Sincronizzazione B2B
L'app di sincronizzazione di OneDrive consente ora agli utenti di sincronizzare raccolte o cartelle in Microsoft SharePoint o Microsoft OneDrive condivise da altre organizzazioni. Questo scenario viene spesso definito collaborazione business-to-business (B2B). Questa nuova funzionalità viene chiamata nell'app di sincronizzazione di OneDrive "Sincronizzazione B2B".
Gli account guest di Microsoft Entra svolgono un ruolo chiave nel rendere possibile la collaborazione B2B. Un account guest in un'organizzazione si collega a un account membro di un'altra organizzazione. Una volta creato, un account guest consente ai servizi di Microsoft 365 come OneDrive e SharePoint di concedere un'autorizzazione guest a siti e cartelle allo stesso modo in cui viene concessa l'autorizzazione a un membro all'interno dell'organizzazione. Poiché gli account di due organizzazioni sono collegati, l'utente deve solo ricordare il nome utente e la password per l'account nell'organizzazione. Di conseguenza, un accesso Single Sign-In al proprio account consente l'accesso al contenuto dalla propria organizzazione e da qualsiasi altra organizzazione che ha creato account guest per loro.
Importante
È consigliabile abilitare l'integrazione di SharePoint e OneDrive con Microsoft Entra B2B per garantire che l'account guest Microsoft Entra necessario per il destinatario della condivisione venga creato nella directory dell'organizzazione.
Requisiti di sincronizzazione B2B
Per consentire agli utenti esterni all'organizzazione di sincronizzare raccolte e cartelle condivise:
- La condivisione esterna deve essere abilitata per l'organizzazione.
- La condivisione esterna deve essere abilitata per il sito o OneDrive.
- Il contenuto deve essere condiviso con persone esterne all'organizzazione a livello di sito o cartella. Se una cartella è condivisa, deve essere tramite un collegamento che richiede l'accesso.
- I destinatari della condivisione devono avere un account aziendale o dell'istituto di istruzione di Microsoft 365 (in Microsoft Entra ID) nello stesso cloud del tenant del contenuto: Microsoft Azure Commercial, Microsoft Azure per enti pubblici o Microsoft Azure Cina. Si noti che Microsoft Azure Commercial contiene gli ambienti cloud microsoft 365 commerciali e GCC e Microsoft Azure government contiene gli ambienti cloud GCC High e DoD.
- Tutti i criteri di accesso condizionale di Microsoft Entra devono essere compatibili con gli utenti guest (più avanti).
- ADAL non deve essere abilitato se si usano compilazioni precedenti alla 19.086.*.
Questo articolo offre una panoramica dell'esperienza di sincronizzazione B2B e descrive questi requisiti in modo più dettagliato.
Problemi noti relativi a questa versione
- Il contenuto condiviso da un tenant in un cloud (ad esempio, Microsoft Azure Cina) non può essere sincronizzato da un utente in un cloud diverso, ad esempio Microsoft Azure Commercial.
- Nel Mac, le anteprime di File su richiesta non verranno visualizzate dai siti dell'organizzazione esterna. Le anteprime verranno visualizzate correttamente per i file dell'organizzazione dell'utente.
- Nel Mac, se l'account guest è stato creato con un formato di indirizzo di posta elettronica diverso da quello usato con l'app di sincronizzazione, il contenuto del sito esterno non può essere sincronizzato. Ad esempio, first.last@fabrikam.com vs alias@fabrikam.com.
- Nel Mac, il contenuto esterno può essere inserito nel computer locale nella cartella dell'organizzazione dell'utente invece di uno con il nome dell'organizzazione esterna.
- L'interfaccia utente di autenticazione interattiva per gli account guest di un'organizzazione esterna non è supportata dal client di sincronizzazione.
Panoramica dell'esperienza di sincronizzazione B2B
Ecco un esempio di cosa accade dopo che un utente di "Contoso" condivide un sito o una cartella con un utente in "Fabrikam":
Il destinatario fabrikam riceve un messaggio di posta elettronica simile al seguente.
Quando il destinatario fa clic sul collegamento nel messaggio di posta elettronica per passare all'elemento condiviso, deve fare clic su "Account aziendale" per accedere con il proprio account Fabrikam. Dietro le quinte viene creato l'account guest Contoso in Microsoft Entra ID.
Il destinatario potrebbe dover immettere il nome utente o la password di Fabrikam e quindi può visualizzare l'elemento condiviso. Se non vogliono sincronizzare tutto ciò che è stato condiviso, possono passare alla raccolta o alla cartella che vogliono sincronizzare. Per configurare la sincronizzazione, è necessario fare clic sul pulsante Sincronizza.
Il browser del guest visualizzerà un messaggio che chiede se vuole aprire "Microsoft OneDrive" e dovrà consentirlo.
Se questa è la prima volta che il guest usa l'app di sincronizzazione con il proprio account Fabrikam, dovrà accedere. L'indirizzo di posta elettronica verrà impostato automaticamente sull'account Fabrikam usato nei passaggi precedenti. Il guest deve selezionare "Accedi".
Il guest potrebbe essere in grado di accedere all'app di sincronizzazione senza immettere la password Fabrikam se ha eseguito l'accesso a Windows con lo stesso account. In caso contrario, dovranno immettere la password.
Il guest confermerà dove vuole sincronizzare l'elemento condiviso nel computer.
Nota
Il contenuto viene inserito in una cartella il cui nome include il nome dell'organizzazione ("SharePoint - Contoso" in questo esempio). Se l'utente sincronizza anche il contenuto di SharePoint da Fabrikam, avrà anche una cartella "SharePoint - Fabrikam".
Il guest continuerà con la configurazione dell'app di sincronizzazione di OneDrive.
Al termine dell'installazione del guest, il sito inizierà la sincronizzazione. L'utente può fare clic sull'icona blu del cloud nell'area di notifica per aprire il centro attività di sincronizzazione di OneDrive e visualizzare la sincronizzazione dei file, aprire la cartella locale con i file o aprire il sito di SharePoint in un Web browser.
Abilitare la condivisione esterna per l'organizzazione
Per consentire agli utenti dell'organizzazione di condividere con i propri partner in altre organizzazioni, la condivisione esterna deve essere abilitata a livello di organizzazione. A tale scopo, è necessario essere un amministratore globale o di SharePoint in Microsoft 365. Dopo aver abilitato la condivisione esterna a livello di organizzazione, è possibile limitarla sito per sito. Le impostazioni di un sito possono essere le stesse dell'impostazione dell'organizzazione o più restrittive, ma non più permissive.
È possibile modificare le impostazioni di condivisione a livello di organizzazione in due posizioni diverse (entrambe controllano la stessa cosa):
- Nella pagina Condivisione nella nuova interfaccia di amministrazione di SharePoint. Per altre info, vedi Modificare l'impostazione di condivisione esterna a livello di organizzazione
- Nell'interfaccia di amministrazione di Microsoft 365, nella pagina > Impostazioni organizzazione SharePoint.
Importante
Se si consentono collegamenti chiunque (a volte definiti collegamenti di "accesso anonimo"), questi collegamenti non creano account guest e pertanto il destinatario della condivisione esterna non sarà in grado di sfruttare la sincronizzazione B2B quando riceve tale tipo di collegamento.
Per altre info, vedi Panoramica della condivisione esterna.
Controllare la condivisione esterna
Quando si consente agli utenti di condividere contenuto dall'organizzazione esternamente, è possibile usare diverse funzionalità di Microsoft 365 per gestire chi può accedere al contenuto. Gli amministratori e i proprietari del sito possono esaminare le autorizzazioni e controllare l'accesso ai siti. Per informazioni, vedere Ricerca di contenuto del sito condiviso con persone esterne all'organizzazione e Attivare le notifiche di condivisione esterna. È possibile abilitare la condivisione esterna solo con domini Internet specifici oppure bloccare domini specifici. Per informazioni, vedi Condivisione di domini con restrizioni. È anche possibile consentire la condivisione esterna solo ai membri di gruppi di sicurezza specifici. Per informazioni, vedi Attivare o disattivare la condivisione esterna.
È consigliabile creare siti separati (raccolte siti, non siti secondari) per ogni unità di lavoro che si vuole condividere esternamente. In questo modo, è possibile annotare chiaramente i siti per indicare che le persone esterne all'organizzazione hanno accesso ed evitare la divulgazione involontaria di informazioni. Per i singoli utenti che condividono contenuto da OneDrive, è consigliabile creare cartelle separate per progetti o gruppi di collaborazione diversi.
È possibile rimuovere l'autorizzazione di un guest per un sito o una cartella oppure eliminare l'account guest per rimuovere l'autorizzazione da tutto il contenuto dell'organizzazione.
Importante
Qualsiasi contenuto sincronizzato rimarrà nel computer dell'utente dopo la rimozione delle autorizzazioni.
Abilitare la condivisione esterna per un sito
Per visualizzare o modificare l'impostazione di condivisione per qualsiasi sito, usare la nuova interfaccia di amministrazione di SharePoint.
Passare a Siti attivi nell’interfaccia di amministrazione di SharePoint e accedere con un account con autorizzazioni di a amministratore per l'organizzazione.
Nota
In Office 365 gestito da 21Vianet (Cina), accedere all'interfaccia di amministrazione di Microsoft 365, passare all'interfaccia di amministrazione di SharePoint e aprire la pagina Siti attivi.
Personalizzare la visualizzazione in base alle esigenze per visualizzare la colonna Condivisione esterna.
Se necessario, modificare l'impostazione di condivisione esterna per un sito.
Verificare che tutti i criteri di accesso condizionale (CA) di Microsoft Entra siano compatibili con l'accesso esterno
L'amministratore del tenant può abilitare diversi tipi di criteri di accesso condizionale nel tenant. Quando un guest accede al contenuto di un tenant, questi criteri potrebbero dover essere modificati per gli utenti guest in modo che possano ottenere l'accesso.
Attualmente il client di sincronizzazione non supporta l'interfaccia utente di autenticazione interattiva durante la sincronizzazione del contenuto esterno. Tutti i criteri che richiedono un'interfaccia utente di accesso, ad esempio mfa (autenticazione a più fattori) o richiesta tou (condizioni per l'uso), impediranno la sincronizzazione del contenuto esterno da tale tenant. Se un amministratore del tenant distribuisce tale criterio prima che un guest inizi la sincronizzazione da tale tenant, l'utente non sarà in grado di stabilire la relazione di sincronizzazione. Se i criteri vengono distribuiti dopo la sincronizzazione del contenuto dal tenant da parte di un guest, tale guest riceverà un errore e non sarà in grado di continuare a eseguire la sincronizzazione dal tenant.
I tenant possono aggiornare le condizioni per l'utilizzo di volta in volta. Un criterio può attivare l'utente per visualizzare e accettare il TOU aggiornato tramite un prompt di autenticazione interattivo. Poiché la sincronizzazione non supporta l'interfaccia utente di accesso del tenant esterno, la sincronizzazione indicherà che non è in grado di sincronizzare il contenuto del sito esterno.
Conformità del dispositivo richiede che i computer utente siano gestiti dal tenant e quindi aggiornati con i requisiti. Per gli utenti guest, è probabile che i computer vengano gestiti dalla propria organizzazione e pertanto non sono compatibili con la necessità di gestire i computer dal tenant di condivisione del contenuto.
I criteri di accesso condizionale basati sulla posizione vengono in genere usati per applicare requisiti aggiuntivi, ad esempio MFA, quando l'utente non si connette da una posizione attendibile, ad esempio la rete di uffici del tenant. In genere in uno scenario guest il computer client non si trova nelle posizioni attendibili e poiché la sincronizzazione non supporta l'autenticazione a più fattori, è probabile che questo criterio non si applichi ai guest.
Per altre informazioni, vedere Autenticazione e accesso condizionale per identità esterne.
Metodi di condivisione
I siti e le cartelle possono essere condivisi in modi diversi in SharePoint e OneDrive:
- Se gli utenti sincronizzano una cartella, possono fare clic con il pulsante destro del mouse su di essa in Esplora file per condividerla.
- Gli utenti possono accedere al sito o alla cartella di SharePoint sul Web e fare clic sul pulsante Condividi per condividerlo.
- Gli utenti possono condividere siti e cartelle nelle app SharePoint e OneDrive per dispositivi mobili.
- Gli amministratori possono creare account guest e usare l'interfaccia di amministrazione o PowerShell per aggiungerli ai siti.
Nota
Per altre informazioni su questi metodi, vedi Informazioni su come condividere un sito e Informazioni su come condividere una cartella.
B2B Sync funziona con tutti questi metodi di condivisione. Ha solo i requisiti seguenti:
- Affinché i guest possano sincronizzare il contenuto condiviso, il contenuto deve essere condiviso a livello di sito o cartella. I guest non possono sincronizzare i file condivisi singolarmente, ad esempio dalle app di Office.
- La sincronizzazione B2B funziona solo quando vengono creati account guest nell'organizzazione e quando il destinatario ha un account Microsoft Entra. Non funziona quando gli utenti condividono creando un collegamento Chiunque (noto anche come collegamento "accesso anonimo") o quando condividono con persone che hanno un account Microsoft o un altro account personale.
Aggiungere guest ai siti di SharePoint
Gli amministratori di Microsoft 365 possono condividere con utenti esterni all'organizzazione creando utenti guest singolarmente nell'interfaccia di amministrazione di Microsoft Entra e quindi aggiungendoli singolarmente a un sito del team di SharePoint o aggiungendoli a un gruppo di sicurezza che dispone già delle autorizzazioni per il sito che si vuole condividere. Se si concedono le autorizzazioni usando la pagina autorizzazioni avanzate (invece di usare il pulsante Condividi sito), sarà necessario informare il guest che è stata concessa loro l'autorizzazione per il sito. Non riceveranno un messaggio di posta elettronica di invito.
Importante
Se si usa la pagina autorizzazioni avanzate, è consigliabile concedere autorizzazioni a livello di sito, non a livello di raccolta documenti o cartella.
Usare PowerShell per creare in blocco account guest e aggiungerli a un gruppo di SharePoint
Se è necessario creare e concedere autorizzazioni a molti account guest, è possibile usare lo script di PowerShell seguente, che crea gli account guest e concede loro le autorizzazioni per un sito. Lo script accetta un file CSV (valore delimitato da virgole) come input, che contiene un elenco di nomi visualizzati dall'utente e indirizzi di posta elettronica. Per ogni nome e indirizzo di posta elettronica, viene creato un account guest e tale account viene aggiunto a un gruppo di sicurezza per concedergli l'autorizzazione. Lo script è progettato in modo da poter inviare il csv di output risultante come input allo script in un'esecuzione successiva. In questo modo è possibile aggiungere altri utenti al file CSV o riprovare a creare un account non riuscito.
Nota
I moduli PowerShell di Azure AD e MSOnline saranno deprecati a partire dal 30 marzo 2024. Per ulteriori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza per la migrazione a Microsoft Graph PowerShell SDK e alle correzioni per la sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.
È consigliabile effettuare la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per le domande più comuni sulla migrazione, consultare Domande frequenti sulla migrazione.
Tenere presente che le versioni 1.0. x di MSOnline potrebbe verificarsi un'interruzione dopo il 30 giugno 2024.
Quando gli utenti vengono aggiunti al gruppo Microsoft Entra, devono ricevere un messaggio di posta elettronica che li accoglie nel gruppo. Dopo aver eseguito lo script, è necessario inviare un messaggio di posta elettronica agli utenti con un collegamento diretto al sito di SharePoint a cui sono state concesse le autorizzazioni. Quando fanno clic sul collegamento, viene visualizzata l'interfaccia utente seguente per accettare le condizioni dell'invito. Una volta accettato, verranno portati al sito che hai condiviso con loro. A quel punto possono fare clic sul pulsante Sincronizza per iniziare a sincronizzare i file dei siti con il pc o il Mac.
# first line of InviteGuests.ps1 PowerShell script
# requires latest AzureADPreview
# Get-Module -ListAvailable AzureAD*
# Uninstall-Module AzureAD
# Uninstall-Module AzureADPreview
# Install-Module AzureADPreview
# customizable properties for this script
$csvDir = ''
$csvInput = $csvDir + 'BulkInvite.csv'
$csvOutput = $csvDir + 'BulkInviteResults.csv'
$domain = 'YourTenantOrganization.onmicrosoft.com'
$admin = "admin@$domain"
$redirectUrl = 'https://YourTenantOrganization.sharepoint.com/sites/SiteName/'
$groupName = 'SiteName'
# CSV file expected format (with the header row):
# Name,Email
# Jane Doe,jane@contoso.com
$csv = import-csv $csvInput
# will prompt for credentials for the tenantorganization admin account
# (who has permissions to send invites and add to groups)
Connect-AzureAD -TenantDomain $domain -AccountId $admin
$group = (Get-AzureADGroup -SearchString $groupName)
foreach ($row in $csv)
{
Try
{
if ((Get-Member -inputobject $row -name 'error') -and `
($row.error -eq 'success'))
{
$out = $row #nothing to do, user already invited and added to group
}
else
{
echo ("name='$($row.Name)' email='$($row.Email)'")
$inv = (New-AzureADMSInvitation -InvitedUserEmailAddress $row.Email -InvitedUserDisplayName $row.Name `
-InviteRedirectUrl $redirectUrl -SendInvitationMessage $false)
$out = $row
$out|Add-Member -MemberType ScriptProperty -force -name 'time' -Value {$(Get-Date -Format u)}
$out|Add-Member -MemberType ScriptProperty -force -name 'status' -Value {$inv.Status}
$out|Add-Member -MemberType ScriptProperty -force -name 'userId' -Value {$inv.InvitedUser.Id}
$out|Add-Member -MemberType ScriptProperty -force -name 'redeemUrl' -Value {$inv.inviteRedeemUrl}
$out|Add-Member -MemberType ScriptProperty -force -name 'inviteId' -Value {$inv.Id}
# this will send a welcome to the group email
Add-AzureADGroupMember -ObjectId $group.ObjectId -RefObjectId $inv.InvitedUser.Id
$out|Add-Member -MemberType ScriptProperty -force -name 'error' -Value {'success'}
}
}
Catch
{
$err = $PSItem.Exception.Message
$out|Add-Member -MemberType ScriptProperty -force -name 'error' -Value {$err}
}
Finally
{
$out | export-csv -Path $csvOutput -Append
}
}
# for more information please see
# https://video2.skills-academy.com/azure/active-directory/b2b/b2b-tutorial-bulk-invite
# end of InviteGuests.ps1 powershell script
Per altre informazioni, vedere:
Quando un guest perde l'accesso al contenuto condiviso
Se l'account guest di una persona viene eliminato o se viene rimossa l'autorizzazione per il contenuto condiviso, l'app di sincronizzazione visualizzerà un errore.
Verrà visualizzata una notifica che indica che la libreria non può essere sincronizzata.
L'icona di OneDrive nell'area di notifica mostrerà un errore.
Quando l'ospite fa clic sull'icona, verrà visualizzato un banner di errore nel centro attività.
Impostazione dei criteri per impedire la sincronizzazione B2B
La funzionalità di sincronizzazione B2B dell'app di sincronizzazione di OneDrive consente agli utenti di un'organizzazione di sincronizzare i contenuti condivisi con loro da un'altra organizzazione. Se si vuole impedire agli utenti dell'organizzazione di usare la sincronizzazione B2B, è possibile impostare un valore di criterio nel PC Windows o nel Mac degli utenti per bloccare la sincronizzazione esterna.
È necessario eseguire queste azioni solo se si vuole impedire agli utenti dell'organizzazione di usare la funzionalità di sincronizzazione B2B (per impedire la sincronizzazione di librerie e cartelle condivise da altre organizzazioni).
La nuova impostazione BlockExternalSync è descritta nei file adm\OneDrive.admx e OneDrive.adml installati come parte della build del prodotto di sincronizzazione di OneDrive 19.086.* o successiva. Se si usa ADM per gestire i criteri dell'app di sincronizzazione, importare i nuovi file come si farebbe normalmente per visualizzare la nuova impostazione.
Se si usano altri sistemi di gestione per distribuire criteri ai PC Windows degli utenti, usare l'equivalente del comando seguente per impedire la sincronizzazione B2B:
reg add "HKLM\SOFTWARE\Policies\Microsoft\OneDrive" /v BlockExternalSync /t REG_DWORD /d 1
In un Mac con la versione di OneDrive di Apple Store usare l'equivalente del comando seguente per impedire la sincronizzazione B2B:
defaults write com.microsoft.OneDrive-mac BlockExternalSync -bool YES
In un Mac con la versione autonoma di OneDrive usare l'equivalente del comando seguente per impedire la sincronizzazione B2B:
defaults write com.microsoft.OneDrive BlockExternalSync -bool YES