Udostępnij przez

Akceptacja zaproszenia do współpracy B2B

Dotyczy: Zielony okrąg z białym symbolem znacznika wyboru, który wskazuje następującą zawartość dotyczy dzierżawców pracowników. Dzierżawcy pracowników (dowiedz się więcej)

W tym artykule wyjaśniono proces realizacji zaproszenia firmy Microsoft Entra B2B dla użytkowników-gości, w tym sposób uzyskiwania dostępu do zasobów i wykonywania wymaganych kroków zgody. Niezależnie od tego, czy wysyłasz wiadomość e-mail z zaproszeniem, czy udostępniasz bezpośredni link, goście są kierowani przez bezpieczny proces logowania i wyrażania zgody w celu zapewnienia zgodności z warunkami zachowania poufności informacji i warunkami użytkowania organizacji.

Po dodaniu użytkownika-gościa do katalogu konto użytkownika-gościa ma stan zgody (możliwy do wyświetlenia w programie PowerShell), który początkowo ma wartość PendingAcceptance. To ustawienie pozostaje do momentu zaakceptowania zaproszenia przez gościa i zaakceptowania zasad ochrony prywatności i warunków użytkowania. Następnie stan zgody zmieni się na Zaakceptowano, a strony zgody nie są już wyświetlane gościowi.

Ważne

  • Od 12 lipca 2021 r., jeśli klienci firmy Microsoft Entra B2B skonfigurowali nowe integracje Google do użycia z rejestracją samoobsługową dla swoich niestandardowych lub biznesowych aplikacji, uwierzytelnianie przy użyciu tożsamości Google nie będzie działać, dopóki uwierzytelnianie nie zostanie przeniesione do systemowych widoków internetowych. Dowiedz się więcej.
  • Od 30 września 2021 r. firma Google zaprzestaje wsparcia logowania w osadzonym widoku sieciowym. Jeśli aplikacje uwierzytelniają użytkowników za pomocą osadzonego widoku internetowego i korzystasz z federacji Google z usługą Azure AD B2C lub Microsoft Entra B2B w przypadku zaproszeń użytkowników zewnętrznych lub rejestracji samoobsługowej, użytkownicy usługi Google Gmail nie będą mogli się uwierzytelniać. Dowiedz się więcej.
  • Funkcja jednorazowego hasła dostępu poprzez e-mail jest teraz domyślnie włączona dla wszystkich nowych dzierżaw i dla wszystkich istniejących dzierżaw, gdzie nie wyłączyłeś go jawnie. Po wyłączeniu tej funkcji metoda uwierzytelniania rezerwowego to monit o zaproszenie do utworzenia konta Microsoft.

Proces realizacji i logowanie za pośrednictwem wspólnego punktu końcowego

Użytkownicy-goście mogą teraz logować się do aplikacji wielodostępnych lub aplikacji firmy Microsoft za pośrednictwem wspólnego punktu końcowego (URL), na przykład https://myapps.microsoft.com. Wcześniej wspólny adres URL przekierowuje użytkownika-gościa do dzierżawy głównej zamiast dzierżawy zasobów na potrzeby uwierzytelniania, więc wymagany był link specyficzny dla dzierżawy (na przykład https://myapps.microsoft.com/?tenantid=<tenant id>). Teraz użytkownik-gość może przejść do wspólnego adresu URL aplikacji, wybrać pozycję Opcje logowania, a następnie wybrać pozycję Zaloguj się do organizacji. Następnie użytkownik wpisze nazwę domeny organizacji.

Zrzut ekranu przedstawiający diagram przepływu realizacji zaproszenia microsoft Entra B2B.

Użytkownik jest następnie przekierowywany do punktu końcowego specyficznego dla dzierżawcy, gdzie może zalogować się przy użyciu adresu e-mail lub wybrać skonfigurowanego dostawcę tożsamości.

Alternatywą dla wiadomości e-mail z zaproszeniem lub typowym adresem URL aplikacji jest nadanie gościowi bezpośredniego linku do aplikacji lub portalu. Najpierw dodaj użytkownika-gościa do katalogu za pomocą Centrum administracyjnego firmy Microsoft Entra lub programu PowerShell. Następnie użyj dowolnego z dostosowywalnych sposobów wdrażania aplikacji dla użytkowników, w tym linków logowania bezpośredniego. Gdy gość korzysta z linku bezpośredniego zamiast wiadomości e-mail z zaproszeniem, link nadal prowadzi ich przez proces pierwszorazowej zgody.

Uwaga

Bezpośredni link jest specyficzny dla najemcy. Innymi słowy, zawiera identyfikator dzierżawcy lub zweryfikowaną domenę, aby gość mógł zostać uwierzytelniony w ramach dzierżawcy, gdzie znajduje się udostępniona aplikacja. Oto kilka przykładów bezpośrednich linków z kontekstem klienta:

  • Panel dostępu do aplikacji: https://myapps.microsoft.com/?tenantid=<tenant id>
  • Panel dostępu do aplikacji dla zweryfikowanej domeny: https://myapps.microsoft.com/<;verified domain>
  • Centrum administracyjne firmy Microsoft Entra: https://entra.microsoft.com/<tenant id>
  • Pojedyncza aplikacja: zobacz, jak używać linku logowania bezpośredniego

Oto kilka kwestii, na które należy zwrócić uwagę przy używaniu linku bezpośredniego w porównaniu z zaproszeniem e-mail:

  • aliasy e-mail: Goście korzystający z aliasu adresu e-mail, który został zaproszony, potrzebują zaproszenia e-mail. (Alias to inny adres e-mail skojarzony z kontem e-mail). Użytkownik musi wybrać adres URL realizacji w wiadomości e-mail z zaproszeniem.

  • Obiekty kontaktów powodujące konflikt: Proces odzyskiwania zapobiega problemom z logowaniem, gdy obiekt użytkownika-gościa koliduje z obiektem kontaktu w katalogu. Za każdym razem, gdy dodasz lub zaprosisz gościa z wiadomością e-mail zgodną z istniejącym kontaktem, właściwość proxyAddresses obiektu użytkownika-gościa pozostanie pusta. Wcześniej identyfikator zewnętrzny przeszukiwał tylko właściwość 'proxyAddresses', więc realizacja linku bezpośredniego nie powiodła się, gdy nie mogła odnaleźć dopasowania. Teraz identyfikator zewnętrzny wyszukuje właściwości proxyAddresses i zaproszonych wiadomości e-mail.

Proces realizacji kuponu poprzez wiadomość e-mail z zaproszeniem

Po dodaniu użytkownika-gościa do katalogu przez przy użyciu centrum administracyjnego firmy Microsoft Entrawiadomość e-mail z zaproszeniem zostanie wysłana do gościa. Możesz również wysłać wiadomości e-mail z zaproszeniem, gdy używasz programu PowerShell do dodawania użytkowników-gości do katalogu. Oto opis doświadczenia gościa podczas wykorzystania linku z wiadomości e-mail.

  1. Gość otrzymuje wiadomość e-mail z zaproszeniem wysyłaną przez Microsoft Invitations w imieniu <primary domain> <invites@<primary domain>.onmicrosoft.com>.
  2. Gość wybiera pozycję Zaakceptuj zaproszenie w wiadomości e-mail.
  3. Gość używa własnych poświadczeń, aby zalogować się do katalogu. Jeśli gość nie ma konta, które można sfederować z katalogiem, a e-mail jednorazowy kod dostępu (OTP) nie jest włączony, gość zostanie poproszony o utworzenie osobistego konta Microsoft (MSA). Aby uzyskać szczegółowe informacje, zapoznaj się z przepływem realizacji zaproszenia.
  4. Gość jest prowadzony przez środowisko wyrażania zgody opisane w poniższej sekcji.

Przepływ odbioru zaproszeń

Gdy użytkownik wybierze link Zaakceptuj zaproszenie w wiadomości e-mail z zaproszeniem , identyfikator Microsoft Entra ID automatycznie realizuje zaproszenie na podstawie domyślnego porządku realizacji.

Zrzut ekranu przedstawiający diagram przebiegu procesu wykupu.

  1. Microsoft Entra ID wykonuje odkrywanie oparte na użytkownikach, aby określić, czy użytkownik już istnieje w zarządzanej dzierżawie Microsoft Entra. (Niezarządzane konta Microsoft Entra nie mogą być używane do procesu realizacji). Jeśli główna nazwa użytkownika (UPN) odpowiada zarówno istniejącemu kontu Microsoft Entra, jak i osobistemu kontu MSA, użytkownik zostanie poproszony o wybranie konta, za pomocą którego użytkownik chce zrealizować.

  2. Jeśli administrator włącza federację SAML/WS-Fed IdP, identyfikator Entra firmy Microsoft sprawdza, czy sufiks domeny użytkownika jest zgodny z domeną skonfigurowanego dostawcy tożsamości SAML/WS-Fed i przekierowuje użytkownika do wstępnie skonfigurowanego dostawcy tożsamości.

  3. Jeśli administrator włącza federację Google, identyfikator Firmy Microsoft Entra sprawdza, czy sufiks domeny użytkownika jest gmail.com lub googlemail.com i przekierowuje użytkownika do Google.

  4. Proces realizacji sprawdza, czy użytkownik ma istniejącą osobistą umowę MSA. Jeśli użytkownik ma już istniejące konto MSA, loguje się przy użyciu istniejącej usługi MSA.

  5. Po zidentyfikowaniu katalogu macierzystego użytkownika użytkownik jest wysyłany do odpowiedniego dostawcy tożsamości w celu zalogowania się.

  6. Jeśli nie znaleziono katalogu macierzystego i funkcja jednorazowego kodu dostępu wiadomości e-mail jest włączona dla gości, kod dostępu jest wysyłany do użytkownika za pośrednictwem zaproszonej wiadomości e-mail. Użytkownik pobiera i wprowadza ten kod dostępu na stronie logowania firmy Microsoft Entra.

  7. Jeśli nie znaleziono katalogu macierzystego i jednorazowy kod dostępu wiadomości e-mail dla gości jest wyłączony, użytkownik zostanie poproszony o utworzenie konta konsumenckiego MSA za pomocą zaproszonego adresu e-mail. Obsługujemy tworzenie konta MSA z służbowymi wiadomościami e-mail w domenach, które nie są weryfikowane w identyfikatorze Entra firmy Microsoft.

  8. Po uwierzytelnieniu u odpowiedniego dostawcy tożsamości użytkownik jest przekierowywany do Microsoft Entra ID, aby ukończyć proces wyrażania zgody.

Możliwość skonfigurowania realizacji

Możliwość skonfigurowania realizacji umożliwia dostosowanie kolejności dostawców tożsamości prezentowanych gościom podczas realizacji zaproszeń. Gdy gość wybierze link Akceptuj zaproszenie , identyfikator Entra firmy Microsoft automatycznie zrealizowa zaproszenie w oparciu o zamówienie domyślne. Zastąpij to zamówienie, zmieniając kolejność realizacji dostawcy tożsamości w ustawieniach dostępu między dzierżawami.

Gdy gość loguje się do zasobu w organizacji partnerskiej po raz pierwszy, zobaczy następujący proces wyrażania zgody. Gość widzi te strony zgody tylko po zalogowaniu i nie są wyświetlane w ogóle, jeśli użytkownik już je zaakceptował.

  1. Gość przegląda stronę Uprawnienia recenzji, która opisuje oświadczenie o ochronie prywatności organizacji zapraszającej. Aby kontynuować, użytkownik musi zaakceptować wykorzystanie swoich informacji zgodnie z zasadami ochrony prywatności organizacji zapraszania.

    Wyrażając zgodę na ten monit o wyrażenie zgody, potwierdzasz, że niektóre elementy twojego konta są współużytkowane. Te elementy obejmują Twoje imię, zdjęcie i adres e-mail, a także identyfikatory katalogów, których inna organizacja może używać do lepszego zarządzania Twoim kontem i ulepszania doświadczenia między organizacjami.

    Zrzut ekranu przedstawiający stronę Przegląd uprawnień.

    Uwaga

    Aby uzyskać informacje o tym, jak jako administrator dzierżawy możesz połączyć się z oświadczeniem o ochronie prywatności organizacji, zobacz Instrukcje: dodawanie informacji o ochronie prywatności organizacji w usłudze Microsoft Entra ID.

  2. Jeśli warunki użytkowania są skonfigurowane, gość otwiera i przegląda warunki użytkowania, a następnie wybiera pozycję Akceptuj.

    Zrzut ekranu przedstawiający nowe warunki użytkowania.

    Warunki użytkowania można skonfigurować w sekcji Tożsamości zewnętrzne pod Warunki użytkowania.

  3. Jeśli nie określono inaczej, gość jest przekierowywany do panelu dostępu aplikacje, który zawiera listę aplikacji, do których gość może uzyskać dostęp.

    Zrzut ekranu przedstawiający panel dostępu do aplikacji.

W Twoim katalogu wartość Zaproszenie zaakceptowane dla gościa zmieni się na Tak. Jeśli konto MSA zostało utworzone, źródło gościa wyświetli Konto Microsoft. Aby uzyskać więcej informacji na temat właściwości konta użytkownika-gościa, zobacz Właściwości użytkownika współpracy microsoft Entra B2B. Jeśli widzisz błąd, który wymaga zgody administratora podczas uzyskiwania dostępu do aplikacji, zobacz , jak udzielić zgody administratora na aplikacje.

Konfiguracja procesu automatycznego wykupu

Możesz chcieć automatycznie zrealizować zaproszenia, aby użytkownicy nie musieli akceptować monitu o zgodę podczas dodawania ich do innej dzierżawy na potrzeby współpracy B2B. Po skonfigurowaniu tego ustawienia użytkownik współpracy B2B otrzymuje wiadomość e-mail z powiadomieniem, która nie wymaga od nich żadnej akcji. Użytkownicy otrzymują wiadomość e-mail z powiadomieniem bezpośrednio i nie muszą uzyskiwać dostępu do dzierżawy, zanim ją otrzymają.

Aby uzyskać informacje na temat automatycznego realizowania zaproszeń, zobacz omówienie dostępu między dzierżawami oraz konfigurowanie ustawień dostępu między dzierżawami dla współpracy B2B.

Następne kroki

  • Last updated on