Partager via

Configurer les paramètres de collaboration externe pour B2B dans Microsoft Entra External ID

S’applique à : cercle vert avec un symbole de coche blanc qui indique que le contenu suivant s’applique aux locataires du personnel. Locataires de main-d’œuvre (en savoir plus)

Les paramètres de collaboration externe vous permettent de spécifier les rôles de votre organisation qui peuvent inviter des utilisateurs externes pour la collaboration B2B. Ces paramètres incluent également des options permettant d’autoriser ou de bloquer des domaines spécifiques, ainsi que des options permettant de restreindre ce que les utilisateurs invités externes peuvent voir dans votre annuaire Microsoft Entra. Les options suivantes sont disponibles :

  • Déterminer l’accès des utilisateurs invités : Microsoft Entra External ID vous permet de restreindre ce que les utilisateurs invités externes peuvent voir dans votre annuaire Microsoft Entra. Par exemple, vous pouvez limiter l’affichage des appartenances de groupe aux utilisateurs invités ou autoriser les invités à afficher uniquement leurs propres informations de profil.

  • Spécifier qui peut inviter des invités : par défaut, tous les utilisateurs de votre organisation, y compris les utilisateurs invités de collaboration B2B, peuvent inviter des utilisateurs externes à la collaboration B2B. Si vous souhaitez limiter la capacité à envoyer des invitations, vous pouvez activer ou désactiver les invitations pour tout le monde ou limiter les invitations à certains rôles.

  • Activer l’inscription en libre-service des invités au moyen de flux utilisateur : pour les applications que vous créez, vous pouvez créer des flux utilisateur qui permettent à un utilisateur de s’inscrire à une application et de créer un compte invité. Vous pouvez activer la fonctionnalité dans vos paramètres de collaboration externe, puis Ajouter un flux utilisateur d’inscription en libre-service.

  • Autoriser ou bloquer des domaines : vous pouvez autoriser ou refuser les invitations aux domaines que vous spécifiez à l’aide de restrictions de collaboration. Pour plus d’informations, consultez Autoriser ou bloquer des domaines.

Pour la collaboration B2B avec d’autres organisations Microsoft Entra, vous devez également vérifier vos paramètres d’accès inter-abonnés afin de garantir que votre collaboration B2B entrante et sortante et l’étendue de l’accès sont limités à des utilisateurs, groupes et applications spécifiques.

Remarque

À compter de juillet 2025, Microsoft commence à déployer une mise à jour de l’expérience de connexion des utilisateurs invités pour la collaboration B2B. Le lancement se poursuit jusqu’à fin 2025. Avec cette mise à jour, les utilisateurs invités sont redirigés vers la page de connexion de leur propre organisation pour fournir leurs informations d’identification. Les utilisateurs invités voient le branding et le point de terminaison URL de leur abonné de base. Cette étape garantit une plus grande clarté concernant les informations de connexion à utiliser. Après une authentification réussie dans leur propre organisation, les utilisateurs invités sont renvoyés à votre organisation pour terminer le processus de connexion. Dans l’exemple suivant, le branding d’entreprise pour Woodgrove Groceries s’affiche à gauche. L’exemple à droite affiche le branding personnalisé par défaut de l’abonné de base de l’utilisateur.

Capture d’écran montrant le flux de connexion de l’utilisateur invité.

Configurer les paramètres dans le portail

Dans le Centre d’administration Microsoft Entra, vous devez avoir le rôle Administrateur général pour activer la page Paramètres de collaboration externe et mettre à jour les paramètres. Lors de l’utilisation de Microsoft Graph, des rôles privilégiés moindres peuvent être disponibles pour des paramètres individuels ; Consultez Configurer les paramètres avec Microsoft Graph plus loin dans cet article.

Pour configurer l’accès des utilisateurs invités, procédez comme suit :

  1. Connectez-vous au centre d’administration Microsoft Entra.

  2. Accédez à Entra ID>Identités externes>paramètres de collaboration externe.

  3. Sous Accès de l’utilisateur invité, choisissez le niveau d’accès que les utilisateurs invités doivent avoir :

    Capture d’écran montrant les paramètres d’accès des utilisateurs invités.

    • Les utilisateurs invités ont le même accès que les membres (le plus inclusif) : cette option donne aux invités le même accès aux ressources Microsoft Entra et aux données d’annuaire que les utilisateurs membres.

    • Les utilisateurs invités ont un accès limité aux propriétés et aux appartenances des objets annuaire : (par défaut) ce paramètre empêche les invités d’effectuer certaines tâches d’annuaire telles que l’énumération des utilisateurs, des groupes ou d’autres ressources d’annuaire. Les invités peuvent voir l’appartenance de tous les groupes non masqués. En savoir plus sur les autorisation par défaut des invités

    • L’accès des utilisateurs invités est limité aux propriétés et aux appartenances de leurs propres objets annuaire (le plus restrictif) : avec ce paramètre, les invités peuvent accéder uniquement à leurs propres profils. Guests aren’t allowed to see other users’ profiles, groups, or group memberships.

Pour configurer les paramètres d’invitation des invités, procédez comme suit :

  1. Connectez-vous au centre d’administration Microsoft Entra.

  2. Accédez à Entra ID>Identités externes>paramètres de collaboration externe.

  3. Sous Paramètres d’invitation d’invités, choisissez les paramètres appropriés :

    Capture d’écran montrant les paramètres d’invitation des invités

    • Tout membre de l’organisation peut inviter des utilisateurs invités, y compris les invités et les non-administrateurs (le plus inclusif) : pour autoriser les invités de l’organisation à inviter d’autres invités, y compris les utilisateurs non membres d’une organisation, sélectionnez cette case d’option.
    • Les utilisateurs membres et les utilisateurs affectés à des rôles d’administrateur spécifiques peuvent inviter des utilisateurs invités, y compris les invités disposant d’autorisations de membre : pour autoriser les utilisateurs membres et les utilisateurs disposant de rôles d’administrateur spécifiques à inviter des invités, sélectionnez cette case d’option.
    • Seuls les utilisateurs affectés à des rôles d’administrateur spécifiques peuvent inviter des utilisateurs invités : pour autoriser uniquement les utilisateurs disposant des rôles Administrateur utilisateur ou Inviteur d’invités à inviter des invités, sélectionnez cette case d’option.
    • Personne dans l’organisation ne peut inviter d’utilisateurs invités, y compris les administrateurs (option la plus restrictive) : pour empêcher tous les membres de l’organisation d’inviter des invités, sélectionnez cette case d’option.

Pour configurer l’inscription en libre-service des invités, procédez comme suit :

  1. Connectez-vous au centre d’administration Microsoft Entra.

  2. Accédez à Entra ID>Identités externes>paramètres de collaboration externe.

  3. Sous Activer l’inscription en libre-service d’invité via des flux utilisateur, sélectionnez Oui si vous souhaitez pouvoir créer des flux utilisateur pour permettre aux utilisateurs de s’inscrire auprès des applications. Pour plus d’informations sur ce paramètre, consultez Ajouter un flux utilisateur d’inscription en libre-service à une application.

    Capture d’écran montrant l’inscription en libre-service via le paramètre des flux d’utilisateurs.

Pour configurer les paramètres de départ des utilisateurs externes, procédez comme suit :

  1. Connectez-vous au centre d’administration Microsoft Entra.

  2. Accédez à Entra ID>Identités externes>paramètres de collaboration externe.

  3. Sous Paramètres de départ de l’utilisateur externe, vous pouvez contrôler si les utilisateurs externes peuvent se supprimer de votre organisation.

    • Oui : les utilisateurs peuvent quitter l’organisation eux-mêmes sans l’approbation de votre administrateur ou de votre contact de confidentialité.
    • Non : les utilisateurs ne peuvent pas quitter votre organisation eux-mêmes. Ils voient un message les invitant à contacter votre administrateur ou votre contact de confidentialité pour demander leur suppression de votre organisation.

    Importante

    Vous pouvez configurer les paramètres de départ des utilisateurs externes seulement si vous avez ajouté vos informations de confidentialité à votre abonné Microsoft Entra. Sinon, ce paramètre n’est pas disponible.

    Capture d’écran montrant les paramètres de congé des utilisateurs externes dans le portail.

Pour configurer les restrictions de collaboration (autoriser ou bloquer des domaines), procédez comme suit :

Importante

Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. Cette pratique permet d’améliorer la sécurité de votre organisation. L’administrateur général est un rôle hautement privilégié qui doit être limité aux scénarios d’urgence ou lorsque vous ne pouvez pas utiliser de rôle existant.

  1. Connectez-vous au centre d’administration Microsoft Entra.

  2. Accédez à Entra ID>Identités externes>paramètres de collaboration externe.

  3. Sous Restrictions de collaboration, vous pouvez choisir d’autoriser ou de refuser les invitations aux domaines que vous spécifiez. Vous pouvez notamment entrer des noms de domaine spécifiques dans les zones de texte. Pour plusieurs domaines, entrez chaque domaine sur une nouvelle ligne. Pour plus d’informations, consultez Autoriser ou bloquer des invitations aux utilisateurs B2B à partir d’organisations spécifiques.

    Capture d’écran montrant les paramètres de restriction de la collaboration.

Configurer les paramètres avec Microsoft Graph

Les paramètres de collaboration externe peuvent être configurés à l’aide de l’API Microsoft Graph :

  • Pour les restrictions d’accès des utilisateurs invités et les restrictions d’invitation d’invités, utilisez le type de ressource authorizationPolicy.
  • Pour le paramètre Activer l’inscription en libre-service des invités au moyen de flux utilisateur , utilisez le type de ressource authenticationFlowsPolicy.
  • Pour les paramètres de congé d’utilisateur externe, utilisez le type de ressource externalidentitiespolicy .
  • Pour les paramètres de code d’accès unique par e-mail (désormais sur la page Tous les fournisseurs d’identité dans le Centre d’administration Microsoft Entra), utilisez le type de ressource emailAuthenticationMethodConfiguration.

Affecter le rôle Inviteur d’invités à un utilisateur

Avec le rôle Inviter des invités, vous pouvez permettre à des utilisateurs individuels d’inviter des invités sans leur affecter un rôle d’administrateur avec des privilèges supérieurs. Les utilisateurs disposant du rôle Inviter des invités peuvent inviter des invités même lorsque l’option Seuls les utilisateurs affectés à des rôles d’administrateur spécifiques peuvent inviter des utilisateurs invités est sélectionnée (sous Paramètres d’invitation des invités).

Voici un exemple qui montre comment Microsoft Graph PowerShell permet d’ajouter un utilisateur au rôle Guest Inviter :


Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

Journaux de connexion pour les utilisateurs B2B

Lorsqu’un utilisateur B2B se connecte à un abonné de ressources pour collaborer, un journal de connexion est généré à la fois dans l’abonné de base et dans l’abonné de la ressource. Ces journaux incluent des informations telles que l’application utilisée, les adresses e-mail, le nom de l’abonné et l’ID d’abonné pour l’abonné de base et l’abonné de la ressource.

Étapes suivantes

Consultez les articles suivants sur la collaboration B2B Microsoft Entra :

  • Last updated on