Convide usuários internos para a colaboração B2B
Aplica-se a: Locatários da força de trabalho Locatários externos (saiba mais)
Antes da disponibilidade da colaboração B2B do Microsoft Entra, as organizações podiam colaborar com distribuidores, fornecedores, fornecedores e outros usuários convidados configurando credenciais internas para eles. Se você tiver usuários convidados internos como estes, poderá convidá-los a usar a colaboração B2B. Esses usuários convidados B2B poderão fazer login usando suas próprias identidades e credenciais, eliminando a necessidade de manutenção de senha ou gerenciamento do ciclo de vida da conta.
O envio de um convite para uma conta interna existente permite que você mantenha a ID do objeto, o UPN, as associações de grupo e as atribuições de aplicativo desse usuário. Não é necessário excluir e convidar novamente o usuário manualmente ou reatribuir recursos. Para convidar o usuário, use a API de convite para passar o objeto de usuário interno e o endereço de e-mail do usuário convidado junto com o convite. Quando o usuário aceita o convite, o serviço B2B altera o objeto de usuário interno existente para um usuário B2B. No futuro, o usuário deve entrar nos serviços de recursos de nuvem usando suas credenciais B2B.
Acesso a recursos locais: depois que o usuário é convidado para a colaboração B2B, ele ainda pode usar suas credenciais internas para acessar recursos locais. Você pode evitar isso redefinindo ou alterando a senha na conta interna. A exceção é a autenticação de senha única por e-mail; Se o método de autenticação do usuário for alterado para uma senha única, ele não poderá mais usar suas credenciais internas.
Faturação: esta funcionalidade não altera o UserType do utilizador, pelo que não muda automaticamente o modelo de faturação do utilizador para o preço do utilizador ativo mensal (MAU) com ID Externa. Para ativar o preço do MAU para o usuário, altere o UserType do usuário para
guest
. Observe também que seu locatário do Microsoft Entra deve estar vinculado a uma assinatura do Azure para ativar a cobrança do MAU.Equipes: quando o usuário acessa o Teams usando suas credenciais externas, seu locatário não estará disponível inicialmente no seletor de locatários do Teams. O usuário pode acessar o Teams usando uma URL que contém o contexto do locatário, por exemplo:
https://teams.microsoft.com/?tenantId=<TenantId>
. Depois disso, o locatário ficará disponível no seletor de locatários do Teams.Usuários sincronizados locais: para contas de usuário sincronizadas entre o local e a nuvem, o diretório local permanece a fonte de autoridade depois que eles são convidados a usar a colaboração B2B. Quaisquer alterações feitas na conta local serão sincronizadas com a conta na nuvem, incluindo a desativação ou exclusão da conta. Portanto, você não pode impedir que o usuário entre em sua conta local enquanto mantém sua conta na nuvem simplesmente excluindo a conta local. Em vez disso, você pode definir a senha da conta local para um GUID aleatório ou outro valor desconhecido.
Nota
No Microsoft Entra Connect Sync, há uma regra padrão que grava o atributo onPremisesUserPrincipalName no objeto de usuário. Como a presença desse atributo pode impedir que um usuário entre usando credenciais externas, bloqueamos conversões internas para externas para objetos de usuário com esse atributo. Se você estiver usando o Microsoft Entra Connect e quiser convidar usuários internos para a colaboração B2B, precisará modificar a regra padrão para que o atributo onPremisesUserPrincipalName não seja gravado no objeto do usuário.
Você pode usar o centro de administração do Microsoft Entra, o PowerShell ou a API de convite para enviar um convite B2B para o usuário interno. Alguns aspetos a ter em conta:
Antes de convidar o usuário, verifique se a
User.Mail
propriedade do objeto de usuário interno (a propriedade Email do usuário no centro de administração do Microsoft Entra) está definida para o endereço de email externo que ele usará para colaboração B2B. Se o usuário interno tiver uma caixa de correio existente, você não poderá alterar essa propriedade para um endereço de email externo. Você deve atualizar seus atributos no centro de administração do Exchange.Quando você convida o usuário, um convite é enviado ao usuário por e-mail. Se você estiver usando o PowerShell ou a API de convite, poderá suprimir esse email definindo
SendInvitationMessage
comoFalse
. Em seguida, você pode notificar o usuário de outra maneira. Saiba mais sobre a API de convite.Quando o usuário resgata o convite, a conta que está usando deve corresponder ao domínio na
User.Mail
propriedade. Caso contrário, alguns serviços, como o Teams, não poderão autenticar o usuário.
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Entre no centro de administração do Microsoft Entra como pelo menos um administrador do Provedor de Identidade Externo.
Aceder a Identidade>Utilizadores>Todos os Utilizadores.
Encontre o usuário na lista ou use a caixa de pesquisa. Em seguida, selecione o usuário.
Na guia Visão geral, em Meu feed, selecione Converter em usuário externo.
Nota
Se o cartão disser "Reenviar o convite deste usuário B2B ou redefinir seu status de resgate". o usuário já foi convidado a usar credenciais externas para colaboração B2B.
Adicione um endereço de e-mail externo e selecione Enviar.
Nota
Se a opção não estiver disponível, verifique se a propriedade Email do usuário está definida para o endereço de e-mail externo que ele deve usar para colaboração B2B.
Uma mensagem de confirmação aparece e um convite é enviado ao usuário por e-mail. O usuário pode resgatar o convite usando suas credenciais externas.
Você precisará do módulo mais recente do Microsoft Graph PowerShell. Use o seguinte comando para atualizar para o módulo mais recente e convidar o usuário interno para a colaboração B2B:
Update-Module Microsoft.Graph
Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee'
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapplications.microsoft.com" -InvitedUser $msGraphUser
O exemplo abaixo ilustra como chamar a API de convite para convidar um usuário interno como um usuário B2B.
POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
ContentType: application/json
{
"invitedUserEmailAddress": "<<external email>>",
"sendInvitationMessage": true,
"invitedUserMessageInfo": {
"messageLanguage": "en-US",
"ccRecipients": [
{
"emailAddress": {
"name": null,
"address": "<<optional additional notification email>>"
}
}
],
"customizedMessageBody": "<<custom message>>"
},
"inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=",
"invitedUser": {
"id": "<<ID for the user you want to convert>>"
}
}
A resposta à API é a mesma que você recebe quando convida um novo usuário convidado para o diretório.