Definir configurações de colaboração externa

  • Artigo

As configurações de colaboração externa permitem especificar quais funções na sua organização podem convidar usuários externos para a colaboração B2B. Essas configurações também incluem opções para permitir ou bloquear domínios específicos e opções para restringir o que os usuários convidados externos podem ver no diretório do Microsoft Entra. As seguintes opções estão disponíveis:

  • Determinar o acesso de usuário convidado: a ID externa do Microsoft Entra permite restringir o que os usuários convidados externos podem ver no diretório do Microsoft Entra. Por exemplo, você pode limitar a exibição dos usuários convidados de associações a um grupo ou permitir que os convidados vejam apenas informações de perfil próprias.

  • Especificar quem pode convidar usuários: por padrão, todos os usuários da sua organização, incluindo os usuários convidados da colaboração B2B, podem convidar usuários externos para a colaboração B2B. Caso deseje limitar a capacidade de enviar convites, ative ou desative os convites para todos ou limite-os a determinadas funções.

  • Habilitar a inscrição por autoatendimento de convidado por meio dos fluxos dos usuários: para os aplicativos compilados por você, crie fluxos dos usuários que permitem que um usuário se inscreva em um aplicativo e crie uma conta de convidado. Você pode habilitar o recurso nas configurações de colaboração externa e adicionar um fluxo dos usuários de inscrição por autoatendimento ao seu aplicativo.

  • Permitir ou bloquear domínios: você pode usar restrições de colaboração para permitir ou negar convites aos domínios especificados. Para obter detalhes, confira Permitir ou bloquear domínios.

Para a colaboração B2B com outras organizações do Microsoft Entra, revise também as configurações de acesso entre locatários para garantir a colaboração B2B de entrada e saída e o acesso ao escopo a usuários, grupos e aplicativos específicos.

Para usuários finais de colaboração B2B que fazem logins em vários locatários, a identidade visual do locatário principal aparece, mesmo que não haja uma identidade visual personalizada especificada. No exemplo a seguir, a identidade visual da empresa Woodgrove Groceries aparece à esquerda. O exemplo à direita exibe a identidade visual padrão do locatário principal do usuário.

Screenshots showing a comparison of the branded sign-in experience and the default sign-in experience.

Definir configurações no portal

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador Provedor de identidade externa.

  2. Navegue até Identidade>Identidades Externas>Configurações de colaboração externa.

  3. Em Acesso do usuário convidado, escolha o nível de acesso que deseja conceder aos usuários convidados:

    Screenshot showing Guest user access settings.

    • Os usuários convidados têm o mesmo acesso que os membros (mais inclusivo): essa opção fornece aos convidados o mesmo acesso aos recursos do Microsoft Entra e aos dados de diretório que os usuários membros.

    • Os usuários convidados têm acesso limitado a propriedades e associações de objetos do directory (padrão) : essa configuração bloqueia convidados de determinadas tarefas de diretório, como a enumeração de usuários, grupos ou outros recursos de diretório. Os convidados podem ver a associação de todos os grupos não ocultos. Saiba mais sobre as permissões de convidado padrão.

    • O acesso do usuário convidado é restrito a propriedades e associações de objetos próprios do diretório (mais restritivo) : com essa configuração, os convidados podem acessar somente os próprios perfis. Os convidados não têm permissão para ver os perfis, grupos ou associações de grupo dos outros usuários.

  4. Em Configurações de convite do convidado, escolha as configurações apropriadas:

    Screenshot showing Guest invite settings.

    • Todas as pessoas na organização, incluindo os convidados e os que não são administradores, podem convidar usuários convidados (opção mais inclusiva): para permitir que convidados na organização chamem outros convidados, incluindo usuários que não são membros de uma organização, selecione esse botão de opção.
    • Os usuários membros e os usuários atribuídos a funções de administrador específicas podem convidar usuários convidados, incluindo os convidados com permissões de membro: para permitir que usuários membros e usuários com funções de administrador específicas chamem convidados, selecione esse botão de opção.
    • Somente os usuários atribuídos a funções de administrador específicas podem convidar usuários convidados: para permitir que somente os usuários com funções de administrador chamem convidados, selecione esse botão de opção. As funções de administrador incluem Administrador Global, Administrador de Usuárioe Emissor do Convite ao Convidado.
    • Ninguém na organização, incluindo os administradores, pode convidar usuários convidados (opção mais restritiva) : para negar que todos na organização chamem convidados, selecione esse botão de opção.

  5. Em Habilitar a inscrição para autoatendimento de convidados por meio de fluxos de usuário, selecione Sim se você quiser poder criar fluxos de usuário que permitam que os usuários se inscrevam em aplicativos. Para obter mais informações sobre essa configuração, confira Adicionar um fluxo de usuário de inscrição para autoatendimento a um aplicativo.

    Screenshot showing Self-service sign up via user flows setting.

  6. Nas Configurações de saída do usuário externo, você pode controlar se os usuários externos podem se remover da sua organização.

    • Sim: os usuários podem sair da organização sem a aprovação do administrador ou do contato de privacidade.
    • Não: os usuários não podem sair da sua organização por conta própria. Ele veem uma mensagem orientando-os a entrar em contato com o administrador ou o responsável pela privacidade para solicitar a remoção da sua organização.

    Importante

    Você só poderá definir as Configurações de saída do usuário externo se tiver adicionado suas informações de privacidade ao locatário do Microsoft Entra. Caso contrário, essa configuração não estará disponível.

    Screenshot showing External user leave settings in the portal.

  7. Em Restrições de colaboração, você pode escolher entre permitir ou negar convites para os domínios que você especificar e inserir nomes de domínio específicos nas caixas de texto. Para vários domínios, insira cada domínio em uma nova linha. Para obter mais informações, consulte Permitir ou bloquear convites para usuários B2B de organizações específicas.

    Screenshot showing Collaboration restrictions settings.

Definir configurações com o Microsoft Graph

As configurações de colaboração externa podem ser definidas usando a API do Microsoft Graph:

  • Para Restrições de acesso de usuário convidado e Restrições de convite de convidado, use o tipo de recurso authorizationPolicy.
  • Para a configuração Habilitar a inscrição para autoatendimento de convidado por meio de fluxos dos usuários, use o tipo de recurso authenticationFlowsPolicy.
  • Nas configurações de senha única por email (agora na página Todos os provedores de identidade no Centro de administração do Microsoft Entra), use o tipo de recurso emailAuthenticationMethodConfiguration.

Atribuir a função Emissor de convites independente a um usuário

Com a função Emissor de convites, você pode dar aos usuários individuais a capacidade de enviar convites sem atribuir a eles um administrador global ou outra função de administrador. Os usuários com a função de Emissor do convites podem chamar convidados mesmo quando a opção Somente os usuários atribuídos a funções de administrador específicas podem convidar usuários convidados está selecionada (em Configurações de convite de convidado).

Veja um exemplo que mostra como usar o Microsoft Graph PowerShell para adicionar um usuário à função Guest Inviter:


Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

Logs de conexão para usuários B2B

Quando um usuário B2B entra em um locatário de recursos para colaborar, um log de conexão é gerado tanto no locatário inicial quanto no locatário do recurso. Esses logs incluem informações como o aplicativo que está sendo usado, os endereços de email, o nome e a ID do locatário inicial e do locatário do recurso.

Próximas etapas

Consulte os seguintes artigos na colaboração do Microsoft Entra B2B: