Definir configurações de colaboração externa para B2B no ID externo Microsoft Entra

Aplica-se a: Círculo verde com um visto branco que indica que o conteúdo a seguir se aplica aos inquilinos da força de trabalho. Inquilinos da força de trabalho (saiba mais)

As configurações de colaboração externa permitem especificar quais funções em sua organização podem convidar usuários externos para colaboração B2B. Essas configurações também incluem opções para permitir ou bloquear domínios específicos e opções para restringir o que os usuários convidados externos podem ver no diretório do Microsoft Entra. Também estão disponíveis as seguintes opções:

  • Determinar o acesso do usuário convidado: a ID Externa do Microsoft Entra permite restringir o que os usuários convidados externos podem ver no diretório do Microsoft Entra. Por exemplo, você pode limitar a visualização de membros de grupos por usuários convidados ou permitir que os convidados visualizem apenas suas próprias informações de perfil.

  • Especifique quem pode convidar convidados: por padrão, todos os usuários em sua organização, incluindo usuários convidados de colaboração B2B, podem convidar usuários externos para colaboração B2B. Se quiser limitar a capacidade de enviar convites, pode ativar ou desativar convites para todos ou limitar os convites a determinadas funções.

  • Habilitar a inscrição de autoatendimento de convidado por meio de fluxos de usuário: para aplicativos que você cria, você pode criar fluxos de usuário que permitem que um usuário se inscreva em um aplicativo e crie uma nova conta de convidado. Você pode habilitar o recurso em suas configurações de colaboração externa e, em seguida , adicionar um fluxo de usuário de inscrição de autoatendimento ao seu aplicativo.

  • Permitir ou bloquear domínios: você pode usar restrições de colaboração para permitir ou negar convites para os domínios especificados. Para obter detalhes, consulte Permitir ou bloquear domínios.

Para colaboração B2B com outras organizações do Microsoft Entra, também deve rever as suas configurações de acesso entre locatários para garantir a colaboração B2B de entrada e saída e definir o alcance a utilizadores, grupos e aplicações específicos.

Nota

A Microsoft começou a implementar uma atualização para a experiência de login de utilizadores convidados para colaboração B2B em julho de 2025, tendo sido concluída no final de 2025. Com esta atualização, os utilizadores convidados são redirecionados para a página de login da sua própria organização para fornecer credenciais. Os usuários convidados veem a marca e o ponto de extremidade de URL de seu locatário residencial. Após autenticação bem-sucedida na sua própria organização, os utilizadores convidados são devolvidos à sua organização para completar o login. No exemplo a seguir, a marca da empresa Woodgrove Groceries aparece à esquerda. O exemplo à direita exibe a marca personalizada para o locatário doméstico do usuário.

Captura de tela mostrando o fluxo de login do usuário convidado.

Definir definições no portal

No centro de administração Microsoft Entra, precisa de uma função que possa atualizar definições de colaboração externas, como Administrador Global ou Administrador de Fornecedor de Identidade Externo. Ao usar o Microsoft Graph, podem estar disponíveis funções menos privilegiadas para definições individuais. Veja Configurar definições com o Microsoft Graph mais à frente neste artigo.

Para configurar o acesso de usuário convidado

  1. Entre no centro de administração do Microsoft Entra.

  2. Navegue até Entra ID>External Identities>Configurações de colaboração externa.

  3. Em Acesso de usuário convidado, escolha o nível de acesso que você deseja que os usuários convidados tenham:

    Captura de tela mostrando as configurações de acesso do usuário convidado.

    • Os usuários convidados têm o mesmo acesso que os membros (mais inclusivos): essa opção oferece aos convidados o mesmo acesso aos recursos e dados de diretório do Microsoft Entra que os usuários membros.

    • Os usuários convidados têm acesso limitado a propriedades e associações de objetos de diretório: (Padrão) Essa configuração bloqueia os convidados de determinadas tarefas de diretório, como enumerar usuários, grupos ou outros recursos de diretório. Os hóspedes podem ver a associação de todos os grupos não ocultos. Saiba mais sobre as permissões de convidado padrão.

    • O acesso de usuário convidado é restrito a propriedades e associações de seus próprios objetos de diretório (mais restritivos): com essa configuração, os convidados podem acessar apenas seus próprios perfis. Os hóspedes não têm permissão para ver os perfis, grupos ou associações de grupos de outros usuários.

Para definir as configurações de convite de convidado

  1. Entre no centro de administração do Microsoft Entra.

  2. Navegue até Entra ID>External Identities>Configurações de colaboração externa.

  3. Em Configurações de convite de convidado, escolha as configurações apropriadas:

    Captura de ecrã a mostrar as definições de convite de convidado.

    • Qualquer pessoa na organização pode convidar usuários convidados, incluindo convidados e não administradores (mais inclusivos): para permitir que convidados na organização convidem outros convidados, incluindo usuários que não são membros de uma organização, selecione este botão de opção.
    • Os usuários membros e os usuários atribuídos a funções de administrador específicas podem convidar usuários convidados, incluindo convidados com permissões de membro: para permitir que usuários membros e usuários com funções de administrador específicas convidem convidados, selecione este botão de opção.
    • Somente os utilizadores atribuídos a funções de administrador específicas podem convidar utilizadores convidados: Para permitir que apenas os utilizadores com as funções de Administrador de Utilizadores ou Convidador de Convidados possam convidar convidados, selecione este botão de opção.
    • Ninguém na organização pode convidar usuários convidados, incluindo administradores (mais restritivos): para impedir que todos na organização convidem convidados, selecione este botão de opção.

Para configurar o registo autoatendível para convidados

  1. Entre no centro de administração do Microsoft Entra.

  2. Navegue até Entra ID>External Identities>Configurações de colaboração externa.

  3. Em Habilitar inscrição de autoatendimento de convidado por meio de fluxos de usuário, selecione Sim se quiser criar fluxos de usuário que permitam que os usuários se inscrevam em aplicativos. Para obter mais informações sobre essa configuração, consulte Adicionar um fluxo de usuário de inscrição pessoal a um aplicativo.

    Captura de ecrã a mostrar a configuração de registo de autoatendimento através de fluxos de utilizador.

Para definir as configurações de ausência do usuário externo

  1. Entre no centro de administração do Microsoft Entra.

  2. Navegue até Entra ID>External Identities>Configurações de colaboração externa.

  3. Em Configurações de saída do usuário externo, pode controlar se os usuários externos podem excluir-se da sua organização.

    • Sim: os usuários podem sair da própria organização sem a aprovação do seu administrador ou contato de privacidade.
    • Não: os usuários não podem sair da sua organização. Eles veem uma mensagem orientando-os a entrar em contato com seu administrador ou contato de privacidade para solicitar a remoção da sua organização.

    Importante

    Você pode configurar as definições de saída do utilizador externo somente se tiver adicionado suas informações de privacidade ao tenant do Microsoft Entra. Caso contrário, essa configuração não estará disponível.

    Captura de tela mostrando as configurações de saída do usuário externo no portal.

Para configurar restrições de colaboração (permitir ou bloquear domínios)

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. Esta prática ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência ou quando você não pode usar uma função existente.

  1. Entre no centro de administração do Microsoft Entra.

  2. Navegue até Entra ID>External Identities>Configurações de colaboração externa.

  3. Em Restrições de colaboração, você pode escolher se deseja permitir ou negar convites para os domínios especificados e inserir nomes de domínio específicos nas caixas de texto. Para vários domínios, insira cada domínio em uma nova linha. Para obter mais informações, consulte Permitir ou bloquear convites para usuários B2B de organizações específicas.

    Captura de ecrã a mostrar as definições de restrições de colaboração.

Definir definições com o Microsoft Graph

As configurações de colaboração externa podem ser definidas usando a API do Microsoft Graph:

  • Para as restrições de acesso de utilizador convidado e as restrições de convite de convidado, utilize o tipo de recurso *authorizationPolicy*.
  • Para a definição Ativar registo de autoatendimento de convidados através de fluxos de utilizador, utilize o tipo de recurso authenticationFlowsPolicy.
  • Para Configurações de saída de usuário externo, use o tipo de recurso externalidentitiespolicy.
  • Para as configurações de código de acesso único por email, agora na página Todos os provedores de identidade no centro de administração do Microsoft Entra, utilize o tipo de recurso emailAuthenticationMethodConfiguration.

Atribuir a função Guest Inviter a um usuário

Com a função Guest Inviter , você pode dar aos usuários individuais a capacidade de convidar convidados sem atribuir-lhes uma função de administrador de privilégios mais altos. Utilizadores com o papel de Convite de Visitante podem convidar convidados mesmo quando a opção Apenas utilizadores atribuídos a papéis administrativos específicos podem convidar utilizadores visitantes está selecionada (em Configurações de convite de visitantes).

Veja um exemplo que mostra como usar o Microsoft Graph PowerShell para adicionar um usuário à Guest Inviter função:


Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

Logs de login para usuários B2B

Quando um utilizador B2B entra num inquilino de recursos para colaborar, um registo de entrada é gerado tanto no inquilino de origem como no inquilino de recursos. Esses logs incluem informações como o aplicativo que está sendo usado, endereços de email, nome do locatário e ID do locatário para o locatário doméstico e o locatário do recurso.

Próximos passos

Consulte os seguintes artigos sobre a colaboração B2B do Microsoft Entra:

  • Last updated on