分享方式:

針對 B2B 直接連接設定跨租用戶存取設定

  • 文章

適用於具有白色核取記號的綠色圓圈。 員工租用戶 具有灰色 X 符號的白色圓圈。 外部租用戶 (深入了解)

使用跨租用戶存取設定來管理與其他 Microsoft Entra 組織透過 B2B 直接連接共同作業的方式。 這些設定可讓您判斷使用者對外部組織所具備的輸出存取層級。 也可讓您控制外部 Microsoft Entra 組織中使用者對內部資源的輸入存取層級。

  • 預設設定:預設的跨租用戶存取設定會套用至所有外部 Microsoft Entra 組織,但您已進行個別設定的組織除外。 您可以變更這些預設設定。 針對 B2B 直接連接,您通常會依原樣保留預設設定,並使用組織特定的設定啟用 B2B 直接連接存取。 一開始,您的預設值如下所示:

    • B2B 直接連接初始預設設定 - 預設會封鎖整個租用戶者的輸出 B2B 直接連接,並封鎖所有外部 Microsoft Entra 組織的輸入 B2B 直接連接。
    • 組織設定 - 依預設,不會將任何組織新增到您的組織設定。

  • 組織特定設定:您可以新增組織並修改該組織的輸入和輸出設定來設定組織特定的設定。 組織設定的優先順序高於預設設定。

深入了解如何使用跨租用戶存取設定來管理 B2B 直接連接

重要

Microsoft 於 2023 年 8 月 30 日開始使用跨租用戶端存取設定,將客戶移至新的儲存體模型。 在我們的自動化工作移轉您的設定時,您可能會注意到稽核記錄中有項目通知您,跨租用戶存取設定已更新。 在移轉過程的短暫時段中,您將無法對設定進行變更。 如果您無法進行變更,請稍候片刻,然後再嘗試變更。 移轉完成後,您將不再受到 25 KB 儲存空間的限制,您可以新增的合作夥伴數目也不會再有其他限制。

開始之前

  • 在設定跨租用戶存取設定之前,請先檢閱跨租用戶存取概觀中的重要考量一節。
  • 決定您要套用至所有外部 Microsoft Entra 組織的預設存取層級。
  • 識別需要自訂設定的 Microsoft Entra 組織。
  • 請連絡您想要設定 B2B 直接連接的組織。 由於 B2B 直接連接是透過相互信任建立的,因此您和對方組織都必須在跨租用戶存取設定中啟用 B2B 直接連接。
  • 從外部組織取得任何必要資訊。 如果您想要將存取設定套用至外部組織內的特定使用者、群組或應用程式,則必須先從組織取得這些識別碼,才能設定存取設定。
  • 若要在 Microsoft Entra 系統管理中心設定跨租用戶存取設定,您需要至少具有安全性系統管理員角色的帳戶。 來系統管理員可以讀取跨租用戶存取設定,但無法更新這些設定。

設定預設設定

提示

本文中的步驟可能會隨著您開始使用的入口網站而稍有不同。

預設的跨租用戶存取設定適用於您尚未建立組織特定自訂設定的所有外部組織。 如果您想要修改 Microsoft Entra 提供的預設設定,請遵循下列步驟。

  1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶存取設定]

  3. 選取 [預設設定] 索引標籤,然後檢閱摘要頁面。

    此螢幕擷取畫面顯示跨租用戶存取設定的 [預設設定] 索引標籤

  4. 若要變更設定,請選取 [編輯輸入預設值] 連結或 [編輯輸出預設值] 連結。

    此螢幕擷取畫面顯示 [預設設定] 的 [編輯] 按鈕

  5. 遵循下列各節中的詳細步驟來修改預設設定:

新增組織

遵循下列步驟來設定特定組織的自訂設定。

  1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶存取設定]

  3. 選取 [組織設定]

  4. 選取 [新增組織]

  5. 在 [新增組織] 窗格中,輸入組織的完整網域名稱 (或租用戶識別碼)。

    螢幕擷取畫面顯示新增組織

  6. 在搜尋結果中選取組織,然後選取 [新增]

  7. 組織會出現在 [組織設定] 清單中。 至此,此組織的所有存取設定都是繼承自您的預設設定。 若要變更此組織的設定,請選取 [輸入存取] 或 [輸出存取] 資料行底下的 [繼承自預設] 連結。

    此螢幕擷取畫面顯示使用預設設定新增的組織

  8. 遵循下列各節中的詳細步驟來修改組織的設定:

修改輸入存取設定

使用輸入設定時,選取哪些外部使用者和群組可以存取您所選擇的內部應用程式。 無論是要設定預設設定或組織特定的設定,變更輸入跨租用戶存取設定的步驟都相同。 如本節所述,您會瀏覽至 [組織設定] 索引標籤上的 [預設] 索引標籤或組織,然後進行變更。

  1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶存取設定]

  3. 瀏覽至您要修改的設定:

    • 若要修改預設的輸入設定,請選取 [預設設定] 索引標籤,然後在 [輸入存取設定] 下,選取 [編輯輸入預設值]
    • 若要修改特定組織的設定,請選取 [組織設定] 索引標籤,在清單中尋找組織 (或新增一個),然後選取 [輸入存取] 資料行中的連結。

  4. 遵循您要變更的設定詳細步驟:

變更輸入 B2B 直接連接設定

  1. 選取 [B2B 直接連接] 索引標籤

  2. 如果您正在設定組織的設定,請選取下列其中一個選項:

    • 預設設定:組織會使用預設設定索引標籤上指定的設定。如果已為此組織設定自訂設定,您必須選取 [是],以確認您想要以預設設定取代所有設定。 然後選取 [儲存],並略過此程序中的其餘步驟。

    • 自訂設定:您可以自訂設定來強制此組織執行設定,而不是預設設定。 繼續進行此程序中的其餘步驟。

  3. 選取 [外部使用者與群組]

  4. 在 [存取狀態] 底下,選取下列其中一個選項:

    • 允許存取:允許 [套用] 底下指定的使用者和群組存取 B2B 直接連接。
    • 封鎖存取:封鎖 [套用至] 底下指定的使用者和群組,以存取 B2B 直接連接。 封鎖所有外部使用者和群組的存取,也會封鎖所有內部應用程式透過 B2B 直接連接共用。

    此螢幕擷取畫面顯示 B2B 直接連接使用者的輸入存取狀態

  5. 在 [適用於] 底下,選取下列其中一項:

    • 所有外部使用者和群組:將您在 [存取狀態] 底下選擇的動作套用至來自外部 Microsoft Entra 組織的所有使用者和群組。
    • 選取外部使用者和群組:將您在 [存取狀態] 下選擇的動作套用至外部組織內的特定使用者和群組。 您設定的租用戶上需要 Microsoft Entra ID P1 授權。

    此螢幕擷取畫面顯示選取 B2B 直接連接的目標使用者

  6. 如果您選擇 [選取外部使用者和群組],請針對您要新增的每個使用者或群組執行下列動作:

    • 選取 [新增外部使用者和群組]
    • 在 [新增其他使用者和群組] 窗格中,在搜尋方塊輸入使用者物件識別碼或群組物件識別碼。
    • 在搜尋方塊旁的功能表中,選擇 [使用者] 或 [群組]
    • 選取 [新增]。

    注意

    您無法以在輸入預設設定中鎖定使用者或群組為目標。

    此螢幕擷取畫面顯示新增輸入 B2B 直接連接的外部使用者

  7. 完成新增使用者和群組時,選取 [提交]

  8. 選取 [應用程式] 索引標籤。

  9. 在 [存取狀態] 底下,選取下列其中一項:

    • 允許存取:允許在 [套用至] 底下指定的應用程式由 B2B 直接連接使用者存取。
    • 封鎖存取:封鎖在 [套用至] 底下指定的應用程式,使其無法由 B2B 直接連接使用者存取。

    此螢幕擷取畫面顯示 B2B 直接連接的輸入應用程式存取狀態

  10. 在 [適用於] 底下,選取下列其中一項:

    • 所有應用程式:將您在 [存取狀態] 底下選擇的動作套用至所有應用程式。
    • 選取應用程式 (需要 Microsoft Entra ID P1 或 P2 訂用帳戶):讓您可以將 [存取狀態] 底下選擇的動作套用到組織中的特定應用程式。

    此螢幕擷取畫面顯示輸入存取的應用程式目標

  11. 如果您選擇 [選取應用程式],請針對您要新增的每個應用程式執行下列動作:

    • 選取新增 Microsoft 應用程式
    • 在應用程式窗格中,在搜尋方塊中輸入應用程式名稱,然後在搜尋結果中選取應用程式。
    • 完成選取應用程式時,請選擇 [選取]

    此螢幕擷取畫面顯示新增輸入 B2B 直接連接的應用程式

  12. 選取 [儲存]。

變更 MFA 和裝置狀態的輸入信任設定

  1. 選取 [信任設定] 索引標籤。

  2. 如果您正在設定組織的設定,請選取下列其中一個選項:

    • 預設設定:組織會使用預設設定索引標籤上指定的設定。如果已為此組織設定自訂設定,您必須選取 [是],以確認您想要以預設設定取代所有設定。 然後選取 [儲存],並略過此程序中的其餘步驟。

    • 自訂設定:您可以自訂設定來強制此組織執行設定,而不是預設設定。 繼續進行此程序中的其餘步驟。

  3. 選取下列一或多個選項:

    • 信任來自 Microsoft Entra 租用戶的多重要素驗證:如果您的條件式存取原則需要多重要素驗證 (MFA),請選取此核取方塊。 此設定可讓您的條件式存取原則信任來自外部組織的 MFA 宣告。 在驗證期間,Microsoft Entra 會檢查使用者的認證,以取得使用者完成 MFA 的宣告。 如果沒有,就會在使用者的主租用戶中起始 MFA 查問。

    • 信任相容裝置:允許您的條件式存取原則在來自外部組織的使用者存取您的資源時,信任相容裝置的宣告。

    • 信任 Microsoft Entra 混合式聯結裝置:允許條件式存取原則在來自外部組織的使用者存取資源時,信任該組織的 Microsoft Entra 混合式聯結裝置宣告。

    此螢幕擷取畫面顯示輸入信任設定。

  4. (此步驟僅適用於組織設定。)檢閱自動兌換選項:

    • 自動兌換租用戶<tenant>的邀請:如果您要自動兌換邀請,請核取此設定。 若是如此,來自指定租用戶的使用者就不需要在第一次使用跨租用戶同步處理、B2B 共同作業或 B2B 直接連接存取此租用戶時,接受同意提示。 如果指定的租用戶也檢查此設定以進行輸出存取,則此設定只會抑制同意提示。

    此螢幕擷取畫面顯示輸入自動兌換核取方塊。

  5. 選取 [儲存]

注意

設定組織的設定時,您會注意到 [跨租用戶同步處理] 索引標籤。此索引標籤不適用於 B2B 直接連接設定。 相反地,多租用戶組織會使用這項功能,啟用跨租用戶的 B2B 共同作業。 如需詳細資訊,請參閱多租用戶組織文件

修改輸出存取設定

使用輸出設定時,您會選取哪些使用者和群組可以存取您選擇的外部應用程式。 無論您是要設定預設或組織特定設定,修改輸出跨租用戶存取設定的詳細步驟都相同。 如本節所述,瀏覽至 [組織設定] 索引標籤上的 [預設] 索引標籤或組織,然後進行變更。

  1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶存取設定]

  3. 瀏覽至您要修改的設定:

    • 若要修改預設輸出設定,請選取 [預設設定] 索引標籤,然後在 [輸出存取設定] 下,選取 [編輯輸出預設值]

    • 若要修改特定組織的設定,請選取 [組織設定] 索引標籤,在清單中尋找組織 (或新增一個),然後選取 [輸出存取] 資料行中的連結。

變更輸出存取設定

  1. 選取 [B2B 直接連接] 索引標籤。

  2. 如果您正在設定組織的設定,請選取下列其中一個選項:

    • 預設設定:組織會使用預設設定索引標籤上指定的設定。如果已為此組織設定自訂設定,您必須選取 [是],以確認您想要以預設設定取代所有設定。 然後選取 [儲存],並略過此程序中的其餘步驟。

    • 自訂設定:您可以為此組織自訂設定,其會針對此組織強制執行,而不使用預設設定。 繼續進行此程序中的其餘步驟。

  3. 選取 使用者及群組

  4. 在 [存取狀態] 底下,選取下列其中一項:

    • 允許存取:允許 [套用至] 底下指定的使用者和群組存取 B2B 直接連接。
    • 封鎖存取:封鎖 [套用至] 底下指定的使用者和群組,以存取 B2B 直接連接。 封鎖所有使用者和群組的存取,也會封鎖所有外部應用程式透過 B2B 直接連接共用。

    此螢幕擷取畫面顯示輸出 B2B 直接連接的使用者和群組存取狀態

  5. 在 [適用於] 底下,選取下列其中一項:

    • <您的組織> 的所有使用者:將您在 [存取狀態] 底下選擇的動作套用至所有使用者和群組。
    • 選取<您的組織>使用者和群組 (需要 Microsoft Entra ID P1 或 P2 訂用帳戶):讓您將 [存取狀態] 底下所選擇的動作套用至特定使用者和群組。

    此螢幕擷取畫面顯示選取 B2B 直接連接輸出存取的目標使用者

  6. 如果您選擇 [選取 <您的組織> 使用者和群組],請針對您要新增的每個使用者或群組執行下列動作:

    • 選取 [新增 <您的組織> 使用者和群組]
    • 在 [選取] 窗格中,於搜尋方塊中輸入使用者名稱或群組名稱。
    • 當您完成選取使用者和群組時,請選擇 [選取]

    注意

    以使用者和群組為目標時,您將無法選取已設定 SMS 型驗證的使用者。 這是因為在其使用者物件上具有「同盟認證」的使用者遭到封鎖,以防止外部使用者新增至輸出存取設定。 作為因應措施,您可以使用 Microsoft 圖形 API,直接新增使用者的物件識別碼,或將使用者所屬的群組設為目標。

  7. 選取 [儲存]。

  8. 選取 [外部應用程式] 索引標籤。

  9. 在 [存取狀態] 底下,選取下列其中一項:

    • 允許存取:允許在 [套用至] 底下指定的應用程式由 B2B 直接連接使用者存取。
    • 封鎖存取:封鎖在 [套用至] 底下指定的應用程式,使其無法由 B2B 直接連接使用者存取。

    此螢幕擷取畫面顯示輸出 B2B 直接連接的應用程式存取狀態

  10. 在 [適用於] 底下,選取下列其中一項:

    • 所有外部應用程式:將您在 [存取狀態] 底下選擇的動作套用至所有外部應用程式。
    • 選取應用程式 (需要 Microsoft Entra ID P1 或 P2 訂用帳戶):讓您可以將 [存取狀態] 底下選擇的動作套用到特定的外部應用程式。

    此螢幕擷取畫面顯示輸出 B2B 直接連接的應用程式目標

  11. 如果您選擇 [選取外部應用程式],請針對您要新增的每個應用程式執行下列動作:

    • 選取 [新增 Microsoft 應用程式] 或 [新增其他應用程式]
    • 在應用程式窗格中,在搜尋方塊中輸入應用程式名稱,然後在搜尋結果中選取應用程式。
    • 完成選取應用程式時,請選擇 [選取]

    此螢幕擷取畫面顯示新增輸出 B2B 直接連接的外部應用程式

  12. 選取 [儲存]。

變更輸出信任設定

(本節僅適用於組織設定。)

  1. 選取 [信任設定] 索引標籤。

  2. 檢閱自動兌換選項:

    • 自動兌換租用戶<tenant>的邀請:如果您要自動兌換邀請,請核取此設定。 若是如此,來自此租用戶的使用者就不必在第一次使用跨租用戶同步處理、B2B 共同作業或 B2B 直接連接存取指定的租用戶時,接受同意提示。 如果指定的租用戶也檢查此設定以進行輸入存取,則此設定只會抑制同意提示。

    此螢幕擷取畫面顯示輸出自動兌換核取方塊。

  3. 選取 [儲存]。

移除組織

當您從 [組織] 設定中移除組織時,該組織的預設跨租用戶存取設定即會生效。

注意

如果該組織是貴組織的雲端服務提供者,(Microsoft Graph 合作夥伴特定設定中的 isServiceProvider 屬性為 true),您將無法移除組織。

  1. 至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶存取設定]

  3. 選取 [組織設定] 索引標籤。

  4. 在清單中尋找組織,然後選取該資料列上的垃圾桶圖示。

下一步

針對 B2B 共同作業設定跨租用戶存取設定