B2B 共同作業邀請兌換
適用於:
員工租用戶 
外部租用戶 (深入了解)
本文說明來賓使用者如何存取您的資源,以及他們將會遇到的同意程序。 如果您將邀請電子郵件傳送給來賓,邀請會包含一個連結,讓來賓可兌換以存取您的應用程式或入口網站。 邀請電子郵件只是來賓可存取您資源的其中一種方式。 或者,您可將來賓新增至您的目錄,並為他們提供所要共用入口網站或應用程式的直接連結。 無論來賓使用何種方法,系統都會引導他們進行第一次的同意程序。 此程式可確保您的來賓同意隱私權條款,並接受您已設定的任何使用規定。
當您將來賓使用者新增到您的目錄時,來賓使用者帳戶的同意狀態 (可在 PowerShell 中檢視) 最初會設定為 PendingAcceptance。 此設定會保留到來賓接受您的邀請並同意您的隱私權原則和使用條款為止。 之後,同意狀態會變更為 [已接受],而不再對來賓呈現同意頁面。
重要
- 從 2021 年 7 月 12 日開始,如果 Microsoft Entra B2B 客戶設定新的 Google 整合以與自訂或企業營運應用程式的自助式註冊搭配使用,則必須等到驗證移至系統 Web 檢視之後,才能使用 Google 身分識別進行驗證。 深入了解。
- 自 2021 年 9月 30 日起,Google 將淘汰內嵌的 Web 檢視登入支援。 如果您的應用程式是以內嵌的 Web 檢視來驗證使用者,且您針對外部使用者邀請或自助式註冊使用 Google 與 Azure AD B2C 或 Microsoft Entra B2B 的同盟,則 Google Gmail 使用者將無法進行驗證。 深入了解。
- 針對所有新租用戶,以及您尚未明確關閉的任何現有租用戶,現在預設會開啟電子郵件一次性密碼功能。 關閉此功能時,後援驗證方法是提示受邀者建立 Microsoft 帳戶。
透過通用端點的兌換程序和登入
來賓使用者現在可以透過常見的端點 (URL) 來登入您的多租用戶或 Microsoft 第一方應用程式,例如 https://myapps.microsoft.com。 先前,通用 URL 會將來賓使用者重新導向至其主租用戶,而不是您的資源租用戶進行驗證,因此需要特定租用戶的連結 (例如 https://myapps.microsoft.com/?tenantid=<tenant id>)。 現在來賓使用者可以移至應用程式的通用 URL,選擇 [登入選項],然後選取 [登入組織]。 使用者接著會輸入您組織的網域名稱。
然後,使用者會重新導向至您的租用戶特定端點,在此使用者可以使用其電子郵件地址登入,或選取您已設定的身分識別提供者。
透過直接連結的兌換程序
除了邀請電子郵件或是應用程式的通用 URL 以外,您也可以為來賓提供應用程式或入口網站的直接連結。 您必須先透過 Microsoft Entra 系統管理中心 或 PowerShell,將來賓使用者新增至您的目錄。 接著,您可使用任何可自訂的方式將應用程式部署至使用者,包括直接登入連結。 當來賓使用直接連結而不是邀請電子郵件時,系統仍會引導他們進行第一次的同意體驗。
注意
直接連結是租用戶專用。 換句話說,其包括租用戶識別碼或已驗證的網域,才能在您的租用戶 (共用應用程式所在的位置) 中驗證來賓。 以下是一些具有租用戶內容的直接連結範例:
- 應用程式存取面板:
https://myapps.microsoft.com/?tenantid=<tenant id> - 已驗證網域的應用程式存取面板:
https://myapps.microsoft.com/<;verified domain> - Microsoft Entra 系統管理中心:
https://entra.microsoft.com/<tenant id> - 個別應用程式:請參閱如何使用直接登入連結
以下是使用直接連結與邀請電子郵件的一些注意事項:
電子郵件別名: 使用受邀電子郵件地址別名的來賓將需要電子郵件邀請。 (別名是另一個與電子郵件帳戶相關聯的電子郵件位址。用戶必須在邀請電子郵件中選取兌換 URL。
衝突的聯繫人物件: 當來賓用戶對象與目錄中的聯繫人對象衝突時,已更新兌換程式,以防止登入問題。 每當您新增或邀請具有符合現有聯繫人的電子郵件的來賓時,來賓用戶物件上的 proxyAddresses 屬性會保留空白。 先前,外部標識碼只會搜尋 proxyAddresses 屬性,因此當找不到相符專案時,直接鏈接兌換會失敗。 現在,外部標識符會同時搜尋 proxyAddresses 和受邀的電子郵件屬性。
透過邀請電子郵件的兌換程序
當您使用 Microsoft Entra 系統管理中心將來賓使用者新增至您的目錄時,系統會將邀請電子郵件傳送給處理中的來賓。 當您使用 PowerShell將來賓使用者新增到您的目錄時,也可選擇傳送邀請電子郵件。 以下說明來賓在兌換電子郵件中的連結時的體驗。
- 來賓會收到從 Microsoft Invitations 傳送的邀請電子郵件。
- 來賓會在電子郵件中選取 [接受邀請]。
- 來賓會使用自己的認證來登入您的目錄。 如果來賓沒有可與您目錄同盟的帳戶,且未啟用電子郵件一次性密碼 (OTP) 功能,則系統會提示來賓建立個人 MSA。 如需詳細資訊,請參閱邀請兌換流程。
- 系統會引導來賓進行同意體驗,如下所述。
邀請兌換流程
當使用者選取 [邀請電子郵件] 中的 [接受邀請] 連結時,Microsoft Entra ID 會根據如下所示的預設兌換順序自動兌換邀請:
Microsoft Entra ID 會執行以使用者為基礎的探索,以判斷使用者是否已存在於受控 Microsoft Entra 租用戶中。 (非受控 Microsoft Entra 帳戶無法再用於兌換流程。)如果使用者的使用者主體名稱 (UPN) 與現有 Microsoft Entra 和個人 MSA 皆相符,則系統會提示使用者選擇他們想要進行兌換的帳戶。
如果系統管理員已啟用 SAML/WS-Fed IdP 同盟,Microsoft Entra ID 會檢查使用者的網域尾碼是否符合所設定 SAML/WS-Fed 同盟識別提供者的網域,並將使用者重新導向至預先設定的識別提供者。
如果系統管理員已啟用 Google 同盟,Microsoft Entra ID 會檢查使用者的網域尾碼是否為 gmail.com 或 googlemail.com,並將使用者重新導向至 Google。
兌換程序會檢查使用者是否有現有的個人 MSA。 如果使用者已經有現有的 MSA,他們將使用其現有的 MSA 登入。
一旦識別出使用者的主目錄,使用者就會被傳送至對應的識別提供者以進行登入。
如果找不到主目錄,並「已啟用」來賓的電子郵件一次性密碼功能,則會透過受邀電子郵件將密碼傳送給使用者。 使用者會在 Microsoft Entra 登入頁面中擷取並輸入此密碼。
如果找不到主目錄,並「已停用」來賓的電子郵件一次性密碼,系統會提示使用者建立具有受邀電子郵件的取用者 MSA。 我們支援在 Microsoft Entra ID 內未經驗證的網域中建立具有工作電子郵件的 MSA。
向適當的識別提供者進行驗證後,系統會將使用者重新導向至 Microsoft Entra ID 以進行同意體驗。
可設定的兌換
可設定的兌換可讓您自訂在來賓兌換邀請時,向來賓提供識別提供者的順序。 當來賓選取 [接受邀請] 連結時,Microsoft Entra ID 會根據預設順序自動兌換邀請。 您可以變更跨租用戶存取設定中的識別提供者兌換順序來覆寫此值。
來賓的同意體驗
來賓第一次登入以存取合作夥伴組織中的資源時,系統會向他們呈現下列同意體驗。 這些同意頁面只會在登入後向來賓顯示,而且,如果使用者已接受這些同意頁面,則根本不予顯示。
來賓會檢閱 [審查權限] 頁面,其中描述邀請組織的隱私權聲明。 使用者必須根據邀請組織的隱私權原則 [接受] 其資訊的使用方式,才能繼續執行。
您同意此同意提示,即確認將會共用您帳戶的某些元素。 這些元素包括您的名稱、相片和電子郵件地址,以及目錄識別碼,可供其他組織用來更妥善管理您的帳戶,並改善跨組織體驗。
![顯示 [檢閱權限] 頁面的螢幕擷取畫面。](media/redemption-experience/new-review-permissions.png)
注意
有關身為租用戶管理員的您如何連結至貴組織隱私權聲明的詳細資訊,請參閱做法:在 Microsoft Entra ID 中新增貴組織的隱私權資訊。
如果已設定使用規定,則來賓會開啟並檢閱使用規定,然後選取 [接受]。
您可以在 [外部身分識別]>[使用規定] 中,設定使用規定。
除非另有指定,否則會將來賓重新導向至應用程式存取面板,其中會列出來賓可以存取的應用程式。
在您的目錄中,來賓的 [邀請已接受] 值會變更為 [是]。 如果已建立 MSA,來賓的 [來源] 會顯示 [Microsoft 帳戶]。 如需來賓使用者帳戶屬性的詳細資訊,請參閱 Microsoft Entra B2B 共同作業使用者的屬性。 如果您在存取應用程式時看到需要管理員同意的錯誤,請參閱如何將管理員同意授與應用程式。
自動兌換處理程序設定
您可能需要自動兌換邀請,讓使用者不必在其新增至另一個租用戶以進行 B2B 共同作業時接受同意提示。 設定時,系統會傳送通知電子郵件給 B2B 共同作業使用者,而該使用者不需要採取任何動作。 系統會直接傳送通知電子郵件給使用者,而且他們不必先存取租用戶,即可收到電子郵件。
如需關於如何自動兌換邀請的資訊,請參閱跨租用戶存取概觀和針對 B2B 共同作業設定跨租用戶存取設定。