Conceder acesso às contas de parceiros gerenciadas localmente aos recursos da nuvem usando a colaboração B2B do Microsoft Entra

Aplica-se a: Círculo verde com um símbolo de marca de seleção branco. Locatários da força de trabalho Círculo branco com um símbolo X cinza. Locatários externos (saiba mais)

Antes do Microsoft Entra ID, as organizações que possuem sistemas de identidade local gerenciavam tradicionalmente contas de parceiros em seus diretórios locais. Em uma organização desse porte, ao começar a mover os aplicativos para o Microsoft Entra ID, você quer certificar-se de que seus parceiros poderão acessar os recursos necessários. Não importa se os recursos estão no local ou na nuvem. Além disso, você quer que os usuários parceiros possam usar as mesmas credenciais de entrada para ambos os recursos locais e do Microsoft Entra.

Se você criar contas para os parceiros externos no diretório local (por exemplo, criar uma conta com um nome de entrada "msullivan" para um usuário externo chamado Maria Sullivan no domínio partners.contoso.com), agora poderá sincronizar essas contas para a nuvem. Especificamente, é possível usar o Microsoft Entra Connect para sincronizar as contas de parceiros na nuvem, o que cria uma conta de usuário com o UserType = Guest. Essa configuração permite que os usuários parceiros acessem os recursos da nuvem usando as mesmas credenciais das contas locais, sem conceder mais acesso que os usuários precisam. Para obter mais informações sobre como converter as contas dos convidado locais, consulte Converter contas de convidado locais em contas de convidado do Microsoft Entra B2B.

Nota

Veja também como convidar usuários internos para Colaboração B2B. Com esse recurso, você pode convidar usuários internos convidados a usar a colaboração B2B, independentemente de você ter sincronizado suas contas do diretório local na nuvem. Depois que o usuário aceitar o convite para usar a colaboração B2B, ele poderá usar suas próprias identidades e credenciais para entrar nos recursos que você deseja que eles acessem. Você não precisará manter as senhas ou gerenciar os ciclos de vida da conta.

Identificar os atributos exclusivos para UserType

Antes de habilitar a sincronização do atributo UserType, primeiro você deve decidir como o atributo UserType será derivado do Active Directory local. Em outras palavras, quais parâmetros em seu ambiente local são exclusivos para seus colaboradores externos? Determine um parâmetro que distingua esses colaboradores externos dos membros de sua organização.

As duas abordagens comuns para definir o parâmetro são:

  • Designe um atributo do Active Directory local não utilizado (por exemplo, extensionAttribute1) a ser usado como o atributo de origem.
  • Como alternativa, derive o valor de atributo UserType de outras propriedades. Por exemplo, você deseja sincronizar todos os usuários como Convidado caso o atributo local UserPrincipalName do Active Directory local termine com o domínio @partners.contoso.com.

Para mais detalhes sobre os requisitos de atributo, consulte Habilitar a sincronização de UserType.

Configurar o Microsoft Entra Connect para sincronizar usuários com a nuvem

Depois de identificar o atributo exclusivo, poderá configurar o Microsoft Entra Connect para sincronizar esses usuários com a nuvem, o que cria uma conta de usuário com o UserType = Guest. De um ponto de vista de autorização, não há diferença entre esses usuários e os usuários B2B criados pelo processo de convite de colaboração B2B do Microsoft Entra.

Para obter instruções de implementação, consulte Habilitar a sincronização de UserType.

Próximas etapas