本文介绍来宾用户的 Microsoft Entra B2B 邀请兑换过程,包括他们如何访问资源并完成所需的许可步骤。 无论是发送邀请电子邮件还是提供直接链接,来宾都通过安全登录和同意流程引导,以确保符合组织的隐私条款和 使用条款。
将来宾用户添加到目录时,来宾用户帐户的同意状态(在 PowerShell 中可查看)最初设置为 PendingAcceptance。 在来宾接受邀请并同意隐私策略和使用条款之前,此设置一直保留。 此后,同意状态会更改为“已接受”,且不再向来宾显示同意页。
通过直接链接的兑换流程
作为邀请电子邮件或应用程序的常见 URL 的替代方法,请向来宾提供指向应用或门户的直接链接。 首先,通过 Microsoft Entra 管理中心 或 PowerShell 将来宾用户添加到目录中。 然后使用任何 可自定义的方法将应用程序部署到用户,包括直接登录链接。 当来宾使用直接链接而不是邀请电子邮件时,该链接仍会引导他们完成首次许可体验。
注意
直接链接特定于租户。 换句话说,它包含租户 ID 或已验证的域,以便可以在共享应用所在的租户中对来宾进行身份验证。 下面是使用租户上下文的直接链接的一些示例:
- Microsoft Entra 管理中心:
https://entra.microsoftonline.cn/<tenant id>
下面是使用直接链接与邀请电子邮件时需要注意的一些事项:
电子邮件别名: 使用受邀电子邮件地址别名的来宾需要电子邮件邀请。 (别名指与电子邮件帐户关联的其他电子邮件地址。)用户必须选择邀请电子邮件中的兑换 URL。
冲突的联系人对象: 当来宾用户对象与目录中的联系人对象冲突时,兑换过程会阻止登录问题。 每当使用与现有联系人匹配的电子邮件添加或邀请来宾时,来宾用户对象上的 proxyAddresses 属性将保持为空。 以前,外部 ID 仅搜索 proxyAddresses 属性,因此直接链接兑换在找不到匹配项时失败。 现在,外部 ID 搜索 proxyAddresses 和受邀的电子邮件属性两者。
通过邀请电子邮件的兑换流程
使用 Microsoft Entra 管理中心将来宾用户添加到目录中时,会向来宾发送邀请电子邮件。 当 使用 PowerShell 将来宾用户添加到目录时,还可以选择发送邀请电子邮件。 客户在电子邮件中兑换链接时的体验描述如下。
- 来宾收到由的Microsoft Invitations发送的
<primary domain> <invites@<primary domain>.partner.onmschina.cn>。 - 来宾选择电子邮件中的“接受邀请”。
- 来宾将被引导完成以下部分所描述的同意体验。
来宾的同意体验
当来宾首次登录到合作伙伴组织中的资源时,他们会看到以下同意体验。 来宾仅在登录后才会看到这些同意页面,如果用户已接受这些同意页,则根本不显示这些同意页面。
来宾查看描述邀请组织的隐私声明的“审阅权限”页。 若要继续,用户必须根据邀请组织的隐私策略 接受 其信息的使用。
通过同意此同意提示,你确认帐户的某些元素是共享的。 这些元素包括你的姓名、照片和电子邮件地址,以及其他组织可能用来更好地管理帐户和改进跨组织体验的目录标识符。
注意
有关如何以租户管理员身份链接到组织隐私声明的信息,请参阅操作说明:在 Microsoft Entra ID 中添加组织的隐私信息。
如果配置了使用条款,则来宾将打开并评审使用条款,然后选择“ 接受”。
除非另行指定,否则来宾将重定向到应用访问面板,其中列出了来宾可以访问的应用程序。
在目录中,来宾的“已接受邀请”值更改为“是” 。 有关来宾用户帐户属性的详细信息,请参阅 Microsoft Entra B2B 协作用户的属性。 如果在访问应用程序时看到要求管理员同意的错误,请参阅如何向应用授予管理员同意。