Partager via

Utilisation d’une invitation B2B Collaboration

S’applique à : cercle vert avec un symbole de coche blanc qui indique que le contenu suivant s’applique aux locataires du personnel. Locataires de main-d’œuvre (en savoir plus)

Cet article explique le processus d’échange d’invitations Microsoft Entra B2B pour les utilisateurs invités, notamment comment ils accèdent à vos ressources et effectuent les étapes de consentement requises. Que vous envoyiez un e-mail d’invitation ou fournissez un lien direct, les invités sont guidés par le biais d’un processus de connexion et de consentement sécurisé pour garantir la conformité aux conditions d’utilisation et aux conditions d’utilisation de votre organisation.

Lorsque vous ajoutez un utilisateur invité à votre annuaire, le compte d’utilisateur invité a un état de consentement (visible dans PowerShell) qui est initialement défini sur PendingAcceptance. Ce paramètre est maintenu jusqu’à ce que l’invité accepte votre invitation et approuve votre politique de confidentialité ainsi que vos conditions d’utilisation. Après cela, l’état de consentement passe à Accepté, et les pages de consentement ne sont plus présentées à l’invité.

Important

  • À compter du 12 juillet 2021, si les clients Microsoft Entra B2B configurent de nouvelles intégrations Google à utiliser avec l’inscription en libre-service pour leurs applications personnalisées ou métier, l’authentification avec les identités Google ne fonctionnera pas tant que les authentifications ne seront pas déplacées vers des vues web système. Plus d’informations
  • À partir du 30 septembre 30, 2021, Google déprécie la prise en charge de la connexion aux vues web intégrée. Si vos applications authentifient les utilisateurs avec une vue web incorporée et que vous utilisez la Fédération des services Google avec Azure AD B2C ou Microsoft Entra B2B pour des invitations utilisateur externes ou une inscription en libre-service, les utilisateurs de Google Gmail ne pourront pas s’authentifier. Plus d’informations
  • La fonctionnalité de code secret unique d’e-mail est désormais activée par défaut pour tous les nouveaux locataires et pour tous les locataires existants où vous ne l’avez pas explicitement désactivée. Quand cette fonctionnalité est désactivée, la méthode d’authentification de secours consiste à inviter les invités à créer un compte Microsoft.

Processus d’acceptation et connexion par un point de terminaison commun

Les utilisateurs invités peuvent désormais se connecter à vos applications mutualisées ou Microsoft via un point de terminaison commun (URL), par exemple https://myapps.microsoft.com. Jusqu’ici, une URL commune redirigeait l’utilisateur invité vers son locataire d’origine au lieu de votre locataire de ressources pour l’authentification. Un lien spécifique au locataire était donc nécessaire (par exemple https://myapps.microsoft.com/?tenantid=<tenant id>). Désormais, l’utilisateur invité peut accéder à l’URL commune de l’application, choisir Options de connexion, puis sélectionner Sign in to an organization (Se connecter à une organisation). L’utilisateur tape ensuite le nom de domaine de votre organisation.

Capture d’écran du diagramme de flux d’échange d’invitation Microsoft Entra B2B.

L’utilisateur est ensuite redirigé vers votre point de terminaison spécifique au locataire, où il peut se connecter avec son adresse e-mail ou sélectionner un fournisseur d’identité que vous avez configuré.

En guise d’alternative à l’adresse e-mail d’invitation ou à l’URL commune d’une application, donnez à un invité un lien direct vers votre application ou portail. Tout d’abord, ajoutez l’utilisateur invité à votre annuaire via le Centre d’administration Microsoft Entra ou PowerShell. Utilisez ensuite l’une des méthodes personnalisables pour déployer des applications sur des utilisateurs, y compris des liens d’authentification directe. Lorsqu’un invité utilise un lien direct au lieu de l’e-mail d’invitation, le lien les guide toujours tout au long de la première expérience de consentement.

Notes

Un lien direct est spécifique au locataire. En d’autres termes, il inclut un ID de locataire ou un domaine vérifié pour permettre à l’invité d’être authentifié dans votre locataire, là où se trouve l’application partagée. Voici quelques exemples de liens directs avec contexte de locataire :

  • Panneau d’accès des applications : https://myapps.microsoft.com/?tenantid=<tenant id>
  • Panneau d’accès des applications pour un domaine vérifié : https://myapps.microsoft.com/<;verified domain>
  • Centre d’administration Microsoft Entra : https://entra.microsoft.com/<tenant id>
  • Application individuelle : voir comment utiliser un lien d’authentification directe

Voici quelques points à noter concernant l’utilisation d’un lien direct par opposition à un e-mail d’invitation :

  • Alias d’e-mail : Les invités qui utilisent un alias de l’adresse e-mail qui a été invitée ont besoin d’une invitation par e-mail. (Un alias est une autre adresse e-mail associée à un compte e-mail.) L’utilisateur doit sélectionner l’URL d’acceptation dans l’e-mail d’invitation.

  • Objets de contact en conflit : Le processus de rédemption empêche les problèmes de connexion lorsqu’un objet utilisateur invité entre en conflit avec un objet de contact dans l’annuaire. Chaque fois que vous ajoutez ou invitez un invité avec un e-mail qui correspond à un contact existant, la propriété proxyAddresses de l’objet utilisateur invité est laissée vide. Auparavant, l’ID externe n’a recherché que la propriété proxyAddresses. Par conséquent, l’échange de liens directs a échoué lorsqu’il n’a pas pu trouver de correspondance. Désormais, ID externe recherche à la fois les propriétés proxyAddresses et les propriétés des e-mails invités.

Processus d’acceptation par l’e-mail d’invitation

Lorsque vous ajoutez un utilisateur invité à votre annuaire à l’aide du Centre d’administration Microsoft Entra, un e-mail d’invitation est envoyé à l’invité. Vous pouvez également choisir d’envoyer des e-mails d’invitation lorsque vous utilisez PowerShell pour ajouter des utilisateurs invités à votre annuaire. Voici une description de l’expérience de l’invité quand il utilise le lien de l’e-mail.

  1. L’invité reçoit un e-mail d’invitation provenant de Microsoft Invitations pour le compte de <primary domain> <invites@<primary domain>.onmicrosoft.com>.
  2. L’invité sélectionne Accepter l’invitation dans l’e-mail.
  3. L’invité utilise ses propres informations d’identification pour se connecter à votre annuaire. Si l’invité n’a pas de compte qui peut être fédéré à votre annuaire et que la fonctionnalité de code secret à usage unique (OTP) de messagerie électronique n’est pas activée, l’invité est invité à créer un compte Microsoft personnel (MSA). Pour plus d’informations, reportez-vous au flux d’acceptation d’invitation.
  4. L’invité est guidé dans l’expérience de consentement décrite dans la section suivante.

Flux d’acceptation d’invitation

Lorsqu’un utilisateur sélectionne le lien Accepter l’invitation dans un e-mail d’invitation, l’ID Microsoft Entra échange automatiquement l’invitation en fonction de l’ordre d’échange par défaut :

Capture d’écran montrant le diagramme du flux d’acceptation.

  1. Microsoft Entra ID effectue une découverte basée sur l’utilisateur pour déterminer si l’utilisateur existe déjà dans un tenant (locataire) Microsoft Entra managé. (Les comptes Microsoft Entra non gérés ne peuvent pas être utilisés pour le flux d’échange.) Si le nom d’utilisateur principal (UPN) de l’utilisateur correspond à la fois à un compte Microsoft Entra existant et à un MSA personnel, l’utilisateur est invité à choisir le compte avec lequel il souhaite échanger.

  2. Si un administrateur active la fédération SAML/WS-Fed IdP, Microsoft Entra ID vérifie si le suffixe de domaine de l’utilisateur correspond au domaine d’un fournisseur d’identité SAML/WS-Fed configuré et redirige l’utilisateur vers le fournisseur d’identité préconfiguré.

  3. Si un administrateur active la fédération Google, Microsoft Entra ID vérifie si le suffixe de domaine de l’utilisateur est gmail.com ou googlemail.com et redirige l’utilisateur vers Google.

  4. Le processus d’acceptation vérifie si l’utilisateur dispose d’un MSA personnel. Si l’utilisateur dispose déjà d’un MSA existant, il se connecte avec son MSA existant.

  5. Une fois que le répertoire de base de l’utilisateur est identifié, l’utilisateur est envoyé au fournisseur d’identité correspondant pour se connecter.

  6. Si aucun annuaire de base n’est trouvé et que la fonctionnalité de code secret à usage unique par e-mail est activée pour les invités, un code secret est envoyé à l’utilisateur via l’e-mail invité. L’utilisateur récupère et entre ce code secret dans la page de connexion Microsoft Entra.

  7. Si aucun annuaire de base n’est trouvé et que la fonctionnalité de code secret à usage unique par e-mail pour les invités est désactivée, l’utilisateur est invité à créer un MSA consommateur avec l’e-mail invité. Nous prenons en charge la création d’un MSA avec des e-mails professionnels dans des domaines qui ne sont pas vérifiés dans Microsoft Entra ID.

  8. Après s’être authentifié auprès du fournisseur d’identité approprié, l’utilisateur est redirigé vers Microsoft Entra ID pour terminer l’expérience de consentement.

Acceptation configurable

L’acceptation configurable vous permet de personnaliser l’ordre des fournisseurs d’identité présentés aux invités lorsqu’ils acceptent vos invitations. Lorsqu’un invité sélectionne le lien Accepter l’invitation, Microsoft Entra ID accepte automatiquement l’invitation selon l’ordre par défaut. Remplacez cet ordre en modifiant l'ordre de rédemption du fournisseur d'identité dans vos paramètres d’accès entre locataires.

Lorsqu’un invité se connecte à une ressource dans une organisation partenaire pour la première fois, il voit l’expérience de consentement suivante. L’invité voit ces pages de consentement uniquement après la connexion et ne s’affiche pas du tout si l’utilisateur les a déjà acceptés.

  1. L’invité passe en revue la page Vérifier les autorisations qui décrit la déclaration de confidentialité de l’organisation invitante. Pour continuer, l’utilisateur doit accepter l’utilisation de ses informations conformément aux politiques de confidentialité de l’organisation invitante.

    En acceptant cette invite de consentement, vous reconnaissez que certains éléments de votre compte sont partagés. Ces éléments incluent votre nom, votre photo et votre adresse e-mail, ainsi que les identificateurs d’annuaire que l’autre organisation peut utiliser pour mieux gérer votre compte et améliorer votre expérience inter-organisation.

    Capture d’écran montrant la page Passer en revue les autorisations.

    Notes

    Pour obtenir plus d’informations sur la manière dont vous pouvez, en tant qu’administrateur de tenant (locataire), créer un lien vers la déclaration de confidentialité de votre organisation, consultez Guide pratique pour ajouter les informations de confidentialité de votre organisation dans Microsoft Entra ID.

  2. Si les conditions d’utilisation sont configurées, l’invité s’ouvre et examine les conditions d’utilisation, puis sélectionne Accepter.

    Capture d’écran montrant les nouvelles conditions d’utilisation.

    Vous pouvez configurer les conditions d’utilisation dans Identités externes>conditions d’utilisation.

  3. Sauf indication contraire, l’invité est redirigé vers le panneau d’accès des applications qui liste les applications auxquelles l’invité peut accéder.

    Capture d’écran montrant le panneau d’accès des applications.

Dans votre annuaire, la valeur de Invitation acceptée de l’invité passe à Oui. Si un MSA a été créé, la Source de l’invité affiche Compte Microsoft. Pour obtenir plus d’informations sur les propriétés du compte d’utilisateur invité, consultez Propriétés d’un utilisateur B2B Collaboration Microsoft Entra. Si vous voyez une erreur qui requiert le consentement administrateur lors de l’accès à une application, consultez comment accorder le consentement administrateur aux applications.

Paramètre du processus d’acceptation automatique

Vous souhaiterez peut-être valider automatiquement des invitations afin que les utilisateurs n’aient pas à accepter la demande de consentement lorsque vous les ajoutez à un autre tenant pour la collaboration B2B. Lorsque vous configurez ce paramètre, l’utilisateur B2B Collaboration reçoit un e-mail de notification qui ne nécessite aucune action de leur part. Les utilisateurs reçoivent directement l’e-mail de notification et n’ont pas besoin d’accéder au locataire avant d’obtenir l’e-mail.

Pour plus d’informations sur l’échange automatique d’invitations, consultez Vue d’ensemble de l’accès interlocataire et Configurer les paramètres d’accès multilocataire pour la collaboration B2B.

Étapes suivantes

  • Last updated on