Estou testando os recursos B2B do Azure AD para minha empresa. Tentei convidar usuários externos através do portal e usandohttps://graph.microsoft.com/beta/invitations. Os usuários são convidados com sucesso e adicionados ao nosso diretório em ambos os cenários. O login funciona para contas sociais (que usam uma conta da Microsoft). Se for uma conta não social, também conhecida como contoso.com, que não possui um Azure AD de antes, recebo um access_denied quando nosso aplicativo tenta fazer logon no usuário. Se eu tentar forçar um fluxo de consentimento, recebo a seguinte mensagem:

AADSTS65005: No momento, o aplicativo zzz não é suportado pela sua empresa aaa.no. Sua empresa está atualmente em um estado não gerenciado e precisa de um administrador para reivindicar a propriedade da empresa pela validação de DNS do aaa.no antes que o aplicativo zzz possa ser provisionado.

Temos muitas empresas pequenas como clientes e parece irracional que todas elas tenham que tornar o diretório do Azure AD gerenciado antes que seus usuários possam usar nossos aplicativos. Deveria ser perfeito de acordo comMicrosoft:

Sem costura: as empresas parceiras que precisam acessar seus aplicativos corporativos não precisam do Azure AD. A colaboração do Azure AD B2B fornece uma experiência de inscrição de usuário simples para fornecer a esses parceiros acesso imediato aos seus aplicativos.

Se eles podem se inscrever e criar o usuário e o diretório, por que eles não podem dar ao aplicativo para o qual foram convidados a consentir o login (Entrar e ler permissões de delegação de perfil de usuário é exigido pelo aplicativo)?

Já permitimos que empresas com seu próprio Azure AD gerenciado usem seus usuários em nossos aplicativos. Solicitamos a um Administrador Global que dê o consentimento do administrador para nossos aplicativos, para que eles possam acessar usuários e ler os dados do diretório. Esses usuários não são adicionados ao nosso diretório e funcionam perfeitamente.

Além disso, se eu for para o novo portal como usuário convidado, posso ver que o domínio aaa.no está verificado, mas não posso defini-lo como primário.

Outras coisas que tentei que não funcionaram: Atualizadas para a versão mais recente do ADAL, tentei criar aplicativos nohttps://apps.dev.microsoft.com e use isso, tentou definir permissões no antigo portal do Azure (parece ser um bug no novo portal onde as permissões não aparecem no manifesto) e tentou tornar o aplicativo único inquilino. Nada funciona.