Активация приглашения службы совместной работы B2B
Область применения: сотрудники-арендаторы
внешние арендаторы (узнать больше)
В этой статье описывается, как гостевые пользователи могут получить доступ к ресурсам и процессу согласия, с которыми они сталкиваются. Если вы отправляете приглашение пользователю, приглашение содержит ссылку, которую гость может активировать для доступа к приложению или порталу. Электронная почта приглашения — это только один из способов доступа гостей к вашим ресурсам. Кроме того, вы можете добавить гостей в каталог и предоставить им прямую ссылку на портал или приложение, к которому вы хотите предоставить общий доступ. Независимо от используемого метода, гости проходят через процесс получения первоначального согласия. Этот процесс гарантирует, что ваши гости согласны с условиями конфиденциальности и принимают все настроенные условия использования.
Когда вы добавляете гостя в свой каталог, его учетная запись имеет статус согласия (просматриваемый в PowerShell), для которого изначально установлено значение PendingAcceptance. Эта настройка сохраняется до тех пор, пока гость не примет ваше приглашение и не согласится с вашей политикой конфиденциальности и условиями использования. После этого состояние согласия изменяется на Принято и страницы согласия больше не представляются гостю.
Внимание
- Начиная с 12 июля 2021 года, если клиенты Microsoft Entra B2B настроят новые интеграции с Google для самостоятельной регистрации в своих пользовательских или бизнес-приложениях, аутентификация с использованием удостоверений Google не будет работать до тех пор, пока она не будет переведена в системные веб-интерфейсы. Подробнее.
- 30 сентября 2021 года Google прекращает поддержку входа через встроенные веб-представления. Если ваши приложения удостоверяют подлинность пользователей с помощью встроенного веб-просмотра, и если вы используете федерацию Google с Azure AD B2C или Microsoft Entra B2B для приглашений внешних пользователей или самостоятельной регистрации, пользователи Google Gmail не смогут аутентифицироваться. Подробнее.
- Функция отправки одноразового секретного кода по электронной почте теперь включена по умолчанию для всех новых арендаторов и для всех существующих арендаторов, для которых вы не отключили ее явным образом. Если эта функция отключена, в рамках резервного способа проверки подлинности будет отправляться приглашение на создание учетной записи Майкрософт.
Процесс активации и вход через общую конечную точку
Гостевые пользователи теперь могут войти в мультитенантные или сторонние приложения Майкрософт через общую конечную точку (URL-адрес), например https://myapps.microsoft.com
. Ранее общий URL-адрес перенаправлял пользователя-гостя на основной клиент, а не на ресурсный клиент для аутентификации, поэтому требовалась ссылка для конкретного клиента (например, https://myapps.microsoft.com/?tenantid=<tenant id>
). Теперь пользователь-гость может перейти по общему URL-адресу приложения, выбрать Параметры входа, а потом нажать Вход в организацию. Затем пользователь вводит доменное имя вашей организации.
Затем пользователь перенаправляется в конечную точку для конкретного клиента, где он может войти с помощью своего адреса электронной почты или выбрать поставщика удостоверений, который вы настроили.
Процесс активации через прямую ссылку
В качестве альтернативы электронной почте приглашения или общему URL-адресу приложения предоставьте гостевую ссылку на приложение или портал. Сначала добавьте гостевого пользователя в каталог через центр администрирования Microsoft Entra или PowerShell. Затем используйте любой из настраиваемых способов развертывания приложений для пользователей, включая прямые ссылки на вход. Когда гость использует прямую ссылку вместо сообщения электронной почты с приглашением, он по-прежнему проходит процесс первоначального согласия.
Примечание.
Прямая ссылка предназначается для определенного клиента. Другими словами, она содержит идентификатор арендатора или проверенный домен, чтобы гость мог пройти проверку подлинности в арендаторе, где находится общедоступное приложение. Ниже приведены некоторые примеры прямых ссылок с контекстом клиента.
- Панель доступа к приложениям:
https://myapps.microsoft.com/?tenantid=<tenant id>
- Панель доступа к приложениям для проверенного домена:
https://myapps.microsoft.com/<;verified domain>
- Центр администрирования Microsoft Entra:
https://entra.microsoft.com/<tenant id>
- Отдельное приложение: смотрите, как использовать ссылку для прямого входа.
Ниже приведены некоторые сведения об использовании прямой ссылки и электронной почты приглашения:
Псевдонимы электронной почты: гостям, использующим псевдоним приглашенного адреса электронной почты, требуется отдельное приглашение по электронной почте. (Псевдоним — это другой адрес электронной почты, связанный с учетной записью электронной почты.) Пользователь должен выбрать URL-адрес активации в сообщении электронной почты приглашения.
Конфликтующие объекты контактов: процесс восстановления обновлен, чтобы предотвратить проблемы со входом, когда гостевой объект пользователя конфликтует с объектом контакта в каталоге. При добавлении или приглашении гостя с сообщением электронной почты, которое соответствует существующему контакту, свойство proxyAddresses в гостевом объекте пользователя остается пустым. Ранее внешний идентификатор искал только свойство proxyAddresses, поэтому активация прямой ссылки не удавалась при отсутствии совпадения. Теперь внешний идентификатор выполняет поиск как по proxyAddresses, так и по свойству электронной почты приглашенного пользователя.
Процесс получения через письмо-приглашение
При добавлении гостевого пользователя в каталог через в Центре администрирования Microsoft Entraотправляется письмо с приглашением. Вы также можете отправить приглашения по электронной почте, когда используете PowerShell, чтобы добавить гостевых пользователей в каталог. Ниже приведено описание процесса активации ссылки гостем в сообщении электронной почты.
- Гость получает приглашение, отправленное Microsoft Invitations.
- Он выбирает пункт Принять приглашение в сообщении электронной почты.
- Гость использует свои учетные данные для входа в каталог. Если у гостя нет учетной записи, которая может быть федеративной в каталоге, а одноразовый секретный код (OTP) не включена, гость будет предложено создать личную учетной записи Майкрософт (MSA). Дополнительные сведения см. в разделе о потоке активации приглашения.
- Гостю предоставляется руководство по процедуре согласия, описанной ниже.
Поток погашения приглашения
Когда пользователь выбирает ссылку Принять приглашение в электронной почте приглашения, Microsoft Entra ID автоматически активирует приглашение в соответствии с порядком активации по умолчанию.
Идентификатор Microsoft Entra выполняет обнаружение пользователей, чтобы определить, уже существует ли пользователь в управляемом клиенте Microsoft Entra. (Неуправляемые учетные записи Microsoft Entra больше не могут использоваться для потока активации.) Если имя участника-пользователя (имя участника-пользователя) соответствует существующей учетной записи Microsoft Entra и персональной MSA, пользователю будет предложено выбрать учетную запись, с которой они хотят активировать.
Если администратор включил SAML/WS-Fed федерацию IdP, идентификатор Microsoft Entra ID проверяет, соответствует ли суффикс домена пользователя домену настроенного поставщика удостоверений SAML/WS-Fed, и перенаправляет пользователя к предварительно настроенному поставщику удостоверений.
Если администратор включил федерацию Google, Microsoft Entra ID проверяет, является ли домен пользователя gmail.com или googlemail.com, и перенаправляет пользователя на Google.
Процесс активации проверяет наличие у пользователя существующего личного MSA. Если у пользователя уже есть msA, он входит в систему с помощью существующей MSA.
После идентификации домашнего каталога пользователя он перенаправляется соответствующему поставщику удостоверений для входа в систему.
Если домашний каталог не найден и функция отправки одноразового секретного кода по электронной почте включена для гостей, секретный код отправляется пользователю на адрес электронной почты приглашенного лица. Пользователь получает и вводит этот секретный код на странице входа в Microsoft Entra.
Если домашний каталог не найден и функция отправки одноразового секретного кода по электронной почте отключена, пользователю будет предложено создать пользовательскую учетную запись MSA с использованием адреса электронной почты приглашенного лица. Мы поддерживаем создание MSA с рабочими электронными письмами в доменах, которые не проверены в идентификаторе Microsoft Entra.
После проверки подлинности у нужного поставщика удостоверений пользователь перенаправляется на Microsoft Entra ID, чтобы завершить процесс согласия.
Настраиваемое погашение
Настраиваемое активация позволяет настроить порядок поставщиков удостоверений, представленных гостям при активации приглашений. Когда гость выбирает ссылку "Принять приглашение", Microsoft Entra ID автоматически обменивает приглашение в соответствии с порядком по умолчанию. Переопределите это, изменив порядок использования поставщика удостоверений в межарендаторских настройках доступа .
Условия предоставления согласия для гостей
Когда гость впервые входит в ресурс в партнерской организации, ему предлагается следующий опыт согласия. Эти страницы согласия отображаются для гостя только после входа, они не отображаются, если пользователь уже принял их.
Гость просматривает страницу разрешений на проверку , где описывается заявление о конфиденциальности организации, пригласившей. Пользователь должен принять использование своей информации в соответствии с политикой конфиденциальности приглашающей организации, чтобы продолжить.
Согласившись с этим запросом на согласие, вы признаете, что некоторые элементы вашей учетной записи будут общими. К ним относятся имя, фотография и адрес электронной почты, а также идентификаторы каталогов, которые могут использоваться другой организацией для улучшения управления учетной записью и улучшения взаимодействия между организациями.
Примечание.
Для получения информации о том, как администратор клиента может сделать ссылку на политику конфиденциальности вашей организации, см. статью "Как добавить информацию о политике конфиденциальности вашей организации в Microsoft Entra ID".
Если условия использования настроены, гостю необходимо открыть и изучить их, а затем нажать кнопку Принять.
Вы можете настроить условия использования в разделе Внешние удостоверения>Условия использования.
Если не указано иное, гость перенаправляется на панель доступа к приложениям, в которой перечислены приложения, доступные гостю.
В вашем каталоге будет изменено значение приглашения гостя с Приглашение принято на Да. Если вы создали MSA, гостевой параметр Источник будет иметь значение Учетная запись Майкрософт. Дополнительные сведения о свойствах учетной записи гостевого пользователя см. в разделе "Свойства пользователя совместной работы Microsoft Entra B2B". Если отображается сообщение об ошибке, требующее согласия администратора при доступе к приложению, см. раздел о том, как предоставить согласие администратора для приложений.
Настройка процесса автоматического выкупа
Возможно, вы хотите автоматически погашать приглашения, чтобы пользователям не приходилось принимать запрос на согласие при добавлении в другой клиент для совместной работы B2B. При настройке уведомительное электронное письмо отправляется пользователю совместной работы B2B и не требует от него никаких действий. Пользователям сообщение с уведомлением по электронной почте отправляется напрямую; им не нужно сначала обращаться к арендатору перед получением письма.
Для получения информации о том, как автоматически активировать приглашения, см. обзор межтенантного доступа и настройку параметров доступа между клиентами для B2B-сотрудничества.