Resgate de convite de colaboração B2B
Aplica-se a: Locatários da força de trabalho Locatários externos (saiba mais)
Este artigo descreve as maneiras como os usuários convidados podem acessar seus recursos e o processo de consentimento que encontrarão. Se você enviar um e-mail de convite para o convidado, o convite incluirá um link que o convidado pode resgatar para obter acesso ao seu aplicativo ou portal. O e-mail de convite é apenas uma das formas de os hóspedes terem acesso aos seus recursos. Como alternativa, você pode adicionar convidados ao seu diretório e dar-lhes um link direto para o portal ou aplicativo que deseja compartilhar. Independentemente do método utilizado, os hóspedes são guiados através de um processo de consentimento pela primeira vez. Este processo garante que os seus hóspedes concordam com os termos de privacidade e aceitam quaisquer termos de utilização que tenha configurado.
Quando você adiciona um usuário convidado ao seu diretório, a conta de usuário convidado tem um status de consentimento (visível no PowerShell) que é inicialmente definido como PendingAcceptance. Esta definição mantém-se até que o hóspede aceite o seu convite e concorde com a sua política de privacidade e termos de utilização. Depois disso, o status de consentimento muda para Aceito e as páginas de consentimento não são mais apresentadas ao hóspede.
Importante
- A partir de 12 de julho de 2021, se os clientes do Microsoft Entra B2B configurarem novas integrações do Google para uso com a inscrição de autoatendimento para seus aplicativos personalizados ou de linha de negócios, a autenticação com identidades do Google não funcionará até que as autenticações sejam movidas para as visualizações da Web do sistema. Mais informações.
- A partir de 30 de setembro de 2021, o Google está desativando o suporte de login incorporado à visualização da Web. Se seus aplicativos autenticarem usuários com uma visualização da Web incorporada e você estiver usando a federação do Google com o Azure AD B2C ou o Microsoft Entra B2B para convites de usuários externos ou inscrição de autoatendimento, os usuários do Google Gmail não poderão se autenticar. Mais informações.
- O recurso de senha única de e-mail agora está ativado por padrão para todos os novos locatários e para todos os locatários existentes nos quais você não o desativou explicitamente. Quando esse recurso é desativado, o método de autenticação de fallback é solicitar que os convidados criem uma conta da Microsoft.
Processo de resgate e entrada por meio de um ponto de extremidade comum
Os utilizadores convidados podem agora iniciar sessão nas suas aplicações multiinquilinas ou de primeira parte da Microsoft através de um ponto de extremidade comum (URL), por exemplo https://myapps.microsoft.com
. Anteriormente, uma URL comum redirecionava um usuário convidado para seu locatário doméstico em vez de seu locatário de recurso para autenticação, portanto, um link específico do locatário era necessário (por exemplo https://myapps.microsoft.com/?tenantid=<tenant id>
). Agora, o utilizador convidado pode aceder ao URL comum da aplicação, escolher Opções de início de sessão e, em seguida, selecionar Iniciar sessão numa organização. Em seguida, o usuário digita o nome de domínio da sua organização.
O usuário é então redirecionado para seu ponto de extremidade específico do locatário, onde pode entrar com seu endereço de e-mail ou selecionar um provedor de identidade que você configurou.
Processo de resgate através de um link direto
Como alternativa ao e-mail de convite ou ao URL comum de um aplicativo, você pode dar a um convidado um link direto para seu aplicativo ou portal. Primeiro, você precisa adicionar o usuário convidado ao seu diretório por meio do centro de administração do Microsoft Entra ou do PowerShell. Em seguida, você pode usar qualquer uma das maneiras personalizáveis de implantar aplicativos para os usuários, incluindo links de logon direto. Quando um hóspede usa um link direto em vez do e-mail de convite, ele ainda será guiado pela experiência de consentimento pela primeira vez.
Nota
Um link direto é específico do locatário. Em outras palavras, ele inclui um ID de locatário ou domínio verificado para que o convidado possa ser autenticado em seu locatário, onde o aplicativo compartilhado está localizado. Eis alguns exemplos de ligações diretas com o contexto do inquilino:
- Painel de acesso às aplicações:
https://myapps.microsoft.com/?tenantid=<tenant id>
- Painel de acesso de aplicativos para um domínio verificado:
https://myapps.microsoft.com/<;verified domain>
- Centro de administração do Microsoft Entra:
https://entra.microsoft.com/<tenant id>
- Aplicativo individual: veja como usar um link de logon direto
Aqui estão algumas coisas a serem observadas sobre o uso de um link direto versus um e-mail de convite:
Aliases de e-mail: os hóspedes que usam um alias do endereço de e-mail que foi convidado precisarão de um convite por e-mail. (Um alias é outro endereço de e-mail associado a uma conta de e-mail.) O usuário deve selecionar o URL de resgate no e-mail de convite.
Objetos de contato conflitantes: o processo de resgate foi atualizado para evitar problemas de entrada quando um objeto de usuário convidado entra em conflito com um objeto de contato no diretório. Sempre que você adiciona ou convida um convidado com um e-mail que corresponde a um contato existente, a propriedade proxyAddresses no objeto de usuário convidado é deixada vazia. Anteriormente, o ID externo pesquisava apenas a propriedade proxyAddresses e, portanto, o resgate direto do link falhava quando não era possível encontrar uma correspondência. Agora, o ID externo pesquisa as propriedades proxyAddresses e de e-mail convidado.
Processo de resgate através do e-mail de convite
Quando você adiciona um usuário convidado ao seu diretório usando o centro de administração do Microsoft Entra, um email de convite é enviado para o convidado no processo. Você também pode optar por enviar emails de convite quando estiver usando o PowerShell para adicionar usuários convidados ao seu diretório. Aqui está uma descrição da experiência do hóspede quando ele resgata o link no e-mail.
- O convidado recebe um e-mail de convite enviado pelo Microsoft Invitations.
- O hóspede seleciona Aceitar convite no e-mail.
- O convidado usará suas próprias credenciais para entrar no seu diretório. Se o convidado não tiver uma conta que possa ser federada ao seu diretório e o recurso de código de acesso único (OTP) de e-mail não estiver habilitado, o convidado será solicitado a criar um MSA pessoal. Consulte o fluxo de resgate do convite para obter detalhes.
- O hóspede é guiado através da experiência de consentimento descrita abaixo.
Fluxo de resgate de convites
Quando um usuário seleciona o link Aceitar convite em um email de convite, o Microsoft Entra ID resgata automaticamente o convite com base na ordem de resgate padrão mostrada abaixo:
O Microsoft Entra ID executa a descoberta baseada no usuário para determinar se o usuário já existe em um locatário gerenciado do Microsoft Entra. (As contas não gerenciadas do Microsoft Entra não podem mais ser usadas para o fluxo de resgate.) Se o UPN (Nome Principal do Usuário) do usuário corresponder a uma conta existente do Microsoft Entra e a um MSA pessoal, o usuário será solicitado a escolher com qual conta deseja resgatar.
Se um administrador tiver habilitado a federação IdP SAML/WS-Fed, o Microsoft Entra ID verificará se o sufixo de domínio do usuário corresponde ao domínio de um provedor de identidade SAML/WS-Fed configurado e redirecionará o usuário para o provedor de identidade pré-configurado.
Se um administrador tiver ativado a federação do Google, o Microsoft Entra ID verificará se o sufixo de domínio do usuário está gmail.com ou se googlemail.com e redirecionará o usuário para o Google.
O processo de resgate verifica se o usuário tem um MSA pessoal existente. Se o usuário já tiver um MSA existente, ele entrará com seu MSA existente.
Depois que o diretório base do usuário é identificado, o usuário é enviado ao provedor de identidade correspondente para entrar.
Se nenhum diretório pessoal for encontrado e o recurso de senha única de e-mail estiver habilitado para convidados, uma senha será enviada ao usuário por meio do e-mail convidado. O usuário recupera e insere essa senha na página de entrada do Microsoft Entra.
Se nenhum diretório base for encontrado e a senha única de e-mail para convidados estiver desativada, o usuário será solicitado a criar um MSA de consumidor com o e-mail convidado. Suportamos a criação de um MSA com e-mails de trabalho em domínios que não são verificados no Microsoft Entra ID.
Depois de se autenticar no provedor de identidade correto, o usuário é redirecionado para o Microsoft Entra ID para concluir a experiência de consentimento.
Resgate configurável
O resgate configurável permite personalizar a ordem dos provedores de identidade apresentados aos hóspedes quando eles resgatam seus convites. Quando um convidado seleciona o link Aceitar convite , o ID do Microsoft Entra resgata automaticamente o convite com base na ordem padrão. Você pode substituir isso alterando a ordem de resgate do provedor de identidade em suas configurações de acesso entre locatários.
Experiência de consentimento para o hóspede
Quando um hóspede inicia sessão num recurso numa organização parceira pela primeira vez, é-lhe apresentada a seguinte experiência de consentimento. Estas páginas de consentimento são mostradas ao hóspede apenas após o início de sessão e não são apresentadas se o utilizador já as tiver aceite.
O hóspede analisa a página Rever permissões que descreve a declaração de privacidade da organização convidadora. Um usuário deve Aceitar o uso de suas informações de acordo com as políticas de privacidade da organização convidativa para continuar.
Ao concordar com este pedido de consentimento, reconhece que determinados elementos da sua conta serão partilhados. Isso inclui seu nome, foto e endereço de e-mail, bem como identificadores de diretório que podem ser usados pela outra organização para gerenciar melhor sua conta e melhorar sua experiência entre organizações.
Nota
Para obter informações sobre como você, como administrador de locatário, pode vincular à declaração de privacidade da sua organização, consulte Como: Adicionar as informações de privacidade da sua organização no Microsoft Entra ID.
Se os termos de utilização estiverem configurados, o hóspede abre e revê os termos de utilização e, em seguida, seleciona Aceitar.
Você pode configurar os termos de uso em Termos de uso de Identidades Externas>.
A menos que especificado de outra forma, o convidado é redirecionado para o painel de acesso Aplicativos, que lista os aplicativos que o convidado pode acessar.
No diretório, o valor Convite aceito do convidado muda para Sim. Se um MSA foi criado, a Origem do convidado mostra a Conta da Microsoft. Para obter mais informações sobre as propriedades da conta de usuário convidado, consulte Propriedades de um usuário de colaboração B2B do Microsoft Entra. Se vir um erro que requer o consentimento do administrador ao aceder a uma aplicação, veja como conceder consentimento de administrador às aplicações.
Configuração do processo de resgate automático
Talvez você queira resgatar automaticamente os convites para que os usuários não precisem aceitar o prompt de consentimento quando forem adicionados a outro locatário para colaboração B2B. Quando configurado, um e-mail de notificação é enviado para o usuário de colaboração B2B que não requer nenhuma ação do usuário. Os usuários recebem o e-mail de notificação diretamente e não precisam acessar o locatário primeiro antes de receber o e-mail.
Para obter informações sobre como resgatar convites automaticamente, consulte Visão geral do acesso entre locatários e Configurar configurações de acesso entre locatários para colaboração B2B.