Condividi tramite

Invitare gli utenti interni alla collaborazione B2B

  • Articolo

Si applica a: Cerchio verde con segno di spunta bianco. Tenant delle risorse Cerchio bianco con simbolo X grigio. Tenant esterni (Ulteriori informazioni)

Prima che fosse disponibile le funzione di collaborazione di Microsoft Entra B2B, le organizzazioni potevano collaborare con distributori, fornitori, fornitori e altri utenti ospiti configurando per loro delle credenziali interne. Chi ha utenti ospiti interni come questi può invitarli a utilizzare il servizio di collaborazione B2B. Questi utenti B2B ospiti potranno accedere utilizzando le proprie identità e credenziali, eliminando la necessità di gestire le password o il ciclo di vita dell'account.

L'invio di un invito a un account interno esistente consente di conservare l'ID oggetto, l'UPN, le appartenenze ai gruppi e le assegnazioni delle app dell'utente. Non è necessario eliminare manualmente e invitare nuovamente l'utente o riassegnare le risorse. Per invitare un utente si usa l'API di invito per trasferire insieme all'invito sia l'oggetto utente interno che l'indirizzo e-mail dell'utente ospite. Quando l'utente accetta l'invito il servizio B2B modifica l'oggetto utente interno esistente in un utente B2B. Da quel momento l'utente dovrà accedere ai servizi delle risorse sul cloud con le proprie credenziali B2B.

Alcune cose da considerare

  • Accesso alle risorse locali: Dopo che l'utente è stato invitato alla collaborazione B2B può comunque accedere alle risorse locali usando le proprie credenziali interne. È possibile evitarlo reimpostando o modificando la password dell'account interno. L'eccezione è rappresentata dall'autenticazione con codice di accesso monouso ricevuto via e-mail; se il metodo di autenticazione viene modificato in codice di accesso monouso l'utente non potrà più usare le proprie credenziali interne.

  • Fatturazione: Questa funzione non modifica l'attributo UserType dell'utente, quindi non cambia automaticamente il modello di fatturazione dell'utente nei prezzi External ID Monthly Active User (MAU). Per attivare i prezzi MAU per l'utente, modificare l'attributo UserType dell'utente in guest. Occorre inoltre tenere presente che il tenant di Microsoft Entra deve essere collegato a un abbonamento ad Azure per attivare la fatturazione MAU.

  • Teams: Quando l'utente accede a Teams con le proprie credenziali esterne, inizialmente il tenant non sarà disponibile nel selettore dei tenant di Teams. L'utente può accedere a Teams utilizzando un URL che contiene il contesto del tenant, ad esempio: https://teams.microsoft.com/?tenantId=<TenantId>. A quel punto il tenant sarà disponibile nel selettore dei tenant di Teams.

  • Utenti sincronizzati in locale: Per gli account utente sincronizzati in locale con il cloud, la directory locale rimane la fonte di autorità dopo che sono stati invitati a utilizzare il servizio di collaborazione B2B. Le eventuali modifiche all'account locale verranno sincronizzate con l'account sul cloud, comprese la disattivazione e l'eliminazione dell'account. Non è quindi possibile impedire all'utente di accedere al proprio account locale conservando il proprio account sul cloud semplicemente eliminando l'account locale. Si può invece impostare la password dell'account locale su un identificativo GUID casuale o su un altro valore sconosciuto.

Nota

In Microsoft Entra Connect Sync esiste una regola predefinita che scrive l'attributo onPremisesUserPrincipalName nell'oggetto utente. Poiché la presenza di questo attributo può impedire a un utente di accedere con credenziali esterne, blocchiamo le conversioni da interne a esterne per gli oggetti utente con questo attributo. Se si utilizza usa Microsoft Entra Connect e si desidera invitare utenti interni alla collaborazione B2B è necessario modificare la regola predefinita in modo che l'attributo onPremisesUserPrincipalName non venga scritto nell'oggetto utente.

Come invitare gli utenti interni alla collaborazione B2B

È possibile usare l'interfaccia di amministrazione di Microsoft Entra, PowerShell o l'API di invito per inviare un invito B2B a un utente interno. Ci sono alcuni aspetti da considerare:

  • Prima di invitare l'utente, verificare che la proprietà User.Mail dell'oggetto utente interno (la proprietà Email dell'utente nell'interfaccia di amministrazione di Microsoft Entra) sia impostata sull'indirizzo e-mail esterno che sarà utilizzato per la collaborazione B2B. Se l'utente interno ha già una casella di posta non è possibile modificare questa proprietà in un indirizzo e-mail esterno. È necessario aggiornare gli attributi nell'interfaccia di amministrazione di Exchange.

  • Quando un utente viene invitato riceve un invito via e-mail. Se si usa PowerShell o l'API di invito è possibile eliminare questa e-mail impostando SendInvitationMessage su False. A quel punto si può avvisare l'utente in un altro modo. Ulteriori informazioni sull'API di invito.

  • Quando l'utente riscatta l'invito, l'account che utilizza deve corrispondere al dominio nella proprietà User.Mail. In caso contrario alcuni servizi, come Teams, non riusciranno ad autenticare l'utente.

Utilizzare l'interfaccia di amministrazione di Microsoft Entra per inviare un invito B2B

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore di un provider di identità esterno.

  2. Passare a Identità>Utenti>Tutti gli utenti.

  3. Individuare l'utente nell'elenco o utilizzare la casella di ricerca. Selezionare l'utente.

  4. Nella scheda Panoramica, in Il mio feed, selezionare Converti in utente esterno .

    Screenshot della scheda Panoramica del profilo utente con scheda per la collaborazione B2B.

    Nota

    Se la scheda suggerisce "Inviare di nuovo l'invito B2B per questo utente o ripristinare il suo stato di riscatto" significa che l'utente è già stato invitato a utilizzare credenziali esterne per la collaborazione B2B.

  5. Inserire un indirizzo e-mail esterno e selezionare Invia.

    Screenshot che mostra la pagina di conversione in utente esterno.

    Nota

    Se l'opzione non è disponibile, verificare che la proprietà E-mail dell'utente sia impostata sull'indirizzo e-mail esterno da usare per la collaborazione B2B.

  6. Viene visualizzato un messaggio di conferma e l'utente riceverà un invito via e-mail. L'utente può quindi riscattare l'invito utilizzando le proprie credenziali esterne.

Utilizzare PowerShell per inviare un invito B2B

È necessario il modulo Microsoft Graph PowerShell più recente. Usare il seguente comando per aggiornare al modulo più recente e invitare l'utente interno alla collaborazione B2B:

Update-Module Microsoft.Graph
Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee' 
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapplications.microsoft.com" -InvitedUser $msGraphUser

Usare l'API di invito per inviare un invito B2B

L'esempio seguente mostra come richiamare l'API di invito per invitare un utente interno come utente B2B.

POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
ContentType: application/json
{
    "invitedUserEmailAddress": "<<external email>>",
    "sendInvitationMessage": true,
    "invitedUserMessageInfo": {
        "messageLanguage": "en-US",
        "ccRecipients": [
            {
                "emailAddress": {
                    "name": null,
                    "address": "<<optional additional notification email>>"
                }
            }
        ],
        "customizedMessageBody": "<<custom message>>"
    },
    "inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=",
    "invitedUser": {
        "id": "<<ID for the user you want to convert>>"
    }
}

La risposta all'API è la stessa che si ottiene quando si invita un nuovo utente ospite nella directory.

Passaggi successivi