Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применяется к: 
Арендаторы рабочей силы (дополнительные сведения)
До появления возможности совместной работы B2B в Microsoft Entra организации могли сотрудничать с дистрибьюторами, поставщиками, вендорами и другими гостевыми пользователями, создавая для них внутренние учетные записи. Если у вас есть внутренние гостевые пользователи, такие как эти, вы можете вместо этого пригласить их в службу совместной работы B2B. Эти гостевые пользователи B2B могут входить с помощью собственных удостоверений и учетных данных, устраняя необходимость обслуживания паролей или управления жизненным циклом учетных записей.
Отправка приглашения на существующую внутреннюю учетную запись позволяет сохранить идентификатор объекта пользователя, имя участника-пользователя (UPN), членство в группах и назначения приложений. Вам не нужно вручную удалять пользователя, повторно приглашать его или переназначать ему ресурсы. Чтобы пригласить пользователя, используйте API приглашения, чтобы передать как внутренний объект пользователя, так и адрес электронной почты гостевого пользователя вместе с приглашением. Когда пользователь принимает приглашение, служба B2B изменяет существующего внутреннего пользователя на пользователя B2B. В дальнейшем пользователь должен войти в облачные службы ресурсов с помощью учетных данных B2B.
Краткие замечания
Доступ к локальным ресурсам. После того как пользователь приглашен в службу совместной работы B2B, он по-прежнему может использовать свои внутренние учетные данные для доступа к локальным ресурсам. Чтобы предотвратить это, можно сбросить или изменить пароль в внутренней учетной записи. Исключением является проверка подлинности по электронной почте с помощью секретного кода: если способ проверки подлинности пользователя изменен на одноразовый секретный код, он больше не сможет использовать свои внутренние учетные данные.
Выставление счетов: Эта функция не изменяет UserType пользователя, поэтому она не переключает модель выставления счетов пользователя на ценообразование по схеме ежемесячной активности пользователей с внешним идентификатором (MAU). Чтобы активировать тарификацию MAU для пользователя, измените UserType пользователя на
guest. Кроме того, обратите внимание, что клиент Microsoft Entra должен быть связан с подпиской Azure для активации выставления счетов MAU.Teams. Когда пользователь входит в Teams с помощью своих внешних учетных данных, его арендатор изначально недоступен в средстве выбора арендаторов Teams. Пользователь может получить доступ к Teams по URL-адресу, который содержит контекст арендатора, например
https://teams.microsoft.com/?tenantId=<TenantId>. После этого тенант станет доступен в средстве выбора тенантов Teams.Локальные синхронизированные пользователи. Для учетных записей пользователей, синхронизированных между локальной средой и облаком, локальный каталог остается источником полномочий и после того, как они оказываются приглашены в службу совместной работы B2B. Все изменения, вносимые в локальную учетную запись, в том числе ее отключение или удаление, будут синхронизироваться с облачной учетной записью. Поэтому вы не можете запретить пользователю войти в локальную учетную запись при сохранении облачной учетной записи, удалив локальную учетную запись. Вместо этого можно задать в качестве локального пароля учетной записи случайный идентификатор GUID или другое неизвестное значение.
Примечание.
В Microsoft Entra Connect Sync есть правило по умолчанию, которое записывает атрибут onPremisesUserPrincipalName в объект пользователя. Так как присутствие этого атрибута может препятствовать входу пользователя с помощью внешних учетных данных, мы блокируем преобразование внутренних данных во внешние для объектов пользователей с этим атрибутом. Если вы используете Microsoft Entra Connect и хотите пригласить внутренних пользователей в совместную работу B2B, вам потребуется модифицировать правило по умолчанию так что атрибут onPremisesUserPrincipalName не записывается в объект пользователя.
Как пригласить внутреннего пользователя в службу совместной работы B2B
Вы можете использовать Центр администрирования Microsoft Entra, PowerShell или API приглашения для отправки приглашения B2B внутреннему пользователю. Обратите внимание на следующие моменты.
Прежде чем пригласить пользователя, убедитесь, что свойство
User.Mailвнутреннего объекта пользователя (свойство Email в Центр администрирования Microsoft Entra) имеет внешний адрес электронной почты, который он будет использовать для совместной работы B2B. Если у внутреннего пользователя есть существующий почтовый ящик, это свойство нельзя изменить на внешний адрес электронной почты. Их атрибуты необходимо обновить в Центр администрирования Exchange.Пользователю отправляется автоматическое сообщение электронной почты с приглашением. Если вы используете PowerShell или API приглашения, это сообщение можно отключить, задав параметру
SendInvitationMessageзначениеFalse. После этого пользователя можно уведомить другим способом. Узнайте больше об API приглашения.Когда пользователь активирует приглашение, учетная запись, которую он использует, должна соответствовать домену в свойстве
User.Mail. В противном случае он не сможет пройти проверку подлинности в некоторых службах, например Teams.
Отправка приглашения B2B с помощью Центр администрирования Microsoft Entra
Войдите в административный центр Microsoft Entra как минимум как администратор внешнего поставщика удостоверений.
Перейдите к Entra ID>Users.
Найдите пользователя в списке или воспользуйтесь полем поиска. Затем выберите пользователя.
На вкладке "Обзор" в разделе "Моя лента" выберите "Преобразовать во внешнего пользователя".
Примечание.
Если на карточке указано сообщение "Повторно отправить приглашение пользователя B2B или сбросить состояние активации", это означает, что пользователь уже был приглашен использовать внешние учетные данные для совместной работы B2B.
Добавьте внешний адрес электронной почты и нажмите кнопку "Отправить".
Примечание.
Если параметр недоступен, убедитесь, что для свойства Адрес электронной почты пользователя задан внешний адрес электронной почты, который он должен использовать для службы совместной работы B2B.
Появится сообщение с подтверждением, и пользователю будет отправлено приглашение по электронной почте. После этого пользователь сможет активировать приглашение с помощью внешних учетных данных.
Отправка приглашения B2B с помощью PowerShell
Вам потребуется модуль latest Microsoft Graph PowerShell. Используйте следующую команду, чтобы обновить до последнего модуля и пригласить внутреннего пользователя в службу совместной работы B2B:
Update-Module Microsoft.Graph
Connect-MgGraph -Scopes "User.Invite.All","User.ReadWrite.All"
$msGraphUser = Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee'
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapps.microsoft.com" -InvitedUser $msGraphUser
Отправка приглашения B2B с помощью API приглашения
В примере ниже показано, как пригласить внутреннего пользователя в службу B2B путем вызова API приглашения.
POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
Content-Type: application/json
{
"invitedUserEmailAddress": "<<external email>>",
"sendInvitationMessage": true,
"invitedUserMessageInfo": {
"messageLanguage": "en-US",
"ccRecipients": [
{
"emailAddress": {
"name": null,
"address": "<<optional additional notification email>>"
}
}
],
"customizedMessageBody": "<<custom message>>"
},
"inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=<tenant-id>",
"invitedUser": {
"id": "<<ID for the user you want to convert>>"
}
}
Ответ на этот вызов API — такой же, как и при приглашении нового гостевого пользователя в каталог.