Propriedades de um usuário de colaboração B2B do Microsoft Entra
A colaboração B2B é uma funcionalidade da ID Externa do Microsoft Entra que permite colaborar com usuários e parceiros fora da sua organização. Com a colaboração B2B, um usuário externo é convidado a entrar na sua organização do Microsoft Entra usando credenciais próprias. Esse usuário da colaboração B2B pode acessar os aplicativos e os recursos que você deseja compartilhar com ele. Um objeto de usuário é criado para o usuário de colaboração B2B no mesmo diretório que seus funcionários. Os objetos de usuário de colaboração B2B têm privilégios limitados no seu diretório por padrão e podem ser gerenciados como funcionários, adicionados a grupos e assim por diante. Este artigo discute as propriedades desse objeto de usuário e as maneiras de gerenciá-lo.
A tabela a seguir descreve os usuários da colaboração B2B com base em como eles são autenticados (interna ou externamente) e a relação deles com a sua organização (convidado ou membro).
- Convidado externo: a maioria dos usuários que normalmente são considerados usuários externos ou convidados se enquadram nessa categoria. Esse usuário de colaboração B2B tem uma conta em uma organização externa do Microsoft Entra ou um provedor de identidade externo (como uma identidade social) e tem permissões no nível de convidado na organização de recursos. O objeto de usuário criado no diretório de recursos do Microsoft Entra tem o UserType de Convidado.
- Membro externo: esse usuário da colaboração B2B tem uma conta em uma organização externa do Microsoft Entra ou um provedor de identidade externo (como uma identidade social) e acesso em nível de membro aos recursos da sua organização. Esse cenário é comum em organizações que consistem em vários locatários, nos quais os usuários são considerados parte da organização maior e precisam ter o acesso em nível de membro aos recursos dos outros locatários da organização. O objeto de usuário criado no diretório do Microsoft Entra do recurso tem o UserType de Membro.
- Convidado interno: antes de a colaboração B2B do Microsoft Entra estar disponível, era comum colaborar com distribuidores, fornecedores e outros, configurando credenciais internas para eles e designando-os como convidados pela configuração do objeto de usuário UserType como Convidado. Se você tiver usuários convidados internos como esses, convide-os para usar a colaboração B2B, de modo que eles possam usar as respectivas credenciais, permitindo que o provedor de identidade externo gerencie a autenticação e o ciclo de vida da conta.
- Membro interno: esses usuários geralmente são considerados funcionários da sua organização. O usuário é autenticado internamente por meio do Microsoft Entra ID e o objeto de usuário criado no diretório de recurso do Microsoft Entra, tem um UserType de Membro.
O tipo de usuário escolhido tem as seguintes limitações para aplicativos ou serviços (entre outras):
| Aplicativo ou serviço | Limitações |
|---|---|
| Power BI | - O suporte para Membro UserType no Power BI está atualmente em versão prévia. Para obter mais informações, consulte Distribuir o conteúdo do Power BI para usuários convidados externos com o Microsoft Entra B2B. |
| Área de Trabalho Virtual do Azure | – Não há suporte para membro externo e convidado externo na Área de Trabalho Virtual do Azure. |
Importante
O recurso de senha de uso único por email agora fica ativado por padrão em todos os novos locatários e nos locatários existentes em que você não o desativou explicitamente. Quando esse recurso está desativado, o método de autenticação de fallback é solicitar que os convidados criem uma conta Microsoft.
Resgate do convite
Agora, vamos visualizar como é um usuário de colaboração B2B do Microsoft Entra na ID Externa do Microsoft Entra.
antes do resgate do convite
As contas de usuário da colaboração B2B são o resultado do convite de usuários a colaborar usando as credenciais dos usuários convidados. Quando o convite é enviado inicialmente para o usuário convidado, uma conta é criada em seu locatário. Essa conta não tem credenciais associadas a ela, porque a autenticação é executada pelo provedor de identidade do usuário convidado. A propriedade de Identidades da conta de usuário convidado em seu diretório é definida como o domínio da organização do host até que o convidado resgate o próprio convite. O usuário que envia o convite é adicionado como um valor padrão para o atributo Responsável na conta de usuário convidado. No centro de administração, o perfil do usuário convidado mostrará um Estado de usuário externo de PendingAcceptance. A consulta para externalUserState usar a API do Microsoft Graph retornará Pending Acceptance.
após o resgate do convite
Depois que o usuário da colaboração B2B aceita o convite, a propriedade Identidades é atualizada com base no provedor de identidade do usuário.
Se o usuário da colaboração B2B estiver usando uma conta Microsoft ou credenciais de outro provedor de identidade externo, Identidades refletirá o provedor de identidade, por exemplo, Conta Microsoft, google.com ou facebook.com.
Se o usuário da colaboração B2B estiver usando credenciais de outra organização do Microsoft Entra, Identidades será igual a ExternalAzureAD.
Para os usuários externos que estão usando credenciais internas, a propriedade Identidades é definida como o domínio da organização do host. A propriedade Sincronização de diretório será Sim, caso a conta seja hospedada no Active Directory local da organização e sincronizada com o Microsoft Entra ID, ou Não, caso a conta seja uma conta somente em nuvem do Microsoft Entra. As informações de sincronização de diretório também estão disponíveis por meio da propriedade
onPremisesSyncEnabledno Microsoft Graph.
Principais propriedades do usuário de colaboração B2B do Microsoft Entra
Nome UPN
O nome UPN de um objeto de usuário da colaboração B2B contém um identificador #EXT#.
Tipo de usuário
Essa propriedade indica a relação entre o usuário e o locatário do host. Essa propriedade pode assumir dois valores:
Membro: esse valor indica um funcionário da organização host e um usuário na folha de pagamento da organização. Por exemplo, provavelmente esse usuário poderá acessar somente os sites internos. Esse usuário não é considerado um colaborador externo.
Convidado: esse valor indica um usuário que não é considerado interno para a empresa, como um colaborador externo, um parceiro ou um cliente. Não se espera que esse usuário receba um memorando interno do CEO ou receba benefícios da empresa, por exemplo.
Observação
O UserType não tem nenhuma relação com o tipo de acesso do usuário, nem com a função do diretório do usuário e assim por diante. Essa propriedade só indica a relação do usuário com a organização host, e permite que a organização aplique as políticas que dependem desse atributo.
Identidades
Essa propriedade indica o provedor de identidade principal do usuário. Um usuário pode ter vários provedores de identidade que podem ser exibidos pela seleção do link ao lado de Identidades no perfil do usuário ou pela consulta da propriedade identities por meio da API do Microsoft Graph.
Observação
Identidades e UserType são propriedades independentes. O valor de Identidades não envolve um valor específico para UserType.
| Valor da propriedade Identidades | Estado da entrada |
|---|---|
| ExternalAzureAD | Esse usuário está hospedado em uma organização externa e é autenticado com uma conta do Microsoft Entra que pertence a outra organização. |
| Conta da Microsoft | este usuário está hospedado em uma conta Microsoft e é autenticado usando uma conta Microsoft. |
| {domínio do host} | Este usuário é autenticado usando uma conta do Microsoft Entra que pertence a esta organização. |
| google.com | Esse usuário tem uma conta do Gmail e se inscreveu usando o autoatendida para a outra organização. |
| facebook.com | Esse usuário tem uma conta do Facebook e se inscreveu usando o autoatendida para outra organização. |
| Esse usuário se inscreveu usando a OTP (senha única) do e-mail da ID Externa do Microsoft Entra. | |
| {URI do emissor} | Esse usuário está hospedado em uma organização externa que não usa o Microsoft Entra ID como o provedor de identidade, mas usa um provedor de identidade baseado em SAML (Security Assertion Markup Language)/WS-Fed. O URI do emissor é mostrado quando o campo Identidades é clicado. |
Não há suporte para entrada por telefone para usuários externos. As contas B2B não podem usar o valor de phone como um provedor de identidade.
Sincronização de diretório
A propriedade Sincronização de diretório indica se o usuário está sendo sincronizado com o Active Directory local e está autenticado localmente. Essa propriedade será Sim, caso a conta esteja hospedada no Active Directory local da organização e sincronizada com o Microsoft Entra ID ou Não, caso a conta seja uma conta do Microsoft Entra somente de nuvem. No Microsoft Graph, a propriedade Sincronização de diretório corresponde a onPremisesSyncEnabled.
Os usuários B2B do Microsoft Entra podem ser adicionados como membros em vez de convidados?
Normalmente, um usuário B2B do Microsoft Entra e um usuário Convidado são sinônimos. Portanto, um usuário da colaboração B2B do Microsoft Entra é adicionado por padrão como um usuário com UserType definido como Convidado. No entanto, em alguns casos, a organização parceira é membra de uma organização maior a qual a organização host também pertence. Se esse for o caso, talvez a organização host queira tratar os usuários na organização parceira como membros e não convidados. Use as APIs do gerenciador de convites B2B do Microsoft Entra para adicionar ou convidar um usuário da organização parceira para a organização host como um membro.
Filtragem de usuários convidados no diretório
Na lista Usuários, você pode usar Adicionar filtro para exibir apenas os usuários convidados em seu diretório.
Converter UserType
É possível converter UserType de Membro em Convidado e vice-versa editando o perfil do usuário no Centro de administração do Microsoft Entra ou usando o PowerShell. No entanto, a propriedade UserType representa a relação do usuário com a organização. Portanto, o valor dessa propriedade só deverá ser alterado se a relação entre o usuário e a organização mudar. Se o relacionamento do usuário for alterado, o nome UPN também deverá ser alterado? O usuário poderá acessar os mesmos recursos? Uma caixa de correio deve ser atribuída?
Permissões de usuário convidado
Usuários convidados têm permissões de diretório restritas padrão. Eles podem gerenciar o próprio perfil, alterar a própria senha e recuperar algumas informações sobre outros usuários, grupos e aplicativos. No entanto, eles não podem ler todas as informações de diretório.
Não há suporte para usuários convidados B2B nos canais compartilhados do Microsoft Teams. Para obter acesso aos canais compartilhados, confira Conexão direta de B2B.
Pode haver casos em que você deseja dar aos usuários convidados privilégios mais altos. Você pode adicionar um usuário convidado a qualquer função e até mesmo remover as restrições do usuário convidado padrão no diretório a fim de fornecer os mesmos privilégios como membros. É possível desligar as limitações padrão para que um usuário convidado no diretório da empresa receba as mesmas permissões que um membro. Para obter mais informações, confira o artigo Restringir permissões de acesso de convidado na ID Externa do Entra External .
É possível tornar os usuários convidados visíveis na Lista de Endereços Global do Exchange?
Sim. Por padrão, os objetos convidados não são visíveis na lista de endereços global da sua organização, mas você pode usar o Microsoft Graph PowerShell para torná-los visíveis. Para obter detalhes, veja “Adicionar convidados à lista de endereços global” no artigo de acesso de convidado por grupo do Microsoft 365.
Posso atualizar o endereço de email de um usuário convidado?
Se um usuário convidado aceitar seu convite e, posteriormente, alterar o endereço de email, o novo email não será sincronizado automaticamente com o objeto de usuário convidado em seu diretório. A propriedade de email é criada por meio da API do Microsoft Graph. Você pode atualizar a propriedade de email por meio da API do Microsoft Graph, do centro de administração do Exchange ou do PowerShell do Exchange Online. A alteração será refletida no objeto de usuário convidado do Microsoft Entra.