Condividi tramite

Invitare gli utenti interni alla collaborazione B2B

Si applica a: un cerchio verde con un simbolo di spunta bianco, che indica che il contenuto seguente si applica agli inquilini della forza lavoro. Inquilini della forza lavoro (altre informazioni)

Prima della disponibilità di Microsoft Entra Collaborazione B2B, le organizzazioni potevano collaborare con distributori, fornitori, venditori e altri utenti guest configurando per loro delle credenziali interne. Chi ha utenti ospiti interni come questi può invitarli a utilizzare il servizio di collaborazione B2B. Questi utenti guest B2B possono accedere usando le proprie identità e credenziali, eliminando la necessità di manutenzione delle password o della gestione del ciclo di vita dell'account.

L'invio di un invito a un account interno esistente consente di mantenere l'ID oggetto dell'utente, il nome dell'entità utente (UPN), le appartenenze ai gruppi e le assegnazioni di app. Non è necessario eliminare e reinvitare manualmente l'utente o riassegnare le risorse. Per invitare l'utente, usare l'API di invito per passare sia l'oggetto utente interno che l'indirizzo di posta elettronica dell'utente guest insieme all'invito. Quando l'utente accetta l'invito il servizio B2B modifica l'oggetto utente interno esistente in un utente B2B. In futuro, l'utente deve accedere ai servizi delle risorse cloud usando le credenziali B2B.

Alcune cose da considerare

  • Accesso alle risorse locali: dopo che l'utente è stato invitato a Collaborazione B2B, può comunque usare le credenziali interne per accedere alle risorse locali. È possibile evitarlo reimpostando o modificando la password dell'account interno. L'eccezione è rappresentata dall'autenticazione con codice di accesso monouso ricevuto via e-mail; se il metodo di autenticazione viene modificato in codice di accesso monouso l'utente non potrà più usare le proprie credenziali interne.

  • Fatturazione: questa funzionalità non modifica il UserType dell'utente, quindi non passa automaticamente al modello di fatturazione basato sui prezzi per utente attivo mensile (MAU) con ID esterno. Per attivare i prezzi MAU per l'utente, modificare l'attributo UserType dell'utente in guest. Si noti anche che il tenant Microsoft Entra deve essere collegato a una sottoscrizione Azure per attivare la fatturazione MAU.

  • Teams: quando l'utente accede a Teams usando le credenziali esterne, il tenant non sarà disponibile inizialmente nella selezione tenant di Teams. L'utente può accedere a Teams utilizzando un URL che contiene il contesto del tenant, ad esempio: https://teams.microsoft.com/?tenantId=<TenantId>. A quel punto il tenant sarà disponibile nel selettore dei tenant di Teams.

  • Utenti sincronizzati in locale: per gli account utente sincronizzati tra l'ambiente locale e il cloud, la directory locale rimane l'origine dell'autorità dopo che vengono invitati a utilizzare la collaborazione B2B. Le eventuali modifiche all'account locale verranno sincronizzate con l'account sul cloud, comprese la disattivazione e l'eliminazione dell'account. Pertanto, non è possibile impedire all'utente di accedere al proprio account locale mantenendo l'account cloud eliminando l'account locale. Si può invece impostare la password dell'account locale su un identificativo GUID casuale o su un altro valore sconosciuto.

Nota

In Microsoft Entra Connect Sync è presente una regola predefinita che scrive l'attributo onPremisesUserPrincipalName nell'oggetto utente. Poiché la presenza di questo attributo può impedire a un utente di accedere con credenziali esterne, blocchiamo le conversioni da interne a esterne per gli oggetti utente con questo attributo. Se si usa Microsoft Entra Connect e si vuole essere in grado di invitare utenti interni alla collaborazione B2B, è necessario modificare la regola predefinita quindi l'attributo onPremisesUserPrincipalName non viene scritto nell'oggetto utente.

Come invitare gli utenti interni alla collaborazione B2B

È possibile usare il Interfaccia di amministrazione di Microsoft Entra, PowerShell o l'API di invito per inviare un invito B2B all'utente interno. Ci sono alcuni aspetti da considerare:

  • Prima di invitare l'utente, assicurarsi che la proprietà User.Mail dell'oggetto utente interno (la proprietà Email nell'Interfaccia di amministrazione di Microsoft Entra) sia impostata sull'indirizzo di posta elettronica esterno che useranno per collaborazione B2B. Se l'utente interno ha già una casella di posta non è possibile modificare questa proprietà in un indirizzo e-mail esterno. È necessario aggiornare gli attributi nel interfaccia di amministrazione di Exchange.

  • Quando un utente viene invitato riceve un invito via e-mail. Se si usa PowerShell o l'API di invito è possibile eliminare questa e-mail impostando SendInvitationMessage su False. A quel punto si può avvisare l'utente in un altro modo. Altre informazioni sull'API di invito.

  • Quando l'utente riscatta l'invito, l'account che utilizza deve corrispondere al dominio nella proprietà User.Mail. In caso contrario alcuni servizi, come Teams, non riusciranno ad autenticare l'utente.

Usare il Interfaccia di amministrazione di Microsoft Entra per inviare un invito B2B

  1. Accedere al centro di amministrazione Microsoft Entra almeno in qualità di Amministratore provider di identità esterno.

  2. Navigare fino a Entra ID>Users.

  3. Individuare l'utente nell'elenco o utilizzare la casella di ricerca. Selezionare l'utente.

  4. Nella scheda Panoramica , in Feed personale, selezionare Converti in utente esterno.

    Screenshot di una scheda Panoramica di un profilo utente nel Centro di amministrazione di Microsoft Entra, con l'azione Converti in utente esterno visualizzata nella card di collaborazione B2B.

    Nota

    Se la scheda dice "Inviare nuovamente l'invito dell'utente B2B o reimpostare lo stato di riscatto", l'utente è già stato invitato a usare le credenziali esterne per la collaborazione B2B.

  5. Aggiungere un indirizzo di posta elettronica esterno e selezionare Invia.

    Screenshot del riquadro Converti in utente esterno in cui viene immesso un indirizzo di posta elettronica esterno prima di inviare l'invito.

    Nota

    Se l'opzione non è disponibile, assicurarsi che la proprietà Email dell'utente sia impostata sull'indirizzo di posta elettronica esterno da usare per collaborazione B2B.

  6. Viene visualizzato un messaggio di conferma e l'utente riceverà un invito via e-mail. L'utente può quindi riscattare l'invito utilizzando le proprie credenziali esterne.

Utilizzare PowerShell per inviare un invito B2B

È necessario il modulo più recente di Microsoft Graph PowerShell. Usare il seguente comando per aggiornare al modulo più recente e invitare l'utente interno alla collaborazione B2B:

Update-Module Microsoft.Graph
Connect-MgGraph -Scopes "User.Invite.All","User.ReadWrite.All"
$msGraphUser = Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee' 
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapps.microsoft.com" -InvitedUser $msGraphUser

Usare l'API di invito per inviare un invito B2B

L'esempio seguente mostra come richiamare l'API di invito per invitare un utente interno come utente B2B.

POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
Content-Type: application/json
{
    "invitedUserEmailAddress": "<<external email>>",
    "sendInvitationMessage": true,
    "invitedUserMessageInfo": {
        "messageLanguage": "en-US",
        "ccRecipients": [
            {
                "emailAddress": {
                    "name": null,
                    "address": "<<optional additional notification email>>"
                }
            }
        ],
        "customizedMessageBody": "<<custom message>>"
    },
    "inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=<tenant-id>",
    "invitedUser": {
        "id": "<<ID for the user you want to convert>>"
    }
}

La risposta all'API è la stessa che si ottiene quando si invita un nuovo utente ospite nella directory.

Contenuti correlati

  • Last updated on