設定 B2B 共同作業的跨租使用者存取設定

• 在設定跨租使用者存取設定之前，請先檢閱跨租使用者存取概觀中的重要考慮一節。
• 使用工具並遵循識別輸入和輸出登入中的建議，以瞭解目前存取哪些外部 Microsoft Entra 組織和資源。
• 決定您想要套用至所有外部 Microsoft Entra 組織的預設存取層級。
• 識別任何需要自定義設定的 Microsoft Entra 組織，以便您可以為其設定 組織設定 。
• 如果您想要將存取設定套用至外部組織中的特定使用者、群組或應用程式，您必須連絡組織以取得設定之前的資訊。 取得其使用者物件識別碼、群組物件標識碼或應用程式識別碼（用戶端應用程式識別碼或資源應用程式識別元），以便正確鎖定您的設定。
• 如果您想要在外部 Microsoft Azure 雲端中設定與合作夥伴組織進行 B2B 共同作業，請遵循設定 Microsoft 雲端設定中的步驟。 合作夥伴組織中的系統管理員必須為您的租用戶執行相同的動作。
• 邀請時會檢查允許/封鎖清單和跨租使用者存取設定。 如果使用者的網域位於allowlist上，除非跨租使用者存取設定中明確封鎖網域，否則可以邀請他們。 如果使用者的網域位於封鎖清單中，則不論跨租使用者存取設定為何，都無法邀請他們。 如果使用者不在任一清單中，我們會檢查跨租使用者存取設定，以判斷是否可以受邀。

默認跨租使用者存取設定會套用至您尚未建立組織特定自定義設定的所有外部租使用者。 如果您想要修改 Microsoft Entra ID 提供的預設設定，請遵循下列步驟。

1. 以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [身分>識別外部身分>識別跨租使用者存取設定]，然後選取 [跨租使用者存取設定]。

3. 選取 [ 預設設定] 索引標籤並檢閱摘要頁面。

   

4. 若要變更設定，請選取 [ 編輯輸入預設值 ] 連結或 [ 編輯輸出預設值 ] 連結。

   

5. 依照下列各節的詳細步驟修改預設設定：

   • 修改輸入存取設定
   • 修改輸出存取設定

請遵循下列步驟來設定特定組織的自定義設定。

1. 以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [身分>識別外部身分>識別跨租使用者存取設定]，然後選取 [組織設定]。

3. 選取 [新增組織]。

4. 在 [新增組織] 窗格中，輸入組織的完整網域名稱 (或租用戶識別碼)。

   

5. 在搜尋結果中選取組織，然後選取 [ 新增]。

6. 組織會出現在 [ 組織設定 ] 清單中。 此時，此組織的所有存取設定都會繼承自您的預設設定。 若要變更此組織的設定，請選取 [輸入存取] 或 [輸出存取] 資料行底下的 [繼承自默認連結]。

   

7. 依照下列各節中的詳細步驟修改組織的設定：

   • 修改輸入存取設定
   • 修改輸出存取設定

使用輸入設定，您可以選取哪些外部使用者和群組能夠存取您選擇的內部應用程式。 無論您是設定預設設定或組織特定的設定，變更輸入跨租使用者存取設定的步驟都相同。 如本節所述，您會流覽至 [組織設定] 索引標籤上的 [預設] 索引卷標或組織，然後進行變更。

1. 以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [身分>識別外部身分>識別跨租使用者存取設定]。

3. 瀏覽至您要修改的設定：

   • 默認設定：若要修改預設輸入設定，請選取 [預設設定] 索引標籤，然後在 [輸入存取設定] 底下，選取 [編輯輸入預設值]。
   • 組織設定：若要修改特定組織的設定，請選取 [組織設定] 索引標籤，在清單中尋找組織（或新增一個），然後選取 [輸入存取] 數據行中的連結。

4. 請遵循您要變更之輸入設定的詳細步驟：

   • 變更輸入 B2B 共同作業設定
   • 變更接受 MFA 和裝置宣告的輸入信任設定

變更輸入 B2B 共同作業設定

1. 以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [身分>識別外部身分>識別跨租使用者存取設定]，然後選取 [組織設定]

3. 選取 [ 輸入存取] 資料行和 [B2B 共同作業 ] 索引標籤中的連結。

4. 如果您要為特定組織設定輸入存取設定，請選取選項：

   • 默認設定：如果您想要組織使用預設輸入設定（如 [預設設定] 索引標籤上設定，請選取此選項。 如果已為此組織設定自定義的設定，您必須選取 [是 ] 以確認所有設定都由預設設定取代。 然後選取 [ 儲存]，並略過此程式中其餘的步驟。

   • 自訂設定：如果您想要自定義要針對此組織強制執行的設定，而不是預設設定，請選取此選項。 繼續進行此程式中其餘的步驟。

5. 選取 [外部使用者與群組]。

6. 在 [存取狀態] 底下，選取下列其中一項：

   • 允許存取：允許 [套用] 底下指定的使用者和群組受邀進行 B2B 共同作業。
   • 封鎖存取：封鎖 [套用至] 底下指定的使用者和群組，防止受邀加入 B2B 共同作業。

   

7. 在 [套用至] 底下，選取下列其中一項：

   • 所有外部使用者和群組：將您在 [存取狀態] 底下選擇的動作套用至來自外部 Microsoft Entra 組織的所有使用者和群組。
   • 選取外部使用者和群組（需要 Microsoft Entra ID P1 或 P2 訂用帳戶）：可讓您將您在外部組織內特定使用者和群組的 [存取狀態] 底下選擇的動作套用。

   注意

   如果您封鎖所有外部使用者和群組的存取，您也需要封鎖所有內部應用程式的存取權（在 [應用程式 ] 索引標籤上）。

   

8. 如果您選擇 [ 選取外部使用者和群組]，請針對您要新增的每個使用者或群組執行下列動作：

   • 選取 [ 新增外部使用者和群組]。
   • 在 [ 新增其他使用者和群組 ] 窗格中的搜尋方塊中，輸入您從合作夥伴組織取得的使用者物件標識碼或群組物件標識符。
   • 在搜尋方塊旁邊的功能表中，選擇 使用者 或 群組。
   • 選取 [新增]。

   注意

   您無法以輸入預設設定中的使用者或群組為目標。

   

9. 當您完成新增使用者和群組時，請選取 [ 提交]。

   

10. 選取 [ 應用程式] 索引 標籤。

11. 在 [存取狀態] 底下，選取下列其中一項：

    • 允許存取：允許 B2B 共同作業使用者存取 [套用] 底下指定的應用程式。
    • 封鎖存取：封鎖 [套用至] 下指定的應用程式，防止 B2B 共同作業使用者存取。

    

12. 在 [套用至] 底下，選取下列其中一項：

    • 所有應用程式：將您在 [存取狀態] 底下選擇的動作套用至所有應用程式。
    • 選取應用程式（需要 Microsoft Entra ID P1 或 P2 訂用帳戶）：可讓您在 [存取狀態] 底下套用您在組織中特定應用程式的 [存取狀態] 下選擇的動作。

    注意

    如果您封鎖所有應用程式的存取，您也必須封鎖所有外部使用者和群組的存取權（在 [外部使用者和群組 ] 索引標籤上）。

    

13. 如果您選擇 [ 選取應用程式]，請針對您想要新增的每個應用程式執行下列動作：

    • 選取 [新增 Microsoft 應用程式 ] 或 [新增其他應用程式]。
    • 在 [ 選取 ] 窗格中，於搜尋方塊中輸入應用程式名稱或應用程式識別碼（ 用戶端應用程式 標識碼或 資源應用程式標識符）。 然後在搜尋結果中選取應用程式。 針對您想要新增的每個應用程式重複。
    • 當您完成選取應用程式時，請選擇 [ 選取]。

    

14. 選取 [儲存]。

將 Microsoft 管理員 入口網站應用程式新增至 B2B 共同作業

您無法直接將 Microsoft 管理員 入口網站應用程式新增至 Microsoft Entra 系統管理中心的輸入和輸出跨租使用者存取設定。 不過，您可以使用 Microsoft Graph API 個別新增下列應用程式。

下列應用程式是 Microsoft 管理員 入口網站應用程式群組的一部分：

• Azure 入口網站 （c44b4083-3bb0-49c1-b47d-974e53cbdf3c）
• Microsoft Entra 管理員 Center （c44b4083-3bb0-49c1-b47d-974e53cbdf3c）
• Microsoft 365 Defender 入口網站 （80ccca67-54bd-44ab-8625-4b79c4dc7775）
• Microsoft Intune 管理員 中心 （80ccca67-54bd-44ab-8625-4b79c4dc7775）
• Microsoft Purview 合規性入口網站 （80ccca67-54bd-44ab-8625-4b79c4dc7775）

設定兌換訂單

若要自定義來賓使用者可以在接受邀請時用來登入的識別提供者順序，請遵循下列步驟。

1. 使用 Global 管理員 istrator 或 Security 管理員 istrator 帳戶登入 Microsoft Entra 系統管理中心。 然後開啟左側的 身分 識別服務。

2. 選取 [外部身分>識別跨租使用者存取設定]。

3. 在 [組織設定] 下，選取 [輸入存取] 數據行和 [B2B 共同作業] 索引卷標中的連結。

4. 選取 [ 兌換訂單] 索引標籤 。

5. 向上或向下移動身分識別提供者，以變更來賓使用者可以在接受邀請時登入的順序。 您也可以在這裡將兌換順序重設為預設設定。

   

6. 選取 [儲存]。

您也可以透過 Microsoft Graph API 自定義兌換訂單。

1. 開啟 Microsoft Graph 總管。

2. 使用全域 管理員 istrator 或 Security 管理員 istrator 帳戶登入您的資源租使用者。

3. 執行下列查詢以取得目前的兌換訂單：

GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default

4. 在此範例中，我們會將 SAML/WS-Fed IdP 同盟移至 Microsoft Entra 識別提供者上方的兌換順序頂端。 使用此要求本文修補相同的 URI：

{
  "invitationRedemptionIdentityProviderConfiguration":
  {
  "primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
  "fallbackIdentityProvider": "defaultConfiguredIdp "
  }
}

5. 若要確認變更再次執行 GET 查詢。

6. 若要將兌換順序重設為預設設定，請執行下列查詢：

    {
    "invitationRedemptionIdentityProviderConfiguration": {
    "primaryIdentityProviderPrecedenceOrder": [
    "azureActiveDirectory",
    "externalFederation",
    "socialIdentityProviders"
    ],
    "fallbackIdentityProvider": "defaultConfiguredIdp"
    }
    }

Microsoft Entra ID 已驗證網域的 SAML/WS-Fed 同盟 （直接同盟）

您現在可以新增已登記的 Microsoft Entra ID 已驗證網域，以設定直接同盟關聯性。 首先，您必須在系統管理中心或透過 API 設定直接同盟設定。 請確定網域未在相同的租用戶中驗證。 設定完成後，您可以自定義兌換訂單。 SAML/WS-Fed IdP 會新增至兌換訂單作為最後一個專案。 您可以在兌換順序中將其向上移動，以將它設定在 Microsoft Entra 識別提供者上方。

防止 B2B 使用者使用 Microsoft 帳戶兌換邀請

若要防止 B2B 來賓使用者使用現有的 Microsoft 帳戶兌換邀請，或建立新的邀請以接受邀請，請遵循下列步驟。

1. 使用 Global 管理員 istrator 或 Security 管理員 istrator 帳戶登入 Microsoft Entra 系統管理中心。 然後開啟左側的 身分 識別服務。

2. 選取 [外部身分>識別跨租使用者存取設定]。

3. 在 [組織設定] 下，選取 [輸入存取] 數據行和 [B2B 共同作業] 索引卷標中的連結。

4. 選取 [ 兌換訂單] 索引標籤 。

5. 在 [後援識別提供者] 下，停用 Microsoft 服務帳戶 （MSA）。

   

6. 選取 [儲存]。

您必須在任何指定時間至少啟用一個後援識別提供者。 如果您想要停用 Microsoft 帳戶，則必須啟用電子郵件一次性密碼。 您無法停用這兩個後援識別提供者。 使用 Microsoft 帳戶登入的任何現有來賓使用者，會在後續登入期間繼續使用。您必須 重設其兌換狀態 ，才能套用此設定。

變更 MFA 和裝置宣告的輸入信任設定

1. 選取 [信任設定] 索引標籤。

2. （此步驟適用於 只限組織設定 。）如果您要設定組織的設定，請選取下列其中一項：

   • 默認設定：組織會使用 [預設設定] 索引標籤上設定的設定。如果已為此組織設定自定義設定，請選取 [是] 以確認您想要將所有設定取代為預設設定。 然後選取 [ 儲存]，並略過此程式中其餘的步驟。

   • 自訂設定：您可以自定義設定來強制執行此組織的設定，而不是預設設定。 繼續進行此程式中其餘的步驟。

3. 選取下列一或多個選項：

   • 信任來自 Microsoft Entra 租使用者的多重要素驗證：選取此複選框可讓您的條件式存取原則信任來自外部組織的 MFA 宣告。 在驗證期間，Microsoft Entra ID 會檢查用戶的認證，以取得使用者已完成 MFA 的宣告。 如果沒有，則會在使用者的主租使用者中起始 MFA 挑戰。

   • 信任相容的裝置：允許條件式存取原則在其使用者存取您的資源時信任 來自外部組織的相容裝置宣告 。

   • 信任 Microsoft Entra 混合式已加入裝置：在您的使用者存取您的資源時，允許條件式存取原則信任來自外部組織的 Microsoft Entra 混合式已加入裝置宣告。

   

4. （此步驟適用於 只限組織設定 。）檢閱自動 兌換 選項：

   • 使用租<>用戶自動兌換邀請：如果您想要自動兌換邀請，請檢查此設定。 若是如此，來自指定租用戶的使用者就不需要在第一次使用跨租使用者同步處理、B2B 共同作業或 B2B 直接連線存取此租使用者時，接受同意提示。 如果指定的租使用者也檢查此設定是否有輸出存取，此設定只會抑制同意提示。

   

5. 選取 [儲存]。

允許使用者同步處理至此租使用者

如果您選取已新增組織的 [ 輸入存取 ]，您會看到 [ 跨租使用者同步 處理] 索引標籤和 [ 允許使用者同步至此租使用者 ] 複選框。 跨租使用者同步處理是 Microsoft Entra 識別碼中的單向同步處理服務，可自動化跨組織中的租使用者建立、更新和刪除 B2B 共同作業使用者。 如需詳細資訊，請參閱 設定跨租使用者同步 處理和 多租用戶組織檔。

修改輸出存取設定

透過輸出設定，您可以選取哪些使用者和群組能夠存取您選擇的外部應用程式。 無論您是設定預設設定或組織特定的設定，變更輸出跨租使用者存取設定的步驟都相同。 如本節所述，您會流覽至 [組織設定] 索引標籤上的 [預設] 索引卷標或組織，然後進行變更。

1. 以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [身分>識別外部身分>識別跨租使用者存取設定]。

3. 瀏覽至您要修改的設定：

   • 若要修改預設輸出設定，請選取 [預設設定] 索引標籤，然後在 [輸出存取設定] 底下，選取 [編輯輸出預設值]。

   • 若要修改特定組織的設定，請選取 [組織設定] 索引卷標，在清單中尋找組織（或新增一個），然後選取 [輸出存取] 資料行中的連結。

4. 選取 [B2B 共同作業] 索引標籤。

5. （此步驟適用於 只限組織設定 。）如果您要設定組織的設定，請選取選項：

   • 默認設定：組織會使用 [預設設定] 索引標籤上設定的設定。如果已為此組織設定自定義的設定，您必須選取 [是] 以確認所有設定都由預設設定取代。 然後選取 [ 儲存]，並略過此程式中其餘的步驟。

   • 自訂設定：您可以自定義設定來強制執行此組織的設定，而不是預設設定。 繼續進行此程式中其餘的步驟。

6. 選取 使用者及群組。

7. 在 [存取狀態] 底下，選取下列其中一項：

   • 允許存取：允許在 [適用於] 底下指定的使用者和群組受邀到外部組織進行 B2B 共同作業。
   • 封鎖存取：封鎖您在 [套用至] 底下指定的使用者和群組，而無法被邀請加入 B2B 共同作業。 如果您封鎖所有使用者和群組的存取，這也會封鎖所有外部應用程式透過 B2B 共同作業存取。

   

8. 在 [套用至] 底下，選取下列其中一項：

   • 所有<組織>使用者：將您在 [存取狀態] 底下選擇的動作套用至所有使用者和群組。
   • 選取 <您的組織> 使用者和群組 （需要 Microsoft Entra ID P1 或 P2 訂用帳戶）：可讓您將您選擇的動作套用至特定使用者和群組的 [存取狀態 ]。

   注意

   如果您封鎖所有使用者和群組的存取，您也需要封鎖所有外部應用程式的存取權（在 [ 外部應用程式 ] 索引標籤上）。

   

9. 如果您選擇 [選取您的組織>使用者和群組]，請針對您要新增的每個使用者或群組<執行下列動作：

   • 選取 [新增您的組織>使用者和群組<]。
   • 在 [ 選取 ] 窗格中，於搜尋方塊中輸入使用者名稱或組名。
   • 選取搜尋結果中的使用者或群組。
   • 當您完成選取您要新增的使用者和群組時，請選擇 [ 選取]。

   注意

   以使用者和群組為目標時，您將無法選取已設定 SMS型驗證的使用者。 這是因為在其用戶物件上有「同盟認證」的使用者遭到封鎖，以防止外部使用者新增至輸出存取設定。 因應措施是，您可以使用 Microsoft Graph API 直接新增使用者的物件識別碼，或將使用者所屬的群組設為目標。

10. 選取 [ 外部應用程式] 索引 標籤。

11. 在 [存取狀態] 底下，選取下列其中一項：

    • 允許存取：允許使用者透過 B2B 共同作業存取 [套用] 底下指定的外部應用程式。
    • 封鎖存取：封鎖使用者透過 B2B 共同作業存取 [套用至] 下指定的外部應用程式。

    

12. 在 [套用至] 底下，選取下列其中一項：

    • 所有外部應用程式：將您在 [存取狀態] 底下選擇的動作套用至所有外部應用程式。
    • 選取外部應用程式：將您在 [存取狀態] 底下的動作套用至所有外部應用程式。

    注意

    如果您封鎖存取所有外部應用程式，您也必須封鎖所有使用者和群組的存取權（在 [使用者和群組 ] 索引標籤上）。

    

13. 如果您選擇 [ 選取外部應用程式]，請針對您想要新增的每個應用程式執行下列動作：

    • 選取 [新增 Microsoft 應用程式 ] 或 [新增其他應用程式]。
    • 在搜尋方塊中，輸入應用程式名稱或應用程式識別碼（ 用戶端應用程式標識碼 或 資源應用程式識別元）。 然後在搜尋結果中選取應用程式。 針對您想要新增的每個應用程式重複。
    • 當您完成選取應用程式時，請選擇 [ 選取]。

    

14. 選取 [儲存]。

變更輸出信任設定

（本節適用於 只限組織設定 。）

1. 選取 [信任設定] 索引標籤。

2. 檢閱自動 兌換 選項：

   • 使用租<>用戶自動兌換邀請：如果您想要自動兌換邀請，請檢查此設定。 如果是，來自此租用戶的使用者不需要在第一次使用跨租使用者同步處理、B2B 共同作業或 B2B 直接連線存取指定的租使用者時，接受同意提示。 如果指定的租使用者也檢查此設定是否有輸入存取，此設定只會抑制同意提示。

     

3. 選取 [儲存]。

當您從組織設定中移除組織時，預設的跨租使用者存取設定會生效給該組織。

1. 以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [身分>識別外部身分>識別跨租使用者存取設定]。

3. 選取 [組織設定] 索引標籤。

4. 在清單中尋找組織，然後選取該數據列上的垃圾桶圖示。