Azure Active Directory B2B işbirliği davetini sıfırlama

  • Makale
  • Okumak için 7 dakika

Bu makalede, konuk kullanıcıların kaynaklarınızda ve iletişim kurdukları onay sürecinde erişebileceği yollar açıklanmaktadır. Konuğa bir davet e-postası gönderirseniz, davet, konuğun uygulamanıza veya portala erişim sağlamak için yararlanana bir bağlantı içerir. Davet e-postası, konuklarınızın kaynaklarınıza erişebileceği yollarla yalnızca biridir. Alternatif olarak, dizininize Konuk ekleyebilir ve paylaşmak istediğiniz portalın ya da uygulamanın doğrudan bağlantısını sağlayabilirsiniz. Konukların, kullandıkları yöntemden bağımsız olarak, bir ilk kez onay süreci aracılığıyla yapılır. Bu işlem, konukların gizlilik koşullarını kabul etmesini ve ayarlamış olduğunuz tüm kullanım koşullarını kabul etmesini sağlar.

Dizininize bir Konuk kullanıcı eklediğinizde, Konuk Kullanıcı hesabının başlangıçta Pendingkabulünü olarak ayarlanan bir izin durumu (PowerShell 'de görüntülenebilir) vardır. Bu ayar, Konuk davetinizi kabul edene ve gizlilik ilkenize ve kullanım koşullarınıza karşı kabul edilene kadar kalır. Bundan sonra, onay durumu kabul edildi olarak değişir ve izin sayfaları artık konuğa sunulmaz.

Önemli

  • 12 temmuz 2021' den Itibaren, Azure AD B2B müşterileri, kendi özel veya iş kolu uygulamaları için self servis kaydolma ile kullanılmak üzere yeni Google tümleştirmeleri ayarladıklarında, kimlik doğrulamaları sistem Web görünümlerine taşınana kadar Google kimlik doğrulaması çalışmaz. Daha fazla bilgi edinin.
  • 30 eylül 2021 ' den itibaren Google, ekli Web-View oturum açma desteğini kullanımdankaldırır. Uygulamalarınız, ekli Web görünümü olan kullanıcıların kimliğini doğruladıysanız ve Dış Kullanıcı davetleri veya self servis kaydolmaIçin Azure AD B2C ya da Azure AD B2B Ile Google Federation kullanıyorsanız, Google Gmail kullanıcıları kimlik doğrulaması yapamaz. Daha fazla bilgi edinin.
  • 1 kasım 2021' den itibaren, tüm mevcut kiracılar için e-posta bir kerelik geçiş kodu özelliğini açmak ve yeni kiracılar için varsayılan olarak etkinleştirmek üzere bir değişiklik kullanıma sunulmaya başlayacağız. Bu değişikliğin bir parçası olarak Microsoft, B2B işbirliği daveti satın alma sırasında yeni, yönetilmeyen ("viral") Azure AD hesapları ve kiracılar oluşturmayı durdurur. Tatiller ve dağıtım kilitlenmeleri sırasında kesintilerini en aza indirmek için kiracılar 'ın büyük bölümü, Ocak 2022 ' de yapılan değişiklikleri görürler. Konuk kullanıcılarınız için sorunsuz bir geri dönüş kimlik doğrulama yöntemi sağladığından e-posta bir kerelik geçiş kodu özelliğini etkinleştiriyoruz. Ancak, bu özelliğin otomatik olarak açık olmasını istemiyorsanız, devre dışıbırakabilirsiniz.

Ortak bir uç nokta ile yeniden satın alma ve oturum açma

Konuk kullanıcılar artık ortak bir uç nokta (URL) aracılığıyla çok kiracılı veya Microsoft ilk taraf uygulamalarınızda oturum açabilir https://myapps.microsoft.com . Daha önce, ortak bir URL, Konuk kullanıcıyı kimlik doğrulaması için kaynak kiracınız yerine kendi ana kiracısına yönlendirebilir, bu nedenle kiracıya özgü bir bağlantı gerekiyordu (örneğin https://myapps.microsoft.com/?tenantid=<tenant id> ). Artık Konuk kullanıcı uygulamanın ortak URL 'sine gidebilir, oturum açma seçeneklerini belirleyebilir ve sonra bir kuruluşta oturum aç' ı seçebilir. Kullanıcı daha sonra kuruluşunuzun adını yazdığında.

Ortak uç nokta oturum açma

Daha sonra Kullanıcı, e-posta adresiyle oturum açabilecekleri veya yapılandırdığınız bir kimlik sağlayıcısını seçebileceğiniz kiracı uç noktanıza yönlendirilir.

Davet e-postasına veya uygulamanın ortak URL 'sine alternatif olarak, bir konuğa uygulamanız veya portalınızın doğrudan bağlantısını sağlayabilirsiniz. Önce Azure Portal veya PowerShellaracılığıyla konuk kullanıcıyı dizininize eklemeniz gerekir. Ardından doğrudan oturum açma bağlantıları dahil olmak üzere kullanıcılara uygulama dağıtmak için özelleştirilebilen bir yolkullanabilirsiniz. Bir konuk davet e-postası yerine doğrudan bağlantı kullandığında, yine de ilk kez onay deneyiminde gezinir.

Not

Doğrudan bağlantı kiracıya özgüdür. Diğer bir deyişle, bir kiracı KIMLIĞI veya doğrulanmış etki alanı içerir, bu sayede Konuk, paylaşılan uygulamanın bulunduğu kiracınızda kimlik doğrulaması yapılabilir. Kiracı bağlamıyla doğrudan bağlantı örnekleri aşağıda verilmiştir:

  • Uygulamalar erişim paneli: https://myapps.microsoft.com/?tenantid=<tenant id>
  • Doğrulanmış bir etki alanı için uygulamalar erişim paneli: https://myapps.microsoft.com/<;verified domain>
  • Azure portal: https://portal.azure.com/<tenant id>
  • Tek uygulama: bkz. doğrudan oturum açma bağlantısı kullanma

Davet e-postasında doğrudan bağlantı üzerinden önerilen bazı durumlar vardır. Bu özel durumlar kuruluşunuz için önemliyse, davet e-postasını hala gönderen yöntemleri kullanarak kullanıcıları davet etmenizi öneririz:

  • Kullanıcının Federasyon kuruluşunda bir Azure AD hesabı, MSA veya e-posta hesabı yoktur. Tek seferlik geçiş kodu özelliğini kullanmıyorsanız, bir MSA oluşturma adımlarında gezinmek için konuğun davet e-postasını sağlaması gerekir.
  • bazen davet eden kullanıcı nesnesinin bir e-posta adresi olmayabilir (örneğin, bir Outlook kişi nesnesi). Bu durumda, Kullanıcı davet e-postasında kullanım URL 'sini tıklamalıdır.
  • Kullanıcı, davet edilen e-posta adresinin diğer adıyla oturum açabilir. (Diğer ad, bir e-posta hesabıyla ilişkili ek bir e-posta adresidir.) Bu durumda, Kullanıcı davet e-postasında kullanım URL 'sini tıklamalıdır.

Davet e-postası üzerinden ödeme

Azure Portal kullanarakdizininize bir Konuk kullanıcı eklediğinizde, işlemde konuğa bir davet e-postası gönderilir. Ayrıca, PowerShell kullanırken , dizininize Konuk kullanıcıları eklemek için davet e-postaları gönderilmesini de tercih edebilirsiniz. İşte e-postadaki bağlantıyı kullandıklarında konuğun deneyiminden oluşan bir açıklama.

  1. Konuk, Microsoft davetlerden gönderilen bir davet e-postası alır.
  2. Konuk, e-postadaki daveti kabul et ' i seçer.
  3. Konuk, dizininizde oturum açmak için kendi kimlik bilgilerini kullanır. Konukta dizininizden federe olabilecek bir hesap yoksa, e-posta bir kerelik geçiş kodu (OTP) özelliği etkin değildir; konuğa bir kişisel MSA veya BIR Azure AD Self Servis hesabıoluşturması istenir. Ayrıntılar için davet kullanım akışına bakın.
  4. Konuk, aşağıda açıklanan onay deneyimine göre yapılır.

Çakışan kişi nesnesiyle kullanım sınırlaması

Davet edilen dış Konuk kullanıcının e-postası, bazı durumlarda, Konuk kullanıcının bir proxyAddress olmadan oluşturulmasını elde eden mevcut bir iletişim nesnesiyleçakışmayabilir. Bu, konuk kullanıcıların şunları gerçekleştirmesini önleyen bilinen bir kısıtlamadır:

Çakışan bir kişi nesnesinedeniyle daveti kullanamıyoruz kullanıcıların engellemesini kaldırmak için şu adımları izleyin:

  1. Çakışan kişi nesnesini silin.
  2. Azure portal Konuk kullanıcıyı silin (kullanıcının "davet kabul edildi" özelliği bekleme durumunda olmalıdır).
  3. Konuk kullanıcıyı yeniden davet edin.
  4. Kullanıcının daveti kullanmaya başlamasını bekleyin.
  5. kullanıcının kişi e-postasını Exchange geri ekleyin ve bir parçası olması gereken tüm dl.

Davet teminat akışı

Bir Kullanıcı davet e-postasında daveti kabul et BAĞLANTıSıNA tıkladığında, Azure AD aşağıda gösterildiği gibi kullanım akışına göre daveti otomatik olarak alır:

Kullanım akışı diyagramını gösteren ekran görüntüsü

*Kullanıcının Kullanıcı asıl adı (UPN) hem var olan bir Azure AD hem de kişisel MSA hesabıyla eşleşiyorsa, kullanıcıdan hangi hesabı kullanmak istediğini seçmesi istenir.

  1. Azure AD, kullanıcının mevcut bir Azure AD kiracısındabulunup bulunmadığını belirlemede Kullanıcı tabanlı bulma işlemini gerçekleştirir.

  2. Bir yönetici SAML/WS-beslep Federasyonuetkinleştirmişse, Azure AD kullanıcının etki alanı son ekinin YAPıLANDıRıLMıŞ bir SAML/WS-beslik kimlik sağlayıcısının etki alanıyla eşleşip eşleşmediğini denetler ve kullanıcıyı önceden yapılandırılmış kimlik sağlayıcısına yeniden yönlendirir.

  3. Bir yönetici Google Federasyonuetkinleştirmişse, Azure AD kullanıcının etki alanı sonekinin gmail.com veya googlemail.com olup olmadığını denetler ve kullanıcıyı Google 'a yönlendirir.

  4. Kullanım süreci, kullanıcının Just-In-Time (JıT) kampanyaya için mevcut bir kişisel Microsoft hesabı (MSA) olup olmadığını denetler, ancak davetiye e-posta bağlantısı satın alma için kullanılamaz. Kullanıcının zaten var olan bir MSA varsa, var olan MSA ile oturum açacaksınız.

  5. Kullanıcının giriş dizini tanımlandıktan sonra, Kullanıcı oturum açmak için ilgili kimlik sağlayıcısına gönderilir.

  6. Davet edilen kullanıcı için 1 ile 4 arasındaki adımlar başarısız olursa, Azure AD, davet eden kiracının guests için bir kerelik geçiş kodu (OTP) özelliğinin etkinleştirilip etkinleştirilmediğini belirler.

  7. Konuklar için bir kerelik geçiş kodu etkinleştirilirse, davet edilen e-posta aracılığıyla kullanıcıya bir geçiş kodu gönderilir. Kullanıcı Azure AD oturum açma sayfasında bu geçiş kodunu alır ve girer.

  8. Konuklarınız için bir kerelik geçiş kodu devre dışıysa Azure AD, bir tüketici hesabına ait olup olmadığını öğrenmek için etki alanı sonekini denetler. Öyleyse, kullanıcıdan kişisel Microsoft hesabıoluşturması istenir. Aksi takdirde, kullanıcıdan bir Azure AD Self Servis hesabıoluşturması istenir.

  9. Azure AD, e-postaya erişimi doğrulayarak bir Azure AD Self Servis hesabı oluşturmaya çalışır. Hesap, e-postaya bir kod göndererek ve kullanıcının bunu alıp Azure AD 'ye göndermesini sağlayarak yapılır. Ancak, davet edilen kullanıcının kiracısı federe ise veya davet edilen kullanıcının kiracısında AllowEmailVerifiedUsers alanı false olarak ayarlandıysa, Kullanıcı kullanım alanını tamamlayamaz ve Flow bir hatayla sonuçlanır. daha fazla bilgi için bkz. B2B işbirliği Azure Active Directory sorun giderme.

  10. Kullanıcıdan bir kişisel Microsoft hesabı (MSA)oluşturması istenir.

  11. Doğru kimlik sağlayıcısında kimlik doğrulamasından geçtikten sonra, Kullanıcı onay deneyiminitamamlamaya YÖNELIK Azure AD 'ye yeniden yönlendirilir.

Tam zamanında (JıT) kampanyaya için, satın alma, kiralanan bir uygulama bağlantısı aracılığıyla olduğunda, 8 ile 10 arasındaki adımlar kullanılamaz. Bir Kullanıcı 6. adıma ulaşırsa ve tek seferlik geçiş kodu özelliği etkinleştirilmemişse, Kullanıcı bir hata iletisi alır ve daveti kullanmayabilir. Bu hatayı engellemek için, yöneticiler e- posta tek seferlik geçiş kodunu etkinleşmelidir veya kullanıcının bir davet bağlantısına tıklamasını sağlar.

Bir konuk, bir iş ortağı kuruluşundaki kaynaklara ilk kez erişmek üzere oturum açtığında, bunlar aşağıdaki sayfalara kılavuzluk ederler.

  1. Konuk, davet eden kuruluşun gizlilik bildirimini açıklayan Izinleri gözden geçirme sayfasını inceler. Bir kullanıcının devam etmesi için bilgilerin kullanımını davet eden kuruluşun gizlilik ilkelerine uygun olarak kabul etmesi gerekir.

    İzinleri gözden geçir sayfasını gösteren ekran görüntüsü

    Not

    Kiracı Yöneticisi olarak kuruluşunuzun gizlilik bildirimine nasıl bağlayabileceğiniz hakkında bilgi için bkz. nasıl yapılır: kuruluşunuzun gizlilik bilgilerini Azure Active Directory ekleme.

  2. Kullanım koşulları yapılandırılırsa, Konuk açılıp kullanım koşullarını inceler ve kabul et' i seçer.

    Yeni kullanım koşullarını gösteren ekran görüntüsü

    Dış kimliklerden kullanım koşullarını yapılandırabilirsiniz > kullanım koşulları.

  3. Aksi belirtilmediği takdirde, Konuk, konuk tarafından erişebilen uygulamaları listeleyen uygulamalar erişim paneline yönlendirilir.

    Uygulamalar erişim panelini gösteren ekran görüntüsü

Not

Onay deneyimi yalnızca Kullanıcı oturum açtıktan sonra, daha önce değil, görünür. Onay deneyiminin kullanıcıya görüntülenmediği bazı senaryolar vardır, örneğin:

Dizininizde, Konuk davetinin kabul edilebilir değeri Evet olarak değişir. Bir MSA oluşturulduysa, Konuk kaynağı Microsoft hesabını gösterir. Konuk Kullanıcı hesabı özellikleri hakkında daha fazla bilgi için bkz. Azure AD B2B işbirliği kullanıcısının özellikleri. Uygulamaya erişirken yönetici izni gerektiren bir hata görürseniz bkz. uygulamalara yönetici onayı verme.

Sonraki adımlar