Microsoft Entra 外部 ID 簡介
Microsoft Entra 外部 ID 結合功能強大的解決方案,與組織外部人員合作。 使用外部識別碼功能,您可以允許外部身分識別安全地存取您的應用程式和資源。 無論您是與外部合作夥伴、取用者或商務客戶合作,使用者都可以攜帶自己的身分識別。 這些身分識別的範圍從公司或政府發行的帳戶到 Google 或 Facebook 等社交身分識別提供者。
這些案例落在 Microsoft Entra 外部 ID 的範圍內:
如果您是組織或建立取用者應用程式的開發人員,請使用外部識別碼快速將驗證和客戶身分識別和存取管理 (CIAM) 新增至您的應用程式。 註冊您的應用程式、建立自定義的登入體驗,以及在外部設定的 Microsoft Entra 租使用者中管理您的應用程式使用者。 此租使用者與您的員工和組織資源不同。
如果您想要讓員工能夠與商務夥伴和來賓共同作業,請使用外部標識碼進行 B2B 共同作業。 允許透過邀請或自助式註冊,安全地存取您的企業應用程式。 判斷來賓對包含員工和組織資源的 Microsoft Entra 租使用者所擁有的存取層級,這是員工設定中的租使用者。
Microsoft Entra 外部 ID 是一個彈性的解決方案,適用於需要驗證和 CIAM 的消費者導向應用程式開發人員,以及尋求安全 B2B 共同作業的企業。
保護取用者和商務客戶的應用程式
當將應用程式發佈給取用者和商務客戶時,組織和開發人員可以在外部租使用者中使用外部標識碼作為其 CIAM 解決方案。 您可以在外部設定中建立個別的 Microsoft Entra 租使用者,這可讓您與員工分開管理應用程式和用戶帳戶。 在此租使用者中,您可以輕鬆地設定自定義品牌註冊體驗和使用者管理功能:
設定自助式註冊流程,以定義客戶遵循的一系列註冊步驟,以及他們可以使用的登入方法,例如電子郵件和密碼、一次性密碼,或 Google 或 Facebook 中的社交帳戶。
為使用者設定租使用者的公司商標設定,以建立使用者登入應用程式的自定義外觀與風格。 透過這些設定,您可以新增自己的背景影像、色彩、公司標誌和文字,以自定義應用程式之間的登入體驗。
從一系列內建使用者屬性中選取或新增您自己的自定義屬性,以在註冊期間收集客戶的資訊。
分析用戶活動和參與度數據,以找出可協助策略性決策並推動業務成長的寶貴見解。
使用外部標識碼,客戶可以使用他們已經擁有的身分識別登入。 您可以自訂及控制客戶在使用應用程式時如何註冊和登入。 因為這些 CIAM 功能內建於外部標識符中,因此您也可以受益於 Microsoft Entra 平臺功能,例如增強的安全性、合規性和延展性。
如需詳細資訊,請參閱外部租使用者中的 Microsoft Entra 外部 ID 概觀。
與商務來賓共同作業
外部標識碼 B2B 共同 作業可讓您的員工與外部商務夥伴共同作業。 您可以邀請任何人使用自己的認證登入您的 Microsoft Entra 組織,讓他們可以存取您想要與其共用的應用程式和資源。 當您需要讓商務來賓存取 Office 365 應用程式、軟體即服務 (SaaS) 應用程式和企業營運應用程式時,請使用 B2B 共同作業。 沒有與商務來賓相關聯的認證。 相反地,他們會向主組織或身分識別提供者進行驗證,然後您的組織會檢查使用者的來賓共同作業資格。
有各種方式可將商務來賓新增至您的組織以進行共同作業:
邀請使用者使用您啟用的 Microsoft Entra 帳戶、Microsoft 帳戶或社交身分識別共同作業,例如 Google。 系統管理員可以使用 Microsoft Entra 系統管理中心或 PowerShell 來邀請使用者共同作業。 使用者使用工作、學校或其他電子郵件帳戶的簡單兌換流程,便能登入至共用資源。
使用自助式註冊使用者流程,讓來賓自行註冊應用程式。 您可以自訂此體驗,以允許使用工作、學校或社交身分識別 (例如 Google 或 Facebook) 註冊。 您也可以在登入流程期間收集使用者的相關資訊。
Microsoft Entra 權利管理 是一種身分識別控管功能,可用以透過將存取要求工作流程、存取指派、檢閱和到期自動化,讓您管理 外部使用者的身分識別與存取。
系統會為與員工位於相同目錄中的商務來賓建立用戶物件。 此使用者物件可像您目錄中的其他使用者物件般管理、新增至群組等等。 您可以指派權限給使用者物件 (用於授權),同時讓他們使用其現有的認證 (進行驗證)。
您可以使用 跨租使用者存取設定 來管理與其他 Microsoft Entra 組織及跨 Microsoft Azure 雲端的共同作業。 若要與非 Azure AD 外部使用者和組織共同作業,請使用 外部共同作業設定。
什麼是「員工」和「外部」租使用者?
租使用者是 Microsoft Entra ID 的專用且受信任的實例,其中包含組織的資源,包括已註冊的應用程式和使用者的目錄。 有兩種方式可以設定租用戶,視組織打算如何使用租用戶和他們想要管理的資源而定:
- 員工租用戶設定是標準 Microsoft Entra 租使用者,其中包含您的員工、內部商務應用程式和其他組織資源。 在員工租使用者中,您的內部使用者可以使用 B2B 共同作業,與外部商務夥伴和來賓共同作業。
- 外部租用戶設定專門用於您想要發佈給取用者或商務客戶的應用程式。 此相異租使用者遵循標準 Microsoft Entra 租使用者模型,但已針對取用者案例進行設定。 其中包含您的應用程式註冊和取用者或客戶帳戶的目錄。
如需詳細資訊,請參閱 Microsoft Entra 外部 ID 中的員工和外部租用戶設定。
比較外部標識碼功能集
下表比較您可以啟用與外部標識碼的案例。
| 員工租使用者中的外部標識碼 | 外部租使用者中的外部標識碼 | |
|---|---|---|
| 主要案例 | 讓您的員工能夠與商務來賓共同作業。 讓來賓使用慣用的身分識別登入 Microsoft Entra 組織中的資源。 提供 Microsoft 應用程式或您自己的應用程式的存取權 (SaaS 應用程式、自訂開發的應用程式等等)。 範例: 邀請來賓登入您的 Microsoft 應用程式,或成為 Teams 中的來賓成員。 |
使用外部標識碼將應用程式發佈至外部取用者和商務客戶,以取得身分識別體驗。 提供新式 SaaS 或自訂開發應用程式的身分識別和存取管理 (非第一方 Microsoft 應用程式)。 範例: 為取用者行動應用程式的使用者建立自定義的登入體驗,並監視應用程式使用量。 |
| 適用於 | 與來自外部組織 (例如供應商、合作夥伴、廠商) 的商業夥伴共同作業。 這些使用者可能或可能沒有 Microsoft Entra ID 或受控 IT。 | 您應用程式的取用者和商務客戶。 這些使用者是在針對外部應用程式和用戶設定的 Microsoft Entra 租使用者中管理。 |
| 使用者管理 | B2B 共同作業使用者是在與員工相同的員工租使用者中管理,但通常會標註為來賓使用者。 管理來賓使用者的方式與員工相同,也可以新增到相同的群組。 跨租使用者存取設定 可用來判斷哪些使用者可以存取 B2B 共同作業。 | 應用程式使用者是在您為應用程式取用者建立的外部租使用者中管理。 外部租使用者中的使用者與員工租使用者中的使用者具有不同的 默認許可權 。 它們是在外部租使用者中管理,與組織的員工目錄分開。 |
| 單一登入 (SSO) | 支援 SSO 至所有與 Microsoft Entra 連線的應用程式。 舉例來說,您可以提供 Microsoft 365 或內部部署應用程式的存取權,或者是其他 SaaS 應用程式的存取權,例如 Salesforce 或 Workday。 | 支援在外部租用戶中註冊的應用程式 SSO。 不支援 SSO 至 Microsoft 365 或其他 Microsoft SaaS 應用程式。 |
| 公司商標 | 驗證體驗的默認狀態是 Microsoft 的外觀和風格。 管理員 istrators 可以使用其公司商標來自定義來賓登入體驗。 | 外部租用戶的默認商標是中性,且不包含任何現有的 Microsoft 商標。 管理員 istrators 可以自定義組織或每個應用程式的商標。 深入了解。 |
| Microsoft 雲端設定 | 支援: | 不適用。 |
| 權利管理 | 支援: | 不適用。 |
相關技術
有幾個與外部使用者和組織共同作業相關的 Microsoft Entra 技術。 當您設計外部識別元共同作業模型時,請考慮這些其他功能。
B2B 直接連接
B2B 直接連線可讓您與其他 Microsoft Entra 組織建立雙向信任關係,以啟用 Teams 連線 共用頻道功能。 此功能可讓用戶順暢地登入 Teams 共用頻道,以進行聊天、通話、檔案共用和應用程式共用。 當兩個組織相互啟用 B2B 直接連接時,使用者會在主組織中進行驗證,並從資源組織接收權杖以供存取。 不同於 B2B 共同作業,B2B 直接連線使用者不會新增為員工目錄的來賓。 深入瞭解 Microsoft Entra 外部 ID 中的 B2B 直接連線。
設定 B2B 直接連線至外部組織之後,下列 Teams 共用頻道功能便可供使用:
共用頻道擁有者可以在Teams內搜尋外部組織的允許使用者,並將其新增至共用頻道。
外部使用者可以存取 Teams 共用通道,而不需要切換組織或使用不同的帳戶登入。 從 Teams 內,外部使用者可以透過 [檔案] 索引標籤來存取檔案和應用程式。共用通道的原則會決定使用者的存取權。
您可以使用 跨租用戶存取設定 來管理與其他 Microsoft Entra 組織的信任關係,並定義 B2B 直接連接的輸入和輸出原則。
如需 B2B 可透過 Teams 共用頻道直接連線使用者的資源、檔案和應用程式詳細資訊,請參閱 Microsoft Teams 中的聊天、小組、頻道和應用程式。
授權和計費是以每月作用中使用者 (MAU) 為基礎。 深入瞭解 B2B 的外部標識碼定價和計費設定。
Azure Active Directory B2C
Azure Active Directory B2C (Azure AD B2C) 是 Microsoft 的舊版客戶身分識別和存取管理解決方案。 Azure AD B2C 包含您透過 Azure AD B2C 服務在 Azure 入口網站 中管理的個別取用者型目錄。 每個 Azure AD B2C 租使用者都與其他 Microsoft Entra ID 和 Azure AD B2C 租使用者不同。 Azure AD B2C 入口網站體驗類似於 Microsoft Entra ID,但有一些主要差異,例如使用身分識別體驗架構自定義使用者旅程的能力。
如需 Azure AD B2C 租使用者與 Microsoft Entra 租使用者有何不同的詳細資訊,請參閱 Azure AD B2C 中支援的 Microsoft Entra 功能。 如需設定和管理 Azure AD B2C 的詳細資訊,請參閱 Azure AD B2C 檔。
商務來賓註冊的 Microsoft Entra 權利管理
身為邀請的組織,您可能不會事先知道需要存取您資源的個別外部共同作業者。 您需要一種方式,讓合作夥伴公司的使用者使用您控制的原則來註冊自己。 若要讓其他組織的使用者要求存取權,您可以使用 Microsoft Entra 權利管理 來設定 管理外部使用者存取的原則。 核准後,這些使用者將會布建來賓帳戶,並指派給群組、應用程式和 SharePoint Online 網站。
適用於 B2B 共同作業的 Microsoft Entra Microsoft Graph API
Microsoft Graph API 可用於建立和管理外部標識碼功能。
跨租使用者存取設定 API:Microsoft Graph 跨租使用者存取 API 可讓您以程式設計方式建立可在 Azure 入口網站 中設定的相同 B2B 共同作業和 B2B 直接連線原則。 您可以使用 API 來設定輸入和輸出共同作業的原則。 例如,您可以默認允許或封鎖每個人的功能,並限制對特定組織、群組、使用者和應用程式的存取。 API 也可讓您接受來自其他 Microsoft Entra 組織的 MFA 和裝置宣告(符合規範的宣告和 Microsoft Entra 混合式聯結宣告)。
B2B 共同作業邀請管理員:Microsoft Graph 邀請管理員 API 可用於為商務來賓建置您自己的上線體驗。 例如, 您可以使用建立邀請 API ,將自訂邀請電子郵件直接傳送給 B2B 使用者。 或者您的應用程式可以使用在建立回應中傳回的 inviteRedeemUrl,將您自己的邀請(透過您選擇的通訊機制)製作給受邀使用者。
條件式存取
組織可以針對外部 B2B 共同作業和 B2B 直接連線用戶強制執行條件式存取原則,其方式與為組織的全職員工和成員啟用相同。 針對 Microsoft Entra 跨租使用者案例,如果您的條件式存取原則需要 MFA 或裝置合規性,您現在可以信任來自外部使用者主組織的 MFA 和裝置合規性宣告。 啟用信任設定時,在驗證期間,Microsoft Entra ID 會檢查用戶的認證是否有 MFA 宣告或裝置識別碼,以判斷原則是否已符合。 若是如此,外部使用者就會獲得您共用資源的無縫登錄。 否則,MFA 或裝置挑戰會在使用者的主租使用者中起始。 深入瞭解 外部用戶的驗證流程和條件式存取。
多租用戶應用程式
如果您為許多組織提供軟體即服務 (SaaS) 應用程式,您可以將應用程式設定為接受來自任何 Microsoft Entra 租使用者的登入。 這個設定稱為讓應用程式多租使用者。 任何 Microsoft Entra 租使用者中的使用者都能夠在同意將帳戶與您的應用程式搭配使用之後登入您的應用程式。 請參閱如何 啟用多租使用者登入。
多租用戶組織
多租用戶組織是具有多個 Microsoft Entra 識別符實例的組織。 多租用戶有各種原因。 例如,您的組織可能會跨越多個雲端或地理界限。
多租用戶組織在 Microsoft Entra ID 中使用單向同步處理服務,稱為 跨租使用者同步處理。 跨租使用者同步處理可讓多租用戶組織順暢地共同作業。 它可改善使用者體驗,並確保使用者可以存取資源,而不需要收到邀請電子郵件且必須在每個租用戶中接受同意提示。
跨租使用者同步處理設定是在組織特定的存取設定下設定。 若要深入瞭解多租用戶組織和跨租使用者同步處理,請參閱多租使用者組織檔和功能比較。