Microsoft Entra 外部 ID 中的 B2B 共同作業使用者宣告對應

透過 Microsoft Entra 外部 ID，您可以自定義針對 B2B 共同作業使用者在 SAML 令牌中發出的宣告。 當使用者向應用程式進行驗證時，Microsoft Entra ID 會向應用程式發出 SAML 令牌，其中包含可唯一識別應用程式之使用者的相關信息（或宣告）。 根據預設，此宣告包含使用者的使用者名稱、電子郵件位址、名字和姓氏。

在 Microsoft Entra 系統管理中心，您可以檢視或編輯 SAML 令牌中傳送給應用程式的宣告。 若要存取設定，請流覽至 Identity>Applications>Enterprise 應用程式>，該應用程式已設定為單一登錄單一登錄。> 請參閱使用者屬性一節中的 SAML 令牌設定。

您可能需要編輯 SAML 令牌中發出的宣告有兩個可能的原因：

1. 應用程式需要一組不同的宣告 URI 或宣告值。

2. 應用程式需要 NameIdentifier 宣告，而不是儲存在 Microsoft Entra ID 中的使用者主體名稱 （UPN） 以外的專案。

如需如何新增和編輯宣告的資訊，請參閱 自定義 Microsoft Entra ID 中企業應用程式 SAML 令牌中發出的宣告。

B2B 使用者的UPN宣告行為

如果您需要以應用程式令牌宣告的形式發出UPN值，則B2B用戶的實際宣告對應可能會有不同的行為。 如果 B2B 使用者向外部 Microsoft Entra 身分識別進行驗證，而且您發出 user.userprincipalname 作為來源屬性，Microsoft Entra ID 會改為發出郵件屬性。

例如，假設您邀請電子郵件為 james@contoso.com 的外部使用者，且其身分識別存在於外部 Microsoft Entra 租使用者中。 邀請租使用者中的 James UPN 會從受邀的電子郵件和邀請租使用者的原始預設網域建立。 所以，假設詹姆斯的 UPN 變成 James_contoso.com#EXT#@fabrikam.onmicrosoft.com。 針對發出 user.userprincipalname 作為 NameID 的 SAML 應用程式，針對 James 傳遞的值是 james@contoso.com。

所有其他 外部身分識別類型 ，例如 SAML/WS-Fed、Google、Email OTP 會發出 UPN 值，而不是當您發出 user.userprincipalname 做為宣告時的電子郵件值。 如果您想要在所有 B2B 使用者的令牌宣告中發出實際的 UPN，您可以改為將 user.localuserprincipalname 設定為來源屬性。

注意

本節中所述的行為與僅限雲端 B2B 使用者和已同步處理的使用者相同，這些使用者已 受邀/轉換成 B2B 共同作業。

下一步

• 如需 B2B 共同作業使用者屬性的相關信息，請參閱 Microsoft Entra B2B 共同作業用戶的屬性。
• 如需 B2B 共同作業用戶使用者令牌的相關信息，請參閱 瞭解 Microsoft Entra B2B 共同作業中的使用者令牌。