適用於: 
員工租戶 (瞭解更多資訊)
B2B 共同作業是 Microsoft Entra 外部身分識別的功能,可讓您與組織外部的使用者和合作夥伴共同作業。 使用 B2B 合作,邀請外部使用者使用自己的認證登入您的 Microsoft Entra 員工租用戶。 此 B2B 共同作業使用者隨後可以存取您想要與他們共用的應用程式和資源。 系統會為 B2B 共同作業使用者在與員工相同的目錄中,建立使用者物件。 B2B 共同作業使用者物件預設在目錄中具有有限權限,而且可以像管理員工一樣進行管理、新增至群組等。 本文討論這個使用者物件的屬性,以及其管理的方式。
下表根據 B2B 共同作業使用者在內部或外部的驗證,以及與您的組織 (來賓或成員) 之間的關聯性,說明 B2B 共同作業使用者的運作方式。
- 外部來賓:通常被視為外部使用者或來賓的大部分使用者都屬於此類別。 此 B2B 共同作業使用者具有外部 Microsoft Entra 組織或外部識別提供者 (例如社交身分識別) 的帳戶,且他們在您資源組織中具有來賓層級的權限。 在資源 Microsoft Entra 目錄中建立的使用者物件具有來賓 UserType。
- 外部成員:此 B2B 共同作業使用者具有外部 Microsoft Entra 組織或外部識別提供者 (例如社交身分識別) 的帳戶,以及貴組織中成員層級的資源存取權。 此案例在由多個租用戶所組成的組織中很常見,其中使用者被視為較大型組織的一部分,而且對組織其他租用戶中的資源需要成員層級的存取權。 在資源 Microsoft Entra 目錄中建立的使用者物件具有成員 UserType。
- 內部嘉賓: 在 Microsoft Entra B2B 合作出現之前,組織經常與經銷商、供應商、供應商及其他合作夥伴合作,為他們建立內部憑證。 這些外部使用者透過將使用者物件的 UserType 屬性設定為 Guest,被指定為訪客。 如果您有像這樣的內部來賓使用者,您可以邀請他們改用 B2B 共同作業,讓他們可以使用自己的認證,允許其外部識別提供者管理驗證及其帳戶生命週期。
- 內部成員: 這些使用者被視為您組織的員工。 使用者會透過 Microsoft Entra ID 進行內部驗證,而資源 Microsoft Entra 目錄中所建立的使用者物件具有成員 UserType。
您選擇的使用者類型對於應用程式或服務有下列限制 (但不限於):
| 應用程式或服務 | 限制 |
|---|---|
| Power BI | - Power BI 中 UserType 成員的支援目前為預覽狀態。 如需詳細資訊,請參閱使用 Microsoft Entra B2B 將 Power BI 內容散發給外部來賓使用者 (部分機器翻譯)。 |
| Azure 虛擬桌面 | - 如需限制,請參閱 Azure 虛擬桌面的必要條件。 |
| Microsoft 團隊 | - 如需限制,請參閱 與其他Microsoft 365 雲端環境的來賓共同作業。 |
重要
針對所有新租用戶,以及您尚未明確關閉的任何現有租用戶,現在預設會開啟電子郵件一次性密碼功能。 關閉此功能時,後援驗證方法是提示受邀者建立 Microsoft 帳戶。
兌換邀請
現在,讓我們看看 Microsoft Entra B2B 共同作業使用者在 Microsoft Entra External ID 中看起來的樣子。
邀請兌換之前
邀請來賓使用者利用自有認證來進行共同作業後,就會產生 B2B 共同作業使用者帳戶。 初次傳送邀請給來賓使用者時,您的租用戶中就會建立帳戶。 此帳戶沒有任何與其相關聯的認證,因為驗證會由來賓使用者的識別提供者來執行。 在來賓兌換邀請前,目錄中的來賓使用者帳戶 [身分識別] 屬性會設為主機的組織網域。 傳送邀請的使用者會新增為來賓使用者帳戶上 [贊助者] 屬性的預設值。 在系統管理中心,受邀使用者的配置檔會顯示 [擱置接受] 的邀請狀態。 使用 Microsoft Graph API 查詢 externalUserState 會傳回 Pending Acceptance。
邀請兌換之後
B2B 共同作業使用者接受邀請後,[身分識別] 屬性會根據使用者的識別提供者更新。
如果 B2B 共同作業使用者使用另一個外部識別提供者的 Microsoft 帳戶或認證,[身分識別] 會反映識別提供者,例如 Microsoft 帳戶、google.com 或 facebook.com。
如果 B2B 共同作業使用者使用另一個 Microsoft Entra 組織的認證,[身分識別] 為 [ExternalAzureAD]。
如果是使用內部認證的外部使用者,[身分識別] 屬性會設為主機的組織網域。 如果帳戶是在組織的內部部署 Active Directory 中,並與 Microsoft Entra 同步,則 [目錄已同步處理] 屬性為 [是],如果帳戶為僅限於雲端的 Microsoft Entra 帳戶,則此屬性為 [否]。 目錄同步資訊也可以透過 Microsoft Graph 中的
onPremisesSyncEnabled屬性取得。
Microsoft Entra B2B 共同作業使用者的主要屬性
使用者主體名稱
B2B 協作使用者物件(訪客用戶)的 UPN 包含訪客使用者的電子郵件,接著是 #EXT#,接著是 tenantname.onmicrosoft.com。 例如,如果使用者 john@contoso.com 新增為 fabrikam 目錄中的外部使用者,則其 UPN 將是 john_contoso.com#EXT#@fabrikam.onmicrosoft.com。
使用者類型
此屬性指出使用者與主機租用戶的關聯性。 此屬性可以包含兩個值:
成員:此值表示主機組織的員工和組織薪資的使用者。 例如,此使用者應該能夠存取僅供內部使用的網站。 此使用者不會被視為外部共同作業者。
來賓:此值表示不會被視為公司內部的使用者,例如外部共同作業者、合作夥伴或客戶。 這類使用者不會收到執行長 (CEO) 的內部備忘,或收到公司權益等。
注意
[使用者類型] 與使用者的登入方式、使用者的目錄角色等無關。 此屬性只會表示使用者與主機組織的關聯性,並可讓組織強制執行相依於此屬性的原則。
身分識別
這個屬性表示使用者的主要身分識別提供者。 使用者可以使用數個識別提供者,在使用者設定檔中選取 [身分識別] 旁的連結,或透過 Microsoft Graph API 查詢 identities 屬性,即可加以檢視。
注意
身分識別和 UserType 是獨立的屬性。 身份的值並不代表 UserType 有特定值。
| Identities 屬性值 | 登入狀態 |
|---|---|
| ExternalAzureAD | 此使用者位於外部組織,並使用屬於其他組織的 Microsoft Entra 帳戶進行驗證。 |
| Microsoft 帳戶 | 此使用者位於 Microsoft 帳戶,並使用 Microsoft 帳戶進行驗證。 |
| {主機的網域} | 此使用者會使用屬於此組織的 Microsoft Entra 帳戶進行驗證。 |
| google.com | 此使用者具有 Gmail 帳戶,且已使用自助功能來註冊其他組織。 |
| facebook.com | 此使用者具有 Facebook 帳戶,且已使用自助功能來註冊其他組織。 |
| 郵件 | 此使用者已使用 Microsoft Entra External ID 電子郵件一次性密碼 (OTP) 進行註冊。 |
| {簽發者 URI} | 此使用者所在的外部組織不使用 Microsoft Entra ID 作為其識別提供者,而是改用安全性聲明標記語言 (SAML)/WS-Fed 型識別提供者。 按一下 [憑證簽發者] 欄位,系統會顯示簽發者 URI。 |
外部使用者不支援手機登入。 B2B 帳戶不能把 phone Value 當作身份提供者使用。
同步處理的目錄
[已同步作業的目錄] 屬性會顯示使用者是否已經與內部部署 Active Directory 同步,而且會在內部部署中進行驗證。 如果帳戶位於組織的內部部署 Active Directory 中,並與 Microsoft Entra 同步,則此屬性為 [是],如果帳戶為僅限於雲端的 Microsoft Entra 帳戶,則此屬性為 [否]。 在 Microsoft Graph 中,同步處理的目錄屬性會對應到 onPremisesSyncEnabled。
Microsoft Entra B2B 使用者是否可新增為成員而非來賓?
一般而言,Microsoft Entra B2B 使用者與來賓使用者為同義字。 因此,Microsoft Entra B2B 共同作業使用者會新增為預設將 UserType 設為 [來賓] 的使用者。 不過,在某些情況下,夥伴組織是主機組織同屬較大型組織的成員。 在此情況下,主機組織可能會想要將夥伴組織中的使用者視為成員而非來賓。 使用 Microsoft Entra B2B 邀請管理員 API 來從夥伴組織新增或邀請使用者至主機組織作為成員。
篩選目錄中的來賓使用者
在 [使用者] 清單中,您可以使用 [新增篩選條件],在目錄中只顯示來賓使用者。
轉換使用者類型
您可以藉由在 Microsoft Entra 系統管理中心編輯使用者設定檔,或使用 PowerShell,將 UserType 從成員轉換成來賓,反之亦然。 不過,[使用者類型] 屬性代表使用者與組織的關聯性。 因此,只有在使用者與組織的關聯性變更時,才應該變更此屬性。 如果使用者的關聯性變更,是否應該變更使用者主體名稱 (UPN)? 使用者是否應該繼續存取相同的資源? 是否應該指派信箱?
來賓使用者權限
來賓使用者預設的目錄權限有限。 他們可以管理自己的設定檔、變更自己的密碼,以及擷取其他使用者、群組和應用程式的相關資訊。 但卻無法讀取所有目錄資訊。
B2B 訪客用戶不支援 Microsoft Teams 共享頻道。 關於共用頻道的存取,請參見 B2B 直接連接。
您有時可能想要為來賓使用者提供較高的權限。 您可以將來賓使用者新增至任何角色,甚至是移除目錄中的預設來賓使用者限制,以為使用者提供與成員相同的權限。 您可以關閉預設限制,讓公司目錄中的來賓使用者擁有與成員使用者相同的權限。 如需詳細資訊,請參閱限制 Microsoft Entra External ID 中的來賓存取權權限一文 (部分機器翻譯)。
![顯示 [使用者設定] 中 [外部使用者] 選項的螢幕擷取畫面。](media/user-properties/remove-guest-limitations.png)
能否在 Exchange 全域通訊清單中顯示來賓使用者?
是。 根據預設,來賓物件不會在貴組織的全域通訊清單中顯示,但您可以使用 Microsoft Graph PowerShell 讓其顯示。 如需詳細資訊,請參閱 Microsoft 365 個別群組來賓存取文章中的〈將來賓新增至全域通訊清單〉。
我可以更新來賓使用者的電子郵件地址嗎?
如果訪客用戶接受邀請後,之後更改電子郵件地址,新郵件不會自動同步到你目錄中的訪客使用者物件。 郵件屬性是透過 Microsoft Graph API 建立。 您可以透過 Microsoft Graph API、Exchange 系統管理中心,或者 Exchange Online PowerShell 來更新郵件屬性。 變更將會反映在 Microsoft Entra 來賓使用者物件中。