Configurare le impostazioni di collaborazione esterna per B2B in Microsoft Entra per ID esterno

Si applica a: Cerchio verde con segno di spunta bianco. Tenant delle risorse Cerchio bianco con il simbolo X grigio. Tenant esterni (altre informazioni)

Le impostazioni di collaborazione esterna consentono di specificare quali ruoli dell'organizzazione possono invitare utenti esterni a Collaborazione B2B. Queste impostazioni includono anche opzioni per consentire o bloccare domini specifici e opzioni per limitare le risorse che gli utenti guest esterni possono visualizzare nella directory di Microsoft Entra. Sono disponibili le seguenti opzioni:

  • Determinare l'accesso utente guest: Microsoft Entra per ID esterno consente di limitare il numero di utenti guest esterni che possono visualizzare i contenuti della directory di Microsoft Entra. Ad esempio, è possibile limitare la visualizzazione degli utenti guest delle appartenenze ai gruppi o consentire agli utenti guest di visualizzare solo le proprie informazioni sul profilo.

  • Specificare chi può invitare utenti guest: per impostazione predefinita, tutti gli utenti dell'organizzazione, inclusi gli utenti guest di Collaborazione B2B, possono invitare utenti esterni a Collaborazione B2B. Se si vuole limitare la possibilità di inviare inviti, è possibile attivare o disattivare gli inviti per tutti o limitare gli inviti a determinati ruoli.

  • Abilitare l'iscrizione self-service guest tramite i flussi utente: per le applicazioni compilate, è possibile creare flussi utente che consentano a un utente di iscriversi a un'app e creare un nuovo account guest. È possibile abilitare la funzionalità nelle impostazioni di collaborazione esterna e quindi aggiungere un flusso utente di iscrizione self-service all'app.

  • Consentire o bloccare domini: è possibile usare le restrizioni di collaborazione per consentire o negare gli inviti ai domini specificati. Per informazioni dettagliate, vedere Consentire o bloccare i domini.

Per usare Collaborazione B2B con altre organizzazioni di Microsoft Entra, è anche consigliabile esaminare le impostazioni di accesso tra tenant per assicurare la collaborazione B2B in ingresso e in uscita e l'accesso ambito a utenti, gruppi e applicazioni specifici.

Per gli utenti finali di Collaborazione B2B che eseguono accessi tra tenant, viene visualizzata la personalizzazione del tenant principale, anche se non è specificata alcuna personalizzazione. Nell'esempio seguente la personalizzazione dell'azienda per Woodgrove Groceries viene visualizzata a sinistra. Nell'esempio a destra viene visualizzata la personalizzazione predefinita per il tenant principale dell'utente.

Screenshot che mostrano un confronto tra l'esperienza di accesso personalizzata e l'esperienza di accesso predefinita.

Nota

A seconda delle impostazioni di collaborazione esterna da configurare, potrebbero essere necessari ruoli di amministratore diversi. Questo articolo specifica il ruolo necessario per ogni tipo di impostazione. Vedere anche Ruoli con privilegi minimi in base all'attività per ID esterno/B2C.

Configurare le impostazioni nel portale

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

Per configurare l'accesso utente guest

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .

  2. Passare a Identità>Identità esterne>Impostazioni per le collaborazioni esterne.

  3. In Accesso utente guest scegliere il livello di accesso che si vuole assegnare agli utenti guest:

    Screenshot che mostra le impostazioni di accesso per un utente guest.

    • Gli utenti guest hanno lo stesso accesso dei membri (più inclusivo): questa opzione consente agli utenti guest di accedere alle risorse di Microsoft Entra e ai dati della directory degli utenti membri.

    • Gli utenti guest hanno accesso limitato alle proprietà e alle appartenenze degli oggetti directory (impostazione predefinita): questa impostazione impedisce agli utenti guest di eseguire determinate attività di directory, come enumerare utenti, gruppi o altre risorse di directory. Gli utenti guest possono vedere l'appartenenza di tutti i gruppi non nascosti. Altre informazioni sulle autorizzazioni guest predefinite.

    • L'accesso utente guest è limitato alle proprietà e alle appartenenze dei propri oggetti directory (più restrittivo): con questa impostazione, gli utenti guest possono accedere solo ai propri profili. Gli utenti guest non possono visualizzare i profili, i gruppi o le appartenenze a gruppi di altri utenti.

Per configurare le impostazioni di invito guest

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come mittente dell'invito guest.

  2. Passare a Identità>Identità esterne>Impostazioni per le collaborazioni esterne.

  3. In Impostazioni invito guest scegliere le impostazioni appropriate:

    Screenshot che mostra le impostazioni dell'invito guest.

    • Chiunque nell'organizzazione può invitare utenti guest, inclusi utenti guest e non amministratori (più inclusivo): selezionare questo pulsante di opzione per consentire agli utenti guest dell'organizzazione di invitare altri utenti guest, inclusi gli utenti che non sono membri di un'organizzazione.
    • Gli utenti membri e gli utenti assegnati a ruoli di amministratore specifici possono invitare utenti guest, inclusi gli utenti guest con autorizzazioni membro: selezionare questo pulsante di opzione per consentire agli utenti membri e agli utenti con ruoli di amministratore specifici di invitare utenti guest.
    • Solo gli utenti assegnati a un ruolo di tipo amministratore specifico possono invitare utenti guest: selezionare questo pulsante di opzione per consentire solo gli utenti con ruoli di amministratore utenti o mittente dell'invito guest di invitare utenti guest.
    • Nessuno dell'organizzazione può invitare utenti guest inclusi gli amministratori (più restrittivo): selezionare questo pulsante di opzione per impedire a tutti gli utenti dell'organizzazione di invitare utenti guest.

Per configurare l'iscrizione self-service del guest

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore utenti.

  2. Passare a Identità>Identità esterne>Impostazioni per le collaborazioni esterne.

  3. In Abilita iscrizione self-service guest tramite i flussi utente selezionare se si vuole poter creare flussi utente che consentano agli utenti di iscriversi per le app. Per altre informazioni su questa impostazione, vedere Aggiungere un flusso utente di iscrizione self-service a un'app.

    Screenshot che mostra l'iscrizione self-service tramite l'impostazione dei flussi utente.

Per configurare le impostazioni di uscita dell'utente esterno

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore di provider di identità esterna.

  2. Passare a Identità>Identità esterne>Impostazioni per le collaborazioni esterne.

  3. In Impostazioni di uscita degli utenti esterni è possibile controllare se gli utenti esterni possono rimuoversi di propria iniziativa dall'organizzazione.

    • : gli utenti possono lasciare l'organizzazione di propria iniziativa senza l'approvazione dell'amministratore o del contatto per la privacy.
    • No: gli utenti non possono lasciare l'organizzazione di propria iniziativa. Viene visualizzato un messaggio che li aiuta a contattare l'amministratore o il contatto per la privacy per richiedere la rimozione dall'organizzazione.

    Importante

    È possibile configurare le Impostazioni di uscita degli utenti esterni solo se sono state aggiunte le informazioni sulla privacy al tenant di Microsoft Entra. In caso contrario, questa impostazione non sarà disponibile.

    Screenshot che mostra le impostazioni di uscita degli utenti esterni nel portale.

Per configurare le restrizioni di collaborazione (consentire o bloccare domini)

Importante

Microsoft consiglia di usare i ruoli con minori autorizzazioni. Ciò consente di migliorare la sicurezza dell'organizzazione. L'amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore globale.

  2. Passare a Identità>Identità esterne>Impostazioni per le collaborazioni esterne.

  3. In Restrizioni di collaborazione è possibile scegliere se consentire o negare gli inviti ai domini specificati e immettere nomi di dominio specifici nelle caselle di testo. Per specificare più domini, immettere ognuno in una nuova riga. Per altre informazioni, consultare Consentire o bloccare gli inviti agli utenti B2B da organizzazioni specifiche.

    Screenshot che mostra le impostazioni delle restrizioni relative alla collaborazione.

Configurare le impostazioni con Microsoft Graph

Le impostazioni di collaborazione esterna possono essere configurate tramite l'API di Microsoft Graph:

  • Per Restrizioni di accesso utente guest e Restrizioni di invito guest, usare il tipo di risorsa authorizationPolicy.
  • Per l'impostazione Abilita iscrizione self-service guest tramite i flussi utente, usare il tipo di risorsa authenticationFlowsPolicy.
  • Per le impostazioni relative al passcode monouso tramite posta elettronica (ora nella pagina Tutti i provider di identità dell'Interfaccia di amministrazione di Microsoft Entra), usare il tipo di risorsa emailAuthenticationMethodConfiguration.

Assegnare il ruolo Mittente dell'invito guest a un utente

Il ruolo Mittente dell'invito guest permette di concedere a singoli utenti la possibilità di invitare utenti guest senza assegnare loro il ruolo di amministratore con privilegi più elevati. Gli utenti con il ruolo Mittente dell'invito guest possono invitare utenti guest anche quando è selezionata l'opzione Solo gli utenti assegnati a ruoli di amministratore specifici possono invitare gli utenti guest (in Impostazioni invito guest).

Ecco un esempio che mostra come usare Microsoft Graph PowerShell per aggiungere un utente al ruolo Guest Inviter:


Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

Log di accesso per gli utenti B2B

Quando un utente B2B accede a un tenant di risorse per collaborare, viene generato un log di accesso sia nel tenant principale che nel tenant delle risorse. Questi log includono informazioni come l'applicazione usata, gli indirizzi di posta elettronica, il nome del tenant e l'ID tenant sia per il tenant principale che per il tenant delle risorse.

Passaggi successivi

Vedere gli articoli seguenti sulla Collaborazione B2B di Microsoft Entra: