Sdílet prostřednictvím

Využití pozvánky ke spolupráci B2B

  • Článek

Platí pro: Zelený kruh s bílým symbolem zaškrtnutí. Pracovní tenanti Bílý kruh se šedým symbolem X. Externí tenanti (další informace)

Tento článek popisuje, jak můžou uživatelé typu host přistupovat k vašim prostředkům, a proces souhlasu, se kterým se setkávají. Pokud hostu pošlete e-mail s pozvánkou, obsahuje pozvánka odkaz, který může host uplatnit pro přístup k vaší aplikaci nebo portálu. E-mail s pozvánkou je jen jedním ze způsobů, jak mohou hosté přistupovat k vašim prostředkům. Můžete také přidat hosty do adresáře a poskytnout jim přímý odkaz na portál nebo aplikaci, kterou chcete sdílet. Bez ohledu na způsob, který používají, se hosté řídí procesem prvního souhlasu. Tento proces zajistí, že vaši hosté souhlasí s podmínkami ochrany osobních údajů a přijmou všechny podmínky použití , které jste nastavili.

Když do adresáře přidáte uživatele typu host, uživatelský účet typu host má stav souhlasu (zobrazitelný v PowerShellu), který je původně nastavený na PendingAcceptance. Toto nastavení zůstane, dokud host přijme vaši pozvánku a souhlasí s vašimi zásadami ochrany osobních údajů a podmínkami použití. Potom se stav souhlasu změní na Akceptované a stránky souhlasu se už hostu nezobrazují.

Důležité

  • Od 12. července 2021, pokud zákazníci Microsoft Entra B2B nastavili nové integrace Google pro použití s samoobslužnou registraci pro své vlastní nebo obchodní aplikace, ověřování s identitami Google nebude fungovat, dokud se ověřování nepřesune do systémových webových zobrazení. Další informace.
  • Od 30. září 2021 Google ukončuje podporu přihlášení prostřednictvím vložených webových zobrazení. Pokud vaše aplikace ověřují uživatele pomocí vloženého webového zobrazení a používáte federaci Google s Azure AD B2C nebo Microsoft Entra B2B pro pozvání externích uživatelů nebo samoobslužnou registraci, uživatelé Google Gmailu se nebudou moct ověřit. Další informace.
  • Funkce jednorázového hesla e-mailu je teď ve výchozím nastavení zapnutá pro všechny nové tenanty a pro všechny stávající tenanty, u kterých jste ho explicitně nevypínali. Když je tato funkce vypnutá, náhradní metodou ověřování je vyzvat účastníky k vytvoření účtu Microsoft.

Proces uplatnění a přihlášení prostřednictvím společného koncového bodu

Hostující uživatelé se teď můžou přihlásit k vícenásobným klientským aplikacím nebo k vlastním aplikacím Microsoft prostřednictvím společného koncového bodu (URL), například https://myapps.microsoft.com. Dříve by standardní URL přesměrovala hostujícího uživatele do jejich domácího tenanta namísto vašeho tenanta prostředků pro ověření, takže bylo vyžadováno použití konkrétního odkazu pro tenanta (například https://myapps.microsoft.com/?tenantid=<tenant id>). Teď může uživatel typu host přejít na společnou adresu URL aplikace, zvolit možnosti přihlášení a pak vybrat Přihlásit se k organizaci. Uživatel pak zadá název domény vaší organizace.

Snímky obrazovky znázorňující běžné koncové body používané k přihlášení

Uživatel se pak přesměruje na koncový bod konkrétního tenanta, kde se může přihlásit pomocí své e-mailové adresy nebo vybrat zprostředkovatele identity, kterého jste nakonfigurovali.

Jako alternativu k e-mailu s pozvánkou nebo běžné adrese URL aplikace dejte hostovi přímý odkaz na vaši aplikaci nebo portál. Nejprve přidejte uživatele typu host do adresáře prostřednictvím centra pro správu Microsoft Entra nebo PowerShellu. Pak použijte libovolný z přizpůsobitelných způsobů, jak nasadit aplikace uživatelům, včetně odkazů pro přímé přihlašování. Když host použije přímý odkaz místo e-mailu s pozvánkou, stále projde procesem úvodního vyjádření souhlasu.

Poznámka:

Přímý odkaz je specifický pro tenanta. Jinými slovy, zahrnuje ID tenanta nebo ověřenou doménu, aby se host mohl ověřit ve vašem tenantovi, kde se sdílená aplikace nachází. Tady je několik příkladů přímých odkazů s kontextem tenanta:

  • Přístupový panel aplikací: https://myapps.microsoft.com/?tenantid=<tenant id>
  • Přístupový panel aplikací pro ověřenou doménu: https://myapps.microsoft.com/<;verified domain>
  • Centrum pro správu Microsoft Entra: https://entra.microsoft.com/<tenant id>
  • Jednotlivá aplikace: Podívejte se, jak používat odkaz pro přímé přihlašování.

Tady je několik věcí, které si můžete poznamenat o použití přímého odkazu a e-mailu s pozvánkou:

  • e-mailové aliasy: Hosté, kteří používají alias e-mailové adresy, která byla pozvaná, potřebují e-mailovou pozvánku. (Alias je jiná e-mailová adresa přidružená k e-mailovému účtu.) Uživatel musí v e-mailu s pozvánkou vybrat adresu URL uplatnění.

  • Konfliktní objekty kontaktu: Proces vymáhání byl aktualizován, aby se zabránilo problémům s přihlášením v případě, že objekt hostujícího uživatele koliduje s objektem kontaktu v adresáři. Pokaždé, když přidáte nebo pozvete hosta s e-mailem, který odpovídá existujícímu kontaktu, zůstane vlastnost proxyAddresses objektu uživatele typu host prázdná. V minulosti externí ID hledalo pouze vlastnost proxyAddresses, takže uplatnění přímého odkazu se nezdařilo, když nemohl najít shodu. Nyní externí ID prohledává vlastnosti proxyAddresses a vlastnosti pozvané e-mailové adresy.

Proces odkoupení prostřednictvím e-mailu s pozvánkou

Když do adresáře přidáte uživatele typu host pomocí centra pro správu Microsoft Entra, pošle se hostovi e-mail s pozvánkou. Pokud k přidání uživatelů typu host do adresáře používáte PowerShell , můžete také posílat e-maily s pozvánkou. Tady je popis zážitku hosta, když uplatní odkaz v e-mailu.

  1. Host obdrží e-mail s pozvánkou odeslanou z pozvánek Microsoftu.
  2. Host vybere v e-mailu možnost Přijmout pozvánku .
  3. Host se přihlašuje k vašemu adresáři pomocí vlastních přihlašovacích údajů. Pokud host nemá účet, který lze federovat do vašeho adresáře, a funkce e-mailového jednorázového hesla (OTP ) není povolena, zobrazí se hostovi výzva k vytvoření osobního účtu Microsoft (MSA) . Podívejte se na průběh uplatnění pozvánky pro podrobnosti.
  4. Host se řídí prostředím souhlasu popsaným níže.

Tok uplatnění pozvánky

Když uživatel klikne na odkaz Přijmout pozvánku v e-mailu s pozvánkou , Microsoft Entra ID automaticky uplatní pozvánku na základě výchozího pořadí pro uplatnění:

Snímek obrazovky znázorňující diagram toku uplatnění

  1. Microsoft Entra ID provádí vyhledávání na základě uživatelů, aby zjistil, zda uživatel již existuje ve spravovaném tenantovi Microsoft Entra. (Nespravované účty Microsoft Entra už nejde použít pro tok uplatnění.) Pokud hlavní název uživatele (UPN) odpovídá existujícímu účtu Microsoft Entra i osobnímu účtu MSA, zobrazí se uživateli výzva k výběru účtu, se kterým chce uplatnit.

  2. Pokud správce povolil federačníSAML/WS-Fed zprostředkovatele identity, Microsoft Entra ID zkontroluje, jestli přípona domény uživatele odpovídá doméně nakonfigurovaného zprostředkovatele identity SAML/WS-Fed a přesměruje uživatele na předkonfigurovaného zprostředkovatele identity.

  3. Pokud správce povolil federaci Google, Microsoft Entra ID zkontroluje, jestli je přípona domény uživatele gmail.com, nebo googlemail.com a přesměruje uživatele na Google.

  4. Proces uplatnění zkontroluje, jestli má uživatel existující osobní účet MSA. Pokud už má uživatel existující msA, přihlásí se pomocí existující služby MSA.

  5. Po identifikaci domovského adresáře uživatele je uživatel odeslán k odpovídajícímu zprostředkovateli identity, aby se přihlásil.

  6. Pokud se nenajde žádný domovský adresář a pro hosty je povolená funkce jednorázového hesla e-mailu, odešle se uživateli prostřednictvím pozvaných e-mailů heslo. Uživatel načte a zadá toto heslo na přihlašovací stránce Microsoft Entra.

  7. Pokud se nenajde žádný domovský adresář a jednorázové heslo pro hosty je zakázané, zobrazí se uživateli výzva k vytvoření zákaznické služby MSA s pozvaným e-mailem. Podporujeme vytvoření MSA s pracovními e-maily v doménách, které nejsou ověřeny v Microsoft Entra ID.

  8. Po ověření u správného zprostředkovatele identity je uživatel přesměrován na ID Microsoft Entra, aby dokončil zkušenost souhlasu.

Konfigurovatelné uplatnění

Konfigurovatelné uplatnění umožňuje přizpůsobit pořadí zprostředkovatelů identity prezentovaných hostům při uplatnění pozvánek. Když host vybere odkaz Přijmout pozvánku , Microsoft Entra ID automaticky uplatní pozvánku na základě výchozí objednávky. Chcete-li to přepsat, změňte pořadí použití zprostředkovatele identity v nastavení přístupu mezi tenanty .

Když se host poprvé přihlásí k prostředku v partnerské organizaci, zobrazí se mu následující proces udělení souhlasu. Tyto stránky souhlasu se hostovi zobrazí až po přihlášení a nezobrazí se vůbec, pokud je uživatel už přijal.

  1. Host zkontroluje stránku Kontrola oprávnění popisující prohlášení o zásadách ochrany osobních údajůorganizace. Uživatel musí Přijmout používání svých informací v souladu se zásadami ochrany osobních údajů organizace, aby mohli pokračovat.

    Souhlasem s touto výzvou k vyjádření souhlasu berete na vědomí, že se budou sdílet určité prvky vašeho účtu. Patří sem vaše jméno, fotka a e-mailová adresa a identifikátory adresáře, které můžou používat jiná organizace k lepší správě vašeho účtu a zlepšení prostředí napříč organizacemi.

    Snímek obrazovky se stránkou Zkontrolovat oprávnění

    Poznámka:

    Informace o tom, jak vy jako správce tenanta můžete propojit s prohlášením o zásadách ochrany osobních údajů vaší organizace, najdete v tématu Postupy: Přidání informací o zásadách ochrany osobních údajů vaší organizace v Microsoft Entra ID.

  2. Pokud jsou nakonfigurované podmínky použití, host otevře a zkontroluje podmínky použití a pak vybere Možnost Přijmout.

    Snímek obrazovky znázorňující nové podmínky použití

    Podmínky použití můžete nakonfigurovat v podmínkách použití>identit.

  3. Pokud není uvedeno jinak, host se přesměruje na přístupový panel Aplikace, který uvádí aplikace, ke kterým má host přístup.

    Snímek obrazovky s přístupovým panelem Aplikace

V adresáři se hodnota přijetí pozvánky hosta změní na Ano. Pokud byl vytvořen MSA, ve zdroji hosta se zobrazí účet Microsoft. Další informace o vlastnostech uživatelského účtu typu host naleznete v tématu Vlastnosti uživatele spolupráce Microsoft Entra B2B. Pokud se při přístupu k aplikaci zobrazí chyba, která vyžaduje souhlas správce, podívejte se, jak udělit souhlas správce aplikacím.

Nastavení automatizace procesu vykoupení

Můžete chtít automaticky uplatnit pozvánky, aby uživatelé nemuseli při přidání do jiného tenanta při spolupráci B2B přijmout výzvu k vyjádření souhlasu. Při konfiguraci se uživateli pro spolupráci B2B odešle e-mail s oznámením, který nevyžaduje žádnou akci od uživatele. Uživatelům se e-mail s oznámením pošle přímo a nemusí nejdřív přistupovat k tenantovi, než dostanou e-mail.

Informace o tom, jak automaticky uplatnit pozvánky, najdete v tématu Přehled přístupu mezi tenanty a Konfigurace nastavení přístupu mezi tenanty pro spolupráci B2B.

Další kroky