Perguntas frequentes sobre a colaboração B2B do Microsoft Entra

Para obter mais informações sobre como personalizar a página de entrada de sua organização, consulte Adicionar a identidade visual da empresa às páginas de entrada e do Painel de Acesso.

Sim. Entretanto, a capacidade de pesquisar usuários convidados existentes no SharePoint Online com o seletor de pessoas está Desativada por padrão. Para ativar a opção de pesquisa de usuários convidados existentes, defina ShowPeoplePickerSuggestionsForGuestUsers como Ativado. Ative essa configuração no nível do locatário ou no nível de conjunto de sites. Altere essa configuração usando os cmdlets Set-SPOTenant e Set-SPOSite. Com esses cmdlets, os membros podem pesquisar todos os usuários convidados existentes no diretório. Alterações no escopo do inquilino não afetam os sites do SharePoint Online que já foram provisionados.

Sim, você pode distribuir o conteúdo do Power BI para usuários convidados externos usando a colaboração B2B. Para compartilhar conteúdo do Power BI entre nuvens da Microsoft, você pode usar as configurações de nuvem da Microsoft para estabelecer a colaboração B2B mútua entre sua nuvem e uma nuvem externa.

Sim. Para obter mais informações sobre como usar o recurso de upload de arquivo .csv, consulte esta amostra do PowerShell.

É possível personalizar quase tudo no processo do emissor do convite usando as APIs de convite B2B.

Sim. Usuários convidados podem redefinir seu método de autenticação multifator da mesma forma que usuários comuns.

A organização emissora do convite realiza a autenticação multifator. Ela precisa garantir que tenha licenças suficientes para seus usuários B2B que estão usando a autenticação multifator.

As configurações de acesso entre locatários permitem confiar na autenticação multifator e nas declarações do dispositivo (declarações em conformidade e declarações ingressadas no Microsoft Entra híbrido) de outras organizações do Microsoft Entra.

As configurações de acesso entre locatários são uma política no diretório que armazena suas configurações de como você colabora com outras organizações. Esse arquivo de política tem um limite de tamanho de 25 kb e, depois de atingir seu tamanho máximo, nenhuma organização adicional ou alterações que resulte em aumento do tamanho do arquivo poderá ser feita. Devido à forma como armazenamos o conteúdo nesta política, não há um limite definido de organizações que você pode adicionar nas configurações de acesso entre locatários. Se você precisar aplicar configurações a um grande número de organizações, recomendamos implementá-las como suas configurações padrão. Siga as etapas para calcular o tamanho atual da política e determinar se você está perto de atingir o limite de tamanho do arquivo de 25 kb.

Talvez uma organização queira adicionar usuários de colaboração B2B, provisioná-los aos aplicativos conforme necessário e, em seguida, enviar convites. Use a API de convite de colaboração B2B para personalizar o fluxo de trabalho de integração.

Sim. Por padrão, os objetos convidados não estão visíveis na lista de endereços global da sua organização, mas você pode torná-los visíveis. Para obter detalhes, veja “Adicionar convidados à lista de endereços global” no artigo de acesso de convidado por grupo do Microsoft 365.

Com certeza. Para obter mais informações, consulte Adicionando usuários convidados a uma função.

A menos que seja atribuído a um usuário a função de administrador limitado, os usuários de colaboração B2B não precisarão de acesso ao centro de administração do Microsoft Entra. No entanto, os usuários de colaboração B2B que são atribuídos à função de administrador limitado podem acessar o portal. Além disso, se um usuário convidado que não tenha uma dessas funções administrativas acessa o portal, o usuário poderá acessar determinadas partes da experiência. A função de usuário convidado tem algumas permissões no diretório.

Sim, você pode criar uma política de acesso condicional que impeça todos os usuários convidados e externos de acessar o centro de administração do Microsoft Entra. Ao configurar essa política, tenha cuidado para evitar o bloqueio acidental do acesso a membros e administradores.

1. Entre no centro de administração do Microsoft Entra como Administrador de segurança ou Administrador de acesso condicional.
2. No Centro de administração do Microsoft Entra, em Proteção, selecione Central de Segurança.
3. Em Proteger, selecione Acesso Condicional. Selecione Nova política.
4. Na página Novo, na caixa de texto Nome, insira um nome para a política (por exemplo, "Impedir que convidados acessem o portal").
5. Em Atribuições, selecione Usuários e Grupos.
6. Na guia Incluir, escolha Selecionar usuários e grupos e, em seguida, selecione Todos os usuários convidados e externos (versão prévia) .
7. Selecione Concluído.
8. Na página Novo, na seção Atribuições, selecione Ações ou aplicativos de nuvem.
9. Na página Ações ou aplicativos de nuvem, escolha Selecionar aplicativos e, em seguida, escolha Selecionar.
10. Na página Selecionar, escolha API de Gerenciamento de Serviços do Windows Azure e escolha Selecionar.
11. Na página Ações ou aplicativos de nuvem, selecione Feito.

Sim. Há suporte para a autenticação multifator e para contas de email do consumidor na colaboração B2B do Microsoft Entra.

Se o seu locatário do Microsoft Entra for o diretório inicial de um usuário, você poderá redefinir a senha do usuário no centro de administração do Microsoft Entra. Mas você não pode redefinir diretamente uma senha para um usuário convidado que faz login com uma conta gerenciada por outro diretório do Microsoft Entra ou por um provedor de identidade externo. Somente o usuário convidado ou um administrador no diretório inicial do usuário pode redefinir a senha. Aqui estão alguns exemplos de como a redefinição de senha funciona para usuários convidados:

• Os usuários convidados em um locatário do Microsoft Entra marcados como "Guest" (UserType==Guest) não podem se registrar na SSPR por meio de https://aka.ms/ssprsetup. Esses tipos de usuário convidado só podem executar a SSPR via https://aka.ms/sspr.

• Os usuários convidados que entrarem com uma conta da Microsoft (por exemplo, guestuser@live.com) podem redefinir suas próprias senhas usando a redefinição de senha de autoatendimento da conta da Microsoft (SSPR). Veja Como redefinir a senha da sua conta da Microsoft.

• Os usuários convidados que se conectam com uma conta do Google ou outro provedor de identidade externo podem redefinir as respectivas senhas usando o método da SSPR do provedor de identidade. Por exemplo, um usuário convidado com a Conta do Google guestuser@gmail.com pode redefinir sua senha seguindo as instruções em Alterar ou redefinir sua senha.

• Se o inquilino de identidade for um inquilino Just-in-time (JIT) ou "viral" (ou seja, um inquilino separado do Azure não gerenciado), somente o usuário convidado poderá redefinir sua senha. Às vezes, uma organização assumirá o gerenciamento de locatários virais que são criados quando os funcionários usam seus emails de trabalho para se inscrever em serviços. Depois que a organização assumir um locatário viral, somente um administrador da organização poderá redefinir a senha do usuário ou habilitar a SSPR. Se necessário, como a organização de convite, você pode remover a conta de usuário convidado do diretório e reenviar um convite.

• Se o diretório inicial do usuário convidado for o seu locatário do Microsoft Entra, você poderá redefinir a senha do usuário. Por exemplo, você pode ter criado um usuário ou sincronizado um usuário em seu Active Directory local e definir seu UserType como Convidado. Como esse usuário está hospedado em seu diretório, você pode redefinir sua senha no centro de administração do Microsoft Entra.

Sim, o Dynamics 365 (online) dá suporte à colaboração B2B do Microsoft Entra. Para saber mais, veja o artigo Convidar usuários com colaboração B2B do Microsoft Entra do Dynamics 365.

O Microsoft Entra ID tem um conjunto fixo de requisitos de caracteres, de força da senha e bloqueio de conta que é aplicado igualmente a todas as contas de usuário de nuvem do Microsoft Entra. As contas de usuário da nuvem são contas que não são federadas com outro provedor de identidade, como

• Conta da Microsoft
• Facebook
• Serviços de Federação do Active Directory
• Outro locatário de nuvem (para colaboração B2B)

Para contas federadas, a política de senha depende da política aplicada à locação local e às configurações de conta da Microsoft do usuário.

Um usuário convidado pode usar qualquer provedor de identidade para autenticação. Para obter mais informações, consulte Propriedades de um usuário de colaboração B2B. Use a propriedade UserType para determinar a experiência do usuário. A reivindicação UserType não está incluída no token no momento. Os aplicativos devem usar a API do Microsoft Graph para consultar o diretório para o usuário e para obter o UserType.

Estamos constantemente ouvindo seus comentários para melhorar a colaboração B2B. Compartilhe seus cenários de usuário, práticas recomendadas e o que você gosta sobre a colaboração B2B do Microsoft Entra. Participe da discussão na Comunidade de Tecnologia da Microsoft.

Também convidamos você a enviar ideias e votar em recursos futuros em Ideias para a Colaboração B2B.

Você pode convidar outros usuários na organização parceira usando a interface do usuário, os scripts do PowerShell ou as APIs. Você pode então enviar ao usuário convidado um link direto para um aplicativo compartilhado. Na maioria dos casos, não há mais necessidade de abrir o convite por email e clicar em uma URL de resgate. Consulte Resgate do convite de colaboração do Microsoft Entra B2B.

Se o parceiro tiver um locatário do Microsoft Entra que está federado à infraestrutura de autenticação local, o SSO (logon único) local será feito automaticamente. Se o parceiro não tiver um locatário do Microsoft Entra, uma conta do Microsoft Entra será criada para novos usuários.

Estamos removendo as diferenças entre a colaboração B2B e B2C (entre clientes) em termos de quais identidades têm suporte. A identidade usada não é uma boa razão para escolher entre usar B2B ou usar B2C. Para obter informações sobre como escolher sua opção de colaboração, consulte Comparação da colaboração B2B e B2C no Microsoft Entra ID.

Não. Uma conta local do Azure AD B2C pode ser usada apenas para entrar no locatário do Azure AD B2C. A conta não pode ser usada para entrar em um locatário do Microsoft Entra. Não há suporte para convidar uma conta local do Azure AD B2C para um locatário do Microsoft Entra para colaboração B2B.

Todos os aplicativos integrados ao Microsoft Entra podem oferecer suporte aos usuários convidados do Azure B2B, mas eles devem usar um ponto de extremidade configurado como um locatário para autenticar os usuários convidados. Talvez você também precise personalizar as declarações no token SAML que é emitido quando um usuário convidado se autentica no aplicativo.

Sim. Para mais informações, consulte Acesso Condicional para usuários de colaboração B2B.

Sim. A colaboração B2B do Microsoft Entra dá suporte a listas de permitidos e bloqueados.

Para mais informações sobre quais licenças a sua organização precisa para usar o Microsoft Entra B2B, consulte Preços de IDs Externas.

Depende. Por padrão, o Microsoft Entra só permite UPN para ID de logon. Quando UPN e email são iguais, os convites e as entradas do Microsoft Entra B2B subsequentes funcionam conforme o esperado. No entanto, problemas podem surgir quando o email de um usuário e o UPN não coincidem e o email é usado, em vez do UPN, para entrar. Quando um usuário é convidado com um email não UPN, ele poderá resgatar o convite se resgatar usando o link de convite por email, mas os resgates por meio de um link direto falharão. No entanto, mesmo se o usuário resgatar o convite com êxito, as tentativas de entrada subsequentes usando o email não UPN falharão, a menos que o provedor de identidade (Microsoft Entra ID ou um provedor de identidade federado) esteja configurado para permitir o email como uma ID de logon alternativa. Esse problema pode ser reduzido:

1. Habilitar o email como uma ID de logon alternativa no locatário convidado/principal do Microsoft Entra
2. Habilitar o provedor de identidade federado para dar suporte ao email como ID de logon (se o Microsoft Entra ID for federado em outro provedor de identidade) ou
3. Instruir o usuário a resgatar/entrar usando o próprio UPN.

Para evitar esse problema inteiramente, os administradores devem garantir que o UPN e o email dos usuários tenham o mesmo valor.

Nos fluxos de colaboração B2B, adicionamos usuários ao diretório e os atualizamos dinamicamente durante o processo de resgate dos convites, atribuição de aplicativos, e assim por diante. As atualizações e as gravações em geral ocorrem em uma instância do diretório e devem ser replicadas em todas as instâncias. A replicação estará concluída quando todas as instâncias estiverem atualizadas. Às vezes, quando o objeto é gravado ou atualizado em uma instância e a chamada para recuperar esse objeto for para outra instância, poderão ocorrer latências de replicação. Se isso acontecer, atualize ou tente novamente. Se você estiver gravando um aplicativo utilizando nossa API, então, tentativas com algumas retiradas é uma boa prática defensiva para aliviar esse problema.

Próximas etapas

O que é colaboração B2B no Microsoft Entra?