概觀:使用員工租使用者中的外部標識碼與來賓共同作業
Microsoft Entra 外部 ID 包含共同作業功能,可讓您的員工與商務夥伴和來賓安全地合作。 在您的員工租使用者中,您可以使用 B2B 共同作業與來賓共用公司的應用程式和服務,同時維持對您自己的公司數據的控制權。 即使外部合作夥伴沒有 Microsoft Entra ID 或 IT 部門,仍可安全地與外部合作夥伴合作。
簡單的邀請和兌換流程,讓合作夥伴使用自己的認證存取您公司的資源。 您也可以啟用自助式註冊使用者流程,讓來賓自行註冊應用程式或資源。 當來賓兌換其邀請或完成註冊之後,這些邀請就會以用戶物件的形式呈現在您的目錄中。 這些 B2B 共同作業使用者的使用者類型通常會設定為「來賓」,而且其使用者主體名稱會包含 #EXT# 識別碼。
開發人員可使用 Microsoft Entra 企業對企業 API,以自訂邀請流程,或寫入如自助式註冊入口網站的應用程式。 如需與來賓使用者相關的授權和定價資訊,請參閱 Microsoft Entra 外部 ID 定價。
重要
所有新租使用者,以及您尚未明確關閉的任何現有租用戶,現在預設會開啟電子郵件一次性密碼功能。 當此功能關閉時,後援驗證方法是提示受邀者建立 Microsoft 帳戶。
使用他們的身分識別與任何夥伴共同作業
合作夥伴可透過 Microsoft Entra B2B 使用自己的身分識別管理解決方案,因此不會對組織產生外部的系統管理負荷。 來賓使用者可使用自己的公司、學校或社交身分識別來登入您的應用程式與服務。
- 合作夥伴則使用自己的身分識別和認證,無論其是否有 Microsoft Entra 帳戶都是如此。
- 您不需要管理外部帳戶或密碼。
- 您不需要同步處理帳戶或管理帳戶的生命週期。
管理與其他組織的 B2B 共同作業
默認會啟用 B2B 共同作業,但完整的系統管理員設定可讓您控制與外部合作夥伴和組織之間的輸入和輸出 B2B 共同作業。
跨租使用者存取設定。 對於與其他 Microsoft Entra 組織的 B2B 共同作業,請使用 跨租使用者存取設定 來控制哪些使用者可以驗證哪些資源。 管理輸入和輸出 B2B 共同作業,並限制存取權只能授與給特定使用者、群組和應用程式。 設定要套用至所有外部組織的預設組態,然後視需要建立個別的組織特定設定。 使用跨租使用者存取設定,您也可以信任其他 Microsoft Entra 組織的多重要素(MFA)和裝置宣告(相容宣告和 Microsoft Entra 混合式聯結宣告)。
外部共同作業設定。 使用 外部共同作業設定 來定義誰可以將來賓邀請到您的組織做為來賓。 您也可以允許或封鎖 B2B 特定網域,並設定來賓使用者存取目錄的限制。
這些設定可用來管理 B2B 共同作業的兩個不同層面。 跨租用戶訪問控制可控制使用者是否可以向外部 Microsoft Entra 租使用者進行驗證。 它們同時適用於輸入和輸出 B2B 共同作業。 相反地,外部共同作業設定可控制組織中哪些用戶能夠將 B2B 共同作業邀請傳送給任何組織的來賓。
跨租使用者存取和外部共同作業設定如何搭配運作
當您考慮與特定外部 Microsoft Entra 組織進行 B2B 共同作業時,請判斷您的跨租使用者存取設定是否允許與該組織進行 B2B 共同作業。 也請考慮您的外部共同作業設定是否允許使用者傳送邀請給該組織的網域。 以下列出一些範例:
範例 1:您先前已將 (Microsoft Entra 組織) 新增
adatum.com至外部共同作業設定中封鎖的網域清單,但跨租使用者存取設定會為所有 Microsoft Entra 組織啟用 B2B 共同作業。 在此情況下,會套用最嚴格的設定。 您的外部共同作業設定可防止使用者在 傳送邀請給使用者adatum.com。範例 2:您可以在跨租使用者存取設定中允許與 Fabrikam 進行 B2B 共同作業,但在外部共同作業設定中新增
fabrikam.com至封鎖的網域。 您的使用者無法邀請新的 Fabrikam 商務來賓,但現有的 Fabrikam 來賓可以繼續使用 B2B 共同作業。
對於執行跨租使用者登入的 B2B 共同作業終端使用者,即使未指定自定義商標,也會顯示其主租用戶商標。 在下列範例中,Woodgrove Groceries 的公司商標會出現在左側。 右側的範例會顯示使用者主租用戶的默認商標。
管理與其他 Microsoft 雲端的 B2B 共同作業
Microsoft Azure 雲端服務可在個別的國家雲端中取得,這些雲端是 Azure 實體隔離的實例。 組織越來越需要與跨全球雲端和國家雲端界限的組織和使用者共同作業。 透過 Microsoft 雲端設定,您可以在下列 Microsoft Azure 雲端之間建立相互 B2B 共同作業:
- Microsoft Azure 全球雲端和 Microsoft Azure Government
- 由 21Vianet 營運的 Microsoft Azure 全球雲端和 Microsoft Azure
若要在不同的雲端中設定租用戶之間的 B2B 共同作業,這兩個租用戶都會設定其 Microsoft 雲端設定,以啟用與其他雲端的共同作業。 然後,每個租用戶都會設定與其他雲端中租用戶的輸入和輸出跨租使用者存取。 如需詳細資訊,請參閱 Microsoft 雲端設定 。
從 Microsoft Entra 系統管理中心輕鬆邀請來賓使用者
身為系統管理員,您可以輕鬆地在系統管理中心將來賓使用者新增至您的組織。
- 在 Microsoft Entra ID 中建立新的來賓用戶 ,類似於新增使用者的方式。
- 將來賓使用者指派給應用程式或群組。
- 傳送包含兌換鏈接的邀請電子郵件 ,或將直接連結傳送至您想要共用的應用程式。
![顯示 [邀請新的來賓使用者邀請專案] 頁面的螢幕快照。](media/what-is-b2b/add-a-b2b-user.png#lightbox)
- 來賓使用者遵循幾個簡單的兌換步驟即可登入。
![顯示 [檢閱許可權] 頁面的螢幕快照。](media/what-is-b2b/consent-screen.png)
允許自助式註冊
透過自助式註冊使用者流程,您可以為想要存取您應用程式的來賓建立註冊體驗。 在註冊流程中,您可以為不同的社交或企業識別提供者提供選項,並收集使用者的相關資訊。 瞭解 自助式註冊,以及如何進行設定。
您也可以使用 API 連接器來整合自助式註冊使用者流程與外部雲端系統。 您可以使用自定義核准工作流程進行連線、執行身分識別驗證、驗證使用者提供的資訊等等。
使用原則來安全地共用應用程式與服務
您可以使用驗證和授權原則來保護公司的內容。 您可以在下列範圍強制執行條件式存取原則 (例如多重要素驗證):
- 在租用戶層級
- 在應用層級
- 針對特定來賓用戶保護公司應用程式和數據
![顯示 [條件式存取] 選項的螢幕快照。](media/what-is-b2b/tutorial-mfa-policy-2.png)
讓應用程式和群組擁有者管理自己的來賓使用者
您可以將來賓使用者的管理工作委派給應用程式擁有者,讓擁有者可以直接將來賓使用者新增至其想要共用的任何應用程式 (無論其是否為 Microsoft 應用程式)。
- 系統管理員可設定自助式的應用程式和群組管理。
- 非系統管理員會使用其 存取面板,將來賓使用者新增至應用程式或群組。
自訂 B2B 來賓使用者的上線體驗
以符合組織需求的自訂方式讓外部合作夥伴上線。
- 使用 Microsoft Entra 權利管理 來設定管理 外部使用者存取的原則。
- 使用 B2B 共同作業邀請 API 來自定義您的上線體驗。
與識別提供者整合
Microsoft Entra 外部 ID 支援外部身分識別提供者,例如 Facebook、Microsoft 帳戶、Google 或企業識別提供者。 您可以設定要與識別提供者同盟。 如此一來,您的來賓就可以使用現有的社交或企業帳戶登入,而不只是為您的應用程式建立新的帳戶。 深入瞭解 外部標識碼的識別提供者。
![顯示 [識別提供者] 頁面的螢幕快照。](media/what-is-b2b/identity-providers.png)
與 SharePoint 和 OneDrive 整合
您可以 啟用與 SharePoint 和 OneDrive 的整合,以與組織外部人員共用檔案、資料夾、清單專案、文檔庫和網站,同時使用 Azure B2B 進行驗證和管理。 您要與其共用資源的目標使用者通常是目錄中的來賓使用者,而權限和群組對這些來賓的作用與對內部使用者的作用相同。 啟用與 SharePoint 和 OneDrive 整合時,您也可以在 Microsoft Entra B2B 中啟用 電子郵件單次密碼 功能,以做為後援驗證方法。
