Активация приглашения службы совместной работы B2B

Область применения: Зеленый круг с символом белой галочки. клиенты рабочей силы внешниеБелый круг с серым символом X. клиенты (дополнительные сведения)

В этой статье описываются способы доступа гостевых пользователей к ресурсам и процесс согласия, c которыми они могут столкнуться. Если вы отправляете гостю электронное письмо с приглашением, то оно содержит ссылку, которую гость может активировать для получения доступа к вашему приложению или порталу. Сообщение электронной почты с приглашением — лишь один из способов получения гостями доступа к вашим ресурсам. В качестве альтернативы можно добавить гостей в каталог и предоставить им прямую ссылку на портал или приложение, к которому вы хотите предоставить общий доступ. Независимо от используемого метода, гости проходят через процесс получения первоначального согласия. Этот процесс гарантирует, что ваши гости согласны с условиями конфиденциальности и принимают все настроенные условия использования.

Когда вы добавляете гостя в свой каталог, его учетная запись имеет статус согласия (просматриваемый в PowerShell), для которого изначально установлено значение PendingAcceptance. Эта настройка сохраняется до тех пор, пока гость не примет ваше приглашение и не согласится с вашей политикой конфиденциальности и условиями использования. После этого состояние согласия изменяется на Принято и страницы согласия больше не представляются гостю.

Внимание

  • Начиная с 12 июля 2021 года, если клиенты Microsoft Entra B2B настроили новые интеграции Google для самостоятельной регистрации для своих пользовательских или бизнес-приложений, проверка подлинности с удостоверениями Google не будет работать, пока проверки подлинности не будут перемещены в системные веб-представления. Подробнее.
  • 30 сентября 2021 года Google прекращает поддержку входа через встроенные веб-представления. Если ваши приложения проходят проверку подлинности пользователей с внедренным веб-представлением и используете федерацию Google с Azure AD B2C или Microsoft Entra B2B для приглашений внешних пользователей или самостоятельной регистрации, пользователи Google Gmail не смогут пройти проверку подлинности. Подробнее.
  • Функция отправки одноразового секретного кода по электронной почте теперь включена по умолчанию для всех новых арендаторов и для всех существующих арендаторов, для которых вы не отключили ее явным образом. Если эта функция отключена, в рамках резервного способа проверки подлинности будет отправляться приглашение на создание учетной записи Майкрософт.

Процесс активации и вход через общую конечную точку

Гостевые пользователи теперь могут войти в мультитенантные или сторонние приложения Майкрософт через общую конечную точку (URL-адрес), например https://myapps.microsoft.com. Ранее общий URL-адрес перенаправлял пользователя-гостя на домашний клиент, а не на клиент ресурсов для проверки подлинности, и поэтому требовалась ссылка для конкретного клиента (например, https://myapps.microsoft.com/?tenantid=<tenant id>). Теперь пользователь-гость может перейти по общему URL-адресу приложения, выбрать Параметры входа, а потом нажать Вход в организацию. Затем пользователь вводит доменное имя вашей организации.

Снимок экрана: общие конечные точки, используемые для входа.

Затем пользователь перенаправляется в конечную точку для конкретного клиента, где он может войти с помощью своего адреса электронной почты или выбрать поставщика удостоверений, который вы настроили.

В качестве альтернативы электронному письму с приглашением или общему URL-адресу приложения вы можете предоставить гостю прямую ссылку на ваше приложение или портал. Сначала необходимо добавить гостевого пользователя в каталог через Центр администрирования Microsoft Entra или PowerShell. Затем можно использовать любой из настраиваемых способов развертывания приложений для пользователей, включая ссылки для прямого входа. Когда гость использует прямую ссылку вместо приглашения по электронной почте, он все равно пройдет процедуру получения первоначального согласия.

Примечание.

Прямая ссылка предназначается для определенного клиента. Другими словами, она содержит идентификатор клиента или проверенный домен, чтобы гость мог пройти проверку подлинности в клиенте, где находится общее приложение. Ниже приведены некоторые примеры прямых ссылок с контекстом клиента.

  • Панель доступа к приложениям: https://myapps.microsoft.com/?tenantid=<tenant id>
  • Панель доступа к приложениям для проверенного домена: https://myapps.microsoft.com/<;verified domain>
  • Центр администрирования Microsoft Entra: https://entra.microsoft.com/<tenant id>
  • Отдельное приложение: см. статью об использовании ссылки для прямого входа.

Ниже приведены некоторые сведения об использовании прямой ссылки и электронной почты приглашения:

  • Псевдонимы электронной почты: гостям, использующим псевдоним адреса электронной почты, который был приглашен, потребуется приглашение по электронной почте. (Псевдоним — это другой адрес электронной почты, связанный с учетной записью электронной почты.) Пользователь должен выбрать URL-адрес активации в сообщении электронной почты приглашения.

  • Конфликтующие объекты контактов: процесс активации обновлен, чтобы предотвратить проблемы входа, когда гостевой объект пользователя конфликтует с объектом контакта в каталоге. При добавлении или приглашении гостя с сообщением электронной почты, которое соответствует существующему контакту, свойство proxyAddresses в гостевом объекте пользователя остается пустым. Ранее внешний идентификатор искал только свойство proxyAddresses, поэтому сбой активации прямой ссылки, когда не удалось найти совпадение. Теперь внешний идентификатор выполняет поиск как проксиAddresses, так и приглашенных свойств электронной почты.

Процесс активации по электронной почте приглашения

При добавлении гостевого пользователя в каталог с помощью Центра администрирования Microsoft Entra в процесс отправляется приглашение пользователю. Вы также можете отправить приглашения по электронной почте, когда используете PowerShell, чтобы добавить гостевых пользователей в каталог. Ниже приведено описание процесса активации ссылки гостем в сообщении электронной почты.

  1. Гость получает приглашение, отправленное Microsoft Invitations.
  2. Он выбирает пункт Принять приглашение в сообщении электронной почты.
  3. Гость будет использовать свои собственные учетные данные для входа в ваш каталог. Если у гостя нет учетной записи, которая может быть федеративной в вашем каталоге, а функция единовременного секретного кода электронной почты (OTP) не включена, гость будет предложено создать личную MSA. Дополнительные сведения см. в разделе о потоке активации приглашения.
  4. Для работы с гостевыми системами используется процедура согласия, описанная ниже.

Поток активации приглашения

Когда пользователь выбирает ссылку "Принять приглашение " по электронной почте приглашения, идентификатор Microsoft Entra ID автоматически активирует приглашение в соответствии с порядком активации по умолчанию, показанным ниже:

Снимок экрана: схема потока активации.

  1. Идентификатор Microsoft Entra выполняет обнаружение на основе пользователей, чтобы определить, существует ли пользователь в управляемом клиенте Microsoft Entra. (Неуправляемые учетные записи Microsoft Entra больше не могут использоваться для потока активации.) Если имя участника-пользователя (UPN) совпадает с существующей учетной записью Microsoft Entra и личным MSA, пользователю будет предложено выбрать учетную запись, с которой они хотят активировать.

  2. Если администратор включил федерацию SAML/WS-Fed IdP, идентификатор Microsoft Entra ID проверяет, совпадает ли суффикс домена пользователя в домене настроенного поставщика удостоверений SAML/WS-Fed и перенаправляет пользователя на предварительно настроенный поставщик удостоверений.

  3. Если администратор включил федерацию Google, идентификатор Microsoft Entra id проверяет, gmail.com ли домен пользователя или googlemail.com и перенаправляет пользователя в Google.

  4. Процесс активации проверяет наличие у пользователя существующего личного MSA. Если у пользователя уже есть существующая MSA, он будет входить в систему с ее помощью.

  5. После идентификации домашнего каталога пользователя он перенаправляется соответствующему поставщику удостоверений для входа в систему.

  6. Если домашний каталог не найден и функция отправки одноразового секретного кода по электронной почте включена для гостей, секретный код отправляется пользователю на адрес электронной почты приглашенного лица. Пользователь получает и вводит этот секретный код на странице входа в Microsoft Entra.

  7. Если домашний каталог не найден и функция отправки одноразового секретного кода по электронной почте отключена, пользователю будет предложено создать пользовательскую учетную запись MSA с использованием адреса электронной почты приглашенного лица. Мы поддерживаем создание MSA с рабочими электронными письмами в доменах, которые не проверены в идентификаторе Microsoft Entra.

  8. После проверки подлинности в нужном поставщике удостоверений пользователь перенаправляется на идентификатор Microsoft Entra, чтобы завершить работу с согласием.

Настраиваемое активация

Настраиваемое активация позволяет настроить порядок поставщиков удостоверений, представленных гостям при активации приглашений. Когда гость выбирает ссылку "Принять приглашение", идентификатор Microsoft Entra id автоматически активирует приглашение в соответствии с порядком по умолчанию. Это можно переопределить, изменив порядок активации поставщика удостоверений в параметрах доступа между клиентами.

Когда гость впервые входит в партнерскую организацию для получения доступа к ресурсам, для него отображаются следующие страницы согласия. Эти страницы согласия отображаются для гостя только после входа, они не отображаются, если пользователь уже принял их.

  1. Гость просматривает страницу Проверка разрешений с описанием заявления о конфиденциальности в приглашенной организации. Чтобы продолжить, пользователь должен принять условия использования своих данных в соответствии с политиками конфиденциальности приглашающей организации.

    Согласившись с этим запросом на согласие, вы признаете, что некоторые элементы вашей учетной записи будут общими. К ним относятся имя, фотография и адрес электронной почты, а также идентификаторы каталогов, которые могут использоваться другой организацией для лучшего управления вашей учетной записью и улучшения взаимодействия между организациями.

    Снимок экрана: страница

    Примечание.

    Сведения о том, как администратор клиента может связаться с заявлением о конфиденциальности вашей организации, см . в статье "Практическое руководство. Добавление сведений о конфиденциальности организации в идентификатор Microsoft Entra ID".

  2. Если условия использования настроены, гостю необходимо открыть и изучить их, а затем нажать кнопку Принять.

    Снимок экрана: новые условия использования.

    Вы можете настроить условия использования в разделе Внешние удостоверения>Условия использования.

  3. Если не указано иное, гость перенаправляется на панель доступа к приложениям, в которой перечислены приложения, доступные гостю.

    Снимок экрана: панель доступа к приложениям.

В вашем каталоге значение для гостя Приглашение принято изменяется на Да. Если вы создали MSA, гостевой параметр Источник будет иметь значение Учетная запись Майкрософт. Дополнительные сведения о свойствах учетной записи гостевого пользователя см. в разделе "Свойства пользователя совместной работы Microsoft Entra B2B". Если отображается сообщение об ошибке, требующее согласия администратора при доступе к приложению, см. раздел о том, как предоставить согласие администратора для приложений.

Параметр процесса автоматического активации

Возможно, вы хотите автоматически активировать приглашения, чтобы пользователи не должны принимать запрос согласия при добавлении в другой клиент для совместной работы B2B. При настройке сообщение электронной почты уведомления отправляется пользователю совместной работы B2B, которому не требуется никаких действий от пользователя. Пользователи отправляют сообщение электронной почты с уведомлением напрямую, и им не нужно сначала обращаться к клиенту перед получением сообщения электронной почты.

Сведения о том, как автоматически активировать приглашения, см . в обзоре межтенантного доступа и настройке параметров доступа между клиентами для совместной работы B2B.

Следующие шаги