Propriétés d’un utilisateur Azure Active Directory B2B Collaboration

Cet article décrit les propriétés et les états d’un objet utilisateur de collaboration Azure Active Directory B2B (Azure AD B2B) invité avant et après l’acceptation d’invitation. Un utilisateur de collaboration Azure AD B2B est un utilisateur externe, généralement issu d’une organisation partenaire, que vous invitez à se connecter à votre organisation Azure AD à l’aide de ses propres informations d’identification. Cet utilisateur de collaboration B2B (également appelé utilisateur invité) peut ensuite accéder aux applications et aux ressources que vous souhaitez partager avec lui. Un objet utilisateur est créé pour l’utilisateur de collaboration B2B dans le même répertoire que celui utilisé pour vos employés. Les objets utilisateurs de collaboration B2B ont des privilèges limités dans votre répertoire par défaut, et ils peuvent être gérés comme des employés, ajoutés à des groupes, etc.

Selon les besoins de l’organisation qui émet l’invitation, un utilisateur Azure AD B2B Collaboration peut présenter l’un des états de compte suivants :

  • État 1 : Hébergé dans une instance externe d’Azure AD et représenté sous la forme d’un utilisateur invité de l’organisation à l’origine de l’invitation. Dans ce cas, l’utilisateur B2B se connecte avec un compte Azure AD qui appartient au locataire invité. Même si l’organisation partenaire n’utilise pas Azure AD, l’utilisateur invité d’Azure AD est créé. Les conditions requises sont les suivantes : les utilisateurs se servent de leur invitation et Azure AD vérifie leur adresse e-mail. Cet arrangement est aussi appelé une location juste-à-temps (JIT), une location « virale » ou une location Azure AD non gérée.

    Important

    À partir du 1er novembre 2021, nous allons commencer à déployer un changement afin d’activer la fonctionnalité de code secret à usage unique envoyé par e-mail pour tous les locataires existants et de l’activer par défaut pour les nouveaux locataires. Dans le cadre de cette modification, Microsoft cessera de créer des comptes et des locataires Azure AD non managés (« viraux ») lors de l’acceptation d’invitation de collaboration B2B. Pour réduire au minimum les perturbations pendant les fêtes de fin d’année et les blocages de déploiements, les modifications seront déployées pour la majorité des locataires en janvier 2022. Il s’agit en effet d’une méthode d’authentification de secours transparente pour les utilisateurs invités. Cependant, si vous ne voulez permettre l’activation automatique de cette fonctionnalité, vous pouvez la désactiver.

  • État 2 : Hébergé dans un compte Microsoft ou autre et représenté en tant qu’utilisateur invité dans l’organisation hôte. Dans ce cas, l’utilisateur invité se connecte avec un compte Microsoft ou un compte social (google.com ou similaire). L’identité de l’utilisateur invité est créée en tant que compte Microsoft dans l’annuaire de l’organisation à l’origine de l’invitation durant l’utilisation de l’offre.

  • État 3 : Hébergé dans l’instance Active Directory locale de l’organisation hôte et synchronisé avec l’instance Azure AD de l’organisation hôte. Vous pouvez utiliser Azure AD Connect pour synchroniser les comptes de partenaires dans le cloud en tant qu’utilisateurs Azure AD B2B (UserType = Invité). Consultez Accorder un accès aux comptes de partenaires gérés en local aux ressources cloud.

  • État 4 : Hébergé dans l’instance Azure AD de l’organisation hôte avec la propriété UserType = Invité et des informations d’identification gérées par l’organisation hôte.

    Diagram depicting the four user states

À présent, voyons à quoi ressemble un utilisateur Azure AD B2B Collaboration dans Azure AD.

Avant l'utilisation de l'invitation

Les comptes dans l’état 1 et l’état 2 sont le résultat de l’invitation d’utilisateurs invités à collaborer à l’aide des informations d’identification des utilisateurs invités. Quand l’invitation est initialement envoyée à l’utilisateur invité, un compte est créé dans votre locataire. Ce compte n’est pas associé à des informations d’identification, car l’authentification est effectuée par le fournisseur d’identité de l’utilisateur invité.

La propriété Émetteur du compte d’utilisateur invité dans votre annuaire est définie sur le domaine de l’organisation de l’hôte jusqu’à ce que l’invité accepte son invitation. Dans le portail, la propriété Invitation acceptée définie dans le profil du portail Azure AD de l’utilisateur invité a la valeur et l’interrogation d’externalUserState à l’aide de l’API Microsoft Graph retourne .

Screenshot showing user properties before offer redemption

Après l'utilisation de l'invitation

Quand l’utilisateur invité accepte l’invitation, la propriété Émetteur est mise à jour selon le fournisseur d’identité de l’utilisateur invité.

Pour les utilisateurs invités dans l’état 1, l’émetteur est un émetteur Azure AD externe.

State 1 guest user after offer redemption

Pour les utilisateurs invités dans l’état 2, l’émetteur est un compte Microsoft.

State 2 guest user after offer redemption

Pour les utilisateurs invités dans l’état 3 et l’état 4, la propriété Émetteur a la valeur du domaine de l’organisation de l’hôte. La propriété Annuaire synchronisé dans le portail Azure ou onPremisesSyncEnabled dans Microsoft Graph peut être utilisée pour faire la distinction entre les états 3 et 4, ce qui indique que l’utilisateur est hébergé dans l’annuaire Active Directory local de l’hôte.

Propriétés clés de l’utilisateur Azure AD B2B collaboration

UserType

Cette propriété indique la relation de l’utilisateur avec la location hôte. Cette propriété peut avoir deux valeurs :

  • Membre : Cette valeur désigne un employé de l’organisation hôte et un utilisateur du service de paie de l’organisation. Par exemple, cet utilisateur ne peut accéder qu’à des sites internes. Cet utilisateur n’est pas considéré comme collaborateur externe.

  • Invité : Cette valeur indique un utilisateur qui n’est pas considéré comme interne à l’entreprise, tel qu’un collaborateur externe, un partenaire ou un client. Un tel utilisateur n’est pas censé recevoir de mémo interne du PDG ou bénéficier des avantages de la société, par exemple.

    Notes

    La valeur UserType n’a aucun lien avec le mode de connexion de l’utilisateur, le rôle d’annuaire de l’utilisateur, etc. Cette propriété indique simplement la relation de l’utilisateur avec l’organisation hôte et permet à l’organisation d’appliquer des stratégies qui dépendent de cette propriété.

Pour plus d’informations sur les tarifs, reportez-vous à Tarification Azure Active Directory.

Émetteur

Cette propriété indique le fournisseur d’identité principal de l’utilisateur. Un utilisateur peut avoir plusieurs fournisseurs d’identité consultables en sélectionnant l’émetteur dans le profil de l’utilisateur ou en interrogeant la propriété par le biais de l’API Microsoft Graph.

Valeur de la propriété Émetteur État de connexion
Organisation Azure AD externe Cet utilisateur est hébergé dans une organisation externe et s’authentifie à l’aide d’un compte Azure AD qui appartient à l’autre organisation. Ce type de connexion correspond à l’état 1.
Compte Microsoft Cet utilisateur est hébergé dans un compte Microsoft et s’authentifie à l’aide d’un compte Microsoft. Ce type de connexion correspond à l’état 2.
{Domaine de l’hôte} Cet utilisateur s’authentifie à l’aide d’un compte Azure AD qui appartient à cette organisation. Ce type de connexion correspond à l’état 4.
google.com Cet utilisateur dispose d’un compte Gmail et s’est inscrit en libre-service auprès de l’autre organisation. Ce type de connexion correspond à l’état 2.
facebook.com Cet utilisateur dispose d’un compte Facebook et s’est inscrit en libre-service auprès de l’autre organisation. Ce type de connexion correspond à l’état 2.
mail Cet utilisateur a une adresse e-mail qui ne correspond pas aux domaines Azure AD ou SAML/WS-Fed vérifiés. Il ne s’agit pas d’une adresse Gmail ni d’un compte Microsoft. Ce type de connexion correspond à l’état 4.
phone Cet utilisateur a une adresse e-mail qui ne correspond pas à un domaine Azure AD ou SAML/WS-Fed vérifié. Il ne s’agit pas d’une adresse Gmail ni d’un compte Microsoft. Ce type de connexion correspond à l’état 4.
{URI de l’émetteur} Cet utilisateur est hébergé dans une organisation externe qui n’utilise pas Azure Active Directory comme fournisseur d’identité, mais plutôt des fournisseurs d’identité SAML/WS-Fed. L’URI de l’émetteur apparaît quand l’utilisateur clique sur le champ de l’émetteur. Ce type de connexion correspond à l’état 2.

Annuaire synchronisé (ou ‘onPremisesSyncEnabled dans MS Graph)

Cette propriété indique si l’utilisateur est synchronisé avec un annuaire Active Directory local et s’il est authentifié localement. Si la valeur de cette propriété est « oui », cela correspond à l’état 3.

Notes

Les propriétés Émetteur et UserType sont indépendantes. Une valeur Émetteur donnée n’implique pas une valeur UserType spécifique.

Des utilisateurs Azure AD B2B peuvent-ils être ajoutés en tant que membres plutôt qu’en tant qu’invités ?

En règle générale, un utilisateur Azure AD B2B et un utilisateur invité sont synonymes. Par conséquent, un utilisateur Azure AD B2B Collaboration est ajouté par défaut en tant qu’utilisateur avec la propriété UserType = Invité. Toutefois, dans certains cas, l’organisation partenaire est un membre d’une organisation plus vaste à laquelle appartient également l’organisation hôte. Il est alors possible que l’organisation hôte veuille traiter les utilisateurs de l’organisation partenaire comme membres plutôt que comme invités. Utilisez les API du Gestionnaire d’invitations Azure AD B2B pour ajouter ou inviter un utilisateur de l’organisation partenaire dans l’organisation hôte en tant que membre.

Filtrer les utilisateurs invités dans l’annuaire

Screenshot showing the filter for guest users

Convertir la propriété UserType

Les utilisateurs peuvent convertir la valeur Membre de la propriété UserType en valeur Invité, et inversement, en utilisant PowerShell. Toutefois, la propriété UserType représente la relation de l’utilisateur avec l’organisation. Vous ne devez donc changer cette propriété que si la relation de l’utilisateur avec l’organisation change. Le changement de cette relation de l’utilisateur nécessite-t-il le changement du nom d’utilisateur principal (UPN) ? L’utilisateur doit-il continuer à avoir accès aux mêmes ressources ? Une boîte aux lettres doit-elle être attribuée ?

Supprimer des limitations pour les utilisateurs invités

Dans certains cas, vous souhaiterez peut-être donner aux utilisateurs invités des privilèges plus élevés. Vous pouvez ajouter un utilisateur invité à un rôle quelconque et même supprimer les restrictions d’utilisateur invité par défaut dans le répertoire afin d’attribuer à l’utilisateur les mêmes privilèges que les membres.

Il est possible de désactiver les limitations par défaut afin qu’un utilisateur invité dans l’annuaire de la société ait les mêmes autorisations qu’un utilisateur membre.

Screenshot showing the External users option in the user settings

Puis-je rendre les utilisateurs invités visibles dans la liste d’adresses globale Exchange ?

Oui. Par défaut, les objets invités ne sont pas visibles dans la liste d’adresses globale de votre organisation, mais vous pouvez utiliser Azure Active Directory PowerShell pour les rendre visibles. Pour plus d’informations, consultez « Ajouter des invités à la liste d’adresses globale » dans l’article relatif à l’accès invité par groupe dans Microsoft 365.

Puis-je mettre à jour l’adresse de messagerie d’un utilisateur invité ?

Si un utilisateur invité accepte votre invitation et qu’il modifie par la suite son adresse e-mail, le nouvel e-mail n’est pas automatiquement synchronisé avec l’objet utilisateur invité dans votre annuaire. La propriété de messagerie est créée via Microsoft API Graph. Vous pouvez mettre à jour la propriété de messagerie via l’API Microsoft Graph, le centre d’administration Exchange ou Exchange Online PowerShell. La modification sera reflétée dans l’objet utilisateur invité Azure AD.

Étapes suivantes