Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Van toepassing op: 
Werknemerstenants (meer informatie)
In dit artikel wordt het inwisselingsproces voor Microsoft Entra B2B-uitnodigingen voor gastgebruikers uitgelegd, inclusief hoe ze toegang hebben tot uw resources en de vereiste toestemmingsstappen uitvoeren. Of u nu een uitnodigingse-mail verzendt of een directe koppeling verstrekt, gasten worden begeleid via een veilig aanmeldings- en toestemmingsproces om ervoor te zorgen dat de privacyvoorwaarden en gebruiksvoorwaarden van uw organisatie worden nageleefd.
Wanneer u een gastgebruiker aan uw directory toevoegt, heeft het gastgebruikersaccount een toestemmingsstatus (zichtbaar in PowerShell) die in eerste instantie is ingesteld op PendingAcceptance. Deze instellingen blijft standaard geldig totdat de gast uw uitnodiging accepteert en akkoord gaat met uw privacybeleid en gebruiksvoorwaarden. Vervolgens wordt de toestemmingsstatus gewijzigd in Geaccepteerd en worden de toestemmingspagina's niet meer aan de gast getoond.
Belangrijk
- Vanaf 12 juli 2021, als Microsoft Entra B2B-klanten nieuwe Google-integraties hebben ingesteld voor gebruik met selfserviceregistratie voor hun aangepaste of line-of-business-toepassingen, werkt verificatie met Google-identiteiten pas als verificaties worden verplaatst naar systeemwebweergaven. Meer informatie.
- Vanaf 30 september 2021 biedt Google geen ondersteuning meer voor aanmelden via ingesloten webweergaven. Als uw apps gebruikers verifiëren met een ingesloten webweergave en u Google-federatie gebruikt met Azure AD B2C of Microsoft Entra B2B voor uitnodigingen voor externe gebruikers of selfserviceregistratie, kunnen Google Gmail-gebruikers zich niet verifiëren. Meer informatie.
- De functie voor eenmalige wachtwoordcode voor e-mail is nu standaard ingeschakeld voor alle nieuwe tenants en voor bestaande tenants waarvoor u deze functie niet expliciet hebt uitgeschakeld. Wanneer deze functie is uitgeschakeld, is de methode voor terugvalverificatie dat genodigden wordt gevraagd een Microsoft-account aan te maken.
Verlossingsproces en inloggen via een gemeenschappelijk eindpunt
Gastgebruikers kunnen zich nu aanmelden bij uw multitenant- of Microsoft First Party-apps via een gemeenschappelijk eindpunt (URL), bijvoorbeeld https://myapps.microsoft.com. Voorheen zou een algemene URL een gastgebruiker omleiden naar de eigen tenant in plaats van naar uw resourcetenant voor verificatie, dus een tenantspecifieke koppeling was vereist (bijvoorbeeld https://myapps.microsoft.com/?tenantid=<tenant id>). Nu kan de gastgebruiker naar de algemene URL van de toepassing gaan, aanmeldingsopties kiezen en vervolgens Aanmelden bij een organisatie selecteren. De gebruiker typt vervolgens de domeinnaam van uw organisatie.
De gebruiker wordt vervolgens omgeleid naar uw tenantspecifieke eindpunt, waar ze zich kunnen aanmelden met hun e-mailadres of een id-provider selecteren die u hebt geconfigureerd.
Inwisselproces via een directe koppeling
Als alternatief voor de uitnodigings-e-mail of de algemene URL van een toepassing, geeft u een gast een directe koppeling naar uw app of portal. Voeg eerst de gastgebruiker toe aan uw directory via het Microsoft Entra-beheercentrum of PowerShell-. Gebruik vervolgens een van de aanpasbare manieren om toepassingen te implementeren voor gebruikers, inclusief directe aanmeldingskoppelingen. Wanneer een gast een directe koppeling gebruikt in plaats van de uitnodigings-e-mail, leidt de koppeling ze nog steeds door de eerste keer dat toestemming wordt gegeven.
Notitie
Een directe koppeling is specifiek aan een tenant. Met andere woorden: deze bevat een tenant-id of een geverifieerd domein. Zo kan de gast worden geverifieerd in uw tenant waar de gedeelde app zich bevindt. Hier volgen een paar voorbeelden van directe koppelingen met tenantcontext:
- Het toegangsvenster voor apps:
https://myapps.microsoft.com/?tenantid=<tenant id> - Toegangsvenster voor apps voor geverifieerd domein:
https://myapps.microsoft.com/<;verified domain> - Microsoft Entra-beheercentrum:
https://entra.microsoft.com/<tenant id> - Afzonderlijke app: raadpleeg hoe u een directe aanmeldingskoppeling gebruikt
Hier volgen enkele dingen die u moet weten over het gebruik van een directe koppeling ten opzichte van een uitnodigingsmail:
e-mailaliassen: gasten die een alias gebruiken van het e-mailadres dat is uitgenodigd, hebben een e-mailuitnodiging nodig. (Een alias is een ander e-mailadres dat is gekoppeld aan een e-mailaccount.) De gebruiker moet de inwissel-URL selecteren in de uitnodigings-e-mail.
Conflicterende contactobjecten: Het inwisselingsproces voorkomt aanmeldingsproblemen wanneer een gastgebruikerobject conflicteert met een contactobject in de directory. Wanneer u een gast toevoegt of uitnodigt met een e-mailbericht dat overeenkomt met een bestaande contactpersoon, blijft de eigenschap proxyAddresses op het object gastgebruiker leeg. Voorheen zocht Externe ID alleen naar de eigenschap proxyAddresses, waardoor direct link inwisselen mislukte omdat er geen overeenkomst kon worden gevonden. Externe id doorzoekt nu zowel de proxyAddresses als de eigenschappen van uitgenodigde e-mail.
Inwisselingsproces via de uitnodigingsmail
Wanneer u een gastgebruiker aan uw adreslijst toevoegt door via het Microsoft Entra-beheercentrum, wordt er een uitnodigingsmail naar de gast verzonden. U kunt er ook voor kiezen om uitnodigingsmails te verzenden wanneer u PowerShell gebruikt om gastgebruikers toe te voegen aan uw adreslijst. Hier volgt een beschrijving van de ervaring van de gast wanneer hij/zij de link in de e-mail gebruikt.
- De gast ontvangt een uitnodigingsmail van Microsoft Invitations namens
<primary domain> <invites@<primary domain>.onmicrosoft.com>. - De gast selecteert vervolgens Uitnodiging accepteren in het e-mailbericht.
- De gast gebruikt zijn eigen inloggegevens om zich aan te melden bij uw directory. Als de gast geen account heeft dat kan worden gefedereerd aan uw adreslijst en de eenmalige wachtwoordcode (OTP) functie niet is ingeschakeld, wordt de gast gevraagd een persoonlijke Microsoft-account (MSA)te maken. Raadpleeg de uitnodigingsinwisselstroom voor meer informatie.
- De gast wordt begeleid door de toestemmingservaring die in de volgende sectie wordt beschreven.
Inwisselingsproces voor uitnodigingen
Wanneer een gebruiker de koppeling Uitnodiging accepteren in een uitnodigings-e-mailselecteert, wordt de uitnodiging door Microsoft Entra ID automatisch ingewisseld op basis van de standaardinwisselingsvolgorde.
Microsoft Entra ID voert op gebruikers gebaseerde detectie uit om te bepalen of de gebruiker al bestaat in een beheerde Microsoft Entra-tenant. (Niet-beheerde Microsoft Entra-accounts kunnen niet worden gebruikt voor de inwisselingsstroom.) Als de UPN (User Principal Name) van de gebruiker overeenkomt met zowel een bestaand Microsoft Entra-account als een persoonlijke MSA, wordt de gebruiker gevraagd om te kiezen met welk account ze willen inwisselen.
Als een beheerder SAML/WS-Fed IdP-federatie inschakelt, controleert Microsoft Entra ID of het domeinachtervoegsel van de gebruiker overeenkomt met het domein van een geconfigureerde SAML/WS-Fed id-provider en wordt de gebruiker omgeleid naar de vooraf geconfigureerde id-provider.
Als een beheerder Google-federatie inschakelt, controleert Microsoft Entra ID of het domeinachtervoegsel van de gebruiker is gmail.com of googlemail.com en wordt de gebruiker omgeleid naar Google.
Het inwisselproces controleert of de gebruiker een bestaande persoonlijke MSA heeft. Als de gebruiker al een bestaande MSA heeft, meldt deze zich aan met de bestaande MSA.
Zodra de basismap van de gebruiker is geïdentificeerd, wordt de gebruiker naar de bijbehorende id-provider gestuurd om zich aan te melden.
Als er geen basismap wordt gevonden en de functie voor eenmalige wachtwoordcode voor e-mail is ingeschakeld voor gasten, wordt er een wachtwoordcode naar de gebruiker verzonden via de uitgenodigde e-mail. De gebruiker haalt deze wachtwoordcode op en voert deze in op de aanmeldingspagina van Microsoft Entra.
Indien er geen thuisdirectory wordt gevonden en de eenmalige wachtwoordcode voor gasten per e-mail is uitgeschakeld, wordt de gebruiker gevraagd om een consumenten-MSA te maken met het uitgenodigde e-mailadres. We ondersteunen het maken van een MSA met zakelijke e-mailberichten in domeinen die niet zijn geverifieerd in Microsoft Entra-id.
Na verificatie bij de juiste id-provider wordt de gebruiker omgeleid naar Microsoft Entra-id om de toestemmingservaring te voltooien.
Configureerbare inwisseling
Met configureerbare inwisseling kunt u de volgorde configureren van identiteitsproviders die aan gasten worden gepresenteerd wanneer zij uw uitnodigingen verzilveren. Wanneer een gast de Accepteer uitnodiging koppeling selecteert, wordt de uitnodiging automatisch ingewisseld op basis van de standaardvolgorde. Overschrijf deze volgorde door de inwisselvolgorde van de id-provider te wijzigen in de instellingen voor toegang tot meerdere tenants.
De toestemmingservaring voor de gast
Wanneer een gast zich voor het eerst aanmeldt bij een resource in een partnerorganisatie, zien ze de volgende toestemmingservaring. De gast ziet deze toestemmingspagina's pas na aanmelding en ze worden helemaal niet weergegeven als de gebruiker deze al heeft geaccepteerd.
De gast bekijkt de pagina Machtigingen controleren die de privacyverklaring van de uitnodigende organisatie beschrijft. Om door te gaan, moet de gebruiker het gebruik van hun gegevens accepteren in overeenstemming met het privacybeleid van de uitnodigende organisatie.
Door akkoord te gaan met deze toestemmingsprompt, erkent u dat bepaalde elementen van uw account worden gedeeld. Deze elementen omvatten uw naam, foto en e-mailadres, evenals adreslijst-id's die de andere organisatie kan gebruiken om uw account beter te beheren en uw ervaring tussen organisaties te verbeteren.
Notitie
Zie Instructies voor informatie over hoe u als tenantbeheerder een koppeling kunt maken naar de privacyverklaring van uw organisatie: Privacygegevens van uw organisatie toevoegen in Microsoft Entra ID.
Als de gebruiksvoorwaarden zijn geconfigureerd, opent de gast de gebruiksvoorwaarden en beoordeelt deze, en selecteert vervolgens Accepteren.
U kunt de gebruiksvoorwaarden configureren in de Externe identiteiten>Gebruiksvoorwaarden.
Tenzij anders opgegeven, wordt de gast omgeleid naar het toegangsvenster Apps, waarin de toepassingen worden weergegeven waar de gast toegang tot heeft.
In uw map verandert de waarde Uitnodiging geaccepteerd van de gast in Ja. Als er een MSA is aangemaakt, wordt bij de bron van de gast Microsoft-account weergegeven. Zie Eigenschappen van een Microsoft Entra B2B-samenwerkingsgebruiker voor meer informatie over eigenschappen van gastgebruikersaccounts. Als er een fout wordt weergegeven waarvoor beheerderstoestemming is vereist bij het openen van een toepassing, raadpleegt u hoe u beheerderstoestemming kunt verlenen aan apps.
Instelling voor het automatische inwisselingsproces
Mogelijk wilt u uitnodigingen automatisch inwisselen, zodat gebruikers de toestemmingsprompt niet hoeven te accepteren wanneer u ze toevoegt aan een andere tenant voor B2B-samenwerking. Wanneer u deze instelling configureert, ontvangt de B2B-samenwerkingsgebruiker een e-mailmelding waarvoor geen actie van hen is vereist. Gebruikers ontvangen de meldings-e-mail rechtstreeks en hoeven eerst geen toegang te krijgen tot de tenant voordat ze het e-mailbericht ontvangen.
Zie overzicht van toegang voor meerdere tenants en instellingen voor toegang tussen tenants configureren voor B2B-samenwerking voor meer informatie over het automatisch inwisselen van uitnodigingen.