透過輸入設定,您可以選取哪些外部使用者和群組能夠存取您選擇的內部應用程式。 無論是要設定預設設定或組織特定的設定,變更輸入跨租用戶存取設定的步驟都相同。 如本節所述,您會瀏覽至 [預設] 索引標籤,或 [組織設定] 索引標籤上的組織,然後進行變更。
至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶存取設定]。
瀏覽至您要修改的設定:
- 預設設定:若要修改預設的輸入設定,請選取 [預設設定] 索引標籤,然後在 [輸入存取設定] 下,選取 [編輯輸入預設值]。
- 組織設定:若要修改特定組織的設定,請選取 [組織設定] 索引標籤,在清單中尋找組織 (或新增一個),然後選取 [輸入存取] 資料行中的連結。
遵循您要變更的輸入設定的詳細步驟:
變更輸入 B2B 協同作業設定
至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶存取設定],然後選取 [組織設定]
選取 [輸入存取] 資料行和 [B2B 共同作業] 索引標籤中的連結。
如果您要為特定組織設定輸入存取設定,請選取一個選項:
選取 [外部使用者與群組]。
在 [存取狀態] 底下,選取下列其中一項:
- 允許存取:允許在 [適用於] 底下指定的使用者和群組受邀進行 B2B 共同作業。
- 封鎖存取:封鎖在 [適用於] 底下指定的使用者和群組,使其無法受邀加入 B2B 共同作業。
在 [適用於] 底下,選取下列其中一項:
- 所有外部使用者和群組:將您在 [存取狀態] 底下選擇的動作套用至來自外部 Microsoft Entra 組織的所有使用者和群組。
- 選取外部使用者和群組 (需要 Microsoft Entra ID P1 或 P2 訂用帳戶):讓您將在 [存取狀態] 底下選擇的動作套用至外部組織內的特定使用者和群組。
注意
如果您封鎖所有外部使用者和群組的存取,則也需要封鎖對所有內部應用程式 (在 [應用程式] 索引標籤上) 的存取。
如果您選擇 [選取外部使用者和群組],請針對您要新增的每個使用者或群組執行下列動作:
- 選取 [新增外部使用者和群組]。
- 在 [新增其他使用者和群組] 窗格的搜尋方塊中,輸入您從夥伴組織取得的使用者物件識別碼或群組物件識別碼。
- 在搜尋方塊旁的功能表中,選擇 [使用者] 或 [群組]。
- 選取 [新增]。
注意
在輸入預設設定中,您無法以使用者或群組為目標。
完成新增使用者和群組時,選取 [提交]。
選取 [應用程式] 索引標籤。
在 [存取狀態] 底下,選取下列其中一項:
- 允許存取:允許在 [適用於] 底下指定的應用程式由 B2B 共同作業使用者存取。
- 封鎖存取:封鎖在 [適用於] 底下指定的應用程式,使其無法由 B2B 共同作業使用者存取。
在 [適用於] 底下,選取下列其中一項:
- 所有應用程式:將您在 [存取狀態] 底下選擇的動作套用至所有應用程式。
- 選取應用程式 (需要 Microsoft Entra ID P1 或 P2 訂用帳戶):讓您可以將 [存取狀態] 底下選擇的動作套用到組織中的特定應用程式。
注意
如果您封鎖對所有應用程式的存取,則也需要封鎖所有外部使用者和群組的存取 (在 [外部使用者和群組] 索引標籤上)。
如果您選擇 [選取應用程式],請針對您要新增的每個應用程式執行下列動作:
- 選取 [新增 Microsoft 應用程式] 或 [新增其他應用程式]。
- 在 [選取] 窗格中,於搜尋方塊中輸入應用程式名稱或應用程式識別碼 ([用戶端應用程式識別碼] 或 [資源應用程式識別碼])。 然後在搜尋結果中選取應用程式。 針對您要新增的每個應用程式重複執行。
- 完成選取應用程式時,請選擇 [選取]。
選取 [儲存]。
將 Microsoft 管理入口網站應用程式新增至 B2B 共同作業
您無法直接將 Microsoft 管理入口網站應用程式新增至 Microsoft Entra 系統管理中心的輸入和輸出跨租用戶存取設定。 不過,您可以使用 Microsoft Graph API 個別新增底下所列的應用程式。
下列應用程式是 Microsoft 管理入口網站應用程式群組的一部分:
- Azure 入口網站 (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
- Microsoft Entra 系統管理中心 (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
- Microsoft 365 Defender 入口網站 (80ccca67-54bd-44ab-8625-4b79c4dc7775)
- Microsoft Intune 系統管理中心 (80ccca67-54bd-44ab-8625-4b79c4dc7775)
- Microsoft Purview 合規性入口網站 (80ccca67-54bd-44ab-8625-4b79c4dc7775)
若要自訂識別提供者的順序,而您的來賓使用者可在接受您的邀請時,使用這些識別提供者來登入,請遵循下列步驟。
至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。 然後開啟左側的 [身分識別] 服務。
選取 [外部身分識別]>[跨租用戶存取設定]。
在 [預設設定] 索引標籤的 [輸入存取設定] 底下,選取 [編輯輸入預設值]。
在 [B2B 共同作業] 索引標籤上,選取 [兌換順序] 索引標籤。
向上或向下移動識別提供者,以變更來賓使用者可在接受邀請時登入的順序。 您也可以在這裡將兌換順序重設為預設設定。
選取 [儲存]。
您也可以透過 Microsoft Graph API 自訂兌換順序。
開啟 Microsoft Graph 總管。
以至少安全性系統管理員身分登入您的資源租用戶。
執行下列查詢以取得目前的兌換順序:
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
- 在此範例中,我們會將 SAML/WS-Fed IdP 同盟移至兌換順序頂端,超過 Microsoft Entra 識別提供者。 使用此要求本文修補相同的 URI:
{
"invitationRedemptionIdentityProviderConfiguration":
{
"primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
"fallbackIdentityProvider": "defaultConfiguredIdp "
}
}
若要驗證變更,請再次執行 GET 查詢。
若要將兌換順序重設為預設設定,請執行下列查詢:
{
"invitationRedemptionIdentityProviderConfiguration": {
"primaryIdentityProviderPrecedenceOrder": [
"azureActiveDirectory",
"externalFederation",
"socialIdentityProviders"
],
"fallbackIdentityProvider": "defaultConfiguredIdp"
}
}
Microsoft Entra ID 已驗證網域的 SAML/WS-Fed 同盟 (直接同盟)
您現在可以新增已登錄的 Microsoft Entra ID 已驗證網域,以設定直接同盟關聯性。 首先,您必須在系統管理中心或透過 API 設定直接同盟設定。 請確定未在相同的租用戶中驗證網域。
一旦設定完成,您就可以自訂兌換順序。 SAML/WS-Fed IdP 會新增至兌換順序,作為最後一個項目。 您可以在兌換順序中將其向上移動,以將其設定在 Microsoft Entra 識別提供者上方。
防止您的 B2B 使用者透過 Microsoft 帳戶兌換邀請
若要防止 B2B 來賓使用者透過其現有的 Microsoft 帳戶兌換邀請,或建立新的帳戶來接受邀請,請遵循下列步驟。
至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。 然後開啟左側的 [身分識別] 服務。
選取 [外部身分識別]>[跨租用戶存取設定]。
在 [組織設定] 底下,選取 [輸入存取] 資料行和 [B2B 共同作業] 索引標籤中的連結。
選取 [兌換順序] 索引標籤。
在 [後援識別提供者] 底下,停用 Microsoft 服務帳戶 (MSA)。
選取 [儲存]。
您必須在任何指定時間至少啟用一個後援識別提供者。 如果您想要停用 Microsoft 帳戶,則必須啟用電子郵件一次性密碼。 您無法停用這兩個後援識別提供者。 任何以 Microsoft 帳戶登入的現有來賓使用者,都會在後續登入期間繼續使用該帳戶。您必須重設其兌換狀態,才能套用此設定。
變更 MFA 和裝置宣告的輸入信任設定
選取 [信任設定] 索引標籤。
(此步驟僅適用於組織設定。)如果您正在設定組織的設定,請選取下列其中一項:
選取下列一或多個選項:
信任來自 Microsoft Entra 租用戶的多重要素驗證:選取此核取方塊以允許您的條件式存取原則信任來自外部組織的 MFA 宣告。 驗證期間,Microsoft Entra 會檢查使用者的認證,以取得使用者已完成 MFA 的宣告。 如果不是,則會在使用者的主租用戶中起始 MFA 挑戰。
信任符合規範裝置:允許您的條件式存取原則在外部組織的使用者存取您的資源時,信任來自該外部組織的符合規範裝置宣告。
信任加入 Microsoft Entra 混合式的裝置:允許您的條件式存取原則在外部組織的使用者存取您的資源時,信任來自外部組織且加入 Microsoft Entra 混合式的裝置宣告。
(此步驟僅適用於組織設定。)檢閱 [自動兌換] 選項:
- 使用租用戶<tenant>自動兌換邀請:如果您要自動兌換邀請,請核取此設定。 若是如此,來自所指定租用戶的使用者將不必在第一次使用跨租用戶同步處理、B2B 共同作業或 B2B 直接連接來存取此租用戶時,接受同意提示。 如果指定的租用戶也會核取此設定以進行輸出存取,則此設定只會隱藏同意提示。
選取 [儲存]。
允許使用者同步至此租用戶
如果選取所新增組織的 [輸入存取],您會看到 [跨租用戶同步處理] 索引標籤和 [允許使用者同步至此租用戶] 核取方塊。 跨租用戶同步處理是 Microsoft Entra ID 中的單向同步服務,其會跨組織中的租用戶自動建立、更新和刪除 B2B 共同作業使用者。 如需詳細資訊,請參閱設定跨租用戶同步處理和多租用戶組織文件。
修改輸出存取設定
透過輸出設定時,您可以選取哪些使用者和群組能夠存取您選擇的外部應用程式。 無論是要設定預設設定或組織特定的設定,變更輸出跨租用戶存取設定的步驟都相同。 如本節所述,您會瀏覽至 [預設] 索引標籤,或 [組織設定] 索引標籤上的組織,然後進行變更。
至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶存取設定]。
瀏覽至您要修改的設定:
選取 [B2B 共同作業] 索引標籤。
(此步驟僅適用於組織設定。)如果您正要設定組織的設定,請選取一個選項:
選取 使用者及群組。
在 [存取狀態] 底下,選取下列其中一項:
- 允許存取:允許在 [適用於] 底下指定的使用者和群組,使其可受邀加入外部組織以進行 B2B 共同作業。
- 封鎖存取:封鎖在 [適用於] 底下指定的使用者和群組,使其無法受邀加入 B2B 共同作業。 如果您封鎖所有使用者和群組的存取權,這也會封鎖所有外部應用程式,使其無法透過 B2B 共同作業存取。
在 [適用於] 底下,選取下列其中一項:
- <您的組織> 的所有使用者:將您在 [存取狀態] 底下選擇的動作套用至所有使用者和群組。
- 選取<您的組織>使用者和群組 (需要 Microsoft Entra ID P1 或 P2 訂用帳戶):讓您將 [存取狀態] 底下所選擇的動作套用至特定使用者和群組。
注意
如果您封鎖所有使用者和群組的存取,則也需要封鎖對所有外部應用程式 (在 [應用程式] 索引標籤上) 的存取。
如果您選擇 [選取 <您的組織> 使用者和群組],請針對您要新增的每個使用者或群組執行下列動作:
- 選取 [新增 <您的組織> 使用者和群組]。
- 在 [選取] 窗格中,於搜尋方塊中輸入使用者名稱或群組名稱。
- 在搜尋結果中選取使用者或群組。
- 完成選取要新增的使用者和群組之後,請選擇 [選取]。
注意
以使用者和群組為目標時,您將無法選取已設定 SMS 型驗證的使用者。 這是因為在其使用者物件上具有「同盟認證」的使用者遭到封鎖,以防止外部使用者新增至輸出存取設定。 作為因應措施,您可以使用 Microsoft 圖形 API,直接新增使用者的物件識別碼,或將使用者所屬的群組設為目標。
選取 [外部應用程式] 索引標籤。
在 [存取狀態] 底下,選取下列其中一項:
- 允許存取:允許在 [適用於] 底下指定的外部應用程式由您的使用者透過 B2B 共同作業存取。
- 封鎖存取:封鎖在 [適用於] 底下指定的外部應用程式,使其無法由您的使用者透過 B2B 共同作業存取。
在 [適用於] 底下,選取下列其中一項:
- 所有外部應用程式:將您在 [存取狀態] 底下選擇的動作套用至所有外部應用程式。
- 選取外部應用程式:將您在 [存取狀態] 底下選擇的動作套用至所有外部應用程式。
注意
如果您封鎖對所有外部應用程式的存取,則也需要封鎖所有使用者和群組的存取 (在 [使用者和群組] 索引標籤上)。
如果您選擇 [選取外部應用程式],請針對您要新增的每個應用程式執行下列動作:
- 選取 [新增 Microsoft 應用程式] 或 [新增其他應用程式]。
- 在搜尋方塊中,輸入應用程式名稱或應用程式識別碼 ([用戶端應用程式識別碼] 或 [資源應用程式識別碼])。 然後在搜尋結果中選取應用程式。 針對您要新增的每個應用程式重複執行。
- 完成選取應用程式時,請選擇 [選取]。
選取 [儲存]。
變更輸出信任設定
(本節僅適用於組織設定。)