Активация приглашения службы совместной работы Microsoft Entra B2B

В этой статье описываются способы доступа гостевых пользователей к ресурсам и процесс согласия, c которыми они могут столкнуться. Если вы отправляете гостю электронное письмо с приглашением, то оно содержит ссылку, которую гость может активировать для получения доступа к вашему приложению или порталу. Сообщение электронной почты с приглашением — лишь один из способов получения гостями доступа к вашим ресурсам. В качестве альтернативы можно добавить гостей в каталог и предоставить им прямую ссылку на портал или приложение, к которому вы хотите предоставить общий доступ. Независимо от используемого метода, гости проходят через процесс получения первоначального согласия. Этот процесс гарантирует, что ваши гости согласны с условиями конфиденциальности и принимают все настроенные условия использования.

Когда вы добавляете гостя в свой каталог, его учетная запись имеет статус согласия (просматриваемый в PowerShell), для которого изначально установлено значение PendingAcceptance. Эта настройка сохраняется до тех пор, пока гость не примет ваше приглашение и не согласится с вашей политикой конфиденциальности и условиями использования. После этого состояние согласия изменяется на Принято и страницы согласия больше не представляются гостю.

Внимание

• Начиная с 12 июля 2021 года, если клиенты Microsoft Entra B2B настроили новые интеграции Google для самостоятельной регистрации для своих пользовательских или бизнес-приложений, проверка подлинности с удостоверениями Google не будет работать, пока проверки подлинности не будут перемещены в системные веб-представления. Подробнее.
• 30 сентября 2021 года Google прекращает поддержку входа через встроенные веб-представления. Если ваши приложения проходят проверку подлинности пользователей с внедренным веб-представлением и используете федерацию Google с Azure AD B2C или Microsoft Entra B2B для приглашений внешних пользователей или самостоятельной регистрации, пользователи Google Gmail не смогут пройти проверку подлинности. Подробнее.
• Функция отправки одноразового секретного кода по электронной почте теперь включена по умолчанию для всех новых арендаторов и для всех существующих арендаторов, для которых вы не отключили ее явным образом. Если эта функция отключена, в рамках резервного способа проверки подлинности будет отправляться приглашение на создание учетной записи Майкрософт.

Процесс активации и вход через общую конечную точку

Гостевые пользователи теперь могут войти в мультитенантные или сторонние приложения Майкрософт через общую конечную точку (URL-адрес), например https://myapps.microsoft.com. Ранее общий URL-адрес перенаправлял пользователя-гостя на домашний клиент, а не на клиент ресурсов для проверки подлинности, и поэтому требовалась ссылка для конкретного клиента (например, https://myapps.microsoft.com/?tenantid=<tenant id>). Теперь пользователь-гость может перейти по общему URL-адресу приложения, выбрать Параметры входа, а потом нажать Вход в организацию. Затем пользователь вводит доменное имя вашей организации.

Затем пользователь перенаправляется в конечную точку для конкретного клиента, где он может войти с помощью своего адреса электронной почты или выбрать поставщика удостоверений, который вы настроили.

Процесс активации через прямую ссылку

В качестве альтернативы электронному письму с приглашением или общему URL-адресу приложения вы можете предоставить гостю прямую ссылку на ваше приложение или портал. Сначала необходимо добавить гостевого пользователя в каталог через Центр администрирования Microsoft Entra или PowerShell. Затем можно использовать любой из настраиваемых способов развертывания приложений для пользователей, включая ссылки для прямого входа. Когда гость использует прямую ссылку вместо приглашения по электронной почте, он все равно пройдет процедуру получения первоначального согласия.

Примечание.

Прямая ссылка предназначается для определенного клиента. Другими словами, она содержит идентификатор клиента или проверенный домен, чтобы гость мог пройти проверку подлинности в клиенте, где находится общее приложение. Ниже приведены некоторые примеры прямых ссылок с контекстом клиента.

• Панель доступа к приложениям: https://myapps.microsoft.com/?tenantid=<tenant id>
• Панель доступа к приложениям для проверенного домена: https://myapps.microsoft.com/<;verified domain>
• Центр администрирования Microsoft Entra: https://entra.microsoft.com/<tenant id>
• Отдельное приложение: см. статью об использовании ссылки для прямого входа.

В некоторых случаях рекомендуется использовать приглашение по электронной почте вместо прямой ссылки. Если эти особые случаи актуальны для организации, рекомендуем приглашать пользователей с отправкой приглашения по электронной почте.

• Иногда объект приглашенного пользователя не может использовать адрес электронной почты из-за конфликта с контактным объектом (например, контактным объектом Outlook). В этом случае пользователь должен выбрать URL-адрес активации в сообщении электронной почты приглашения.
• Пользователь может выполнить вход с псевдонимом адреса электронной почты, по которому поступило приглашение (Псевдоним — это другой адрес электронной почты, связанный с учетной записью электронной почты.) В этом случае пользователь должен выбрать URL-адрес активации в сообщении электронной почты приглашения.

Процесс активации по электронной почте приглашения

При добавлении гостевого пользователя в каталог с помощью Центра администрирования Microsoft Entra в процесс отправляется приглашение пользователю. Вы также можете отправить приглашения по электронной почте, когда используете PowerShell, чтобы добавить гостевых пользователей в каталог. Ниже приведено описание процесса активации ссылки гостем в сообщении электронной почты.

1. Гость получает приглашение, отправленное Microsoft Invitations.
2. Он выбирает пункт Принять приглашение в сообщении электронной почты.
3. Гость будет использовать свои собственные учетные данные для входа в ваш каталог. Если у гостя нет учетной записи, которая может быть федеративной в вашем каталоге, а функция единовременного секретного кода электронной почты (OTP) не включена, гость будет предложено создать личную MSA. Дополнительные сведения см. в разделе о потоке активации приглашения.
4. Для работы с гостевыми системами используется процедура согласия, описанная ниже.

Ограничение процесса активации с конфликтующим объектом Contact

Иногда приглашенный внешний гостевой пользователь может конфликтовать с существующим объектом Contact, в результате чего гостевой пользователь создается без ProxyAddress. Это известное ограничение, которое препятствует активации гостевыми пользователями приглашения через прямую ссылку с использованием учетных записей поставщика удостоверений SAML/WS-Fed, MSA, федерации Google или отправки одноразового секретного кода по электронной почте.

Но следующие сценарии должны продолжать работать:

• Активация приглашения через ссылку для активации приглашения по электронной почте с использованием учетных записей поставщика удостоверений SAML/WS-Fed, отправки одноразового секретного кода по электронной почте и федерации Google.
• Войдите обратно в приложение после активации с помощью SAML/WS-Fed IdP, секретного кода электронной почты и учетных записей Федерации Google.

Чтобы разблокировать пользователей, которые не могут активировать приглашение из-за конфликтующего объекта Contact, сделайте следующее:

1. Удалите конфликтующий объект Contact.
2. Удалите гостевого пользователя в Центре администрирования Microsoft Entra (свойство "Приглашение принято" должно находиться в состоянии ожидания).
3. Повторно всвойте гостевого пользователя.
4. Дождитесь, пока пользователь активирует приглашение.
5. Добавьте контактный электронный адрес пользователя обратно в Exchange и во все списки рассылки, куда он должен входить.

Поток активации приглашения

Когда пользователь выбирает ссылку "Принять приглашение " по электронной почте приглашения, идентификатор Microsoft Entra ID автоматически активирует приглашение в соответствии с порядком активации по умолчанию, показанным ниже:

1. Идентификатор Microsoft Entra выполняет обнаружение на основе пользователей, чтобы определить, существует ли пользователь в управляемом клиенте Microsoft Entra. (Неуправляемые учетные записи Microsoft Entra больше не могут использоваться для потока активации.) Если имя участника-пользователя (UPN) совпадает с существующей учетной записью Microsoft Entra и личным MSA, пользователю будет предложено выбрать учетную запись, с которой они хотят активировать.

2. Если администратор включил федерацию SAML/WS-Fed IdP, идентификатор Microsoft Entra id проверка, если суффикс домена пользователя соответствует домену настроенного поставщика удостоверений SAML/WS-Fed и перенаправляет пользователя на предварительно настроенный поставщик удостоверений.

3. Если администратор включил федерацию Google, идентификатор Microsoft Entra id проверка, если суффикс домена пользователя gmail.com или googlemail.com и перенаправляет пользователя в Google.

4. Процесс активации проверка, если у пользователя есть личные MSA. Если у пользователя уже есть существующая MSA, он будет входить в систему с ее помощью.

5. После идентификации домашнего каталога пользователя он перенаправляется соответствующему поставщику удостоверений для входа в систему.

6. Если домашний каталог не найден и функция отправки одноразового секретного кода по электронной почте включена для гостей, секретный код отправляется пользователю на адрес электронной почты приглашенного лица. Пользователь получает и вводит этот секретный код на странице входа в Microsoft Entra.

7. Если домашний каталог не найден и функция отправки одноразового секретного кода по электронной почте отключена, пользователю будет предложено создать пользовательскую учетную запись MSA с использованием адреса электронной почты приглашенного лица. Мы поддерживаем создание MSA с рабочими электронными письмами в доменах, которые не проверены в идентификаторе Microsoft Entra.

8. После проверки подлинности в нужном поставщике удостоверений пользователь перенаправляется на идентификатор Microsoft Entra, чтобы завершить работу с согласием.

Настраиваемое активация

Настраиваемое активация позволяет настроить порядок поставщиков удостоверений, представленных гостям при активации приглашений. Когда гость выбирает ссылку "Принять приглашение", идентификатор Microsoft Entra id автоматически активирует приглашение в соответствии с порядком по умолчанию. Это можно переопределить, изменив порядок активации поставщика удостоверений в параметрах доступа между клиентами.

Условия предоставления согласия для гостей

Когда гость впервые входит в партнерскую организацию для получения доступа к ресурсам, для него отображаются следующие страницы согласия. Эти страницы согласия отображаются для гостя только после входа, они не отображаются, если пользователь уже принял их.

1. Гость просматривает страницу Проверка разрешений с описанием заявления о конфиденциальности в приглашенной организации. Чтобы продолжить, пользователь должен принять условия использования своих данных в соответствии с политиками конфиденциальности приглашающей организации.

   

   Примечание.

   Сведения о том, как администратор клиента может связаться с заявлением о конфиденциальности вашей организации, см . в статье "Практическое руководство. Добавление сведений о конфиденциальности организации в идентификатор Microsoft Entra ID".

2. Если условия использования настроены, гостю необходимо открыть и изучить их, а затем нажать кнопку Принять.

   

   Вы можете настроить условия использования в разделе Внешние удостоверения>Условия использования.

3. Если не указано иное, гость перенаправляется на панель доступа к приложениям, в которой перечислены приложения, доступные гостю.

   

В вашем каталоге значение для гостя Приглашение принято изменяется на Да. Если вы создали MSA, гостевой параметр Источник будет иметь значение Учетная запись Майкрософт. Дополнительные сведения о свойствах учетной записи гостевого пользователя см. в разделе "Свойства пользователя совместной работы Microsoft Entra B2B". Если отображается сообщение об ошибке, требующее согласия администратора при доступе к приложению, см. раздел о том, как предоставить согласие администратора для приложений.

Параметр процесса автоматического активации

Возможно, вы хотите автоматически активировать приглашения, чтобы пользователи не должны принимать запрос согласия при добавлении в другой клиент для совместной работы B2B. При настройке сообщение электронной почты уведомления отправляется пользователю совместной работы B2B, которому не требуется никаких действий от пользователя. Пользователи отправляют сообщение электронной почты с уведомлением напрямую, и им не нужно сначала обращаться к клиенту перед получением сообщения электронной почты.

Сведения о том, как автоматически активировать приглашения, см . в обзоре межтенантного доступа и настройке параметров доступа между клиентами для совместной работы B2B.

Следующие шаги

• Что такое совместная работа Microsoft Entra B2B?
• Свойства пользователя службы совместной работы Azure Active Directory B2B
• Сообщение электронной почты с приглашением