Microsoft Entra B2B 协作邀请兑换

  • 项目

本文介绍来宾用户可以访问资源以及所遇到的同意过程的方式。 如果向来宾发送邀请电子邮件,邀请会附有一个链接,来宾可以兑换该链接来访问应用或门户。 邀请电子邮件只是来宾可以访问资源的其中一种方式。 或者,可以将来宾添加到目录并为其提供指向要共享的门户或应用的直接链接。 无论他们使用哪种方法,都会指导来宾完成首次同意过程。 此过程可确保来宾同意隐私条款,并接受已设置的任何使用条款

将来宾用户添加到目录时,来宾用户帐户的同意状态(可在 PowerShell 中查看)最初设置为“PendingAcceptance”。 在来宾接受邀请并同意隐私策略和使用条款之前,此设置一直保留。 此后,同意状态会更改为“已接受”,且不再向来宾显示同意页。

通过邀请电子邮件的兑换流程

使用 Azure 门户将来宾用户添加到目录时,会在该过程中向来宾发送邀请电子邮件。 你还可以选择在使用 PowerShell 将来宾用户添加到目录时发送邀请电子邮件。 下面是来宾在兑换电子邮件中的链接时的体验说明。

  1. 来宾收到从 Microsoft 邀请发送的邀请电子邮件
  2. 来宾选择电子邮件中的“接受邀请”。
  3. 来宾根据下面所述完成同意体验

作为邀请电子邮件或应用程序的常用 URL 的替代方法,你可以为来宾提供指向你的应用或门户的直接链接。 首先需要通过 Microsoft Entra 管理中心或 PowerShell将来宾用户添加到目录中。 当来宾使用直接链接而不是邀请电子邮件时,仍将指导他们完成首次同意体验。

注意

直接链接特定于租户。 换句话说,它包含租户 ID 或已验证的域,以便可以在共享应用所在的租户中对来宾进行身份验证。 下面是使用租户上下文的直接链接的一些示例:

  • Microsoft Entra 管理中心:https://entra.microsoftonline.cn/<tenant id>

在某些情况下,建议使用邀请电子邮件而不要使用直接链接。 如果这些特殊情况对贵组织而言很重要,我们建议使用仍会发送邀请电子邮件的方法来邀请用户:

  • 有时,由于与联系人对象(例如,Outlook 联系人对象)存在冲突,受邀用户对象可能会没有电子邮件地址。 在这种情况下,用户必须选择邀请电子邮件中的兑换 URL。
  • 用户可使用受邀电子邮件地址的别名登录。 (别名指与电子邮件帐户关联的其他电子邮件地址。)在这种情况下,用户必须选择邀请电子邮件中的兑换 URL。

当来宾首次登录合作伙伴组织中的资源时,他们将看到以下同意体验。 这些同意页面仅在来宾登录后才会显示,如果用户已经接受它们,则根本不显示这些页面。

  1. 来宾查看描述邀请组织的隐私声明的“查看权限”页。 用户必须“接受”根据邀请组织的隐私策略使用其信息才能继续。

    显示“查看权限”页的屏幕截图。

    注意

    有关如何以租户管理员身份链接到组织隐私声明的信息,请参阅操作说明:在 Microsoft Entra ID 中添加组织的隐私信息

  2. 如果已配置使用条款,来宾将打开并查看使用条款,然后选择“接受”。

    显示新使用条款的屏幕截图。

    可以在“外部标识”>“使用条款”中配置使用条款

  3. 除非另行指定,否则来宾将重定向到应用访问面板,其中列出了来宾可以访问的应用程序。

    显示应用访问面板的屏幕截图。

在目录中,来宾的“已接受邀请”值更改为“是” 。 有关来宾用户帐户属性的详细信息,请参阅 Microsoft Entra B2B 协作用户的属性。 如果在访问应用程序时看到要求管理员同意的错误,请参阅如何向应用授予管理员同意

后续步骤