Эти часто задаваемые вопросы о совместной работе Microsoft Entra business-to-business (B2B) периодически обновляются для включения новых разделов.
Внимание
- Начиная с 4 января 2021 г. поддержка входа в Систему WebView в Google устарела. Если вы используете федерацию Google или самостоятельную регистрацию с помощью Gmail, вам нужно проверить нативные бизнес-приложения на совместимость.
- Функция отправки одноразового секретного кода по электронной почте теперь включена по умолчанию для всех новых арендаторов и для всех существующих арендаторов, для которых вы не отключили ее явным образом. Если эта функция отключена, в рамках резервного способа проверки подлинности будет отправляться приглашение на создание учетной записи Майкрософт.
Можно ли настроить более интуитивно понятную страницу входа для гостевых пользователей службы совместной работы B2B?
Абсолютно, чтобы узнать, как настроить страницу входа в организации, см. раздел "Добавление фирменной символики компании для входа и Панель доступа страниц".
Имеют ли пользователи службы совместной работы B2B доступ к SharePoint Online и OneDrive?
Да. Но возможность поиска имеющихся гостевых пользователей в средстве выбора людей в SharePoint Online отключена по умолчанию. Чтобы включить поиск имеющихся гостевых пользователей, установите для параметра ShowPeoplePickerSuggestionsForGuestUsers значение Включено. Вы можете включить этот параметр на уровне клиента или коллекции сайта. Его можно изменить с помощью командлетов Set-SPOTenant и Set-SPOSite. С помощью этих командлетов участники могут выполнить в каталоге поиск всех имеющихся гостевых пользователей. Изменения в области клиента не влияют на уже подготовленные сайты SharePoint Online.
Могут ли пользователи службы совместной работы B2B получить доступ к содержимому Power BI?
Да, вы можете распространять содержимое Power BI внешним гостевым пользователям с помощью совместной работы B2B. Чтобы совместно использовать содержимое Power BI в облаках Майкрософт, можно использовать параметры облака Майкрософт для установления взаимной совместной работы B2B между облаком и внешним облаком.
Поддерживается ли по-прежнему функция отправки CSV-файла?
Да. Дополнительные сведения об использовании функции отправки CSV-файла см. в статье Примеры кода и команд PowerShell для службы совместной работы Azure Active Directory B2B.
Как можно настроить сообщения с приглашением?
С помощью интерфейсов API приглашения службы B2B можно настроить практически весь процесс приглашения.
Могут ли гостевые пользователи сбросить настройки метода многофакторной проверки подлинности?
Да. Они могут это сделать таким же образом, как и обычные пользователи.
Какая организация отвечает за лицензии многофакторной проверки подлинности?
Многофакторную проверку подлинности выполняет приглашающая организация. Таким образом, приглашающая организация отвечает за то, чтобы для приглашенных пользователей службы B2B, выполняющих многофакторную проверку подлинности, было достаточно лицензий.
Что делать, если в партнерской организации уже настроена многофакторная проверка подлинности? Можно ли доверять этой многофакторной проверке подлинности?
Параметры доступа между клиентами позволяют доверять многофакторной проверке подлинности и утверждениям устройств (соответствующим утверждениям и гибридным утверждениям Microsoft Entra) из других организаций Microsoft Entra.
Сколько организаций можно добавить в параметры доступа между клиентами?
Параметры доступа между клиентами — это политика в каталоге, в котором хранятся параметры для совместной работы с другими организациями. Этот файл политики имеет ограничение в 25 КБ, и после его заполнения нельзя внести никаких дополнительных организаций или изменений, которые могли бы привести к дальнейшему увеличению размера файла. Из-за способа хранения содержимого в этой политике не существует определенного ограничения числа организаций, которые можно добавить в параметрах доступа между клиентами. Если вам нужно применить параметры к большому количеству организаций, рекомендуется реализовать эти параметры в качестве параметров по умолчанию. Выполните действия, чтобы вычислить текущий размер политики и определить, приблизились ли вы к предельному размеру файла в 25 КБ.
Как настроить оправку приглашений с отложенной доставкой?
Организации может потребоваться добавить пользователей службы совместной работы B2B, подготовить их для приложений (при необходимости), а затем отправить приглашения. Вы можете воспользоваться API-интерфейсом приглашения службы совместной работы B2B, чтобы настроить рабочий процесс подключения.
Можно ли сделать так, чтобы гостевые пользователи отображались в глобальном списке адресов Exchange?
Да. По умолчанию гостевые объекты не отображаются в глобальном списке адресов вашей организации, но их можно сделать видимыми. Дополнительные сведения см. в статье "Добавление гостей в глобальный список адресов" в статье о гостевом доступе microsoft 365 для каждой группы.
Можно ли назначить гостевого пользователя администратором с ограниченными правами?
Конечно. Дополнительные сведения см. в статье Назначение пользователю ролей администратора в предварительной версии Azure Active Directory.
Разрешает ли служба совместной работы Microsoft Entra B2B пользователям B2B доступ к Центру администрирования Microsoft Entra?
Если пользователю не назначена роль ограниченного администратора, пользователям совместной работы B2B не потребуется доступ к Центру администрирования Microsoft Entra. В противном случае они имеют доступ к порталу. Кроме того, если гостевой пользователь, которому не назначены эти роли, получает доступ к порталу, он может воспользоваться частью возможностей, так как у роли гостевого пользователя есть некоторые разрешения в каталоге.
Можно ли заблокировать доступ к Центру администрирования Microsoft Entra для гостевых пользователей?
Да, можно создать политику условного доступа, которая блокирует доступ гостевых пользователей к центру администрирования или порталу. При настройке политики условного доступа у вас есть детальный контроль над типами внешних пользователей, к которым вы хотите применить политику. Но будьте осторожны при настройке этой политики, чтобы случайно не заблокировать доступ для участников и администраторов. Дополнительные сведения об условном доступе для внешних пользователей.
Поддерживает ли служба совместной работы Microsoft Entra B2B многофакторную проверку подлинности и учетные записи электронной почты потребителей?
Да. Многофакторная проверка подлинности и учетные записи электронной почты потребителей поддерживаются для совместной работы Microsoft Entra B2B.
Поддерживается ли сброс пароля для пользователей совместной работы Microsoft Entra B2B?
Если клиент Microsoft Entra является домашним каталогом для пользователя, вы можете сбросить пароль пользователя из Центра администрирования Microsoft Entra. Однако вы не можете напрямую сбросить пароль для гостевого пользователя, который входит с учетной записью, управляемой другим каталогом Microsoft Entra или внешним поставщиком удостоверений. Только гостевой пользователь или администратор в домашнем каталоге пользователя может сбросить пароль. Ниже приведены некоторые примеры того, как сброс пароля работает для гостевых пользователей.
Гостевые пользователи в клиенте Microsoft Entra, помеченном как "Guest" (UserType==Guest), не могут зарегистрировать для SSPR через https://aka.ms/ssprsetup. Эти гостевые пользователи могут самостоятельно сбрасывать пароль только посредством https://aka.ms/sspr.
Гостевые пользователи, использующие для входа учетную запись Майкрософт (например, guestuser@live.com), могут сбросить собственные пароли с помощью самостоятельного сброса паролей (SSPR). Ознакомьтесь со статьей Как сбросить пароль учетной записи Майкрософт.
Гостевые пользователи, использующие для входа учетную запись Google или другого внешнего поставщика удостоверений, могут сбросить собственные пароли с помощью метода SSPR поставщика удостоверений. Например, гостевой пользователь с учетной записью Google guestuser@gmail.comможет сбросить пароль, следуя инструкциям в Change or reset your password (Изменение или сброс пароля).
Если клиентом удостоверений является клиент JIT или вирусный клиент (то есть отдельный неуправляемый клиент Azure), только гостевой пользователь может сбросить пароль. Иногда организация будет управлять вирусными клиентами, которые создаются, когда сотрудники используют свои рабочие электронные адреса для регистрации в службах. После получения организацией контроля над вирусным клиентом только администратор в организации может сбросить пароль пользователя или включить SSPR. При необходимости приглашающая организация может удалить учетную запись гостя из каталога и повторно отправить приглашение.
Если домашний каталог гостевого пользователя является вашим клиентом Microsoft Entra, можно сбросить пароль пользователя. Например, вы могли создать пользователя или синхронизировать его из локальной службы Active Directory и задать для свойства UserType значение "Гость". Так как этот пользователь находится в каталоге, вы можете сбросить пароль из Центра администрирования Microsoft Entra.
Предоставляет ли Microsoft Dynamics 365 онлайн-поддержку для совместной работы Microsoft Entra B2B?
Да, Dynamics 365 (online) поддерживает совместную работу Microsoft Entra B2B. Дополнительные сведения см. в статье "Приглашение пользователей Dynamics 365" с помощью совместной работы Microsoft Entra B2B.
Какой срок действия у начального пароля для нового пользователя службы совместной работы B2B?
Идентификатор Microsoft Entra id имеет фиксированный набор символов, сильных паролей и требований к блокировке учетных записей, которые применяются одинаково ко всем учетным записям пользователей Microsoft Entra cloud. Облачные учетные записи — это учетные записи, которые не входят в федерацию с другими поставщиками удостоверений, такими как:
- Учетная запись Майкрософт
- службы федерации Active Directory;
- другой облачный клиент (в случае службы совместной работы B2B).
Для федеративных учетных записей политика паролей зависит от политики, применяемой в локальном клиенте, и от параметров учетной записи Майкрософт пользователя.
Организации может потребоваться предоставлять различные возможности в приложениях для пользователей клиентов и гостевых пользователей. Есть ли стандартные рекомендации для этого? Можно ли использовать утверждение поставщика удостоверений в качестве оптимальной модели?
Чтобы пройти проверку подлинности, гостевой пользователь может использовать любой поставщик удостоверений. Дополнительные сведения см. в статье Свойства пользователя службы совместной работы Azure Active Directory B2B. Используйте свойство UserType, чтобы определить возможности для пользователя. Утверждение UserType сейчас не включено в токен. Приложения должны использовать Microsoft API Graph, чтобы запросить каталог для пользователя и получить свойство UserType.
Где можно найти сообщество службы совместной работы B2B для обмена решениями и публикации идей?
Мы всегда открыты для ваших отзывов о том, как улучшить службу совместной работы B2B. Поделитесь своими пользовательскими сценариями, рекомендациями и сведениями о совместной работе Microsoft Entra B2B. Примите участие в обсуждении в сообществе Microsoft Tech.
Мы также предлагаем вам отправлять свои идеи и голосовать за будущие функции на сайте с идеями для службы совместной работы B2B.
Можно ли отправить активированное автоматически приглашение таким образом, чтобы пользователь мог приступить к работе? Или ему всегда нужно будет щелкать URL-адрес активации?
Вы можете приглашать других пользователей в партнерскую организацию с помощью пользовательского интерфейса, скриптов PowerShell или API-интерфейсов. Затем вы можете отправить гостевому пользователю прямую ссылку на общее приложение. В большинстве случаев вам больше не понадобится открывать электронное приглашение и щелкать URL-адрес активации. Ознакомьтесь с активацией приглашения на совместную работу Microsoft Entra B2B.
Как работает служба совместной работы B2B, когда приглашенный партнер использует федерацию для добавления собственной локальной аутентификации?
Если у партнера есть клиент Microsoft Entra, федеративный с локальной инфраструктурой проверки подлинности, то локальный единый вход (SSO) достигается автоматически. Если у партнера нет клиента Microsoft Entra, для новых пользователей создается учетная запись Microsoft Entra.
Можно ли пригласить локальную учетную запись Azure AD B2C в клиент Microsoft Entra для совместной работы B2B?
№ Локальная учетная запись Azure AD B2C может использоваться только для выполнения входа в клиент Azure AD B2C. Учетная запись не может использоваться для входа в клиент Microsoft Entra. Приглашение локальной учетной записи Azure AD B2C в клиент Microsoft Entra для совместной работы B2B не поддерживается.
Какие приложения и службы поддерживают гостевых пользователей Azure B2B?
Все интегрированные приложения Microsoft Entra могут поддерживать гостевых пользователей Azure B2B, но они должны использовать конечную точку, настроенную в качестве клиента для проверки подлинности гостевых пользователей. Кроме того, может потребоваться настроить утверждения в токене SAML, который создается, когда гостевой пользователь проходит проверку подлинности в приложении.
Можно ли принудительно выполнять многофакторную проверку подлинности для гостевых пользователей B2B, если эта функция не включена у партнеров?
Да. Дополнительные сведения см. в статье Условный доступ пользователей в службе совместной работы B2B.
С помощью SharePoint можно определить список разрешений и запретов для внешних пользователей. Возможно ли это сделать в Azure?
Да. Служба совместной работы Microsoft Entra B2B поддерживает списки разрешений и блок-списки.
Какие лицензии нам нужно использовать Microsoft Entra B2B?
Сведения о том, какие лицензии организации должны использовать Microsoft Entra B2B, см. в разделе о ценах на внешний идентификатор.
Что произойдет, если пригласить пользователя, адрес электронной почты и имя участника-пользователя которого не совпадают?
Это зависит от ряда обстоятельств. По умолчанию Microsoft Entra разрешает имя участника-пользователя для идентификатора входа. Если имя участника-участника и электронная почта совпадают, приглашения Microsoft Entra B2B и последующие входы работают должным образом. Однако, если электронная почта пользователя и имя участника-пользователя не совпадают, а для входа вместо имени участника-пользователя используется адрес электронной почты, могут возникнуть проблемы. При приглашении пользователя с адресом электронной почты, отличающегося от имени участника-пользователя, пользователь сможет активировать приглашение, если сделает это по ссылке приглашения по электронной почте, а активации через прямую ссылку будут завершаться ошибкой. Однако даже если пользователь успешно активирует приглашение, последующие попытки входа с помощью электронной почты, отличной от имени участника-пользователя, завершаются ошибкой, если поставщик удостоверений (идентификатор Microsoft Entra или федеративный поставщик удостоверений) не будет настроен для разрешения электронной почты в качестве альтернативного идентификатора входа. Эту проблему можно решить следующим образом.
- Включение электронной почты в качестве альтернативного идентификатора входа в приглашенном или домашнем клиенте Microsoft Entra
- Включение федеративного поставщика удостоверений для поддержки электронной почты в качестве идентификатора входа (если идентификатор Microsoft Entra федеративн для другого поставщика удостоверений) или
- Указав пользователю, как выполнить активацию или вход с помощью имени участника-пользователя.
Чтобы полностью избежать этой проблемы, администраторы должны убедиться, что имя участника-пользователя и электронная почта пользователей совпадают.
Примечание.
Приглашения и активации, отправляемые в облаках Майкрософт, должны использовать имя участника-участника. В настоящее время электронная почта не поддерживается. Например, если пользователь из клиента для государственных организаций США приглашен в коммерческий клиент, пользователь должен быть приглашен с помощью имени участника-пользователя.
Мгновенное включение: что может вызвать задержку репликации?
В потоках совместной работы B2B мы добавляем пользователей в каталог и динамически обновляем их во время процесса активации приглашения, назначения приложений и т. д. Операции обновления и записи обычно выполняются в одном экземпляре каталога и должны реплицироваться по всем экземплярам. Репликация будет завершена после обновления всех экземпляров. Иногда, когда объект записывается или обновляется в одном экземпляре, а вызов для извлечения этого объекта попадает на другой экземпляр, это вызывает задержку репликации. В таком случае выполните обновление или повторите попытку. Если вы пишете приложение с помощью нашего API, то повторы с некоторой задержкой являются хорошей защитной практикой для облегчения этой проблемы.