Microsoft Entra B2B együttműködés meghívó megváltása

  • Cikk

Ez a cikk bemutatja, hogyan férhetnek hozzá a vendégfelhasználók az erőforrásokhoz és a hozzájárulási folyamathoz. Ha meghívó e-mailt küld a vendégnek, a meghívó tartalmaz egy hivatkozást, amit a vendég beválthat az alkalmazáshoz vagy a portálhoz való hozzáféréshez. A meghívó e-mail csak az egyik módja annak, hogy a vendégek hozzáférjenek az ön erőforrásaihoz. Másik lehetőségként hozzáadhat vendégeket a címtárához, és közvetlen hivatkozást adhat nekik a megosztani kívánt portálra vagy alkalmazásra. Függetlenül attól, hogy milyen módszert használnak, a vendégek egy első alkalommal történő hozzájárulási folyamaton vehetnek át. Ez a folyamat biztosítja, hogy a vendégek elfogadják az adatvédelmi feltételeket, és elfogadják a beállított használati feltételeket.

Amikor hozzáad egy vendégfelhasználót a címtárához, a vendégfelhasználói fiók jóváhagyási állapota (megtekinthető a PowerShellben) kezdetben PendingAcceptance értékre van állítva. Ez a beállítás addig marad, amíg a vendég el nem fogadja a meghívást, és nem fogadja el az adatvédelmi szabályzatot és a használati feltételeket. Ezt követően a hozzájárulás állapota elfogadva lesz, és a hozzájárulási oldalak már nem jelennek meg a vendég számára.

Fontos

  • 2021. július 12-től, ha a Microsoft Entra B2B ügyfelei új Google-integrációkat állítottak be az egyéni vagy üzletági alkalmazásokhoz való önkiszolgáló regisztrációhoz, a Google-identitásokkal történő hitelesítés addig nem fog működni, amíg a hitelesítések át nem kerülnek a rendszer webnézeteibe. További információ.
  • 2021. szeptember 30-tól a Google elavulttá tette a beágyazott webes nézet bejelentkezési támogatását. Ha alkalmazásai beágyazott webnézettel hitelesítik a felhasználókat, és a Google összevonást használja az Azure AD B2C-vel vagy a Microsoft Entra B2B-vel külső felhasználói meghívásokhoz vagy önkiszolgáló regisztrációhoz, a Google Gmail-felhasználók nem fognak tudni hitelesíteni. További információ.
  • Az egyszeri e-mail pin-kód funkció alapértelmezés szerint be van kapcsolva az összes új bérlő és minden olyan meglévő bérlő esetében, ahol nem kapcsolta ki explicit módon. Ha ez a funkció ki van kapcsolva, a tartalék hitelesítési módszer arra kéri a meghívottakat, hogy hozzanak létre egy Microsoft-fiókot.

Visszaváltási folyamat és bejelentkezés egy közös végponton keresztül

A vendégfelhasználók mostantól bejelentkezhetnek a több-bérlős vagy a Microsoft belső alkalmazásaiba egy közös végponton (URL-en) keresztül, például https://myapps.microsoft.com. Korábban egy gyakori URL-cím átirányította a vendégfelhasználót az otthoni bérlőjéhez az erőforrás-bérlő helyett a hitelesítéshez, ezért bérlőspecifikus hivatkozásra volt szükség (például https://myapps.microsoft.com/?tenantid=<tenant id>). A vendégfelhasználó ekkor megnyithatja az alkalmazás közös URL-címét, kiválaszthatja a bejelentkezési beállításokat, majd kiválaszthatja a Bejelentkezés egy szervezetbe lehetőséget. A felhasználó ezután be írja a szervezet tartománynevét.

Képernyőképek a bejelentkezéshez használt gyakori végpontokról.

A rendszer ezután átirányítja a felhasználót a bérlőspecifikus végpontra, ahol bejelentkezhet az e-mail-címével, vagy kiválaszthatja a konfigurált identitásszolgáltatót.

A meghívó e-mail vagy az alkalmazás közös URL-címe helyett közvetlen hivatkozást adhat a vendégnek az alkalmazásra vagy a portálra. Először hozzá kell adnia a vendégfelhasználót a címtárhoz a Microsoft Entra felügyeleti központban vagy a PowerShellben. Ezután bármilyen testre szabható módon üzembe helyezhet alkalmazásokat a felhasználók számára, beleértve a közvetlen bejelentkezési hivatkozásokat is. Ha egy vendég a meghívó e-mail helyett közvetlen hivatkozást használ, a rendszer továbbra is végigvezeti őket az első hozzájárulási felületen.

Feljegyzés

A közvetlen hivatkozás bérlőspecifikus. Más szóval egy bérlőazonosítót vagy egy ellenőrzött tartományt is tartalmaz, hogy a vendég hitelesíthető legyen a bérlőben, ahol a megosztott alkalmazás található. Íme néhány példa a bérlői környezettel való közvetlen hivatkozásokra:

  • Alkalmazások hozzáférési panelje: https://myapps.microsoft.com/?tenantid=<tenant id>
  • Alkalmazások hozzáférési panelje ellenőrzött tartományhoz: https://myapps.microsoft.com/<;verified domain>
  • Microsoft Entra felügyeleti központ: https://entra.microsoft.com/<tenant id>
  • Egyéni alkalmazás: közvetlen bejelentkezési hivatkozás használata

Vannak olyan esetek, amikor a meghívó e-mail-címe közvetlen hivatkozáson keresztül ajánlott. Ha ezek a különleges esetek fontosak a szervezet számára, javasoljuk, hogy a meghívó e-mailt továbbra is küldő módszerekkel hívja meg a felhasználókat:

  • Előfordulhat, hogy a meghívott felhasználói objektum nem rendelkezik e-mail-címmel, mert ütközés lépett fel egy partnerobjektummal (például egy Outlook-névjegyobjektummal). Ebben az esetben a felhasználónak ki kell választania a beváltás URL-címét a meghívó e-mailben.
  • A felhasználó bejelentkezhet a meghívott e-mail-cím aliasával. (Az alias egy másik e-mail-cím, amely egy e-mail-fiókhoz van társítva.) Ebben az esetben a felhasználónak ki kell választania a beváltás URL-címét a meghívó e-mailben.

Visszaváltási folyamat a meghívó e-mailben

Amikor vendégfelhasználót ad hozzá a címtárához a Microsoft Entra felügyeleti központ használatával, a rendszer meghívó e-mailt küld a vendégnek a folyamat során. Dönthet úgy is, hogy meghívó e-maileket küld, amikor a PowerShell-lel vendégfelhasználókat ad hozzá a címtárához. Íme egy leírás a vendég élményéről, amikor beváltják a hivatkozást az e-mailben.

  1. A vendég kap egy meghívó e-mailt, amelyet a Microsoft Invitations küld.
  2. A vendég a Meghívó elfogadása lehetőséget választja az e-mailben.
  3. A vendég a saját hitelesítő adataival jelentkezik be a címtárba. Ha a vendég nem rendelkezik olyan fiókkal, amely összevonható a címtárával, és az egyszeri jelszó (OTP) funkció nincs engedélyezve, a vendégnek létre kell hoznia egy személyes MSA-t. Részletekért tekintse meg a meghívás beváltását ismertető folyamatot .
  4. A vendég végigvezeti az alább leírt hozzájárulási felületen .

A visszaváltási folyamat korlátozása ütköző contact objektummal

Előfordulhat, hogy a meghívott külső vendégfelhasználó e-mail-címe ütközik egy meglévő partnerobjektummal, ami azt eredményezi, hogy a vendégfelhasználó proxyAddress nélkül jön létre. Ez egy ismert korlátozás, amely megakadályozza, hogy a vendégfelhasználók közvetlen hivatkozáson keresztül váltsa be a meghívót SAML/WS-Fed idP, MSA-k, Google Federation vagy E-mail egyszeri pin-kód fiókok használatával.

A következő forgatókönyveknek azonban továbbra is működnie kell:

Ha fel szeretné oldani az ütköző partnerobjektum miatt nem beváltható meghívót nem beváltó felhasználók letiltását, kövesse az alábbi lépéseket:

  1. Törölje az ütköző partnerobjektumot.
  2. Törölje a vendégfelhasználót a Microsoft Entra Felügyeleti központban (a felhasználó "Meghívás elfogadva" tulajdonságának függőben kell lennie).
  3. A vendégfelhasználó újbóli meghívása.
  4. Várja meg, amíg a felhasználó beváltja a meghívót.
  5. Adja hozzá a felhasználó kapcsolattartói e-mail-címét az Exchange-be, és minden olyan URL-címet, amely a felhasználó részét képezi.

Meghívó beváltás folyamata

Ha egy felhasználó a meghívó e-mailben a Meghívó elfogadása hivatkozásra kattintva választja ki a meghívót, a Microsoft Entra ID automatikusan beváltja a meghívót az alábbi alapértelmezett beváltési sorrend alapján:

Képernyőkép a beváltási folyamat diagramról.

  1. A Microsoft Entra ID felhasználóalapú felderítést végez annak megállapításához, hogy a felhasználó már létezik-e egy felügyelt Microsoft Entra-bérlőben. (A nem felügyelt Microsoft Entra-fiókok már nem használhatók a visszaváltási folyamathoz.) Ha a felhasználó egyszerű felhasználóneve (UPN) megegyezik egy meglévő Microsoft Entra-fiókkal és egy személyes MSA-val is, a felhasználónak meg kell választania, hogy melyik fiókkal szeretné beváltani.

  2. Ha egy rendszergazda engedélyezte az SAML/WS-Fed idP összevonást, a Microsoft Entra ID ellenőrzi, hogy a felhasználó tartomány-utótagja megegyezik-e egy konfigurált SAML/WS-Fed identitásszolgáltató tartományával, és átirányítja a felhasználót az előre konfigurált identitásszolgáltatóhoz.

  3. Ha egy rendszergazda engedélyezte a Google összevonást, a Microsoft Entra-azonosító ellenőrzi, hogy a felhasználó tartomány-utótagja gmail.com-e, vagy googlemail.com, és átirányítja a felhasználót a Google-ba.

  4. A visszaváltási folyamat ellenőrzi, hogy a felhasználó rendelkezik-e meglévő személyes MSA-val. Ha a felhasználó már rendelkezik meglévő MSA-val, akkor a meglévő MSA-val fog bejelentkezni.

  5. Miután azonosította a felhasználó kezdőkönyvtárát, a rendszer elküldi a felhasználót a megfelelő identitásszolgáltatónak a bejelentkezéshez.

  6. Ha nem található otthoni könyvtár, és az egyszeri pin-kód funkció engedélyezve van a vendégek számára, a rendszer a meghívott e-mailen keresztül elküldi a jelszót a felhasználónak. A felhasználó lekéri és beírja ezt a jelszót a Microsoft Entra bejelentkezési oldalán.

  7. Ha nem található otthoni címtár, és a vendégek egyszeri pin-kódjának letiltása le van tiltva, a felhasználónak létre kell hoznia egy fogyasztói MSA-t a meghívott e-maillel. Támogatjuk az MSA létrehozását munkahelyi e-mailekkel olyan tartományokban, amelyek nincsenek ellenőrizve a Microsoft Entra-azonosítóban.

  8. A megfelelő identitásszolgáltatóhoz való hitelesítés után a rendszer átirányítja a felhasználót a Microsoft Entra-azonosítóra a hozzájárulási felület befejezéséhez.

Konfigurálható visszaváltás

A konfigurálható visszaváltással testre szabhatja a vendégeknek a meghívók beváltásakor megjelenített identitásszolgáltatók sorrendjét. Amikor egy vendég kiválasztja a Meghívó elfogadása hivatkozást, a Microsoft Entra-azonosító automatikusan beváltja a meghívót az alapértelmezett sorrend alapján. Ezt felülbírálhatja az identitásszolgáltató beváltási sorrendjének módosításával a bérlők közötti hozzáférési beállításokban.

Amikor egy vendég először jelentkezik be egy partnerszervezet erőforrására, a következő hozzájárulási felület jelenik meg. Ezek a hozzájárulási lapok csak bejelentkezés után jelennek meg a vendég számára, és egyáltalán nem jelennek meg, ha a felhasználó már elfogadta őket.

  1. A vendég áttekinti a meghívó szervezet adatvédelmi nyilatkozatát leíró Engedélyek áttekintése lapot. A felhasználónak el kell fogadnia az adataik felhasználását a meghívó szervezet adatvédelmi szabályzatainak megfelelően a folytatáshoz.

    Képernyőkép az Engedélyek áttekintése lapról.

    Feljegyzés

    További információ arról, hogy Ön bérlői rendszergazdaként hogyan hivatkozhat a szervezet adatvédelmi nyilatkozatára: Útmutató: A szervezet adatvédelmi adatainak hozzáadása a Microsoft Entra-azonosítóban.

  2. Ha a használati feltételek konfigurálva vannak, a vendég megnyílik, és áttekinti a használati feltételeket, majd az Elfogadás lehetőséget választja.

    Képernyőkép az új használati feltételekről.

    A használati feltételeket a külső identitások>használati feltételeiben konfigurálhatja.

  3. Ha másként nincs megadva, a rendszer átirányítja a vendéget az Alkalmazások hozzáférési panelre, amely felsorolja azokat az alkalmazásokat, amelyekhez a vendég hozzáférhet.

    Képernyőkép az Alkalmazások hozzáférési panelről.

A címtárban a vendég meghívása által elfogadott érték Igen értékre változik. Ha msA-t hoztak létre, a vendég forrása a Microsoft-fiókot jeleníti meg. A vendégfelhasználói fiók tulajdonságairól további információt a Microsoft Entra B2B együttműködési felhasználó tulajdonságai című témakörben talál. Ha olyan hibát lát, amely rendszergazdai hozzájárulást igényel egy alkalmazás elérésekor, tekintse meg , hogyan adhat rendszergazdai hozzájárulást az alkalmazásokhoz.

Automatikus visszaváltási folyamat beállítása

Előfordulhat, hogy automatikusan beváltja a meghívókat, hogy a felhasználóknak ne kelljen elfogadniuk a hozzájárulási kérést, amikor hozzáadják őket egy másik bérlőhöz a B2B-együttműködéshez. Ha konfigurálva van, a rendszer egy értesítési e-mailt küld a B2B együttműködési felhasználónak, amely nem igényel műveletet a felhasználótól. A felhasználók közvetlenül kapják meg az értesítési e-mailt, és nem kell először hozzáférniük a bérlőhöz, mielőtt megkapják az e-mailt.

A meghívók automatikus beváltásával kapcsolatos információkért tekintse meg a bérlők közötti hozzáférés áttekintését és a bérlők közötti hozzáférési beállítások konfigurálását a B2B-együttműködéshez.

Következő lépések