將本機來賓帳戶轉換為 Microsoft Entra B2B 來賓帳戶
使用 Microsoft Entra ID (Microsoft Entra B2B),外部使用者會與其身分識別共同作業。 雖然組織可以向外部使用者發出本機使用者名稱和密碼,但不建議使用此方法。 相較於建立本機帳戶,Microsoft Entra B2B 已改善安全性、降低成本和較不複雜度。 此外,如果您的組織發出外部使用者管理的本機認證,您可以改用 Microsoft Entra B2B。 使用本檔中的指引進行轉換。
深入了解: 規劃 Microsoft Entra B2B 共同作業部署
開始之前
本文是一系列 10 篇文章中的 10 個數位。 建議您依序檢閱文章。 移至 後續步驟 一節,以查看整個系列。
識別對外應用程式
將本機帳戶移轉至 Microsoft Entra B2B 之前,請先確認外部使用者可以存取的應用程式和工作負載。 例如,針對裝載於內部部署的應用程式,驗證應用程式已與 Microsoft Entra 識別元整合。 內部部署應用程式是建立本機帳戶的好理由。
深入瞭解: 授與 Microsoft Entra ID 中 B2B 使用者對內部部署應用程式的存取權
我們建議外部應用程式具有單一登錄 (SSO),並布建與 Microsoft Entra ID 整合,以獲得最佳用戶體驗。
識別本機來賓帳戶
識別要移轉至 Microsoft Entra B2B 的帳戶。 Active Directory 中的外部身分識別可使用屬性值組來識別。 例如,將 ExtensionAttribute15 = External
設定為外部使用者。 如果這些使用者是使用 Microsoft Entra 連線 Sync 或 Microsoft Entra 連線 雲端同步進行設定,請將同步的外部使用者設定為 UserType
將 屬性設定為 Guest
。 如果使用者設定為僅限雲端的帳戶,您可以修改用戶屬性。 主要是識別要轉換成 B2B 的使用者。
將本機來賓帳戶對應至外部身分識別
識別使用者身分識別或外部電子郵件。 確認本機帳戶 (v-lakshmi@contoso.com) 是具有家庭身分識別和電子郵件地址的使用者: lakshmi@fabrikam.com。 若要識別家庭身分識別:
- 外部用戶的贊助者會提供資訊
- 外部使用者提供資訊
- 如果已知並儲存資訊,請參閱內部資料庫
將外部本機帳戶對應至身分識別之後,請將外部身分識別或電子郵件新增至本機帳戶上的user.mail屬性。
終端用戶通訊
通知外部用戶移轉時間。 例如,當外部用戶必須停止使用目前的密碼,以啟用家庭和公司認證的驗證時,傳達預期。 通訊可以包括電子郵件行銷活動和公告。
將本機來賓帳戶移轉至 Microsoft Entra B2B
在本機帳戶具有填入外部身分識別和電子郵件的user.mail屬性之後,請邀請本機帳戶,將本機帳戶轉換為 Microsoft Entra B2B。 您可以使用 PowerShell 或 Microsoft Graph API。
深入瞭解: 邀請內部用戶進行 B2B 共同作業
移轉後考量
如果外部使用者帳戶已從內部部署同步處理,請減少其內部部署使用量,並使用 B2B 來賓帳戶。 您可以:
- 將外部用戶帳戶轉換為 Microsoft Entra B2B 並停止建立本機帳戶
- 邀請 Microsoft Entra 識別碼中的外部使用者
- 隨機化外部使用者的本機帳戶密碼,以防止對內部部署資源的驗證
- 此動作可確保驗證和使用者生命週期已連線到外部使用者首頁身分識別
下一步
使用下列一系列文章來瞭解如何保護資源的外部存取。 建議您遵循列出的順序。
使用 Microsoft Entra ID 保護 Microsoft Teams、SharePoint 和 商務用 OneDrive 的外部存取權(您在這裡)