外部 ID 的驗證和條件式存取
適用於: 員工租用戶 外部租用戶 (深入了解)
提示
本文適用於員工租用戶中的 B2B 共同作業和 B2B 直接連接。 如需外部租用戶的相關資訊,請參閱 Microsoft Entra External ID 中的安全性和治理。
外部使用者存取您組織中的資源時,驗證流程取決於共同作業方法 (B2B 共同作業或 B2B 直接連接)、使用者的身分識別提供者 (外部 Microsoft Entra 租用戶、社交身分識別提供者等)、條件式存取原則,以及在使用者的主租用戶和租用戶裝載資源中設定的跨租用戶存取設定。
本文說明外部使用者的驗證流程,而外部使用者正在存取您組織中的資源。 組織可以針對其外部使用者強制執行多個條件式存取原則,而這些原則可以在租用戶、應用程式或個別使用者層級強制執行,且其方式與針對組織的全職員工和成員啟用時相同。
外部 Microsoft Entra 使用者的驗證流程
下圖說明當 Microsoft Entra 組織與其他 Microsoft Entra 組織的使用者共用資源時驗證流程。 下圖顯示跨租用戶存取設定如何與條件式存取原則搭配運作 (例如多重要素驗證),以判斷使用者是否可以存取資源。 此流程同時適用於 B2B 共同作業和 B2B 直接連線,但不含步驟 6 中所述。
Step | 描述: |
---|---|
1 | Fabrikam 使用者 (使用者的「主租用戶」) 會起始 Contoso 中資源的登入 (「資源租用戶」)。 |
2 | 在登入期間,Microsoft Entra Security Token Service (STS) 會評估 Contoso 的條件式存取原則。 它也會評估跨租用戶存取設定 (Fabrikam 的輸出設定和 Contoso 的輸入設定),來檢查是否允許 Fabrikam 使用者存取。 |
3 | Microsoft Entra ID 會檢查 Contoso 的輸入信任設定,以查看 Contoso 是否信任來自 Fabrikam 的 MFA 和裝置宣告 (裝置合規性、已使用混合式 Microsoft Entra 而聯結的狀態)。 如果為否,則請跳至步驟 6。 |
4 | 如果 Contoso 信任來自 Fabrikam 的 MFA 和裝置宣告,則 Microsoft Entra ID 會檢查使用者的驗證工作階段,以取得使用者已完成 MFA 的指示。 如果 Contoso 信任 Fabrikam 中的裝置資訊,Microsoft Entra ID 會在驗證工作階段中尋找宣告,指出裝置狀態 (符合規範或已使用混合式 Microsoft Entra 而聯結的)。 |
5 | 如果需要 MFA 但未完成,或未提供裝置宣告,則 Microsoft Entra ID 會視需要在使用者主租用戶中發出 MFA 和裝置挑戰。 滿足 Fabrikam 中的 MFA 和裝置需求時,允許使用者存取 Contoso 中的資源。 如果無法滿足檢查,則會封鎖存取。 |
6 | 當未設定信任設定,且需要 MFA 時,系統會提示 B2B 共同作業使用者輸入 MFA。 他們需要滿足資源租用戶中的 MFA。 B2B 直接連線使用者的存取會遭到封鎖。 如果需要裝置合規性,但無法對其進行評估,則 B2B 共同作業和 B2B 直接連線使用者的存取都會遭到封鎖。 |
如需詳細資訊,請參閱外部使用者的條件式存取小節。
非 Azure AD 外部使用者的驗證流程
Microsoft Entra 組織使用非 Microsoft Entra ID 身分識別提供者與外部使用者共用資源時,驗證流程取決於使用者是使用身分識別提供者進行驗證,還是使用電子郵件一次性密碼驗證進行驗證。 在任一情況下,資源租用戶都會識別要使用的驗證方法,然後將使用者重新導向至其身分識別提供者,或發出一次性密碼。
範例 1:非 Azure AD 外部使用者的驗證流程和權杖
下圖說明外部使用者使用非 Azure AD 身分識別提供者 (例如 Google、Facebook 或同盟 SAML/WS-Fed 身分識別提供者) 的帳戶登入時的驗證流程。
Step | 描述: |
---|---|
1 | B2B 來賓使用者要求存取資源。 資源會將使用者重新導向至其資源租用戶,即信任的 IdP。 |
2 | 資源租用戶會將使用者識別為外部使用者,並將使用者重新導向至 B2B 來賓使用者的 IdP。 使用者會在 IdP 中執行主要驗證。 |
3 | 系統會在 B2B 來賓使用者的 IdP 中評估授權原則。 如果使用者滿足這些原則,則 B2B 來賓使用者的 IdP 會向使用者發出權杖。 使用者會被重新導向回具有權杖的資源租用戶。 資源租用戶會驗證權杖,然後根據其條件式存取原則來評估使用者。 例如,資源租用戶可能需要使用者執行 Microsoft Entra 多重要素驗證。 |
4 | 系統會評估輸入跨租用戶存取設定和條件式存取原則。 如果已滿足所有原則,則資源租用戶會發出自己的權杖,並將使用者重新導向至其資源。 |
範例 2:一次性密碼使用者的驗證流程和權杖
下圖說明此流程:已啟用電子郵件一次性密碼驗證,而且未透過其他方式 (例如 Microsoft Entra ID、Microsoft 帳戶 (MSA) 或社交身分識別提供者) 驗證外部使用者。
Step | 描述: |
---|---|
1 | 使用者要求存取另一個租用戶中的資源。 資源會將使用者重新導向至其資源租用戶,即信任的 IdP。 |
2 | 資源租用戶會將使用者識別為外部電子郵件一次性密碼 (OTP) 使用者,並將含有 OTP 的電子郵件傳送給使用者。 |
3 | 使用者會擷取 OTP,並提交代碼。 資源租用戶會根據其條件式存取原則來評估使用者。 |
4 | 滿足所有條件式存取原則之後,資源租用戶會發出權杖,並將使用者重新導向至其資源。 |
外部使用者的條件式存取
組織可以針對外部 B2B 共同作業和 B2B 直接連線使用者強制執行條件式存取原則,方法與針對組織的全職員工和成員啟用時相同。 透過引進跨租用戶存取設定,您也可信任來自外部 Microsoft Entra 組織的 MFA 和裝置宣告。 本節說明將條件式存取套用至組織外部使用者的重要考量。
注意
具有條件式存取的自訂控制不支援跨租用戶信任。
將條件式存取原則指派給外部使用者類型
設定條件式存取原則時,您可以細微控制您想要套用原則的外部使用者類型。 外部使用者根據 B2B 共同作業使用者在內部或外部的驗證,以及與您的組織 (客體或成員) 之間的關聯性分類。
- B2B 共同作業客體使用者 - 通常被視為客體的大部分使用者都屬於此類別。 此 B2B 共同作業使用者具有外部 Microsoft Entra 組織或外部身分識別提供者 (例如社交身分識別) 的帳戶,他們在貴組織中具有來賓層級的權限。 在您的 Microsoft Entra 目錄中建立的使用者物件具有來賓 UserType。 此類別包括已受邀且已使用自助式註冊的 B2B 共同作業使用者。
- B2B 共同作業成員使用者 - 此 B2B 共同作業使用者具有外部 Microsoft Entra 組織或外部身分識別提供者 (例如社交身分識別) 的帳戶,以及您組織中成員層級的資源存取權。 此案例在由多個租用戶所組成的組織中很常見,其中使用者被視為較大型組織的一部分,而且對組織其他租用戶中的資源需要成員層級的存取權。 在資源 Microsoft Entra 目錄中建立的使用者物件具有成員 UserType。
- B2B 直接連接使用者 - 能夠透過 B2B 直接連接存取您資源的外部使用者,這是與另一個 Microsoft Entra 組織的相互、雙向連線,可讓單一登入存取目前 (特定 Microsoft 應用程式,Microsoft Teams Connect共用通道)。 B2B 直接連接使用者在您的 Microsoft Entra 組織中沒有目前狀態,而是從應用程式內管理 (例如由 Teams 共用頻道擁有者管理)。
- 本機客體使用者 - 本機客體使用者擁有目錄中管理的認證。 在 Microsoft Entra B2B 共同作業可供使用之前,您通常會與經銷商、供應商、廠商和其他人共同作業,方法是設定其內部認證,並透過設定使用者物件 UserType 將其指定為來賓。
- 服務提供者使用者 - 當做貴組織雲端服務提供者的組織 (Microsoft Graph 合作夥伴特定設定中的 isServiceProvider 屬性為 true)。
- 其他外部使用者 - 適用於不屬於這些類別但未被視為組織內部成員的使用者,這表示他們不會透過 Microsoft Entra ID 在內部進行驗證,而且在資源 Microsoft Entra 目錄中建立的使用者物件沒有成員的 UserType。
注意
[所有來賓和外部使用者] 選取項目現在已取代為 [來賓和外部使用者] 及其所有子類型。 對於先前已選取 [所有來賓和外部使用者] 條件式存取原則原則的客戶,現在會看到 [來賓和外部使用者] 以及選取的所有子類型。 UX 中的這項變更對條件式存取後端評估原則的方式沒有任何功能影響。 新的選取項目可提供客戶所需的細微性,在建立其條件式存取原則時,選擇來賓和外部使用者的特定類型,以在使用者範圍中包含/排除。
深入了解 條件式存取使用者指派。
比較外部 ID 條件式存取原則
下表提供 Microsoft Entra 外部 ID 中安全性原則和合規性選項的詳細比較。 安全性原則和合規性由主控/邀請組織根據條件式存取原則進行管理。
原則 | B2B 共同作業使用者 | B2B 直接連接使用者 |
---|---|---|
授與控制—封鎖存取 | 支援 | 支援 |
授與控制 - 需要多重要素驗證 | 支援 | 支援,需要設定輸入信任設定以接受來自外部組織的 MFA 宣告 |
授與控制 - 需要符合規範的裝置 | 支援時,需要設定輸入信任設定,以接受來自外部組織的符合規範裝置宣告。 | 支援時,需要設定輸入信任設定,以接受來自外部組織的符合規範裝置宣告。 |
授與控制 - 需要已使用混合式 Microsoft Entra 而聯結的裝置 | 支援時,需要設定輸入信任設定,以接受來自外部組織的已使用混合式 Microsoft Entra 而聯結的裝置 | 支援時,需要設定輸入信任設定,以接受來自外部組織的已使用混合式 Microsoft Entra 而聯結的裝置 |
授與控制 - 需要核准的用戶端應用程式 | 不支援 | 不支援 |
授與控制 - 需要應用程式防護原則 | 不支援 | 不支援 |
授與控制 - 需要變更密碼 | 不支援 | 不支援 |
授與控制 - 使用規定 | 支援 | 不支援 |
工作階段控制 - 使用應用程式強制執行的限制 | 支援 | 不支援 |
工作階段控制 - 使用條件式存取應用程式控制 | 支援 | 不支援 |
工作階段控制 - 登入頻率 | 支援 | 不支援 |
工作階段控制 - 持續性瀏覽器工作階段 | 支援 | 不支援 |
適用於 Microsoft Entra 外部使用者的 MFA
在 Microsoft Entra 跨租用戶案例中,資源組織可以建立條件式存取原則,而這些原則需要所有來賓和外部使用者的 MFA 或裝置合規性。 一般而言,需要 B2B 共同作業使用者存取資源,才能使用資源租用戶設定其 Microsoft Entra 多重要素驗證。 不過,Microsoft Entra ID 現在可讓您信任來自其他 Microsoft Entra 租用戶的 MFA 宣告。 對另一個租用戶啟用 MFA 信任可簡化 B2B 共同作業使用者的登入程序,並啟用 B2B 直接連接使用者的存取權。
如果您已將輸入信任設定設為接受來自 B2B 共同作業或 B2B 直接連接使用者主租用戶的 MFA 宣告,Microsoft Entra ID 會檢查使用者的驗證工作階段。 如果工作階段包含宣告,指出已在使用者的主租用戶中符合 MFA 原則,則使用者會獲准無縫登入您的共用資源。
如果未啟用 MFA 信任,則 B2B 共同作業使用者與 B2B 直接連接使用者的使用者體驗不同:
B2B 共同作業使用者:如果資源組織未對使用者的主租用戶啟用 MFA 信任,使用者就會看到來自資源組織的 MFA 挑戰。 (流程與非 Azure AD 外部使用者的 MFA 流程相同。)
B2B 直接連接使用者:如果資源組織未對使用者的主租用戶啟用 MFA 信任,則會封鎖使用者使其無法存取資源。 如果您想要對外部組織允許 B2B 直接連接,而且您的條件式存取原則需要 MFA,您必須設定您的輸入信任設定,以接受來自此組織的 MFA 宣告。
深入了解如何設定 MFA 的輸入信任設定。
非 Azure AD 外部使用者的 MFA
對於非 Azure AD 外部使用者,資源租用戶一律負責 MFA。 下列範例顯示一般的 MFA 流程。 此案例適用於任何身分識別,包括 Microsoft 帳戶 (MSA) 或社交識別碼。 當您未使用其主要 Microsoft Entra 組織設定信任設定時,此流程也適用於 Microsoft Entra 外部使用者。
Fabrikam 公司中的管理員或資訊工作者邀請另一家公司 Contoso 的使用者使用 Fabrikam 的應用程式。
Fabrikam 的應用程式已設定為在存取時要求 Microsoft Entra 多重要素驗證。
來自 Contoso 的 B2B 共同作業使用者嘗試存取 Fabrikam 的應用程式時,系統會要求他們完成 Microsoft Entra 多重要素驗證挑戰。
來賓使用者接著可以與 Fabrikam 一起設定其 Microsoft Entra 多重要素驗證,然後選取選項。
Fabrikam 必須有足夠的進階 Microsoft Entra ID 授權,以支援 Microsoft Entra 多重要素驗證。 來自 Contoso 的使用者接著會從 Fabrikam 取用此授權。 如需 B2B 授權的相關資訊,請參閱 Microsoft Entra External ID 的計費模型。
注意
MFA 是在資源租用處完成,確保可預測性。 來賓使用者登入時,將會看到在背景顯示資源租用戶登入頁面,並在前景看到自己的主租用戶登入頁面和公司標誌。
B2B 共同作業使用者的 Microsoft Entra 多重要素驗證重設 (證明)
下列 PowerShell Cmdlet 可用來證明或要求 B2B 共同作業使用者的 MFA 註冊。
注意
自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被淘汰。 若要深入了解,請閱讀淘汰更新。 在此日期之後,對這些模組的支援僅限於對 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。 淘汰的模組將繼續運作至 2025 年 3 月 30 日。
我們建議移轉至 Microsoft Graph PowerShell 以與 Microsoft Entra ID (以前稱為 Azure AD) 互動。 如需了解常見的移轉問題,請參閱移轉常見問題。 注意:MSOnline 1.0.x 版可能會在 2024 年 6 月 30 日之後發生中斷。
連線至 Microsoft Entra ID:
$cred = Get-Credential Connect-MsolService -Credential $cred
取得具有證明方法的所有使用者:
Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}
例如:
Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}
重設特定使用者的 Microsoft Entra 多重要素驗證方法,以要求使用者再次設定證明方法,例如:
Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName gsamoogle_gmail.com#EXT#@ WoodGroveAzureAD.onmicrosoft.com
外部使用者的驗證強度原則
驗證強度是條件式存取控制,可讓您定義外部使用者必須完成才能存取您的資源的多重要素驗證方法的特定組合。 此項控制特別適用於限制組織中敏感性應用程式的外部存取,因為您可以針對外部使用者強制執行特定的驗證方法,例如防網路釣魚方法。
您也可以將驗證強度套用至您共同作業或連線的不同客體或外部使用者類型。 這表示您可以強制執行 B2B 共同作業、B2B 直接連線及其他外部存取情節特有的驗證強度需求。
Microsoft Entra ID 提供三個內建驗證強度:
- 多重要素驗證強度
- 無密碼 MFA 強度
- 防網路釣魚 MFA 強度
您可以使用其中一個內建強度,或根據您要要求的驗證方法建立自訂驗證強度原則。
注意
目前,您只能將驗證強度原則套用至使用 Microsoft Entra ID 進行驗證的外部使用者。 對於電子郵件一次性密碼、SAML/WS-Fed 和 Google 同盟使用者,請使用 MFA 授與控制項來要求 MFA。
當您將驗證強度原則套用至外部 Microsoft Entra 使用者時,此原則會與跨租用戶存取設定中的 MFA 信任設定搭配運作,以判斷外部使用者必須執行 MFA 的位置和方式。 Microsoft Entra 使用者會先在主要 Microsoft Entra 租用戶中使用自己的帳戶進行驗證。 然後,當使用者嘗試存取您的資源時,Microsoft Entra ID 會套用驗證強度條件式存取原則,並檢查您是否啟用 MFA 信任。
在外部使用者情節中,可接受滿足驗證強度的驗證方法有所不同,取決於使用者是在其主租用戶或是資源租用戶中完成 MFA。 下表指出每個租用戶中可接受的方法。 如果資源租用戶已選擇信任來自外部 Microsoft Entra 組織的宣告,則只有 [主租用戶] 資料行中列出的宣告會被資源租用戶接受進行 MFA 履行。 如果資源租用戶已停用 MFA 信任,外部使用者必須使用 [資源租用戶] 資料行中列出的其中一種方法,在資源租用戶中完成 MFA。
資料表 1。 外部使用者的驗證強度 MFA 方法
驗證方法 | 主租用戶 | 資源租用戶 |
---|---|---|
以 SMS 作為第二個要素 | ✅ | ✅ |
語音通話 | ✅ | ✅ |
Microsoft Authenticator 推播通知 | ✅ | ✅ |
Microsoft Authenticator 手機登入 | ✅ | |
OATH 軟體權杖 | ✅ | ✅ |
OATH 硬體權杖 | ✅ | |
FIDO2 安全性金鑰 | ✅ | |
Windows Hello 企業版 | ✅ | |
憑證型驗證 | ✅ |
若要設定將驗證強度需求套用至外部使用者或客體的條件式存取原則,請參閱條件式存取:需要外部使用者的驗證強度。
外部 Microsoft Entra 使用者的使用者體驗
驗證強度原則可與跨租用戶存取設定中的 MFA 信任設定搭配運作,以判斷外部使用者必須執行 MFA 的位置和方式。
首先,。Microsoft Entra 使用者會先在其主租用戶中使用自己的帳戶驗證。 然後,當使用者嘗試存取您的資源時,Microsoft Entra ID 會套用驗證強度條件式存取原則,並檢查您是否啟用 MFA 信任。
- 如果 MFA 信任已啟用,Microsoft Entra ID 會檢查使用者的驗證工作階段是否有宣告,指出已在使用者的主租用戶中完成 MFA。 (如需在外部使用者的主租用戶中完成時,MFA 履行可接受的驗證方法,請參閱表格 1。)如果工作階段包含宣告,指出使用者的主租用戶已符合 MFA 原則,且方法滿足驗證強度需求,則允許使用者存取。 否則,Microsoft Entra ID 會向使用者提出使用可接受的驗證方法完成主租用戶 MFA 的挑戰。 MFA 方法必須在主租用戶中啟用,而且使用者必須能夠註冊它。
- 如果 MFA 信任已停用,Microsoft Entra ID 就會向使用者顯示挑戰,以使用可接受的驗證方法在資源租用戶中完成 MFA。 (如需外部使用者可接受的 MFA 履行方法,請參閱表 1。)
如果使用者無法完成 MFA,或條件式存取原則 (例如相容裝置原則) 防止他們註冊,則會封鎖存取。
裝置合規性和已使用混合式 Microsoft Entra 而聯結的裝置原則
組織可以使用條件式存取原則,要求使用者的裝置由 Microsoft Intune 管理。 這類原則可能會封鎖外部使用者存取,因為外部使用者無法向資源組織註冊其非受控裝置。 裝置只能由使用者的主租用戶管理。
不過,您可使用裝置信任設定來解除封鎖外部使用者,同時仍需要受控裝置。 在跨租用戶存取設定中,您可以選擇信任來自外部使用者主租用戶的宣告,以了解使用者的裝置是否符合其裝置合規性原則或已使用混合式 Microsoft Entra 而聯結。 您可以設定所有 Microsoft Entra 組織或個別組織的裝置信任設定。
啟用裝置信任設定時,Microsoft Entra ID 會檢查使用者的驗證工作階段是否有裝置宣告。 如果工作階段包含裝置宣告,指出已在使用者的主租用戶中符合原則,則外部使用者會獲准無縫登入共用資源。
重要
- 除非您願意信任來自外部使用者的主租用戶關於裝置合規性或已使用混合式 Microsoft Entra 而聯結狀態的宣告,否則不建議套用要求外部使用者使用受控裝置的條件式存取原則。
裝置篩選條件
為外部使用者建立條件式存取原則時,您可以根據 Microsoft Entra ID中已註冊裝置的裝置屬性來評估原則。 使用篩選裝置條件,您即可使用支援的運算子和屬性以及條件式存取原則中的其他可用指派條件來以特定裝置為目標。
裝置篩選條件可與跨租用戶存取設定搭配使用,任原則以其他組織中管理的裝置為基礎。 例如,假設您想要根據特定裝置屬性封鎖來自外部 Microsoft Entra 租用戶的裝置。 您可以採取下列步驟來設定裝置屬性型原則:
- 設定跨租用戶存取設定,以信任來自該組織的裝置宣告。
- 將您想要用於篩選的裝置屬性指派給其中一個支援的裝置擴充屬性。
- 使用裝置篩選條件建立條件式存取原則,以封鎖包含該屬性的裝置存取。
深入了解如何使用條件式存取來篩選裝置。
行動應用程式管理原則
不建議需要外部使用者的應用程式保護原則。 條件式存取授與控制項 (例如 [需要已核准的用戶端應用程式] 和 [需要應用程式保護原則]) 需要在資源租用戶中註冊裝置。 這些控制項只能套用至 iOS 和 Android 裝置。 由於使用者的裝置只能由其主租用戶管理,因此無法將這些控制項套用至外部來賓使用者。
位置型條件式存取
如果邀請組織可以建立定義其合作夥伴組織的受信任 IP 位址範圍,則可以根據 IP 位址來強制執行位置型原則。
也可以根據「地理位置」來強制執行原則。
依據風險的條件式存取
如果外部來賓使用者滿足授與控制項,則會強制執行登入風險原則。 例如,針對中或高登入風險,組織可能需要 Microsoft Entra 多重要素驗證。 不過,如果使用者先前尚未在資源租用戶中註冊 Microsoft Entra 多重要素驗證,則會封鎖使用者。 這樣做可防止惡意使用者註冊自己的 Microsoft Entra 多重要素驗證認證,而洩漏合法使用者密碼。
不過,無法在資源租用戶中解析使用者風險原則。 例如,如果您需要對高風險外部來賓使用者進行密碼變更,則系統將會封鎖這些使用者,因為無法重設資源目錄中的密碼。
條件式存取用戶端應用程式條件
B2B 來賓使用者的用戶端應用程式條件行為與針對任何其他類型的使用者的行為相同。 例如,您可以防止來賓使用者使用舊版驗證通訊協定。
條件式存取工作階段控制項
B2B 來賓使用者的工作階段控制項行為與針對任何其他類型的使用者的行為相同。
Microsoft Entra ID Protection 和使用者風險原則
Microsoft Entra ID Protection 會偵測 Microsoft Entra 使用者遭入侵的認證,並將可能遭到入侵的使用者帳戶標示為「有風險」。身為資源租用戶,您可以將使用者風險原則套用至外部使用者,以封鎖有風險的登入。對於外部使用者,使用者風險會在其主目錄進行評估。 當這些使用者嘗試存取資源時,即會在資源目錄中評估使用者的即時登入風險。 不過,外部使用者的身分識別存在於其主目錄中,所以限制如下:
- 如果外部使用者觸發 ID Protection 使用者風險原則來強制密碼重設,則會遭到封鎖,因為他們無法在資源組織中重設其密碼。
- 資源組織的風險性使用者報告不會反映外部使用者,因為風險評估發生在外部使用者的主目錄。
- 資源組織中的系統管理員無法拋棄或補救風險性外部使用者,因為他們無法存取 B2B 使用者的主目錄。
您可以藉由在包含組織所有外部使用者的 Microsoft Entra ID 中建立群組,以防止以風險為基礎的原則影響外部使用者。 然後,將此群組新增為使用者風險和登入風險型條件式存取原則的排除專案。
若需詳細資訊,請參閱《Microsoft Entra ID Protection 和 B2B 使用者》。
下一步
如需詳細資訊,請參閱下列文章: