Udostępnij za pośrednictwem

Akceptacja zaproszenia do współpracy B2B

  • Artykuł

Dotyczy:Zielony okrąg z białym symbolem znacznika wyboru. Najemcy pracowniczy oraz zewnętrzni dzierżawcy Biały okrąg z szarym symbolem X. (dowiedz się więcej)

W tym artykule opisano, w jaki sposób użytkownicy-goście mogą uzyskiwać dostęp do zasobów i napotykany przez nich proces wyrażania zgody. Jeśli wyślesz wiadomość e-mail z zaproszeniem do gościa, zaproszenie zawiera link, który gość może zrealizować w celu uzyskania dostępu do aplikacji lub portalu. Wiadomość e-mail z zaproszeniem to tylko jeden ze sposobów, w jaki goście mogą uzyskiwać dostęp do Twoich zasobów. Alternatywnie możesz dodać gości do katalogu i nadać im bezpośredni link do portalu lub aplikacji, którą chcesz udostępnić. Niezależnie od używanej metody goście są kierowani przez proces wyrażania zgody po raz pierwszy. Ten proces gwarantuje, że goście zgadzają się na warunki zachowania poufności informacji i akceptują wszelkie skonfigurowane warunki użytkowania .

Po dodaniu użytkownika-gościa do katalogu konto użytkownika-gościa ma stan zgody (możliwy do wyświetlenia w programie PowerShell), który początkowo ma wartość PendingAcceptance. To ustawienie pozostaje do momentu zaakceptowania zaproszenia przez gościa i zaakceptowania zasad ochrony prywatności i warunków użytkowania. Następnie stan zgody zmieni się na Zaakceptowano, a strony zgody nie są już wyświetlane gościowi.

Ważne

  • Od 12 lipca 2021 r., jeśli klienci firmy Microsoft Entra B2B skonfigurowali nowe integracje Google do użycia z rejestracją samoobsługową dla swoich niestandardowych lub biznesowych aplikacji, uwierzytelnianie przy użyciu tożsamości Google nie będzie działać, dopóki uwierzytelnianie nie zostanie przeniesione do systemowych widoków internetowych. Dowiedz się więcej.
  • Od 30 września 2021 r. firma Google zaprzestaje wsparcia logowania w osadzonym widoku sieciowym. Jeśli aplikacje uwierzytelniają użytkowników za pomocą osadzonego widoku internetowego i korzystasz z federacji Google z usługą Azure AD B2C lub Microsoft Entra B2B w przypadku zaproszeń użytkowników zewnętrznych lub rejestracji samoobsługowej, użytkownicy usługi Google Gmail nie będą mogli się uwierzytelniać. Dowiedz się więcej.
  • Funkcja jednorazowego kodu dostępu wiadomości e-mail jest teraz domyślnie włączona dla wszystkich nowych dzierżaw i dla wszystkich istniejących dzierżaw, w których nie została jawnie wyłączona. Po wyłączeniu tej funkcji metoda uwierzytelniania rezerwowego to monit o zaproszenie do utworzenia konta Microsoft.

Proces realizacji i logowanie za pośrednictwem wspólnego punktu końcowego

Użytkownicy-goście mogą teraz logować się do aplikacji wielodostępnych lub aplikacji firmy Microsoft za pośrednictwem wspólnego punktu końcowego (URL), na przykład https://myapps.microsoft.com. Wcześniej wspólny adres URL przekierowuje użytkownika-gościa do dzierżawy głównej zamiast dzierżawy zasobów na potrzeby uwierzytelniania, więc wymagany był link specyficzny dla dzierżawy (na przykład https://myapps.microsoft.com/?tenantid=<tenant id>). Teraz użytkownik-gość może przejść do wspólnego adresu URL aplikacji, wybrać pozycję Opcje logowania, a następnie wybrać pozycję Zaloguj się do organizacji. Następnie użytkownik wpisze nazwę domeny organizacji.

Zrzuty ekranu przedstawiające typowe punkty końcowe używane do logowania.

Użytkownik jest następnie przekierowywany do punktu końcowego specyficznego dla dzierżawy, w którym może zalogować się przy użyciu adresu e-mail lub wybrać skonfigurowanego dostawcę tożsamości.

Alternatywą dla wiadomości e-mail z zaproszeniem lub typowym adresem URL aplikacji jest nadanie gościowi bezpośredniego linku do aplikacji lub portalu. Najpierw dodaj użytkownika-gościa do katalogu za pomocą Centrum administracyjnego firmy Microsoft Entra lub programu PowerShell. Następnie użyj dowolnego z dostosowywalnych sposobów wdrażania aplikacji dla użytkowników, w tym linków logowania bezpośredniego. Gdy gość korzysta z bezpośredniego linku zamiast wiadomości e-mail z zaproszeniem, nadal jest prowadzony przez proces udzielania zgody po raz pierwszy.

Uwaga

Bezpośredni link jest specyficzny dla najemcy. Innymi słowy, zawiera identyfikator dzierżawcy lub zweryfikowaną domenę, aby gość mógł zostać uwierzytelniony w ramach dzierżawcy, gdzie znajduje się udostępniona aplikacja. Oto kilka przykładów bezpośrednich linków z kontekstem klienta:

  • Panel dostępu do aplikacji: https://myapps.microsoft.com/?tenantid=<tenant id>
  • Panel dostępu do aplikacji dla zweryfikowanej domeny: https://myapps.microsoft.com/<;verified domain>
  • Centrum administracyjne firmy Microsoft Entra: https://entra.microsoft.com/<tenant id>
  • Pojedyncza aplikacja: zobacz, jak używać linku logowania bezpośredniego

Oto kilka kwestii, na które należy zwrócić uwagę przy używaniu linku bezpośredniego w porównaniu z zaproszeniem e-mail:

  • aliasy e-mail: Goście korzystający z aliasu adresu e-mail, który został zaproszony, potrzebują zaproszenia e-mail. (Alias to inny adres e-mail skojarzony z kontem e-mail). Użytkownik musi wybrać adres URL realizacji w wiadomości e-mail z zaproszeniem.

  • Obiekty kontaktu powodujące konflikt: zaktualizowano proces odzyskiwania, aby zapobiec problemom z logowaniem, gdy obiekt użytkownika-gościa powoduje konflikt z obiektem kontaktu w katalogu. Za każdym razem, gdy dodasz lub zaprosisz gościa z wiadomością e-mail zgodną z istniejącym kontaktem, właściwość proxyAddresses obiektu użytkownika-gościa pozostanie pusta. Wcześniej identyfikator zewnętrzny przeszukiwał tylko właściwość proxyAddresses, więc bezpośrednie otwieranie linku nie powiodło się, gdy nie mógł odnaleźć dopasowania. Teraz identyfikator zewnętrzny wyszukuje właściwości proxyAddresses i zaproszonych wiadomości e-mail.

Proces realizacji kuponu poprzez wiadomość e-mail z zaproszeniem

Po dodaniu użytkownika-gościa do katalogu przez przy użyciu centrum administracyjnego firmy Microsoft Entrawiadomość e-mail z zaproszeniem zostanie wysłana do gościa. Możesz również wysłać wiadomości e-mail z zaproszeniem, gdy używasz programu PowerShell do dodawania użytkowników-gości do katalogu. Oto opis doświadczenia gościa podczas wykorzystania linku w wiadomości e-mail.

  1. Gość otrzymuje e-mail z zaproszeniem, który jest wysyłany od Microsoft Invitations.
  2. Gość wybiera pozycję Zaakceptuj zaproszenie w wiadomości e-mail.
  3. Gość używa własnych poświadczeń, aby zalogować się do katalogu. Jeśli gość nie ma konta, które można sfederować z katalogiem, a e-mail jednorazowy kod dostępu (OTP) nie jest włączony, gość zostanie poproszony o utworzenie osobistego konta Microsoft (MSA). Aby uzyskać szczegółowe informacje, zapoznaj się z przepływem realizacji zaproszenia.
  4. Gość jest prowadzony przez proces uzyskiwania zgody opisany poniżej.

Przepływ odbioru zaproszeń

Gdy użytkownik wybierze link Zaakceptuj zaproszenie w wiadomości e-mail z zaproszeniem , identyfikator Microsoft Entra ID automatycznie realizuje zaproszenie na podstawie domyślnego porządku realizacji.

Zrzut ekranu przedstawiający diagram przebiegu procesu wykupu.

  1. Microsoft Entra ID wykonuje odkrywanie oparte na użytkownikach, aby określić, czy użytkownik już istnieje w zarządzanej dzierżawie Microsoft Entra. (Niezarządzane konta Microsoft Entra nie mogą być już używane do procesu realizacji.) Jeśli główna nazwa użytkownika (UPN) pasuje zarówno do istniejącego konta Microsoft Entra, jak i osobistego konta MSA, użytkownik zostanie poproszony o wybranie konta, którego chce użyć do realizacji.

  2. Jeśli administrator włączył SAML/WS-Fed federację IdP (dostawca tożsamości), Microsoft Entra ID sprawdza, czy sufiks domeny użytkownika jest zgodny z domeną skonfigurowanego dostawcy tożsamości SAML/WS-Fed i przekierowuje użytkownika do wstępnie skonfigurowanego dostawcy tożsamości.

  3. Jeśli administrator włączył federację Google, identyfikator Firmy Microsoft Entra sprawdza, czy sufiks domeny użytkownika jest gmail.com, lub googlemail.com i przekierowuje użytkownika do Google.

  4. Proces realizacji sprawdza, czy użytkownik ma istniejącą osobistą umowę MSA. Jeśli użytkownik ma już istniejące konto MSA, loguje się przy użyciu istniejącej usługi MSA.

  5. Po zidentyfikowaniu katalogu macierzystego użytkownika użytkownik jest wysyłany do odpowiedniego dostawcy tożsamości w celu zalogowania się.

  6. Jeśli nie znaleziono katalogu macierzystego i funkcja jednorazowego kodu dostępu wiadomości e-mail jest włączona dla gości, kod dostępu jest wysyłany do użytkownika za pośrednictwem zaproszonej wiadomości e-mail. Użytkownik pobiera i wprowadza ten kod dostępu na stronie logowania firmy Microsoft Entra.

  7. Jeśli nie znaleziono katalogu macierzystego i jednorazowy kod dostępu wiadomości e-mail dla gości jest wyłączony, użytkownik zostanie poproszony o utworzenie konta konsumenckiego MSA za pomocą zaproszonego adresu e-mail. Obsługujemy tworzenie konta MSA z służbowymi wiadomościami e-mail w domenach, które nie są weryfikowane w identyfikatorze Entra firmy Microsoft.

  8. Po uwierzytelnieniu u odpowiedniego dostawcy tożsamości użytkownik jest przekierowywany do Microsoft Entra ID, aby ukończyć proces wyrażania zgody.

Możliwość skonfigurowania realizacji

Możliwość skonfigurowania realizacji umożliwia dostosowanie kolejności dostawców tożsamości prezentowanych gościom podczas realizacji zaproszeń. Gdy gość wybierze link Akceptuj zaproszenie , identyfikator Entra firmy Microsoft automatycznie zrealizowa zaproszenie w oparciu o zamówienie domyślne. Zastąp to, zmieniając kolejność priorytetyzacji dostawcy tożsamości w ustawieniach dostępu między dzierżawcami .

Gdy gość zaloguje się do zasobu w organizacji partnerskiej po raz pierwszy, zostanie wyświetlony następujący interfejs zgody. Te strony zgody są wyświetlane dla gościa tylko po zalogowaniu się i nie są wyświetlane w ogóle, jeśli użytkownik już je zaakceptował.

  1. Gość przegląda stronę Recenzje uprawnień opisującą politykę prywatności organizacji zapraszającej. Użytkownik musi zaakceptować korzystanie z ich informacji zgodnie z zasadami ochrony prywatności organizacji zapraszającej, aby kontynuować.

    Wyrażając zgodę na ten monit o wyrażenie zgody, potwierdzasz, że niektóre elementy twojego konta zostaną udostępnione. Obejmują one twoje imię i nazwisko, zdjęcie i adres e-mail, a także identyfikatory katalogów, które mogą być używane przez inną organizację w celu lepszego zarządzania kontem i poprawy doświadczenia między organizacjami.

    Zrzut ekranu przedstawiający stronę Przegląd uprawnień.

    Uwaga

    Aby uzyskać informacje o tym, jak jako administrator dzierżawy możesz połączyć się z oświadczeniem o ochronie prywatności organizacji, zobacz Instrukcje: dodawanie informacji o ochronie prywatności organizacji w usłudze Microsoft Entra ID.

  2. Jeśli warunki użytkowania są skonfigurowane, gość otwiera i przegląda warunki użytkowania, a następnie wybiera pozycję Akceptuj.

    Zrzut ekranu przedstawiający nowe warunki użytkowania.

    Warunki użytkowania można skonfigurować w sekcji Tożsamości zewnętrzne pod Warunki użytkowania.

  3. Jeśli nie określono inaczej, gość jest przekierowywany do panelu dostępu aplikacje, który zawiera listę aplikacji, do których gość może uzyskać dostęp.

    Zrzut ekranu przedstawiający panel dostępu do aplikacji.

W Twoim katalogu wartość Zaproszenie zaakceptowane dla gościa zmieni się na Tak. Jeśli konto MSA zostało utworzone, źródło gościa wyświetli Konto Microsoft. Aby uzyskać więcej informacji na temat właściwości konta użytkownika-gościa, zobacz Właściwości użytkownika współpracy microsoft Entra B2B. Jeśli widzisz błąd, który wymaga zgody administratora podczas uzyskiwania dostępu do aplikacji, zobacz , jak udzielić zgody administratora na aplikacje.

Konfiguracja procesu automatycznego wykupu

Możesz chcieć automatycznie zrealizować zaproszenia, aby użytkownicy nie musieli akceptować monitu o zgodę po dodaniu ich do innej dzierżawy na potrzeby współpracy B2B. Po skonfigurowaniu wiadomość e-mail z powiadomieniem jest wysyłana do użytkownika współpracy B2B, który nie wymaga żadnej akcji od użytkownika. Użytkownicy otrzymują wiadomość e-mail z powiadomieniem bezpośrednio i nie muszą najpierw uzyskiwać dostępu do dzierżawy przed otrzymaniem wiadomości e-mail.

Aby uzyskać informacje na temat automatycznego realizowania zaproszeń, zobacz omówienie dostępu między dzierżawami oraz konfigurowanie ustawień dostępu między dzierżawami dla współpracy B2B.

Następne kroki