邀請內部使用者加入 B2B 共同作業

適用於：員工租用戶外部租用戶 (深入了解)

在 Microsoft Entra B2B 共同作業推出之前，組織可以藉由設定內部認證，與經銷商、供應商、廠商和其他來賓使用者共同作業。 如果您有類似的內部來賓使用者，可以邀請他們改用 B2B 共同作業。 這些 B2B 來賓使用者將能夠使用自己的身分識別和認證進行登入，而不需要密碼維護或帳戶生命週期管理。

邀請可以傳送給現有的內部帳戶，讓您得以保留使用者的物件識別碼、UPN、群組成員資格和應用程式指派。 您不需要手動刪除並重新邀請使用者或重新指派資源。 若要邀請使用者，您可以使用邀請 API，與邀請一併傳遞內部使用者物件和來賓使用者的電子郵件地址。 當使用者接受邀請時，B2B 服務會將現有的內部使用者物件變更為 B2B 使用者。 之後，使用者就必須使用其 B2B 認證登入雲端資源服務。

考量的事項

• 內部部署資源存取：使用者在受邀加入 B2B 共同作業之後，他們仍可使用內部認證來存取內部部署資源。 您可以重設或變更內部帳戶的密碼，以避免發生此情況。 電子郵件一次性密碼驗證則是例外；如果使用者的驗證方法變更為一次性密碼，他們就無法再使用內部認證。

• 計費：此功能不會變更使用者的 UserType，因此不會自動將使用者的計費模式切換為外部 ID 每月活躍使用者 (MAU) 定價。 若要啟用使用者的 MAU 定價，請將使用者的 UserType 變更為 guest。 另請注意，您的 Microsoft Entra 租用戶必須連結至 Azure 訂閱，才能啟用 MAU 計費。

• Teams：當使用者使用外部認證存取 Teams 時，其租用戶一開始不會出現在 Teams 租用戶選擇器中。 使用者可以使用包含租用戶內容的 URL 來存取 Teams，例如：https://teams.microsoft.com/?tenantId=<TenantId>。 之後，其租用戶就會出現在 Teams 租用戶選擇器中。

• 內部部署同步使用者：若是在內部部署與雲端之間同步的使用者帳戶，使用者在受邀加入 B2B 共同作業之後，內部部署目錄仍會是授權單位來源。 您對內部部署帳戶所做的任何變更都會同步至雲端帳戶，包括停用或刪除帳戶。 因此，您無法單純透過刪除內部部署帳戶，在防止使用者在登入內部部署帳戶的同時保留其雲端帳戶。 不過，您可以將內部部署帳戶密碼設定為隨機 GUID 或其他未知的值。

注意

在 Microsoft Entra Connect Sync 中，有一項預設規則會將 onPremisesUserPrincipalName 屬性寫入使用者物件。 因為這個屬性的存在可能會讓使用者無法使用外部認證登入，所以我們會禁止具有這個屬性的使用者物件從內部轉換為外部。 若使用 Microsoft Entra Connect，並且希望能夠邀請內部使用者加入 B2B 共同作業，就必須修改預設規則，讓 onPremisesUserPrincipalName 屬性不會寫入使用者物件中。

如何邀請內部使用者加入 B2B 共同作業

您可以使用 Microsoft Entra 系統管理中心、PowerShell 或邀請 API 將 B2B 邀請傳送給內部使用者。 要注意的事項：

• 邀請使用者之前，請確定內部使用者物件的 User.Mail 屬性 (Microsoft Entra 系統管理中心中的使用者 Email 屬性) 設定為將用於 B2B 共同作業的外部電子郵件地址。 如果內部使用者有現有的信箱，則您無法將此屬性變更為外部電子郵件地址。 您必須在 Exchange 系統管理中心更新其屬性。

• 當您邀請使用者時，會透過電子郵件將邀請傳送給使用者。 如果您使用 PowerShell 或邀請 API，則您可以將 SendInvitationMessage 設定為 False，來隱藏此電子郵件。 然後，您可以透過另一種方式來通知使用者。 深入了解邀請 API。

• 使用者兌換邀請時，他們所使用的帳戶必須符合 User.Mail 屬性中的網域。 否則，某些服務 (例如 Teams) 將無法驗證使用者。

使用 Microsoft Entra 系統管理中心傳送 B2B 邀請

提示

本文中的步驟可能會依據您開始的入口網站而稍有不同。

1. 至少以外部識別提供者管理員身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。

3. 在清單中尋找使用者，或使用搜尋方塊。 然後選取使用者。

4. 在 [概觀] 索引標籤的 [我的摘要] 底下，選取 [轉換為外部使用者]。

   

   注意

   如果卡片指出「重新傳送此 B2B 使用者的邀請或重設其兌換狀態」。 使用者已獲邀使用 B2B 共用作業的外部認證。

5. 新增外部電子郵件地址，然後選取 [傳送]。

   

   注意

   如果選項無法使用，則請確定使用者的 Email 屬性設定為他們應該用於 B2B 共同作業的外部電子郵件地址。

6. 確認訊息隨即出現，並透過電子郵件將邀請傳送給使用者。 使用者接著可以使用其外部認證來兌換邀請。

使用 PowerShell 傳送 B2B 邀請

您將需要最新的 Microsoft Graph PowerShell 模組。 請使用下列命令更新為最新的模組，並邀請內部使用者加入 B2B 共同作業：

Update-Module Microsoft.Graph
Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee' 
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapplications.microsoft.com" -InvitedUser $msGraphUser

使用邀請 API 傳送 B2B 邀請

下列範例說明如何呼叫邀請 API，以邀請內部使用者成為 B2B 使用者。

POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
ContentType: application/json
{
    "invitedUserEmailAddress": "<<external email>>",
    "sendInvitationMessage": true,
    "invitedUserMessageInfo": {
        "messageLanguage": "en-US",
        "ccRecipients": [
            {
                "emailAddress": {
                    "name": null,
                    "address": "<<optional additional notification email>>"
                }
            }
        ],
        "customizedMessageBody": "<<custom message>>"
    },
    "inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=",
    "invitedUser": {
        "id": "<<ID for the user you want to convert>>"
    }
}

對 API 的回應，與您邀請新來賓使用者加入目錄時收到的回應相同。

下一步

• 新增和邀請來賓使用者
• 使用 API 自訂邀請
• B2B 共同作業邀請兌換