設定跨租用戶存取設定進行 B2B 共同作業

• 在設定跨租用戶存取設定之前，請先檢閱跨租用戶存取概觀中的重要考量一節。
• 使用這些工具，並遵循識別輸入和輸出登入中的建議，以了解使用者目前正在存取哪些外部 Microsoft Entra 組織和資源。
• 決定您要套用至所有外部 Microsoft Entra 組織的預設存取層級。
• 識別需要自訂設定的任何 Microsoft Entra 組織，以便您可以為其設定組織設定。
• 如果您想要將存取設定套用至外部組織中的特定使用者、群組或應用程式，則在進行設定之前，您必須連絡組織以取得資訊。 取得其使用者物件識別碼、群組物件識別碼或應用程式識別碼 (用戶端應用程式識別碼或資源應用程式識別碼)，使得您可以正確地進行設定。
• 如果您想要在外部 Microsoft Azure 雲端中設定與合作夥伴組織的 B2B 共同作業，請遵循設定 Microsoft 雲端設定中的步驟。 合作夥伴組織中的管理員必須為您的租用戶執行相同的動作。
• 邀請時會檢查允許/封鎖清單和跨租用戶存取設定。 如果使用者的網域是在允許清單上，則可以邀請他們，除非跨租用戶存取設定中明確封鎖該網域。 如果使用者的網域是在封鎖清單上，則不論跨租用戶存取設定為何，都無法邀請他們。 如果使用者不在任一清單上，我們會檢查跨租用戶存取設定，以判斷是否可以邀請他們。

預設的跨租用戶存取設定適用於您尚未建立組織特定自訂設定的所有外部組織。 如果您想要修改 Microsoft Entra ID 提供的預設設定，請遵循下列步驟。

1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶存取設定]，然後選取 [跨租用戶存取設定]。

3. 選取 [預設設定] 索引標籤，然後檢閱摘要頁面。

   

4. 若要變更設定，請選取 [編輯輸入預設值] 連結或 [編輯輸出預設值] 連結。

   

5. 遵循下列各節中的詳細步驟來修改預設設定：

   • 修改輸入存取設定
   • 修改輸出存取設定

遵循下列步驟來設定特定組織的自訂設定。

1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶存取設定]，然後選取 [組織設定]。

3. 選取 [新增組織]。

4. 在 [新增組織] 窗格中，輸入組織的完整網域名稱 (或租用戶識別碼)。

   

5. 在搜尋結果中選取組織，然後選取 [新增]。

6. 組織會出現在 [組織設定] 清單中。 至此，此組織的所有存取設定都是繼承自您的預設設定。 若要變更此組織的設定，請選取 [輸入存取] 或 [輸出存取] 資料行底下的 [繼承自預設] 連結。

   

7. 遵循下列各節中的詳細步驟來修改組織的設定：

   • 修改輸入存取設定
   • 修改輸出存取設定

透過輸入設定，您可以選取哪些外部使用者和群組能夠存取您選擇的內部應用程式。 無論是要設定預設設定或組織特定的設定，變更輸入跨租用戶存取設定的步驟都相同。 如本節所述，您會瀏覽至 [預設] 索引標籤，或 [組織設定] 索引標籤上的組織，然後進行變更。

1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶存取設定]。

3. 瀏覽至您要修改的設定：

   • 預設設定：若要修改預設的輸入設定，請選取 [預設設定] 索引標籤，然後在 [輸入存取設定] 下，選取 [編輯輸入預設值]。
   • 組織設定：若要修改特定組織的設定，請選取 [組織設定] 索引標籤，在清單中尋找組織 (或新增一個)，然後選取 [輸入存取] 資料行中的連結。

4. 遵循您要變更的輸入設定的詳細步驟：

   • 變更輸入 B2B 協同作業設定
   • 變更接受 MFA 和裝置宣告的輸入信任設定

變更輸入 B2B 協同作業設定

1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶存取設定]，然後選取 [組織設定]

3. 選取 [輸入存取] 資料行和 [B2B 共同作業] 索引標籤中的連結。

4. 如果您要為特定組織設定輸入存取設定，請選取一個選項：

   • 預設設定：如果您想要讓組織使用預設的輸入設定 (如 [預設設定] 索引標籤上所設定)，請選取此選項。 如果已為此組織設定自訂設定，您必須選取 [是]，以確認您想要以預設設定取代所有設定。 然後選取 [儲存]，並略過此程序中的其餘步驟。

   • 自訂設定：如果您想要自訂針對此組織強制執行的設定，而不是預設設定，請選取此選項。 繼續進行此程序中的其餘步驟。

5. 選取 [外部使用者與群組]。

6. 在 [存取狀態] 底下，選取下列其中一項：

   • 允許存取：允許在 [適用於] 底下指定的使用者和群組受邀進行 B2B 共同作業。
   • 封鎖存取：封鎖在 [適用於] 底下指定的使用者和群組，使其無法受邀加入 B2B 共同作業。

   

7. 在 [適用於] 底下，選取下列其中一項：

   • 所有外部使用者和群組：將您在 [存取狀態] 底下選擇的動作套用至來自外部 Microsoft Entra 組織的所有使用者和群組。
   • 選取外部使用者和群組 (需要 Microsoft Entra ID P1 或 P2 訂用帳戶)：讓您將在 [存取狀態] 底下選擇的動作套用至外部組織內的特定使用者和群組。

   注意

   如果您封鎖所有外部使用者和群組的存取，則也需要封鎖對所有內部應用程式 (在 [應用程式] 索引標籤上) 的存取。

   

8. 如果您選擇 [選取外部使用者和群組]，請針對您要新增的每個使用者或群組執行下列動作：

   • 選取 [新增外部使用者和群組]。
   • 在 [新增其他使用者和群組] 窗格的搜尋方塊中，輸入您從夥伴組織取得的使用者物件識別碼或群組物件識別碼。
   • 在搜尋方塊旁的功能表中，選擇 [使用者] 或 [群組]。
   • 選取 [新增]。

   注意

   在輸入預設設定中，您無法以使用者或群組為目標。

   

9. 完成新增使用者和群組時，選取 [提交]。

   

10. 選取 [應用程式] 索引標籤。

11. 在 [存取狀態] 底下，選取下列其中一項：

    • 允許存取：允許在 [適用於] 底下指定的應用程式由 B2B 共同作業使用者存取。
    • 封鎖存取：封鎖在 [適用於] 底下指定的應用程式，使其無法由 B2B 共同作業使用者存取。

    

12. 在 [適用於] 底下，選取下列其中一項：

    • 所有應用程式：將您在 [存取狀態] 底下選擇的動作套用至所有應用程式。
    • 選取應用程式 (需要 Microsoft Entra ID P1 或 P2 訂用帳戶)：讓您可以將 [存取狀態] 底下選擇的動作套用到組織中的特定應用程式。

    注意

    如果您封鎖對所有應用程式的存取，則也需要封鎖所有外部使用者和群組的存取 (在 [外部使用者和群組] 索引標籤上)。

    

13. 如果您選擇 [選取應用程式]，請針對您要新增的每個應用程式執行下列動作：

    • 選取 [新增 Microsoft 應用程式] 或 [新增其他應用程式]。
    • 在 [選取] 窗格中，於搜尋方塊中輸入應用程式名稱或應用程式識別碼 ([用戶端應用程式識別碼] 或 [資源應用程式識別碼])。 然後在搜尋結果中選取應用程式。 針對您要新增的每個應用程式重複執行。
    • 完成選取應用程式時，請選擇 [選取]。

    

14. 選取 [儲存]。

將 Microsoft 管理入口網站應用程式新增至 B2B 共同作業

您無法直接將 Microsoft 管理入口網站應用程式新增至 Microsoft Entra 系統管理中心的輸入和輸出跨租用戶存取設定。 不過，您可以使用 Microsoft Graph API 個別新增底下所列的應用程式。

下列應用程式是 Microsoft 管理入口網站應用程式群組的一部分：

• Azure 入口網站 (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Microsoft Entra 系統管理中心 (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Microsoft 365 Defender 入口網站 (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Microsoft Intune 系統管理中心 (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Microsoft Purview 合規性入口網站 (80ccca67-54bd-44ab-8625-4b79c4dc7775)

設定兌換順序

若要自訂識別提供者的順序，而您的來賓使用者可在接受您的邀請時，使用這些識別提供者來登入，請遵循下列步驟。

1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。 然後開啟左側的 [身分識別] 服務。

2. 選取 [外部身分識別]>[跨租用戶存取設定]。

3. 在 [預設設定] 索引標籤的 [輸入存取設定] 底下，選取 [編輯輸入預設值]。

4. 在 [B2B 共同作業] 索引標籤上，選取 [兌換順序] 索引標籤。

5. 向上或向下移動識別提供者，以變更來賓使用者可在接受邀請時登入的順序。 您也可以在這裡將兌換順序重設為預設設定。

   

6. 選取 [儲存]。

您也可以透過 Microsoft Graph API 自訂兌換順序。

1. 開啟 Microsoft Graph 總管。

2. 以至少安全性系統管理員身分登入您的資源租用戶。

3. 執行下列查詢以取得目前的兌換順序：

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default

4. 在此範例中，我們會將 SAML/WS-Fed IdP 同盟移至兌換順序頂端，超過 Microsoft Entra 識別提供者。 使用此要求本文修補相同的 URI：

{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}

5. 若要驗證變更，請再次執行 GET 查詢。

6. 若要將兌換順序重設為預設設定，請執行下列查詢：

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

Microsoft Entra ID 已驗證網域的 SAML/WS-Fed 同盟 (直接同盟)

您現在可以新增已登錄的 Microsoft Entra ID 已驗證網域，以設定直接同盟關聯性。 首先，您必須在系統管理中心或透過 API 設定直接同盟設定。 請確定未在相同的租用戶中驗證網域。 一旦設定完成，您就可以自訂兌換順序。 SAML/WS-Fed IdP 會新增至兌換順序，作為最後一個項目。 您可以在兌換順序中將其向上移動，以將其設定在 Microsoft Entra 識別提供者上方。

防止您的 B2B 使用者透過 Microsoft 帳戶兌換邀請

若要防止 B2B 來賓使用者透過其現有的 Microsoft 帳戶兌換邀請，或建立新的帳戶來接受邀請，請遵循下列步驟。

1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。 然後開啟左側的 [身分識別] 服務。

2. 選取 [外部身分識別]>[跨租用戶存取設定]。

3. 在 [組織設定] 底下，選取 [輸入存取] 資料行和 [B2B 共同作業] 索引標籤中的連結。

4. 選取 [兌換順序] 索引標籤。

5. 在 [後援識別提供者] 底下，停用 Microsoft 服務帳戶 (MSA)。

   

6. 選取 [儲存]。

您必須在任何指定時間至少啟用一個後援識別提供者。 如果您想要停用 Microsoft 帳戶，則必須啟用電子郵件一次性密碼。 您無法停用這兩個後援識別提供者。 任何以 Microsoft 帳戶登入的現有來賓使用者，都會在後續登入期間繼續使用該帳戶。您必須重設其兌換狀態，才能套用此設定。

變更 MFA 和裝置宣告的輸入信任設定

1. 選取 [信任設定] 索引標籤。

2. (此步驟僅適用於組織設定。)如果您正在設定組織的設定，請選取下列其中一項：

   • 預設設定：組織會使用 [預設設定] 索引標籤上設定的設定。如果已為此組織設定自訂設定，請選取 [是]，以確認您想要以預設設定取代所有設定。 然後選取 [儲存]，並略過此程序中的其餘步驟。

   • 自訂設定：您可以自訂要針對此組織強制執行的設定，而不是預設設定。 繼續進行此程序中的其餘步驟。

3. 選取下列一或多個選項：

   • 信任來自 Microsoft Entra 租用戶的多重要素驗證：選取此核取方塊以允許您的條件式存取原則信任來自外部組織的 MFA 宣告。 驗證期間，Microsoft Entra 會檢查使用者的認證，以取得使用者已完成 MFA 的宣告。 如果不是，則會在使用者的主租用戶中起始 MFA 挑戰。

   • 信任符合規範裝置：允許您的條件式存取原則在外部組織的使用者存取您的資源時，信任來自該外部組織的符合規範裝置宣告。

   • 信任加入 Microsoft Entra 混合式的裝置：允許您的條件式存取原則在外部組織的使用者存取您的資源時，信任來自外部組織且加入 Microsoft Entra 混合式的裝置宣告。

   

4. (此步驟僅適用於組織設定。)檢閱 [自動兌換] 選項：

   • 使用租用戶<tenant>自動兌換邀請：如果您要自動兌換邀請，請核取此設定。 若是如此，來自所指定租用戶的使用者將不必在第一次使用跨租用戶同步處理、B2B 共同作業或 B2B 直接連接來存取此租用戶時，接受同意提示。 如果指定的租用戶也會核取此設定以進行輸出存取，則此設定只會隱藏同意提示。

   

5. 選取 [儲存]。

允許使用者同步至此租用戶

如果選取所新增組織的 [輸入存取]，您會看到 [跨租用戶同步處理] 索引標籤和 [允許使用者同步至此租用戶] 核取方塊。 跨租用戶同步處理是 Microsoft Entra ID 中的單向同步服務，其會跨組織中的租用戶自動建立、更新和刪除 B2B 共同作業使用者。 如需詳細資訊，請參閱設定跨租用戶同步處理和多租用戶組織文件。

修改輸出存取設定

透過輸出設定時，您可以選取哪些使用者和群組能夠存取您選擇的外部應用程式。 無論是要設定預設設定或組織特定的設定，變更輸出跨租用戶存取設定的步驟都相同。 如本節所述，您會瀏覽至 [預設] 索引標籤，或 [組織設定] 索引標籤上的組織，然後進行變更。

1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶存取設定]。

3. 瀏覽至您要修改的設定：

   • 若要修改預設輸出設定，請選取 [預設設定] 索引標籤，然後在 [輸出存取設定] 下，選取 [編輯輸出預設值]。

   • 若要修改特定組織的設定，請選取 [組織設定] 索引標籤，在清單中尋找組織 (或新增一個)，然後選取 [輸出存取] 資料行中的連結。

4. 選取 [B2B 共同作業] 索引標籤。

5. (此步驟僅適用於組織設定。)如果您正要設定組織的設定，請選取一個選項：

   • 預設設定：組織會使用 [預設設定] 索引標籤上設定的設定。如果已為此組織設定自訂設定，您必須選取 [是]，以確認您想要以預設設定取代所有設定。 然後選取 [儲存]，並略過此程序中的其餘步驟。

   • 自訂設定：您可以自訂要針對此組織強制執行的設定，而不是預設設定。 繼續進行此程序中的其餘步驟。

6. 選取 使用者及群組。

7. 在 [存取狀態] 底下，選取下列其中一項：

   • 允許存取：允許在 [適用於] 底下指定的使用者和群組，使其可受邀加入外部組織以進行 B2B 共同作業。
   • 封鎖存取：封鎖在 [適用於] 底下指定的使用者和群組，使其無法受邀加入 B2B 共同作業。 如果您封鎖所有使用者和群組的存取權，這也會封鎖所有外部應用程式，使其無法透過 B2B 共同作業存取。

   

8. 在 [適用於] 底下，選取下列其中一項：

   • <您的組織> 的所有使用者：將您在 [存取狀態] 底下選擇的動作套用至所有使用者和群組。
   • 選取<您的組織>使用者和群組 (需要 Microsoft Entra ID P1 或 P2 訂用帳戶)：讓您將 [存取狀態] 底下所選擇的動作套用至特定使用者和群組。

   注意

   如果您封鎖所有使用者和群組的存取，則也需要封鎖對所有外部應用程式 (在 [應用程式] 索引標籤上) 的存取。

   

9. 如果您選擇 [選取 <您的組織> 使用者和群組]，請針對您要新增的每個使用者或群組執行下列動作：

   • 選取 [新增 <您的組織> 使用者和群組]。
   • 在 [選取] 窗格中，於搜尋方塊中輸入使用者名稱或群組名稱。
   • 在搜尋結果中選取使用者或群組。
   • 完成選取要新增的使用者和群組之後，請選擇 [選取]。

   注意

   以使用者和群組為目標時，您將無法選取已設定 SMS 型驗證的使用者。 這是因為在其使用者物件上具有「同盟認證」的使用者遭到封鎖，以防止外部使用者新增至輸出存取設定。 作為因應措施，您可以使用 Microsoft 圖形 API，直接新增使用者的物件識別碼，或將使用者所屬的群組設為目標。

10. 選取 [外部應用程式] 索引標籤。

11. 在 [存取狀態] 底下，選取下列其中一項：

    • 允許存取：允許在 [適用於] 底下指定的外部應用程式由您的使用者透過 B2B 共同作業存取。
    • 封鎖存取：封鎖在 [適用於] 底下指定的外部應用程式，使其無法由您的使用者透過 B2B 共同作業存取。

    

12. 在 [適用於] 底下，選取下列其中一項：

    • 所有外部應用程式：將您在 [存取狀態] 底下選擇的動作套用至所有外部應用程式。
    • 選取外部應用程式：將您在 [存取狀態] 底下選擇的動作套用至所有外部應用程式。

    注意

    如果您封鎖對所有外部應用程式的存取，則也需要封鎖所有使用者和群組的存取 (在 [使用者和群組] 索引標籤上)。

    

13. 如果您選擇 [選取外部應用程式]，請針對您要新增的每個應用程式執行下列動作：

    • 選取 [新增 Microsoft 應用程式] 或 [新增其他應用程式]。
    • 在搜尋方塊中，輸入應用程式名稱或應用程式識別碼 ([用戶端應用程式識別碼] 或 [資源應用程式識別碼])。 然後在搜尋結果中選取應用程式。 針對您要新增的每個應用程式重複執行。
    • 完成選取應用程式時，請選擇 [選取]。

    

14. 選取 [儲存]。

變更輸出信任設定

(本節僅適用於組織設定。)

1. 選取 [信任設定] 索引標籤。

2. 檢閱 [自動兌換] 選項：

   • 使用租用戶<tenant>自動兌換邀請：如果您要自動兌換邀請，請核取此設定。 若是如此，來自此租用戶的使用者不必在第一次使用跨租用戶同步、B2B 共同作業或 B2B 直接連接來存取指定的租用戶時，接受同意提示。 如果指定的租用戶也會核取此設定以進行輸入存取，則此設定只會隱藏同意提示。

     

3. 選取 [儲存]。

當您從 [組織設定] 中移除組織時，該組織的預設跨租用戶存取設定即會生效。

1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶存取設定]。

3. 選取 [組織設定] 索引標籤。

4. 在清單中尋找組織，然後選取該資料列上的垃圾桶圖示。