Sincronização B2B

O aplicativo Sincronização do OneDrive agora permite que os usuários sincronizem bibliotecas ou pastas no Microsoft SharePoint ou no Microsoft OneDrive que foram compartilhadas de outras organizações. Esse cenário geralmente é chamado de Colaboração de Negócios para Empresas (B2B). Estamos chamando esse novo recurso no aplicativo Sincronização do OneDrive "Sincronização B2B".

Microsoft Entra contas de convidado desempenham um papel fundamental para tornar Colaboração B2B possível. Uma conta de convidado em uma organização é vinculada a uma conta membro em outra organização. Depois de criada, uma conta de convidado permite que serviços do Microsoft 365, como OneDrive e SharePoint, concedam permissão de convidado a sites e pastas da mesma forma que um membro dentro da organização recebe permissão. Como as contas em duas organizações estão vinculadas, o usuário só precisa lembrar o nome de usuário e a senha da conta em sua organização. Como resultado, uma única entrada em sua conta permite o acesso ao conteúdo de sua própria organização e de qualquer outra organização que tenha criado contas de convidado para eles.

Importante

Recomendamos que você habilite a integração do SharePoint e do OneDrive com Microsoft Entra B2B para ajudar a garantir que a conta de convidado Microsoft Entra necessária para o destinatário do compartilhamento seja criada no diretório da sua organização.

Requisitos de sincronização B2B

Para pessoas fora da sua organização sincronizar bibliotecas e pastas compartilhadas:

• O compartilhamento externo deve ser habilitado para sua organização.
• O compartilhamento externo deve ser habilitado para o site ou o OneDrive.
• O conteúdo deve ser compartilhado com pessoas fora da organização no nível do site ou da pasta. Se uma pasta for compartilhada, ela deve ser por meio de um link que requer entrada.
• Os destinatários de compartilhamento devem ter uma conta corporativa ou escolar do Microsoft 365 (em Microsoft Entra ID) na mesma nuvem que o locatário de conteúdo - Microsoft Azure Commercial, Microsoft Azure Governamental ou Microsoft Azure China. (Observe que o Microsoft Azure Commercial contém os ambientes de nuvem comercial e GCC do Microsoft 365, e o Microsoft Azure Governamental contém os ambientes de nuvem GCC High e DoD.)
• Qualquer política de acesso condicional Microsoft Entra deve ser compatível com convidados (mais abaixo).
• O ADAL não deve ser habilitado se usar builds antes de 19.086.*.

Este artigo fornece uma visão geral da experiência de Sincronização B2B e descreve esses requisitos com mais detalhes.

Problemas conhecidos com esta versão

• O conteúdo compartilhado de um locatário em uma nuvem (por exemplo, o Microsoft Azure China) não pode ser sincronizado por um usuário em uma nuvem diferente (por exemplo, Microsoft Azure Commercial).
• No Mac, as miniaturas arquivos sob demanda não serão exibidas dos sites da organização externa. As miniaturas serão exibidas corretamente para arquivos da própria organização do usuário.
• No Mac, se a conta de convidado foi criada com um formato de endereço de email diferente do formulário que eles estão usando com o aplicativo de sincronização, o conteúdo do site externo não poderá ser sincronizado. Por exemplo, first.last@fabrikam.com vs alias@fabrikam.com.
• No Mac, o conteúdo externo pode ser colocado no computador local na pasta da própria organização do usuário, em vez de um com o nome da organização externa.
• A interface do usuário de autenticação interativa para contas de convidado de uma organização externa não tem suporte do cliente de sincronização.

Visão geral da experiência de Sincronização B2B

Aqui está um exemplo do que acontece depois que alguém da Contoso compartilha um site ou pasta com alguém em "Fabrikam":

1. O destinatário do Fabrikam recebe um email como o seguinte.

   

2. Quando o destinatário clica no link no email para acessar o item compartilhado, ele precisa clicar em "Conta organizacional" para entrar com sua conta fabrikam. Nos bastidores, isso cria a conta de convidado da Contoso em Microsoft Entra ID.

   

3. O destinatário pode precisar inserir seu nome de usuário ou senha do Fabrikam e, em seguida, ele pode exibir o item compartilhado. Se eles não querem sincronizar tudo o que foi compartilhado, eles podem navegar até a biblioteca ou pasta que desejam sincronizar. Para configurar a sincronização, eles precisam clicar no botão Sincronizar.

   

4. O navegador do convidado exibirá uma mensagem perguntando se eles querem abrir o "Microsoft OneDrive", e eles precisarão permitir isso.

5. Se essa for a primeira vez que o convidado usa o aplicativo de sincronização com sua conta fabrikam, ele precisará entrar. O endereço de email será definido automaticamente para a conta fabrikam usada nas etapas anteriores. O convidado precisa selecionar "Entrar".

6. O convidado poderá entrar no aplicativo de sincronização sem inserir a senha do Fabrikam se estiver conectado ao Windows com a mesma conta. Caso contrário, eles precisarão inserir a senha.

7. O convidado confirmará onde deseja sincronizar o item compartilhado em seu computador.

   Observação

   O conteúdo é colocado em uma pasta cujo nome inclui o nome da organização ("SharePoint – Contoso" neste exemplo). Se o usuário estiver sincronizando o conteúdo do SharePoint do Fabrikam também, ele também terá uma pasta "SharePoint – Fabrikam".

8. O convidado continuará Sincronização do OneDrive instalação do aplicativo.

9. Depois que o convidado concluir a instalação, o site começará a sincronizar. O usuário pode clicar no ícone de nuvem azul na área de notificação para abrir o centro de atividades Sincronização do OneDrive e ver os arquivos sincronizando, abrir a pasta local com os arquivos ou abrir o site do SharePoint em um navegador da Web.

Habilitar o compartilhamento externo para sua organização

Para que os usuários da sua organização possam compartilhar com seus parceiros em outras organizações, o compartilhamento externo deve ser habilitado no nível da organização. Para fazer isso, você deve ser um administrador global ou do SharePoint no Microsoft 365. Depois de habilitar o compartilhamento externo no nível da organização, você pode restringi-lo site por site. As configurações de um site podem ser as mesmas da configuração da organização ou mais restritivas, mas não mais permissivas.

Você pode alterar suas configurações de compartilhamento no nível da organização em dois lugares diferentes (ambos controlam a mesma coisa):

• Na página Compartilhamento no novo centro de administração do SharePoint. Para obter mais informações, confira Alterar a configuração de compartilhamento externo no nível da organização
• No Centro de administração do Microsoft 365, na página > Configurações da Organização SharePoint.

Importante

Se você permitir links de Qualquer Pessoa (às vezes chamados de links de "acesso anônimo"), esses links não criarão contas de convidado e, portanto, o destinatário de compartilhamento externo não poderá aproveitar a Sincronização B2B ao receber esse tipo de link.

Para obter mais informações, confira Visão geral do compartilhamento externo.

Controlar o compartilhamento externo

Ao permitir que os usuários compartilhem conteúdo de sua organização externamente, você pode usar vários recursos no Microsoft 365 para gerenciar quem tem acesso ao conteúdo. Administradores e proprietários de sites podem examinar permissões e auditar o acesso aos sites. Para obter informações, consulte Pesquisar o conteúdo do site compartilhado com pessoas fora da sua organização e ativar notificações de compartilhamento externo. Você pode habilitar o compartilhamento externo apenas com domínios específicos da Internet ou bloquear domínios específicos. Para obter informações, consulte Compartilhamento de domínios restritos. Você também pode permitir que apenas membros de grupos de segurança específicos compartilhem externamente. Para obter informações, consulte Ativar ou desativar o compartilhamento externo.

Recomendamos criar sites separados (coleções de sites, não subsites) para cada unidade de trabalho que você deseja compartilhar externamente. Dessa forma, você pode anotar claramente os sites para indicar que pessoas fora da organização têm acesso e evitar a divulgação não intencional de informações. Para usuários individuais que compartilham conteúdo do OneDrive, recomendamos criar pastas separadas para diferentes projetos ou grupos de colaboração.

Você pode remover a permissão de um convidado para um site ou pasta ou pode excluir a conta convidada para remover a permissão de todo o conteúdo da sua organização.

Importante

Qualquer conteúdo sincronizado permanecerá no computador do usuário depois que as permissões forem removidas.

Habilitar o compartilhamento externo para um site

Para exibir ou alterar a configuração de compartilhamento para qualquer site, use o novo centro de administração do SharePoint.

1. Vá para Sites ativos no Centro de administração do SharePoint e entre com uma conta que tenha permissões de administrador para sua organização.

   Observação

   Se você tiver o Office 365 operado pela 21Vianet (China), entre no centro de administração do Microsoft 365, navegue até o centro de administração do SharePoint e abra a página Sites ativos.

2. Personalize a exibição conforme necessário para ver a coluna compartilhamento externo.

3. Se você precisar, altere a configuração de compartilhamento externo para um site.

Verifique se as políticas de AC (acesso condicional) Microsoft Entra são compatíveis com o acesso externo

O administrador do locatário pode habilitar vários tipos de políticas de acesso condicional em seu locatário. Quando um convidado vai acessar o conteúdo de um locatário, essas políticas podem precisar ser ajustadas para os convidados para que eles possam obter acesso.

• Atualmente, o cliente de sincronização não dá suporte à interface do usuário de autenticação interativa ao sincronizar conteúdo externo. Qualquer política que exija uma interface do usuário de entrada, como mfa (autenticação multifator) ou prompt TOU (termos de uso), impedirá a sincronização do conteúdo externo desse locatário. Se um administrador de locatário implantar essa política antes de um convidado começar a sincronizar com esse locatário, o usuário não poderá estabelecer a relação de sincronização. Se a política for implantada depois que um convidado estiver sincronizando o conteúdo do locatário, esse convidado receberá um erro e não poderá continuar a sincronizar com o locatário.

• Os locatários podem atualizar seus Termos de Uso (TOU) de tempos em tempos. Uma política pode disparar o usuário para exibir e aceitar a TOU atualizada por meio de um prompt de autenticação interativo. Como a sincronização não dá suporte à interface do usuário de entrada do locatário externo, a sincronização indicará que não é possível sincronizar o conteúdo do site externo.

• A conformidade do dispositivo exige que os computadores de usuário sejam gerenciados pelo locatário e, em seguida, estejam atualizados com os requisitos. Para os convidados, é provável que seus computadores sejam gerenciados por sua própria organização e, portanto, sejam incompatíveis com a necessidade de que seus computadores sejam gerenciados pelo locatário de compartilhamento de conteúdo.

• As políticas de acesso condicional baseadas em localização normalmente são usadas para impor requisitos adicionais, como o MFA, quando o usuário não está se conectando de um local confiável (como a rede do escritório do locatário). Normalmente, em um cenário de convidado, o computador cliente não estará localizado nos locais confiáveis e, como a sincronização não dá suporte à MFA, você provavelmente não deseja que essa política se aplique aos seus convidados.

Para obter mais informações, consulte Autenticação e acesso condicional para identidades externas.

Métodos de compartilhamento

Sites e pastas podem ser compartilhados de maneiras diferentes no SharePoint e no OneDrive:

• Se os usuários estiverem sincronizando uma pasta, eles poderão clicar com o botão direito do mouse nela em Explorador de Arquivos para compartilhá-la.
• Os usuários podem acessar o site ou pasta do SharePoint na Web e clicar no botão Compartilhar para compartilhá-lo.
• Os usuários podem compartilhar sites e pastas nos aplicativos móveis do SharePoint e do OneDrive.
• Os administradores podem criar contas de convidado e usar o centro de administração ou o PowerShell para adicioná-las aos sites.

Observação

Para obter mais informações sobre esses métodos, consulte Saiba como compartilhar um site e saiba como compartilhar uma pasta.

A Sincronização B2B funciona com todos esses métodos de compartilhamento. Ele tem apenas os seguintes requisitos:

• Para que os convidados sincronizem o conteúdo compartilhado, o conteúdo deve ser compartilhado no nível do site ou da pasta. Os convidados não podem sincronizar arquivos compartilhados individualmente (por exemplo, dos aplicativos do Office).
• A sincronização B2B funciona somente quando contas de convidado são criadas na organização e quando o destinatário tem uma conta Microsoft Entra. Não funciona quando os usuários compartilham criando um link De Qualquer Pessoa (também conhecido como link de "acesso anônimo") ou quando compartilham com pessoas que têm uma conta Microsoft ou outras conta pessoal.

Adicionar convidados a sites do SharePoint

Como administrador no Microsoft 365, você pode compartilhar com pessoas fora da organização criando convidados individualmente no centro de administração do Microsoft Entra e adicionando-os a um site de equipe do SharePoint individualmente ou adicionando-os a um grupo de segurança que já tem permissões para o site que você deseja compartilhar. Se você conceder permissões usando a página de permissões avançadas (em vez de usar o botão Compartilhar site), precisará informar ao convidado que você lhes deu permissão ao site. Eles não receberão um email de convite.

Importante

Se você usar a página de permissões avançadas, recomendamos conceder permissões no nível do site, não no nível da biblioteca de documentos ou da pasta.

Usar o PowerShell para criar contas de convidado em massa e adicioná-las a um grupo do SharePoint

Se você precisar criar e conceder permissões a muitas contas de convidado, poderá usar o script do PowerShell a seguir, que cria contas de convidado e concede permissões a um site. O script usa um arquivo CSV (valor separado por vírgula) como entrada, que contém uma lista de nomes de exibição de usuário e endereços de email. Para cada nome e endereço de email, uma conta de convidado é criada e essa conta é adicionada a um grupo de segurança para conceder-lhe permissão. O script foi projetado para que você possa alimentar o CSV de saída resultante como entrada para o script em uma execução subsequente. Isso permite adicionar mais usuários ao arquivo CSV ou tentar novamente criar qualquer conta com falha.

Observação

Azure AD Powershell está previsto para ser preterido em 30 de março de 2024. Para saber mais, leia a atualização de preterição.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com Microsoft Entra ID (anteriormente Azure AD). O Microsoft Graph PowerShell permite acesso a todas as APIs do Microsoft Graph e está disponível no PowerShell 7. Para obter respostas para consultas de migração comuns, consulte as perguntas frequentes sobre migração.

À medida que os usuários são adicionados ao grupo Microsoft Entra, eles devem receber um email de boas-vindas ao grupo. Depois de executar o script, você precisará enviar um email aos usuários com um link direto para o site do SharePoint ao qual você lhes deu permissões. Quando clicarem no link, eles serão apresentados com a interface do usuário abaixo para aceitar os termos do convite. Depois que eles aceitarem, eles serão levados para o site que você compartilhou com eles. Nesse ponto, eles podem clicar no botão Sincronizar para começar a sincronizar os arquivos de sites com seu computador ou Mac.

# first line of InviteGuests.ps1 PowerShell script
# requires latest AzureADPreview
# Get-Module -ListAvailable AzureAD*
# Uninstall-Module AzureAD
# Uninstall-Module AzureADPreview
# Install-Module AzureADPreview


# customizable properties for this script

$csvDir = ''
$csvInput = $csvDir + 'BulkInvite.csv'
$csvOutput = $csvDir + 'BulkInviteResults.csv'

$domain = 'YourTenantOrganization.onmicrosoft.com'
$admin = "admin@$domain"
$redirectUrl = 'https://YourTenantOrganization.sharepoint.com/sites/SiteName/'
$groupName = 'SiteName'


# CSV file expected format (with the header row):
# Name,Email
# Jane Doe,jane@contoso.com

$csv = import-csv $csvInput

# will prompt for credentials for the tenantorganization admin account
# (who has permissions to send invites and add to groups)
Connect-AzureAD -TenantDomain $domain -AccountId $admin

$group = (Get-AzureADGroup -SearchString $groupName)

foreach ($row in $csv)
{
    Try
    {
        if ((Get-Member -inputobject $row -name 'error') -and `
            ($row.error -eq 'success'))
        {
            $out = $row  #nothing to do, user already invited and added to group
        }
        else
        {
            echo ("name='$($row.Name)' email='$($row.Email)'")

            $inv = (New-AzureADMSInvitation -InvitedUserEmailAddress $row.Email -InvitedUserDisplayName $row.Name `
                        -InviteRedirectUrl $redirectUrl -SendInvitationMessage $false)

            $out = $row
            $out|Add-Member -MemberType ScriptProperty -force -name 'time' -Value {$(Get-Date -Format u)}
            $out|Add-Member -MemberType ScriptProperty -force -name 'status' -Value {$inv.Status}
            $out|Add-Member -MemberType ScriptProperty -force -name 'userId' -Value {$inv.InvitedUser.Id}
            $out|Add-Member -MemberType ScriptProperty -force -name 'redeemUrl' -Value {$inv.inviteRedeemUrl}
            $out|Add-Member -MemberType ScriptProperty -force -name 'inviteId' -Value {$inv.Id}

            # this will send a welcome to the group email
            Add-AzureADGroupMember -ObjectId $group.ObjectId -RefObjectId $inv.InvitedUser.Id

            $out|Add-Member -MemberType ScriptProperty -force -name 'error' -Value {'success'}
        }
    }
    Catch
    {
        $err = $PSItem.Exception.Message
        $out|Add-Member -MemberType ScriptProperty -force -name 'error' -Value {$err}
    }
    Finally
    {
        $out | export-csv -Path $csvOutput -Append
    }
}

# for more information please see
# https://learn.microsoft.com/azure/active-directory/b2b/b2b-tutorial-bulk-invite
# end of InviteGuests.ps1 powershell script

Consulte mais informações em:

• Experiência de resgate
• Adicionar usuário sem convite

Quando um convidado perde o acesso ao conteúdo compartilhado

Se a conta de convidado de uma pessoa for excluída ou sua permissão para conteúdo compartilhado for removida, o aplicativo de sincronização exibirá um erro.

• Uma notificação será exibida indicando que a biblioteca não pode ser sincronizada.

  

• O ícone do OneDrive na área de notificação mostrará um erro.

  

  Quando o convidado clicar no ícone, ele verá uma faixa de erro no centro de atividades.

  

Configuração de política para impedir a sincronização B2B

O recurso Sincronização B2B do aplicativo Sincronização do OneDrive permite que os usuários de uma organização sincronizem o conteúdo compartilhado com eles de outra organização. Se você quiser impedir que os usuários da sua organização possam usar a Sincronização B2B, você poderá definir um valor de política no Computador Windows ou Mac dos usuários para bloquear a sincronização externa.

Você só precisa executar essas ações se quiser impedir que os usuários da sua organização usem o recurso sincronização B2B (para impedir a sincronização de bibliotecas e pastas compartilhadas de outras organizações).

A nova configuração BlockExternalSync é descrita nos arquivos adm\OneDrive.admx e OneDrive.adml instalados como parte do Sincronização do OneDrive build de produto 19.086.* ou superior. Se você usar o ADM para gerenciar suas políticas de aplicativo de sincronização, importe os novos arquivos como normalmente faria para ver a nova configuração.

Se você estiver usando outros sistemas de gerenciamento para implantar políticas nos computadores Windows dos usuários, use o equivalente ao seguinte comando para impedir a Sincronização B2B:

reg add "HKLM\SOFTWARE\Policies\Microsoft\OneDrive" /v BlockExternalSync /t REG_DWORD /d 1

Em um Mac com a versão da Apple Store do OneDrive, use o equivalente ao seguinte comando para impedir a sincronização B2B:

defaults write com.microsoft.OneDrive-mac BlockExternalSync -bool YES

Em um Mac com a versão autônoma do OneDrive, use o equivalente ao seguinte comando para impedir a sincronização B2B:

defaults write com.microsoft.OneDrive BlockExternalSync -bool YES