管理 B2B 共同作業的跨租使用者存取設定

適用於具有白色核取記號的綠色圓圈。 員工租用戶 具有灰色 X 符號的白色圓圈。 外部租用戶 (深入了解)

使用 [外部身分識別跨租用戶存取] 設定,以管理如何透過 B2B 共同作業,與其他 Microsoft Entra 組織共同作業。 這些設定會決定外部 Microsoft Entra 組織中的使用者對您資源具有的「輸入」存取層級,以及您使用者對外部組織具有的「輸出」存取層級。 其也可以讓您信任來自其他 Microsoft Entra 組織的多重要素驗證 (MFA) 和裝置宣告 (符合規範的宣告及 Microsoft Entra 混合式聯結宣告)。 如需詳細資料和規劃考量,請參閱 Microsoft Entra 外部 ID 中的跨租用戶存取

跨雲端共同作業:不同 Microsoft 雲端中的合作夥伴組織可以設定彼此 B2B 共同作業。 首先,這兩個組織必須啟用彼此共同作業,如設定 Microsoft 雲端設定中所述。 然後,每個組織都可以選擇性地修改其輸入存取設定輸出存取設定,如下所述。

重要

Microsoft 於 2023 年 8 月 30 日開始將使用跨租用戶存取設定的客戶移至新的儲存體模型。 您可能會注意到稽核記錄中有一個項目通知您,在我們的自動化工作移轉您的設定時,您的跨租用戶存取設定已更新。 在移轉過程中有一個短暫的時段,您將無法對設定進行變更。 如果無法進行變更,您應該稍候片刻,然後重新嘗試變更。 一旦移轉完成,您將不再受到 25 KB 儲存空間的限制,而且您可以新增的合作夥伴數目也不會再有其他限制。

必要條件

警告

將預設的輸入或輸出設定變更為封鎖存取,可能會封鎖對您組織或夥伴組織中應用程式的現有業務關鍵存取。 務必使用 Microsoft Entra 外部 ID 中的跨租用戶存取 (部分機器翻譯) 所述的工具,並洽詢您的商務專案關係人,以識別所需的存取權。

  • 在設定跨租用戶存取設定之前,請先檢閱跨租用戶存取概觀中的重要考量一節。
  • 使用這些工具,並遵循識別輸入和輸出登入 (部分機器翻譯) 中的建議,以了解使用者目前正在存取哪些外部 Microsoft Entra 組織和資源。
  • 決定您要套用至所有外部 Microsoft Entra 組織的預設存取層級。
  • 識別需要自訂設定的任何 Microsoft Entra 組織,以便您可以為其設定組織設定
  • 如果您想要將存取設定套用至外部組織中的特定使用者、群組或應用程式,則在進行設定之前,您必須連絡組織以取得資訊。 取得其使用者物件識別碼、群組物件識別碼或應用程式識別碼 (用戶端應用程式識別碼資源應用程式識別碼),使得您可以正確地進行設定。
  • 如果您想要在外部 Microsoft Azure 雲端中設定與合作夥伴組織的 B2B 共同作業,請遵循設定 Microsoft 雲端設定中的步驟。 合作夥伴組織中的管理員必須為您的租用戶執行相同的動作。
  • 邀請時會檢查允許/封鎖清單和跨租用戶存取設定。 如果使用者的網域是在允許清單上,則可以邀請他們,除非跨租用戶存取設定中明確封鎖該網域。 如果使用者的網域是在封鎖清單上,則不論跨租用戶存取設定為何,都無法邀請他們。 如果使用者不在任一清單上,我們會檢查跨租用戶存取設定,以判斷是否可以邀請他們。

設定預設設定

提示

本文中的步驟可能會隨著您開始使用的入口網站而稍有不同。

預設的跨租用戶存取設定適用於您尚未建立組織特定自訂設定的所有外部組織。 如果您想要修改 Microsoft Entra ID 提供的預設設定,請遵循下列步驟。

  1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別] > [外部身分識別] > [跨租用戶存取設定],然後選取 [跨租用戶存取設定]

  3. 選取 [預設設定] 索引標籤,然後檢閱摘要頁面。

    螢幕擷取畫面顯示跨租用戶存取設定的 [預設設定] 索引標籤。

  4. 若要變更設定,請選取 [編輯輸入預設值] 連結或 [編輯輸出預設值] 連結。

    顯示 [預設設定] 編輯按鈕的螢幕擷取畫面。

  5. 遵循下列各節中的詳細步驟來修改預設設定:

新增組織

遵循下列步驟來設定特定組織的自訂設定。

  1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別] > [外部身分識別] > [跨租用戶存取設定],然後選取 [組織設定]

  3. 選取 [新增組織]

  4. 在 [新增組織] 窗格中,輸入組織的完整網域名稱 (或租用戶識別碼)。

    顯示新增組織的螢幕擷取畫面。

  5. 在搜尋結果中選取組織,然後選取 [新增]

  6. 組織會出現在 [組織設定] 清單中。 至此,此組織的所有存取設定都是繼承自您的預設設定。 若要變更此組織的設定,請選取 [輸入存取] 或 [輸出存取] 資料行底下的 [繼承自預設] 連結。

    螢幕擷取畫面顯示使用預設設定新增的組織。

  7. 遵循下列各節中的詳細步驟來修改組織的設定:

修改輸入存取設定

透過輸入設定,您可以選取哪些外部使用者和群組能夠存取您選擇的內部應用程式。 無論是要設定預設設定或組織特定的設定,變更輸入跨租用戶存取設定的步驟都相同。 如本節所述,您會瀏覽至 [預設] 索引標籤,或 [組織設定] 索引標籤上的組織,然後進行變更。

  1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別] > [外部身分識別] > [跨租用戶存取設定]

  3. 瀏覽至您要修改的設定:

    • 預設設定:若要修改預設的輸入設定,請選取 [預設設定] 索引標籤,然後在 [輸入存取設定] 下,選取 [編輯輸入預設值]
    • 組織設定:若要修改特定組織的設定,請選取 [組織設定] 索引標籤,在清單中尋找組織 (或新增一個),然後選取 [輸入存取] 資料行中的連結。
  4. 遵循您要變更的輸入設定的詳細步驟:

注意

如果您在 Microsoft SharePoint 中使用原生共用功能,而且啟用 與 Microsoft Entra B2B 整合的 Microsoft OneDrive,您必須將外部網域新增至外部共同作業設定。 否則,即使外部租用戶已在跨租用戶存取設定中新增,來自這些應用程式的邀請也可能會失敗。

變更輸入 B2B 共同作業設定

  1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別] > [外部身分識別] > [跨租用戶存取設定],然後選取 [組織設定]

  3. 選取 [輸入存取] 資料行和 [B2B 共同作業] 索引標籤中的連結。

  4. 如果您要為特定組織設定輸入存取設定,請選取一個選項:

    • 預設設定:如果您想要讓組織使用預設的輸入設定 (如 [預設設定] 索引標籤上所設定),請選取此選項。 如果已為此組織設定自訂設定,您必須選取 [是],以確認您想要以預設設定取代所有設定。 然後選取 [儲存],並略過此程序中的其餘步驟。

    • 自訂設定:如果您想要自訂針對此組織強制執行的設定,而不是預設設定,請選取此選項。 繼續進行此程序中的其餘步驟。

  5. 選取 [外部使用者與群組]

  6. 在 [存取狀態] 底下,選取下列其中一項:

    • 允許存取:允許在 [適用於] 底下指定的使用者和群組受邀進行 B2B 共同作業。
    • 封鎖存取:封鎖在 [適用於] 底下指定的使用者和群組,使其無法受邀加入 B2B 共同作業。

    顯示針對 B2B 共同作業選取使用者存取狀態的螢幕擷取畫面。

  7. 在 [適用於] 底下,選取下列其中一項:

    • 所有外部使用者和群組:將您在 [存取狀態] 底下選擇的動作套用至來自外部 Microsoft Entra 組織的所有使用者和群組。
    • 選取外部使用者和群組 (需要 Microsoft Entra ID P1 或 P2 訂用帳戶):讓您將在 [存取狀態] 底下選擇的動作套用至外部組織內的特定使用者和群組。

    注意

    如果您封鎖所有外部使用者和群組的存取,則也需要封鎖對所有內部應用程式 (在 [應用程式] 索引標籤上) 的存取。

    顯示選取目標使用者和群組的螢幕擷取畫面。

  8. 如果您選擇 [選取外部使用者和群組],請針對您要新增的每個使用者或群組執行下列動作:

    • 選取 [新增外部使用者和群組]
    • 在 [新增其他使用者和群組] 窗格的搜尋方塊中,輸入您從夥伴組織取得的使用者物件識別碼或群組物件識別碼。
    • 在搜尋方塊旁的功能表中,選擇 [使用者] 或 [群組]
    • 選取 [新增]。

    注意

    您無法以在輸入預設設定中鎖定使用者或群組為目標。

    顯示新增使用者和群組的螢幕擷取畫面。

  9. 完成新增使用者和群組時,選取 [提交]

    顯示提交使用者和群組的螢幕擷取畫面。

  10. 選取 [應用程式] 索引標籤。

  11. 在 [存取狀態] 底下,選取下列其中一項:

    • 允許存取:允許在 [適用於] 底下指定的應用程式由 B2B 共同作業使用者存取。
    • 封鎖存取:封鎖在 [適用於] 底下指定的應用程式,使其無法由 B2B 共同作業使用者存取。

    顯示應用程式存取狀態的螢幕擷取畫面。

  12. 在 [適用於] 底下,選取下列其中一項:

    • 所有應用程式:將您在 [存取狀態] 底下選擇的動作套用至所有應用程式。
    • 選取應用程式 (需要 Microsoft Entra ID P1 或 P2 訂用帳戶):讓您可以將 [存取狀態] 底下選擇的動作套用到組織中的特定應用程式。

    注意

    如果您封鎖對所有應用程式的存取,則也需要封鎖所有外部使用者和群組的存取 (在 [外部使用者和群組] 索引標籤上)。

    顯示目標應用程式的螢幕擷取畫面。

  13. 如果您選擇 [選取應用程式],請針對您要新增的每個應用程式執行下列動作:

    • 選取 [新增 Microsoft 應用程式] 或 [新增其他應用程式]
    • 在 [選取] 窗格中,於搜尋方塊中輸入應用程式名稱或應用程式識別碼 ([用戶端應用程式識別碼] 或 [資源應用程式識別碼])。 然後在搜尋結果中選取應用程式。 針對您要新增的每個應用程式重複執行。
    • 完成選取應用程式時,請選擇 [選取]

    顯示選取應用程式的螢幕擷取畫面。

  14. 選取儲存

允許Microsoft應用程式的考慮

如果您想要設定 跨租使用者存取設定 ,只允許一組指定的應用程式,請考慮新增下表所示的Microsoft應用程式。 例如,如果您設定允許清單,且只允許 SharePoint Online,則使用者無法存取 我的應用程式 或註冊資源租使用者中的 MFA。 為了確保使用者體驗順暢,請在輸入和輸出共同作業設定中包含下列應用程式。

申請 資源識別碼 可在入口網站中使用 詳細資料
我的應用程式 2793995e-0a7d-40d7-bd35-6968ba142197 Yes 兌換邀請之後的預設登陸頁面。 定義 對的 myapplications.microsoft.com存取權。
Microsoft 應用程式存取面板 0000000c-0000-0000-c000-000000000000 No 在我的登入中載入特定頁面時,用於某些晚期綁定呼叫。例如,[安全性資訊] 刀鋒視窗或 [組織] 切換器。
我的設定檔 8c59ead7-d703-4a27-9e55-c96a0054c8d2 Yes 定義包含 myaccount.microsoft.com 「我的群組」和「我的存取權」入口網站的存取權。 [我的配置檔] 中的某些索引標籤需要此處列出的其他應用程式才能運作。
我的登入 19db86c3-b2b9-44cc-b339-36da233a3be2 No 定義存取權, mysignins.microsoft.com 包括安全性資訊的存取權。 如果您需要使用者在資源租用戶中註冊並使用 MFA,請允許此應用程式(例如,不信任來自主租使用者的 MFA)。

上表中的某些應用程式不允許從 Microsoft Entra 系統管理中心進行選取。 若要允許它們,請使用 Microsoft Graph API 來新增它們,如下列範例所示:

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

注意

請務必在 PATCH 要求中包含您想要允許的任何其他應用程式,因為這樣會覆寫任何先前設定的應用程式。 已設定的應用程式可以從入口網站手動擷取,或在合作夥伴原則上執行 GET 要求。 例如,GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>

注意

透過 Microsoft Graph API 新增的應用程式不會對應至 Microsoft Entra 系統管理中心中可用的應用程式,將會顯示為應用程式識別碼。

您無法將Microsoft系統管理入口網站應用程式新增至 Microsoft Entra 系統管理中心的輸入和輸出跨租使用者存取設定。 若要允許外部存取Microsoft管理入口網站,請使用 Microsoft Graph API 個別新增下列屬於 Microsoft 系統管理入口網站應用程式群組的應用程式:

  • Azure 入口網站 (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Microsoft Entra 系統管理中心 (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Microsoft 365 Defender 入口網站 (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Microsoft Intune 系統管理中心 (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Microsoft Purview 合規性入口網站 (80ccca67-54bd-44ab-8625-4b79c4dc7775)

設定兌換順序

若要自訂識別提供者的順序,而您的來賓使用者可在接受您的邀請時,使用這些識別提供者來登入,請遵循下列步驟。

  1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。 然後開啟左側的 [身分識別] 服務。

  2. 選取 [外部身分識別]>[跨租用戶存取設定]

  3. 在 [預設設定] 索引標籤的 [輸入存取設定] 底下,選取 [編輯輸入預設值]

  4. 在 [B2B 共同作業] 索引標籤上,選取 [兌換順序] 索引標籤。

  5. 向上或向下移動識別提供者,以變更來賓使用者可在接受邀請時登入的順序。 您也可以在這裡將兌換順序重設為預設設定。

    顯示兌換順序索引標籤的螢幕擷取畫面。

  6. 選取 [儲存]。

您也可以透過 Microsoft Graph API 自訂兌換順序。

  1. 開啟 Microsoft Graph 總管

  2. 以至少安全性系統管理員身分登入您的資源租用戶。

  3. 執行下列查詢以取得目前的兌換順序:

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
  1. 在此範例中,我們會將 SAML/WS-Fed IdP 同盟移至兌換順序頂端,超過 Microsoft Entra 識別提供者。 使用此要求本文修補相同的 URI:
{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}
  1. 若要驗證變更,請再次執行 GET 查詢。

  2. 若要將兌換順序重設為預設設定,請執行下列查詢:

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

Microsoft Entra ID 已驗證網域的 SAML/WS-Fed 同盟 (直接同盟)

您現在可以新增已登錄的 Microsoft Entra ID 已驗證網域,以設定直接同盟關聯性。 首先,您必須在系統管理中心或透過 API (英文) 設定直接同盟設定。 請確定未在相同的租用戶中驗證網域。 一旦設定完成,您就可以自訂兌換順序。 SAML/WS-Fed IdP 會新增至兌換順序,作為最後一個項目。 您可以在兌換順序中將其向上移動,以將其設定在 Microsoft Entra 識別提供者上方。

防止您的 B2B 使用者透過 Microsoft 帳戶兌換邀請

若要防止 B2B 來賓使用者透過其現有的 Microsoft 帳戶兌換邀請,或建立新的帳戶來接受邀請,請遵循下列步驟。

  1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。 然後開啟左側的 [身分識別] 服務。

  2. 選取 [外部身分識別]>[跨租用戶存取設定]

  3. 在 [組織設定] 底下,選取 [輸入存取] 資料行和 [B2B 共同作業] 索引標籤中的連結。

  4. 選取 [兌換順序] 索引標籤。

  5. 在 [後援識別提供者] 底下,停用 Microsoft 服務帳戶 (MSA)。

    [後援識別提供者] 選項的螢幕擷取畫面。

  6. 選取 [儲存]。

您必須在任何指定時間至少啟用一個後援識別提供者。 如果您想要停用 Microsoft 帳戶,則必須啟用電子郵件一次性密碼。 您無法停用這兩個後援識別提供者。 任何以 Microsoft 帳戶登入的現有來賓使用者,都會在後續登入期間繼續使用該帳戶。您必須重設其兌換狀態,才能套用此設定。

變更 MFA 和裝置宣告的輸入信任設定

  1. 選取 [信任設定] 索引標籤。

  2. (此步驟僅適用於組織設定。)如果您正在設定組織的設定,請選取下列其中一項:

    • 預設設定:組織會使用 [預設設定] 索引標籤上設定的設定。如果已為此組織設定自訂設定,請選取 [是],以確認您想要以預設設定取代所有設定。 然後選取 [儲存],並略過此程序中的其餘步驟。

    • 自訂設定:您可以自訂要針對此組織強制執行的設定,而不是預設設定。 繼續進行此程序中的其餘步驟。

  3. 選取下列一或多個選項:

    • 信任來自 Microsoft Entra 租用戶的多重要素驗證:選取此核取方塊以允許您的條件式存取原則信任來自外部組織的 MFA 宣告。 驗證期間,Microsoft Entra 會檢查使用者的認證,以取得使用者已完成 MFA 的宣告。 如果不是,則會在使用者的主租用戶中起始 MFA 挑戰。 如果外部使用者使用更細微的委派系統管理員許可權 (GDAP)登入,則不會套用此設定,例如由管理您租用戶中服務的雲端服務提供者技術人員所使用。 當外部使用者使用 GDAP 登入時,使用者的主租用戶中一律需要 MFA,而資源租用戶總是信任 MFA。 在使用者的主租用戶之外,不支援 GDAP 使用者的 MFA 註冊。 如果您的組織要求不允許根據使用者主租用戶中的 MFA 存取服務提供者技術人員,您可以移除 Microsoft 365 系統管理中心中的 GDAP 關聯性。

    • 信任符合規範裝置:允許您的條件式存取原則在外部組織的使用者存取您的資源時,信任來自該外部組織的符合規範裝置宣告

    • 信任加入 Microsoft Entra 混合式的裝置:允許您的條件式存取原則在外部組織的使用者存取您的資源時,信任來自外部組織且加入 Microsoft Entra 混合式的裝置宣告。

    顯示信任設定的螢幕擷取畫面。

  4. (此步驟僅適用於組織設定。)檢閱 [自動兌換] 選項:

    • 使用租用戶自動兌換邀請<[租用戶]>:如果您要自動兌換邀請,請核取此設定。 若是如此,來自所指定租用戶的使用者將不必在第一次使用跨租用戶同步處理、B2B 共同作業或 B2B 直接連接來存取此租用戶時,接受同意提示。 如果指定的租用戶也會核取此設定以進行輸出存取,則此設定只會隱藏同意提示。

    顯示 [輸入自動兌換] 核取方塊的螢幕擷取畫面。

  5. 選取 [儲存]。

允許使用者同步至此租用戶

如果選取所新增組織的 [輸入存取],您會看到 [跨租用戶同步處理] 索引標籤和 [允許使用者同步至此租用戶] 核取方塊。 跨租用戶同步處理是 Microsoft Entra ID 中的單向同步服務,其會跨組織中的租用戶自動建立、更新和刪除 B2B 共同作業使用者。 如需詳細資訊,請參閱設定跨租用戶同步處理 (部分機器翻譯) 和多租用戶組織文件

此螢幕擷取畫面顯示 [跨租用戶同步處理] 索引標籤,其中包含 [允許使用者同步至此租用戶] 核取方塊。

修改輸出存取設定

透過輸出設定時,您可以選取哪些使用者和群組能夠存取您選擇的外部應用程式。 無論是要設定預設設定或組織特定的設定,變更輸出跨租用戶存取設定的步驟都相同。 如本節所述,您會瀏覽至 [預設] 索引標籤,或 [組織設定] 索引標籤上的組織,然後進行變更。

  1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別] > [外部身分識別] > [跨租用戶存取設定]

  3. 瀏覽至您要修改的設定:

    • 若要修改預設輸出設定,請選取 [預設設定] 索引標籤,然後在 [輸出存取設定] 下,選取 [編輯輸出預設值]

    • 若要修改特定組織的設定,請選取 [組織設定] 索引標籤,在清單中尋找組織 (或新增一個),然後選取 [輸出存取] 資料行中的連結。

  4. 選取 [B2B 共同作業] 索引標籤。

  5. (此步驟僅適用於組織設定。)如果您正要設定組織的設定,請選取一個選項:

    • 預設設定:組織會使用 [預設設定] 索引標籤上設定的設定。如果已為此組織設定自訂設定,您必須選取 [是],以確認您想要以預設設定取代所有設定。 然後選取 [儲存],並略過此程序中的其餘步驟。

    • 自訂設定:您可以自訂要針對此組織強制執行的設定,而不是預設設定。 繼續進行此程序中的其餘步驟。

  6. 選取 使用者及群組

  7. 在 [存取狀態] 底下,選取下列其中一項:

    • 允許存取:允許在 [適用於] 底下指定的使用者和群組,使其可受邀加入外部組織以進行 B2B 共同作業。
    • 封鎖存取:封鎖在 [適用於] 底下指定的使用者和群組,使其無法受邀加入 B2B 共同作業。 如果您封鎖所有使用者和群組的存取權,這也會封鎖所有外部應用程式,使其無法透過 B2B 共同作業存取。

    針對 B2B 共同作業顯示使用者和群組存取狀態的螢幕擷取畫面。

  8. 在 [適用於] 底下,選取下列其中一項:

    • <您的組織> 的所有使用者:將您在 [存取狀態] 底下選擇的動作套用至所有使用者和群組。
    • 選取<您的組織>使用者和群組 (需要 Microsoft Entra ID P1 或 P2 訂用帳戶):讓您將 [存取狀態] 底下所選擇的動作套用至特定使用者和群組。

    注意

    如果您封鎖所有使用者和群組的存取,則也需要封鎖對所有外部應用程式 (在 [應用程式] 索引標籤上) 的存取。

    顯示選取目標使用者進行 B2B 共同作業的螢幕擷取畫面。

  9. 如果您選擇 [選取 <您的組織> 使用者和群組],請針對您要新增的每個使用者或群組執行下列動作:

    • 選取 [新增 <您的組織> 使用者和群組]
    • 在 [選取] 窗格中,於搜尋方塊中輸入使用者名稱或群組名稱。
    • 在搜尋結果中選取使用者或群組。
    • 完成選取要新增的使用者和群組之後,請選擇 [選取]

    注意

    以使用者和群組為目標時,您將無法選取已設定 SMS 型驗證的使用者。 這是因為在其使用者物件上具有「同盟認證」的使用者遭到封鎖,以防止外部使用者新增至輸出存取設定。 作為因應措施,您可以使用 Microsoft 圖形 API,直接新增使用者的物件識別碼,或將使用者所屬的群組設為目標。

  10. 選取 [外部應用程式] 索引標籤。

  11. 在 [存取狀態] 底下,選取下列其中一項:

    • 允許存取:允許在 [適用於] 底下指定的外部應用程式由您的使用者透過 B2B 共同作業存取。
    • 封鎖存取:封鎖在 [適用於] 底下指定的外部應用程式,使其無法由您的使用者透過 B2B 共同作業存取。

    針對 B2B 共同作業顯示應用程式存取狀態的螢幕擷取畫面。

  12. 在 [適用於] 底下,選取下列其中一項:

    • 所有外部應用程式:將您在 [存取狀態] 底下選擇的動作套用至所有外部應用程式。
    • 選取外部應用程式:將您在 [存取狀態] 底下選擇的動作套用至所有外部應用程式。

    注意

    如果您封鎖對所有外部應用程式的存取,則也需要封鎖所有使用者和群組的存取 (在 [使用者和群組] 索引標籤上)。

    針對 B2B 共同作業顯示應用程式目標的螢幕擷取畫面。

  13. 如果您選擇 [選取外部應用程式],請針對您要新增的每個應用程式執行下列動作:

    • 選取 [新增 Microsoft 應用程式] 或 [新增其他應用程式]
    • 在搜尋方塊中,輸入應用程式名稱或應用程式識別碼 ([用戶端應用程式識別碼] 或 [資源應用程式識別碼])。 然後在搜尋結果中選取應用程式。 針對您要新增的每個應用程式重複執行。
    • 完成選取應用程式時,請選擇 [選取]

    顯示選取應用程式進行 B2B 共同作業的螢幕擷取畫面。

  14. 選取 [儲存]。

若要變更輸出信任設定

(本節僅適用於組織設定。)

  1. 選取 [信任設定] 索引標籤。

  2. 檢閱自動兌換選項:

    • 使用租用戶自動兌換邀請<[租用戶]>:如果您要自動兌換邀請,請核取此設定。 若是如此,來自此租用戶的使用者不必在第一次使用跨租用戶同步、B2B 共同作業或 B2B 直接連接來存取指定的租用戶時,接受同意提示。 如果指定的租用戶也會核取此設定以進行輸入存取,則此設定只會隱藏同意提示。

      顯示 [輸出自動兌換] 核取方塊的螢幕擷取畫面。

  3. 選取 [儲存]。

移除組織

當您從 [組織設定] 中移除組織時,該組織的預設跨租用戶存取設定即會生效。

注意

如果該組織是貴組織的雲端服務提供者,(Microsoft Graph 合作夥伴特定設定中的 isServiceProvider 屬性為 true),您將無法移除組織。

  1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別] > [外部身分識別] > [跨租用戶存取設定]

  3. 選取 [組織設定] 索引標籤。

  4. 在清單中尋找組織,然後選取該資料列上的垃圾桶圖示。