Definir configurações de colaboração externa para B2B na ID Externa do Microsoft Entra
Aplica-se a: Locatários da força de trabalho Locatários externos (saiba mais)
As configurações de colaboração externa permitem especificar quais funções na sua organização podem convidar usuários externos para a colaboração B2B. Essas configurações também incluem opções para permitir ou bloquear domínios específicos e opções para restringir o que os usuários convidados externos podem ver no diretório do Microsoft Entra. As seguintes opções estão disponíveis:
Determinar o acesso de usuário convidado: a ID externa do Microsoft Entra permite restringir o que os usuários convidados externos podem ver no diretório do Microsoft Entra. Por exemplo, você pode limitar a exibição dos usuários convidados de associações a um grupo ou permitir que os convidados vejam apenas informações de perfil próprias.
Especificar quem pode convidar usuários: por padrão, todos os usuários da sua organização, incluindo os usuários convidados da colaboração B2B, podem convidar usuários externos para a colaboração B2B. Caso deseje limitar a capacidade de enviar convites, ative ou desative os convites para todos ou limite-os a determinadas funções.
Habilitar a inscrição por autoatendimento de convidado por meio dos fluxos dos usuários: para os aplicativos compilados por você, crie fluxos dos usuários que permitem que um usuário se inscreva em um aplicativo e crie uma conta de convidado. Você pode habilitar o recurso nas configurações de colaboração externa e adicionar um fluxo dos usuários de inscrição por autoatendimento ao seu aplicativo.
Permitir ou bloquear domínios: você pode usar restrições de colaboração para permitir ou negar convites aos domínios especificados. Para obter detalhes, confira Permitir ou bloquear domínios.
Para a colaboração B2B com outras organizações do Microsoft Entra, revise também as configurações de acesso entre locatários para garantir a colaboração B2B de entrada e saída e o acesso ao escopo a usuários, grupos e aplicativos específicos.
Para usuários finais de colaboração B2B que fazem logins em vários locatários, a identidade visual do locatário principal aparece, mesmo que não haja uma identidade visual personalizada especificada. No exemplo a seguir, a identidade visual da empresa Woodgrove Groceries aparece à esquerda. O exemplo à direita exibe a identidade visual padrão do locatário principal do usuário.
Observação
Dependendo das configurações de colaboração externa que você prefere, diferentes funções de administrador podem ser exigidas. Este artigo especifica a função exigida para cada tipo de configuração. Confira também Funções com privilégios mínimos por tarefa para ID externa/B2C.
Definir configurações no portal
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Para configurar o acesso de usuário convidado
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
Navegue até Identidade>Identidades externas>Configurações de colaboração externa.
Em Acesso do usuário convidado, escolha o nível de acesso que deseja conceder aos usuários convidados:
Os usuários convidados têm o mesmo acesso que os membros (mais inclusivo): essa opção fornece aos convidados o mesmo acesso aos recursos do Microsoft Entra e aos dados de diretório que os usuários membros.
Os usuários convidados têm acesso limitado a propriedades e associações de objetos do directory (padrão) : essa configuração bloqueia convidados de determinadas tarefas de diretório, como a enumeração de usuários, grupos ou outros recursos de diretório. Os convidados podem ver a associação de todos os grupos não ocultos. Saiba mais sobre as permissões de convidado padrão.
O acesso do usuário convidado é restrito a propriedades e associações de objetos próprios do diretório (mais restritivo) : com essa configuração, os convidados podem acessar somente os próprios perfis. Os convidados não têm permissão para ver os perfis, grupos ou membros de grupo dos outros usuários.
Configurar o convite de convidado
Iniciar sessão no centro de administração do Microsoft Entra como, pelo menos, Emissor de convites independente.
Navegue até Identidade>Identidades externas>Configurações de colaboração externa.
Em Configurações do convite de convidado, escolha as configurações apropriadas:
- Todas as pessoas na organização, incluindo os convidados e os que não são administradores, podem convidar usuários convidados (opção mais inclusiva): para permitir que convidados na organização chamem outros convidados, incluindo usuários que não são membros de uma organização, selecione esse botão de opção.
- Os usuários membros e os usuários atribuídos a funções de administrador específicas podem convidar usuários convidados, incluindo os convidados com permissões de membro: para permitir que usuários membros e usuários com funções de administrador específicas chamem convidados, selecione esse botão de opção.
- Somente os usuários atribuídos a funções de administrador específicas podem convidar usuários convidados: para permitir que somente os usuários com funções de Administrador de usuário ou Emissor de convites independente chamem convidados, selecione esse botão de opção.
- Ninguém na organização, incluindo os administradores, pode convidar usuários convidados (opção mais restritiva): para negar que todos na organização convidem convidados, selecione esse botão de opção.
Como configurar a de inscrição para autoatendimento do convidado
Iniciar sessão no centro de administração do Microsoft Entra como, pelo menos, Administrador de usuários.
Navegue até Identidade>Identidades externas>Configurações de colaboração externa.
Em Habilitar a inscrição para autoatendimento de convidados por meio de fluxos dos usuários, selecione Sim se você quiser poder criar dos usuários que permitam que os usuários se inscrevam em aplicativos. Para obter mais informações sobre essa configuração, confira Adicionar um fluxo de usuário de inscrição para autoatendimento a um aplicativo.
Para definir as configurações de licença do usuário externo
Iniciar sessão no centro de administração do Microsoft Entra como, pelo menos, Administrador de provedor de identidade externa.
Navegue até Identidade>Identidades externas>Configurações de colaboração externa.
Nas Configurações de saída do usuário externo, você pode controlar se os usuários externos podem se remover da sua organização.
- Sim: os usuários podem sair da organização sem a aprovação do administrador ou do contato de privacidade.
- Não: os usuários não podem sair da sua organização por conta própria. Ele veem uma mensagem orientando-os a entrar em contato com o administrador ou o responsável pela privacidade para solicitar a remoção da sua organização.
Importante
Você só poderá definir as Configurações de saída do usuário externo se tiver adicionado suas informações de privacidade ao locatário do Microsoft Entra. Caso contrário, essa configuração não estará disponível.
Para configurar restrições de colaboração (permitir ou bloquear domínios)
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Isso ajuda a melhorar a segurança da sua organização. Administrador global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
Iniciar sessão no centro de administração do Microsoft Entra pelo menos como Administrador global.
Navegue até Identidade>Identidades externas>Configurações de colaboração externa.
Em Restrições de colaboração, você pode escolher entre permitir ou negar convites para os domínios que você especificar e inserir nomes de domínio específicos nas caixas de texto. Para vários domínios, insira cada domínio em uma nova linha. Para obter mais informações, consulte Permitir ou bloquear convites para usuários B2B de organizações específicas.
Definir configurações com o Microsoft Graph
As configurações de colaboração externa podem ser definidas usando a API do Microsoft Graph:
- Para Restrições de acesso de usuário convidado e Restrições de convite de convidado, use o tipo de recurso authorizationPolicy.
- Para a configuração Habilitar a inscrição para autoatendimento de convidado por meio de fluxos dos usuários, use o tipo de recurso authenticationFlowsPolicy.
- Nas configurações de senha única por email (agora na página Todos os provedores de identidade no Centro de administração do Microsoft Entra), use o tipo de recurso emailAuthenticationMethodConfiguration.
Atribuir a função Emissor de convites independente a um usuário
Com a função Emissor de convites independente, você pode dar aos usuários individuais a capacidade de enviar convites sem atribuir a eles uma função de administrador de privilégio mais alto. Os usuários com a função de Emissor do convites podem chamar convidados mesmo quando a opção Somente os usuários atribuídos a funções de administrador específicas podem convidar usuários convidados está selecionada (em Configurações de convite de convidado).
Veja um exemplo que mostra como usar o Microsoft Graph PowerShell para adicionar um usuário à função Guest Inviter
:
Import-Module Microsoft.Graph.Identity.DirectoryManagement
$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>
$DirObject = @{
"@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
}
New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject
Logs de conexão para usuários B2B
Quando um usuário B2B entra em um locatário de recursos para colaborar, um log de conexão é gerado tanto no locatário inicial quanto no locatário do recurso. Esses logs incluem informações como o aplicativo que está sendo usado, os endereços de email, o nome e a ID do locatário inicial e do locatário do recurso.
Próximas etapas
Consulte os seguintes artigos na colaboração do Microsoft Entra B2B: