Share via

Invitare utenti interni a Collaborazione B2B

  • Articolo

Si applica a: Cerchio verde con un simbolo di segno di spunta bianco. Tenant esterni della forza lavoro Cerchio bianco con un simbolo X grigio. (altre informazioni)

Prima della disponibilità di Microsoft Entra B2B Collaboration, le organizzazioni potrebbero collaborare con distributori, fornitori, fornitori e altri utenti guest configurando le credenziali interne per loro. Se si hanno utenti guest interni come questi, è possibile invitarli a usare invece collaborazione B2B. Questi utenti guest B2B potranno accedere usando le proprie identità e credenziali, eliminando la necessità di manutenzione delle password o della gestione del ciclo di vita dell'account.

L'invio di un invito a un account interno esistente consente di mantenere l'ID oggetto dell'utente, l'UPN, le appartenenze ai gruppi e le assegnazioni di app. Non è necessario eliminare e reinvitare manualmente l'utente o riassegnare le risorse. Per invitare l'utente, usare l'API di invito per passare sia l'oggetto utente interno che l'indirizzo di posta elettronica dell'utente guest insieme all'invito. Quando l'utente accetta l'invito, il servizio B2B modifica l'oggetto utente interno esistente in un utente B2B. In futuro, l'utente deve accedere ai servizi delle risorse cloud usando le credenziali B2B.

Alcune cose da considerare

  • Accesso alle risorse locali: dopo che l'utente è stato invitato a Collaborazione B2B, può comunque usare le credenziali interne per accedere alle risorse locali. È possibile evitare questo problema reimpostando o modificando la password nell'account interno. L'eccezione è l'autenticazione con passcode monouso tramite posta elettronica; se il metodo di autenticazione dell'utente viene modificato in passcode monouso, non sarà più in grado di usare le credenziali interne.

  • Fatturazione: questa funzionalità non modifica il tipo di utente per l'utente, quindi non cambia automaticamente il modello di fatturazione dell'utente impostando i prezzi dell'utente attivo mensile con ID esterno (MAU). Per attivare i prezzi MAU per l'utente, modificare UserType per l'utente in guest. Si noti anche che il tenant di Microsoft Entra deve essere collegato a una sottoscrizione di Azure per attivare la fatturazione MAU.

  • Teams: quando l'utente accede a Teams usando le credenziali esterne, il tenant non sarà disponibile inizialmente nella selezione tenant di Teams. L'utente può accedere a Teams usando un URL che contiene il contesto del tenant, ad esempio : https://teams.microsoft.com/?tenantId=<TenantId>. Successivamente, il tenant diventerà disponibile nella selezione tenant di Teams.

  • Utenti sincronizzati in locale: per gli account utente sincronizzati tra l'ambiente locale e il cloud, la directory locale rimane l'origine dell'autorità dopo che sono stati invitati a usare collaborazione B2B. Le modifiche apportate all'account locale verranno sincronizzate con l'account cloud, inclusa la disabilitazione o l'eliminazione dell'account. Pertanto, non è possibile impedire all'utente di accedere al proprio account locale mantenendo il proprio account cloud semplicemente eliminando l'account locale. È invece possibile impostare la password dell'account locale su un GUID casuale o su un altro valore sconosciuto.

Nota

In Microsoft Entra Connessione Sync è presente una regola predefinita che scrive l'attributo onPremisesUserPrincipalName nell'oggetto utente. Poiché la presenza di questo attributo può impedire a un utente di accedere usando credenziali esterne, vengono bloccate le conversioni interne-esterne per gli oggetti utente con questo attributo. Se si usa Microsoft Entra Connessione e si vuole essere in grado di invitare utenti interni alla collaborazione B2B, è necessario modificare la regola predefinita in modo che l'attributo onPremisesUserPrincipalName non venga scritto nell'oggetto utente.

Come invitare utenti interni alla collaborazione B2B

È possibile usare l'interfaccia di amministrazione di Microsoft Entra, PowerShell o l'API di invito per inviare un invito B2B all'utente interno. Ci sono alcuni aspetti da considerare:

  • Prima di invitare l'utente, assicurarsi che la User.Mail proprietà dell'oggetto utente interno (la proprietà Email dell'utente nell'interfaccia di amministrazione di Microsoft Entra) sia impostata sull'indirizzo di posta elettronica esterno che useranno per la collaborazione B2B. Se l'utente interno ha una cassetta postale esistente, non è possibile modificare questa proprietà in un indirizzo di posta elettronica esterno. È necessario aggiornare gli attributi nell'interfaccia di amministrazione di Exchange.

  • Quando si invita l'utente, viene inviato un invito all'utente tramite posta elettronica. Se si usa PowerShell o l'API di invito, è possibile eliminare questo messaggio di posta elettronica impostando SendInvitationMessage su False. È quindi possibile inviare una notifica all'utente in un altro modo. Altre informazioni sull'API di invito.

  • Quando l'utente riscatta l'invito, l'account in uso deve corrispondere al dominio nella User.Mail proprietà . In caso contrario, alcuni servizi, ad esempio Teams, non saranno in grado di autenticare l'utente.

Usare l'interfaccia di amministrazione di Microsoft Entra per inviare un invito B2B

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore del provider di identità esterno.

  2. Passare a Identità>Utenti>Tutti gli utenti.

  3. Trovare l'utente nell'elenco o usare la casella di ricerca. Selezionare quindi l'utente.

  4. Nella scheda Panoramica, in Feed personale, selezionare Converti in utente esterno.

    Screenshot della scheda Panoramica del profilo utente con la scheda collaborazione B2B.

    Nota

    Se la scheda indica "Inviare nuovamente l'invito dell'utente B2B o reimpostare lo stato di riscatto". l'utente è già stato invitato a usare credenziali esterne per collaborazione B2B.

  5. Aggiungere un indirizzo di posta elettronica esterno e selezionare Invia.

    Screenshot che mostra la pagina converti in utente esterno.

    Nota

    Se l'opzione non è disponibile, assicurarsi che la proprietà Email dell'utente sia impostata sull'indirizzo di posta elettronica esterno da usare per collaborazione B2B.

  6. Viene visualizzato un messaggio di conferma e viene inviato un invito all'utente tramite posta elettronica. L'utente può quindi riscattare l'invito usando le credenziali esterne.

Usare PowerShell per inviare un invito B2B

Sarà necessario il modulo Di PowerShell di Microsoft Graph più recente. Usare il comando seguente per eseguire l'aggiornamento al modulo più recente e invitare l'utente interno a Collaborazione B2B:

Update-Module Microsoft.Graph
Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee' 
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapplications.microsoft.com" -InvitedUser $msGraphUser

Usare l'API di invito per inviare un invito B2B

L'esempio seguente illustra come chiamare l'API di invito per invitare un utente interno come utente B2B.

POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
ContentType: application/json
{
    "invitedUserEmailAddress": "<<external email>>",
    "sendInvitationMessage": true,
    "invitedUserMessageInfo": {
        "messageLanguage": "en-US",
        "ccRecipients": [
            {
                "emailAddress": {
                    "name": null,
                    "address": "<<optional additional notification email>>"
                }
            }
        ],
        "customizedMessageBody": "<<custom message>>"
    },
    "inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=",
    "invitedUser": {
        "id": "<<ID for the user you want to convert>>"
    }
}

La risposta all'API è la stessa risposta che si ottiene quando si invita un nuovo utente guest alla directory.

Passaggi successivi