é Sim se a conta estiver hospedada no Ative Directory local da organização e sincronizada com a ID do Microsoft Entra ou Não se a conta for uma conta Microsoft Entra somente na nuvem. As informações de sincronização de diretório também estão disponíveis através da
onPremisesSyncEnabled
propriedade no Microsoft Graph.
Principais propriedades do usuário de colaboração B2B do Microsoft Entra
Nome Principal do Utilizador
O UPN para um objeto de usuário de colaboração B2B (ou seja, os usuários convidados) contém o e-mail do usuário convidado, seguido por #EXT#, seguido pelo tenantname.onmicrosoft.com. Por exemplo, se o usuário john@contoso.com for adicionado como um usuário externo no diretório fabrikam, seu UPN será john_contoso.com#EXT#@fabrikam.onmicrosoft.com.
Tipo de utilizador
Esta propriedade indica a relação do usuário com a locação do host. Esta propriedade pode ter dois valores:
Membro: esse valor indica um funcionário da organização host e um usuário na folha de pagamento da organização. Por exemplo, esse usuário espera ter acesso a sites somente internos. Este utilizador não é considerado um colaborador externo.
Convidado: esse valor indica um usuário que não é considerado interno à empresa, como um colaborador, parceiro ou cliente externo. Não se espera que esse usuário receba um memorando interno de um diretor executivo (CEO) ou receba benefícios da empresa, por exemplo.
Nota
O UserType não tem relação com como o usuário entra, a função de diretório do usuário e assim por diante. Essa propriedade simplesmente indica o relacionamento do usuário com a organização host e permite que a organização aplique políticas que dependem dessa propriedade.
Identidades
Essa propriedade indica o provedor de identidade principal do usuário. Um usuário pode ter vários provedores de identidade, que podem ser visualizados selecionando o link ao lado de Identidades no perfil do usuário ou consultando a identities
propriedade por meio da API do Microsoft Graph.
Nota
Identities e UserType são propriedades independentes. Um valor de Identities não implica um valor específico para UserType.
Valor da propriedade Identities | Estado de início de sessão |
---|---|
ExternalAzureAD | Esse usuário está hospedado em uma organização externa e se autentica usando uma conta do Microsoft Entra que pertence à outra organização. |
Conta da Microsoft | Este utilizador está alojado numa conta Microsoft e autentica-se utilizando uma conta Microsoft. |
{domínio do host} | Este utilizador autentica-se utilizando uma conta Microsoft Entra que pertence a esta organização. |
google.com | Esse usuário tem uma conta do Gmail e se inscreveu usando o autoatendimento para a outra organização. |
facebook.com | Este usuário tem uma conta no Facebook e se inscreveu usando o autoatendimento para a outra organização. |
correio | Este usuário se inscreveu usando o código de acesso único (OTP) de email de ID Externo do Microsoft Entra. |
{URI do emissor} | Esse usuário está hospedado em uma organização externa que não usa o Microsoft Entra ID como seu provedor de identidade, mas usa um provedor de identidade baseado em SAML (Security Assertion Markup Language)/WS-Fed. O URI do emissor é mostrado quando o campo Identidades é clicado. |
O início de sessão por telefone não é suportado por utilizadores externos. As contas B2B não podem usar phone
o valor como um provedor de identidade.
Diretório sincronizado
A propriedade Directory synced indica se o usuário está sendo sincronizado com o Ative Directory local e se está autenticado localmente. Esta propriedade é Sim se a conta estiver hospedada no Ative Directory local da organização e sincronizada com a ID do Microsoft Entra ou Não se a conta for uma conta Microsoft Entra somente na nuvem. No Microsoft Graph, a propriedade Directory synced corresponde a onPremisesSyncEnabled
.
Os usuários do Microsoft Entra B2B podem ser adicionados como membros em vez de convidados?
Normalmente, um usuário B2B do Microsoft Entra e um usuário convidado são sinônimos. Portanto, um usuário de colaboração B2B do Microsoft Entra é adicionado como um usuário com UserType definido como Convidado por padrão. No entanto, em alguns casos, a organização parceira é membro de uma organização maior à qual a organização anfitriã também pertence. Em caso afirmativo, a organização anfitriã pode querer tratar os utilizadores na organização parceira como membros em vez de convidados. Use as APIs do Gerenciador de Convites B2B do Microsoft Entra para adicionar ou convidar um usuário da organização parceira para a organização host como membro.
Filtrar usuários convidados no diretório
Na lista Usuários, você pode usar Adicionar filtro para exibir somente os usuários convidados em seu diretório.
Converter UserType
É possível converter UserType de Membro para Convidado e vice-versa editando o perfil do usuário no centro de administração do Microsoft Entra ou usando o PowerShell. No entanto, a propriedade UserType representa a relação do usuário com a organização. Portanto, você deve alterar essa propriedade somente se a relação do usuário com a organização mudar. Se a relação do usuário mudar, o nome principal do usuário (UPN) deve mudar? O utilizador deve continuar a ter acesso aos mesmos recursos? Deve ser atribuída uma caixa de correio?
Permissões dos utilizadores de tipo convidado
Os usuários convidados têm permissões de diretório restritas padrão. Eles podem gerenciar seu próprio perfil, alterar sua própria senha e recuperar algumas informações sobre outros usuários, grupos e aplicativos. No entanto, eles não podem ler todas as informações do diretório.
Os usuários convidados B2B não são suportados nos canais compartilhados do Microsoft Teams. Para acesso a canais compartilhados, consulte Conexão direta B2B.
Pode haver casos em que você queira conceder aos usuários convidados privilégios mais altos. Você pode adicionar um usuário convidado a qualquer função e até mesmo remover as restrições de usuário convidado padrão no diretório para dar a um usuário os mesmos privilégios que os membros. É possível desativar as limitações padrão para que um usuário convidado no diretório da empresa tenha as mesmas permissões que um usuário membro. Para obter mais informações, consulte o artigo Restringir permissões de acesso de convidado no ID Externo do Microsoft Entra.
Posso tornar os usuários convidados visíveis na Lista de Endereços Global do Exchange?
Sim. Por padrão, os objetos convidados não são visíveis na lista de endereços global da sua organização, mas você pode usar o Microsoft Graph PowerShell para torná-los visíveis. Para obter detalhes, consulte "Adicionar convidados à lista de endereços global" no artigo Acesso de convidado por grupo do Microsoft 365.
Posso atualizar o endereço de e-mail de um usuário convidado?
Se um usuário convidado aceitar seu convite e, posteriormente, alterar seu endereço de e-mail, o novo e-mail não será sincronizado automaticamente com o objeto de usuário convidado em seu diretório. A propriedade mail é criada por meio da API do Microsoft Graph. Você pode atualizar a propriedade de email por meio da API do Microsoft Graph, do centro de administração do Exchange ou do PowerShell do Exchange Online. A alteração será refletida no objeto de usuário convidado do Microsoft Entra.