Colaboração entre empresas (B2B) do Microsoft Entra com o Microsoft Identity Manager (MIM) 2016 SP1 e o Proxy de Aplicações do Azure

2025-04-08

O cenário inicial é o gerenciamento do ciclo de vida da conta do AD do usuário externo. Nesse cenário, uma organização convidou convidados para o seu diretório do Microsoft Entra e deseja proporcionar aos convidados acesso a aplicações locais com Autenticação Integrada ao Windows ou baseadas em Kerberos, através do proxy de aplicativo Microsoft Entra ou de outros mecanismos de gateway. O proxy de aplicativo Microsoft Entra exige que cada usuário tenha sua própria conta AD DS, para fins de identificação e delegação.

Orientações Específicas para Cenários

Algumas suposições feitas na configuração do B2B com MIM e Microsoft Entra ID Application Proxy:

Você já implantou um AD local, o Microsoft Identity Manager está instalado e a configuração básica do Serviço MIM, do Portal MIM, do Agente de Gestão do Active Directory (AD MA) e do Agente de Gestão do FIM (FIM MA) está concluída. Para obter mais informações, consulte Implantar o Microsoft Identity Manager 2016 SP2.
Você já seguiu as instruções no artigo sobre como baixar e instalar o conector do Graph.
Você tem o Microsoft Entra Connect configurado para sincronizar usuários e grupos com o Microsoft Entra ID.
Você já configurou conectores de Proxy de Aplicação e grupos de conectores. Caso contrário, consulte Tutorial: Adicionar um aplicativo local para acesso remoto por meio do Proxy de Aplicativo no Microsoft Entra ID para instalar e configurar.
Você já publicou um ou mais aplicativos, que dependem da Autenticação Integrada do Windows ou de contas individuais do AD por meio do proxy de aplicativo Microsoft Entra.
Você convidou ou convida um ou mais convidados, resultando na criação de um ou mais utilizadores no Microsoft Entra ID. Para obter mais informações, consulte Autoatendimento para inscrição na colaboração B2B do Microsoft Entra.

Cenário de exemplo de implantação de ponta a ponta B2B

Este guia baseia-se no seguinte cenário:

A Contoso Pharmaceuticals trabalha com a Trey Research Inc., como parte de seu Departamento de Pesquisa&D. Os funcionários da Trey Research precisam acessar o aplicativo de relatório de pesquisa fornecido pela Contoso Pharmaceuticals.

A Contoso Pharmaceuticals está em seu próprio locatário, para ter configurado um domínio personalizado.
Alguém convidou um usuário externo para o locatário da Contoso Pharmaceuticals. Esse usuário aceitou o convite e pode acessar recursos que são compartilhados.
A Contoso Pharmaceuticals publicou um aplicativo por meio do App Proxy. Nesse cenário, o aplicativo de exemplo é o Portal MIM. Isso permitiria que um usuário convidado participasse de processos de MIM, por exemplo, em cenários de help desk ou solicitasse acesso a grupos no MIM.

Configurar o AD e o Microsoft Entra Connect para excluir usuários adicionados do ID do Microsoft Entra

Por padrão, o Microsoft Entra Connect assumirá que os usuários não administradores no Ative Directory precisam ser sincronizados com o Microsoft Entra ID. Se o Microsoft Entra Connect encontrar um usuário existente na ID do Microsoft Entra que corresponda ao usuário do AD local, o Microsoft Entra Connect fará a correspondência entre as duas contas e assumirá que esta é uma sincronização anterior do usuário e tornará o AD local autoritativo. No entanto, esse comportamento padrão não é adequado para o fluxo B2B, onde a conta de usuário se origina no Microsoft Entra ID.

Portanto, os usuários trazidos para o AD DS pelo MIM a partir da ID do Microsoft Entra precisam ser armazenados de uma forma que a ID do Microsoft Entra não tente sincronizar esses usuários de volta para a ID do Microsoft Entra. Uma maneira de fazer isso é criar uma nova unidade organizacional no AD DS e configurar o Microsoft Entra Connect para excluir essa unidade organizacional.

Para obter mais informações, consulte Microsoft Entra Connect Sync: Configurar a filtragem.

Criar o aplicativo Microsoft Entra

Nota: Antes de criar no MIM Sync o agente de gerenciamento para o conector de gráfico, verifique se você revisou o guia para implantar o Graph Connectore criou um aplicativo com um ID de cliente e segredo. Verifique se o aplicativo foi autorizado para pelo menos uma dessas permissões: User.Read.All, User.ReadWrite.All, Directory.Read.All ou Directory.ReadWrite.All.

Criar o novo agente de gerenciamento

Na interface do usuário do Gerenciador de Serviços de Sincronização, selecione Conectores e Criar. Selecione Graph (Microsoft) e atribua-lhe um nome descritivo.

Captura de tela mostrando o agente de gestão para Graph com o nome B 2 B Graph e um botão OK.

Conectividade

Na página Conectividade, você deve especificar a Versão da API do Graph. O PAI pronto para produção é V 1.0, não-produção é Beta.

Captura de tela mostrando a versão do Gráfico A P I selecionada e um botão Avançar.

Parâmetros globais

Captura de tela mostrando valores para parâmetros globais e um botão Avançar.

Configurar hierarquia de provisionamento

Esta página é usada para mapear o componente DN, por exemplo UO, para o tipo de objeto que deve ser provisionado, por exemplo, organizationalUnit. Isso não é necessário para esse cenário, então deixe isso como padrão e clique em Avançar.

Captura de tela mostrando a página Configurar Hierarquia de Provisionamento e um botão Avançar.

Configurar partições e hierarquias

Na página partições e hierarquias, selecione todos os namespaces com objetos que você planeja importar e exportar.

Captura de ecrã a mostrar a página Configurar Partições e Hierarquias e um botão O K.

Selecionar tipos de objeto

Na página tipos de objeto, selecione os tipos de objeto que você planeja importar. Você deve selecionar pelo menos 'Usuário'.

Captura de tela mostrando a página Selecionar Tipos de Objeto com um tipo de objeto selecionado e um botão O K.

Selecionar Atributos

Na tela Selecionar Atributos, selecione os atributos do Microsoft Entra que serão necessários para gerenciar usuários B2B no AD. O atributo "ID" é obrigatório. Os atributos userPrincipalName e userType serão usados posteriormente nesta configuração. Outros atributos são opcionais, incluindo

displayName
mail
givenName
surname
userPrincipalName
userType

Captura de tela mostrando a tela Selecionar atributos com alguns atributos selecionados e um botão O K.

Configurar âncoras

Na tela Configurar âncora, configurar o atributo anchor é uma etapa necessária. Por padrão, use o atributo ID para mapeamento de usuário.

Captura de tela mostrando a tela Configurar Âncoras com um tipo de objeto de usuário e um atributo âncora de i d e um botão Avançar.

Configurar o Filtro do Conector

Na página configurar Filtro de Conector, o MIM permite filtrar objetos com base no filtro de atributos. Neste cenário para B2B, o objetivo é trazer apenas usuários com o valor do atributo userType que é igual a Guest, e não usuários com o userType que é igual a member.

Captura de tela mostrando a página Configurar Filtro de Conector com filtros para o usuário selecionados e um botão O K.

Configurar regras de associação e projeção

Este guia pressupõe que você criará uma regra de sincronização. Como as configurações das regras de junção e projeção são tratadas pela regra de sincronização, não é necessário identificar uma junção e projeção no próprio conector. Deixe o padrão e clique em ok.

Captura de ecrã que mostra a página Configurar Regras de Junção e Projeção com um botão OK.

Configurar fluxo de atributos

Este guia pressupõe que você criará uma regra de sincronização. A projeção não é necessária para definir o fluxo de atributos no MIM Sync, pois ele é manipulado pela regra de sincronização criada posteriormente. Deixe o padrão e clique em ok.

Captura de tela mostrando a página Configurar fluxo de atributos com um botão O K.

Configurar o Desprovisionamento

A configuração de desprovisionamento permite ajustar a sincronização do MIM para excluir o objeto, se o objeto do metaverso for eliminado. Neste cenário, tratamo-los como desconectores, pois o objetivo é deixá-los no Microsoft Entra ID. Nesse cenário, não estamos exportando nada para o Microsoft Entra ID e o conector está configurado apenas para importação.

Captura de ecrã mostrando a página Configuração de desprovisionamento com um botão OK.

Configurar extensões

Configurar extensões neste agente de gerenciamento é uma opção, mas não é necessário porque estamos usando uma regra de sincronização. Se decidirmos usar uma regra avançada no fluxo de atributos anteriormente, haveria uma opção para definir a extensão das regras.

Captura de ecrã a mostrar a página Configurar extensões com um botão O K.

Estendendo o esquema do metaverso

Antes de criar a regra de sincronização, precisamos criar um atributo chamado userPrincipalName vinculado ao objeto person usando o MV Designer.

No cliente de sincronização, selecione Metaverse Designer

Captura de tela mostrando a opção Metaverse Designer na barra de menus do Gestor do Serviço de Sincronização.

Em seguida, selecione o Tipo de Objeto "Pessoa"

Captura de tela mostrando os tipos de objeto do Metaverse Designer com o tipo de objeto pessoa selecionado.

Em seguida, em ações, clique em Adicionar Atributo:

Captura de tela mostrando o item Adicionar atributo no menu Ações.

Em seguida, preencha os seguintes detalhes

Nome do atributo: userPrincipalName

Tipo de atributo: String (indexável)

Indexado = Verdadeiro

Captura de tela mostrando caixas de diálogo para inserir valores para Nome do atributo, Tipo de atributo e Indexado.

Criando regras de sincronização de serviço MIM

Nas etapas abaixo, iniciamos o mapeamento da conta de convidado B2B e o fluxo de atributos. Algumas suposições são feitas aqui: que você já tenha o MA do Ative Directory configurado e o MA do FIM configurado para trazer os usuários para o Serviço e Portal do MIM.

Captura de ecrã a mostrar o ecrã Regras de Sincronização.

As próximas etapas exigirão a adição de configuração mínima ao MA da FIM e ao MA do AD.

Mais detalhes podem ser encontrados aqui para a configuração https://technet.microsoft.com/library/ff686263(v=ws.10).aspx - Como configurar utilizadores no AD DS

Regra de sincronização: Importar usuário convidado para o Metaverso do Serviço de Sincronização MV a partir da Microsoft Entra ID

Navegue até o Portal do MIM, selecione Regras de Sincronização e clique em novo. Crie uma regra de sincronização de entrada para o fluxo B2B através do conector gráfico. Captura de ecrã a mostrar o separador Geral no ecrã Criar Regra de Sincronização com o nome da regra de sincronização introduzido.

Captura de ecrã mostrando a guia Escopo com Tipo de Recurso do Metaverso, Sistema Externo, Tipo de Recurso do Sistema Externo e Filtros.

Na etapa de critérios de relacionamento, certifique-se de selecionar "Criar recurso no FIM". Captura de ecrã a mostrar o separador Relação e Critérios de Relação.

Captura de tela mostrando a guia Fluxo de Atributos de Entrada na tela IN da Regra de Sincronização.

Configure as seguintes regras de fluxo de atributos de entrada. Certifique-se de preencher os atributos accountName, userPrincipalName e uid, pois eles serão usados posteriormente neste cenário:

fluxo inicial apenas	Uso como teste de existência	Fluxo (Valor de origem ⇒ atributo FIM)
		`[displayName⇒displayName](javascript:void(0);)`
		`[Left(id,20)⇒accountName](javascript:void(0);)`
		`[id⇒uid](javascript:void(0);)`
		`[userType⇒employeeType](javascript:void(0);)`
		`[givenName⇒givenName](javascript:void(0);)`
		`[surname⇒sn](javascript:void(0);)`
		`[userPrincipalName⇒userPrincipalName](javascript:void(0);)`
		`[id⇒cn](javascript:void(0);)`
		`[mail⇒mail](javascript:void(0);)`
		`[mobilePhone⇒mobilePhone](javascript:void(0);)`

Regra de sincronização: Criar conta de usuário convidado para o Ative Directory

Esta regra de sincronização cria o usuário no Ative Directory. Certifique-se de que o fluxo para dn deve colocar o usuário na unidade organizacional que foi excluída do Microsoft Entra Connect. Além disso, atualize o fluxo para que unicodePwd atenda à sua política de senha do AD - o usuário não precisará saber a senha. Observe o valor de 262656 para userAccountControl codifica os sinalizadores SMARTCARD_REQUIRED e NORMAL_ACCOUNT.

pt-PT: Captura de tela mostrando a guia Geral da tela Regra de Sincronização de Saída.

Captura de ecrã mostrando o separador Escopo com Tipo de Recurso do Metaverso, Sistema Externo, Tipo de Recurso do Sistema Externo e Filtro de Escopo do Sistema de Saída.

Captura de ecrã mostrando a guia Fluxo de Atributos de Saída.

Regras de fluxo:

Apenas fluxo inicial	Uso como teste de existência	Fluxo (Valor FIM ⇒ Atributo de Destino)
		`[accountName⇒sAMAccountName](javascript:void(0);)`
		`[givenName⇒givenName](javascript:void(0);)`
		`[mail⇒mail](javascript:void(0);)`
		`[sn⇒sn](javascript:void(0);)`
		`[userPrincipalName⇒userPrincipalName](javascript:void(0);)`
Y		`["CN="+uid+",OU=B2BGuest,DC=contoso,DC=com"⇒dn](javascript:void(0);)`
Y		`[RandomNum(0,999)+userPrincipalName⇒unicodePwd](javascript:void(0);)`
Y		`[262656⇒userAccountControl](javascript:void(0);)`

Essa regra de sincronização de entrada traz o atributo SID do usuário do Ative Directory de volta para o MIM, para que o usuário possa acessar o Portal do MIM. O Portal MIM requer que o usuário tenha os atributos samAccountName, domain e objectSid preenchidos no banco de dados do Serviço MIM.

Configure o sistema externo de origem como o ADMA, pois o atributo objectSid será definido automaticamente pelo AD quando o MIM criar o usuário.

Observe que, se você configurar usuários a serem criados no Serviço MIM, verifique se eles não estão no escopo de nenhum conjunto destinado a regras de política de gerenciamento SSPR de funcionários. Talvez seja necessário alterar as definições definidas para excluir usuários que foram criados pelo fluxo B2B.

Captura de ecrã que mostra o separador Geral no ecrã de Regra de Sincronização IN.

Captura de ecrã a mostrar o separador Relacionamento do ecrã da Regra de Sincronização IN.

Captura de tela mostrando a guia Escopo da tela IN da Regra de Sincronização.

Captura de ecrã mostrando a guia Fluxo de Atributos de Entrada.

Apenas Fluxo Inicial	Uso como teste de existência	Fluxo (Valor de origem ⇒ atributo FIM)
		`[sAMAccountName⇒accountName](javascript:void(0);)`
		`["CONTOSO"⇒domain](javascript:void(0);)`
		`[objectSid⇒objectSid](javascript:void(0);)`

Executar as regras de sincronização

Em seguida, convidamos o usuário e executamos as regras de sincronização do agente de gerenciamento na seguinte ordem:

Importação e sincronização completas no MIMMA Management Agent. Isso garante que o MIM Sync tenha as regras de sincronização mais recentes configuradas.
Importação e sincronização completas no ADMA Management Agent. Isso garante que o MIM e o Ative Directory sejam consistentes. Neste momento, ainda não haverá nenhuma exportação pendente para os hóspedes.
Importação e sincronização completas no B2B Graph Management Agent. Isto leva os utilizadores convidados ao metaverso. Neste ponto, uma ou mais contas estarão pendentes de exportação para ADMA. Se não houver exportações pendentes, verifique se os usuários convidados foram importados para o espaço do conector e se as regras foram configuradas para que recebam contas do AD.
Exportação, importação delta e sincronização no ADMA Management Agent. Se as exportações falharem, verifique a configuração da regra e determine se havia algum requisito de esquema ausente.
Exportação, importação delta e sincronização no MIMMA Management Agent. Quando isso for concluído, não deverá mais haver exportações pendentes.

Tabela listando os agentes de gerenciamento por nome, tipo, descrição e estado.

Opcional: Proxy de aplicativo para convidados B2B que fazem login no Portal MIM

Agora que criamos as regras de sincronização no MIM. Na configuração do Proxy de App, configure o uso do principal de nuvem para ativar o KCD no proxy de app. Além disso, em seguida, adicionou o usuário manualmente ao gerenciamento de usuários e grupos. As opções para não mostrar ao utilizador até que a criação ocorra no MIM, para adicionar o convidado a um grupo de escritório uma vez provisionado, requer configurações adicionais não abordadas neste documento.

Captura de tela mostrando a tela de gerenciamento de usuários e grupos do MIM B 2 B.