Configurer les paramètres de collaboration externe

  • Article

Les paramètres de collaboration externe vous permettent de spécifier les rôles de votre organisation qui peuvent inviter des utilisateurs externes pour la collaboration B2B. Ces paramètres incluent également des options permettant d’autoriser ou de bloquer des domaines spécifiques, ainsi que des options permettant de limiter ce que les utilisateurs invités externes peuvent voir dans votre répertoire Microsoft Entra. Les options suivantes sont disponibles :

  • Déterminer l’accès de l’utilisateur invités : Microsoft Entra ID externe vous permet de limiter ce que les utilisateurs invités externes peuvent voir dans votre répertoire Microsoft Entra. Par exemple, vous pouvez limiter l’affichage des appartenances de groupe aux utilisateurs invités ou autoriser les invités à afficher uniquement leurs propres informations de profil.

  • Spécifier qui peut inviter des invités : Par défaut, tous les utilisateurs de votre organisation, y compris les utilisateurs invités B2B collaboration, peuvent inviter des utilisateurs externes à B2B collaboration. Si vous souhaitez limiter la capacité à envoyer des invitations, vous pouvez activer ou désactiver les invitations pour tout le monde ou limiter les invitations à certains rôles.

  • Activer l’inscription en libre-service d’invité via les flux d’utilisateur : Pour les applications que vous générez, vous pouvez créer des flux d’utilisateur qui permettent à un utilisateur de s’inscrire à une application et de créer un compte invité. Vous pouvez activer la fonctionnalité dans vos paramètres de collaboration externe, puis Ajouter un flux d’utilisateur d’inscription en libre-service.

  • Autoriser ou bloquer des domaines : vous pouvez utiliser des restrictions de collaboration pour autoriser ou refuser des invitations aux domaines que vous spécifiez. Pour plus d’informations, consultez Autoriser ou bloquer des domaines.

Pour la collaboration B2B avec d’autres organisations Microsoft Entra, vous devez également passer en revue les paramètres d’accès inter-locataires pour garantir la collaboration B2B et limiter l’étendue d’accès à des utilisateurs, groupes et applications spécifiques.

Pour les utilisateurs finaux B2B Collaboration qui effectuent des connexions entre locataires, la marque de leur locataire d’origine s’affiche, même si aucune marque personnalisée n’est spécifiée. Dans l’exemple suivant, la marque d’entreprise pour Woodgrove Groceries s’affiche sur la gauche. L’exemple de droite affiche la marque par défaut du locataire d’origine de l’utilisateur.

Screenshots showing a comparison of the branded sign-in experience and the default sign-in experience.

Configurer les paramètres dans le portail

Conseil

Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.

  1. Connectez-vous au Centre d'administration Microsoft Entra en tant qu'Administrateur de fournisseur d'identité externe.

  2. Accédez à Identité>Identités externes>Paramètres de collaboration externe.

  3. Sous Accès de l’utilisateur invité, choisissez le niveau d’accès que les utilisateurs invités doivent avoir :

    Screenshot showing Guest user access settings.

    • Les utilisateurs invités ont le même accès que les membres (le plus inclusif) : Cette option donne aux invités le même accès aux ressources Microsoft Entra et aux données d’annuaire que les utilisateurs membres.

    • Les utilisateurs invités ont un accès limité aux propriétés et aux appartenances des objets d’annuaire : Ce paramètre empêche les invités d’effectuer certaines tâches d’annuaire, telles que l’énumération d’utilisateurs, de groupes ou d’autres ressources de répertoire. Les invités peuvent voir l’appartenance de tous les groupes non masqués. En savoir plus sur les autorisations d’invité par défaut.

    • L’accès utilisateur invité est limité aux propriétés et aux appartenances de ses propres objets d’annuaire (le plus restrictif) : Avec ce paramètre, les invités ne peuvent accéder qu’à leurs propres profils. Guests aren't allowed to see other users' profiles, groups, or group memberships.

  4. Sous Paramètres d’invitation d’invités, choisissez les paramètres appropriés :

    Screenshot showing Guest invite settings.

    • Tous les utilisateurs de l’organisation peuvent convier des utilisateurs invités, notamment des invités et des non-administrateurs (paramètre le plus inclusif) : Pour permettre aux invités de l’organisation d’inviter d’autres invités, y compris les utilisateurs non membres d’une organisation, sélectionnez cette case d’option.
    • Les utilisateurs membres et les utilisateurs affectés à des rôles Administrateur spécifiques peuvent inviter des utilisateurs invités, y compris des invités disposant d’autorisations de membre : Pour permettre aux utilisateurs membres et aux utilisateurs ayant des rôles Administrateur spécifiques d’inviter des invités, sélectionnez cette case d’option.
    • Seuls les utilisateurs affectés à des rôles Administrateur spécifiques peuvent inviter des utilisateurs invités : Pour autoriser uniquement les utilisateurs ayant des rôles Administrateur à inviter des invités, sélectionnez cette case d’option. Les rôles Administrateur sont les suivants : Administrateur général, Administrateur d’utilisateurs et Inviteur.
    • Aucune personne dans l’organisation ne peut inviter des utilisateurs invités, y compris les administrateurs (option la plus restrictive) : Pour empêcher toute personne dans l’organisation d’inviter des invités, sélectionnez cette case d’option.

  5. Sous Activer l’inscription en libre-service d’invité via des flux utilisateur, sélectionnez Oui si vous souhaitez pouvoir créer des flux d’utilisateurs pour permettre aux utilisateurs de s’inscrire auprès des applications. Pour plus d’informations sur ce paramètre, consultez Ajouter un flux d’utilisateurs d’inscription en libre-service à une application.

    Screenshot showing Self-service sign up via user flows setting.

  6. Sous Paramètres de départ de l’utilisateur externe, vous pouvez contrôler si les utilisateurs externes peuvent se supprimer de votre organisation.

    • Oui : les utilisateurs peuvent quitter l’organisation par eux-mêmes sans approbation de votre administrateur ou contact de confidentialité.
    • Non : Les utilisateurs ne peuvent pas quitter votre organisation par eux-mêmes. Ils voient un message les invitant à contacter votre administrateur ou contact de confidentialité pour demander à être supprimés de votre organisation.

    Important

    Vous pouvez configurer les paramètres de congé des utilisateurs externes uniquement si vous avez ajouté vos informations de confidentialité à votre locataire Microsoft Entra. Sinon, ce paramètre n’est pas disponible.

    Screenshot showing External user leave settings in the portal.

  7. Sous Restrictions de collaboration, vous pouvez choisir d’autoriser ou de refuser les invitations aux domaines que vous spécifiez. Vous pouvez notamment entrer des noms de domaine spécifiques dans les zones de texte. Pour plusieurs domaines, entrez chaque domaine sur une nouvelle ligne. Pour plus d’informations, consultez Autoriser ou bloquer des invitations aux utilisateurs B2B à partir d’organisations spécifiques.

    Screenshot showing Collaboration restrictions settings.

Configurer les paramètres avec Microsoft Graph

Les paramètres de collaboration externe peuvent être configurés à l’aide de l’API Microsoft Graph :

  • Pour les restrictions d’accès des utilisateurs invités et les restrictions d’invitation d’invités, utilisez le type de ressource authorizationPolicy.
  • Pour le paramètreActiver l’inscription en libre-service d’invité via le paramètre des flux utilisateur, utilisez le type de ressource authenticationFlowsPolicy.
  • Pour les paramètres de code d’accès à usage unique de courrier électronique (maintenant sur la page Tous les fournisseurs d’identité du centre d’administration Microsoft Entra), utilisez le type de ressource emailAuthenticationMethodConfiguration.

Affecter le rôle Inviteur d’invités à un utilisateur

Avec le rôle Inviteur d’invités, vous pouvez donner à des utilisateurs la possibilité d’inviter des invités sans leur attribuer un rôle d’administrateur général, ou tout autre rôle d’administration. Les utilisateurs disposant du rôle Inviteur d’invités peuvent inviter des invités même lorsque l’option Seuls les utilisateurs avec des rôles spécifiques d’administrateur peuvent convier des utilisateurs invités est sélectionnée (sous paramètres de l’invitation d’invité).

Voici un exemple qui montre comment utiliser Microsoft Graph PowerShell pour ajouter un utilisateur au rôle Guest Inviter :


Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

Journaux de connexion pour les utilisateurs B2B

Lorsqu’un utilisateur B2B se connecte à un locataire de ressources pour collaborer, un journal de connexion est généré à la fois dans le locataire de base et dans le locataire de la ressource. Ces journaux incluent des informations telles que l’application utilisée, les adresses e-mail, le nom du locataire et l’ID de locataire pour le locataire de base et le locataire de la ressource.

Étapes suivantes

Consultez les articles suivants sur la collaboration Microsoft Entra B2B :