Share via

Inviter des utilisateurs internes sur B2B Collaboration

  • Article

Avant la mise à disposition de Microsoft Entra B2B Collaboration, les organisations pouvaient collaborer avec les distributeurs, les fournisseurs, les prestataires et autres utilisateurs invités en définissant leurs informations d’identification internes. Si vous avez de tels utilisateurs invités internes, vous pouvez les inviter à utiliser B2B Collaboration à la place. Ces utilisateurs invités B2B pourront se connecter au moyen de leurs propres identités et informations d’identification, ce qui supprime la nécessité de maintenance de mot de passe ou de gestion du cycle de vie du compte.

L’envoi d’une invitation à un compte interne existant vous permet de conserver l’ID d’objet, l’UPN, les appartenances aux groupes ainsi que les affectations d’applications de l’utilisateur. Vous n’avez pas besoin de supprimer et de réinviter manuellement l’utilisateur ou de réaffecter des ressources. Pour inviter l’utilisateur, vous utilisez l’API d’invitation afin de transmettre à la fois l’objet utilisateur interne et l’adresse e-mail de l’utilisateur invité avec l’invitation. Quand l’utilisateur accepte l’invitation, le service B2B remplace l’objet utilisateur interne existant par un utilisateur B2B. Par la suite, l’utilisateur doit se connecter aux services de ressources cloud à l’aide de ses informations d’identification B2B.

Points importants à prendre en compte

  • Accès aux ressources locales : une fois que l’utilisateur est invité à B2B Collaboration, il peut toujours utiliser ses informations d’identification internes pour accéder aux ressources locales. Vous pouvez éviter cela en réinitialisant ou en modifiant le mot de passe du compte interne. L’exception est l’Authentification par envoi d’un code secret à usage unique par e-mail. Si la méthode d’authentification de l’utilisateur est un code secret à usage unique, l’utilisateur ne peut plus utiliser ses informations d’identification internes.

  • Facturation: cette fonctionnalité ne modifie pas le UserType de l’utilisateur. Par conséquent, elle ne change pas automatiquement le modèle de facturation de l’utilisateur en tarification d’utilisateur actif mensuel (MAU) External ID. Pour activer la tarification MAU pour l’utilisateur, modifiez le UserType de l’utilisateur en guest. Notez également que votre locataire Microsoft Entra doit être lié à un abonnement Azure pour activer la facturation utilisateurs actifs mensuels.

  • L’invitation est unidirectionnelle : Vous pouvez inviter des utilisateurs internes à utiliser B2B Collaboration, mais vous ne pouvez pas supprimer les informations d’identification B2B une fois qu’elles ont été ajoutées. Pour rétablir l’utilisateur en tant qu’utilisateur interne uniquement, vous devez supprimer l’objet utilisateur et en créer un autre.

  • Teams : quand l’utilisateur accède à Teams à l’aide de ses informations d’identification externes, son locataire n’est pas disponible initialement dans le sélecteur de locataire de Teams. L’utilisateur peut accéder à Teams à l’aide d’une URL contenant le contexte du locataire, par exemple : https://teams.microsoft.com/?tenantId=<TenantId>. Ensuite, le locataire devient disponible dans le sélecteur de locataire de Teams.

  • Utilisateurs synchronisés localement : Pour les comptes d’utilisateurs synchronisés localement et dans le cloud, l’annuaire local reste la source d’autorité une fois que les utilisateurs ont été invités à accéder à B2B Collaboration. Tous les changements que vous apportez au compte local sont synchronisés avec le compte cloud, notamment la désactivation ou la suppression du compte. Vous ne pouvez donc pas empêcher l’utilisateur de se connecter à son compte local tout en conservant son compte cloud, en supprimant simplement le compte local. À la place, vous pouvez affecter un GUID aléatoire ou toute autre valeur inconnue au mot de passe du compte local.

Remarque

Dans la synchronisation Microsoft Entra Connect, il existe une règle par défaut qui écrit l’attribut onPremisesUserPrincipalName dans l’objet utilisateur. Étant donné que la présence de cet attribut peut empêcher un utilisateur de se connecter à l’aide d’informations d’identification externes, nous bloquons les conversions d’informations internes en informations externes pour les objets utilisateur dotés de cet attribut. Si vous utilisez Microsoft Entra Connect et souhaitez pouvoir inviter des utilisateurs internes sur B2B Collaboration, vous devez modifier la règle par défaut afin que l’attribut onPremisesUserPrincipalName ne soit pas écrit dans l’objet utilisateur.

Guide pratique pour inviter des utilisateurs internes sur B2B Collaboration

Vous pouvez utiliser le centre d'administration Microsoft Entra, PowerShell ou l'API d'invitation pour envoyer une invitation B2B à l'utilisateur interne. Quelques éléments à prendre en compte :

  • Avant d'inviter l'utilisateur, assurez-vous que la propriété User.Mail de l'objet utilisateur interne (la propriété Email de l'utilisateur dans le centre d'administration Microsoft Entra) est définie sur l'adresse e-mail externe qu'il utilisera pour la collaboration B2B. Si l’utilisateur interne dispose d’une boîte aux lettres existante, vous ne pouvez remplacer cette propriété par une adresse e-mail externe. Vous devez mettre à jour leurs attributs dans le centre d’administration Exchange.

  • Lorsque vous invitez l’utilisateur, une invitation est envoyée à l’utilisateur par e-mail. Si vous utilisez PowerShell ou l’API d’invitation, vous pouvez supprimer cet e-mail en affectant la valeur SendInvitationMessage à False. Vous pouvez ensuite avertir l’utilisateur d’une autre façon. En savoir plus l’API d’invitation.

  • Lorsque l’utilisateur accepte l’invitation, le compte qu’il utilise doit correspondre au domaine dans la propriété User.Mail. Sinon, certains services tels que Teams ne pourront pas authentifier l’utilisateur.

Utilisez le centre d'administration Microsoft Entra pour envoyer une invitation B2B

Conseil

Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.

  1. Connectez-vous au Centre d'administration Microsoft Entra en tant qu'Administrateur de fournisseur d'identité externe.

  2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.

  3. Recherchez l’utilisateur dans la liste ou utilisez la zone de recherche. Ensuite, sélectionnez l’utilisateur.

  4. Sous l’onglet Vue d’ensemble, sous Mon flux, sélectionnez Convertir en utilisateur externe.

    Capture d’écran de l’onglet Vue d’ensemble du profil utilisateur avec la carte de collaboration B2B.

    Notes

    Si la carte dit « Renvoyez l’invitation de cet utilisateur B2B ou réinitialisez son état d’échange ». l'utilisateur a déjà été invité à utiliser des informations d'identification externes pour la collaboration B2B.

  5. Ajoutez une adresse e-mail externe et sélectionnez Envoyer.

    Capture d’écran montrant la page convertir vers des utilisateurs externes.

    Notes

    Si l’option n’est pas disponible, assurez-vous que la propriété E-mail de l’utilisateur est définie sur l’adresse de messagerie externe qu’elle doit utiliser pour B2B Collaboration.

  6. Un message de confirmation s’affiche et une invitation est envoyée à l’utilisateur par e-mail. L’utilisateur peut ensuite accepter l’invitation à l’aide de ses informations d’identification externes.

Utiliser PowerShell pour envoyer une invitation B2B

Vous aurez besoin du dernier module Microsoft Graph PowerShell. Utilisez la commande suivante pour effectuer une mise à jour vers le dernier module et inviter l’utilisateur interne à B2B Collaboration :

Update-Module Microsoft.Graph
Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee' 
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapplications.microsoft.com" -InvitedUser $msGraphUser

Utiliser l’API d’invitation pour envoyer une invitation B2B

L’exemple ci-dessous montre comment appeler l’API d’invitation pour inviter un utilisateur interne en tant qu’utilisateur B2B.

POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
ContentType: application/json
{
    "invitedUserEmailAddress": "<<external email>>",
    "sendInvitationMessage": true,
    "invitedUserMessageInfo": {
        "messageLanguage": "en-US",
        "ccRecipients": [
            {
                "emailAddress": {
                    "name": null,
                    "address": "<<optional additional notification email>>"
                }
            }
        ],
        "customizedMessageBody": "<<custom message>>"
    },
    "inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=",
    "invitedUser": {
        "id": "<<ID for the user you want to convert>>"
    }
}

La réponse à l’API est la même que celle obtenue quand vous invitez un nouvel utilisateur invité à accéder à l’annuaire.

Étapes suivantes