Einladen von internen Benutzern zur B2B-Zusammenarbeit

Gilt für: Mitarbeiter(-)Mandanten (weitere Informationen)

Vor der Verfügbarkeit von Microsoft Entra B2B-Zusammenarbeit konnten Organisationen mit Distributoren, Lieferanten, Lieferanten und anderen Gastbenutzern zusammenarbeiten, indem sie interne Anmeldeinformationen für sie einrichten. Wenn Sie solche internen Gastbenutzer haben, können Sie sie zur Verwendung von B2B Collaboration einladen. Diese B2B-Gastbenutzer können sich mit ihren eigenen Identitäten und Anmeldeinformationen anmelden, sodass die Kennwortwartung oder die Verwaltung des Kontolebenszyklus nicht erforderlich ist.

Durch das Senden einer Einladung an ein vorhandenes internes Konto können Sie die Objekt-ID des Benutzers, den Benutzerprinzipalnamen (UPN), Gruppenmitgliedschaften und App-Zuweisungen beibehalten. Sie müssen den Benutzer nicht manuell löschen und erneut einladen oder Ressourcen neu zuweisen. Um den Benutzer einzuladen, verwenden Sie die Einladungs-API, um sowohl das interne Benutzerobjekt als auch die E-Mail-Adresse des Gastbenutzers zusammen mit der Einladung zu übergeben. Wenn der Benutzer die Einladung annimmt, stellt der B2B-Dienst das vorhandene interne Benutzerobjekt auf einen B2B-Benutzer um. In Zukunft muss sich der Benutzer mit B2B-Anmeldeinformationen bei Cloudressourcendiensten anmelden.

Zu beachtende Aspekte

• Zugriff auf lokale Ressourcen: Nachdem der Benutzer zur B2B-Zusammenarbeit eingeladen wurde, kann er seine internen Anmeldeinformationen weiterhin für den Zugriff auf lokale Ressourcen verwenden. Dies können Sie verhindern, indem Sie das Kennwort für das interne Konto zurücksetzen oder ändern. Eine Ausnahme ist die Authentifizierung mit Einmalkennung per E-Mail: Wenn die Authentifizierungsmethode des Benutzers in die Einmalkennung geändert wird, kann er seine internen Anmeldeinformationen nicht mehr verwenden.

• Abrechnung: Dieses Feature ändert den UserType für den Benutzer nicht, sodass das Abrechnungsmodell des Benutzers nicht automatisch auf die Preise für monatliche aktive Benutzer (MAU) der externen ID umgestellt wird. Ändern Sie den Benutzertyp für den Benutzer in guest, um das MAU-Abrechnungsmodell zu aktivieren. Beachten Sie außerdem, dass Ihr Microsoft Entra Mandant mit einem Azure-Abonnement verknüpft sein muss, um die MAU-Abrechnung zu aktivieren.

• Teams: Wenn der Benutzer mit seinen externen Anmeldeinformationen auf Teams zugreift, ist sein Mandant zunächst nicht in der Teams-Mandantenauswahl verfügbar. Der Benutzer kann mithilfe einer URL auf Teams zugreifen, die den Mandantenkontext enthält (z. B. https://teams.microsoft.com/?tenantId=<TenantId>). Danach wird der Mandant in der Teams-Mandantenauswahl verfügbar.

• Lokale synchronisierte Benutzer: Bei Benutzerkonten, die zwischen der lokalen und der Cloud synchronisiert werden, bleibt das lokale Verzeichnis die Quelle der Autorität, nachdem sie zur Verwendung der B2B-Zusammenarbeit eingeladen wurden. Alle Änderungen, die Sie am lokalen Konto vornehmen, werden mit dem Cloudkonto synchronisiert, z. B. das Deaktivieren oder Löschen des Kontos. Daher können Sie nicht verhindern, dass sich der Benutzer beim lokalen Konto anmeldet, während es sein Cloudkonto beibehält, indem Sie das lokale Konto löschen. Sie können aber das Kennwort für das lokale Konto auf eine zufällige GUID oder einen anderen unbekannten Wert festlegen.

Gewusst wie: Einladen von internen Benutzern zur B2B-Zusammenarbeit

Sie können die Microsoft Entra Admin Center, PowerShell oder die Einladungs-API verwenden, um eine B2B-Einladung an den internen Benutzer zu senden. Hinweise, die Sie beachten sollten:

• Bevor Sie den Benutzer einladen, stellen Sie sicher, dass die eigenschaft User.Mail des internen Benutzerobjekts (die Emaileigenschaft des Benutzers in der Microsoft Entra Admin Center) auf die externe E-Mail-Adresse festgelegt ist, die sie für die B2B-Zusammenarbeit verwenden. Wenn interne Benutzer*innen über ein bereits vorhandenes Postfach verfügen, kann diese Eigenschaft nicht in eine externe E-Mail-Adresse geändert werden. Sie müssen ihre Attribute im Exchange Admin Center aktualisieren.

• Wenn Sie den Benutzer einladen, erhält dieser eine Einladung per E-Mail. Wenn Sie PowerShell oder die Einladungs-API verwenden, können Sie diese E-Mail unterdrücken, indem Sie SendInvitationMessage auf False festlegen. Anschließend können Sie den Benutzer auf andere Weise benachrichtigen. Erfahren Sie mehr über die Einladungs-API.

• Wenn der Benutzer die Einladung akzeptiert, muss das verwendete Konto mit der Domäne in der Eigenschaft User.Mail übereinstimmen. Andernfalls kann der Benutzer von einigen Diensten, wie z. B. Teams, nicht authentifiziert werden.

Verwenden Sie das Microsoft Entra Admin Center, um eine B2B-Einladung zu senden.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als External Identity Provider Administrator an.

2. Navigieren Sie zu Entra ID>Users.

3. Suchen Sie den Benutzer in der Liste, oder verwenden Sie das Suchfeld. Wählen Sie dann den Benutzer aus.

4. Wählen Sie auf der Registerkarte " Übersicht " unter "Mein Feed"die Option "In externen Benutzer konvertieren" aus.

   

   Hinweis

   Wenn die Karte besagt, „Die Einladung dieses B2B-Benutzers erneut senden oder seinen Einlösungsstatus zurücksetzen“, dann wurde der Benutzer bereits eingeladen, externe Zugangsdaten für die Zusammenarbeit im B2B-Bereich zu nutzen.

5. Fügen Sie eine externe E-Mail-Adresse hinzu, und wählen Sie "Senden" aus.

   

   Hinweis

   Wenn die Option nicht verfügbar ist, stellen Sie sicher, dass die E-Mail-Eigenschaft des Benutzers auf die externe E-Mail-Adresse festgelegt ist, die sie für die B2B-Zusammenarbeit verwenden sollten.

6. Es wird eine Bestätigungsmeldung angezeigt, und der Benutzer erhält eine Einladung per E-Mail. Der Benutzer kann die Einladung anschließend unter Verwendung der externen Anmeldeinformationen akzeptieren.

Verwenden von PowerShell zum Senden einer B2B-Einladung

Sie benötigen das latest Microsoft Graph PowerShell-Modul. Verwenden Sie den folgenden Befehl, um ein Update auf das neueste Modul durchzuführen und den internen Benutzer bzw. die interne Benutzerin zu B2B Collaboration einzuladen:

Update-Module Microsoft.Graph
Connect-MgGraph -Scopes "User.Invite.All","User.ReadWrite.All"
$msGraphUser = Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee' 
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapps.microsoft.com" -InvitedUser $msGraphUser

Verwenden der Einladungs-API zum Senden einer B2B-Einladung

Das folgende Beispiel veranschaulicht, wie Sie die Einladungs-API aufrufen, um einen internen Benutzer als B2B-Benutzer einzuladen.

POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
Content-Type: application/json
{
    "invitedUserEmailAddress": "<<external email>>",
    "sendInvitationMessage": true,
    "invitedUserMessageInfo": {
        "messageLanguage": "en-US",
        "ccRecipients": [
            {
                "emailAddress": {
                    "name": null,
                    "address": "<<optional additional notification email>>"
                }
            }
        ],
        "customizedMessageBody": "<<custom message>>"
    },
    "inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=<tenant-id>",
    "invitedUser": {
        "id": "<<ID for the user you want to convert>>"
    }
}

Die Antwort auf die API entspricht der Antwort, die Sie erhalten, wenn Sie einen neuen Gastbenutzer für das Verzeichnis einladen.

Verwandte Inhalte

• Hinzufügen und Einladen von Gastbenutzern
• Anpassen von Einladungen mithilfe der API
• Einlösen von B2B Collaboration-Einladungen