Estoy probando las capacidades de Azure AD B2B para mi empresa. He intentado invitar a usuarios externos a través del portal y mediantehttps://graph.microsoft.com/beta/invitations. Los usuarios son invitados con éxito y agregados a nuestro directorio en ambos escenarios. El inicio de sesión funciona para cuentas sociales (que luego usan una cuenta de Microsoft). Si se trata de una cuenta no social, también conocida como contoso.com, que no tiene un AD de Azure anterior, obtengo un acceso_negado cuando nuestra aplicación intenta iniciar sesión en el usuario. Si trato de forzar un flujo de consentimiento, recibo el siguiente mensaje:

AADSTS65005: la aplicación zzz actualmente no es compatible con su empresa aaa.no. Su empresa se encuentra actualmente en un estado no administrado y necesita un administrador para reclamar la propiedad de la empresa mediante la validación DNS de aaa.no antes de que se pueda aprovisionar la aplicación zzz.

Tenemos muchas pequeñas empresas como clientes y no parece razonable que todas tengan que administrar el directorio de Azure AD antes de que sus usuarios puedan usar nuestras aplicaciones. Se supone que es perfecto segúnMicrosoft:

Sin inconvenientes: las empresas asociadas que necesitan acceso a sus aplicaciones corporativas no necesitan tener Azure AD. La colaboración B2B de Azure AD proporciona una experiencia de registro de usuario simple para proporcionar a estos socios acceso inmediato a sus aplicaciones.

Si pueden registrarse y crear tanto su usuario como el directorio, ¿por qué no pueden dar a la aplicación que han sido invitados a dar su consentimiento para iniciar sesión (la aplicación requiere permisos de delegado de perfil de usuario y lectura)?

Ya permitimos que las empresas con su propio Azure AD administrado usen a sus usuarios en nuestras aplicaciones. Obtenemos un Administrador Global para dar su consentimiento de administrador a nuestras aplicaciones para que puedan iniciar sesión en los usuarios y leer los datos del directorio. Estos usuarios no están agregados a nuestro directorio y funciona perfectamente.

Además, si voy al nuevo portal como usuario invitado, puedo ver que el dominio aaa.no está verificado, pero no puedo configurarlo como primario.

Otras cosas que he probado que no funcionaron: actualizado a la versión ADAL más reciente, intenté crear una aplicación enhttps://apps.dev.microsoft.com y usé eso, traté de establecer permisos en el antiguo portal azul (parece ser un error en el nuevo portal donde los permisos no se muestran en el manifiesto) e intenté hacer que la aplicación sea un inquilino único. Nada funciona.