Gäller för: Personalklientorganisationer Externa klienter (läs mer)
Dessa vanliga frågor och svar om B2B-samarbete (Microsoft Entra business-to-business) uppdateras regelbundet för att inkludera nya ämnen.
Viktigt
- Från och med den 4 januari 2021 inaktuella webview-inloggningsstöd från Google. Om du använder Google-federation eller självbetjäningsregistrering med Gmail bör du testa dina verksamhetsspecifika interna program för kompatibilitet.
- Funktionen för engångslösenord för e-post är nu aktiverad som standard för alla nya klienter och för alla befintliga klienter där du inte uttryckligen har inaktiverat den. När den här funktionen är inaktiverad är återställningsautentiseringsmetoden att uppmana inbjudna att skapa ett Microsoft-konto.
Absolut, för information om hur du anpassar din organisations inloggningssida, se Lägg till företagsanpassning för att logga in och Åtkomstpanelen sidor.
Ja. Möjligheten att söka efter befintliga gästanvändare i SharePoint Online med hjälp av personväljaren är dock av som standard. Om du vill aktivera alternativet för att söka efter befintliga gästanvändare anger du ShowPeoplePickerSuggestionsForGuestUsers till På. Du kan aktivera den här inställningen antingen på klientnivå eller på webbplatssamlingsnivå. Du kan ändra den här inställningen med hjälp av cmdletarna Set-SPOTenant och Set-SPOSite. Med dessa cmdletar kan medlemmar söka efter alla befintliga gästanvändare i katalogen. Ändringar i klientomfånget påverkar inte SharePoint Online-webbplatser som redan har etablerats.
Ja, du kan distribuera Power BI-innehåll till externa gästanvändare med B2B-samarbete. Om du vill dela Power BI-innehåll i Microsoft-moln kan du använda Microsofts molninställningar för att upprätta ömsesidigt B2B-samarbete mellan ditt moln och ett externt moln.
Ja. Mer information om hur du använder funktionen .csv filuppladdning finns i det här PowerShell-exemplet.
Du kan anpassa nästan allt om inbjudningsprocessen med hjälp av API:erna för B2B-inbjudan.
Ja. Gästanvändare kan återställa sin multifaktorautentiseringsmetod på samma sätt som vanliga användare gör.
Den inbjudande organisationen utför multifaktorautentisering. Den inbjudande organisationen måste se till att organisationen har tillräckligt med licenser för sina B2B-användare som använder multifaktorautentisering.
Vad händer om en partnerorganisation redan har konfigurerat multifaktorautentisering? Kan vi lita på deras multifaktorautentisering?
Med åtkomstinställningar mellan klientorganisationer kan du lita på multifaktorautentisering och enhetsanspråk (kompatibla anspråk och Microsoft Entra-hybridanslutna anspråk) från andra Microsoft Entra-organisationer.
Hur många organisationer kan jag lägga till i inställningar för åtkomst mellan klientorganisationer?
Åtkomstinställningar mellan klientorganisationer är en princip i katalogen som lagrar dina inställningar för hur du samarbetar med andra organisationer. Det finns inga gränser för hur många organisationer du kan lägga till i åtkomstinställningar för flera klientorganisationer.
En organisation kanske vill lägga till B2B-samarbetsanvändare, etablera dem i program efter behov och sedan skicka inbjudningar. Du kan använda API:et för B2B-samarbetsinbjudan för att anpassa arbetsflödet för registrering.
Ja. Som standard visas inte gästobjekt i organisationens globala adresslista, men du kan göra dem synliga. Mer information finns i Lägga till gäster i den globala adresslistan i artikeln Microsoft 365 per grupp-gäståtkomst.
Absolut. Mer information finns i Lägga till gästanvändare i en roll.
Tillåter Microsoft Entra B2B-samarbete B2B-användare åtkomst till administrationscentret för Microsoft Entra?
Om inte en användare tilldelas rollen som begränsad administratör behöver B2B-samarbetsanvändare inte åtkomst till administrationscentret för Microsoft Entra. B2B-samarbetsanvändare som har tilldelats rollen som begränsad administratör kan dock komma åt portalen. Om en gästanvändare som inte har tilldelats någon av dessa administratörsroller kommer åt portalen kanske användaren kan komma åt vissa delar av upplevelsen. Gästanvändarrollen har vissa behörigheter i katalogen.
Ja, du kan skapa en princip för villkorsstyrd åtkomst som blockerar gästanvändarens åtkomst till administrationscentret eller portalen. När du konfigurerar principen för villkorsstyrd åtkomst har du detaljerad kontroll över de typer av externa användare som du vill tillämpa principen på. När du konfigurerar den här principen bör du vara noga med att undvika att oavsiktligt blockera åtkomst till medlemmar och administratörer. Läs mer om villkorlig åtkomst för externa användare.
Ja. Multifaktorautentisering och konsument-e-postkonton stöds båda för Microsoft Entra B2B-samarbete.
Om din Microsoft Entra-klientorganisation är hemkatalogen för en användare kan du återställa användarens lösenord från administrationscentret för Microsoft Entra. Men du kan inte återställa ett lösenord direkt för en gästanvändare som loggar in med ett konto som hanteras av en annan Microsoft Entra-katalog eller extern identitetsprovider. Endast gästanvändaren eller en administratör i användarens arbetskatalog kan återställa lösenordet. Här följer några exempel på hur lösenordsåterställning fungerar för gästanvändare:
Gästanvändare i en Microsoft Entra-klientorganisation som har markerats med "Gäst" (UserType==Gäst) kan inte registrera sig för SSPR via https://aka.ms/ssprsetup. Den här typen av gästanvändare kan bara utföra SSPR via https://aka.ms/sspr.
Gästanvändare som loggar in med ett Microsoft-konto (till exempel guestuser@live.com) kan återställa sina egna lösenord med hjälp av självbetjäning av lösenordsåterställning för Microsoft-konto (SSPR). Se Så här återställer du lösenordet för ditt Microsoft-konto.
Gästanvändare som loggar in med ett Google-konto eller en annan extern identitetsprovider kan återställa sina egna lösenord med hjälp av identitetsleverantörens SSPR-metod. En gästanvändare med Google-kontot guestuser@gmail.com kan till exempel återställa sitt lösenord genom att följa anvisningarna i Ändra eller återställa lösenordet.
Om identitetsklientorganisationen är en just-in-time-klient (JIT) eller "viral" klientorganisation (vilket innebär att det är en separat, ohanterad Azure-klientorganisation) kan endast gästanvändaren återställa sitt lösenord. Ibland tar en organisation över hanteringen av virala klienter som skapas när anställda använder sina e-postadresser för arbetet för att registrera sig för tjänster. När organisationen har övertar en viral klientorganisation kan endast en administratör i organisationen återställa användarens lösenord eller aktivera SSPR. Om det behövs, som den inbjudande organisationen, kan du ta bort gästanvändarkontot från din katalog och skicka en inbjudan igen.
Om gästanvändarens hemkatalog är din Microsoft Entra-klientorganisation kan du återställa användarens lösenord. Du kan till exempel ha skapat en användare eller synkroniserat en användare från din lokal Active Directory och ställt in userType på Gäst. Eftersom den här användaren finns i din katalog kan du återställa lösenordet från administrationscentret för Microsoft Entra.
Ja, Dynamics 365 (online) stöder Microsoft Entra B2B-samarbete. Mer information finns i Dynamics 365-artikeln Bjud in användare med Microsoft Entra B2B-samarbete.
Microsoft Entra-ID har en fast uppsättning krav på tecken, lösenordsstyrka och kontoutelåsning som gäller lika för alla Microsoft Entra-molnanvändarkonton. Molnanvändarkonton är konton som inte är federerade med en annan identitetsprovider, till exempel
- Microsoft-konto
- Active Directory Federation Services
- En annan molnklient (för B2B-samarbete)
För federerade konton beror lösenordsprincipen på den princip som tillämpas i den lokala innehavarorganisationen och användarens Microsoft-kontoinställningar.
En organisation kanske vill ha olika upplevelser i sina program för klientanvändare och gästanvändare. Finns det standardvägledning för detta? Gör identitetsprovidern anspråk på rätt modell att använda?
En gästanvändare kan använda valfri identitetsprovider för att autentisera. Mer information finns i Egenskaper för en B2B-samarbetsanvändare. Använd egenskapen UserType för att fastställa användarupplevelsen. UserType-anspråket ingår för närvarande inte i token. Program bör använda Microsoft Graph-API:et för att fråga efter katalogen för användaren och hämta UserType.
Vi lyssnar ständigt på din feedback för att förbättra B2B-samarbetet. Dela dina användarscenarier, metodtips och vad du gillar med Microsoft Entra B2B-samarbete. Delta i diskussionen i Microsoft Tech Community.
Vi inbjuder dig också att skicka in dina idéer och rösta på framtida funktioner på B2B Collaboration Ideas.
Kan vi skicka en inbjudan som löses in automatiskt, så att användaren bara är "redo att gå"? Eller måste användaren alltid klicka sig fram till inlösnings-URL:en?
Du kan bjuda in andra användare i partnerorganisationen med hjälp av användargränssnittet, PowerShell-skripten eller API:erna. Du kan sedan skicka en direktlänk till en delad app till gästanvändaren. I de flesta fall behöver du inte längre öppna e-postinbjudan och klicka på en inlösen-URL. Se Inlösen av Microsoft Entra B2B-samarbetsinbjudan.
Hur fungerar B2B-samarbete när den inbjudna partnern använder federation för att lägga till sin egen lokala autentisering?
Om partnern har en Microsoft Entra-klientorganisation som är federerad till den lokala autentiseringsinfrastrukturen uppnås lokal enkel inloggning (SSO) automatiskt. Om partnern inte har någon Microsoft Entra-klientorganisation skapas ett Microsoft Entra-konto för nya användare.
Kan ett lokalt Azure AD B2C-konto bjudas in till en Microsoft Entra-klientorganisation för B2B-samarbete?
Nej. Ett lokalt Azure AD B2C-konto kan bara användas för att logga in på Azure AD B2C-klientorganisationen. Kontot kan inte användas för att logga in på en Microsoft Entra-klientorganisation. Det går inte att bjuda in ett lokalt Azure AD B2C-konto till en Microsoft Entra-klientorganisation för B2B-samarbete.
Alla Microsoft Entra-integrerade program har stöd för Azure B2B-gästanvändare, men de måste använda en slutpunkt som konfigurerats som klientorganisation för att autentisera gästanvändare. Du kan också behöva anpassa anspråken i SAML-token som utfärdas när en gästanvändare autentiserar till appen.
Kan vi framtvinga multifaktorautentisering för B2B-gästanvändare om våra partner inte har multifaktorautentisering?
Ja. Mer information finns i Villkorsstyrd åtkomst för B2B-samarbetsanvändare.
I SharePoint kan du definiera en lista med "tillåt" eller "neka" för externa användare. Kan vi göra detta i Azure?
Ja. Microsoft Entra B2B-samarbete stöder tillåtna listor och blocklistor.
Information om vilka licenser din organisation behöver för att använda Microsoft Entra B2B finns i Prissättning för externt ID.
Det beror på. Som standard tillåter Endast Microsoft Entra UPN för inloggnings-ID. När UPN och e-post är desamma fungerar Microsoft Entra B2B-inbjudningar och efterföljande inloggningar som förväntat. Problem kan dock uppstå när en användares e-post och UPN inte matchar, och e-postmeddelandet används i stället för UPN för att logga in. När en användare bjuds in med ett icke-UPN-e-postmeddelande kan de lösa in inbjudan om de löser in med hjälp av e-postinbjudan, men inlösen via en direktlänk misslyckas. Men även om användaren löser in inbjudan misslyckas efterföljande inloggningsförsök med icke-UPN-e-postmeddelandet om inte identitetsprovidern (antingen Microsoft Entra-ID eller en federerad identitetsprovider) har konfigurerats för att tillåta e-post som ett alternativt inloggnings-ID. Det här problemet kan åtgärdas genom att:
- Aktivera e-post som ett alternativt inloggnings-ID i den inbjudna/hem-Microsoft Entra-klientorganisationen
- Aktivera den federerade identitetsprovidern för att stödja e-post som inloggnings-ID (om Microsoft Entra-ID är federerat till en annan identitetsprovider) eller
- Instruera användaren att lösa in/logga in med sitt UPN.
För att undvika det här problemet helt bör administratörer se till att användarnas UPN och e-post är samma värde.
Anteckning
Inbjudningar och inlösen som skickas över Microsoft-moln måste använda UPN. E-post stöds inte just nu. Om till exempel en användare från en amerikansk myndighetsklient är inbjuden till en kommersiell klientorganisation måste användaren bjudas in med sitt UPN.
I B2B-samarbetsflödena lägger vi till användare i katalogen och uppdaterar dem dynamiskt under inlösningsprocessen för inbjudningar, apptilldelning och så vidare. Uppdateringarna och skrivningarna sker vanligtvis i en kataloginstans och måste replikeras över alla instanser. Replikeringen har slutförts när alla instanser har uppdaterats. Ibland när objektet skrivs eller uppdateras i en instans och anropet för att hämta objektet är till en annan instans, kan replikeringsfördröjningar inträffa. Om det händer uppdaterar eller försöker du igen för att hjälpa till. Om du skriver en app med hjälp av vårt API är återförsök med viss back-off en bra defensiv metod för att lindra problemet.