Приглашение внутреннего пользователя в службу совместной работы B2B
Перед доступностью совместной работы Microsoft Entra B2B организации могут сотрудничать с распространителями, поставщиками, поставщиками и другими гостевыми пользователями, настроив для них внутренние учетные данные. Если у вас есть внутренние гостевые пользователи, вы можете пригласить их в службу совместной работы B2B. Эти гостевые пользователи B2B смогут входить с помощью собственных удостоверений и учетных данных, устраняя необходимость в обслуживании паролей или управлении жизненным циклом учетных записей.
Отправляя приглашение в существующую внутреннюю учетную запись, вы можете сохранить идентификатор объекта, имя субъекта-пользователя, членство в группах и назначения приложений для соответствующего пользователя. Вам не потребуется вручную удалять и повторно приглашать пользователей или переназначить ресурсы. Чтобы пригласить кого-то, с помощью API приглашения передайте вместе с приглашением объект внутреннего пользователя и адрес электронной почты гостевого пользователя. Когда пользователь принимает приглашение, служба B2B изменяет существующий внутренний пользователя на пользователя B2B. После этого пользователь должен входить в облачные службы ресурсов со своими учетными данными B2B.
Следует учесть
Доступ к локальным ресурсам. После того как пользователь приглашен в службу совместной работы B2B, он по-прежнему может использовать свои внутренние учетные данные для доступа к локальным ресурсам. Чтобы предотвратить это, можно сбросить или изменить пароля во внутренней учетной записи. Исключением является проверка подлинности по электронной почте с помощью секретного кода: если способ проверки подлинности пользователя изменен на одноразовый секретный код, он больше не сможет использовать свои внутренние учетные данные.
Выставление счетов. Эта функция не изменяет userType для пользователя, поэтому она не переключает модель выставления счетов пользователя на внешний идентификатор ежемесячно активного пользователя (MAU). Чтобы активировать цены MAU для пользователя, измените для него UserType на
guest. Кроме того, обратите внимание, что клиент Microsoft Entra должен быть связан с подпиской Azure для активации выставления счетов MAU.Приглашение является односторонним. Вы можете пригласить внутренних пользователей в службу совместной работы B2B, но вы не сможете удалить учетные данные B2B после их добавления. Чтобы снова сделать пользователя исключительно внутренним, необходимо удалить его объект пользователя и создать новый.
Teams. Когда пользователь входит в Teams с помощью своих внешних учетных данных, его арендатор изначально недоступен в средстве выбора арендаторов Teams. Пользователь может получить доступ к Teams по URL-адресу, который содержит контекст арендатора, например
https://teams.microsoft.com/?tenantId=<TenantId>. После этого арендатор станет доступен в средстве выбора.Локальные синхронизированные пользователи. Для учетных записей пользователей, синхронизированных между локальной средой и облаком, локальный каталог остается источником полномочий и после того, как они оказываются приглашены в службу совместной работы B2B. Все изменения, вносимые в локальную учетную запись, в том числе ее отключение или удаление, будут синхронизироваться с облачной учетной записью. Таким образом, вы не сможете запретить пользователю входить в свою локальную учетную запись, сохранив при этом облачную, если просто удалите его локальную учетную запись. Вместо этого можно задать в качестве локального пароля учетной записи случайный идентификатор GUID или другое неизвестное значение.
Примечание.
В Microsoft Entra Подключение Sync существует правило по умолчанию, которое записывает атрибут onPremisesUserPrincipalName в объект пользователя. Так как присутствие этого атрибута может препятствовать входу пользователя с помощью внешних учетных данных, мы блокируем преобразование внутренних данных во внешние для объектов пользователей с этим атрибутом. Если вы используете microsoft Entra Подключение и хотите пригласить внутренних пользователей в службу совместной работы B2B, необходимо изменить правило по умолчанию, чтобы атрибут onPremisesUserPrincipalName не записывалось в объект пользователя.
Как пригласить внутреннего пользователя в службу совместной работы B2B
Вы можете использовать Центр администрирования Microsoft Entra, PowerShell или API приглашения для отправки приглашения B2B внутреннему пользователю. Обратите внимание на следующие моменты.
Перед приглашением пользователя убедитесь, что
User.Mailсвойство внутреннего объекта пользователя (свойство электронной почты пользователя в Центре администрирования Microsoft Entra) установлено на внешний адрес электронной почты, который будет использоваться для совместной работы B2B. Если у внутреннего пользователя есть существующий почтовый ящик, это свойство нельзя изменить на внешний адрес электронной почты. Их атрибуты необходимо обновить в Центре администрирования Exchange.Пользователю отправляется автоматическое сообщение электронной почты с приглашением. Если вы используете PowerShell или API приглашения, это сообщение можно отключить, задав параметру
SendInvitationMessageзначениеFalse. После этого пользователя можно уведомить другим способом. Узнайте больше об API приглашения.Когда пользователь активирует приглашение, учетная запись, которую он использует, должна соответствовать домену в свойстве
User.Mail. В противном случае он не сможет пройти проверку подлинности в некоторых службах, например Teams.
Отправка приглашения B2B с помощью Центра администрирования Microsoft Entra
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в Центр администрирования Microsoft Entra как минимум администратор внешнего поставщика удостоверений.
Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
Найдите пользователя в списке или воспользуйтесь полем поиска. Затем выберите пользователя.
На вкладке "Обзор " в разделе "Мой веб-канал" выберите "Преобразовать" во внешний пользователь.
Примечание.
Если на карточке отображается сообщение "Повторно отправьте приглашение этому B2B-пользователю или сбросьте его состояние активации.", пользователю уже было предложено использовать внешние учетные данные для совместной работы B2B.
Добавьте внешний адрес электронной почты и нажмите кнопку "Отправить".
Примечание.
Если параметр недоступен, убедитесь, что для свойства Адрес электронной почты пользователя задан внешний адрес электронной почты, который он должен использовать для службы совместной работы B2B.
Появится сообщение с подтверждением, и пользователю будет отправлено приглашение по электронной почте. После этого пользователь сможет активировать приглашение с помощью внешних учетных данных.
Отправка приглашения B2B с помощью PowerShell
Вам потребуется последний модуль Microsoft Graph PowerShell. Используйте следующую команду, чтобы обновить до последнего модуля и пригласить внутреннего пользователя в службу совместной работы B2B:
Update-Module Microsoft.Graph
Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee'
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapplications.microsoft.com" -InvitedUser $msGraphUser
Отправка приглашения B2B с помощью API приглашения
В примере ниже показано, как пригласить внутреннего пользователя в службу B2B путем вызова API приглашения.
POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
ContentType: application/json
{
"invitedUserEmailAddress": "<<external email>>",
"sendInvitationMessage": true,
"invitedUserMessageInfo": {
"messageLanguage": "en-US",
"ccRecipients": [
{
"emailAddress": {
"name": null,
"address": "<<optional additional notification email>>"
}
}
],
"customizedMessageBody": "<<custom message>>"
},
"inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=",
"invitedUser": {
"id": "<<ID for the user you want to convert>>"
}
}
Ответ на этот вызов API — такой же, как и при приглашении нового гостевого пользователя в каталог.