針對 B2B 共同作業設定跨租用戶存取設定

  • 發行項

使用外部身分識別跨租用戶存取設定,以管理您透過 B2B 共同作業與其他 Azure AD 組織共同作業的方式。 這些設定會判斷外部 Azure AD 組織中的使用者對您的資源必須具有的「輸入」存取層級,以及使用者對外部組織必須具有的「輸出」存取層級。 他們也可以讓您信任來自其他 Azure AD 組織的多重要素驗證 (MFA) 和裝置宣告 (符合規範的宣告及混合式 Azure AD Join 宣告)。 如需詳細資料和規劃考量,請參閱 Azure AD 外部身分識別中的跨租用戶存取

開始之前

警告

將預設的輸入或輸出設定變更為封鎖存取,可能會封鎖對您組織或夥伴組織中應用程式的現有業務關鍵存取。 請務必使用 Azure AD 外部身分識別中的跨租用戶存取所述的工具,並洽詢您的商務專案關係人,以找出所需的存取權。

  • 在設定跨租用戶存取設定之前,請先檢閱跨租用戶存取概觀中的重要考量一節。
  • 使用這些工具,並遵循識別輸入和輸出登入中的建議,以了解使用者目前正在存取的外部 Azure AD 組織和資源。
  • 決定您要套用至所有外部 Azure AD 組織的預設存取層級。
  • 找出將需要自訂設定的任何 Azure AD 組織,使得您可以為其設定組織設定
  • 如果您想要將存取設定套用至外部組織中的特定使用者、群組或應用程式,在進行設定之前,您必須先與組織連絡以取得相關資訊。 取得其使用者物件識別碼、群組物件識別碼或應用程式識別碼 (用戶端應用程式識別碼資源應用程式識別碼),使得您可以正確地進行設定。
  • 如果您想要在外部 Microsoft Azure 雲端中設定與合作夥伴組織的 B2B 共同作業,請遵循設定 Microsoft 雲端設定中的步驟。 合作夥伴組織中的系統管理員必須為您的租用戶執行相同的步驟。

設定預設設定

預設的跨租用戶存取設定適用於您尚未建立組織特定自訂設定的所有外部租用戶。 如果您想要修改 Azure AD 提供的預設設定,請遵循下列步驟。

  1. 使用全域管理員或安全性系統管理員帳戶登入 Azure 入口網站。 然後開啟 Azure Active Directory 服務。

  2. 選取 [外部身分識別],然後選取 [跨租用戶存取設定]。

  3. 選取 [預設設定] 索引標籤,然後檢閱摘要頁面。

    顯示跨租用戶存取設定的 [預設設定] 索引標籤的螢幕擷取畫面。

  4. 若要變更設定,請選取 [編輯輸入預設值] 連結或 [編輯輸出預設值] 連結。

    顯示 [預設設定] 編輯按鈕的螢幕擷取畫面。

  5. 遵循下列各節中的詳細步驟來修改預設設定:

新增組織

遵循下列步驟來設定特定組織的自訂設定。

  1. 使用全域管理員或安全性系統管理員帳戶登入 Azure 入口網站。 然後開啟 Azure Active Directory 服務。

  2. 選取 [外部身分識別],然後選取 [跨租用戶存取設定]。

  3. 選取 [組織設定]。

  4. 選取 [新增組織]。

  5. 在 [新增組織] 窗格中,輸入組織的完整網域名稱 (或租用戶識別碼)。

    顯示新增組織的螢幕擷取畫面。

  6. 在搜尋結果中選取組織,然後選取 [新增]。

  7. 組織會出現在 [組織設定] 清單中。 至此,此組織的所有存取設定都是繼承自您的預設設定。 若要變更此組織的設定,請選取 [輸入存取] 或 [輸出存取] 資料行底下的 [繼承自預設] 連結。

    顯示已新增預設設定的組織的螢幕擷取畫面。

  8. 遵循下列各節中的詳細步驟來修改組織的設定:

修改輸入存取設定

使用輸入設定時,您會選取哪些外部使用者和群組將可以存取您選擇的內部應用程式。 無論是要設定預設設定或組織特定的設定,變更輸入跨租用戶存取設定的步驟都相同。 如本節所述,您將瀏覽至 [組織設定] 索引標籤上的 [預設] 索引標籤或組織,然後進行變更。

  1. 使用全域管理員或安全性系統管理員帳戶登入 Azure 入口網站。 然後開啟 Azure Active Directory 服務。

  2. 選取 [外部身分識別]>[跨租用戶存取設定]。

  3. 瀏覽至您要修改的設定:

    • 預設設定:若要修改預設的輸入設定,請選取 [預設設定] 索引標籤,然後在 [輸入存取設定] 下,選取 [編輯輸入預設值]。
    • 組織設定:若要修改特定組織的設定,請選取 [組織設定] 索引標籤,在清單中尋找組織 (或新增一個),然後選取 [輸入存取] 資料行中的連結。

  4. 遵循您要變更的輸入設定的詳細步驟:

變更輸入 B2B 協同作業設定

  1. 使用全域管理員或安全性系統管理員帳戶登入 Azure 入口網站。 然後開啟 Azure Active Directory 服務。

  2. 選取 [外部身分識別]>[跨租用戶存取設定]。

  3. 在 [組織設定] 底下,選取 [輸入存取] 資料行和 [B2B 共同作業] 索引標籤中的連結。

  4. 如果您正在設定特定組織的輸入存取設定,請選取下列其中一項:

    • 預設設定:如果您想要讓組織使用預設的輸入設定 (如 [預設設定] 索引標籤上所設定),請選取此選項。 如果已為此組織設定自訂設定,您必須選取 [是],以確認您想要以預設設定取代所有設定。 然後選取 [儲存],並略過此程序中的其餘步驟。

    • 自訂設定:如果您想要為此組織自訂設定,其會針對此組織強制執行,而不使用預設設定,請選取此選項。 繼續進行此程序中的其餘步驟。

  5. 選取 [外部使用者和群組]。

  6. 在 [存取狀態] 底下,選取下列其中一項:

    • 允許存取:允許在 [適用於] 底下指定的使用者和群組受邀進行 B2B 共同作業。
    • 封鎖存取:封鎖在 [適用於] 底下指定的使用者和群組,使其無法受邀加入 B2B 共同作業。

    顯示針對 B2B 共同作業選取使用者存取狀態的螢幕擷取畫面。

  7. 在 [適用於] 底下,選取下列其中一項:

    • 所有外部使用者和群組:將您在 [存取狀態] 底下所選擇的動作套用至來自外部 Azure AD 組織的所有使用者和群組。
    • 選取外部使用者和群組 (需要 Azure AD Premium 訂用帳戶):讓您將在 [存取狀態] 底下選擇的動作套用至外部組織內的特定使用者和群組。

    注意

    如果您封鎖所有外部使用者和群組的存取,則也需要封鎖對所有內部應用程式 (在 [應用程式] 索引標籤上) 的存取。

    顯示選取目標使用者和群組的螢幕擷取畫面。

  8. 如果您選擇 [選取外部使用者和群組],請針對您要新增的每個使用者或群組執行下列動作:

    • 選取 [新增外部使用者和群組]。
    • 在 [新增其他使用者和群組] 窗格的搜尋方塊中,輸入您從夥伴組織取得的使用者物件識別碼或群組物件識別碼。
    • 在搜尋方塊旁的功能表中,選擇 [使用者] 或 [群組]。
    • 選取 [新增]。

    顯示新增使用者和群組的螢幕擷取畫面。

  9. 完成新增使用者和群組時,選取 [提交]。

    顯示提交使用者和群組的螢幕擷取畫面。

  10. 選取 [應用程式] 索引標籤。

  11. 在 [存取狀態] 底下,選取下列其中一項:

    • 允許存取:允許在 [適用於] 底下指定的應用程式由 B2B 共同作業使用者存取。
    • 封鎖存取:封鎖在 [適用於] 底下指定的應用程式,使其無法由 B2B 共同作業使用者存取。

    顯示應用程式存取狀態的螢幕擷取畫面。

  12. 在 [適用於] 底下,選取下列其中一項:

    • 所有應用程式:將您在 [存取狀態] 底下選擇的動作套用至所有應用程式。
    • 選取應用程式 (需要 Azure AD Premium 訂用帳戶):讓您將在 [存取狀態] 底下選擇的動作套用到組織中的特定應用程式。

    注意

    如果您封鎖對所有應用程式的存取,則也需要封鎖所有外部使用者和群組的存取 (在 [外部使用者和群組] 索引標籤上)。

    顯示目標應用程式的螢幕擷取畫面。

  13. 如果您選擇 [選取應用程式],請針對您要新增的每個應用程式執行下列動作:

    • 選取 [新增 Microsoft 應用程式] 或 [新增其他應用程式]。
    • 在 [選取] 窗格中,於搜尋方塊中輸入應用程式名稱或應用程式識別碼 ([用戶端應用程式識別碼] 或 [資源應用程式識別碼])。 然後在搜尋結果中選取應用程式。 針對您要新增的每個應用程式重複執行。
    • 完成選取應用程式時,請選擇 [選取]。

    顯示選取應用程式的螢幕擷取畫面。

  14. 選取 [儲存]。

變更 MFA 和裝置宣告的輸入信任設定

  1. 選取 [信任設定] 索引標籤。

  2. (此步驟僅適用於組織設定。) 如果您是為組織進行設定,請選取下列其中一項:

    • 預設設定:組織將使用 [預設設定] 索引標籤上所設定的設定。如果已為此組織設定自訂設定,則必須選取 [是],以確認您要以預設設定取代所有設定。 然後選取 [儲存],並略過此程序中的其餘步驟。

    • 自訂設定:您可以為此組織自訂設定,其會針對此組織強制執行,而不使用預設設定。 繼續進行此程序中的其餘步驟。

  3. 選取下列一或多個選項:

    • 信任來自 Azure AD 租用戶的多重要素驗證:選取此核取方塊可讓您的條件式存取原則信任來自外部組織的 MFA 宣告。 在驗證期間,Azure AD 會檢查使用者的認證,以取得使用者已完成 MFA 的宣告。 如果沒有,就會在使用者的主租用戶中起始 MFA 挑戰。

    • 信任相容的裝置:允許使用者存取您的資源時,允許條件式存取原則信任來自外部組織的 相容裝置宣告

    • 信任混合式 Azure AD Join 裝置:允許您的條件式存取原則在來自外部組織的使用者存取您的資源時,信任混合式 Azure AD Join 裝置的宣告。

    顯示信任設定的螢幕擷取畫面。

  4. (此步驟僅適用于 組織設定 。) 檢閱同意提示選項:

    • 當使用者存取租使用者中的應用程式和資源時,隱藏來自其他租使用者的同意提示:如果您想要自動兌換邀請,請選取此核取方塊,讓來自指定租使用者的使用者在使用 B2B 共同作業新增至此租使用者時,不需要接受同意提示。 如果指定的租使用者也檢查此設定以取得輸出存取權,此設定只會隱藏同意提示。

    顯示輸入隱藏同意提示覆選框的螢幕擷取畫面。

  5. 選取 [儲存]。

允許使用者同步至此租使用者

如果您選取新增組織的 [輸入存取 權],您會看到 [ 跨租使用者同步處理] ([預覽) ] 索引標籤,以及 [允許使用者同步至此租使用者] 核取方塊。 跨租使用者同步處理是 Azure AD 中的單向同步處理服務,可自動化跨組織中的租使用者建立、更新和刪除 B2B 共同作業使用者。 如需詳細資訊,請參閱 設定跨租使用者同步 處理和 多租使用者組織檔

顯示 [跨租使用者同步處理] 索引標籤的螢幕擷取畫面,其中顯示 [允許使用者同步至此租使用者] 核取方塊。

修改輸出存取設定

使用輸出設定時,您會選取哪些使用者和群組將可以存取您選擇的外部應用程式。 無論是要設定預設設定或組織特定的設定,變更輸出跨租用戶存取設定的步驟都相同。 如本節所述,您將瀏覽至 [組織設定] 索引標籤上的 [預設] 索引標籤或組織,然後進行變更。

  1. 使用全域管理員或安全性系統管理員帳戶登入 Azure 入口網站。 然後開啟 Azure Active Directory 服務。

  2. 選取 [外部身分識別],然後選取 [跨租用戶存取設定]。

  3. 瀏覽至您要修改的設定:

    • 若要修改預設輸出設定,請選取 [預設設定] 索引標籤,然後在 [輸出存取設定] 下,選取 [編輯輸出預設值]。

    • 若要修改特定組織的設定,請選取 [組織設定] 索引標籤,在清單中尋找組織 (或新增一個),然後選取 [輸出存取] 資料行中的連結。

  4. 選取 [B2B 共同作業] 索引標籤。

  5. (此步驟僅適用於組織設定。) 如果您是為組織進行設定,請選取下列其中一項:

    • 預設設定:組織將使用 [預設設定] 索引標籤上所設定的設定。如果已為此組織設定自訂設定,則必須選取 [是],以確認您要以預設設定取代所有設定。 然後選取 [儲存],並略過此程序中的其餘步驟。

    • 自訂設定:您可以為此組織自訂設定,其會針對此組織強制執行,而不使用預設設定。 繼續進行此程序中的其餘步驟。

  6. 選取 [使用者和群組]。

  7. 在 [存取狀態] 底下,選取下列其中一項:

    • 允許存取:允許在 [適用於] 底下指定的使用者和群組,使其可受邀加入外部組織以進行 B2B 共同作業。
    • 封鎖存取:封鎖在 [適用於] 底下指定的使用者和群組,使其無法受邀加入 B2B 共同作業。 如果您封鎖所有使用者和群組的存取權,這也會封鎖所有外部應用程式,使其無法透過 B2B 共同作業存取。

    針對 b2b 共同作業顯示使用者和群組存取狀態的螢幕擷取畫面。

  8. 在 [適用於] 底下,選取下列其中一項:

    • <您的組織> 的所有使用者:將您在 [存取狀態] 底下選擇的動作套用至所有使用者和群組。
    • 選取 <您的組織> 使用者和群組 (需要 Azure AD Premium 訂用帳戶):讓您將在 [存取狀態] 底下選擇的動作套用至特定使用者和群組。

    注意

    如果您封鎖所有使用者和群組的存取,則也需要封鎖對所有外部應用程式 (在 [應用程式] 索引標籤上) 的存取。

    顯示針對 b2b 共同作業選取目標使用者的螢幕擷取畫面。

  9. 如果您選擇 [選取 <您的組織> 使用者和群組],請針對您要新增的每個使用者或群組執行下列動作:

    • 選取 [新增 <您的組織> 使用者和群組]。
    • 在 [選取] 窗格中,於搜尋方塊中輸入使用者名稱或群組名稱。
    • 在搜尋結果中選取使用者或群組。
    • 完成選取要新增的使用者和群組之後,請選擇 [選取]。

    注意

    以使用者和群組為目標時,您將無法選取已設定 SMS 型驗證的使用者。 這是因為在其使用者物件上具有「同盟認證」的使用者遭到封鎖,以防止外部使用者新增至輸出存取設定。 作為因應措施,您可以使用 Microsoft 圖形 API,直接新增使用者的物件識別碼,或將使用者所屬的群組設為目標。

  10. 選取 [外部應用程式] 索引標籤。

  11. 在 [存取狀態] 底下,選取下列其中一項:

    • 允許存取:允許在 [適用於] 底下指定的外部應用程式由您的使用者透過 B2B 共同作業存取。
    • 封鎖存取:封鎖在 [適用於] 底下指定的外部應用程式,使其無法由您的使用者透過 B2B 共同作業存取。

    針對 b2b 共同作業顯示應用程式存取狀態的螢幕擷取畫面。

  12. 在 [適用於] 底下,選取下列其中一項:

    • 所有外部應用程式:將您在 [存取狀態] 底下選擇的動作套用至所有外部應用程式。
    • 選取外部應用程式:將您在 [存取狀態] 底下選擇的動作套用至所有外部應用程式。

    注意

    如果您封鎖對所有外部應用程式的存取,則也需要封鎖所有使用者和群組的存取 (在 [使用者和群組] 索引標籤上)。

    針對 b2b 共同作業顯示應用程式目標的螢幕擷取畫面。

  13. 如果您選擇 [選取外部應用程式],請針對您要新增的每個應用程式執行下列動作:

    • 選取 [新增 Microsoft 應用程式] 或 [新增其他應用程式]。
    • 在搜尋方塊中,輸入應用程式名稱或應用程式識別碼 ([用戶端應用程式識別碼] 或 [資源應用程式識別碼])。 然後在搜尋結果中選取應用程式。 針對您要新增的每個應用程式重複執行。
    • 完成選取應用程式時,請選擇 [選取]。

    顯示針對 b2b 共同作業選取應用程式的螢幕擷取畫面。

  14. 選取 [儲存]。

變更輸出信任設定

(本節僅適用于 組織設定 。)

  1. 選取 [信任設定] 索引標籤。

  2. 檢閱同意提示選項:

    • 當使用者存取其他租使用者中的應用程式和資源時,隱藏來自我的租使用者的同意提示:如果您想要自動兌換邀請,請選取此核取方塊,讓來自此租使用者的使用者在使用 B2B 共同作業新增至指定的租使用者時,不需要接受同意提示。 如果指定的租使用者也檢查此設定以取得輸入存取權,此設定只會隱藏同意提示。

    顯示輸出隱藏同意提示覆選框的螢幕擷取畫面。

  3. 選取 [儲存]。

移除組織

當您從 [組織] 設定中移除組織時,預設的跨租用戶存取設定將會針對該組織生效。

注意

如果該組織是貴組織的雲端服務提供者,(Microsoft Graph 合作夥伴特定設定中的 isServiceProvider 屬性為 true),您將無法移除組織。

  1. 使用全域管理員或安全性系統管理員帳戶登入 Azure 入口網站。 然後開啟 Azure Active Directory 服務。

  2. 選取 [外部身分識別],然後選取 [跨租用戶存取設定]。

  3. 選取 [組織設定] 索引標籤。

  4. 在清單中尋找組織,然後選取該資料列上的垃圾桶圖示。

後續步驟