Partilhar via

Resgate de convite de colaboração B2B

Aplica-se a: círculo verde com um símbolo de marca de seleção branco que indica que o conteúdo a seguir se aplica aos locatários da força de trabalho. Inquilinos da força de trabalho (saiba mais)

Este artigo explica o processo de resgate de convites do Microsoft Entra B2B para usuários convidados, incluindo como eles acessam seus recursos e concluem as etapas de consentimento necessárias. Quer envie um e-mail de convite ou forneça uma ligação direta, os hóspedes são guiados através de um processo seguro de início de sessão e consentimento para garantir a conformidade com os termos de privacidade e de utilização da sua organização.

Quando adicionas um utilizador convidado ao teu diretório, a conta de utilizador convidado tem um estado de consentimento (visível no PowerShell) que é inicialmente definido como PendingAcceptance. Esta definição mantém-se até que o hóspede aceite o seu convite e concorde com a sua política de privacidade e termos de utilização. Depois disso, o status de consentimento muda para Aceito e as páginas de consentimento não são mais apresentadas ao hóspede.

Importante

  • A partir de 12 de julho de 2021, se os clientes B2B da Microsoft Entra configurarem novas integrações Google para utilização com inscrição em autoatendimento nas suas aplicações personalizadas ou de linha de negócio, a autenticação com identidades Google não funcionará até que as autenticações sejam transferidas para as visualizações web do sistema. Mais informações.
  • A partir de 30 de setembro de 2021, o Google está desativando o suporte de login incorporado à visualização da Web. Se seus aplicativos autenticarem usuários com uma visualização da Web incorporada e você estiver usando a federação do Google com o Azure AD B2C ou o Microsoft Entra B2B para convites de usuários externos ou inscrição de autoatendimento, os usuários do Google Gmail não poderão se autenticar. Mais informações.
  • A funcionalidade de código de acesso único por email está agora ativada por defeito para todos os novos inquilinos e para quaisquer inquilinos existentes onde não a tenha desligado explicitamente. Quando esse recurso é desativado, o método de autenticação de fallback é solicitar que os convidados criem uma conta da Microsoft.

Processo de resgate e início de sessão através de um endpoint comum

Os utilizadores convidados podem agora iniciar sessão nas suas aplicações multi-inquilino ou de primeira parte da Microsoft através de um ponto de extremidade comum (URL), por exemplo https://myapps.microsoft.com. Anteriormente, uma URL comum redirecionava um usuário convidado para seu locatário doméstico em vez de seu locatário de recurso para autenticação, portanto, um link específico do locatário era necessário (por exemplo https://myapps.microsoft.com/?tenantid=<tenant id>). Agora, o utilizador convidado pode aceder ao URL comum da aplicação, escolher Opções de início de sessão e, em seguida, selecionar Iniciar sessão numa organização. Em seguida, o usuário digita o nome de domínio da sua organização.

Captura de tela do diagrama de fluxo de resgate de convite B2B do Microsoft Entra.

O utilizador é então redirecionado para o endpoint específico do seu inquilino, onde pode iniciar sessão com o seu endereço de email ou selecionar um fornecedor de identidade que configurou.

Como alternativa ao e-mail de convite ou ao URL comum de um aplicativo, forneça a um convidado um link direto para seu aplicativo ou portal. Primeiro, adicione o usuário convidado ao seu diretório por meio do do centro de administração do Microsoft Entra ou PowerShell. Em seguida, use qualquer uma das maneiras personalizáveis de implantar aplicativos para usuários, incluindo links de logon direto. Quando um convidado usa um link direto em vez do email de convite, o link continua a guiá-lo na experiência do consentimento pela primeira vez.

Nota

Um link direto é específico do locatário. Em outras palavras, ele inclui um ID de locatário ou domínio verificado para que o convidado possa ser autenticado em seu locatário, onde o aplicativo compartilhado está localizado. Eis alguns exemplos de ligações diretas com o contexto do inquilino:

  • Painel de acesso às aplicações: https://myapps.microsoft.com/?tenantid=<tenant id>
  • Painel de acesso de aplicativos para um domínio verificado: https://myapps.microsoft.com/<;verified domain>
  • Centro de gestão do Microsoft Entra: https://entra.microsoft.com/<tenant id>
  • Aplicativo individual: veja como usar um link de logon direto

Aqui estão algumas coisas a serem observadas sobre o uso de um link direto versus um e-mail de convite:

  • Aliases de e-mail: Os hóspedes que usam um alias do endereço de e-mail que foi convidado precisam de um convite por e-mail. (Um alias é outro endereço de e-mail associado a uma conta de e-mail.) O usuário deve selecionar o URL de resgate no e-mail de convite.

  • Objetos de contacto em conflito: O processo de resgate previne problemas de login quando um objeto de utilizador convidado entra em conflito com um objeto contacto no diretório. Sempre que você adiciona ou convida um convidado com um e-mail que corresponde a um contato existente, a propriedade proxyAddresses no objeto de usuário convidado é deixada vazia. Anteriormente, o ID Externo procurava apenas a propriedade proxyAddresses, por isso o resgate direto de links falhou quando não conseguiu encontrar uma correspondência. Agora, o External ID pesquisa tanto as propriedades proxyAddresses como as propriedades de e-mail convidado.

Processo de resgate através do e-mail de convite

Quando você adiciona um usuário convidado ao seu diretório usando o centro de administração do Microsoft Entra, um email de convite é enviado ao convidado. Também pode optar por enviar emails de convite quando estiver a usar o PowerShell para adicionar utilizadores convidados ao seu diretório. Aqui está uma descrição da experiência do convidado quando ele resgata o link no email.

  1. O convidado recebe um e-mail de convite da Microsoft Invitations em nome de <primary domain> <invites@<primary domain>.onmicrosoft.com>.
  2. O hóspede seleciona Aceitar convite no e-mail.
  3. O convidado usa suas próprias credenciais para entrar no seu diretório. Se o convidado não tiver uma conta que possa ser federada ao seu diretório e o recurso de código de acesso único (OTP) de email não estiver habilitado, o convidado será solicitado a criar uma conta pessoal da Microsoft (MSA). Consulte o fluxo de resgate do convite para detalhes.
  4. O convidado é guiado através da experiência de consentimento descrita na secção seguinte.

Fluxo de resgate de convites

Quando um usuário seleciona o link Aceitar convite em um de email de convite, a ID do Microsoft Entra resgata automaticamente o convite com base na ordem de resgate padrão:

Captura de tela mostrando o diagrama de fluxo de resgate.

  1. Microsoft Entra ID executa a descoberta baseada no utilizador para determinar se o utilizador já existe num tenant gerido pelo Microsoft Entra. (Contas Microsoft Entra não geridas não podem ser usadas para o fluxo de resgate.) Se o nome principal de utilizador (UPN) do utilizador corresponder tanto a uma conta Microsoft Entra existente como a um MSA pessoal, o utilizador é solicitado a escolher com que conta quer resgatar a conta.

  2. Se um administrador ativar a federação SAML/WS-Fed IdP, o Microsoft Entra ID verifica se o sufixo de domínio do utilizador corresponde ao domínio de um fornecedor de identidade SAML/WS-Fed configurado e redireciona o utilizador para o fornecedor de identidade pré-configurado.

  3. Se um administrador ativar a federação do Google, o ID do Microsoft Entra verifica se o sufixo do domínio do utilizador é gmail.com ou googlemail.com e redireciona o utilizador para o Google.

  4. O processo de resgate verifica se o usuário tem um MSA pessoal existente. Se o usuário já tiver um MSA existente, ele entrará com seu MSA existente.

  5. Depois que o diretório base do usuário é identificado, o usuário é enviado ao provedor de identidade correspondente para entrar.

  6. Se nenhum diretório pessoal for encontrado e o recurso de senha única de e-mail estiver habilitado para convidados, uma senha será enviada ao usuário por meio do e-mail convidado. O usuário recupera e insere essa senha na página de entrada do Microsoft Entra.

  7. Se nenhum diretório base for encontrado e a senha única de e-mail para convidados estiver desativada, o usuário será solicitado a criar um MSA de consumidor com o e-mail convidado. Apoiamos a criação de um MSA utilizando endereços de e-mail de trabalho em domínios não verificados no Microsoft Entra ID.

  8. Depois de se autenticar no provedor de identidade correto, o usuário é redirecionado para o Microsoft Entra ID para concluir a experiência de consentimento.

Resgate ajustável

O resgate configurável permite personalizar a ordem dos provedores de identidade apresentados aos hóspedes quando eles resgatam seus convites. Quando um convidado seleciona o link Aceitar convite , o ID do Microsoft Entra resgata automaticamente o convite com base na ordem padrão. Anule esta ordem alterando a ordem de resgate do fornecedor de identidade nas suas definições de acesso entre inquilinos.

Quando um convidado faz login numa fonte numa organização parceira pela primeira vez, vê a seguinte experiência de consentimento. O convidado só vê estas páginas de consentimento depois de iniciar sessão, e elas não são exibidas se o utilizador já as aceitou.

  1. O convidado analisa a página de permissões de avaliação que descreve a declaração de privacidade da organização convidada. Para continuar, o utilizador deve aceitar o uso das suas informações de acordo com as políticas de privacidade da organização convidada.

    Ao concordar com este pedido de consentimento, reconhece que certos elementos da sua conta são partilhados. Estes elementos incluem o seu nome, fotografia e endereço de email, bem como identificadores de diretório que a outra organização poderá usar para gerir melhor a sua conta e melhorar a sua experiência entre organizações.

    Captura de ecrã que mostra a página de revisão de permissões.

    Nota

    Para obter informações sobre como você, como administrador de locatário, pode vincular à declaração de privacidade da sua organização, consulte Como: Adicionar as informações de privacidade da sua organização no Microsoft Entra ID.

  2. Se os termos de utilização estiverem configurados, o convidado abre e revê os termos de uso, depois seleciona Aceitar.

    Captura de ecrã a mostrar os novos termos de utilização.

    Você pode configurar os termos de uso em .

  3. A menos que especificado de outra forma, o convidado é redirecionado para o painel de acesso Aplicativos, que lista os aplicativos que o convidado pode acessar.

    Captura de ecrã a mostrar o painel de acesso Aplicações.

No seu diretório, o valor Convite aceito do convidado muda para Sim. Se um MSA foi criado, a Origem do convidado mostra Conta Microsoft. Para obter mais informações sobre as propriedades da conta de usuário convidado, consulte Propriedades de um usuário de colaboração B2B do Microsoft Entra. Se vir um erro que requer o consentimento do administrador ao aceder a uma aplicação, veja como conceder consentimento de administrador às aplicações.

Configuração do processo de resgate automático

Pode querer resgatar automaticamente os convites para que os utilizadores não tenham de aceitar o pedido de consentimento quando os adiciona a outro tenant para colaboração B2B. Quando configura esta definição, o utilizador de colaboração B2B recebe um email de notificação que não requer qualquer ação da sua parte. Os utilizadores recebem o email de notificação diretamente e não precisam de aceder primeiro ao inquilino antes de receberem o email.

Para obter informações sobre como resgatar convites automaticamente, consulte Visão geral do acesso entre locatários e Configurar configurações de acesso entre locatários para colaboração B2B.

Próximos passos

  • Last updated on