Bjud in interna användare till B2B-samarbete

Gäller för:Grön cirkel med en vit bockmarkeringssymbol. Personalklientorganisationer Vit cirkel med en grå X-symbol. Externa klienter (läs mer)

Innan Microsoft Entra B2B-samarbete är tillgängligt kunde organisationer samarbeta med distributörer, leverantörer, leverantörer och andra gästanvändare genom att konfigurera interna autentiseringsuppgifter för dem. Om du har interna gästanvändare som dessa kan du bjuda in dem att använda B2B-samarbete i stället. Dessa B2B-gästanvändare kommer att kunna logga in med sina egna identiteter och autentiseringsuppgifter, vilket eliminerar behovet av lösenordsunderhåll eller kontolivscykelhantering.

Genom att skicka en inbjudan till ett befintligt internt konto kan du behålla användarens objekt-ID, UPN, gruppmedlemskap och apptilldelningar. Du behöver inte ta bort och återuppliva användaren manuellt eller omtilldela resurser. Om du vill bjuda in användaren använder du inbjudnings-API:et för att skicka både det interna användarobjektet och gästanvändarens e-postadress tillsammans med inbjudan. När användaren godkänner inbjudan ändrar B2B-tjänsten det befintliga interna användarobjektet till en B2B-användare. Framöver måste användaren logga in på molnresurstjänster med sina B2B-autentiseringsuppgifter.

Saker att tänka på

  • Åtkomst till lokala resurser: När användaren har bjudits in till B2B-samarbete kan de fortfarande använda sina interna autentiseringsuppgifter för att komma åt lokala resurser. Du kan förhindra detta genom att återställa eller ändra lösenordet för det interna kontot. Undantaget är autentisering med engångslösenord via e-post. Om användarens autentiseringsmetod ändras till engångslösenord kan de inte längre använda sina interna autentiseringsuppgifter.

  • Fakturering: Den här funktionen ändrar inte UserType för användaren, så den växlar inte automatiskt användarens faktureringsmodell till mau-priser (External ID monthly active user). Om du vill aktivera MAU-priser för användaren ändrar du UserType för användaren till guest. Observera också att din Microsoft Entra-klient måste vara länkad till en Azure-prenumeration för att aktivera MAU-fakturering.

  • Teams: När användaren kommer åt Teams med sina externa autentiseringsuppgifter blir deras klientorganisation inte tillgänglig från början i Teams klientväljare. Användaren kan komma åt Teams med hjälp av en URL som innehåller klientkontexten, till exempel: https://teams.microsoft.com/?tenantId=<TenantId>. Därefter blir klientorganisationen tillgänglig i Teams klientväljare.

  • Lokala synkroniserade användare: För användarkonton som synkroniseras mellan lokalt och molnet förblir den lokala katalogen auktoritetskällan när de har bjudits in att använda B2B-samarbete. Alla ändringar du gör i det lokala kontot synkroniseras med molnkontot, inklusive inaktivering eller borttagning av kontot. Därför kan du inte hindra användaren från att logga in på sitt lokala konto samtidigt som de behåller sitt molnkonto genom att helt enkelt ta bort det lokala kontot. I stället kan du ange lösenordet för det lokala kontot till ett slumpmässigt GUID eller annat okänt värde.

Kommentar

I Microsoft Entra Connect Sync finns det en standardregel som skriver attributet onPremisesUserPrincipalName till användarobjektet. Eftersom förekomsten av det här attributet kan hindra en användare från att logga in med externa autentiseringsuppgifter blockerar vi interna till externa konverteringar för användarobjekt med det här attributet. Om du använder Microsoft Entra Connect och vill kunna bjuda in interna användare till B2B-samarbete måste du ändra standardregeln så att attributet onPremisesUserPrincipalName inte skrivs till användarobjektet.

Bjuda in interna användare till B2B-samarbete

Du kan använda administrationscentret för Microsoft Entra, PowerShell eller inbjudnings-API:et för att skicka en B2B-inbjudan till den interna användaren. Några saker att notera:

  • Innan du bjuder in användaren kontrollerar du att User.Mail egenskapen för det interna användarobjektet (användarens e-postegenskap i administrationscentret för Microsoft Entra) är inställd på den externa e-postadress som de ska använda för B2B-samarbete . Om den interna användaren har en befintlig postlåda kan du inte ändra den här egenskapen till en extern e-postadress. Du måste uppdatera deras attribut i administrationscentret för Exchange.

  • När du bjuder in användaren skickas en inbjudan till användaren via e-post. Om du använder PowerShell eller api:et för inbjudan kan du ignorera det här e-postmeddelandet genom att ange SendInvitationMessage till False. Sedan kan du meddela användaren på ett annat sätt. Läs mer om API:et för inbjudan.

  • När användaren löser in inbjudan måste det konto som de använder matcha domänen User.Mail i egenskapen. Annars kommer vissa tjänster, till exempel Teams, inte att kunna autentisera användaren.

Använd administrationscentret för Microsoft Entra för att skicka en B2B-inbjudan

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för en extern identitetsprovider.

  2. Gå till Identitet>Användare>Alla användare.

  3. Leta upp användaren i listan eller använd sökrutan. Välj sedan användaren.

  4. På fliken Översikt går du till Mitt flöde och väljer Konvertera till extern användare.

    Skärmbild av fliken Översikt för användarprofil med B2B-samarbetskort.

    Kommentar

    Om kortet står "Skicka om B2B-användarens inbjudan eller återställ deras inlösenstatus." användaren redan har bjudits in att använda externa autentiseringsuppgifter för B2B-samarbete.

  5. Lägg till en extern e-postadress och välj Skicka.

    Skärmbild som visar sidan Konvertera till extern användare.

    Kommentar

    Om alternativet inte är tillgängligt kontrollerar du att användarens e-postegenskap är inställd på den externa e-postadress som de ska använda för B2B-samarbete .

  6. Ett bekräftelsemeddelande visas och en inbjudan skickas till användaren via e-post. Användaren kan sedan lösa in inbjudan med hjälp av sina externa autentiseringsuppgifter.

Använda PowerShell för att skicka en B2B-inbjudan

Du behöver den senaste Microsoft Graph PowerShell-modulen. Använd följande kommando för att uppdatera till den senaste modulen och bjuda in den interna användaren till B2B-samarbete:

Update-Module Microsoft.Graph
Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee' 
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapplications.microsoft.com" -InvitedUser $msGraphUser

Använd inbjudnings-API:et för att skicka en B2B-inbjudan

Exemplet nedan visar hur du anropar inbjudnings-API:et för att bjuda in en intern användare som en B2B-användare.

POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
ContentType: application/json
{
    "invitedUserEmailAddress": "<<external email>>",
    "sendInvitationMessage": true,
    "invitedUserMessageInfo": {
        "messageLanguage": "en-US",
        "ccRecipients": [
            {
                "emailAddress": {
                    "name": null,
                    "address": "<<optional additional notification email>>"
                }
            }
        ],
        "customizedMessageBody": "<<custom message>>"
    },
    "inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=",
    "invitedUser": {
        "id": "<<ID for the user you want to convert>>"
    }
}

Svaret på API:et är samma svar som du får när du bjuder in en ny gästanvändare till katalogen.

Nästa steg