Delen via

Het verzilveren van een uitnodiging voor B2B-samenwerking

  • Artikel

Van toepassing op: Groene cirkel met een wit vinkje. Werknemerstenanten Witte cirkel met een grijs X-symbool. Externe tenants (meer leren)

In dit artikel wordt beschreven hoe gastgebruikers toegang hebben tot uw resources en het toestemmingsproces dat ze tegenkomen. Als u een uitnodigingsmail naar de gast verzendt, bevat de uitnodiging een koppeling die de gast kan inwisselen voor toegang tot uw app of portal. De uitnodigings-e-mail is slechts één manier waarop gasten toegang hebben tot uw resources. U kunt gasten ook toevoegen aan uw adreslijst en hen een directe koppeling geven naar de portal of app die u wilt delen. Gasten worden door een eerste toestemmingsproces begeleid, ongeacht de methode die ze gebruiken. Dit proces zorgt ervoor dat uw gasten akkoord gaan met de privacyvoorwaarden en met alle gebruiksvoorwaarden die u hebt ingesteld.

Wanneer u een gastgebruiker aan uw map toevoegt, dan heeft het gastgebruikersaccount een toestemmingsstatus (zichtbaar in PowerShell) die aanvankelijk is ingesteld op PendingAcceptance. Deze instellingen blijft standaard geldig totdat de gast uw uitnodiging accepteert en akkoord gaat met uw privacybeleid en gebruiksvoorwaarden. Vervolgens wordt de toestemmingsstatus gewijzigd in Geaccepteerd en worden de toestemmingspagina's niet meer aan de gast getoond.

Belangrijk

  • Vanaf 12 juli 2021, als Microsoft Entra B2B-klanten nieuwe Google-integraties hebben ingesteld voor gebruik met selfserviceregistratie voor hun aangepaste of line-of-business-toepassingen, werkt verificatie met Google-identiteiten pas als verificaties worden verplaatst naar systeemwebweergaven. Meer informatie.
  • Vanaf 30 september 2021 biedt Google geen ondersteuning meer voor aanmelden via ingesloten webweergaven. Als uw apps gebruikers verifiëren met een ingesloten webweergave en u Google-federatie gebruikt met Azure AD B2C of Microsoft Entra B2B voor uitnodigingen voor externe gebruikers of selfserviceregistratie, kunnen Google Gmail-gebruikers zich niet verifiëren. Meer informatie.
  • De functie voor eenmalige wachtwoordcode voor e-mail is nu standaard ingeschakeld voor alle nieuwe tenants en voor bestaande tenants waarvoor u deze niet expliciet hebt uitgeschakeld. Wanneer deze functie is uitgeschakeld, is de methode voor terugvalverificatie dat genodigden wordt gevraagd een Microsoft-account aan te maken.

Verlossingsproces en inloggen via een gemeenschappelijk eindpunt

Gastgebruikers kunnen zich nu aanmelden bij uw multitenant- of Microsoft First Party-apps via een gemeenschappelijk eindpunt (URL), bijvoorbeeld https://myapps.microsoft.com. Voorheen zou een algemene URL een gastgebruiker omleiden naar de eigen tenant in plaats van naar uw resourcetenant voor verificatie, dus een tenantspecifieke koppeling was vereist (bijvoorbeeld https://myapps.microsoft.com/?tenantid=<tenant id>). Nu kan de gastgebruiker naar de algemene URL van de toepassing gaan, aanmeldingsopties kiezen en vervolgens Aanmelden bij een organisatie selecteren. De gebruiker typt vervolgens de domeinnaam van uw organisatie.

Schermopnamen met veelgebruikte eindpunten die worden gebruikt voor het aanmelden.

De gebruiker wordt vervolgens omgeleid naar uw tenantspecifieke eindpunt, waar ze zich kunnen aanmelden met hun e-mailadres of een id-provider selecteren die u hebt geconfigureerd.

Als alternatief voor de uitnodigings-e-mail of de algemene URL van een toepassing, geeft u een gast een directe koppeling naar uw app of portal. Voeg eerst de gastgebruiker toe aan uw directory via het Microsoft Entra-beheercentrum of PowerShell-. Gebruik vervolgens een van de aanpasbare manieren om toepassingen te implementeren voor gebruikers, inclusief directe aanmeldingskoppelingen. Wanneer een gast een directe koppeling gebruikt in plaats van de uitnodigings-e-mail, worden ze nog steeds begeleid bij de eerste toestemmingservaring.

Notitie

Een directe koppeling is specifiek aan een tenant. Met andere woorden: deze bevat een tenant-id of een geverifieerd domein. Zo kan de gast worden geverifieerd in uw tenant waar de gedeelde app zich bevindt. Hier volgen een paar voorbeelden van directe koppelingen met tenantcontext:

  • Het toegangsvenster voor apps: https://myapps.microsoft.com/?tenantid=<tenant id>
  • Toegangsvenster voor apps voor geverifieerd domein: https://myapps.microsoft.com/<;verified domain>
  • Microsoft Entra-beheercentrum: https://entra.microsoft.com/<tenant id>
  • Afzonderlijke app: raadpleeg hoe u een directe aanmeldingskoppeling gebruikt

Hier volgen enkele dingen die u moet weten over het gebruik van een directe koppeling ten opzichte van een uitnodigingsmail:

  • e-mailaliassen: gasten die een alias gebruiken van het e-mailadres dat is uitgenodigd, hebben een e-mailuitnodiging nodig. (Een alias is een ander e-mailadres dat is gekoppeld aan een e-mailaccount.) De gebruiker moet de inwissel-URL selecteren in de uitnodigings-e-mail.

  • Conflicterende contactobjecten: het inwisselproces is bijgewerkt om aanmeldingsproblemen te voorkomen wanneer een gastgebruikerobject conflicteert met een contactobject in de directory. Wanneer u een gast toevoegt of uitnodigt met een e-mailbericht dat overeenkomt met een bestaande contactpersoon, blijft de eigenschap proxyAddresses op het object gastgebruiker leeg. Voorheen heeft externe id alleen gezocht naar de eigenschap proxyAddresses, waardoor het inwisselen van directe koppelingen is mislukt wanneer er geen overeenkomst kon worden gevonden. Externe id doorzoekt nu zowel de proxyAddresses als de eigenschappen van uitgenodigde e-mail.

Inwisselingsproces via de uitnodigingsmail

Wanneer u een gastgebruiker aan uw adreslijst toevoegt door via het Microsoft Entra-beheercentrum, wordt er een uitnodigingsmail naar de gast verzonden. U kunt ook uitnodigingsmails te verzenden wanneer u PowerShell gebruikt om gastgebruikers toe te voegen aan uw adreslijst. Hier vindt u een beschrijving van de ervaring van de gast wanneer deze de koppeling gebruikt in het e-mailbericht.

  1. De gast ontvangt een uitnodigingse-e-mail die wordt verzonden vanuit Microsoft-uitnodigingen.
  2. De gast selecteert vervolgens Uitnodiging accepteren in het e-mailbericht.
  3. De gast gebruikt zijn eigen inloggegevens om zich aan te melden bij uw directory. Als de gast geen account heeft dat kan worden gefedereerd aan uw adreslijst en de eenmalige wachtwoordcode (OTP) functie niet is ingeschakeld, wordt de gast gevraagd een persoonlijke Microsoft-account (MSA)te maken. Raadpleeg de uitnodigingsinwisselstroom voor meer informatie.
  4. De gast wordt begeleid door de toestemmingservaring die hieronder is beschreven.

Inwisselingsproces voor uitnodigingen

Wanneer een gebruiker de koppeling Uitnodiging accepteren in een uitnodigings-e-mailselecteert, wordt de uitnodiging door Microsoft Entra ID automatisch ingewisseld op basis van de standaardinwisselingsvolgorde.

Schermopname van het stroomdiagram voor inwisseling.

  1. Microsoft Entra ID voert op gebruikers gebaseerde detectie uit om te bepalen of de gebruiker al bestaat in een beheerde Microsoft Entra-tenant. (Niet-beheerde Microsoft Entra-accounts kunnen niet meer worden gebruikt voor de inwisselingsstroom.) Als de user principal name (UPN) overeenkomt met zowel een bestaand Microsoft Entra-account als een persoonlijke MSA, wordt de gebruiker gevraagd om te kiezen met welk account ze willen inwisselen.

  2. Als een beheerder SAML/WS-Fed IdP-federatieheeft ingeschakeld, controleert Microsoft Entra ID of het domeinachtervoegsel van de gebruiker overeenkomt met het domein van een geconfigureerde SAML/WS-Fed id-provider en wordt de gebruiker omgeleid naar de vooraf geconfigureerde id-provider.

  3. Als een beheerder Google-federatie heeft ingeschakeld, controleert Microsoft Entra ID of het domeinachtervoegsel van de gebruiker gmail.com is of googlemail.com en de gebruiker omleidt naar Google.

  4. Het inwisselproces controleert of de gebruiker een bestaande persoonlijke MSA heeft. Als de gebruiker al een bestaande MSA heeft, meldt deze zich aan met de bestaande MSA.

  5. Zodra de basismap van de gebruiker is geïdentificeerd, wordt de gebruiker naar de bijbehorende id-provider gestuurd om zich aan te melden.

  6. Als er geen basismap wordt gevonden en de functie voor eenmalige wachtwoordcode voor e-mail is ingeschakeld voor gasten, wordt er een wachtwoordcode naar de gebruiker verzonden via de uitgenodigde e-mail. De gebruiker haalt deze wachtwoordcode op en voert deze in op de aanmeldingspagina van Microsoft Entra.

  7. Indien er geen thuisdirectory wordt gevonden en de eenmalige wachtwoordcode voor gasten per e-mail is uitgeschakeld, wordt de gebruiker gevraagd om een consumenten-MSA te maken met het uitgenodigde e-mailadres. We ondersteunen het maken van een MSA met zakelijke e-mailberichten in domeinen die niet zijn geverifieerd in Microsoft Entra-id.

  8. Na verificatie bij de juiste id-provider wordt de gebruiker omgeleid naar Microsoft Entra-id om de toestemmingservaring te voltooien.

Configureerbare inwisseling

Met configureerbare inwisseling kunt u de volgorde configureren van identiteitsproviders die aan gasten worden gepresenteerd wanneer zij uw uitnodigingen verzilveren. Wanneer een gast de Accepteer uitnodiging koppeling selecteert, wordt de uitnodiging automatisch ingewisseld op basis van de standaardvolgorde. Overschrijf dit door de inwisselvolgorde van de id-provider te wijzigen in uw instellingen voor toegang tot meerdere tenants.

Wanneer een gast zich voor de eerste keer aanmeldt bij een resource in een partnerorganisatie, ontvangen ze de volgende toestemmingservaring. Deze toestemmingspagina's worden pas na aanmelding aan de gast weergegeven en worden niet weergegeven als de gebruiker deze al heeft geaccepteerd.

  1. De gast bekijkt de Review-machtigingen pagina met een beschrijving van de privacyverklaring van de organisatie. Een gebruiker moet accepteren het gebruik van zijn/haar gegevens in overeenstemming met het privacybeleid van de uitnodigende organisatie om door te gaan.

    Door akkoord te gaan met deze toestemmingsprompt, erkent u dat bepaalde elementen van uw account worden gedeeld. Dit zijn uw naam, foto en e-mailadres, evenals adreslijst-id's die door de andere organisatie kunnen worden gebruikt om uw account beter te beheren en uw ervaring tussen organisaties te verbeteren.

    Schermopname van de pagina Machtigingen controleren.

    Notitie

    Zie Instructies voor informatie over hoe u als tenantbeheerder een koppeling kunt maken naar de privacyverklaring van uw organisatie: Privacygegevens van uw organisatie toevoegen in Microsoft Entra ID.

  2. Als de gebruiksvoorwaarden zijn geconfigureerd, opent en controleert de gast de gebruiksvoorwaarden en selecteert u Accepteren.

    Schermopname van nieuwe gebruiksvoorwaarden.

    U kunt de gebruiksvoorwaarden configureren in de Externe identiteiten>Gebruiksvoorwaarden.

  3. Tenzij anders opgegeven, wordt de gast omgeleid naar het toegangsvenster Apps, waarin de toepassingen worden weergegeven waar de gast toegang tot heeft.

    Schermopname van het toegangsvenster Apps.

In uw map verandert de waarde Uitnodiging geaccepteerd van de gast in Ja. Als er een MSA is aangemaakt, wordt bij de bron van de gast Microsoft-account weergegeven. Zie Eigenschappen van een Microsoft Entra B2B-samenwerkingsgebruiker voor meer informatie over eigenschappen van gastgebruikersaccounts. Als er een fout wordt weergegeven waarvoor beheerderstoestemming is vereist bij het openen van een toepassing, raadpleegt u hoe u beheerderstoestemming kunt verlenen aan apps.

Instelling voor het automatische inwisselingsproces

Mogelijk wilt u uitnodigingen automatisch inwisselen, zodat gebruikers de toestemmingsprompt niet hoeven te accepteren wanneer ze worden toegevoegd aan een andere tenant voor B2B-samenwerking. Wanneer deze is geconfigureerd, wordt er een e-mailmelding verzonden naar de B2B-samenwerkingsgebruiker waarvoor geen actie van de gebruiker is vereist. Gebruikers worden de e-mail met meldingen rechtstreeks verzonden en ze hoeven eerst geen toegang te krijgen tot de tenant voordat ze het e-mailbericht ontvangen.

Zie overzicht van toegang voor meerdere tenants en instellingen voor toegang tussen tenants configureren voor B2B-samenwerking voor meer informatie over het automatisch inwisselen van uitnodigingen.

Volgende stappen