Propriedades de um usuário de colaboração B2B do Azure Active Directory

A colaboração B2B é uma funcionalidade das Identidades Externas do Azure AD que permite que você colabore com usuários e parceiros fora da sua organização. Com a colaboração B2B, um usuário externo é convidado a entrar na sua organização do Azure AD usando credenciais próprias. Esse usuário da colaboração B2B pode acessar os aplicativos e os recursos que você deseja compartilhar com ele. Um objeto de usuário é criado para o usuário de colaboração B2B no mesmo diretório que seus funcionários. Os objetos de usuário de colaboração B2B têm privilégios limitados no seu diretório por padrão e podem ser gerenciados como funcionários, adicionados a grupos e assim por diante. Este artigo discute as propriedades desse objeto de usuário e as maneiras de gerenciá-lo.

A tabela a seguir descreve os usuários da colaboração B2B com base em como eles são autenticados (interna ou externamente) e a relação deles com a sua organização (convidado ou membro).

Diagram showing B2B collaboration users

  • Convidado externo: a maioria dos usuários que normalmente são considerados usuários externos ou convidados se enquadram nessa categoria. Esse usuário da colaboração B2B tem uma conta em uma organização externa do Azure AD ou um provedor de identidade externo (como uma identidade social) e tem permissões no nível de convidado na organização de recursos. O objeto de usuário criado no diretório do Azure AD do recurso tem o UserType Guest.
  • Membro externo: esse usuário da colaboração B2B tem uma conta em uma organização externa do Azure AD ou um provedor de identidade externo (como uma identidade social) e acesso em nível de membro aos recursos da sua organização. Esse cenário é comum em organizações que consistem em vários locatários, em que os usuários são considerados parte da organização maior e precisam ter o acesso em nível de membro aos recursos dos outros locatários da organização. O objeto de usuário criado no diretório do Azure AD do recurso tem o UserType Member.
  • Convidado interno: antes de a colaboração B2B do Azure AD estar disponível, era comum colaborar com distribuidores, fornecedores e outros, configurando credenciais internas para eles e designando-os como convidados pela configuração do objeto de usuário UserType como Guest. Se você tiver usuários convidados internos como esses, convide-os para usar a colaboração B2B, de modo que eles possam usar as respectivas credenciais, permitindo que o provedor de identidade externo gerencie a autenticação e o ciclo de vida da conta.
  • Membro interno: esses usuários geralmente são considerados funcionários da sua organização. O usuário é autenticado internamente por meio do Azure AD, e o objeto de usuário criado no diretório do Azure AD do recurso tem o UserType Member.

Importante

Iniciamos a distribuição de uma alteração para ativar o recurso de senha de uso único por email para todos os locatários existentes e habilitamos esse recurso por padrão para os novos locatários. Estamos habilitando o recurso de senha de uso único por email por ser um método de autenticação de reserva contínuo para os usuários convidados. No entanto, se não quiser permitir que esse recurso seja ativado automaticamente, você poderá desabilitá-lo. Em breve, vamos interromper a criação de contas e locatários do Azure AD novos e não gerenciados ("viral") durante o resgate de convite de colaboração B2B.

Resgate do convite

Agora, vamos ver a aparência de um usuário de colaboração B2B do Azure AD no Azure AD.

antes do resgate do convite

As contas de usuário da colaboração B2B são o resultado do convite de usuários a colaborar usando as credenciais dos usuários convidados. Quando o convite é enviado inicialmente para o usuário convidado, uma conta é criada em seu locatário. Essa conta não tem credenciais associadas a ela, porque a autenticação é executada pelo provedor de identidade do usuário convidado. A propriedade de Emissor da conta de usuário convidado em seu diretório é definida como o domínio da organização do host até que o convidado resgate seu convite. No portal, a propriedade Convite aceito no perfil do portal do Azure AD do usuário convidado será definida como Não e a consulta de externalUserState usando a API do Microsoft Graph retornará Pending Acceptance.

Screenshot of user profile before redemption

após o resgate do convite

Depois que o usuário da colaboração B2B aceita o convite, a propriedade de Emissor é atualizada com base no provedor de identidade do usuário.

Se o usuário da colaboração B2B estiver usando credenciais de outra organização do Azure AD, o Emissor será o Azure AD externo.

Screenshot of user profile after redemption

Se o usuário da colaboração B2B estiver usando uma conta Microsoft ou credenciais de outro provedor de identidade externo, o Emissor refletirá o provedor de identidade, por exemplo, Conta Microsoft, google.com ou facebook.com.

Screenshot of user profile showing an external identity provider

Para os usuários externos que estão usando credenciais internas, a propriedade Emissor é definida como o domínio da organização do host. A propriedade Sincronizada de diretório será Sim se a conta for hospedada no Active Directory local da organização e sincronizada com o Azure AD ou Não se a conta for uma conta somente em nuvem do Azure AD. As informações de sincronização de diretório também estão disponíveis por meio da propriedade onPremisesSyncEnabled no Microsoft Graph.

As principais propriedades do usuário de colaboração B2B do AD do Azure

Nome UPN

O nome UPN de um objeto de usuário da colaboração B2B contém um identificador #EXT#.

Tipo de usuário

Essa propriedade indica a relação entre o usuário e o locatário do host. Essa propriedade pode assumir dois valores:

  • Membro: esse valor indica um funcionário da organização host e um usuário na folha de pagamento da organização. Por exemplo, provavelmente esse usuário poderá acessar somente os sites internos. Esse usuário não é considerado um colaborador externo.

  • Convidado: esse valor indica um usuário que não é considerado interno para a empresa, como um colaborador externo, um parceiro ou um cliente. Um usuário como esse não deve receber um memorando interno do CEO ou benefícios da empresa, por exemplo.

Observação

O UserType não tem nenhuma relação com o tipo de acesso do usuário, nem com a função do diretório do usuário e assim por diante. Essa propriedade só indica a relação do usuário com a organização host, e permite que a organização aplique as políticas que dependem desse atributo.

Emissor

Essa propriedade indica o provedor de identidade principal do usuário. Um usuário pode ter vários provedores de identidade que podem ser exibidos pela seleção do emissor no perfil do usuário ou pela consulta da propriedade onPremisesSyncEnabled por meio da API do Microsoft Graph.

Observação

O Emissor e o UserType são propriedades independentes. O valor de emissor não envolve um valor específico para o UserType

Valor da propriedade do emissor Estado da entrada
Azure AD externo esse usuário está hospedado em uma organização externa e é autenticado com uma conta do Azure AD que pertence a outra organização.
Conta da Microsoft este usuário está hospedado em uma conta Microsoft e é autenticado usando uma conta Microsoft.
{domínio do host} este usuário é autenticado usando uma conta do Azure AD que pertence a esta organização.
google.com Esse usuário tem uma conta do Gmail e se inscreveu usando o autoatendida para a outra organização.
facebook.com Esse usuário tem uma conta do Facebook e se inscreveu usando o autoatendida para outra organização.
mail Esse usuário tem um endereço de email que não corresponde aos domínios verificados do Azure AD ou do SAML/Web Services Federation e não é um endereço do Gmail nem uma conta Microsoft.
phone Esse usuário tem um endereço de email que não corresponde a um domínio verificado do Azure AD nem a um domínio do SAML/Web Services Federation e não é um endereço do Gmail nem uma conta Microsoft.
{URI do emissor} Esse usuário está hospedado em uma organização externa que não usa o Azure Active Directory como o provedor de identidade, mas usa um provedor de identidade baseado em SAML/Web Services Federation. O URI do emissor é mostrado quando o campo emissor é clicado.

Sincronização de diretório

A propriedade Sincronização de diretório indica se o usuário está sendo sincronizado com o Active Directory local e está autenticado localmente. Essa propriedade será Sim se a conta estiver hospedada no Active Directory local da organização e sincronizada com o Azure AD ou Não se a conta for uma conta do Azure AD somente de nuvem. No Microsoft Graph, a propriedade Sincronização de diretório corresponde a onPremisesSyncEnabled.

Os usuários B2B do AD do Azure podem ser adicionados como membros em vez de convidados?

Normalmente, um usuário B2B do Azure AD e o usuário convidado são sinônimos. Portanto, um usuário da colaboração B2B do Azure AD é adicionado por padrão como um usuário com UserType definido como Guest. No entanto, em alguns casos, a organização parceira é membra de uma organização maior a qual a organização host também pertence. Se esse for o caso, talvez a organização host queira tratar os usuários na organização parceira como membros e não convidados. Use as APIs do gerenciador de convites B2B do AD do Azure para adicionar ou convidar um usuário da organização parceira para a organização host como um membro.

Filtragem de usuários convidados no diretório

Screenshot showing the filter for guest users

Converter UserType

É possível converter UserType de Member para Guest e vice-versa editando o perfil do usuário no portal do Azure ou usando o PowerShell. No entanto, a propriedade UserType representa a relação do usuário com a organização. Portanto, o valor dessa propriedade só deverá ser alterado se a relação entre o usuário e a organização mudar. Se o relacionamento do usuário for alterado, o nome UPN também deverá ser alterado? O usuário poderá acessar os mesmos recursos? Uma caixa de correio deve ser atribuída?

Como remover limitações do usuário convidado

Em alguns casos, talvez você queira dar privilégios mais altos aos usuários convidados. Você pode adicionar um usuário convidado a qualquer função e até mesmo remover as restrições do usuário convidado padrão no diretório a fim de fornecer os mesmos privilégios como membros.

É possível desligar as limitações padrão para que um usuário convidado no diretório da empresa receba as mesmas permissões que um membro.

Screenshot showing the External users option in the user settings

É possível tornar os usuários convidados visíveis na Lista de Endereços Global do Exchange?

Sim. Por padrão, objetos convidados não são visíveis na lista de endereços global da organização, mas você pode usar o PowerShell do Azure Active Directory para torná-los visíveis. Para obter detalhes, veja “Adicionar convidados à lista de endereços global” no artigo de acesso de convidado por grupo do Microsoft 365.

Posso atualizar o endereço de email de um usuário convidado?

Se um usuário convidado aceitar seu convite e, posteriormente, alterar o endereço de email, o novo email não será sincronizado automaticamente com o objeto de usuário convidado em seu diretório. A propriedade de email é criada por meio da API do Microsoft Graph. Você pode atualizar a propriedade de email por meio da API do Microsoft Graph, do centro de administração do Exchange ou do PowerShell do Exchange Online. A alteração será refletida no objeto de usuário convidado do AAD.

Próximas etapas