Förstå och hantera egenskaperna för B2B-gästanvändare
Gäller för: Personalklientorganisationer Externa klienter (läs mer)
B2B-samarbete är en funktion i Microsoft Entras externa ID som gör att du kan samarbeta med användare och partner utanför organisationen. Med B2B-samarbete uppmanas en extern användare att logga in på din Microsoft Entra-organisation med sina egna autentiseringsuppgifter. Den här B2B-samarbetsanvändaren kan sedan komma åt de appar och resurser som du vill dela med dem. Ett användarobjekt skapas för B2B-samarbetsanvändaren i samma katalog som dina anställda. Användarobjekt för B2B-samarbete har som standard begränsade behörigheter i din katalog, och de kan hanteras som anställda, läggas till i grupper och så vidare. I den här artikeln beskrivs egenskaperna för det här användarobjektet och hur du hanterar det.
I följande tabell beskrivs B2B-samarbetsanvändare baserat på hur de autentiserar (internt eller externt) och deras relation till din organisation (gäst eller medlem).
- Extern gäst: De flesta användare som ofta betraktas som externa användare eller gäster tillhör den här kategorin. Den här B2B-samarbetsanvändaren har ett konto i en extern Microsoft Entra-organisation eller en extern identitetsprovider (till exempel en social identitet) och de har behörigheter på gästnivå i resursorganisationen. Användarobjektet som skapades i resursen Microsoft Entra-katalogen har en UserType av gäst.
- Extern medlem: Den här B2B-samarbetsanvändaren har ett konto i en extern Microsoft Entra-organisation eller en extern identitetsprovider (till exempel en social identitet) och åtkomst på medlemsnivå till resurser i din organisation. Det här scenariot är vanligt i organisationer som består av flera klienter, där användare anses vara en del av den större organisationen och behöver åtkomst på medlemsnivå till resurser i organisationens andra klientorganisationer. Användarobjektet som skapades i resursen Microsoft Entra-katalogen har en UserType av medlem.
- Intern gäst: Innan Microsoft Entra B2B-samarbete var tillgängligt var det vanligt att samarbeta med distributörer, leverantörer, leverantörer och andra genom att konfigurera interna autentiseringsuppgifter för dem och utse dem till gäster genom att ställa in användarobjektet UserType till Gäst. Om du har interna gästanvändare som dessa kan du bjuda in dem att använda B2B-samarbete i stället så att de kan använda sina egna autentiseringsuppgifter så att deras externa identitetsprovider kan hantera autentisering och deras kontolivscykel.
- Intern medlem: Dessa användare betraktas vanligtvis som anställda i din organisation. Användaren autentiserar internt via Microsoft Entra-ID och användarobjektet som skapas i resursen Microsoft Entra-katalogen har en UserType of Member.
Den användartyp du väljer har följande begränsningar för appar eller tjänster (men är inte begränsade till):
App eller tjänst | Begränsningar |
---|---|
Power BI | – Stöd för UserType Member i Power BI är för närvarande i förhandsversion. Mer information finns i Distribuera Power BI-innehåll till externa gästanvändare med Microsoft Entra B2B. |
Azure Virtual Desktop | – Extern medlem och extern gäst stöds inte i Azure Virtual Desktop. |
Viktigt!
Funktionen för engångslösenord för e-post är nu aktiverad som standard för alla nya klienter och för alla befintliga klienter där du inte uttryckligen har inaktiverat den. När den här funktionen är inaktiverad är återställningsautentiseringsmetoden att uppmana inbjudna att skapa ett Microsoft-konto.
Inlösning av inbjudan
Nu ska vi se hur en Microsoft Entra B2B-samarbetsanvändare ser ut i Microsoft Entra Externt ID.
Före inlösen av inbjudan
B2B-samarbetsanvändarkonton är resultatet av att bjuda in gästanvändare att samarbeta med hjälp av gästanvändarnas egna autentiseringsuppgifter. När inbjudan först skickas till gästanvändaren skapas ett konto i din klientorganisation. Det här kontot har inga associerade autentiseringsuppgifter eftersom autentisering utförs av gästanvändarens identitetsprovider. Egenskapen Identiteter för gästanvändarkontot i din katalog är inställd på värdens organisationsdomän tills gästen löser in sin inbjudan. Användaren som skickar inbjudan läggs till som standardvärde för sponsorattributet på gästanvändarkontot. I administrationscentret visar den inbjudna användarens profil ett tillstånd för inbjudan som väntar på godkännande. Om du frågar efter externalUserState
att använda Microsoft Graph-API:et returneras Pending Acceptance
.
Efter inlösen av inbjudan
När B2B-samarbetsanvändaren har accepterat inbjudan uppdateras egenskapen Identiteter baserat på användarens identitetsprovider.
Om B2B-samarbetsanvändaren använder ett Microsoft-konto eller autentiseringsuppgifter från en annan extern identitetsprovider återspeglar Identiteter identitetsprovidern, till exempel Microsoft-konto, google.com eller facebook.com.
Om B2B-samarbetsanvändaren använder autentiseringsuppgifter från en annan Microsoft Entra-organisation är Identiteter externAzureAD.
För externa användare som använder interna autentiseringsuppgifter är egenskapen Identiteter inställd på värdens organisationsdomän. Egenskapen Katalogsynkroniserad är Ja om kontot finns i organisationens lokal Active Directory och synkroniseras med Microsoft Entra-ID eller Nej om kontot är ett Microsoft Entra-konto som endast är molnbaserat. Informationen om katalogsynkronisering är också tillgänglig via egenskapen
onPremisesSyncEnabled
i Microsoft Graph.
Viktiga egenskaper för Microsoft Entra B2B-samarbetsanvändaren
Användarhuvudnamn
UPN för ett B2B-samarbetsanvändarobjekt (dvs. gästanvändare) innehåller e-postmeddelandet från gästanvändaren följt av #EXT#, följt av tenantname.onmicrosoft.com. Om användaren john@contoso.com till exempel läggs till som en extern användare i katalogfabriken blir dess UPN john_contoso.com#EXT#@fabrikam.onmicrosoft.com.
Användartyp
Den här egenskapen anger relationen mellan användaren och värdinnehavaren. Den här egenskapen kan ha två värden:
Medlem: Det här värdet anger en anställd i värdorganisationen och en användare i organisationens lönelista. Den här användaren förväntar sig till exempel att ha åtkomst till interna webbplatser. Den här användaren betraktas inte som extern medarbetare.
Gäst: Det här värdet anger en användare som inte anses vara intern för företaget, till exempel en extern samarbetspartner, partner eller kund. En sådan användare förväntas inte få en verkställande direktörs interna PM eller få företagsförmåner, till exempel.
Kommentar
UserType har ingen relation till hur användaren loggar in, användarens katalogroll och så vidare. Den här egenskapen anger helt enkelt användarens relation till värdorganisationen och gör att organisationen kan tillämpa principer som är beroende av den här egenskapen.
Identiteter
Den här egenskapen anger användarens primära identitetsprovider. En användare kan ha flera identitetsprovidrar, som kan visas genom att välja länken bredvid Identiteter i användarens profil eller genom att identities
fråga egenskapen via Microsoft Graph API.
Kommentar
Identiteter och UserType är oberoende egenskaper. Värdet Identiteter innebär inte ett visst värde för UserType.
Egenskapsvärde för identiteter | Inloggningstillstånd |
---|---|
ExternAzureAD | Den här användaren finns i en extern organisation och autentiserar med hjälp av ett Microsoft Entra-konto som tillhör den andra organisationen. |
Microsoft-konto | Den här användaren finns i ett Microsoft-konto och autentiseras med hjälp av ett Microsoft-konto. |
{värdens domän} | Den här användaren autentiserar med hjälp av ett Microsoft Entra-konto som tillhör den här organisationen. |
google.com | Den här användaren har ett Gmail-konto och har registrerat sig med hjälp av självbetjäning till den andra organisationen. |
facebook.com | Den här användaren har ett Facebook-konto och har registrerat sig med hjälp av självbetjäning till den andra organisationen. |
e-post | Den här användaren har registrerat sig med microsoft entra externt ID e-post engångslösenord (OTP). |
{issuer URI} | Den här användaren finns i en extern organisation som inte använder Microsoft Entra-ID som identitetsprovider, utan i stället använder en SAML (Security Assertion Markup Language) /WS-Fed-baserad identitetsprovider. Utfärdarens URI visas när fältet Identiteter klickas. |
Telefoninloggning stöds inte för externa användare. B2B-konton kan inte använda phone
värdet som identitetsprovider.
Katalog synkroniserad
Egenskapen Katalogsynkroniserad anger om användaren synkroniseras med lokal Active Directory och autentiseras lokalt. Den här egenskapen är Ja om kontot finns i organisationens lokal Active Directory och synkroniseras med Microsoft Entra-ID, eller Nej om kontot endast är ett Microsoft Entra-konto i molnet. I Microsoft Graph motsvarar onPremisesSyncEnabled
den katalogsynkroniserade egenskapen .
Kan Microsoft Entra B2B-användare läggas till som medlemmar i stället för gäster?
Vanligtvis är en Microsoft Entra B2B-användare och gästanvändare synonyma. Därför läggs en Microsoft Entra B2B-samarbetsanvändare till som en användare med UserType inställt på Gäst som standard. I vissa fall är dock partnerorganisationen medlem i en större organisation som värdorganisationen också tillhör. I så fall kanske värdorganisationen vill behandla användare i partnerorganisationen som medlemmar i stället för gäster. Använd API:erna för Microsoft Entra B2B Invitation Manager för att lägga till eller bjuda in en användare från partnerorganisationen till värdorganisationen som medlem.
Filtrera efter gästanvändare i katalogen
I listan Användare kan du använda Lägg till filter för att endast visa gästanvändare i din katalog.
Konvertera UserType
Det går att konvertera UserType från Medlem till Gäst och vice versa genom att redigera användarens profil i administrationscentret för Microsoft Entra eller med hjälp av PowerShell. Egenskapen UserType representerar dock användarens relation till organisationen. Därför bör du bara ändra den här egenskapen om användarens relation till organisationen ändras. Om relationen mellan användaren ändras, bör användarens huvudnamn (UPN) ändras? Ska användaren fortsätta att ha åtkomst till samma resurser? Ska en postlåda tilldelas?
Behörigheter för gästanvändare
Gästanvändare har standardbehörigheter för begränsad katalog. De kan hantera sin egen profil, ändra sitt eget lösenord och hämta viss information om andra användare, grupper och appar. De kan dock inte läsa all kataloginformation.
B2B-gästanvändare stöds inte i delade Microsoft Teams-kanaler. För åtkomst till delade kanaler, se B2B-direktanslutning.
Det kan finnas fall där du vill ge gästanvändare högre behörighet. Du kan lägga till en gästanvändare i valfri roll och till och med ta bort standardbegränsningarna för gästanvändare i katalogen för att ge en användare samma behörigheter som medlemmar. Det går att inaktivera standardbegränsningarna så att en gästanvändare i företagskatalogen har samma behörigheter som en medlemsanvändare. Mer information finns i artikeln Begränsa behörigheter för gäståtkomst i microsoft entra externt ID .
Kan jag göra gästanvändare synliga i den globala adresslistan för Exchange?
Ja. Som standard visas inte gästobjekt i organisationens globala adresslista, men du kan använda Microsoft Graph PowerShell för att göra dem synliga. Mer information finns i artikeln "Lägg till gäster i den globala adresslistan" i artikeln Gäståtkomst för Microsoft 365 per grupp.
Kan jag uppdatera en gästanvändares e-postadress?
Om en gästanvändare godkänner din inbjudan och sedan ändrar sin e-postadress synkroniseras inte det nya e-postmeddelandet automatiskt med gästanvändarobjektet i din katalog. E-postegenskapen skapas via Microsoft Graph API. Du kan uppdatera e-postegenskapen via Microsoft Graph API, Administrationscenter för Exchange eller Exchange Online PowerShell. Ändringen återspeglas i Microsoft Entra-gästanvändarobjektet.