Accettazione dell'invito di collaborazione B2B
Si applica a: Tenant del personale
Tenant esterni (scopri di più)
Questo articolo descrive in che modo gli utenti guest possono accedere alle risorse e il processo di consenso che incontrano. Se si invia un messaggio di posta elettronica di invito al guest, l'invito include un collegamento che il guest può riscattare per accedere all'app o al portale. L'email di invito è solo un modo in cui gli ospiti possono accedere alle risorse. In alternativa, è possibile aggiungere utenti guest alla directory e fornire loro un collegamento diretto al portale o all'app che si vuole condividere. Indipendentemente dal metodo usato, gli ospiti vengono guidati attraverso un processo di consenso per la prima volta. Questo processo garantisce che gli utenti guest accettino l'informativa sulla privacy e le eventuali condizioni per l'utilizzo previste.
Quando si aggiunge un utente guest alla directory, l'account utente guest presenta uno stato di consenso (visualizzabile in PowerShell) inizialmente impostato su Accettazione in sospeso. Questa impostazione rimane fino a quando l'ospite non accetta l'invito e accetta l'informativa sulla privacy e le condizioni d'uso. Successivamente, lo stato di consenso passa ad Accettato e le pagine di consenso non vengono più presentate all'utente guest.
Importante
- dal 12 luglio 2021, se i clienti di Microsoft Entra B2B impostano nuove integrazioni di Google da utilizzare con la registrazione self-service per le loro applicazioni personalizzate o aziendali, l'autenticazione con le identità di Google non funzionerà finché le autenticazioni vengono spostate nelle web-view del sistema. Altre informazioni.
- Dal 30 settembre 2021, Google sta dismettendo il supporto per l'accesso con web-view incorporata. Se le app autenticano gli utenti con una visualizzazione Web incorporata e si usa la federazione di Google con Azure AD B2C o Microsoft Entra B2B per gli inviti agli utenti esterni o l'iscrizione self-service, gli utenti di Google Gmail non saranno in grado di eseguire l'autenticazione. Altre informazioni.
- La funzionalità di passcode monouso dell'indirizzo di posta elettronica è ora attivata per impostazione predefinita per tutti i nuovi tenant e per tutti i tenant esistenti in cui non è stata disattivata in modo esplicito. Quando questa funzionalità è disattivata, il metodo di autenticazione di fallback consiste nel richiedere agli invitati di creare un account Microsoft.
Processo di riscatto e di autenticazione tramite un endpoint comune
Gli utenti guest possono ora accedere alle app multi-tenant o proprietarie di Microsoft tramite un endpoint comune (URL), ad esempio https://myapps.microsoft.com
. In precedenza, un URL comune reindirizzava un utente guest al tenant principale anziché al tenant della risorsa per l'autenticazione, quindi era necessario un collegamento specifico del tenant, ad esempio https://myapps.microsoft.com/?tenantid=<tenant id>
. Adesso, l'utente guest può passare all'URL comune dell'applicazione, selezionare Opzioni di accesso, quindi selezionare Accedi a un'organizzazione. L'utente digita quindi il nome di dominio dell'organizzazione.
L'utente viene quindi reindirizzato all'endpoint specifico del tenant, in cui può accedere con il proprio indirizzo di posta elettronica o selezionare un provider di identità configurato.
Processo di riscatto tramite un collegamento diretto
In alternativa all'indirizzo di posta elettronica di invito o all'URL comune di un'applicazione, assegnare un collegamento diretto all'app o al portale. Per prima cosa, aggiungi l'utente ospite alla directory tramite il centro di amministrazione di Microsoft Entra o PowerShell. Usare quindi uno dei modi personalizzabili per distribuire applicazioni agli utenti, inclusi i link di accesso diretto. Quando un guest usa un collegamento diretto invece del messaggio di posta elettronica di invito, viene comunque guidato tramite l'esperienza di consenso per la prima volta.
Nota
Un collegamento diretto è specifico per un tenant. In altre parole, deve includere un ID tenant o un dominio verificato, in modo che l'utente guest possa essere autenticato nel tenant in cui si trova l'app condivisa. Di seguito sono riportati alcuni esempi di collegamenti diretti con il contesto del tenant:
- Pannello di accesso per le app:
https://myapps.microsoft.com/?tenantid=<tenant id>
- Pannello di accesso per le app per un dominio verificato:
https://myapps.microsoft.com/<;verified domain>
- Interfaccia di amministrazione di Microsoft Entra:
https://entra.microsoft.com/<tenant id>
- App singola: vedere come usare un collegamento di accesso diretto
Ecco alcuni aspetti da notare sull'uso di un collegamento diretto rispetto a un messaggio di posta elettronica di invito:
Alias email: Ospiti che usano un alias dell'indirizzo email invitato necessitano di un invito tramite email. Un alias è un altro indirizzo di posta elettronica associato a un account di posta elettronica. L'utente deve selezionare l'URL di riscatto nel messaggio di posta elettronica di invito.
Oggetti contatto in conflitto: il processo di riscatto è stato aggiornato per evitare problemi di accesso quando un oggetto utente guest è in conflitto con un oggetto contatto nella directory. Ogni volta che si aggiunge o invita un guest con un messaggio di posta elettronica corrispondente a un contatto esistente, la proprietà proxyAddresses nell'oggetto utente guest viene lasciata vuota. In precedenza, l'ID esterno cercava solo la proprietà proxyAddresses, quindi il riscatto diretto del collegamento non riusciva quando non era possibile trovare una corrispondenza. Ora, l'ID esterno cerca sia gli indirizzi proxy che le proprietà di posta elettronica invitate.
Processo di riscatto con e-mail di invito
Quando si aggiunge un utente guest alla directory usando l'interfaccia di amministrazione di Microsoft Entra, viene inviata un'email di invito all'utente guest. È anche possibile scegliere di inviare messaggi di posta elettronica di invito quando si usa PowerShell per aggiungere utenti guest alla directory. Ecco una descrizione dell'esperienza dell'ospite quando riscatta il collegamento nell'email.
- L'utente guest riceve un messaggio di posta elettronica di invito inviato da Microsoft Invitations.
- L'utente guest seleziona Accetta l'invito nel messaggio di posta elettronica.
- L'ospite usa le proprie credenziali per accedere alla directory. Se l'utente guest non dispone di un account che può essere federato nella directory e la funzionalità di passcode monouso (OTP) di posta elettronica non è abilitata, al guest viene richiesto di creare un account Microsoft personale. Per ulteriori dettagli, fare riferimento al flusso di riscatto dell'invito.
- L'utente guest viene guidato attraverso l'esperienza di consenso descritta di seguito.
Flusso di riscatto dell'invito
Quando un utente seleziona il collegamento Accetta invito in un messaggio di posta elettronica di invito , Microsoft Entra ID riscatta automaticamente l'invito in base all'ordine di riscatto predefinito:
Microsoft Entra ID esegue l'individuazione basata sull'utente per determinare se l'utente esiste già in un tenant Microsoft Entra gestito. Gli account Microsoft Entra non gestiti non possono più essere usati per il flusso di riscatto. Se il nome dell'entità utente dell'utente (UPN) corrisponde sia a un account Microsoft Entra esistente che a un account del servizio gestito personale, all'utente viene richiesto di scegliere l'account con cui si vuole riscattare.
Se un amministratore ha abilitato SAML/WS-Fed federazione IdP, Microsoft Entra ID verifica se il suffisso di dominio dell'utente corrisponde al dominio di un provider di identità SAML/WS-Fed configurato e reindirizza l'utente al provider di identità preconfigurato.
Se un amministratore ha abilitato la federazione Google,Microsoft Entra ID controlla se il suffisso del dominio dell'utente è gmail.com o googlemail.com e reindirizza l'utente a Google.
Il processo di riscatto controlla se l'utente dispone di un MSA personale esistente. Se l'utente ha già un MSA, accede con il suo MSA.
Una volta identificato la home directory dell'utente, l'utente viene reindirizzato al provider di identità corrispondente per l'accesso.
Se non viene trovata nessuna directory di appartenenza e la funzionalità di passcode monouso tramite e-mail è abilitata per gli utenti guest, all'utente viene inviato un passcode tramite l'e-mail di invito. L'utente recupera e immette questo passcode nella pagina di accesso di Microsoft Entra.
Se non viene trovata nessuna directory personale e il passcode monouso tramite e-mail per gli utenti ospiti viene disabilitato, all'utente viene chiesto di creare un MSA consumer con l'e-mail di invito. Supportiamo la creazione di un account Microsoft con email di lavoro in domini che non sono verificati in Microsoft Entra ID.
Dopo l'autenticazione al provider di identità corretto, l'utente viene reindirizzato a Microsoft Entra ID per completare l'esperienza di consenso.
Riscatto configurabile
Il riscatto configurabile consente di personalizzare l'ordine dei provider di identità presentati agli utenti guest quando riscattano gli inviti. Quando un guest seleziona il collegamento Accetta invito, Microsoft Entra ID riscatta automaticamente l'invito in base all'ordine predefinito. Sostituire questa operazione modificando l'ordine di riscatto del provider di identità nelle impostazioni di accesso cross-tenant .
Esperienza di consenso per l'ospite
Quando un ospite accede a una risorsa in un'organizzazione partner per la prima volta, viene mostrata l'esperienza di consenso seguente. Queste pagine di consenso vengono visualizzate al guest solo dopo l'accesso e non vengono visualizzate affatto se l'utente li ha già accettati.
L'ospite esamina la pagina delle autorizzazioni che descrive l'informativa sulla privacy dell'organizzazione invitante. Un utente deve accettare l'uso delle proprie informazioni in conformità con le politiche sulla privacy dell'organizzazione per continuare.
Accettando questa richiesta di consenso, si riconosce che determinati elementi dell'account verranno condivisi. Questi includono il nome, la foto e l'indirizzo di posta elettronica, nonché gli identificatori di directory che potrebbero essere usati dall'altra organizzazione per gestire meglio l'account e migliorare l'esperienza tra organizzazioni.
Nota
Per informazioni su come l'amministratore di un tenant può creare un collegamento all'informativa sulla privacy dell'organizzazione, vedere Procedura: Aggiungere le informazioni sulla privacy dell'organizzazione in Microsoft Entra ID.
Se le condizioni per l'utilizzo sono configurate, l'utente guest apre e verifica le condizioni per l'utilizzo, quindi seleziona Accetto.
È possibile configurare le condizioni per l'utilizzo in Identità esterne>Condizioni per l'utilizzo.
Se non diversamente specificato, l'utente guest viene reindirizzato al pannello di accesso App, che elenca le applicazioni a cui l'utente guest può accedere.
Nella tua directory, il valore di Invito accettato dell'utente guest passa a Sì. Se è stato creato un MSA, il campo Origine del guest indica Account Microsoft. Per ulteriori informazioni sulle proprietà dell'account utente guest, vedere Proprietà di un utente di Collaborazione B2B di Microsoft Entra. Se viene visualizzato un errore che richiede il consenso amministratore durante l'accesso a un'applicazione, vedere come concedere il consenso amministratore alle app.
Impostazione del processo di riscatto automatico
È possibile riscattare automaticamente gli inviti in modo che gli utenti non debbano accettare un invito a dare il consenso quando vengono aggiunti a un altro tenant per la collaborazione B2B. Quando configurato, viene inviata un'e-mail di notifica all'utente di Collaborazione B2B che non richiede alcuna azione da parte dell'utente. Gli utenti vengono inviati direttamente tramite un'e-mail di notifica e non devono accedere al tenant prima di ricevere il messaggio di posta elettronica.
Per informazioni su come riscattare automaticamente gli inviti, vedere Informazioni generali sull'accesso tra tenant e Configurare le impostazioni di accesso tra tenant per Collaborazione B2B.