概觀:使用 Azure AD 外部身分識別的跨租用戶存取
Azure AD 組織可以使用外部身分識別跨租用戶存取設定,來管理組織透過 B2B 共同作業和 B2B 直接連線與其他 Azure AD 組織及其他 Microsoft Azure 雲端共同作業的方式。 跨租用戶存取設定可讓您更精確地控制外部 Azure AD 組織與您共同作業 (輸入存取) 的方式,以及您的使用者與外部 Azure AD 組織 (輸出存取) 共同作業的方式。 這些設定也可以讓您信任來自其他 Azure AD 組織的多重要素驗證 (MFA) 和裝置宣告 (符合規範的宣告及混合式 Azure AD Join 宣告)。
本文說明跨租用戶存取設定,這些設定是用於管理與外部 Azure AD 組織的 B2B 共同作業和 B2B 直接連線,包含跨 Microsoft 雲端。 使用非 Azure AD 身分識別 (例如社交身分識別和非 IT 管理的外部帳戶) 的 B2B 共同作業提供其他設定。 這些外部共同作業設定包括限制來賓使用者存取權的選項、指定可以邀請來賓的人員,以及允許或封鎖網域。
使用輸入和輸出設定管理外部存取
外部身分識別的跨租用戶存取設定會管理與其他 Azure AD 組織共同作業的方式。 這些設定決定外部 Azure AD 組織中的使用者在您的資源上具有的輸入存取層級,以及使用者對外部組織的輸出存取層級。
下圖顯示跨租用戶存取輸入和輸出設定。 資源 Azure AD 租用戶是包含要共用資源的租用戶。 若為 B2B 共同作業,資源租用戶是邀請租用戶 (例如公司租用戶,這是您要邀請外部使用者的位置)。 使用者的主 Azure AD 租用戶是管理外部使用者的租用戶。
預設會啟用與其他 Azure AD 組織的 B2B 共同作業,並封鎖 B2B 直接連線。 但下列完整的管理員設定可讓您管理這兩個功能。
輸出存取設定可控制您的使用者是否可以存取外部組織中的資源。 您可以將這些設定套用至所有人,也可以指定個別的使用者、群組和應用程式。
輸入存取設定可控制外部 Azure AD 組織的使用者是否可以存取貴組織中的資源。 您可以將這些設定套用至所有人,也可以指定個別的使用者、群組和應用程式。
信任設定 (輸入) 會判斷如果使用者已在其家庭租用戶中滿足這些需求,您的條件式存取原則是否會信任來自外部組織的多重要素驗證 (MFA)、相容裝置和已加入混合式 Azure AD 的裝置宣告。 例如,當您將信任設定設定為信任 MFA 時,您的 MFA 原則仍會套用至外部使用者,但已在其家庭租用戶中完成 MFA 的使用者不必在您的租用戶中再次完成 MFA。
預設設定
預設的跨租用戶存取設定會套用至您租用戶以外的所有 Azure AD 組織,但您已設定組織設定的組織則為例外。 您可以變更預設設定,但 B2B 共同作業和 B2B 直接連線的初始預設設定如下:
B2B 共同作業:預設所有內部使用者都會啟用 B2B 共同作業。 此設定表示您的使用者可以邀請外部來賓存取您的資源,並可將他們邀請至外部組織做為來賓。 來自其他 Azure AD 組織的 MFA 和裝置宣告不受信任。
B2B 直接連線:預設不會建立 B2B 直接連線信任關係。 Azure AD 會封鎖所有外部 Azure AD 租用戶的所有輸入和輸出 B2B 直接連線功能。
組織設定:預設不會將任何組織新增至您的組織設定。 這表示會啟用所有外部 Azure AD 組織,以便與貴組織進行 B2B 共同作業。
跨租使用者同步處理 (預覽) :其他租使用者的使用者不會同步處理到具有跨租使用者同步處理的租使用者。
上述行為適用於您相同 Microsoft Azure 雲端中與其他 Azure AD 租用戶的 B2B 共同作業。 在跨雲端案例中,預設設定的運作方式稍有不同。 請參閱本文稍後的 Microsoft 雲端設定。
組織設定
您可以新增組織並修改該組織的輸入和輸出設定來設定組織特定的設定。 組織設定的優先順序高於預設設定。
B2B 共同作業:對於與其他 Azure AD 組織的 B2B 共同作業,請使用跨租使用者存取設定來管理特定使用者、群組和應用程式的輸入和輸出 B2B 共同作業和範圍存取。 您可以設定套用至所有外部組織的預設設定,並視需要建立個別、組織特定之設定。 透過跨租用戶設定,您也可以信任其他 Azure AD 組織的多重要素 (MFA) 與裝置宣告 (符合規範的宣告及已使用混合式 Azure AD 而聯結的宣告)。
提示
如果您即將信任外部使用者的 MFA,建議您從 Identity Protection MFA 註冊原則中排除外部使用者。 當這兩個原則都存在時,外部使用者將無法滿足存取需求。
B2B 直接連線:針對 B2B 直接連線,請使用組織設定來設定與另一個 Azure AD 組織的相互信任關係。 您的組織和外部組織都需要設定輸入和輸出跨租用戶存取設定,來相互啟用 B2B 直接連線。
您可以使用 外部共同作業設定 來限制誰可以邀請外部使用者、允許或封鎖 B2B 特定網域,以及設定來賓使用者存取目錄的限制。
自動兌換設定
重要
自動兌換目前為預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。
自動兌換設定是自動兌換邀請的輸入和輸出組織信任設定,因此使用者不需要在第一次存取資源/目標租使用者時接受同意提示。 此設定是具有下列名稱的核取方塊,視其為輸入或輸出而定:
- 當使用者存取我的租使用者中的應用程式和資源時,隱藏來自其他租使用者的同意提示
- 當使用者存取其他租使用者中的應用程式和資源時,隱藏來自我的租使用者的同意提示
比較不同案例的設定
自動兌換設定適用于下列情況中的跨租使用者同步處理、B2B 共同作業和 B2B 直接連線:
- 使用跨租使用者同步處理在目標租使用者中建立使用者時。
- 當使用者使用 B2B 共同作業新增至資源租使用者時。
- 當使用者使用 B2B 直接連線存取資源租使用者中的資源時。
下表顯示此設定如何針對這些案例啟用時進行比較:
| 項目 | 跨租使用者同步處理 | B2B 共同作業 | B2B 直接連接 |
|---|---|---|---|
| 自動兌換設定 | 必要 | 選用 | 選擇性 |
| 使用者會收到 B2B 共同作業邀請電子郵件 | No | 否 | N/A |
| 使用者必須接受 同意提示 | No | No | No |
| 使用者會收到 B2B 共同作業通知電子郵件 | No | 是 | N/A |
此設定不會影響應用程式同意體驗。 如需詳細資訊,請參閱 Azure Active Directory 中應用程式的同意體驗。 不同 Microsoft 雲端環境中的組織不支援此設定,例如 Azure 商業和Azure Government。
何時會隱藏同意提示?
如果主/來源租使用者 (輸出) 和資源/目標租使用者, (輸入) 檢查此設定,則自動兌換設定只會隱藏同意提示和邀請電子郵件。
下表顯示自動兌換設定檢查不同跨租使用者存取設定組合時,來源租使用者使用者的同意提示行為。
| 首頁/來源租使用者 | 資源/目標租使用者 | 同意提示行為 適用于來源租使用者使用者 |
|---|---|---|
| 輸出 | 輸入 | |
 |
|
抑制 |
|
 |
未隱藏 |
|
|
未隱藏 |
|
|
未隱藏 |
| 輸入 | 輸出 | |
|
|
未隱藏 |
|
|
未隱藏 |
|
|
未隱藏 |
|
|
未隱藏 |
若要使用 Microsoft Graph 設定此設定,請參閱 Update crossTenantAccessPolicyConfigurationPartner API。 如需建置您自己的上架體驗的詳細資訊,請參閱 B2B 共同作業邀請管理員。
如需詳細資訊,請參閱 設定跨租使用者同步處理、設定 B2B 共同作業的跨租使用者存取設定,以及 設定 B2B 直接連線的跨租使用者存取設定。
跨租使用者同步處理設定
重要
跨租使用者同步 處理目前為預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。
跨租使用者同步處理設定是僅限輸入的組織設定,可讓來源租使用者的系統管理員將使用者同步處理至目標租使用者。 此設定是一個核取方塊,其名稱為 [允許使用者同步至目標租使用者中指定的此租 使用者]。 此設定不會影響透過其他程式建立的 B2B 邀請,例如 手動邀請 或 Azure AD 權利管理。
![顯示 [跨租使用者同步處理] 索引標籤的螢幕擷取畫面,其中顯示 [允許使用者同步至此租使用者] 核取方塊。](../media/external-identities/access-settings-users-sync.png#lightbox)
若要使用 Microsoft Graph 設定此設定,請參閱 Update crossTenantIdentitySyncPolicyPartner API。 如需詳細資訊,請參閱 設定跨租使用者同步處理。
Microsoft 雲端設定
Microsoft 雲端設定可讓您與來自不同 Microsoft Azure 雲端的組織共同作業。 透過 Microsoft 雲端設定,您可以在下列雲端之間建立相互的 B2B 共同作業:
- Microsoft Azure 商業雲端和 Microsoft Azure Government
- Microsoft Azure 商業雲端和 Microsoft Azure 中國 (由 21Vianet 運作)
注意
Microsoft Azure Government 包含 Office GCC-High 和 DoD 雲端。
若要設定 B2B 共同作業,兩個組織都會設定其 Microsoft 雲端設定,以啟用合作夥伴的雲端。 接著,各組織會使用合作夥伴的租用戶識別碼來尋找合作夥伴,並將其新增至其組織設定。 從該處,每個組織都可以允許其預設跨租用戶存取設定套用至合作夥伴,也可以設定合作夥伴特定的輸入和輸出設定。 在您與其他雲端中的合作夥伴建立起 B2B 共同作業之後,您將能夠:
- 使用 B2B 共同作業邀請合作夥伴租用戶中的使用者存取貴組織中的資源,包括 Web 企業營運應用程式、SaaS 應用程式和 SharePoint 線上網站、文件和檔案。
- 使用 B2B 共同作業將 Power BI 內容共用至合作夥伴租用戶中的使用者。
- 將條件式存取原則套用至 B2B 共同作業使用者,並選擇從使用者的主租用戶信任多重要素驗證或裝置宣告 (符合規範宣告和已使用混合式 Azure AD 而聯結的宣告)。
注意
B2B 直接連接不適用於不同 Microsoft 雲端中 Azure 租用戶的共同作業。
如需設定步驟,請參閱 設定 B2B 共同作業的 Microsoft 雲端設定。
跨雲端案例中的預設設定
若要在不同的 Microsoft Azure 雲端中與合作夥伴租用戶共同作業,則兩個組織都必須彼此相互啟用 B2B 共同作業。 第一個步驟,是在跨租用戶設定中啟用合作夥伴的雲端。 當您第一次啟用另一個雲端時,該雲端中的所有租用戶都會封鎖 B2B 共同作業。 您必須將您想要合作的租用戶新增至組織設定,此時您的預設設定只會對該租用戶生效。 您可以允許預設設定持續有效,也可以修改租用戶的組織設定。
重要考量
重要
將預設的輸入或輸出設定變更為封鎖存取,可能會封鎖對貴組織或夥伴組織中應用程式的現有業務關鍵存取。 請務必使用本文中所述的工具,並洽詢您的商務專案關係人,以找出所需的存取權。
若要在 Azure 入口網站中設定跨租用戶存取設定,您需要具有全域系統管理員或安全性系統管理員角色的帳戶。
若要設定信任設定或將存取設定套用至特定使用者、群組或應用程式,您將需要 Azure AD Premium P1 授權。 所設定的租用戶需要授權。 若 B2B 直接連接需要與其他 Azure AD 組織的相互信任關係,則在這兩個租用戶中皆需要 Azure AD Premium P1 授權。
跨租用戶存取設定用來管理與其他 Azure AD 組織的 B2B 共同作業和 B2B 直接連線。 針對使用非 Azure AD 身分識別 (例如社交身分識別和非 IT 管理的外部帳戶) 的 B2B 共同作業,使用外部共同作業設定。 外部共同作業設定包括限制來賓使用者存取權的 B2B 共同作業選項、指定可以邀請來賓的人員,以及允許或封鎖網域。
如果您想要將存取設定套用至外部組織中的特定使用者、群組或應用程式,在進行設定之前,您必須先與組織連絡以取得相關資訊。 取得其使用者物件識別碼、群組物件識別碼或應用程式識別碼 (用戶端應用程式識別碼或資源應用程式識別碼),使得您可以正確地進行設定。
提示
您可以檢查登入記錄來尋找外部組織應用程式的應用程式識別碼。 請參閱識別輸入和輸出登入一節。
您為使用者和群組設定的存取設定必須符合應用程式的存取設定。 不允許衝突的設定,您在嘗試設定時會看到警告訊息。
範例 1:如果您封鎖所有外部使用者和群組的輸入存取,則必須同時封鎖對所有應用程式的存取。
範例 2:如果您允許所有使用者 (或特定使用者或群組) 的輸出存取,則將無法封鎖對外部應用程式的所有存取;至少必須允許存取一個應用程式。
如果您想要允許與外部組織的 B2B 直接連線,並且您的條件式存取原則需要 MFA,則必須設定信任設定,以便您的條件式存取原則將接受來自外部組織的 MFA 宣告。
如果您預設封鎖對所有應用程式的存取,使用者將無法讀取以 Microsoft Rights Management Service (也稱為 Office 365 郵件加密或 OME) 加密的電子郵件。 若要避免這個問題,建議您設定輸出設定,讓您的使用者能夠存取此應用程式識別碼:00000012-0000-0000-c000-000000000000。 如果這是您唯一允許的應用程式,則預設會封鎖對所有其他應用程式的存取。
識別輸入和輸出登入
有幾個工具可協助您在設定輸入和輸出存取設定之前,先找出您使用者和合作夥伴所需的存取權。 為確保您不會移除使用者和合作夥伴所需的存取權,您應該檢查目前的登入行為。 進行這項初步步驟有助於防止您的終端使用者及合作夥伴使用者遺失所需的存取權。 不過,在某些情況下,這些記錄只會保留 30 天,因此強烈建議您洽詢商務專案關係人,以確保不會遺失必要的存取權。
跨租用戶登入活動 PowerShell 指令碼
若要檢閱與外部租用戶相關聯的使用者登入活動,請使用跨租用戶的使用者登入活動 PowerShell 指令碼。 例如,若要檢視輸入活動 (外部使用者存取本機租用戶中的資源) 和輸出活動 (本機使用者存取外部租用戶中的資源) 的所有可用登入事件,請執行下列命令:
Get-MSIDCrossTenantAccessActivity -SummaryStats -ResolveTenantId
輸出是輸入和輸出活動的所有可用登入事件摘要,會依外部租用戶識別碼和外部租用戶名稱列出。
登入記錄 PowerShell 指令碼
若要判斷您使用者對外部 Azure AD 組織的存取權,請使用 Microsoft Graph PowerShell SDK 中的 Get-MgAuditLogSignIn Cmdlet,從過去 30 天內的登入記錄中檢視資料。 例如,執行下列命令:
#Initial connection
Connect-MgGraph -Scopes "AuditLog.Read.All"
Select-MgProfile -Name "beta"
#Get external access
$TenantId = "<replace-with-your-tenant-ID>"
Get-MgAuditLogSignIn -Filter "ResourceTenantId ne '$TenantID'" -All:$True |
Group-Object ResourceTenantId,AppDisplayName,UserPrincipalName |
Select-Object count,@{n='Ext TenantID/App User Pair';e={$_.name}}
輸出是您使用者對外部租用戶應用程式所起始的輸出登入清單。
Azure 監視器
如果您的組織訂閱 Azure 監視器服務,則請使用跨租用戶存取活動活頁簿 (可在 Azure 入口網站的 [監視活頁簿] 資源庫中取得),以視覺化方式探索輸入和輸出登入更長的時間。
安全性資訊與事件管理 (SIEM) 系統
如果您的組織將登入記錄匯出至安全性資訊與事件管理 (SIEM) 系統,則您可以從 SIEM 系統中擷取必要的資訊。
識別跨租用戶存取設定的變更
Azure AD 稽核記錄會擷取跨租用戶存取設定變更和活動的所有活動。 若要稽核跨租用戶存取設定的變更,請使用「類別」CrossTenantAccessSettings 來篩選所有活動,以顯示跨租用戶存取設定的變更。
