管理 B2B 共同作業的跨租使用者存取設定

適用於： 員工租使用者 外部租使用者 （深入瞭解）

使用 [外部身分識別跨租用戶存取] 設定，以管理如何透過 B2B 共同作業，與其他 Microsoft Entra 組織共同作業。 這些設定會決定外部 Microsoft Entra 組織中的使用者對您資源具有的「輸入」存取層級，以及您使用者對外部組織具有的「輸出」存取層級。 它們也可讓您信任來自其他Microsoft Entra 組織的多重要素驗證（MFA） 和裝置宣告（符合規範的宣告和Microsoft Entra 混合式聯結宣告）。 如需詳細數據和規劃考慮，請參閱 Microsoft Entra External ID 中的跨租使用者存取。

跨雲端共同作業： 不同Microsoft雲端中的合作夥伴組織可以彼此設定 B2B 共同作業。 首先，這兩個組織必須啟用彼此共同作業，如設定 Microsoft雲端設定中所述。 然後，每個組織都可以選擇性地修改其 輸入存取設定 和 輸出存取設定，如下所示。

重要

Microsoft 於 2023 年 8 月 30 日開始將使用跨租用戶存取設定的客戶移至新的儲存體模型。 您可能會注意到稽核記錄中有一個項目通知您，在我們的自動化工作移轉您的設定時，您的跨租用戶存取設定已更新。 在移轉過程中有一個短暫的時段，您將無法對設定進行變更。 如果無法進行變更，您應該稍候片刻，然後重新嘗試變更。 移轉完成之後， 您就不會再使用 25 kb 的儲存空間上限 ，而且不會再限制您可以新增的合作夥伴數目。

必要條件

警告

將預設的輸入或輸出設定變更為 [封鎖存取 ] 可能會封鎖組織或合作夥伴組織中應用程式的現有業務關鍵存取。 請務必使用 Microsoft Entra External ID 中跨租使用者存取 中所述的工具，並洽詢您的商務項目關係人，以識別所需的存取權。

• 在設定跨租使用者存取設定之前，請先檢閱跨租使用者存取概觀中的重要考慮一節。
• 使用工具並遵循 識別輸入和輸出登入 中的建議，以瞭解目前存取哪些外部Microsoft Entra 組織和資源使用者。
• 決定您要套用至所有外部 Microsoft Entra 組織的預設存取層級。
• 識別任何需要自定義設定Microsoft Entra 組織，以便您可以為其設定 組織設定 。
• 如果您想要將存取設定套用至外部組織中的特定使用者、群組或應用程式，則在進行設定之前，您必須連絡組織以取得資訊。 取得其使用者物件識別碼、群組物件標識碼或應用程式識別碼（用戶端應用程式 識別碼或 資源應用程式識別元），以便正確鎖定您的設定。
• 如果您想要在外部Microsoft Azure 雲端中設定合作夥伴組織 B2B 共同作業，請遵循設定 Microsoft雲端設定中的步驟。 合作夥伴組織中的管理員必須為您的租用戶執行相同的動作。
• 邀請時會檢查允許/封鎖清單和跨租用戶存取設定。 如果使用者的網域是在允許清單上，則可以邀請他們，除非跨租用戶存取設定中明確封鎖該網域。 如果使用者的網域是在封鎖清單上，則不論跨租用戶存取設定為何，都無法邀請他們。 如果使用者不在任一清單上，我們會檢查跨租用戶存取設定，以判斷是否可以邀請他們。

設定預設設定

預設的跨租用戶存取設定適用於您尚未建立組織特定自訂設定的所有外部組織。 如果您想要修改 Microsoft Entra ID 提供的預設設定，請遵循下列步驟。

1. 以至少安全性系統管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識碼>外部身分>識別跨租使用者存取設定]，然後選取 [跨租使用者存取設定]。

3. 選取 [預設設定] 索引標籤，然後檢閱摘要頁面。

   

4. 若要變更設定，請選取 [編輯輸入預設值] 連結或 [編輯輸出預設值] 連結。

   

5. 遵循下列各節中的詳細步驟來修改預設設定：

   • 修改輸入存取設定
   • 修改輸出存取設定

新增組織

遵循下列步驟來設定特定組織的自訂設定。

1. 以至少安全性系統管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案>標識碼外部身分>識別跨租使用者存取設定]，然後選取 [組織設定]。

3. 選取 [新增組織]。

4. 在 [新增組織] 窗格中，輸入組織的完整網域名稱 (或租用戶識別碼)。

   

5. 在搜尋結果中選取組織，然後選取 [新增]。

6. 組織會出現在 [組織設定] 清單中。 至此，此組織的所有存取設定都是繼承自您的預設設定。 若要變更此組織的設定，請選取 [輸入存取] 或 [輸出存取] 資料行底下的 [繼承自預設] 連結。

   

7. 遵循下列各節中的詳細步驟來修改組織的設定：

   • 修改輸入存取設定
   • 修改輸出存取設定

修改輸入存取設定

透過輸入設定，您可以選取哪些外部使用者和群組能夠存取您選擇的內部應用程式。 無論是要設定預設設定或組織特定的設定，變更輸入跨租用戶存取設定的步驟都相同。 如本節所述，您會瀏覽至 [預設] 索引標籤，或 [組織設定] 索引標籤上的組織，然後進行變更。

1. 以至少安全性系統管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識碼>外部身分>識別跨租使用者存取設定]。

3. 瀏覽至您要修改的設定：

   • 默認設定：若要修改預設輸入設定，請選取 [ 預設設定 ] 索引標籤，然後在 [ 輸入存取設定] 底下，選取 [編輯輸入預設值]。
   • 組織設定：若要修改特定組織的設定，請選取 [ 組織設定 ] 索引標籤，在清單中尋找組織（或 新增一個），然後選取 [ 輸入存取 ] 數據行中的連結。

4. 遵循您要變更的輸入設定的詳細步驟：

   • 變更輸入 B2B 共同作業設定
   • 變更接受 MFA 和裝置宣告的輸入信任設定

注意

如果您在 Microsoft SharePoint 中使用原生共用功能，並 Microsoft已啟用 Microsoft Entra B2B 整合的 OneDrive ，您必須將外部網域新增至 外部共同作業設定。 否則，即使外部租用戶已在跨租用戶存取設定中新增，來自這些應用程式的邀請也可能會失敗。

變更輸入 B2B 共同作業設定

1. 以至少安全性系統管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識碼>外部身分>識別跨租使用者存取設定]，然後選取 [組織設定]

3. 選取 [ 輸入存取 ] 資料行和 B2B 共同 作業中的連結。如果您封鎖所有外部使用者和群組的存取，您也需要封鎖所有內部應用程式的存取權。

4. 如果您要為特定組織設定輸入存取設定，請選取一個選項：

   • 默認設定：如果您想要組織使用預設輸入設定，請選取此選項（如 [預設 設定] [如果您封鎖所有外部使用者和群組的存取]，您也需要封鎖所有內部應用程式的存取權。 如果已為此組織設定自訂設定，您必須選取 [是]，以確認您想要以預設設定取代所有設定。 然後選取 [儲存]，並略過此程序中的其餘步驟。

   • 自訂設定：如果您想要自定義要針對此組織強制執行的設定，而不是預設設定，請選取此選項。 繼續進行此程序中的其餘步驟。

5. 選取 [外部使用者與群組]。

6. 在 [存取狀態] 底下，選取下列其中一項：

   • 允許存取：允許 [ 套用] 底下指定的使用者和群組受邀進行 B2B 共同作業。
   • 封鎖存取：封鎖 [ 套用至] 底下指定的使用者和群組，防止受邀加入 B2B 共同作業。

   

7. 在 [適用於] 底下，選取下列其中一項：

   • 所有外部使用者和群組：將您在 [存取狀態 ] 底下選擇的動作套用至來自外部Microsoft Entra 組織的所有使用者和群組。
   • 選取外部使用者和群組 （需要Microsoft Entra ID P1 或 P2 訂用帳戶）：可讓您將您在外部組織內特定使用者和群組的 [存取狀態 ] 底下選擇的動作套用。

   注意

   如果您封鎖所有外部使用者和群組的存取，則也需要封鎖對所有內部應用程式 (在 [應用程式] 索引標籤上) 的存取。 如果您已設定跨租使用者同步處理，則封鎖所有外部使用者和群組的存取可能會封鎖跨租使用者同步處理。

   

8. 如果您選擇 [選取外部使用者和群組]，請針對您要新增的每個使用者或群組執行下列動作：

   • 選取 [新增外部使用者和群組]。
   • 在 [新增其他使用者和群組] 窗格的搜尋方塊中，輸入您從夥伴組織取得的使用者物件識別碼或群組物件識別碼。
   • 在搜尋方塊旁的功能表中，選擇 [使用者] 或 [群組]。
   • 選取 [新增]。

   注意

   您無法以在輸入預設設定中鎖定使用者或群組為目標。

   

9. 完成新增使用者和群組時，選取 [提交]。

   

10. 選取 [應用程式] 索引標籤。

11. 在 [存取狀態] 底下，選取下列其中一項：

    • 允許存取：允許 B2B 共同作業使用者存取 [ 套用 ] 底下指定的應用程式。
    • 封鎖存取：封鎖 [ 套用至] 下指定的應用程式，防止 B2B 共同作業使用者存取。

    

12. 在 [適用於] 底下，選取下列其中一項：

    • 所有應用程式：將您在 [存取狀態 ] 底下選擇的動作套用至所有應用程式。
    • 選取應用程式 （需要Microsoft Entra ID P1 或 P2 訂用帳戶）：可讓您在 [存取狀態] 底下套用您在組織中特定應用程式的 [ 存取狀態 ] 下選擇的動作。

    注意

    如果您封鎖對所有應用程式的存取，則也需要封鎖所有外部使用者和群組的存取 (在 [外部使用者和群組] 索引標籤上)。

    

13. 如果您選擇 [選取應用程式]，請針對您要新增的每個應用程式執行下列動作：

    • 選取 [新增 Microsoft 應用程式] 或 [新增其他應用程式]。
    • 在 [選取] 窗格中，於搜尋方塊中輸入應用程式名稱或應用程式識別碼 ([用戶端應用程式識別碼] 或 [資源應用程式識別碼])。 然後在搜尋結果中選取應用程式。 針對您要新增的每個應用程式重複執行。
    • 完成選取應用程式時，請選擇 [選取]。

    

14. 選取 [儲存]。

允許Microsoft應用程式的考慮

如果您想要設定 跨租使用者存取設定 ，只允許一組指定的應用程式，請考慮新增下表所示的Microsoft應用程式。 例如，如果您設定允許清單且只允許 SharePoint Online，使用者就無法存取 My Apps 或在資源租用戶中註冊 MFA。 為了確保使用者體驗順暢，請在輸入和輸出共同作業設定中包含下列應用程式。

申請	資源識別碼	可在入口網站中使用	詳細資料
我的應用程式	2793995E-0A7D-40D7-BD35-6968BA142197	是的	兌換邀請之後的預設登陸頁面。 定義 對的 myapplications.microsoft.com存取權。
Microsoft 應用程式存取面板	0000000C-0000-0000-C000-000000000000	否	在我的登入中載入特定頁面時，用於某些晚期綁定呼叫。例如，[安全性資訊] 刀鋒視窗或 [組織] 切換器。
我的設定檔	8c59ead7-d703-4a27-9e55-c96a0054c8d2	是的	定義包含 myaccount.microsoft.com 「我的群組」和「我的存取權」入口網站的存取權。 [我的配置檔] 中的某些索引標籤需要此處列出的其他應用程式才能運作。
我的登入	19db86c3-b2b9-44cc-b339-36da233a3be2	否	定義存取權， mysignins.microsoft.com 包括安全性資訊的存取權。 如果您需要使用者在資源租用戶中註冊並使用 MFA，請允許此應用程式（例如，不信任來自主租使用者的 MFA）。

上表中的某些應用程式不允許從 Microsoft Entra 系統管理中心進行選取。 若要允許它們，請使用 Microsoft Graph API 來新增它們，如下列範例所示：

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

注意

請務必在 PATCH 要求中包含您想要允許的任何其他應用程式，因為這樣會覆寫任何先前設定的應用程式。 已設定的應用程式可以從入口網站手動擷取，或在合作夥伴原則上執行 GET 要求。 例如，GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>

注意

透過 Microsoft Graph API 新增的應用程式不會對應至 Microsoft Entra 系統管理中心中可用的應用程式，將會顯示為應用程式識別碼。

您無法將Microsoft系統管理入口網站應用程式新增至 Microsoft Entra 系統管理中心的輸入和輸出跨租使用者存取設定。 若要允許外部存取Microsoft管理入口網站，請使用 Microsoft Graph API 個別新增下列屬於 Microsoft 系統管理入口網站應用程式群組的應用程式：

• Azure 入口網站 (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Microsoft Entra 系統管理中心 (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Microsoft 365 Defender 入口網站 (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Microsoft Intune 系統管理中心 (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Microsoft Purview 合規性入口網站 (80ccca67-54bd-44ab-8625-4b79c4dc7775)

設定兌換順序

若要自訂識別提供者的順序，而您的來賓使用者可在接受您的邀請時，使用這些識別提供者來登入，請遵循下列步驟。

1. 以至少安全性系統管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識碼>外部身分>識別跨租使用者存取設定]。

3. 在 [預設設定] 索引標籤的 [輸入存取設定] 底下，選取 [編輯輸入預設值]。

4. 在 [B2B 共同作業] 索引標籤上，選取 [兌換順序] 索引標籤。

5. 向上或向下移動識別提供者，以變更來賓使用者可在接受邀請時登入的順序。 您也可以在這裡將兌換順序重設為預設設定。

   

6. 選取 [儲存]。

您也可以透過 Microsoft Graph API 自訂兌換順序。

1. 開啟 Microsoft Graph 總管。

2. 至少以 安全性系統管理員 身分登入您的資源租使用者。

3. 執行下列查詢以取得目前的兌換順序：

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default

4. 在此範例中，我們會將 SAML/WS-Fed IdP 同盟移至兌換順序頂端，超過 Microsoft Entra 識別提供者。 使用此要求本文修補相同的 URI：

{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}

5. 若要驗證變更，請再次執行 GET 查詢。

6. 若要將兌換順序重設為預設設定，請執行下列查詢：

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

Microsoft Entra ID 已驗證網域的 SAML/WS-Fed 同盟 (直接同盟)

您現在可以新增已登錄的 Microsoft Entra ID 已驗證網域，以設定直接同盟關聯性。 首先，您必須在 系統管理中心 或透過 API 設定直接同盟 設定。 請確定未在相同的租用戶中驗證網域。 一旦設定完成，您就可以自訂兌換順序。 SAML/WS-Fed IdP 會新增至兌換順序，作為最後一個項目。 您可以在兌換順序中將其向上移動，以將其設定在 Microsoft Entra 識別提供者上方。

防止您的 B2B 使用者透過 Microsoft 帳戶兌換邀請

若要防止 B2B 來賓使用者透過其現有的 Microsoft 帳戶兌換邀請，或建立新的帳戶來接受邀請，請遵循下列步驟。

1. 以至少安全性系統管理員身分登入 Microsoft Entra 系統管理中心

2. 流覽至 [專案標識碼>外部身分>識別跨租使用者存取設定]。

3. 在 [預設設定] 索引標籤的 [輸入存取設定] 底下，選取 [編輯輸入預設值]。

4. 在 [B2B 共同作業] 索引標籤上，選取 [兌換順序] 索引標籤。

5. 在 [後援識別提供者] 底下，停用 Microsoft 服務帳戶 (MSA)。

   

6. 選取 [儲存]。

您必須在任何指定時間至少啟用一個後援識別提供者。 如果您想要停用 Microsoft 帳戶，則必須啟用電子郵件一次性密碼。 您無法停用這兩個後援識別提供者。 任何使用 Microsoft 帳戶登入的現有來賓使用者，會在後續登入期間繼續使用。您必須 重設其兌換狀態 ，才能套用此設定。

變更 MFA 和裝置宣告的輸入信任設定

1. 選取 [信任設定] 索引標籤。

2. （此步驟僅適用於 組織設定 。如果您要設定組織的設定，請選取下列其中一項：

   • 默認設定：組織會使用 [ 預設 設定] 索引標籤上設定的設定。如果已為此組織設定自定義設定，請選取 [ 是 ] 以確認您想要將所有設定取代為預設設定。 然後選取 [儲存]，並略過此程序中的其餘步驟。

   • 自訂設定：您可以自定義設定來強制執行此組織的設定，而不是預設設定。 繼續進行此程序中的其餘步驟。

3. 選取下列一或多個選項：

   • 信任來自Microsoft Entra 租使用者的多重要素驗證：選取此複選框可讓您的條件式存取原則信任來自外部組織的 MFA 宣告。 驗證期間，Microsoft Entra 會檢查使用者的認證，以取得使用者已完成 MFA 的宣告。 如果不是，則會在使用者的主租用戶中起始 MFA 挑戰。 如果外部使用者使用 細微的委派系統管理員許可權 （GDAP）登入，則不會套用此設定，例如由管理您租用戶中服務的雲端服務提供者技術人員所使用。 當外部使用者使用 GDAP 登入時，使用者的主租用戶中一律需要 MFA，而資源租用戶總是信任 MFA。 在使用者的主租用戶之外，不支援 GDAP 使用者的 MFA 註冊。 如果您的組織必須禁止根據使用者主租使用者中的 MFA 存取服務提供者技術人員，您可以在 Microsoft 365 系統管理中心移除 GDAP 關聯性。

   • 信任相容的裝置：允許條件式存取原則在其使用者存取您的資源時信任來自外部組織的 相容裝置宣告 。

   • 信任Microsoft Entra 混合式已加入裝置：允許條件式存取原則在使用者存取您的資源時，信任Microsoft來自外部組織的已加入混合式裝置宣告。

   

4. （此步驟僅適用於 組織設定 。檢閱 自動兌換 選項：

   • 使用租<用戶自動兌換邀請租使用者>：如果您想要自動兌換邀請，請檢查此設定。 若是如此，來自所指定租用戶的使用者將不必在第一次使用跨租用戶同步處理、B2B 共同作業或 B2B 直接連接來存取此租用戶時，接受同意提示。 如果指定的租用戶也會核取此設定以進行輸出存取，則此設定只會隱藏同意提示。

   

5. 選取 [儲存]。

允許使用者同步至此租用戶

如果選取所新增組織的 [輸入存取]，您會看到 [跨租用戶同步處理] 索引標籤和 [允許使用者同步至此租用戶] 核取方塊。 跨租用戶同步處理是 Microsoft Entra ID 中的單向同步服務，其會跨組織中的租用戶自動建立、更新和刪除 B2B 共同作業使用者。 如需詳細資訊，請參閱 設定跨租使用者同步 處理和 多租用戶組織檔。

修改輸出存取設定

透過輸出設定時，您可以選取哪些使用者和群組能夠存取您選擇的外部應用程式。 無論是要設定預設設定或組織特定的設定，變更輸出跨租用戶存取設定的步驟都相同。 如本節所述，您會瀏覽至 [預設] 索引標籤，或 [組織設定] 索引標籤上的組織，然後進行變更。

1. 以至少安全性系統管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識碼>外部身分>識別跨租使用者存取設定]。

3. 瀏覽至您要修改的設定：

   • 若要修改預設輸出設定，請選取 [預設設定] 索引標籤，然後在 [輸出存取設定] 下，選取 [編輯輸出預設值]。

   • 若要修改特定組織的設定，請選取 [ 組織設定 ] 索引卷標，在清單中尋找組織（或 新增一個），然後選取 [ 輸出存取 ] 資料行中的連結。

4. 選取 [B2B 共同作業] 索引標籤。

5. （此步驟僅適用於 組織設定 。如果您要設定組織的設定，請選取選項：

   • 默認設定：組織會使用 [ 預設 設定] 索引標籤上設定的設定。如果已為此組織設定自定義的設定，您必須選取 [ 是 ] 以確認所有設定都由預設設定取代。 然後選取 [儲存]，並略過此程序中的其餘步驟。

   • 自訂設定：您可以自定義設定來強制執行此組織的設定，而不是預設設定。 繼續進行此程序中的其餘步驟。

6. 選取 [使用者和群組]。

7. 在 [存取狀態] 底下，選取下列其中一項：

   • 允許存取：允許在 [ 適用於] 底下指定的使用者和群組受邀到外部組織進行 B2B 共同作業。
   • 封鎖存取：封鎖您在 [套用至] 底下指定的使用者和群組，而無法被邀請加入 B2B 共同作業。 如果您封鎖所有使用者和群組的存取權，這也會封鎖所有外部應用程式，使其無法透過 B2B 共同作業存取。

   

8. 在 [適用於] 底下，選取下列其中一項：

   • 所有 <組織> 使用者：將您在 [存取狀態 ] 底下選擇的動作套用至所有使用者和群組。
   • 選取 <您的組織> 使用者和群組 （需要Microsoft Entra ID P1 或 P2 訂用帳戶）：可讓您將您在 [存取狀態 ] 底下選擇的動作套用至特定使用者和群組。

   注意

   如果您封鎖所有使用者和群組的存取，則也需要封鎖對所有外部應用程式 (在 [應用程式] 索引標籤上) 的存取。

   

9. 如果您選擇 [選取 <您的組織> 使用者和群組]，請針對您要新增的每個使用者或群組執行下列動作：

   • 選取 [新增 <您的組織> 使用者和群組]。
   • 在 [選取] 窗格中，於搜尋方塊中輸入使用者名稱或群組名稱。
   • 在搜尋結果中選取使用者或群組。
   • 完成選取要新增的使用者和群組之後，請選擇 [選取]。

   注意

   以使用者和群組為目標時，您將無法選取已設定 SMS型驗證的使用者。 這是因為在其使用者物件上具有「同盟認證」的使用者遭到封鎖，以防止外部使用者新增至輸出存取設定。 因應措施是，您可以使用 Microsoft Graph API 直接新增使用者的物件識別碼，或將使用者所屬的群組設為目標。

10. 選取 [外部應用程式] 索引標籤。

11. 在 [存取狀態] 底下，選取下列其中一項：

    • 允許存取：允許使用者透過 B2B 共同作業存取 [ 套用 ] 底下指定的外部應用程式。
    • 封鎖存取：封鎖使用者透過 B2B 共同作業存取 [ 套用至 ] 下指定的外部應用程式。

    

12. 在 [適用於] 底下，選取下列其中一項：

    • 所有外部應用程式：將您在 [存取狀態 ] 底下選擇的動作套用至所有外部應用程式。
    • 選取外部應用程式：將您在 [ 存取狀態 ] 底下的動作套用至所有外部應用程式。

    注意

    如果您封鎖對所有外部應用程式的存取，則也需要封鎖所有使用者和群組的存取 (在 [使用者和群組] 索引標籤上)。

    

13. 如果您選擇 [選取外部應用程式]，請針對您要新增的每個應用程式執行下列動作：

    • 選取 [新增 Microsoft 應用程式] 或 [新增其他應用程式]。
    • 在搜尋方塊中，輸入應用程式名稱或應用程式識別碼 ([用戶端應用程式識別碼] 或 [資源應用程式識別碼])。 然後在搜尋結果中選取應用程式。 針對您要新增的每個應用程式重複執行。
    • 完成選取應用程式時，請選擇 [選取]。

    

14. 選取 [儲存]。

若要變更輸出信任設定

（本節僅適用於 組織設定 。

1. 選取 [信任設定] 索引標籤。

2. 檢閱 自動兌換 選項：

   • 使用租<用戶自動兌換邀請租使用者>：如果您想要自動兌換邀請，請檢查此設定。 若是如此，來自此租用戶的使用者不必在第一次使用跨租用戶同步、B2B 共同作業或 B2B 直接連接來存取指定的租用戶時，接受同意提示。 如果指定的租用戶也會核取此設定以進行輸入存取，則此設定只會隱藏同意提示。

     

3. 選取 [儲存]。

移除組織

當您從 [組織設定] 中移除組織時，該組織的預設跨租用戶存取設定即會生效。

注意

如果組織是貴組織的雲端服務提供者（Microsoft Graph 合作夥伴特定組態 中的 isServiceProvider 屬性為 true），您將無法移除組織。

1. 以至少安全性系統管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識碼>外部身分>識別跨租使用者存取設定]。

3. 選取 [組織設定] 索引標籤。

4. 在清單中尋找組織，然後選取該資料列上的垃圾桶圖示。

相關內容

• 設定外部共同作業設定
• 針對 B2B 直接連接設定跨租用戶存取設定

適用於： 員工租使用者 外部租使用者 （深入瞭解）

使用 [外部身分識別跨租用戶存取] 設定，以管理如何透過 B2B 共同作業，與其他 Microsoft Entra 組織共同作業。 這些設定會決定外部 Microsoft Entra 組織中的使用者對您資源具有的「輸入」存取層級，以及您使用者對外部組織具有的「輸出」存取層級。 它們也可讓您信任來自其他Microsoft Entra 組織的多重要素驗證（MFA） 和裝置宣告（符合規範的宣告和Microsoft Entra 混合式聯結宣告）。 如需詳細數據和規劃考慮，請參閱 Microsoft Entra External ID 中的跨租使用者存取。

跨雲端共同作業： 不同Microsoft雲端中的合作夥伴組織可以彼此設定 B2B 共同作業。 首先，這兩個組織必須啟用彼此共同作業，如設定 Microsoft雲端設定中所述。 然後，每個組織都可以選擇性地修改其 輸入存取設定 和 輸出存取設定，如下所示。

重要

Microsoft 於 2023 年 8 月 30 日開始將使用跨租用戶存取設定的客戶移至新的儲存體模型。 您可能會注意到稽核記錄中有一個項目通知您，在我們的自動化工作移轉您的設定時，您的跨租用戶存取設定已更新。 在移轉過程中有一個短暫的時段，您將無法對設定進行變更。 如果無法進行變更，您應該稍候片刻，然後重新嘗試變更。 移轉完成之後， 您就不會再使用 25 kb 的儲存空間上限 ，而且不會再限制您可以新增的合作夥伴數目。

警告

將預設的輸入或輸出設定變更為 [封鎖存取 ] 可能會封鎖組織或合作夥伴組織中應用程式的現有業務關鍵存取。 請務必使用 Microsoft Entra External ID 中跨租使用者存取 中所述的工具，並洽詢您的商務項目關係人，以識別所需的存取權。

• 在設定跨租使用者存取設定之前，請先檢閱跨租使用者存取概觀中的重要考慮一節。
• 使用工具並遵循 識別輸入和輸出登入 中的建議，以瞭解目前存取哪些外部Microsoft Entra 組織和資源使用者。
• 決定您要套用至所有外部 Microsoft Entra 組織的預設存取層級。
• 識別任何需要自定義設定Microsoft Entra 組織，以便您可以為其設定 組織設定 。
• 如果您想要將存取設定套用至外部組織中的特定使用者、群組或應用程式，則在進行設定之前，您必須連絡組織以取得資訊。 取得其使用者物件識別碼、群組物件標識碼或應用程式識別碼（用戶端應用程式 識別碼或 資源應用程式識別元），以便正確鎖定您的設定。
• 如果您想要在外部Microsoft Azure 雲端中設定合作夥伴組織 B2B 共同作業，請遵循設定 Microsoft雲端設定中的步驟。 合作夥伴組織中的管理員必須為您的租用戶執行相同的動作。
• 邀請時會檢查允許/封鎖清單和跨租用戶存取設定。 如果使用者的網域是在允許清單上，則可以邀請他們，除非跨租用戶存取設定中明確封鎖該網域。 如果使用者的網域是在封鎖清單上，則不論跨租用戶存取設定為何，都無法邀請他們。 如果使用者不在任一清單上，我們會檢查跨租用戶存取設定，以判斷是否可以邀請他們。

預設的跨租用戶存取設定適用於您尚未建立組織特定自訂設定的所有外部組織。 如果您想要修改 Microsoft Entra ID 提供的預設設定，請遵循下列步驟。

1. 以至少安全性系統管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識碼>外部身分>識別跨租使用者存取設定]，然後選取 [跨租使用者存取設定]。

3. 選取 [預設設定] 索引標籤，然後檢閱摘要頁面。

   

4. 若要變更設定，請選取 [編輯輸入預設值] 連結或 [編輯輸出預設值] 連結。

   

5. 遵循下列各節中的詳細步驟來修改預設設定：

   • 修改輸入存取設定
   • 修改輸出存取設定

遵循下列步驟來設定特定組織的自訂設定。

1. 以至少安全性系統管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案>標識碼外部身分>識別跨租使用者存取設定]，然後選取 [組織設定]。

3. 選取 [新增組織]。

4. 在 [新增組織] 窗格中，輸入組織的完整網域名稱 (或租用戶識別碼)。

   

5. 在搜尋結果中選取組織，然後選取 [新增]。

6. 組織會出現在 [組織設定] 清單中。 至此，此組織的所有存取設定都是繼承自您的預設設定。 若要變更此組織的設定，請選取 [輸入存取] 或 [輸出存取] 資料行底下的 [繼承自預設] 連結。

   

7. 遵循下列各節中的詳細步驟來修改組織的設定：

   • 修改輸入存取設定
   • 修改輸出存取設定

透過輸入設定，您可以選取哪些外部使用者和群組能夠存取您選擇的內部應用程式。 無論是要設定預設設定或組織特定的設定，變更輸入跨租用戶存取設定的步驟都相同。 如本節所述，您會瀏覽至 [預設] 索引標籤，或 [組織設定] 索引標籤上的組織，然後進行變更。

1. 以至少安全性系統管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識碼>外部身分>識別跨租使用者存取設定]。

3. 瀏覽至您要修改的設定：

   • 默認設定：若要修改預設輸入設定，請選取 [ 預設設定 ] 索引標籤，然後在 [ 輸入存取設定] 底下，選取 [編輯輸入預設值]。
   • 組織設定：若要修改特定組織的設定，請選取 [ 組織設定 ] 索引標籤，在清單中尋找組織（或 新增一個），然後選取 [ 輸入存取 ] 數據行中的連結。

4. 遵循您要變更的輸入設定的詳細步驟：

   • 變更輸入 B2B 共同作業設定
   • 變更接受 MFA 和裝置宣告的輸入信任設定

注意

如果您在 Microsoft SharePoint 中使用原生共用功能，並 Microsoft已啟用 Microsoft Entra B2B 整合的 OneDrive ，您必須將外部網域新增至 外部共同作業設定。 否則，即使外部租用戶已在跨租用戶存取設定中新增，來自這些應用程式的邀請也可能會失敗。

變更輸入 B2B 共同作業設定

1. 以至少安全性系統管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識碼>外部身分>識別跨租使用者存取設定]，然後選取 [組織設定]

3. 選取 [ 輸入存取 ] 資料行和 B2B 共同 作業中的連結。如果您封鎖所有外部使用者和群組的存取，您也需要封鎖所有內部應用程式的存取權。

4. 如果您要為特定組織設定輸入存取設定，請選取一個選項：

   • 默認設定：如果您想要組織使用預設輸入設定，請選取此選項（如 [預設 設定] [如果您封鎖所有外部使用者和群組的存取]，您也需要封鎖所有內部應用程式的存取權。 如果已為此組織設定自訂設定，您必須選取 [是]，以確認您想要以預設設定取代所有設定。 然後選取 [儲存]，並略過此程序中的其餘步驟。

   • 自訂設定：如果您想要自定義要針對此組織強制執行的設定，而不是預設設定，請選取此選項。 繼續進行此程序中的其餘步驟。

5. 選取 [外部使用者與群組]。

6. 在 [存取狀態] 底下，選取下列其中一項：

   • 允許存取：允許 [ 套用] 底下指定的使用者和群組受邀進行 B2B 共同作業。
   • 封鎖存取：封鎖 [ 套用至] 底下指定的使用者和群組，防止受邀加入 B2B 共同作業。

   

7. 在 [適用於] 底下，選取下列其中一項：

   • 所有外部使用者和群組：將您在 [存取狀態 ] 底下選擇的動作套用至來自外部Microsoft Entra 組織的所有使用者和群組。
   • 選取外部使用者和群組 （需要Microsoft Entra ID P1 或 P2 訂用帳戶）：可讓您將您在外部組織內特定使用者和群組的 [存取狀態 ] 底下選擇的動作套用。

   注意

   如果您封鎖所有外部使用者和群組的存取，則也需要封鎖對所有內部應用程式 (在 [應用程式] 索引標籤上) 的存取。 如果您已設定跨租使用者同步處理，則封鎖所有外部使用者和群組的存取可能會封鎖跨租使用者同步處理。

   

8. 如果您選擇 [選取外部使用者和群組]，請針對您要新增的每個使用者或群組執行下列動作：

   • 選取 [新增外部使用者和群組]。
   • 在 [新增其他使用者和群組] 窗格的搜尋方塊中，輸入您從夥伴組織取得的使用者物件識別碼或群組物件識別碼。
   • 在搜尋方塊旁的功能表中，選擇 [使用者] 或 [群組]。
   • 選取 [新增]。

   注意

   您無法以在輸入預設設定中鎖定使用者或群組為目標。

   

9. 完成新增使用者和群組時，選取 [提交]。

   

10. 選取 [應用程式] 索引標籤。

11. 在 [存取狀態] 底下，選取下列其中一項：

    • 允許存取：允許 B2B 共同作業使用者存取 [ 套用 ] 底下指定的應用程式。
    • 封鎖存取：封鎖 [ 套用至] 下指定的應用程式，防止 B2B 共同作業使用者存取。

    

12. 在 [適用於] 底下，選取下列其中一項：

    • 所有應用程式：將您在 [存取狀態 ] 底下選擇的動作套用至所有應用程式。
    • 選取應用程式 （需要Microsoft Entra ID P1 或 P2 訂用帳戶）：可讓您在 [存取狀態] 底下套用您在組織中特定應用程式的 [ 存取狀態 ] 下選擇的動作。

    注意

    如果您封鎖對所有應用程式的存取，則也需要封鎖所有外部使用者和群組的存取 (在 [外部使用者和群組] 索引標籤上)。

    

13. 如果您選擇 [選取應用程式]，請針對您要新增的每個應用程式執行下列動作：

    • 選取 [新增 Microsoft 應用程式] 或 [新增其他應用程式]。
    • 在 [選取] 窗格中，於搜尋方塊中輸入應用程式名稱或應用程式識別碼 ([用戶端應用程式識別碼] 或 [資源應用程式識別碼])。 然後在搜尋結果中選取應用程式。 針對您要新增的每個應用程式重複執行。
    • 完成選取應用程式時，請選擇 [選取]。

    

14. 選取 [儲存]。

允許Microsoft應用程式的考慮

如果您想要設定 跨租使用者存取設定 ，只允許一組指定的應用程式，請考慮新增下表所示的Microsoft應用程式。 例如，如果您設定允許清單且只允許 SharePoint Online，使用者就無法存取 My Apps 或在資源租用戶中註冊 MFA。 為了確保使用者體驗順暢，請在輸入和輸出共同作業設定中包含下列應用程式。

申請	資源識別碼	可在入口網站中使用	詳細資料
我的應用程式	2793995E-0A7D-40D7-BD35-6968BA142197	是的	兌換邀請之後的預設登陸頁面。 定義 對的 myapplications.microsoft.com存取權。
Microsoft 應用程式存取面板	0000000C-0000-0000-C000-000000000000	否	在我的登入中載入特定頁面時，用於某些晚期綁定呼叫。例如，[安全性資訊] 刀鋒視窗或 [組織] 切換器。
我的設定檔	8c59ead7-d703-4a27-9e55-c96a0054c8d2	是的	定義包含 myaccount.microsoft.com 「我的群組」和「我的存取權」入口網站的存取權。 [我的配置檔] 中的某些索引標籤需要此處列出的其他應用程式才能運作。
我的登入	19db86c3-b2b9-44cc-b339-36da233a3be2	否	定義存取權， mysignins.microsoft.com 包括安全性資訊的存取權。 如果您需要使用者在資源租用戶中註冊並使用 MFA，請允許此應用程式（例如，不信任來自主租使用者的 MFA）。

上表中的某些應用程式不允許從 Microsoft Entra 系統管理中心進行選取。 若要允許它們，請使用 Microsoft Graph API 來新增它們，如下列範例所示：

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

注意

請務必在 PATCH 要求中包含您想要允許的任何其他應用程式，因為這樣會覆寫任何先前設定的應用程式。 已設定的應用程式可以從入口網站手動擷取，或在合作夥伴原則上執行 GET 要求。 例如，GET https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>

注意

透過 Microsoft Graph API 新增的應用程式不會對應至 Microsoft Entra 系統管理中心中可用的應用程式，將會顯示為應用程式識別碼。

您無法將Microsoft系統管理入口網站應用程式新增至 Microsoft Entra 系統管理中心的輸入和輸出跨租使用者存取設定。 若要允許外部存取Microsoft管理入口網站，請使用 Microsoft Graph API 個別新增下列屬於 Microsoft 系統管理入口網站應用程式群組的應用程式：

• Azure 入口網站 (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Microsoft Entra 系統管理中心 (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Microsoft 365 Defender 入口網站 (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Microsoft Intune 系統管理中心 (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Microsoft Purview 合規性入口網站 (80ccca67-54bd-44ab-8625-4b79c4dc7775)

設定兌換順序

若要自訂識別提供者的順序，而您的來賓使用者可在接受您的邀請時，使用這些識別提供者來登入，請遵循下列步驟。

1. 以至少安全性系統管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識碼>外部身分>識別跨租使用者存取設定]。

3. 在 [預設設定] 索引標籤的 [輸入存取設定] 底下，選取 [編輯輸入預設值]。

4. 在 [B2B 共同作業] 索引標籤上，選取 [兌換順序] 索引標籤。

5. 向上或向下移動識別提供者，以變更來賓使用者可在接受邀請時登入的順序。 您也可以在這裡將兌換順序重設為預設設定。

   

6. 選取 [儲存]。

您也可以透過 Microsoft Graph API 自訂兌換順序。

1. 開啟 Microsoft Graph 總管。

2. 至少以 安全性系統管理員 身分登入您的資源租使用者。

3. 執行下列查詢以取得目前的兌換順序：

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default

4. 在此範例中，我們會將 SAML/WS-Fed IdP 同盟移至兌換順序頂端，超過 Microsoft Entra 識別提供者。 使用此要求本文修補相同的 URI：

{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}

5. 若要驗證變更，請再次執行 GET 查詢。

6. 若要將兌換順序重設為預設設定，請執行下列查詢：

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

Microsoft Entra ID 已驗證網域的 SAML/WS-Fed 同盟 (直接同盟)

您現在可以新增已登錄的 Microsoft Entra ID 已驗證網域，以設定直接同盟關聯性。 首先，您必須在 系統管理中心 或透過 API 設定直接同盟 設定。 請確定未在相同的租用戶中驗證網域。 一旦設定完成，您就可以自訂兌換順序。 SAML/WS-Fed IdP 會新增至兌換順序，作為最後一個項目。 您可以在兌換順序中將其向上移動，以將其設定在 Microsoft Entra 識別提供者上方。

防止您的 B2B 使用者透過 Microsoft 帳戶兌換邀請

若要防止 B2B 來賓使用者透過其現有的 Microsoft 帳戶兌換邀請，或建立新的帳戶來接受邀請，請遵循下列步驟。

1. 以至少安全性系統管理員身分登入 Microsoft Entra 系統管理中心

2. 流覽至 [專案標識碼>外部身分>識別跨租使用者存取設定]。

3. 在 [預設設定] 索引標籤的 [輸入存取設定] 底下，選取 [編輯輸入預設值]。

4. 在 [B2B 共同作業] 索引標籤上，選取 [兌換順序] 索引標籤。

5. 在 [後援識別提供者] 底下，停用 Microsoft 服務帳戶 (MSA)。

   

6. 選取 [儲存]。

您必須在任何指定時間至少啟用一個後援識別提供者。 如果您想要停用 Microsoft 帳戶，則必須啟用電子郵件一次性密碼。 您無法停用這兩個後援識別提供者。 任何使用 Microsoft 帳戶登入的現有來賓使用者，會在後續登入期間繼續使用。您必須 重設其兌換狀態 ，才能套用此設定。

變更 MFA 和裝置宣告的輸入信任設定

1. 選取 [信任設定] 索引標籤。

2. （此步驟僅適用於 組織設定 。如果您要設定組織的設定，請選取下列其中一項：

   • 默認設定：組織會使用 [ 預設 設定] 索引標籤上設定的設定。如果已為此組織設定自定義設定，請選取 [ 是 ] 以確認您想要將所有設定取代為預設設定。 然後選取 [儲存]，並略過此程序中的其餘步驟。

   • 自訂設定：您可以自定義設定來強制執行此組織的設定，而不是預設設定。 繼續進行此程序中的其餘步驟。

3. 選取下列一或多個選項：

   • 信任來自Microsoft Entra 租使用者的多重要素驗證：選取此複選框可讓您的條件式存取原則信任來自外部組織的 MFA 宣告。 驗證期間，Microsoft Entra 會檢查使用者的認證，以取得使用者已完成 MFA 的宣告。 如果不是，則會在使用者的主租用戶中起始 MFA 挑戰。 如果外部使用者使用 細微的委派系統管理員許可權 （GDAP）登入，則不會套用此設定，例如由管理您租用戶中服務的雲端服務提供者技術人員所使用。 當外部使用者使用 GDAP 登入時，使用者的主租用戶中一律需要 MFA，而資源租用戶總是信任 MFA。 在使用者的主租用戶之外，不支援 GDAP 使用者的 MFA 註冊。 如果您的組織必須禁止根據使用者主租使用者中的 MFA 存取服務提供者技術人員，您可以在 Microsoft 365 系統管理中心移除 GDAP 關聯性。

   • 信任相容的裝置：允許條件式存取原則在其使用者存取您的資源時信任來自外部組織的 相容裝置宣告 。

   • 信任Microsoft Entra 混合式已加入裝置：允許條件式存取原則在使用者存取您的資源時，信任Microsoft來自外部組織的已加入混合式裝置宣告。

   

4. （此步驟僅適用於 組織設定 。檢閱 自動兌換 選項：

   • 使用租<用戶自動兌換邀請租使用者>：如果您想要自動兌換邀請，請檢查此設定。 若是如此，來自所指定租用戶的使用者將不必在第一次使用跨租用戶同步處理、B2B 共同作業或 B2B 直接連接來存取此租用戶時，接受同意提示。 如果指定的租用戶也會核取此設定以進行輸出存取，則此設定只會隱藏同意提示。

   

5. 選取 [儲存]。

允許使用者同步至此租用戶

如果選取所新增組織的 [輸入存取]，您會看到 [跨租用戶同步處理] 索引標籤和 [允許使用者同步至此租用戶] 核取方塊。 跨租用戶同步處理是 Microsoft Entra ID 中的單向同步服務，其會跨組織中的租用戶自動建立、更新和刪除 B2B 共同作業使用者。 如需詳細資訊，請參閱 設定跨租使用者同步 處理和 多租用戶組織檔。

修改輸出存取設定

透過輸出設定時，您可以選取哪些使用者和群組能夠存取您選擇的外部應用程式。 無論是要設定預設設定或組織特定的設定，變更輸出跨租用戶存取設定的步驟都相同。 如本節所述，您會瀏覽至 [預設] 索引標籤，或 [組織設定] 索引標籤上的組織，然後進行變更。

1. 以至少安全性系統管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識碼>外部身分>識別跨租使用者存取設定]。

3. 瀏覽至您要修改的設定：

   • 若要修改預設輸出設定，請選取 [預設設定] 索引標籤，然後在 [輸出存取設定] 下，選取 [編輯輸出預設值]。

   • 若要修改特定組織的設定，請選取 [ 組織設定 ] 索引卷標，在清單中尋找組織（或 新增一個），然後選取 [ 輸出存取 ] 資料行中的連結。

4. 選取 [B2B 共同作業] 索引標籤。

5. （此步驟僅適用於 組織設定 。如果您要設定組織的設定，請選取選項：

   • 默認設定：組織會使用 [ 預設 設定] 索引標籤上設定的設定。如果已為此組織設定自定義的設定，您必須選取 [ 是 ] 以確認所有設定都由預設設定取代。 然後選取 [儲存]，並略過此程序中的其餘步驟。

   • 自訂設定：您可以自定義設定來強制執行此組織的設定，而不是預設設定。 繼續進行此程序中的其餘步驟。

6. 選取 [使用者和群組]。

7. 在 [存取狀態] 底下，選取下列其中一項：

   • 允許存取：允許在 [ 適用於] 底下指定的使用者和群組受邀到外部組織進行 B2B 共同作業。
   • 封鎖存取：封鎖您在 [套用至] 底下指定的使用者和群組，而無法被邀請加入 B2B 共同作業。 如果您封鎖所有使用者和群組的存取權，這也會封鎖所有外部應用程式，使其無法透過 B2B 共同作業存取。

   

8. 在 [適用於] 底下，選取下列其中一項：

   • 所有 <組織> 使用者：將您在 [存取狀態 ] 底下選擇的動作套用至所有使用者和群組。
   • 選取 <您的組織> 使用者和群組 （需要Microsoft Entra ID P1 或 P2 訂用帳戶）：可讓您將您在 [存取狀態 ] 底下選擇的動作套用至特定使用者和群組。

   注意

   如果您封鎖所有使用者和群組的存取，則也需要封鎖對所有外部應用程式 (在 [應用程式] 索引標籤上) 的存取。

   

9. 如果您選擇 [選取 <您的組織> 使用者和群組]，請針對您要新增的每個使用者或群組執行下列動作：

   • 選取 [新增 <您的組織> 使用者和群組]。
   • 在 [選取] 窗格中，於搜尋方塊中輸入使用者名稱或群組名稱。
   • 在搜尋結果中選取使用者或群組。
   • 完成選取要新增的使用者和群組之後，請選擇 [選取]。

   注意

   以使用者和群組為目標時，您將無法選取已設定 SMS型驗證的使用者。 這是因為在其使用者物件上具有「同盟認證」的使用者遭到封鎖，以防止外部使用者新增至輸出存取設定。 因應措施是，您可以使用 Microsoft Graph API 直接新增使用者的物件識別碼，或將使用者所屬的群組設為目標。

10. 選取 [外部應用程式] 索引標籤。

11. 在 [存取狀態] 底下，選取下列其中一項：

    • 允許存取：允許使用者透過 B2B 共同作業存取 [ 套用 ] 底下指定的外部應用程式。
    • 封鎖存取：封鎖使用者透過 B2B 共同作業存取 [ 套用至 ] 下指定的外部應用程式。

    

12. 在 [適用於] 底下，選取下列其中一項：

    • 所有外部應用程式：將您在 [存取狀態 ] 底下選擇的動作套用至所有外部應用程式。
    • 選取外部應用程式：將您在 [ 存取狀態 ] 底下的動作套用至所有外部應用程式。

    注意

    如果您封鎖對所有外部應用程式的存取，則也需要封鎖所有使用者和群組的存取 (在 [使用者和群組] 索引標籤上)。

    

13. 如果您選擇 [選取外部應用程式]，請針對您要新增的每個應用程式執行下列動作：

    • 選取 [新增 Microsoft 應用程式] 或 [新增其他應用程式]。
    • 在搜尋方塊中，輸入應用程式名稱或應用程式識別碼 ([用戶端應用程式識別碼] 或 [資源應用程式識別碼])。 然後在搜尋結果中選取應用程式。 針對您要新增的每個應用程式重複執行。
    • 完成選取應用程式時，請選擇 [選取]。

    

14. 選取 [儲存]。

若要變更輸出信任設定

（本節僅適用於 組織設定 。

1. 選取 [信任設定] 索引標籤。

2. 檢閱 自動兌換 選項：

   • 使用租<用戶自動兌換邀請租使用者>：如果您想要自動兌換邀請，請檢查此設定。 若是如此，來自此租用戶的使用者不必在第一次使用跨租用戶同步、B2B 共同作業或 B2B 直接連接來存取指定的租用戶時，接受同意提示。 如果指定的租用戶也會核取此設定以進行輸入存取，則此設定只會隱藏同意提示。

     

3. 選取 [儲存]。

當您從 [組織設定] 中移除組織時，該組織的預設跨租用戶存取設定即會生效。

注意

如果組織是貴組織的雲端服務提供者（Microsoft Graph 合作夥伴特定組態 中的 isServiceProvider 屬性為 true），您將無法移除組織。

1. 以至少安全性系統管理員身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [專案標識碼>外部身分>識別跨租使用者存取設定]。

3. 選取 [組織設定] 索引標籤。

4. 在清單中尋找組織，然後選取該資料列上的垃圾桶圖示。