使用 Microsoft Entra B2B 共同作業對本機管理的夥伴帳戶授與雲端資源的存取權
適用於:
員工租用戶 
外部租用戶 (深入了解)
在 Microsoft Entra ID 之前,具有內部部署身分識別系統的組織傳統上都是在其內部部署目錄中管理夥伴帳戶。 在這類組織中,在開始將應用程式移至 Microsoft Entra ID 時,建議您確保夥伴可以存取其所需的資源。 資源是在內部部署還是雲端中並不重要。 此外,建議您要讓夥伴使用者能夠對內部部署和 Microsoft Entra 資源使用相同的登入認證。
若在內部部署目錄中為外部夥伴建立帳戶 (例如,您在 partners.contoso.com 網域中為名為 Maria Sullivan 的外部使用者建立登入名稱為 "msullivan" 的帳戶),您現在可以將這些帳戶同步至雲端。 具體來說,您可以使用 Microsoft Entra Connect 將夥伴帳戶同步至雲端,其會建立 UserType = Guest 的使用者帳戶。 此設定可讓您的夥伴使用者使用和其本機帳戶相同的認證存取雲端資源,而不需對其提供超過其所需的存取權。 如需轉換本機來賓帳戶的詳細資訊,請參閱<將本機來賓帳戶轉換為 Microsoft Entra B2B 來賓帳戶>。
注意
另請參閱如何<邀請內部使用者加入 B2B 共同作業>。 不論您是否已將其帳戶從內部部署目錄同步處理至雲端,都可以使用這項功能,邀請內部來賓使用者使用 B2B 共同作業。 一旦使用者接受使用 B2B 共同作業的邀請,就能夠使用自己的身分識別和認證來登入您想要使用者存取的資源。 您不需要維護密碼或管理帳戶生命週期。
識別 UserType 的獨特屬性
在啟用 UserType 屬性的同步處理之前,您必須先決定要如何從內部部署的 Active Directory 衍生 UserType 屬性。 換句話說,內部部署環境中的哪些參數是外部共同作業者所獨有的? 請決定可供區分這些外部共同作業者與貴組織成員的參數。
定義參數的兩個常見方法如下:
- 指定未使用的內部部署的 Active Directory 屬性 (例如 extensionAttribute1) 來作為來源屬性。
- 或者,從其他屬性衍生 UserType 屬性的值。 例如,如果使用者的內部部署的 Active Directory UserPrincipalName 屬性是以 @partners.contoso.com 網域作為結尾,您就需要以 Guest 身分來同步處理所有使用者。
如需詳細的屬性需求,請參閱<啟用 UserType 的同步處理>。
設定 Microsoft Entra Connect 以將使用者同步至雲端
在識別獨有屬性後,您可以設定 Microsoft Entra Connect 來將這些使用者同步至雲端,其會建立UserType = Guest 的使用者帳戶。 從授權的觀點來看,這些使用者與透過 Microsoft Entra B2B 共同作業邀請程序所建立的 B2B 使用者並無不同。
如需實作指示,請參閱<啟用 UserType 的同步處理>。