Активация приглашения службы совместной работы B2B

Применяется к: зеленый круг с символом белой галочки, указывающим, что следующее содержимое применимо к арендаторам рабочей области. Арендаторы рабочей области (дополнительные сведения)

В этой статье объясняется процесс активации приглашения Microsoft Entra B2B для гостевых пользователей, включая доступ к ресурсам и выполнение необходимых шагов согласия. Если вы отправляете приглашение по электронной почте или предоставляете прямую ссылку, гости руководствуются процессом безопасного входа и согласия, чтобы обеспечить соответствие условиям и условиям использования вашей организации.

При добавлении гостевого пользователя в каталог учетная запись гостевого пользователя имеет состояние согласия (можно просмотреть в PowerShell), которое изначально имеет значение PendingAcceptance. Эта настройка сохраняется до тех пор, пока гость не примет ваше приглашение и не согласится с вашей политикой конфиденциальности и условиями использования. После этого состояние согласия изменяется на Принято и страницы согласия больше не представляются гостю.

Примечание.

Электронные письма с приглашениями B2B, отправляемые из доменов по умолчанию OnMicrosoft, подпадают под ограничения на отправку в Exchange Online. Дополнительные сведения см. в разделе "Ограничение использования домена Onmicrosoft" для отправки сообщений электронной почты . Если вам нужны более высокие ограничения, рассмотрите возможность обновления до личного домена. Дополнительные сведения см. в статье «Добавление вашего личного домена к вашему клиенту».

Процесс активации и вход через общую конечную точку

Гостевые пользователи теперь могут войти в мультитенантные или сторонние приложения Майкрософт через общую конечную точку (URL-адрес), например https://myapps.microsoft.com. Ранее общий URL-адрес перенаправлял пользователя-гостя на основной клиент, а не на ресурсный клиент для аутентификации, поэтому требовалась ссылка для конкретного клиента (например, https://myapps.microsoft.com/?tenantid=<tenant id>). Теперь пользователь-гость может перейти по общему URL-адресу приложения, выбрать Параметры входа, а потом нажать Вход в организацию. Затем пользователь вводит доменное имя вашей организации.

Снимок экрана: схема потока активации приглашения Microsoft Entra B2B.

Затем пользователь перенаправляется в конкретную точку доступа вашей организации, где он может войти, используя свой адрес электронной почты, или выбрать поставщика идентификаций, которого вы настроили.

В качестве альтернативы электронной почте приглашения или общему URL-адресу приложения предоставьте гостевую ссылку на приложение или портал. Сначала добавьте гостевого пользователя в каталог через центр администрирования Microsoft Entra или PowerShell. Затем используйте любой из настраиваемых способов развертывания приложений для пользователей, включая прямые ссылки на вход. Когда гость использует прямую ссылку вместо письма с приглашением, ссылка все равно проведет его через процесс получения согласия в первый раз.

Примечание.

Прямая ссылка предназначается для определенного клиента. Другими словами, она содержит идентификатор арендатора или проверенный домен, чтобы гость мог пройти проверку подлинности в арендаторе, где находится общедоступное приложение. Ниже приведены некоторые примеры прямых ссылок с контекстом клиента.

  • Панель доступа к приложениям: https://myapps.microsoft.com/?tenantid=<tenant id>
  • Панель доступа к приложениям для проверенного домена: https://myapps.microsoft.com/<;verified domain>
  • Центр администрирования Microsoft Entra: https://entra.microsoft.com/<tenant id>
  • Отдельное приложение: смотрите, как использовать ссылку для прямого входа.

Ниже приведены некоторые сведения об использовании прямой ссылки и электронной почты приглашения:

  • Псевдонимы электронной почты: гостям, использующим псевдоним приглашенного адреса электронной почты, требуется отдельное приглашение по электронной почте. (Псевдоним — это другой адрес электронной почты, связанный с учетной записью электронной почты.) Пользователь должен выбрать URL-адрес активации в сообщении электронной почты приглашения.

  • Конфликтующие объекты контакта: Процесс активации предотвращает проблемы входа, когда гостевой объект пользователя конфликтует с объектом контакта в каталоге. При добавлении или приглашении гостя с сообщением электронной почты, которое соответствует существующему контакту, свойство proxyAddresses в гостевом объекте пользователя остается пустым. Ранее внешний идентификатор искал только в свойстве proxyAddresses, поэтому активация прямой ссылки не срабатывала, когда не находило совпадение. Теперь внешний идентификатор выполняет поиск как по proxyAddresses, так и по свойству электронной почты приглашенного пользователя.

Процесс получения через письмо-приглашение

При добавлении гостевого пользователя в каталог через в Центре администрирования Microsoft Entraотправляется письмо с приглашением. Вы также можете отправить приглашения по электронной почте при использовании PowerShell для добавления гостевых пользователей в каталог. Ниже приведено описание интерфейса гостя при активации ссылки в сообщении электронной почты.

  1. Гость получает пригласительное письмо по электронной почте от Microsoft Invitations от имени <primary domain> <invites@<primary domain>.onmicrosoft.com>.
  2. Он выбирает пункт Принять приглашение в сообщении электронной почты.
  3. Гость использует свои учетные данные для входа в каталог. Если у гостя нет учетной записи, которая может быть федеративной в каталоге, а одноразовый секретный код (OTP) не включена, гость будет предложено создать личную учетной записи Майкрософт (MSA). Дополнительные сведения см. в разделе о потоке активации приглашения.
  4. Гость проходит через интерфейс согласия , описанный в разделе "Согласие" для гостевого раздела.

Поток погашения приглашения

Когда пользователь выбирает ссылку Принять приглашение в электронной почте приглашения, Microsoft Entra ID автоматически активирует приглашение в соответствии с порядком активации по умолчанию.

Снимок экрана: схема процесса выкупа.

  1. Идентификатор Microsoft Entra выполняет обнаружение пользователей, чтобы определить, уже существует ли пользователь в управляемом клиенте Microsoft Entra. (Неуправляемые учетные записи Microsoft Entra нельзя использовать для процесса активации.) Если имя учетной записи пользователя (UPN) соответствует существующей учетной записи Microsoft Entra и персональной учетной записи Microsoft (MSA), пользователю будет предложено выбрать, с какой учетной записью они хотят активировать.

  2. Если администратор включает SAML/WS-Fed IdP федерацию, Microsoft Entra ID проверяет, соответствует ли суффиксу домена настроенного поставщика удостоверений SAML/WS-Fed и перенаправляет пользователя к предварительно настроенному поставщику удостоверений.

    Примечание.

    Прямая федерация SAML/WS-Fed между двумя клиентами Microsoft Entra не поддерживается или не рекомендуется. Даже если доверие SAML технически настроено между двумя клиентами Entra, Microsoft Entra по-прежнему использует собственную модель совместной работы Entra to-Entra B2B , а не SAML.

  3. Если администратор включает федерацию Google, Microsoft Entra ID проверяет, является ли суффикс домена пользователя gmail.com или googlemail.com, и перенаправляет пользователя на Google.

  4. Процесс активации проверяет наличие у пользователя существующего личного MSA. Если у пользователя уже есть msA, он входит в систему с помощью существующей MSA.

  5. После идентификации домашнего каталога пользователя он перенаправляется соответствующему поставщику удостоверений для входа в систему.

  6. Если домашний каталог не найден и функция отправки одноразового секретного кода по электронной почте включена для гостей, секретный код отправляется пользователю на адрес электронной почты приглашенного лица. Пользователь получает и вводит этот секретный код на странице входа в Microsoft Entra.

  7. Если домашний каталог не найден и функция отправки одноразового секретного кода по электронной почте отключена, пользователю будет предложено создать пользовательскую учетную запись MSA с использованием адреса электронной почты приглашенного лица. Идентификатор Microsoft Entra поддерживает создание MSA с рабочими электронными письмами в доменах, которые не проверены в идентификаторе Microsoft Entra.

  8. После проверки подлинности у нужного поставщика удостоверений пользователь перенаправляется на Microsoft Entra ID, чтобы завершить процесс согласия.

Настраиваемое погашение

Настраиваемое активация позволяет настроить порядок поставщиков удостоверений, представленных гостям при активации приглашений. Когда гость выбирает ссылку "Принять приглашение", Microsoft Entra ID автоматически обменивает приглашение в соответствии с порядком по умолчанию. Переопределите этот порядок, изменив последовательность использования поставщика удостоверений в параметрах доступа между клиентами.

Когда гость впервые входит в ресурс в партнерской организации, он видит следующий опыт предоставления согласия. Гость видит эти страницы согласия только после входа, и они не отображаются вообще, если пользователь уже принял их.

  1. Гость проверяет страницу разрешений проверки , описывающую заявление о конфиденциальности приглашающей организации. Чтобы продолжить, пользователь должен принять использование своей информации в соответствии с политиками конфиденциальности приглашающей организации.

    Согласившись с этим запросом на согласие, вы признаете, что некоторые элементы вашей учетной записи являются общими. Эти элементы включают имя, фотографию и адрес электронной почты, а также идентификаторы каталогов, которые другая организация может использовать для лучшего управления учетной записью и улучшения взаимодействия между организациями.

    Снимок экрана: страница

    Примечание.

    Для получения информации о том, как администратор клиента может сделать ссылку на политику конфиденциальности вашей организации, см. статью "Как добавить информацию о политике конфиденциальности вашей организации в Microsoft Entra ID".

  2. Если условия использования настроены, гость открывает и проверяет условия использования, а затем выбирает "Принять".

    Снимок экрана: новые условия использования.

    Вы можете настроить условия использования в разделе Внешние удостоверения>Условия использования.

  3. Если не указано иное, гость перенаправляется на панель доступа к приложениям, в которой перечислены приложения, доступные гостю.

    Снимок экрана: панель доступа к приложениям.

В вашем каталоге будет изменено значение приглашения гостя с Приглашение принято на Да. Если вы создали MSA, гостевой параметр Источник будет иметь значение Учетная запись Майкрософт. Дополнительные сведения о свойствах учетной записи гостевого пользователя см. в разделе "Свойства пользователя совместной работы Microsoft Entra B2B". Если отображается сообщение об ошибке, требующее согласия администратора при доступе к приложению, см. раздел о том, как предоставить согласие администратора для приложений.

Настройка процесса автоматического выкупа

Возможно, вы хотите автоматически подтверждать приглашения, чтобы пользователи не должны были принимать запрос на согласие при добавлении их в другого арендатора для B2B-сотрудничества. При настройке этого параметра пользователь службы совместной работы B2B получает сообщение электронной почты с уведомлением, которое не требует от них никаких действий. Пользователи получают сообщение электронной почты с уведомлением напрямую и не должны сначала обращаться к клиенту, прежде чем получать сообщение электронной почты.

Для получения информации о том, как автоматически активировать приглашения, см. обзор межтенантного доступа и настройку параметров доступа между клиентами для B2B-сотрудничества.

Дополнительные сведения

  • Начиная с 12 июля 2021 года, если клиенты Microsoft Entra B2B настраивают новые интеграции с Google для самообслуживающей регистрации своих пользовательских или бизнес-приложений, аутентификация с использованием учетных данных Google не будет работать до тех пор, пока она не будет перенесена в системные веб-обозреватели. Дополнительные сведения см. в статье об отмене входа в Google web-view.

  • 30 сентября 2021 года Google прекращает поддержку входа через встроенные веб-представления. Если ваши приложения удостоверяют подлинность пользователей с помощью встроенного веб-просмотра, и если вы используете федерацию Google с Azure AD B2C или Microsoft Entra B2B для приглашений внешних пользователей или самостоятельной регистрации, пользователи Google Gmail не смогут аутентифицироваться. Дополнительные сведения см. в статье об отмене входа в Google web-view.

  • Функция однократного секретного кода электронной почты теперь включена по умолчанию для всех новых клиентов и для всех существующих клиентов, где вы явно не отключили его. Если эта функция отключена, в рамках резервного способа проверки подлинности будет отправляться приглашение на создание учетной записи Майкрософт.

Следующие шаги

  • Last updated on