分享方式:


在 Microsoft Entra 外部 ID 中設定 B2B 的外部共同作業設定

適用於具有白色核取記號的綠色圓圈。 員工租用戶 具有灰色 X 符號的白色圓圈。 外部租用戶 (深入了解)

外部共同作業設定可讓您指定組織中,有哪些角色具有邀請外部使用者進行 B2B 共同作業的權力。 這些設定也包含允許或封鎖特定網域的選項,以及限制外部來賓使用者在 Microsoft Entra 目錄中可查看內容的選項。 下列是可用的選項:

  • 決定來賓使用者存取權:Microsoft Entra 外部 ID 可讓您限制外部來賓使用者在 Microsoft Entra 目錄中可查看的內容。 例如,您可以限制來賓使用者的群組成員資格檢視,或只允許來賓檢視自己的設定檔資訊。

  • 指定可以邀請來賓的角色:在預設狀況下,您組織中的所有使用者 (包括 B2B 共同作業來賓使用者),都可以邀請外部使用者進行 B2B 共同作業。 如果您想要限制傳送邀請的能力,則可以開啟或關閉每個人的邀請,或限制只有特定角色能發出邀請。

  • 透過使用者流程,啟用來賓自助式註冊:您可以針對您所建立的應用程式,建立使用者流程以允許使用者註冊應用程式,並建立新的來賓帳戶。 您可以在外部共同作業設定中啟用此功能,然後 [將自助式註冊使用者流程新增至您的應用程式]

  • 允許或封鎖網域:您可以透過使用共同作業限制的功能,來允許或拒絕在您指定網域內的邀請。 如需詳細資訊,請參閱允許或封鎖網域

針對其他 Microsoft Entra 組織的 B2B 共同作業,您也應檢閱您的跨租用戶存取設定,確保 B2B 共同作業的輸入與輸出,以及特定使用者、群組和應用程式的範圍存取權。

對於執行跨租用戶登入的 B2B 共同作業終端使用者,即使未指定自訂商標,系統也會顯示其主租用戶商標。 在下列範例中,Woodgrove Groceries 的公司商標會出現在左側。 右側的範例會顯示使用者主租用戶的預設商標。

顯示比較品牌登入體驗和預設登入體驗的螢幕擷取畫面。

注意

取決於您想要設定的外部共同作業設定,可能需要不同的系統管理員角色。 本文會指定每種設定類型所需的角色。 另請參閱《適用於外部 ID/B2C 的工作最低特殊權限角色》。

在入口網站中進行設定

提示

根據您開始使用的入口網站,本文中的步驟可能略有不同。

若要設定來賓使用者存取

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別] > [外部身分識別] > [外部共同作業設定]

  3. 在 [來賓使用者存取權] 下方,選擇您希望來賓使用者擁有的存取層級:

    顯示來賓使用者存取設定的螢幕擷取畫面。

    • 來賓使用者具有與成員相同的存取權 (最寬鬆):此選項可讓來賓具有與成員相同的 Microsoft Entra 資源和目錄資料存取權。

    • 來賓使用者對目錄物件的屬性和成員資格存取權受到限制:(預設) 這項設定會封鎖來自某些目錄工作的來賓,例如列舉使用者、群組或其他目錄資源。 來賓可以看到所有非隱藏群組的成員資格。 深入瞭解預設來賓權限

    • 來賓使用者存取權僅限於其本身目錄物件的屬性和成員資格 (最受限):使用此設定時,來賓只能存取自己的設定檔。 不允許來賓查看其他使用者的設定檔、群組或群組成員資格。

若要設定來賓邀請設定

  1. 以至少來賓邀請者的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別] > [外部身分識別] > [外部共同作業設定]

  3. 在 [來賓邀請設定]下,選擇適當的設定:

    顯示來賓邀請設定的螢幕擷取畫面。

    • 組織中的任何人都可邀請來賓使用者,包括來賓及非管理員 (最寬鬆):若要讓組織中的來賓邀請其他來賓 (包括不是組織成員的使用者),請選取此選項按鈕。
    • 被指派為特定系統管理員角色的成員使用者和使用者,可邀請來賓使用者,包括具有成員權限的來賓:若要讓成員使用者,以及具有特定系統管理員角色的使用者邀請來賓,請選取此選項按鈕。
    • 只有被指派為特定系統管理員角色的使用者可以邀請來賓使用者:若要只允許具有系統管理員來賓邀請者角色的使用者邀請來賓,請選取此選項按鈕。
    • 組織中沒有任何人可邀請來賓使用者,包括系統管理員 (最受限):若要拒絕讓組織中的所有人邀請來賓,請選取此選項按鈕。

若要設定來賓自助式註冊

  1. 以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[外部身分識別]>[外部共同作業設定]

  3. 如果您想要建立可讓使用者註冊應用程式的使用者流程,請在 [允許來賓透過使用者流程進行自助式註冊] 下方,選取 [是]。 如需關於此設定的詳細資訊,請參閱將自助式註冊使用者流程新增至應用程式

    顯示透過使用者流程設定進行自助式註冊的螢幕擷取畫面。

若要設定外部使用者離開設定

  1. 至少以外部身分識別提供者系統管理員身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別] > [外部身分識別] > [外部共同作業設定]

  3. 在 [外部使用者離開設定] 下,您可以控制外部使用者是否可以從組織中移除自己。

    • :使用者可以自行離開組織,而不需管理員或隱私權連絡人的核准。
    • :使用者無法自行離開組織。 使用者會看到訊息,引導其連絡管理員或隱私權連絡人,以要求從組織中移除。

    重要

    只有在您已新增隱私權資訊至 Microsoft Entra 租用戶時,才能設定外部使用者離開設定。 否則,將無法使用此設定。

    此螢幕擷取畫面顯示入口網站中外部使用者離開設定。

若要設定共同作業限制 (允許或封鎖網域)

重要

Microsoft 建議您使用權限最的角色。 這有助於改善組織的安全性。 全域系統管理員是具高度特殊權限的角色,應僅限於無法使用現有角色的緊急案例。

  1. 以至少全域系統管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別] > [外部身分識別] > [外部共同作業設定]

  3. 在 [共同作業限制]下,您可以選擇是否要允許或拒絕在您指定網域的邀請,並在文字方塊中輸入特定的網域名稱。 若有多個網域,請將每個網域輸入於不同行。 如需詳細資訊,請參閱允許或封鎖對特定組織的 B2B 使用者的邀請

    顯示共同作業限制設定的螢幕擷取畫面。

使用 Microsoft Graph 進行設定

您可以使用 Microsoft Graph API 來設定外部共同作業設定:

  • 若為來賓使用者存取限制來賓邀請限制,請使用 authorizationPolicy 資源類型。
  • 若為透過使用者流程啟用來賓自助式註冊設定,請使用 authenticationFlowsPolicy 資源類型。
  • 若為以電子郵件寄送一次性密碼設定 (現位於Microsoft Entra 系統管理中心的 [所有識別提供者] 頁面上),請使用 emailAuthenticationMethodConfiguration 資源類型。

將來賓邀請者角色指派給使用者

若使用來賓邀請者角色,您可賦予個別使用者邀請來賓的能力,而不需對個別使用者指派更高權限的管理員角色。 具有來賓邀請者角色的使用者可以邀請來賓,即使選項 [只有獲派特定系統管理員角色的使用者才能邀請來賓使用者] 為已選取狀態 (在 [來賓邀請設定] 底下) 亦可。

以下範例顯示如何使用 Microsoft Graph PowerShell 將使用者新增至 Guest Inviter 角色:


Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

B2B 使用者的登入記錄

B2B 使用者登入要共同作業的資源租用戶時,會在主租用戶和資源租用戶中產生登入記錄。 這些記錄包括主租用戶和資源租用戶的資訊,例如所使用應用程式、電子郵件地址、租用戶名稱和租用戶識別碼。

下一步

請參閱下列有關 Microsoft Entra B2B 共同作業的文章: