Microsoft Entra B2B 协作邀请兑换
本文介绍来宾用户可以访问资源以及所遇到的同意过程的方式。 如果向来宾发送邀请电子邮件,邀请会附有一个链接,来宾可以兑换该链接来访问应用或门户。 邀请电子邮件只是来宾可以访问资源的其中一种方式。 或者,可以将来宾添加到目录并为其提供指向要共享的门户或应用的直接链接。 无论他们使用哪种方法,都会指导来宾完成首次同意过程。 此过程可确保来宾同意隐私条款,并接受已设置的任何使用条款。
将来宾用户添加到目录时,来宾用户帐户的同意状态(可在 PowerShell 中查看)最初设置为“PendingAcceptance”。 在来宾接受邀请并同意隐私策略和使用条款之前,此设置一直保留。 此后,同意状态会更改为“已接受”,且不再向来宾显示同意页。
重要
- 从 2021 年 7 月 12 日开始,如果 Microsoft Entra B2B 客户设置了新的 Google 集成,将其用于自定义应用程序或业务线应用程序的自助注册,则在身份验证转移到系统 Web 视图之前,无法使用 Google 标识进行身份验证。 了解详细信息。
- 从 2021 年 9 月 30 日开始,Google 将弃用嵌入式 Web 视图登录支持。 如果你的应用使用嵌入式 Web 视图对用户进行身份验证,而你将 Google 联合身份验证与 Azure AD B2C 或 Microsoft Entra B2B 配合使用来进行外部用户邀请或自助注册,则 Google Gmail 用户将无法进行身份验证。 了解详细信息。
- 电子邮件一次性密码功能现在默认为所有新租户以及尚未显式关闭的任何现有租户启用。 关闭此功能时,回退身份验证方法将提示被邀请者创建 Microsoft 帐户。
通过常用终结点进行的兑换流程和登录
来宾用户现可通过 https://myapps.microsoft.com 等常用终结点 (URL) 登录到多租户或 Microsoft 第一方应用。 以前,常用 URL 会将来宾用户重定向到其主租户(而不是资源租户)进行身份验证,因此需要特定于租户的链接(例如 https://myapps.microsoft.com/?tenantid=<tenant id>)。 现在,来宾用户可以访问应用程序的常用 URL,选择“登录选项”,然后选择“登录组织” 。 然后,用户需要键入组织的域名。
然后,用户重定向到特定于租户的终结点,用户可在其中使用其电子邮件地址登录或选择已配置的标识提供者。
通过直接链接的兑换流程
作为邀请电子邮件或应用程序的常用 URL 的替代方法,你可以为来宾提供指向你的应用或门户的直接链接。 首先需要通过 Microsoft Entra 管理中心或 PowerShell 将来宾用户添加到目录中。 然后,可以使用将应用程序部署到用户的可自定义方式(包括直接登录链接)。 当来宾使用直接链接而不是邀请电子邮件时,仍将指导他们完成首次同意体验。
注意
直接链接特定于租户。 换句话说,它包含租户 ID 或已验证的域,以便可以在共享应用所在的租户中对来宾进行身份验证。 下面是包含租户上下文的直接链接的一些示例:
- 应用访问面板:
https://myapps.microsoft.com/?tenantid=<tenant id> - 已验证域的应用访问面板:
https://myapps.microsoft.com/<;verified domain> - Microsoft Entra 管理中心:
https://entra.microsoft.com/<tenant id> - 单个应用:了解如何使用直接登录链接
在某些情况下,建议通过直接链接发送邀请电子邮件。 如果这些特殊情况对贵组织而言很重要,我们建议使用仍会发送邀请电子邮件的方法来邀请用户:
- 有时,由于与联系人对象(例如,Outlook 联系人对象)存在冲突,受邀用户对象可能会没有电子邮件地址。 在这种情况下,用户必须选择邀请电子邮件中的兑换 URL。
- 用户可使用受邀电子邮件地址的别名登录。 (别名指与电子邮件帐户关联的其他电子邮件地址。)在这种情况下,用户必须选择邀请电子邮件中的兑换 URL。
通过邀请电子邮件的兑换流程
使用 Microsoft Entra 管理中心将来宾用户添加到目录时,会在该过程中向来宾发送邀请电子邮件。 你还可以选择在使用 PowerShell 将来宾用户添加到目录时发送邀请电子邮件。 下面是来宾在兑换电子邮件中的链接时的体验说明。
- 来宾收到从 Microsoft 邀请发送的邀请电子邮件。
- 来宾选择电子邮件中的“接受邀请”。
- 来宾将使用其自己的凭据登录到目录。 如果来宾没有可联合到目录的帐户,且未启用电子邮件一次性密码 (OTP) 功能;系统将提示来宾创建个人 MSA。 有关详细信息,请参阅邀请兑换流。
- 将指导来宾完成下面所述的同意体验。
冲突的 Contact 对象的兑换流程限制
有时,受邀的外部来宾用户的电子邮件可能会与现有的 Contact 对象冲突,从而导致创建来宾用户时没有 proxyAddress。 这是一个已知限制,可防止来宾用户使用 SAML/WS-Fed IdP、MSA、Google 联合身份验证或电子邮件一次性密码帐户通过直接链接兑换邀请。
但是,以下情况应继续有效:
- 使用 SAML/WS-Fed IdP、电子邮件一次性密码和 Google 联合身份验证帐户通过邀请电子邮件兑换链接兑换邀请。
- 使用 SAML/WS-Fed IdP、电子邮件一次性密码和Google 联合身份验证帐户完成兑换流程后重新登录应用程序。
若要取消阻止因 Contact 对象冲突而无法兑换邀请的用户,请执行以下步骤:
- 删除冲突的 Contact 对象。
- 在 Microsoft Entra 管理中心删除来宾用户(用户的“邀请已接受”属性应处于等待中状态)。
- 重新邀请来宾用户。
- 等待用户兑换邀请。
- 将用户的联系人电子邮件重新添加到 Exchange 以及他们应属于的任何 DL 中。
邀请兑换流
当用户选择邀请电子邮件中的“接受邀请”链接时,Microsoft Entra ID 将根据如下所示的默认兑换顺序自动兑换邀请:
Microsoft Entra ID 执行基于用户的发现,以确定该用户是否已存在于托管 Microsoft Entra 租户中。 (非托管 Microsoft Entra 帐户不能再用于兑换流程。)如果用户的用户主体名称 (UPN) 与现有的 Microsoft Entra 帐户和个人 MSA 匹配,则会提示用户选择要兑换的帐户。
如果管理员已启用 SAML/WS-Fed IdP 联合身份验证,Microsoft Entra ID 会检查用户的域后缀是否与已配置的 SAML/WS-Fed 标识提供程序的域相匹配,并将用户重定向到预配置的标识提供程序。
如果管理员已启用 Google 联合,Microsoft Entra ID 会检查用户的域后缀是 gmail.com 还是 googlemail.com,并将用户重定向到 Google。
兑换过程会检查用户是否具有现有个人 MSA。 如果用户已有现有 MSA,则用户将使用其现有的 MSA 登录。
标识用户的主目录后,用户将发送到相应的标识提供程序进行登录。
如果未找到主目录,并且为来宾启用了一次性密码功能,则通过受邀电子邮件向用户发送密码。 用户会在 Microsoft Entra 登录页面中检索并输入此密码。
如果未找到主目录并对来宾禁用一次性密码,则会提示用户通过受邀电子邮件创建使用者 MSA。 支持未在 Microsoft Entra ID 中验证的域中使用工作电子邮件创建 MSA。
对正确的标识提供程序进行身份验证后,用户将重定向到 Microsoft Entra ID 以完成同意体验。
可配置兑换
可配置的兑换允许你自定义当来宾兑换邀请时向其显示标识提供者的顺序。 当来宾选择“接受邀请”链接时,Microsoft Entra ID 会自动根据 默认顺序来兑换邀请。 你可以通过在跨租户访问设置中更改标识提供者兑换顺序来覆盖此顺序。
来宾的同意体验
当来宾首次登录合作伙伴组织中的资源时,他们将看到以下同意体验。 这些同意页面仅在来宾登录后才会显示,如果用户已经接受它们,则根本不显示这些页面。
来宾查看描述邀请组织的隐私声明的“查看权限”页。 用户必须“接受”根据邀请组织的隐私策略使用其信息才能继续。
同意此同意提示,即表示你已知帐户的某些内容将被共享。 其中包括你的姓名、照片和电子邮件地址,以及目录标识符,其他组织可能会使用这些标识符来更好地管理你的帐户并改善你的跨组织体验。
注意
有关如何以租户管理员身份链接到组织隐私声明的信息,请参阅操作说明:在 Microsoft Entra ID 中添加组织的隐私信息。
如果已配置使用条款,来宾将打开并查看使用条款,然后选择“接受”。
可以在“外部标识”>“使用条款”中配置使用条款。
除非另行指定,否则来宾将重定向到应用访问面板,其中列出了来宾可以访问的应用程序。
在目录中,来宾的“已接受邀请”值更改为“是” 。 如果创建了 MSA,则来宾的“源”将显示“Microsoft 帐户”。 有关来宾用户帐户属性的详细信息,请参阅 Microsoft Entra B2B 协作用户的属性。 如果在访问应用程序时看到要求管理员同意的错误,请参阅如何向应用授予管理员同意。
自动兑换流程设置
你可能希望自动兑换邀请,以便在将用户添加到另一个租户进行 B2B 协作时不必接受同意提示。 配置后,B2B 协作用户会收到一封通知电子邮件,用户无需执行任何操作。 系统会直接向用户发送通知电子邮件,用户不需要先访问租户即可收到电子邮件。
有关如何自动兑换邀请的信息,请参阅跨租户访问概述和为 B2B 协作配置跨租户访问设置。