Configurer les paramètres de collaboration externe pour B2B dans ID externe Microsoft Entra

S’applique à :Cercle vert avec un symbole de coche blanche. Locataires de main-d’œuvre Cercle blanc avec un symbole X gris. Locataires externes (en savoir plus)

Les paramètres de collaboration externe vous permettent de spécifier les rôles de votre organisation qui peuvent inviter des utilisateurs externes pour la collaboration B2B. Ces paramètres incluent également des options permettant d’autoriser ou de bloquer des domaines spécifiques, ainsi que des options permettant de limiter ce que les utilisateurs invités externes peuvent voir dans votre répertoire Microsoft Entra. Les options suivantes sont disponibles :

  • Déterminer l’accès de l’utilisateur invités : Microsoft Entra ID externe vous permet de limiter ce que les utilisateurs invités externes peuvent voir dans votre répertoire Microsoft Entra. Par exemple, vous pouvez limiter l’affichage des appartenances de groupe aux utilisateurs invités ou autoriser les invités à afficher uniquement leurs propres informations de profil.

  • Spécifier qui peut inviter des invités : Par défaut, tous les utilisateurs de votre organisation, y compris les utilisateurs invités B2B collaboration, peuvent inviter des utilisateurs externes à B2B collaboration. Si vous souhaitez limiter la capacité à envoyer des invitations, vous pouvez activer ou désactiver les invitations pour tout le monde ou limiter les invitations à certains rôles.

  • Activer l’inscription en libre-service d’invité via les flux d’utilisateur : Pour les applications que vous générez, vous pouvez créer des flux d’utilisateur qui permettent à un utilisateur de s’inscrire à une application et de créer un compte invité. Vous pouvez activer la fonctionnalité dans vos paramètres de collaboration externe, puis Ajouter un flux d’utilisateur d’inscription en libre-service.

  • Autoriser ou bloquer des domaines : vous pouvez utiliser des restrictions de collaboration pour autoriser ou refuser des invitations aux domaines que vous spécifiez. Pour plus d’informations, consultez Autoriser ou bloquer des domaines.

Pour la collaboration B2B avec d’autres organisations Microsoft Entra, vous devez également passer en revue les paramètres d’accès inter-locataires pour garantir la collaboration B2B et limiter l’étendue d’accès à des utilisateurs, groupes et applications spécifiques.

Pour les utilisateurs finaux B2B Collaboration qui effectuent des connexions entre locataires, la marque de leur locataire d’origine s’affiche, même si aucune marque personnalisée n’est spécifiée. Dans l’exemple suivant, la marque d’entreprise pour Woodgrove Groceries s’affiche sur la gauche. L’exemple de droite affiche la marque par défaut du locataire d’origine de l’utilisateur.

Captures d’écran montrant une comparaison de l’expérience de connexion de marque et de l’expérience de connexion par défaut.

Remarque

Selon les paramètres de collaboration externe que vous souhaitez configurer, différents rôles d’administrateur peuvent être nécessaires. Cet article spécifie le rôle requis pour chaque type de paramètre. Consultez également Rôles avec privilèges minimum par tâche pour l’ID externe/B2C.

Configurer les paramètres dans le portail

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Pour configurer l’accès utilisateur invité

  1. Connectez-vous au centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.

  2. Accédez à Identité>Identités externes>Paramètres de collaboration externe.

  3. Sous Accès de l’utilisateur invité, choisissez le niveau d’accès que les utilisateurs invités doivent avoir :

    Capture d'écran montrant les paramètres d'accès des utilisateurs invités.

    • Les utilisateurs invités ont le même accès que les membres (le plus inclusif) : Cette option donne aux invités le même accès aux ressources Microsoft Entra et aux données d’annuaire que les utilisateurs membres.

    • Les utilisateurs invités ont un accès limité aux propriétés et aux appartenances des objets d’annuaire : Ce paramètre empêche les invités d’effectuer certaines tâches d’annuaire, telles que l’énumération d’utilisateurs, de groupes ou d’autres ressources de répertoire. Les invités peuvent voir l’appartenance de tous les groupes non masqués. En savoir plus sur les autorisations d’invité par défaut.

    • L’accès utilisateur invité est limité aux propriétés et aux appartenances de ses propres objets d’annuaire (le plus restrictif) : Avec ce paramètre, les invités ne peuvent accéder qu’à leurs propres profils. Les invités ne sont pas autorisés à voir les profils, les groupes ou les membres de groupes d’autres utilisateurs.

Pour configurer les paramètres d’invitation invité

  1. Connectez-vous au Centre d’administration Microsoft Entra au moins en tant que Créateur de clients.

  2. Accédez à Identité>Identités externes>Paramètres de collaboration externe.

  3. Sous Paramètres d’invitation d’invités, choisissez les paramètres appropriés :

    Capture d'écran montrant les paramètres d'invitation des invités

    • Tous les utilisateurs de l’organisation peuvent convier des utilisateurs invités, notamment des invités et des non-administrateurs (paramètre le plus inclusif) : Pour permettre aux invités de l’organisation d’inviter d’autres invités, y compris les utilisateurs non membres d’une organisation, sélectionnez cette case d’option.
    • Les utilisateurs membres et les utilisateurs affectés à des rôles Administrateur spécifiques peuvent inviter des utilisateurs invités, y compris des invités disposant d’autorisations de membre : Pour permettre aux utilisateurs membres et aux utilisateurs ayant des rôles Administrateur spécifiques d’inviter des invités, sélectionnez cette case d’option.
    • Seuls les utilisateurs affectés à des rôles d’administrateur spécifiques peuvent inviter des utilisateurs invités : pour autoriser uniquement les utilisateurs ayant les rôles Administrateur d’utilisateur ou Inviteur d’invités à inviter des utilisateurs, sélectionnez cette case d’option.
    • Aucune personne dans l’organisation ne peut inviter des utilisateurs invités, y compris les administrateurs (option la plus restrictive) : pour empêcher toute personne dans l’organisation d’inviter des invités, sélectionnez ce bouton de radio.

Configurer l’inscription en libre-service pour les invités

  1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Administrateur d’utilisateurs.

  2. Accédez à Identité>Identités externes>Paramètres de collaboration externe.

  3. Sous Activer l’inscription en libre-service d’invité via des flux utilisateur, sélectionnez Oui si vous souhaitez pouvoir créer des flux d’utilisateurs pour permettre aux utilisateurs de s’inscrire sur des applications. Pour plus d’informations sur ce paramètre, consultez Ajouter un flux d’utilisateurs d’inscription en libre-service à une application.

    Capture d’écran montrant l’inscription en libre-service via le paramètre des flux d’utilisateurs.

Configurer les paramètres de congé d’utilisateur externe

  1. Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur de fournisseur d’identité externe.

  2. Accédez à Identité>Identités externes>Paramètres de collaboration externe.

  3. Sous Paramètres de départ de l’utilisateur externe, vous pouvez contrôler si les utilisateurs externes peuvent se supprimer de votre organisation.

    • Oui : les utilisateurs peuvent quitter l’organisation par eux-mêmes sans approbation de votre administrateur ou contact de confidentialité.
    • Non : Les utilisateurs ne peuvent pas quitter votre organisation par eux-mêmes. Ils voient un message les invitant à contacter votre administrateur ou contact de confidentialité pour demander à être supprimés de votre organisation.

    Important

    Vous pouvez configurer les paramètres de congé des utilisateurs externes uniquement si vous avez ajouté vos informations de confidentialité à votre locataire Microsoft Entra. Sinon, ce paramètre n’est pas disponible.

    Capture d’écran montrant les paramètres de congé des utilisateurs externes dans le portail.

Pour configurer des restrictions de collaboration (autoriser ou bloquer des domaines)

Important

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cela permet d’améliorer la sécurité de votre organisation. Administrateur général est un rôle hautement privilégié à ne limiter qu’aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

  1. Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur d’utilisateurs.

  2. Accédez à Identité>Identités externes>Paramètres de collaboration externe.

  3. Sous Restrictions de collaboration, vous pouvez choisir d’autoriser ou de refuser les invitations aux domaines que vous spécifiez. Vous pouvez notamment entrer des noms de domaine spécifiques dans les zones de texte. Pour plusieurs domaines, entrez chaque domaine sur une nouvelle ligne. Pour plus d’informations, consultez Autoriser ou bloquer des invitations aux utilisateurs B2B à partir d’organisations spécifiques.

    Capture d'écran montrant les paramètres de restriction de la collaboration.

Configurer les paramètres avec Microsoft Graph

Les paramètres de collaboration externe peuvent être configurés à l’aide de l’API Microsoft Graph :

  • Pour les restrictions d’accès des utilisateurs invités et les restrictions d’invitation d’invités, utilisez le type de ressource authorizationPolicy.
  • Pour le paramètreActiver l’inscription en libre-service d’invité via le paramètre des flux utilisateur, utilisez le type de ressource authenticationFlowsPolicy.
  • Pour les paramètres de code d’accès à usage unique de courrier électronique (maintenant sur la page Tous les fournisseurs d’identité du centre d’administration Microsoft Entra), utilisez le type de ressource emailAuthenticationMethodConfiguration.

Affecter le rôle Inviteur d’invités à un utilisateur

Avec le rôle Inviteur d’invités, vous pouvez donner à des utilisateurs la possibilité d’inviter des invités sans leur attribuer un rôle d’administrateur avec des privilèges plus élevés. Les utilisateurs disposant du rôle Inviteur d’invités peuvent inviter des invités même lorsque l’option Seuls les utilisateurs avec des rôles spécifiques d’administrateur peuvent convier des utilisateurs invités est sélectionnée (sous paramètres de l’invitation d’invité).

Voici un exemple qui montre comment utiliser Microsoft Graph PowerShell pour ajouter un utilisateur au rôle Guest Inviter :


Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

Journaux de connexion pour les utilisateurs B2B

Lorsqu’un utilisateur B2B se connecte à un locataire de ressources pour collaborer, un journal de connexion est généré à la fois dans le locataire de base et dans le locataire de la ressource. Ces journaux incluent des informations telles que l’application utilisée, les adresses e-mail, le nom du locataire et l’ID de locataire pour le locataire de base et le locataire de la ressource.

Étapes suivantes

Consultez les articles suivants sur la collaboration Microsoft Entra B2B :