控管權利管理中外部使用者的存取權
權利管理會使用 Microsoft Entra 企業對企業 (B2B) 共用存取權,讓您可以與組織外部的人員共同作業。 透過 Microsoft Entra B2B,外部使用者會向主目錄進行驗證,但在您的目錄中有表示法。 目錄中的表示法可讓用戶獲指派資源的存取權。
本文說明您可以指定的設定來管理外部使用者的存取權。
權利管理如何協助
使用 Microsoft Entra B2B 邀請體驗時,您必須已經知道您想要帶入資源目錄中的外部來賓使用者的電子郵件位址,並使用。 當您處理較小的或短期專案,且您已經知道所有參與者時,直接邀請每位使用者都能正常運作,但如果您有許多想要使用的使用者,或參與者在一段時間內變更時,此程式很難管理。 例如,您可能與另一個組織合作,並與該組織有一個連絡點,但一段時間后,來自該組織的其他使用者也需要存取權。
透過權利管理,您可以定義原則,讓組織的用戶能夠自行要求存取套件。 該原則包含是否需要核准、是否需要存取權檢閱,以及存取的到期日。 在大部分情況下,您會想要要求核准,以便對哪些使用者帶入目錄有適當的監督。 如果需要核准,則對於主要外部組織合作夥伴,您可以考慮邀請一或多個來自外部組織的使用者到您的目錄、將他們指定為贊助者,以及設定贊助者為核准者,因為它們可能知道組織需要存取權的外部使用者。 設定存取套件之後,請取得存取套件的要求連結,以便您將該連結傳送至外部組織的聯繫人(贊助者)。 該聯繫人可以與其外部組織中的其他用戶共用,而且他們可以使用此連結來要求存取套件。 已受邀加入目錄之組織的使用者也可以使用該連結。
您也可以使用權利管理,從沒有自己 Microsoft Entra 目錄的組織引進使用者。 您可以為其網域設定同盟識別提供者,或使用以電子郵件為基礎的驗證。 您也可以從社交識別提供者引進使用者,包括具有 Microsoft 帳戶的使用者。
一般而言,在核准要求時,權利管理會布建具有必要存取權的使用者。 如果使用者尚未在您的目錄中,權利管理會先邀請使用者。 邀請使用者時,Microsoft Entra ID 會自動為其建立 B2B 來賓帳戶,但不會傳送電子郵件給使用者。 系統管理員先前可能會藉由設定 B2B 允許或封鎖清單 來允許或封鎖其他組織網域,來限制哪些組織可以共同作業。 如果這些清單不允許使用者網域,則除非更新清單,否則不會邀請他們,且無法獲指派存取權。
因為您不希望外部使用者的存取權永遠持續,因此您會在原則中指定到期日,例如 180 天。 在 180 天后,如果未擴充其存取權,權利管理將會移除與該存取套件相關聯的所有存取權。 根據預設,如果透過權利管理邀請的用戶沒有其他存取套件指派,則當他們失去最後一個指派時,會封鎖其來賓帳戶登入 30 天,之後移除。 這可防止不必要的帳戶激增。 如下列各節所述,這些設定是可設定的。
外部使用者存取的運作方式
下圖和步驟提供外部使用者如何授與存取套件存取權的概觀。
您可以 為您要共同作業的 Microsoft Entra 目錄或網域新增連線的組織 。 您也可以為社交識別提供者設定連線的組織。
您可以檢查目錄中外部使用者的目錄設定 [已啟用],以包含存取套件為 [是]。
您可以在目錄中建立存取套件,其中包含 原則:適用於不在目錄中 的使用者,並指定可要求、核准者和生命週期設定的已連線組織。 如果您在原則中選取特定已連線組織的選項,或所有已連線組織的選項,則只有先前設定之組織的使用者可以要求。 如果您在原則中選取所有用戶的選項,則任何使用者都可以要求,包括尚未屬於您目錄且不屬於任何已連線組織的一部分的使用者。
您會檢查 存取套件 上的隱藏設定,以確保存取套件已隱藏。 如果未隱藏,該存取套件中原則設定所允許的任何使用者都可以在我的存取入口網站中瀏覽您的租使用者存取套件。
您會將 「我的存取」入口網站鏈接 傳送至外部組織的聯繫人,讓他們可以與其用戶共用以要求存取套件。
外部使用者 (此範例中的要求者 A ) 會使用 [我的存取入口網站] 連結來 要求存取 套件。 我的存取入口網站需要用戶以連線組織一部分的身分登入。 使用者登入的方式取決於連線組織和外部使用者設定中定義的目錄或網域驗證類型。
核准者 會核准要求 (假設原則需要核准)。
要求進入 傳遞狀態。
使用 B2B 邀請程式,會在您的目錄中建立來賓用戶帳戶(此範例中的要求者 A(來賓)。 如果已定義允許清單或封鎖清單,則會套用清單設定。
來賓用戶獲指派存取套件中所有資源的存取權。 可能需要一些時間,Microsoft Entra ID 和其他 Microsoft Online Services 或已連線的 SaaS 應用程式進行變更。 如需詳細資訊,請參閱 套用變更的時間。
外部使用者會收到一封電子郵件,指出已傳遞其存取權。
若要存取資源,外部使用者可以選取電子郵件中的連結,或嘗試直接存取任何目錄資源以完成邀請程式。
如果原則設定包含到期日,則稍後當外部使用者的存取套件指派到期時,會移除來自該存取套件的外部使用者訪問許可權。
根據外部使用者設定的生命週期,當外部使用者不再有任何存取套件指派時,外部使用者將會遭到封鎖而無法登入,而且外部用戶帳戶將會從您的目錄中移除。
外部使用者的 設定
為了確保組織外部的人員可以要求存取套件,並取得這些存取套件中資源的存取權,您應該確認已正確設定某些設定。
啟用外部用戶的目錄
根據預設,當您建立 新的目錄時,會啟用它以允許外部使用者要求目錄中的存取套件。 請確定 [為外部使用者 啟用] 設定為 [ 是]。
如果您是系統管理員或目錄擁有者,您可以將外部使用者的篩選設定變更為 [是],以檢視 Microsoft Entra 系統管理中心列表中目前為外部使用者啟用的目錄清單。 如果該篩選檢視中顯示的任何目錄都有非零數目的存取套件,這些存取套件可能會有 原則給不在您目錄中 允許使用者要求的使用者。
設定您的 Microsoft Entra B2B 外部共同作業設定
允許來賓邀請其他來賓加入您的目錄,表示來賓邀請可以在權利管理之外發生。 建議將 來賓可以邀請 為 [否 ],只允許適當控管的邀請。
如果您先前已使用 B2B 允許清單,則必須移除該清單,或確定您想要與權利管理合作的所有組織的所有網域都會新增至清單。 或者,如果您使用 B2B 封鎖清單,您必須確定該列表中沒有您想要合作的任何組織網域。
如果您為 所有使用者 建立權利管理原則(所有已連線的組織 + 任何新的外部使用者),且使用者不屬於目錄中的已連線組織,當他們要求套件時,系統會自動為其建立連線的組織。 不過,您優先使用任何 B2B 允許或封鎖清單 設定。 因此,如果您想要移除允許清單,如果您使用允許清單,讓 所有使用者 都可以要求存取權,並在使用封鎖清單時從封鎖清單中排除所有授權網域。
如果您想要建立包含 所有使用者 的權利管理原則(所有已連線的組織 + 任何新的外部使用者),您必須先為您的目錄啟用電子郵件單次密碼驗證。 如需詳細資訊,請參閱 電子郵件單次密碼驗證。
如需 Microsoft Entra B2B 外部共同作業設定的詳細資訊,請參閱 設定外部共同作業設定。
注意
如果您為來自不同 Microsoft 雲端的 Microsoft Entra 租使用者建立連線的組織,您也需要適當地設定跨租使用者存取設定。 如需如何設定這些設定的詳細資訊,請參閱 設定跨租使用者存取設定。
檢閱條件式存取原則
請務必從任何影響來賓用戶的條件式存取原則中排除權利管理應用程式。 否則,條件式存取原則可能會封鎖它們存取 MyAccess 或能夠登入您的目錄。 例如,來賓可能沒有已註冊的裝置、不在已知位置,而且不想重新註冊多重要素驗證 (MFA),因此在條件式存取原則中新增這些需求會封鎖來賓使用權利管理。 如需詳細資訊,請參閱 Microsoft Entra 條件式存取中有哪些條件?。
權利管理客戶的常見原則是封鎖來賓的所有應用程式,但來賓的權利管理除外。 此原則可讓來賓輸入「我的存取權」並要求存取套件。 此套件應包含群組(在下列範例中稱為「來自我的存取的來賓」),該群組應該從封鎖所有應用程式原則中排除。 一旦核准套件,來賓就會位於 目錄中。 假設終端使用者具有存取套件指派,而且屬於群組的一部分,使用者就能夠存取所有其他應用程式。 其他常見原則包括從 MFA 和相容裝置排除權利管理應用程式。
注意
權利管理應用程式包含 MyAccess 的權利管理端、Microsoft Entra 系統管理中心的權利管理端,以及 MS 圖形的權利管理部分。 后兩個需要額外的許可權才能存取,因此除非提供明確的許可權,否則來賓將不會存取。
檢閱 SharePoint Online 外部共用設定
如果您想要在外部使用者的存取套件中包含 SharePoint Online 網站,請確定您的組織層級外部共用設定已設定為 [任何人 ] (使用者不需要登入),或 [新增] 和 [現有來賓 ] (來賓必須登入或提供驗證碼)。 如需詳細資訊,請參閱 開啟或關閉外部共用。
如果您想要限制權利管理以外的任何外部共用,您可以將外部共用設定設定設定為 [現有來賓]。 然後,只有透過權利管理邀請的新用戶能夠存取這些網站。 如需詳細資訊,請參閱 開啟或關閉外部共用。
請確定網站層級設定會啟用來賓存取(與先前所列的選項選項相同)。 如需詳細資訊,請參閱 開啟或關閉網站的外部共用。
檢閱您的 Microsoft 365 群組共享設定
如果您想要將 Microsoft 365 群組包含在外部使用者的存取套件中,請確定 [讓使用者將新來賓新增至組織 ] 設定為 [開啟 ] 以允許來賓存取。 如需詳細資訊,請參閱管理 Microsoft 365 群組 的來賓存取權。
如果您希望外部用戶能夠存取與 Microsoft 365 群組相關聯的 SharePoint Online 網站和資源,請務必開啟 SharePoint Online 外部共用。 如需詳細資訊,請參閱 開啟或關閉外部共用。
如需如何在PowerShell中為目錄層級的 Microsoft 365 群組設定客體原則的相關信息,請參閱 範例:在目錄層級設定群組的客體原則。
檢閱Teams共用設定
- 如果您想要將 Teams 包含在外部使用者的存取套件中,請確定 [允許 Microsoft Teams 中的來賓存取] 設定為 [開啟 ] 以允許來賓存取。 如需詳細資訊,請參閱 在 Microsoft Teams 系統管理中心設定來賓存取。
管理外部使用者的生命週期
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
您可以選取當外部使用者透過提出存取套件要求來邀請您目錄時,會發生什麼情況,不再有任何存取套件指派。 如果使用者放棄所有存取套件指派,或其上次存取套件指派到期,就會發生這種情況。 根據預設,當外部使用者不再有任何存取套件指派時,系統會封鎖他們登入您的目錄。 30 天之後,就會從您的目錄中移除其來賓使用者帳戶。 您也可以設定外部使用者未封鎖登入或刪除,或未封鎖外部使用者登入,但已刪除(預覽)。
必要角色:全域 管理員 istrator 或 Identity Governance 管理員 istrator
以至少身分識別治理 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至身分識別治理>權利管理> 設定。
選取編輯。
在 [ 管理外部使用者的 生命週期] 區段中,選取外部使用者的不同設定。
一旦外部使用者失去對任何存取套件的最後一個指派之後,如果您想要封鎖他們登入此目錄,請將 [封鎖外部使用者登入此目錄] 設定為 [是]。
注意
權利管理只會阻止外部來賓用戶帳戶透過權利管理邀請登入,或藉由將來賓用戶帳戶 轉換成受控管而新增至生命週期管理的權利管理。 此外,請注意,即使該使用者已新增至未存取套件指派的此目錄中的資源,使用者也會遭到封鎖而無法登入。 如果使用者遭到封鎖而無法登入此目錄,則使用者將無法重新要求存取套件,或要求此目錄中的其他存取權。 如果後續需要要求存取此或其他存取套件,請勿設定封鎖他們登入。
當外部使用者失去其前次對任何存取套件的指派時,如果您想要移除其在此目錄中的來賓使用者帳戶,請將 [移除外部使用者] 設定為 [是]。
注意
權利管理只會移除透過權利管理邀請的外部來賓用戶帳戶,或藉由將來賓用戶帳戶轉換成控管,將其來賓用戶帳戶新增至生命週期管理的權利管理。 此外,請注意,即使該使用者已新增至此目錄中未存取套件指派的資源,也會從這個目錄移除使用者。 如果在接收存取套件指派之前,來賓已存在於此目錄中,則會保留它們。 但是,如果來賓是透過存取套件指派邀請,而且其獲邀之後也將其指派給商務用 OneDrive 或 SharePoint Online 網站,仍會將他們移除。 將 [移除外部使用者] 設定變更為 [否],只會影響後續失去其上次存取套件指派的使用者;已排程刪除並封鎖登入的使用者,仍會在其原始排程上刪除。
如果您想要移除此目錄中的來賓用戶帳戶,您可以設定移除前的天數。 當外部使用者存取套件到期時收到通知時,其帳戶移除時不會有任何通知。 如果您想要在來賓使用者帳戶失去其前次對任何存取套件指派的情況下將其移除,請將 [經過此天數後,從這個目錄中移除外部使用者] 設定為 0。 此值的變更只會影響後續使用其上次存取套件指派的使用者;排程刪除的使用者仍會在其原始排程中刪除。
選取 [儲存]。