Compartilhar via

Resgate de convite de colaboração B2B

Aplica-se a: Círculo verde com um símbolo de marca de seleção branca que indica que o conteúdo a seguir se aplica aos locatários da força de trabalho. Locatários da força de trabalho (saiba mais)

Este artigo explica o processo de resgate de convite do Microsoft Entra B2B para usuários convidados, incluindo como eles acessam seus recursos e completam as etapas de consentimento necessárias. Se você enviar um email de convite ou fornecer um link direto, os convidados serão guiados por meio de um processo seguro de entrada e consentimento para garantir a conformidade com os termos de privacidade e os termos de uso da sua organização.

Quando você adiciona um usuário convidado ao diretório, a conta de usuário convidado tem um status de consentimento (acessível no PowerShell) inicialmente definido como PendingAcceptance. Essa configuração permanece até que o convidado aceite seu convite e concorde com a política de privacidade e os termos de uso. Depois disso, o status de consentimento muda para Accepted e as páginas de consentimento não são mais apresentadas ao convidado.

Importante

  • A partir de 12 de julho de 2021, se os clientes do Microsoft Entra B2B configurarem novas integrações do Google para uso com a inscrição de autoatendimento para seus aplicativos personalizados ou de linha de negócios, a autenticação com identidades do Google não funcionará até que as autenticações sejam movidas para exibições da Web do sistema. Saiba mais.
  • A partir de 30 de setembro de 2021, o Google deixará de dar suporte para o logon de exibição da Web integrado. Caso seus aplicativos autentiquem usuários com um modo de exibição da Web inserido e você use a federação do Google com o Azure AD B2C ou o Microsoft Entra B2B para convites de usuário externo ou de inscrição por autoatendimento, os usuários do Gmail não poderão se autenticar. Saiba mais.
  • O recurso de senha única de email agora está ativado por padrão para todos os novos locatários e para todos os locatários existentes em que você não o desativou explicitamente. Quando esse recurso está desativado, o método de autenticação de fallback é solicitar que os convidados criem uma conta Microsoft.

Processo de resgate e conexão por um ponto de extremidade comum

Os usuários convidados agora podem entrar em seus aplicativos multilocatário ou primários da Microsoft por meio de um ponto de extremidade comum (URL), por exemplo https://myapps.microsoft.com. Anteriormente, uma URL comum redirecionaria um usuário convidado para o locatário inicial dele, em vez de para o seu locatário de recursos para autenticação, de modo que era necessário um link específico do locatário, por exemplo, https://myapps.microsoft.com/?tenantid=<tenant id>. Agora, o usuário convidado pode acessar a URL comum do aplicativo, escolher Opções de conexão e selecionar Conectar-se a uma organização. Em seguida, o usuário digita o nome de domínio da sua organização.

Captura de tela do diagrama de fluxo de resgate de convite do Microsoft Entra B2B.

Em seguida, o usuário é redirecionado para o endpoint específico do tenant, onde pode fazer login com seu endereço de e-mail ou selecionar um dos provedores de identidade configurados por você.

Como alternativa ao email de convite ou à URL comum de um aplicativo, forneça a um convidado um link direto para seu aplicativo ou portal. Primeiro, adicione o usuário convidado ao diretório por meio do Centro de administração do Microsoft Entra ou do PowerShell. Em seguida, use qualquer uma das maneiras personalizáveis de implantar aplicativos para os usuários, incluindo links de logon direto. Quando um convidado usa um link direto em vez do email de convite, o link ainda os orienta pela experiência de consentimento pela primeira vez.

Observação

Um link direto é específico do locatário. Em outras palavras, ele inclui um ID de locatário ou um domínio verificado para que o convidado possa ser autenticado no locatário, que é onde o aplicativo compartilhado está. Veja alguns exemplos de links diretos com o contexto do locatário:

  • Painel de acesso aos aplicativos: https://myapps.microsoft.com/?tenantid=<tenant id>
  • Painel de acesso aos aplicativos para um domínio verificado: https://myapps.microsoft.com/<;verified domain>
  • Centro de administração do Microsoft Entra: https://entra.microsoft.com/<tenant id>
  • Aplicativo individual: confira como usar um link de logon direto

Aqui estão algumas considerações a serem observadas sobre como usar um link direto versus um email de convite:

  • Aliases de email: Os convidados que usam um alias do endereço de email que foi convidado precisam de um convite por email. (Um alias é outro endereço de email associado a uma conta de email.) O usuário deve selecionar a URL de resgate no email de convite.

  • Objetos de contato conflitantes: O processo de resgate impede problemas de entrada quando um objeto de usuário convidado entra em conflito com um objeto de contato no diretório. Sempre que você adicionar ou convidar um convidado com um email que corresponda a um contato existente, a propriedade proxyAddresses no objeto de usuário convidado será deixada vazia. Anteriormente, o ID Externo pesquisava apenas a propriedade proxyAddresses, portanto, quando não conseguia encontrar uma correspondência, o resgate do link direto falhava. Agora, a ID Externa pesquisa as propriedades de email proxyAddresses e convidadas.

Processo de resgate por meio de email de convite

Quando você adiciona um usuário convidado ao diretório usando o Centro de administração do Microsoft Entra, um email de convite é enviado ao convidado. Você também pode optar por enviar emails de convite quando estiver usando o PowerShell para adicionar usuários convidados ao seu diretório. Aqui está uma descrição da experiência do usuário ao acessar o link no e-mail.

  1. O convidado recebe um email de convite que é da Microsoft Invitations em nome de <primary domain> <invites@<primary domain>.onmicrosoft.com>.
  2. Ele seleciona Aceitar o convite no email.
  3. O convidado usa suas próprias credenciais para entrar no seu diretório. Se o convidado não tiver uma conta que possa ser federada para seu diretório e o recurso de senha única de email (OTP) não estiver habilitado, o convidado será solicitado a criar uma MSA (conta microsoft pessoal). Consulte o fluxo de resgate de convite para obter detalhes.
  4. O convidado é guiado pela experiência de consentimento descrita na seção a seguir.

Fluxo de resgate de convite

Quando um usuário seleciona o link Aceitar convite em um email de convite, a ID do Microsoft Entra resgata automaticamente o convite com base na ordem de resgate padrão:

Captura de tela que mostra o diagrama de fluxo de resgate.

  1. O Microsoft Entra ID executa a descoberta baseada no usuário para determinar se o usuário já existe em um locatário gerenciado do Microsoft Entra. (Contas não gerenciadas do Microsoft Entra não podem ser usadas para o fluxo de resgate.) Se o UPN (nome de entidade de usuário) do usuário corresponder a uma conta existente do Microsoft Entra e a uma MSA pessoal, o usuário será solicitado a escolher com qual conta deseja resgatar.

  2. Se um administrador habilitar a federação SAML/WS-Fed IdP, o Microsoft Entra ID verifica se o sufixo de domínio do usuário corresponde ao domínio de um provedor de identidade SAML/WS-Fed configurado e redireciona o usuário para o provedor de identidade preconfigurado.

  3. Se um administrador habilitar a federação do Google, a ID do Microsoft Entra verificará se o sufixo de domínio do usuário está gmail.com ou googlemail.com e redireciona o usuário para o Google.

  4. O processo de resgate verifica se o usuário já tem uma MSA pessoal existente. Se o usuário já tiver um MSA, ele fará login com o MSA existente.

  5. Depois que o diretório base do usuário for identificado, ele será enviado ao provedor de identidade correspondente para se conectar.

  6. Se nenhum diretório base for encontrado e o recurso de senha de uso único por email estiver habilitado para convidados, uma senha será enviada ao usuário por meio do email convidado. O usuário recupera e insere essa senha na página de entrada do Microsoft Entra.

  7. Se nenhum diretório base for encontrado e a senha de uso único por email para convidados estiver desabilitada, o usuário será solicitado a criar uma MSA de consumidor com o email convidado. Damos suporte à criação de uma MSA com emails de trabalho em domínios que não são verificados no Microsoft Entra ID.

  8. Após a autenticação no provedor de identidade correto, o usuário é redirecionado para o Microsoft Entra ID para concluir a experiência de consentimento.

Resgate configurável

O Resgate configurável permite que você personalize o pedido dos provedores de identidade apresentado aos convidados ao resgatarem seus convites. Quando um convidado seleciona o link Aceitar convite, o Microsoft Entra ID resgata o convite automaticamente com base no pedido padrão. Substitua essa ordem alterando a ordem de resgate do provedor de identidade nas configurações de acesso entre locatários.

Quando um convidado acessa um recurso em uma organização parceira pela primeira vez, ele vê o seguinte processo de consentimento. O convidado vê essas páginas de consentimento somente após a entrada e elas não são exibidas se o usuário já as aceitou.

  1. O convidado revisa a página De revisão de permissões que descreve a política de privacidade da organização convidada. Para continuar, o usuário deve aceitar o uso de suas informações de acordo com as políticas de privacidade da organização convidada.

    Ao concordar com esse prompt de consentimento, você reconhece que determinados elementos de sua conta são compartilhados. Esses elementos incluem seu nome, foto e endereço de email, bem como identificadores de diretório que a outra organização pode usar para gerenciar melhor sua conta e melhorar sua experiência entre organizações.

    Captura de tela que mostra a página Revisar permissões.

    Observação

    Para obter informações sobre como você, como administrador da organização, pode criar um link para a política de privacidade de sua organização, consulte como: adicionar as informações de privacidade da sua organização no Microsoft Entra ID.

  2. Se os termos de uso estiverem configurados, o convidado abrirá e examinará os termos de uso e selecionará Aceitar.

    Captura de tela mostrando os novos termos de uso.

    Você pode configurar os termos de uso em Identidades Externas>Termos de uso.

  3. Se não houver especificação em contrário, o convidado será redirecionado para o painel de acesso Aplicativos, que lista os aplicativos que o convidado pode acessar.

    Captura de tela que mostra o painel de acesso Aplicativos.

No seu diretório, o valor de Convite aceito do convidado muda para Sim. Se uma MSA foi criada, a Origem do convidado aparece como Conta Microsoft. Para obter mais informações sobre as propriedades da conta de usuário convidado, consulte as Propriedades de um usuário de colaboração do Microsoft Entra B2B. Se você receber um erro que solicita o consentimento do administrador ao acessar o aplicativo, consulte como garantir o consentimento do administrador a aplicativos.

Configuração do processo de resgate automático

Talvez você queira resgatar convites automaticamente para que os usuários não precisem aceitar a mensagem de consentimento ao adicioná-los a outro locador para colaboração B2B. Quando você define essa configuração, o usuário de colaboração B2B recebe um email de notificação que não exige nenhuma ação deles. Os usuários recebem o email de notificação diretamente e não precisam acessar o locatário primeiro antes de receberem o email.

Para obter informações sobre como resgatar convites automaticamente, consulte Visão geral de acesso entre locatários e Definir as configurações de acesso entre locatários para a colaboração B2B.

Próximas etapas

  • Last updated on