概觀:具有 Microsoft Entra 外部 ID 的跨租使用者存取
Microsoft Entra 組織可以使用外部標識符跨租使用者存取設定,透過 B2B 共同作業和 B2B 直接連線來管理它們與其他 Microsoft Entra 組織和其他 Microsoft Azure 雲端共同作業的方式。 跨租使用者存取設定 可讓您更精細地控制外部 Microsoft Entra 組織與您共同作業的方式(輸入存取),以及使用者如何與外部 Microsoft Entra 組織共同作業(輸出存取)。 這些設定也可讓您信任其他 Microsoft Entra 組織的多重要素驗證 (MFA) 和裝置宣告 (符合規範的宣告和 Microsoft Entra 混合式聯結宣告)。
本文說明跨租使用者存取設定,這些設定可用來管理 B2B 共同作業和 B2B 與外部 Microsoft Entra 組織的直接連線,包括跨 Microsoft 雲端。 更多設定可用於與非 Microsoft Entra 身分識別的 B2B 共同作業(例如社交身分識別或非 IT 受控外部帳戶)。 這些 外部共同作業設定 包括限制來賓使用者存取、指定可邀請來賓的人員,以及允許或封鎖網域的選項。
重要
Microsoft 已開始使用跨租使用者存取設定將客戶移至 2023 年 8 月 30 日的新記憶體模型。 您可能會注意到稽核記錄中的專案,通知您跨租使用者存取設定已更新,因為我們的自動化工作會移轉您的設定。 在移轉程式期間短暫的視窗,您將無法對設定進行變更。 如果您無法進行變更,請稍候片刻,然後再試一次變更。 移轉完成之後, 您就不會再使用 25 kb 的儲存空間 上限,而且不會再限制您可以新增的合作夥伴數目。
使用輸入和輸出設定管理外部存取
外部身分識別跨租使用者存取設定會管理您與其他 Microsoft Entra 組織共同作業的方式。 這些設定會決定外部 Microsoft Entra 組織中輸入存取使用者對資源的層級,以及使用者對外部組織的輸出存取層級。
下圖顯示跨租使用者存取輸入和輸出設定。 Resource Microsoft Entra 租使用者是包含要共用之資源的租使用者。 在 B2B 共同作業的情況下,資源租用戶是邀請租使用者(例如,您的公司租使用者,您想要邀請外部使用者)。 使用者 的主租使用者 Microsoft Entra 租 使用者是管理外部使用者的租使用者。
根據預設,會啟用與其他 Microsoft Entra 組織的 B2B 共同作業,並封鎖 B2B 直接連線。 但下列完整的管理員設定可讓您管理這兩項功能。
輸出存取設定 可控制您的使用者是否可以存取外部組織中的資源。 您可以將這些設定套用至所有人,也可以指定個別的使用者、群組和應用程式。
輸入存取設定 可控制外部 Microsoft Entra 組織的使用者是否可以存取您組織中的資源。 您可以將這些設定套用至所有人,也可以指定個別的使用者、群組和應用程式。
信任設定 (輸入)會判斷如果您的條件式存取原則是否信任多重要素驗證(MFA)、符合規範的裝置,以及 來自外部組織的 Microsoft Entra 混合式已加入裝置 宣告,如果他們的使用者已經滿足其主租使用者中的這些需求。 例如,當您將信任設定設定為信任 MFA 時,您的 MFA 原則仍會套用至外部使用者,但已在其主租使用者中完成 MFA 的使用者就不需要在租使用者中再次完成 MFA。
預設設定
默認跨租使用者存取設定會套用至租使用者外部的所有 Microsoft Entra 組織,但您已設定組織設定的專案除外。 您可以變更預設設定,但 B2B 共同作業和 B2B 直接連線的初始預設設定如下所示:
B2B 共同作業:預設會針對 B2B 共同作業啟用所有內部使用者。 此設定表示您的使用者可以邀請外部來賓存取您的資源,並可邀請外部組織作為來賓。 其他 Microsoft Entra 組織的 MFA 和裝置宣告不受信任。
B2B 直接連線:預設不會建立 B2B 直接連線信任關係。 Microsoft Entra ID 會封鎖所有外部 Microsoft Entra 租使用者的輸入和輸出 B2B 直接連線功能。
組織設定:預設不會將組織新增至您的組織設定。 這表示所有外部 Microsoft Entra 組織都已啟用,以便與貴組織進行 B2B 共同作業。
跨租使用者同步處理:沒有來自其他租用戶的使用者會與跨租使用者同步處理同步處理至您的租使用者。
上述行為適用於與相同 Microsoft Azure 雲端中的其他 Microsoft Entra 租用戶進行 B2B 共同作業。 在跨雲端案例中,預設設定的運作方式稍有不同。 請參閱 本文稍後的 Microsoft 雲端設定 。
組織設定
您可以新增組織並修改該組織的輸入和輸出設定,以設定組織特定的設定。 組織設定優先於預設設定。
B2B 共同作業:對於與其他 Microsoft Entra 組織的 B2B 共同作業,請使用跨租使用者存取設定來管理特定使用者、群組和應用程式的輸入和輸出 B2B 共同作業和範圍存取。 您可以設定套用至所有外部組織的預設組態,然後視需要建立個別的組織特定設定。 使用跨租使用者存取設定,您也可以信任其他 Microsoft Entra 組織的多重要素(MFA)和裝置宣告(相容宣告和 Microsoft Entra 混合式聯結宣告)。
提示
如果您要信任外部使用者的 MFA,建議您從 Identity Protection MFA 註冊原則中排除外部使用者。 當這兩個原則都存在時,外部使用者將無法滿足存取的需求。
B2B 直接連線:針對 B2B 直接連線,請使用組織設定來設定與另一個 Microsoft Entra 組織的相互信任關係。 貴組織與外部組織都必須藉由設定輸入和輸出跨租使用者存取設定,共同啟用 B2B 直接連線。
您可以使用 外部共同作業設定 來限制誰可以邀請外部使用者、允許或封鎖 B2B 特定網域,以及設定來賓使用者存取目錄的限制。
自動兌換設定
自動兌換設定是輸入和輸出組織信任設定,可自動兌換邀請,因此使用者不需要在第一次存取資源/目標租使用者時接受同意提示。 這個設定是具有下列名稱的複選框:
- 使用租使用者租<用戶自動兌換邀請>
比較不同案例的設定
自動兌換設定適用於下列情況中的跨租使用者同步處理、B2B 共同作業和 B2B 直接連線:
- 使用跨租使用者同步處理在目標租使用者中建立用戶時。
- 當使用者使用 B2B 共同作業新增至資源租用戶時。
- 當使用者使用 B2B 直接連線存取資源租使用者中的資源時。
下表顯示此設定針對這些案例啟用時的比較方式:
| 項目 | 跨租用戶同步處理 | B2B 共同作業 | B2B 直接連接 |
|---|---|---|---|
| 自動兌換設定 | 必要 | 選擇性 | 選擇性 |
| 使用者會收到 B2B 共同作業邀請電子郵件 | No | 否 | N/A |
| 用戶必須接受 同意提示 | No | 無 | No |
| 使用者會收到 B2B 共同作業通知電子郵件 | No | .是 | N/A |
此設定不會影響應用程式同意體驗。 如需詳細資訊,請參閱 Microsoft Entra ID 中應用程式的同意體驗。 不同 Microsoft 雲端環境的組織不支援此設定,例如 Azure 商業和 Azure Government。
何時會隱藏同意提示?
如果主租使用者/來源租使用者(輸出)和資源/目標租使用者(輸入)都會檢查此設定,則自動兌換設定只會隱藏同意提示和邀請電子郵件。
下表顯示檢查自動兌換設定以取得不同跨租使用者存取設定組合時,來源租用戶使用者的同意提示行為。
| 首頁/來源租使用者 | 資源/目標租使用者 | 同意提示行為 適用於來源租用戶使用者 |
|---|---|---|
| 輸出 | 連入 | |
 |
|
抑制 |
|
 |
未隱藏 |
|
|
未隱藏 |
|
|
未隱藏 |
| 連入 | 輸出 | |
|
|
未隱藏 |
|
|
未隱藏 |
|
|
未隱藏 |
|
|
未隱藏 |
若要使用 Microsoft Graph 設定此設定,請參閱 Update crossTenantAccessPolicyConfigurationPartner API。 如需建置您自己的上線體驗的相關信息,請參閱 B2B 共同作業邀請管理員。
如需詳細資訊,請參閱 設定跨租使用者同步處理、 設定 B2B 共同作業的跨租使用者存取設定,以及 設定 B2B 直接連線的跨租使用者存取設定。
可設定的兌換
透過可設定的兌換,您可以自定義來賓使用者在接受邀請時可以使用的身分識別提供者順序。 您可以啟用此功能,並在 [兌換訂單] 索引標籤下 指定兌換訂單 。
![[兌換訂單] 索引標籤的螢幕快照。](media/cross-tenant-access-overview/redemption-order-tab-entra.png#lightbox)
當來賓用戶選取 邀請電子郵件中的 [接受邀請 ] 連結時,Microsoft Entra ID 會根據 預設兌換訂單自動兌換邀請。 當您在 [新兌換訂單] 索引標籤下變更識別提供者訂單時,新訂單會覆寫預設的兌換訂單。
您可以在 [ 兌換訂單 ] 索引標籤下找到主要識別提供者和後援識別提供者。
主要識別提供者是與其他驗證來源有同盟的身分識別提供者。 後援識別提供者是當使用者不符合主要識別提供者時所使用的身分識別提供者。
後援識別提供者可以是 Microsoft 帳戶(MSA)、電子郵件一次性密碼,或兩者。 您無法停用這兩個後援識別提供者,但您可以停用所有主要識別提供者,並只針對兌換選項使用後援識別提供者。
以下是此功能的已知限制:
如果具有現有單一登錄 (SSO) 工作階段的 Microsoft Entra ID 使用者使用電子郵件單次密碼進行驗證(OTP),他們必須選擇 [ 使用其他帳戶 ],然後重新輸入使用者名稱以觸發 OTP 流程。 否則,使用者會收到錯誤,指出其帳戶不存在於資源租使用者中。
如果您的來賓使用者只能使用電子郵件一次性密碼兌換邀請,則他們目前會封鎖使用 SharePoint。 這是透過 OTP 兌換的 Microsoft Entra ID 使用者特有的。 所有其他使用者都不受影響。
如果使用者在其 Microsoft Entra ID 和 Microsoft 帳戶中都有相同的電子郵件,即使系統管理員停用 Microsoft 帳戶做為兌換方法,也會提示用戶選擇使用其 Microsoft Entra ID 或其 Microsoft 帳戶。 如果他們選擇 Microsoft 帳戶,即使已停用,仍可做為兌換選項。
Microsoft Entra ID 驗證網域的直接同盟
Microsoft Entra ID 已驗證網域現在支援 SAML/WS-Fed 識別提供者同盟(直接同盟)。 此功能可讓您為 Microsoft Entra 中驗證的網域,設定與外部識別提供者的直接同盟。
注意
請確定網域未在嘗試設定直接同盟設定的相同租用戶中驗證。 設定直接同盟之後,您可以設定租用戶的兌換喜好設定,並透過新的可設定兌換跨租使用者存取設定,透過 Microsoft Entra 標識符移動 SAML/WS-Fed 識別提供者。
當來賓用戶兌換邀請時,他們會看到傳統的同意畫面,然後重新導向至 [我的應用程式] 頁面。 如果您在資源租用戶中進入此直接同盟使用者的使用者配置檔,您會發現用戶現在已兌換為簽發者的外部同盟。
防止 B2B 使用者使用 Microsoft 帳戶兌換邀請
您現在可以防止 B2B 來賓使用者使用 Microsoft 帳戶兌換其邀請。 這表示任何新的 B2B 來賓用戶都會使用電子郵件一次性密碼作為其後援識別提供者,且無法使用現有的 Microsoft 帳戶兌換邀請,或被要求建立新的 Microsoft 帳戶。 若要這樣做,您可以在兌換訂單設定的後援識別提供者中停用 Microsoft 帳戶。
請注意,在任何指定時間,都必須啟用一個後援識別提供者。 這表示如果您想要停用 Microsoft 帳戶,則必須啟用電子郵件一次性密碼。 任何使用 Microsoft 帳戶登入的現有來賓用戶,都會在後續登入期間繼續使用。 您必須重設其兌換狀態 ,才能套用此設定。
跨租使用者同步處理設定
跨租使用者同步處理設定是僅限輸入的組織設定,可讓來源租用戶的系統管理員將使用者同步至目標租使用者。 此設定是一個複選框,其名稱 為 [允許使用者同步處理至目標租使用者中指定的此租 使用者]。 此設定不會影響透過其他程式建立的 B2B 邀請,例如 手動邀請 或 Microsoft Entra 權利管理。
![顯示 [跨租使用者同步處理] 索引標籤的螢幕快照,其中包含 [允許使用者同步至此租使用者] 複選框。](../media/external-identities/access-settings-users-sync.png#lightbox)
若要使用 Microsoft Graph 設定此設定,請參閱 Update crossTenantIdentitySyncPolicyPartner API。 如需詳細資訊,請參閱 設定跨租使用者同步處理。
租用戶限制
透過 租使用者限制 設定,您可以控制使用者可在您管理的裝置上使用的外部帳戶類型,包括:
- 您的使用者已在未知租使用者中建立的帳戶。
- 外部組織已提供給使用者的帳戶,讓他們可以存取該組織的資源。
建議您將租使用者限制設定為不允許這些類型的外部帳戶,並改用 B2B 共同作業。 B2B 共同作業可讓您:
- 使用條件式存取,並強制 B2B 共同作業使用者的多重要素驗證。
- 管理輸入和輸出存取。
- 當 B2B 共同作業使用者的雇用狀態變更或其認證遭到入侵時,終止會話和認證。
- 使用登入記錄來檢視 B2B 共同作業用戶的詳細數據。
租使用者限制與其他跨租使用者存取設定無關,因此您設定的任何輸入、輸出或信任設定都不會影響租使用者限制。 如需設定租使用者限制的詳細資訊,請參閱 設定租使用者限制 V2。
Microsoft 雲端設定
Microsoft 雲端設定可讓您與來自不同 Microsoft Azure 雲端的組織共同作業。 透過 Microsoft 雲端設定,您可以在下列雲端之間建立相互 B2B 共同作業:
- Microsoft Azure 商業雲端和 Microsoft Azure Government
- 由 21Vianet 營運的 Microsoft Azure 商業雲端和 Microsoft Azure(由 21Vianet 營運)
注意
Microsoft Azure Government 包含 Office GCC-High 和 DoD 雲端。
若要設定 B2B 共同作業,這兩個組織都會設定其 Microsoft 雲端設定,以啟用合作夥伴的雲端。 然後,每個組織都會使用合作夥伴的租使用者標識碼來尋找合作夥伴,並將其新增至其組織設定。 從該處,每個組織都可以允許其預設跨租使用者存取設定套用至合作夥伴,也可以設定合作夥伴特定的輸入和輸出設定。 在與另一個雲端中的合作夥伴建立 B2B 共同作業之後,您將能夠:
- 使用 B2B 共同作業邀請合作夥伴租使用者中的使用者存取您組織中的資源,包括 Web 企業營運應用程式、SaaS 應用程式和 SharePoint Online 網站、檔案和檔案。
- 使用 B2B 共同作業將 Power BI 內容共用給合作夥伴租使用者中的使用者。
- 將條件式存取原則套用至 B2B 共同作業使用者,並選擇信任來自使用者主租使用者的多重要素驗證或裝置宣告(符合規範的宣告和 Microsoft Entra 混合式聯結宣告)。
注意
不支援 B2B 直接連線在不同的 Microsoft 雲端中與 Microsoft Entra 租使用者共同作業。
如需設定步驟,請參閱 設定 B2B 共同作業的 Microsoft 雲端設定。
跨雲端案例中的預設設定
若要在不同的 Microsoft Azure 雲端中與合作夥伴租使用者共同作業,兩個組織都需要相互啟用 B2B 共同作業。 第一個步驟是在跨租用戶設定中啟用合作夥伴的雲端。 當您第一次啟用另一個雲端時,該雲端中的所有租用戶都會封鎖 B2B 共同作業。 您需要新增您想要與組織設定共同作業的租用戶,此時您的預設設定只會對該租使用者生效。 您可以允許預設設定維持作用,也可以修改租用戶的組織設定。
重要考量
重要
變更預設的輸入或輸出設定來封鎖存取,可能會封鎖組織或合作夥伴組織中應用程式的現有業務關鍵存取。 請務必使用本文所述的工具,並洽詢您的商務項目關係人,以識別所需的存取權。
若要在 Azure 入口網站 中設定跨租使用者存取設定,您需要具有全域 管理員 istrator、Security 管理員 istrator 或您定義的自定義角色的帳戶。
若要設定信任設定,或將存取設定套用至特定使用者、群組或應用程式,您需要 Microsoft Entra ID P1 授權。 您必須在您所設定的租使用者上取得授權。 針對 B2B 直接連線,其中需要與其他 Microsoft Entra 組織之間的相互信任關係,您需要這兩個租使用者中的 Microsoft Entra ID P1 授權。
跨租使用者存取設定可用來管理 B2B 共同作業和 B2B 直接連線到其他 Microsoft Entra 組織。 針對使用非 Microsoft Entra 身分識別的 B2B 共同作業(例如社交身分識別或非 IT 受控外部帳戶),請使用 外部共同作業設定。 外部共同作業設定包括 B2B 共同作業選項,可用來限制來賓使用者存取、指定可邀請來賓的人員,以及允許或封鎖網域。
如果您想要將存取設定套用至外部組織中的特定使用者、群組或應用程式,您必須連絡組織以取得設定之前的資訊。 取得其使用者物件識別碼、群組物件標識碼或應用程式識別碼(用戶端應用程式識別碼或資源應用程式識別元),以便正確鎖定您的設定。
提示
您可以藉由檢查登入記錄來尋找外部組織中應用程式的應用程式識別碼。 請參閱識別輸入和輸出登入一節。
您為使用者和群組設定的存取設定必須符合應用程式的存取設定。 不允許衝突的設定,如果您嘗試進行設定,您將會看到警告訊息。
範例 1:如果您封鎖所有外部使用者和群組的輸入存取,則也必須封鎖所有應用程式的存取權。
範例 2:如果您允許所有使用者(或特定使用者或群組)的輸出存取,您將無法封鎖所有外部應用程式的存取;至少必須允許存取一個應用程式。
如果您想要允許 B2B 與外部組織直接連線,而您的條件式存取原則需要 MFA,您必須設定信任設定,讓您的條件式存取原則接受來自外部組織的 MFA 宣告。
如果您預設封鎖存取所有應用程式,使用者將無法讀取使用 Microsoft Rights Management Service 加密的電子郵件(也稱為 Office 365 郵件加密或 OME)。 若要避免此問題,建議您設定輸出設定,以允許使用者存取此應用程式標識碼:00000012-0000-0000-c000-000000000000000。 如果這是您唯一允許的應用程式,預設會封鎖所有其他應用程式的存取。
用於管理跨租使用者存取設定的自定義角色
跨租使用者存取設定可以使用您組織定義的自定義角色來管理。 這可讓您 定義自己的精細範圍角色 來管理跨租使用者存取設定,而不是使用其中一個內建角色來管理。 您的組織可以定義自定義角色來管理跨租使用者存取設定。 這可讓您建立 自己的精細範圍角色,以管理跨租使用者存取設定,而不是使用內建角色 來管理。
建議的自定義角色
跨租使用者存取系統管理員
此角色可以管理跨租使用者存取設定中的所有內容,包括預設和以組織為基礎的設定。 此角色應指派給需要管理跨租使用者存取設定中所有設定的使用者。
請在下面找到此角色的建議動作清單。
| 動作 |
|---|
| microsoft.directory.tenantRelationships/standard/read |
| microsoft.directory/crossTenantAccessPolicy/standard/read |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update |
| microsoft.directory/crossTenantAccessPolicy/basic/update |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirect 連線/update |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect 連線/update |
| microsoft.directory/crossTenantAccessPolicy/partners/create |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update |
| microsoft.directory/crossTenantAccessPolicy/partners/delete |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update |
跨租使用者存取讀取器
此角色可以讀取跨租使用者存取設定中的所有內容,包括預設和以組織為基礎的設定。 此角色應該指派給只需要在跨租使用者存取設定中檢閱設定,但無法管理這些設定的使用者。
請在下面找到此角色的建議動作清單。
| 動作 |
|---|
| microsoft.directory.tenantRelationships/standard/read |
| microsoft.directory/crossTenantAccessPolicy/standard/read |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
跨租使用者存取合作夥伴系統管理員
此角色可以管理與合作夥伴相關的所有專案,並讀取預設設定。 此角色應指派給需要管理組織型設定但無法變更預設設定的使用者。
請在下面找到此角色的建議動作清單。
| 動作 |
|---|
| microsoft.directory.tenantRelationships/standard/read |
| microsoft.directory/crossTenantAccessPolicy/standard/read |
| microsoft.directory/crossTenantAccessPolicy/basic/update |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect 連線/update |
| microsoft.directory/crossTenantAccessPolicy/partners/create |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update |
| microsoft.directory/crossTenantAccessPolicy/partners/delete |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update |
保護跨租使用者存取系統管理動作
修改跨租使用者存取設定的任何動作都會被視為受保護的動作,而且可以使用條件式存取原則額外保護。 如需詳細資訊和設定步驟,請參閱 受保護的動作。
識別輸入和輸出登入
在您設定輸入和輸出存取設定之前,有數個工具可協助您識別使用者和合作夥伴所需的存取權。 為了確保您不會移除使用者和合作夥伴所需的存取權,您應該檢查目前的登入行為。 採取此初步步驟有助於防止使用者和合作夥伴用戶遺失所需的存取權。 不過,在某些情況下,這些記錄只會保留 30 天,因此強烈建議您與業務項目關係人交談,以確保所需的存取不會遺失。
跨租使用者登入活動 PowerShell 腳本
若要檢閱與外部租使用者相關聯的使用者登入活動,請使用 跨租用戶使用者登入活動 PowerShell 腳本。 例如,若要檢視輸入活動的所有可用登入事件(外部使用者存取本機租使用者中的資源)和輸出活動(本機使用者存取外部租使用者中的資源),請執行下列命令:
Get-MSIDCrossTenantAccessActivity -SummaryStats -ResolveTenantId
輸出是輸入和輸出活動所有可用登入事件的摘要,由外部租使用者標識碼和外部租用戶名稱列出。
登入記錄 PowerShell 腳本
若要判斷使用者對外部 Microsoft Entra 組織的存取權,請使用 Microsoft Graph PowerShell SDK 中的 Get-MgAuditLogSignIn Cmdlet 來檢視過去 30 天內登入記錄中的數據。 例如,執行下列命令:
#Initial connection
Connect-MgGraph -Scopes "AuditLog.Read.All"
Select-MgProfile -Name "beta"
#Get external access
$TenantId = "<replace-with-your-tenant-ID>"
Get-MgAuditLogSignIn -Filter "ResourceTenantId ne '$TenantID'" -All:$True |
Group-Object ResourceTenantId,AppDisplayName,UserPrincipalName |
Select-Object count,@{n='Ext TenantID/App User Pair';e={$_.name}}
輸出是使用者對外部租用戶中應用程式所起始的輸出登入清單。
Azure 監視器
如果您的組織訂閱 Azure 監視器服務,請使用跨租使用者存取活動活頁簿(可在 Azure 入口網站 的監視活頁簿資源庫中取得),以可視化方式探索較長的輸入和輸出登入。
安全性資訊和事件管理 (SIEM) 系統
如果您的組織將登入記錄匯出至安全性資訊和事件管理 (SIEM) 系統,您可以從 SIEM 系統擷取所需的資訊。
識別跨租使用者存取設定的變更
Microsoft Entra 稽核記錄會擷取跨租使用者存取設定變更和活動周圍的所有活動。 若要稽核跨租使用者存取設定的變更,請使用 CrossTenantAccess 類別 設定 篩選所有活動以顯示跨租使用者存取設定的變更。
