Gerenciar contas de usuário externo no Microsoft Entra ID
Os usuários de colaboração do Microsoft Entra B2B são adicionados como usuários convidados ao diretório e as permissões de convidado no diretório são restritas por padrão. Sua empresa pode precisar de alguns usuários convidados para preencher funções de privilégio mais alto em sua organização. Para dar suporte à definição de funções de maior privilégio, os usuários convidados podem ser adicionados a quaisquer funções desejadas, com base nas necessidades da sua organização.
Adicionar um utilizador B2B a uma função
A Microsoft recomenda que as organizações usem a regra de menor privilégio. Você pode usar o Privileged Identity Management (PIM) para conceder acesso a usuários B2B/convidados.
Principais propriedades do usuário de colaboração B2B do Microsoft Entra
UserType
Esta propriedade indica a relação do usuário com a locação do host. Esta propriedade pode ter dois valores:
Membro: esse valor indica um funcionário da organização host e um usuário na folha de pagamento da organização. Por exemplo, esse usuário espera ter acesso a sites somente internos. Este utilizador não é considerado um colaborador externo.
Convidado: esse valor indica um usuário que não é considerado interno à empresa, como um colaborador, parceiro ou cliente externo. Não se espera que esse usuário receba um memorando interno do CEO ou receba benefícios da empresa, por exemplo.
Nota
O UserType não tem relação com como o usuário entra, a função de diretório do usuário e assim por diante. Essa propriedade simplesmente indica o relacionamento do usuário com a organização host e permite que a organização aplique políticas que dependem dessa propriedade.
Identidades
Essa propriedade indica o provedor de identidade principal do usuário. Um usuário pode ter vários provedores de identidade, que podem ser visualizados selecionando o link ao lado de Identidades no perfil do usuário ou consultando a propriedade identities por meio da API do Microsoft Graph.
| Valor da propriedade Identities | Estado de início de sessão |
|---|---|
| Locatário externo do Microsoft Entra | Esse usuário está hospedado em uma organização externa e se autentica usando uma conta do Microsoft Entra que pertence à outra organização. |
| Conta da Microsoft | Este utilizador está alojado numa conta Microsoft e autentica-se utilizando uma conta Microsoft. |
| {domínio do host} | Este utilizador autentica-se utilizando uma conta Microsoft Entra que pertence a esta organização. |
| google.com | Esse usuário tem uma conta do Gmail e se inscreveu usando o autoatendimento para a outra organização. |
| facebook.com | Este usuário tem uma conta no Facebook e se inscreveu usando o autoatendimento para a outra organização. |
| correio | Este usuário se inscreveu usando o código de acesso único (OTP) do Microsoft Entra Email. |
| {URI do emissor} | Esse usuário está hospedado em uma organização externa que não usa o Microsoft Entra ID como seu provedor de identidade, mas usa um provedor de identidade baseado em SAML/WS-Fed. |
Os usuários do Microsoft Entra B2B podem ser adicionados como membros em vez de convidados?
Normalmente, um usuário B2B do Microsoft Entra e um usuário convidado são sinônimos. Portanto, um usuário de colaboração B2B do Microsoft Entra é adicionado como um usuário com UserType = Guest por padrão. No entanto, em alguns casos, a organização parceira é membro de uma organização maior à qual a organização anfitriã também pertence. Em caso afirmativo, a organização anfitriã pode querer tratar os utilizadores na organização parceira como membros em vez de convidados. Use as propriedades de usuário do Microsoft Entra para transformar um convidado em membro.
Filtrar usuários convidados no diretório
Converter UserType
É possível converter UserType de Membro para Convidado e vice-versa usando o PowerShell. No entanto, a propriedade UserType representa a relação do usuário com a organização. Portanto, você deve alterar essa propriedade somente se a relação do usuário com a organização mudar. Se a relação do usuário mudar, o nome principal do usuário (UPN) deve mudar? O utilizador deve continuar a ter acesso aos mesmos recursos? Deve ser atribuída uma caixa de correio? Não recomendamos alterar o UserType usando o PowerShell como uma atividade atômica. Além disso, caso essa propriedade se torne imutável usando o PowerShell, não recomendamos assumir uma dependência desse valor.
Remover limitações de usuário convidado
Pode haver casos em que você queira conceder aos usuários convidados privilégios mais altos. Você pode adicionar um usuário convidado a qualquer função e até mesmo remover as restrições de usuário convidado padrão no diretório para dar a um usuário os mesmos privilégios que os membros. É possível desativar as limitações padrão para que um usuário convidado no diretório da empresa tenha as mesmas permissões que um usuário membro. Remova a limitação nas configurações do usuário no menu ID do Microsoft Entra.
Grupos dinâmicos e colaboração B2B do Microsoft Entra
O que são grupos dinâmicos?
A configuração dinâmica da associação ao grupo de segurança para o Microsoft Entra ID está disponível no portal do Azure. Os administradores podem definir regras para preencher grupos criados no Microsoft Entra ID com base nos atributos do usuário (como userType, departamento ou país/região). Os membros podem ser automaticamente adicionados ou removidos de um grupo de segurança com base nos atributos. Estes grupos podem proporcionar acesso a aplicações ou recursos da cloud (sites do SharePoint, documentos) e atribuir licenças a membros.
O licenciamento apropriado do Microsoft Entra ID Premium P1 ou P2 é necessário para criar e usar grupos dinâmicos.