Convidar usuários internos para Colaboração B2B

Aplica-se a: Círculo verde com um símbolo de marca de seleção branca que indica que o conteúdo a seguir se aplica aos locatários da força de trabalho. Locatários da força de trabalho (saiba mais)

Antes da disponibilidade da colaboração B2B do Microsoft Entra, as organizações podiam colaborar com distribuidores, fornecedores, parceiros e outros usuários convidados configurando credenciais internas para eles. Se você tiver usuários convidados internos como esses, poderá convidá-los para usar a Colaboração B2B. Esses usuários convidados B2B podem entrar usando suas próprias identidades e credenciais, eliminando a necessidade de manutenção de senha ou gerenciamento do ciclo de vida da conta.

O envio de um convite para uma conta interna existente permite que você mantenha o ID do objeto, o nome principal do usuário (UPN), as associações de grupo e as atribuições de aplicativos desse usuário. Você não precisa excluir e reinvidir manualmente o usuário ou reatribuir recursos. Para convidar o usuário, use a API de convite para passar o objeto de usuário interno e o endereço de email do usuário convidado junto com o convite. Quando o usuário aceita o convite, o serviço B2B altera o objeto de usuário interno existente para um usuário B2B. Daqui para frente, o usuário deve entrar nos serviços de recursos de nuvem usando credenciais B2B.

Itens a serem considerados

  • Acesso a recursos locais: depois que o usuário é convidado para a colaboração B2B, ele ainda pode usar suas credenciais internas para acessar recursos locais. Você pode impedir isso redefinindo ou alterando a senha na conta interna. A exceção é enviar um email de autenticação de senha de uso único; se o método de autenticação do usuário for alterado para senha de uso único, ele não poderá mais usar as credenciais internas dele.

  • Faturamento: esse recurso não altera o UserType do usuário, portanto, não muda automaticamente o modelo de cobrança do usuário para ID externo de usuário ativo mensal (MAU). Para ativar o preço de MAU do usuário, altere o UserType dele para guest. Observe também que seu locatário do Microsoft Entra deve estar vinculado a uma assinatura do Azure para ativar a cobrança do MAU.

  • Teams: Quando o usuário acessa o Teams usando suas credenciais externas, seu tenant não estará disponível inicialmente no tenant picker do Teams. O usuário pode acessar o Teams usando uma URL que contém o contexto do locatário, por exemplo: https://teams.microsoft.com/?tenantId=<TenantId>. Depois disso, o locatário ficará disponível no seletor de locatários do Teams.

  • Usuários sincronizados locais: para contas de usuário que são sincronizadas entre o local e a nuvem, o diretório local continua sendo a fonte de autoridade depois que eles são convidados a usar a colaboração B2B. As alterações feitas na conta local serão sincronizadas com a conta de nuvem, incluindo a desabilitação ou a exclusão da conta. Portanto, você não pode impedir que o usuário entre em sua conta local, mantendo sua conta de nuvem excluindo a conta local. Em vez disso, você pode definir a senha da conta local como um GUID aleatório ou outro valor desconhecido.

Observação

No Microsoft Entra Connect Sync, há uma regra padrão que grava o atributo onPremisesUserPrincipalName no objeto de usuário. Como a presença desse atributo pode impedir que um usuário entre usando credenciais externas, bloqueamos conversões internas para externas para objetos de usuários com esse atributo. Se você estiver usando Microsoft Entra Connect e quiser poder convidar usuários internos para a colaboração B2B, precisará modificar a regra padrão para que o atributo onPremisesUserPrincipalName não seja gravado no objeto de usuário.

Como convidar usuários internos para Colaboração B2B

Você pode usar o Microsoft Entra admin center, o PowerShell ou a API de convite para enviar um convite B2B ao usuário interno. Algumas coisas a serem observadas:

  • Antes de convidar o usuário, verifique se a propriedade User.Mail do objeto de usuário interno (a propriedade Email do usuário no Microsoft Entra admin center) está definida como o endereço de email externo que ele usará para colaboração B2B. Se o usuário interno tem uma caixa de correio existente, você não poderá alterar esta propriedade para um endereço de email externo. Você deve atualizar seus atributos no Exchange admin center.

  • Quando você convida o usuário, um convite é enviado ao usuário por email. Se você estiver usando o PowerShell ou a API de convite, poderá suprimir esse email definindo SendInvitationMessage como False. Em seguida, você poderá notificar o usuário de outra maneira. Saiba mais sobre a API de convite.

  • Quando o usuário resgatar o convite, a conta que ele está usando deverá corresponder ao domínio na propriedade User.Mail. Caso contrário, alguns serviços, como o Teams, não poderão autenticar o usuário.

Use o Microsoft Entra admin center para enviar um convite B2B

  1. Entre no Microsoft Entra admin center como pelo menos um External Identity Provider Administrator.

  2. Navegue até Entra ID>Usuários.

  3. Localize o usuário na lista ou use a caixa de pesquisa. Em seguida, selecione o usuário.

  4. Na guia Visão Geral , em Meu Feed, selecione Converter em usuário externo.

    Captura de tela de uma guia Visão geral do perfil do usuário no centro de administração do Microsoft Entra, com a ação Converter em usuário externo mostrada no cartão de colaboração B2B.

    Observação

    Se o cartão indicar "Reenviar o convite deste usuário B2B ou redefinir seu status de resgate", isso significa que o usuário já foi convidado a usar credenciais externas para colaboração B2B.

  5. Adicione um endereço de email externo e selecione Enviar.

    Captura de tela do painel Converter em usuário externo em que um endereço de email externo é inserido antes de enviar o convite.

    Observação

    Se a opção não estiver disponível, verifique se a propriedade Email do usuário está definida como o endereço de email externo que ele deve usar para colaboração B2B.

  6. Uma mensagem de confirmação é exibida e um convite é enviado ao usuário por email. Em seguida, o usuário poderá resgatar o convite usando suas credenciais externas.

Usar o PowerShell para enviar um convite B2B

Você precisará do módulo latest Microsoft Graph PowerShell. Use o seguinte comando para atualizar para o módulo mais recente módulo e convidar o usuário interno para a Colaboração B2B:

Update-Module Microsoft.Graph
Connect-MgGraph -Scopes "User.Invite.All","User.ReadWrite.All"
$msGraphUser = Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee' 
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapps.microsoft.com" -InvitedUser $msGraphUser

Usar a API de convite para enviar um convite B2B

O exemplo a seguir ilustra como chamar a API de convite para convidar um usuário interno como um usuário B2B.

POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
Content-Type: application/json
{
    "invitedUserEmailAddress": "<<external email>>",
    "sendInvitationMessage": true,
    "invitedUserMessageInfo": {
        "messageLanguage": "en-US",
        "ccRecipients": [
            {
                "emailAddress": {
                    "name": null,
                    "address": "<<optional additional notification email>>"
                }
            }
        ],
        "customizedMessageBody": "<<custom message>>"
    },
    "inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=<tenant-id>",
    "invitedUser": {
        "id": "<<ID for the user you want to convert>>"
    }
}

A resposta à API é a mesma resposta que você obtém ao convidar um novo usuário para o diretório.

Conteúdo relacionado

  • Last updated on