B2B 直接連線概觀

  • 發行項

B2B 直接連線是一項 Microsoft Entra 外部 ID 功能,可讓您與另一個 Microsoft Entra 組織設定相互信任關係,以便順暢地共同作業。 這項功能目前適用于 Microsoft Teams 共用通道。 透過 B2B 直接連線,來自兩個組織的使用者都可以使用其主認證和 Teams 中的共用頻道共同合作,而不必將彼此的組織新增為來賓。 使用 B2B 直接連線來與外部 Microsoft Entra 組織共享資源。 或使用它,在您自己的組織內跨多個 Microsoft Entra 租使用者共享資源。

說明 B2B 直接連線的圖表。

B2B 直接連接需要兩個 Microsoft Entra 組織之間的相互信任關係,才能存取彼此的資源。 資源組織和外部組織都必須在其跨租使用者存取設定中相互啟用 B2B 直接連接。 建立信任時,B2B 直接連接使用者可以使用來自其主組織 Microsoft Entra 組織的認證,對組織外部的資源進行單一登入存取。

目前,B2B 直接連接功能可與 Teams 共用通道搭配使用。 在兩個組織之間建立 B2B 直接連接時,一個組織中的使用者可以在 Teams 中建立共用通道,並邀請外部 B2B 直接連接使用者。 然後,從 Teams 內,B2B 直接連接使用者可以順暢地存取其主租使用者 Teams 執行個體中的共用通道,而不需要手動登入裝載共用通道的組織。

如需與 B2B 直接連線使用者相關的授權和定價資訊,請參閱 Microsoft Entra 外部 ID 定價

管理 B2B 直接連線的跨租使用者存取

Microsoft Entra 組織可以定義輸入和輸出 跨租使用者存取設定,來管理與其他 Microsoft Entra 組織的信任關係。 跨租使用者存取設定可讓您更細微地控制其他組織與您共同作業的方式(輸入存取權),以及使用者與其他組織共同作業的方式(輸出存取)。

  • 輸入存取設定 可控制來自外部組織的使用者是否可以存取您組織中的資源。 您可以將這些設定套用至每個人,也可以指定個別的使用者、群組和應用程式。

  • 輸出存取設定 可控制您的使用者是否可以存取外部組織中的資源。 您可以將這些設定套用至每個人,也可以指定個別的使用者、群組和應用程式。

  • 租使用者限制 會決定當使用者使用您的裝置和網路時,如何存取外部組織,但是他們使用外部組織所簽發的帳戶登入。

  • 信任設定 會決定您的條件式存取原則是否會在其使用者存取您的資源時,信任多重要素驗證 (MFA)、符合規範的裝置,以及來自外部組織的 Microsoft Entra 混合式聯結裝置宣告。

重要

只有當兩個組織都允許存取另一個組織時,才能進行 B2B 直接連線。 例如,Contoso 可以允許從 Fabrikam 進行輸入 B2B 直接連線,但除非 Fabrikam 也啟用與 Contoso 的輸出 B2B 直接連線,否則無法共用。 因此,您必須與外部組織的系統管理員協調,以確保其跨租使用者存取設定允許與您共用。 這項相互協定很重要,因為 B2B 直接連線可針對您為 B2B 直接連線啟用的使用者啟用有限的數據共用。

預設設定

默認跨租使用者存取設定會套用至所有外部 Microsoft Entra 組織,但您已設定個別設定的組織除外。 一開始,Microsoft Entra ID 會封鎖所有外部 Microsoft Entra 租使用者的輸入和輸出 B2B 直接連線功能。 您可以變更這些預設設定,但通常您可以依預設保留這些設定,並啟用 B2B 與個別組織的直接連線存取。

組織特定設定

您可以新增組織並修改跨租使用者存取設定,以設定組織特定的設定。 這些設定會優先於此組織的預設設定。

範例 1:允許 B2B 與 Fabrikam 直接連線,並封鎖所有其他專案

在此範例中,Contoso 想要默認封鎖與所有外部組織的 B2B 直接連線,但允許 Fabrikam 中的所有使用者、群組和應用程式使用 B2B 直接連線。

默認封鎖 B2B 直接連線但允許組織範例。

Contoso 會設定下列 跨租使用者存取的預設設定

  • 封鎖所有外部使用者和群組的 B2B 直接連線輸入存取。
  • 封鎖所有 Contoso 使用者和群組的 B2B 直接連線輸出存取。

然後 Contoso 會新增 Fabrikam 組織,併為 Fabrikam 設定下列 組織設定

  • 允許所有 Fabrikam 使用者和群組的輸入存取 B2B 直接連線。
  • 允許 Fabrikam B2B 直接連線使用者存取所有內部 Contoso 應用程式。
  • 允許所有 Contoso 使用者,或選取使用者和群組,以使用 B2B 直接連線來存取 Fabrikam。
  • 允許 Contoso B2B 直接連線使用者具有所有 Fabrikam 應用程式的輸出存取權。

若要讓此案例能夠運作,Fabrikam 也必須為 Contoso 和自己的使用者和應用程式設定這些相同的跨租使用者存取設定,以允許 B2B 與 Contoso 直接連線。 設定完成時,管理Teams共用頻道的 Contoso 使用者將能夠藉由搜尋完整的 Fabrikam 電子郵件位址來新增 Fabrikam 使用者。

範例 2:僅使用 Fabrikam 的行銷群組啟用 B2B 直接連線

從上述範例開始,Contoso 也可以選擇只允許 Fabrikam Marketing 群組透過 B2B 直接連線與 Contoso 的使用者共同作業。 在此情況下,Contoso 必須從 Fabrikam 取得行銷群組的物件識別碼。 然後,他們不會允許所有 Fabrikam 使用者的輸入存取,而是設定其 Fabrikam 特定的存取設定,如下所示:

  • 僅允許對 Fabrikam 行銷群組的 B2B 直接連線進行輸入存取。 Contoso 會在允許的使用者和群組清單中指定 Fabrikam 的 Marketing 群組物件識別碼。
  • 允許 Fabrikam B2B 直接連線使用者存取所有內部 Contoso 應用程式。
  • 允許所有 Contoso 使用者和群組使用 B2B 直接連線來存取 Fabrikam。
  • 允許 Contoso B2B 直接連線使用者具有所有 Fabrikam 應用程式的輸出存取權。

Fabrikam 也需要設定其輸出跨租使用者存取設定,以便允許其行銷群組透過 B2B 直接連線與 Contoso 共同作業。 設定完成時,管理Teams共用通道的 Contoso 使用者將只能藉由搜尋完整的 Fabrikam 電子郵件位址來新增 Fabrikam 行銷群組使用者。

驗證

在 B2B 直接連線案例中,驗證牽涉到來自 Microsoft Entra 組織 (使用者主租使用者) 的使用者嘗試登入另一個 Microsoft Entra 組織中的檔案或應用程式(資源租使用者)。 使用者從其主租使用者使用 Microsoft Entra 認證登入。 登入嘗試會針對使用者主租用戶和資源租使用者中的跨租使用者存取設定進行評估。 如果符合所有存取需求,令牌會發給允許使用者存取資源的使用者。 此令牌的有效期限為1小時。

如需使用條件式存取原則在跨租使用者案例中驗證運作方式的詳細資訊,請參閱 跨租使用者案例中的驗證和條件式存取。

多重要素驗證 (MFA)

如果您想要允許 B2B 與外部組織直接連線,而您的條件式存取原則需要 MFA,您必須設定輸入信任設定,讓您的條件式存取原則接受來自外部組織的 MFA 宣告。 此設定可確保來自外部組織的 B2B 直接連線使用者符合您的條件式存取原則,並提供更順暢的用戶體驗。

例如,假設 Contoso (資源租使用者) 信任 Fabrikam 的 MFA 宣告。 Contoso 具有需要 MFA 的條件式存取原則。 此原則的範圍適用於所有來賓、外部使用者和 SharePoint Online。 作為 B2B 直接連線的必要條件,Contoso 必須在其跨租使用者存取設定中設定信任設定,以接受 Fabrikam 的 MFA 宣告。 當 Fabrikam 使用者存取已啟用 B2B 的直接連線應用程式時(例如 Teams 連線 共用頻道),使用者受限於 Contoso 強制執行的 MFA 需求:

  • 如果 Fabrikam 使用者已在主租用戶中執行 MFA,他們就能夠存取共用通道內的資源。
  • 如果 Fabrikam 使用者尚未完成 MFA,則會封鎖他們存取資源。

如需條件式存取和 Teams 的相關信息,請參閱 Microsoft Teams 檔中的安全性與合規性 概觀。

裝置合規性的信任設定

在跨租使用者存取設定中,您可以使用 [信任設定 ] 來信任來自外部使用者主租使用者的宣告,以瞭解使用者的裝置是否符合其裝置合規性政策,還是已加入 Microsoft Entra 混合式。 啟用裝置信任設定時,Microsoft Entra ID 會檢查使用者的驗證會話是否有裝置宣告。 如果會話包含裝置宣告,指出已在使用者的主租使用者中符合原則,外部使用者就會獲得您共用資源的無縫登錄。 您可以啟用所有 Microsoft Entra 組織或個別組織的裝置信任設定。 (深入瞭解

B2B 直接連線用戶體驗

目前,B2B 直接連線可啟用 Teams 連線 共用頻道功能。 B2B 直接連線使用者可以存取外部組織的Teams共用頻道,而不需要切換租使用者或使用不同的帳戶登入。 B2B 直接連線使用者的存取權取決於共用通道的原則。

在資源組織中,Teams 共用頻道擁有者可以在Teams內搜尋外部組織的使用者,並將其新增至共用頻道。 新增之後,B2B 直接連線使用者可以從 Teams 的主實例記憶體取共用頻道,使用聊天、通話、檔案共用和應用程式共用等功能共同作業。 如需詳細資訊,請參閱 Microsoft Teams 中的小組和頻道概觀。 如需 B2B 可透過 Teams 共用頻道直接連線使用者的資源、檔案和應用程式詳細資訊,請參閱 Microsoft Teams 中的聊天、小組、頻道和應用程式。

B2B 直接連線與 B2B 共同作業

B2B 共同作業和 B2B 直接連線是兩種與組織外部用戶共用的不同方法。 您可以在 外部標識碼概觀中找到功能對功能比較 ,其中我們將討論使用者管理方式及存取資源方式的一些主要差異。

使用者存取和管理

B2B 直接連接使用者透過兩個組織之間的相互連線共同作業,而 B2B 共同作業使用者則受邀加入組織,並透過使用者物件進行管理。

  • B2B 直接連線可讓您透過兩個組織的系統管理員所設定的相互雙向連線,與來自另一個 Microsoft Entra 組織的使用者共同作業。 使用者具有 B2B 直接連線啟用 Microsoft 應用程式的單一登錄存取權。 目前,B2B 直接連線支援 Teams 連線 共用頻道。

  • B2B 共同作業可讓您邀請外部合作夥伴存取 Microsoft、SaaS 或自定義開發的應用程式。 當外部合作夥伴不使用 Microsoft Entra ID 或無法設定 B2B 直接連線時,B2B 共同作業特別有用。 B2B 共同作業可讓外部使用者使用慣用的身分識別登入,包括其 Microsoft Entra 帳戶、消費者 Microsoft 帳戶,或您啟用的社交身分識別,例如 Google。 透過 B2B 共同作業,您可以讓外部使用者登入您的 Microsoft 應用程式、SaaS 應用程式、自定義開發的應用程式等等。

搭配 B2B 直接連線與 B2B 共同作業使用 Teams

在 Teams 的內容中,視您使用 B2B 直接連線或 B2B 共同作業的人員共同作業而定,資源分享的方式有所差異。

  • 透過 B2B 直接連線,您可以將外部使用者新增至小組內的共用頻道。 此使用者可以存取共用通道內的資源,但無法存取整個小組或共用通道以外的任何其他資源。 例如,他們無法存取 Azure 入口網站。 不過,他們可以存取我的應用程式入口網站。 B2B 直接連線使用者在您的 Microsoft Entra 組織中沒有存在,因此這些使用者是由共用頻道擁有者在 Teams 用戶端中管理。 如需詳細資訊,請參閱在 Microsoft Teams 中指派小組擁有者和成員。

  • 透過 B2B 共同作業,您可以邀請來賓使用者加入小組。 B2B 共同作業來賓使用者會使用用來邀請他們的電子郵件位址登入資源租使用者。 其存取權取決於指派給資源租用戶中來賓用戶的許可權。 來賓用戶無法查看或參與小組中的任何共享頻道。

如需 B2B 共同作業與 Teams 中 B2B 直接連線之間的差異詳細資訊,請參閱 Microsoft Teams 中的來賓存取。

監視和稽核

Azure 入口網站 和 Microsoft Teams 系統管理中心都提供監視和稽核 B2B 直接連線活動的報告。

Microsoft Entra 監視和稽核記錄

Microsoft Entra ID 包含組織稽核記錄和登入記錄中跨租使用者存取和 B2B 直接連線的相關信息。 您可以在 [監視] 底下的 Azure 入口網站 中檢視這些記錄。

  • Microsoft Entra 稽核記錄:Microsoft Entra 稽核記錄會顯示在建立、更新或刪除輸入和輸出原則時。

    顯示稽核記錄的螢幕快照。

  • Microsoft Entra 登入記錄 Microsoft Entra 登入記錄可在主組織和資源組織中取得。 啟用 B2B 直接連線之後,登入記錄會開始包含 B2B 直接連線用戶的使用者物件識別碼,以及來自其他租用戶的使用者。 每個組織中報告的資訊會有所不同,例如:

    • 在這兩個組織中,B2B 直接連線登入會標示為 B2B 直接連線的跨租使用者存取類型。 當 B2B 直接連線使用者第一次存取資源組織時,以及針對用戶發出重新整理令牌時,就會記錄登入事件。 用戶可以存取自己的登入記錄。 管理員 可以檢視其整個組織的登入,以查看 B2B 直接連線使用者如何存取其租使用者中的資源。

    • 在主組織中,記錄包含用戶端應用程式資訊。

    • 在資源組織中,記錄會在 [條件式存取] 索引標籤中包含 conditionalAccessPolicies。

    顯示登入記錄的螢幕快照。

  • Microsoft Entra 存取權檢閱:透過 Microsoft Entra 存取權檢閱,租用戶系統管理員可以藉由設定外部使用者的一次性或週期性存取權檢閱,確保外部來賓用戶無法存取您的應用程式和資源的時間長度超過必要。 深入瞭解存取權檢閱

Microsoft Teams 監視和稽核記錄

Microsoft Teams 系統管理中心會顯示共用頻道的報告,包括每個小組的外部 B2B 直接連線成員。

  • Teams 稽核記錄:Teams 在裝載共用通道的租用戶中支援下列稽核事件:共用通道生命週期(建立/刪除頻道)、租使用者內/跨租用戶成員生命週期(新增/移除/升級/降級成員)。 這些稽核記錄可在資源租使用者中使用,讓系統管理員可以判斷誰可以存取 Teams 共用頻道。 外部使用者的主租用戶中沒有與外部共用通道中活動相關的稽核記錄。

  • Teams 存取權檢閱:Teams 的群組存取權檢閱現在可以偵測 B2B 直接連線使用 Teams 共用頻道的使用者。 建立存取權檢閱時,您可以將檢閱的範圍設定為所有內部使用者、來賓使用者和外部 B2B 直接連線到共用通道的使用者。 然後,檢閱者會看到直接存取共用通道的使用者。

  • 目前的限制:存取權檢閱可以偵測內部使用者和外部 B2B 直接連線使用者,但無法偵測已新增至共用通道的其他小組。 若要檢視和移除已新增至共用頻道的團隊,共用頻道擁有者可以從 Teams 中管理成員資格。

如需 Microsoft Teams 稽核記錄的詳細資訊,請參閱 Microsoft Teams 稽核檔

隱私權和數據處理

B2B 直接連線可讓您的使用者和群組存取外部組織所裝載的應用程式和資源。 若要建立連線,來自外部組織的系統管理員也必須啟用 B2B 直接連線。

藉由啟用 B2B 與外部組織連線,您可以讓已啟用輸出設定的外部組織存取使用者的相關有限聯繫人數據。 Microsoft 會與那些組織共用此數據,以協助他們傳送要求來與您的用戶連線。 外部組織收集的數據,包括有限的聯繫人數據,受限於這些組織的隱私策略和做法。

輸出存取

當 B2B 直接連線與外部組織啟用時,外部組織中的使用者將能夠透過完整電子郵件地址搜尋您的使用者。 比對搜尋結果會傳回使用者的相關有限數據,包括名字和姓氏。 您的用戶必須先同意外部組織的隱私策略,才能共用更多數據。 建議您檢閱組織將提供的隱私權資訊,並呈現給您的使用者。

輸入存取

強烈建議您同時新增全域隱私權聯繫人和組織的隱私聲明,讓您的內部員工和外部來賓可以檢閱您的原則。 請遵循步驟來 新增貴組織的隱私權資訊

限制使用者和群組的存取

您可能想要考慮使用跨租使用者存取設定來限制 B2B 直接連線到組織與組織內的特定使用者和群組。

下一步