Azure Active Directory B2B 协作邀请兑换

本文介绍来宾用户可以访问资源以及所遇到的同意过程的方式。 如果向来宾发送邀请电子邮件,邀请会附有一个链接,来宾可以兑换该链接来访问应用或门户。 邀请电子邮件只是来宾可以访问资源的其中一种方式。 或者,可以将来宾添加到目录并为其提供指向要共享的门户或应用的直接链接。 无论来宾使用哪种方法,系统都会引导他们完成首次同意过程。

将来宾用户添加到目录时,来宾用户帐户的同意状态(可在 PowerShell 中查看)最初设置为 PendingAcceptance。 在来宾接受邀请并同意隐私策略和使用条款之前,此设置一直保留。 此后,同意状态会更改为“已接受”,且不再向来宾显示同意页。

通过邀请电子邮件兑换

使用 Azure 门户将来宾用户添加到目录的过程中,会向来宾发送邀请电子邮件。 在使用 PowerShell 将来宾用户添加到目录时,也可选择发送邀请电子邮件。 下面是来宾在兑换电子邮件中的链接时的体验说明。

  1. 来宾收到从 Microsoft 邀请发送的邀请电子邮件
  2. 来宾选择电子邮件中的“接受邀请”。
  3. 来宾根据下面所述完成同意体验

作为邀请电子邮件或应用程序的常用 URL 的替代方法,你可以为来宾提供指向你的应用或门户的直接链接。 首先需要通过 Azure 门户 PowerShell 将来宾用户添加到目录。 当来宾使用直接链接而不是邀请电子邮件时,仍将指导他们完成首次同意体验。

备注

直接链接特定于租户。 换句话说,它包含租户 ID 或已验证的域,以便可以在共享应用所在的租户中对来宾进行身份验证。 下面是使用租户上下文的直接链接的一些示例:

  • Azure 门户:https://portal.azure.cn/<tenant id>

在某些情况下,建议使用邀请电子邮件而不要使用直接链接。 如果这些特殊情况对贵组织而言很重要,我们建议使用仍会发送邀请电子邮件的方法来邀请用户:

  • 有时,由于与联系人对象(例如,Outlook 联系人对象)存在冲突,受邀用户对象可能会没有电子邮件地址。 在这种情况下,用户必须单击邀请电子邮件中的兑换 URL。
  • 用户可使用受邀电子邮件地址的别名登录。 (别名指与电子邮件帐户关联的其他电子邮件地址。)在这种情况下,用户必须单击邀请电子邮件中的兑换 URL。

来宾在首次登录以访问合作伙伴组织中的资源后,会指导他们完成以下页面。

  1. 来宾查看描述邀请组织的隐私声明的“查看权限”页。 用户必须“接受”根据邀请组织的隐私策略使用其信息才能继续。

    显示“查看权限”页的屏幕截图

    备注

    有关如何以租户管理员身份链接到组织隐私声明的信息,请参阅如何:在 Azure Active Directory 中添加组织的隐私信息

  2. 如果已配置使用条款,来宾将打开并查看使用条款,然后选择“接受”。

    显示新使用条款的屏幕截图

  3. 除非另有指定,否则来宾会被重定向到应用访问面板,其中列出了来宾可以访问的应用程序。

    显示应用访问面板的屏幕截图

备注

同意体验仅在用户登录后才会出现,而不会在此之前出现。 在某些情况下,不会向用户显示同意体验,例如:

在目录中,来宾的“邀请已接受”值将更改为“是” 。 有关来宾用户帐户属性的详细信息,请参阅 Azure AD B2B 协作用户的属性。 如果在访问应用程序时看到要求管理员同意的错误,请参阅如何向应用授予管理员同意

后续步骤