針對 B2B 直接連接設定跨租用戶存取設定

使用跨租用戶存取設定來管理與其他 Azure AD 組織透過 B2B 直接連接共同作業的方式。 這些設定可讓您判斷使用者對外部組織所具備的輸出存取層級。 也可讓您控制外部 Azure AD 組織中使用者對內部資源的輸入存取層級。

  • 預設設定:預設的跨租用戶存取設定會套用至所有 Azure AD 組織,但您已進行個別設定的組織則為例外。 您可以變更這些預設設定。 針對 B2B 直接連接,您通常會依原樣保留預設設定,並使用組織特定的設定啟用 B2B 直接連接存取。 一開始,您的預設值如下所示:

    • B2B 直接連接初始預設設定 - 預設會封鎖整個租用戶者的輸出 B2B 直接連接,並封鎖所有外部 Azure AD 組織的輸入 B2B 直接連接。
    • 組織設定 - 依預設,不會將任何組織新增到您的組織設定。
  • 組織特定設定:您可以新增組織並修改該組織的輸入和輸出設定來設定組織特定的設定。 組織設定的優先順序高於預設設定。

深入了解如何使用跨租用戶存取設定來管理 B2B 直接連接

開始之前

  • 在設定跨租用戶存取設定之前,請先檢閱跨租用戶存取概觀中的重要考量一節。
  • 決定您要套用至所有外部 Azure AD 組織的預設存取層級。
  • 識別需要自訂設定的 Azure AD 組織。
  • 請連絡您想要設定 B2B 直接連接的組織。 由於 B2B 直接連接是透過相互信任建立的,因此您和對方組織都必須在跨租用戶存取設定中啟用 B2B 直接連接。
  • 從外部組織取得任何必要資訊。 如果您想要將存取設定套用至外部組織內的特定使用者、群組或應用程式,則必須先從組織取得這些識別碼,才能設定存取設定。
  • 若要在 Azure 入口網站中設定跨租用戶存取設定,您需要具有全域系統管理員或安全性系統管理員角色的帳戶。 來系統管理員可以讀取跨租用戶存取設定,但無法更新這些設定。

設定預設設定

預設的跨租用戶存取設定適用於您尚未建立組織特定自訂設定的所有外部租用戶。 如果您想要修改 Azure AD 提供的預設設定,請遵循下列步驟。

  1. 使用全域管理員或安全性系統管理員帳戶登入 Azure 入口網站。 然後開啟 Azure Active Directory 服務。

  2. 選取 [外部身分識別],然後選取 [跨租用戶存取設定]。

  3. 選取 [預設設定] 索引標籤,然後檢閱摘要頁面。

    顯示跨租用戶存取設定的 [預設設定] 索引標籤的螢幕擷取畫面

  4. 若要變更設定,請選取 [編輯輸入預設值] 連結或 [編輯輸出預設值] 連結。

    顯示 [預設設定] 編輯按鈕的螢幕擷取畫面

  5. 遵循下列各節中的詳細步驟來修改預設設定:

新增組織

遵循下列步驟來設定特定組織的自訂設定。

  1. 使用全域管理員或安全性系統管理員帳戶登入 Azure 入口網站。 然後開啟 Azure Active Directory 服務。

  2. 選取 [外部身分識別],然後選取 [跨租用戶存取設定]。

  3. 選取 [組織設定]。

  4. 選取 [新增組織]。

  5. 在 [新增組織] 窗格中,輸入組織的完整網域名稱 (或租用戶識別碼)。

    顯示新增組織的螢幕擷取畫面

  6. 在搜尋結果中選取組織,然後選取 [新增]。

  7. 組織會出現在 [組織設定] 清單中。 至此,此組織的所有存取設定都是繼承自您的預設設定。 若要變更此組織的設定,請選取 [輸入存取] 或 [輸出存取] 資料行底下的 [繼承自預設] 連結。

    顯示已新增預設設定的組織的螢幕擷取畫面

  8. 遵循下列各節中的詳細步驟來修改組織的設定:

修改輸入存取設定

使用輸入設定時,您會選取哪些外部使用者和群組將可以存取您選擇的內部應用程式。 無論是要設定預設設定或組織特定的設定,變更輸入跨租用戶存取設定的步驟都相同。 如本節所述,您將瀏覽至 [組織設定] 索引標籤上的 [預設] 索引標籤或組織,然後進行變更。

  1. 使用全域管理員或安全性系統管理員帳戶登入 Azure 入口網站。 然後開啟 Azure Active Directory 服務。

  2. 選取 [外部身分識別],然後選取 [跨租用戶存取設定]。

  3. 瀏覽至您要修改的設定:

    • 若要修改預設的輸入設定,請選取 [預設設定] 索引標籤,然後在 [輸入存取設定] 下,選取 [編輯輸入預設值]。
    • 若要修改特定組織的設定,請選取 [組織設定] 索引標籤,在清單中尋找組織 (或新增一個),然後選取 [輸入存取] 資料行中的連結。
  4. 遵循您要變更的設定詳細步驟:

變更輸入 B2B 直接連接設定

  1. 選取 [B2B 直接連接] 索引標籤

  2. 如果您正在設定組織的設定,請選取下列其中一個選項:

    • 預設設定:組織將使用 [預設設定] 索引標籤上所設定的設定。如果已為此組織設定自訂設定,則必須選取 [是],以確認您要以預設設定取代所有設定。 然後選取 [儲存],並略過此程序中的其餘步驟。

    • 自訂設定:您可以為此組織自訂設定,其會針對此組織強制執行,而不使用預設設定。 繼續進行此程序中的其餘步驟。

  3. 選取 [外部使用者和群組]。

  4. 在 [存取狀態] 底下,選取下列其中一個選項:

    • 允許存取:允許 [套用] 底下指定的使用者和群組存取 B2B 直接連接。
    • 封鎖存取:封鎖 [套用至] 底下指定的使用者和群組,以存取 B2B 直接連接。 封鎖所有外部使用者和群組的存取,也會封鎖所有內部應用程式透過 B2B 直接連接共用。

    針對 b2b 直接連接使用者顯示輸入存取狀態的螢幕擷取畫面

  5. 在 [適用於] 底下,選取下列其中一項:

    • 所有外部使用者和群組:將您在 [存取狀態] 底下所選擇的動作套用至來自外部 Azure AD 組織的所有使用者和群組。
    • 選取外部使用者和群組:將您在 [存取狀態] 下選擇的動作套用至外部組織內的特定使用者和群組。 您設定的租用戶上需要 Azure AD Premium P1 授權。

    顯示針對 b2b 直接連接選取目標使用者的螢幕擷取畫面。

  6. 如果您選擇 [選取外部使用者和群組],請針對您要新增的每個使用者或群組執行下列動作:

    • 選取 [新增外部使用者和群組]。
    • 在 [新增其他使用者和群組] 窗格中,在搜尋方塊輸入使用者物件識別碼或群組物件識別碼。
    • 在搜尋方塊旁的功能表中,選擇 [使用者] 或 [群組]。
    • 選取 [新增]。

    顯示針對輸入 b2b 直接連接新增外部使用者的螢幕擷取畫面。

  7. 完成新增使用者和群組時,選取 [提交]。

  8. 選取 [應用程式] 索引標籤。

  9. 在 [存取狀態] 底下,選取下列其中一項:

    • 允許存取:允許在 [套用至] 底下指定的應用程式由 B2B 直接連接使用者存取。
    • 封鎖存取:封鎖在 [套用至] 底下指定的應用程式,使其無法由 B2B 直接連接使用者存取。

    針對 b2b 直接連接顯示輸入應用程式存取狀態的螢幕擷取畫面

  10. 在 [適用於] 底下,選取下列其中一項:

    • 所有應用程式:將您在 [存取狀態] 底下選擇的動作套用至所有應用程式。
    • 選取應用程式 (需要 Azure AD Premium 訂用帳戶):讓您將在 [存取狀態] 底下選擇的動作套用到組織中的特定應用程式。

    針對輸入存取顯示應用程式目標的螢幕擷取畫面

  11. 如果您選擇 [選取應用程式],請針對您要新增的每個應用程式執行下列動作:

    • 選取新增 Microsoft 應用程式
    • 在應用程式窗格中,在搜尋方塊中輸入應用程式名稱,然後在搜尋結果中選取應用程式。
    • 完成選取應用程式時,請選擇 [選取]。

    顯示針對輸入 b2b 直接連接新增應用程式的螢幕擷取畫面

  12. 選取 [儲存]。

變更 MFA 和裝置狀態的輸入信任設定

  1. 選取 [信任設定] 索引標籤。

  2. 如果您正在設定組織的設定,請選取下列其中一個選項:

    • 預設設定:組織將使用 [預設設定] 索引標籤上所設定的設定。如果已為此組織設定自訂設定,則必須選取 [是],以確認您要以預設設定取代所有設定。 然後選取 [儲存],並略過此程序中的其餘步驟。

    • 自訂設定:您可以為此組織自訂設定,其會針對此組織強制執行,而不使用預設設定。 繼續進行此程序中的其餘步驟。

  3. 選取下列一或多個選項:

    • 信任來自 Azure AD 租用戶的多重要素驗證:如果您的條件式存取原則需要多重要素驗證 (MFA),請選取此核取方塊。 此設定可讓您的條件式存取原則信任來自外部組織的 MFA 宣告。 在驗證期間,Azure AD 會檢查使用者的認證,以取得使用者已完成 MFA 的宣告。 如果沒有,就會在使用者的主租用戶中起始 MFA 挑戰。

    • 信任相容裝置:允許您的條件式存取原則在來自外部組織的使用者存取您的資源時,信任相容裝置的宣告。

    • 信任混合式 Azure AD Join 裝置:允許您的條件式存取原則在來自外部組織的使用者存取您的資源時,信任混合式 Azure AD Join 裝置的宣告。

    顯示輸入信任設定的螢幕擷取畫面。

  4. (此步驟僅適用于 組織設定 。) 檢閱同意提示選項:

    • 當使用者存取租使用者中的應用程式和資源時,隱藏來自其他租使用者的同意提示:如果您想要自動兌換邀請,請選取此核取方塊,讓來自指定租使用者的使用者在使用 B2B 直接連線存取此租使用者中的資源時,不需要接受同意提示。 如果指定的租使用者也檢查此設定以取得輸出存取權,此設定只會隱藏同意提示。

    顯示輸入隱藏同意提示覆選框的螢幕擷取畫面。

  5. 選取 [儲存]。

注意

設定組織的設定時,您會注意到 [跨租使用者同步處理] ([預覽) ] 索引 標籤。此索引標籤不適用於 B2B 直接連線設定。 相反地,多租使用者組織會使用這項功能來啟用其租使用者之間的 B2B 共同作業。 如需詳細資訊,請參閱 多租使用者組織檔

修改輸出存取設定

使用輸出設定時,您會選取哪些使用者和群組將可以存取您選擇的外部應用程式。 無論您是要設定預設或組織特定設定,修改輸出跨租用戶存取設定的詳細步驟都相同。 如本節所述,瀏覽至 [組織設定] 索引標籤上的 [預設] 索引標籤或組織,然後進行變更。

  1. 使用全域管理員或安全性系統管理員帳戶登入 Azure 入口網站。 然後開啟 Azure Active Directory 服務。

  2. 選取 [外部身分識別]>[跨租用戶存取設定]。

  3. 瀏覽至您要修改的設定:

    • 若要修改預設輸出設定,請選取 [預設設定] 索引標籤,然後在 [輸出存取設定] 下,選取 [編輯輸出預設值]。

    • 若要修改特定組織的設定,請選取 [組織設定] 索引標籤,在清單中尋找組織 (或新增一個),然後選取 [輸出存取] 資料行中的連結。

變更輸出存取設定

  1. 選取 [B2B 直接連接] 索引標籤。

  2. 如果您正在設定組織的設定,請選取下列其中一個選項:

    • 預設設定:組織將使用 [預設設定] 索引標籤上所設定的設定。如果已為此組織設定自訂設定,則必須選取 [是],以確認您要以預設設定取代所有設定。 然後選取 [儲存],並略過此程序中的其餘步驟。

    • 自訂設定:您可以為此組織自訂設定,其會針對此組織強制執行,而不使用預設設定。 繼續進行此程序中的其餘步驟。

  3. 選取 [使用者和群組]。

  4. 在 [存取狀態] 底下,選取下列其中一項:

    • 允許存取:允許 [套用至] 底下指定的使用者和群組存取 B2B 直接連接。
    • 封鎖存取:封鎖 [套用至] 底下指定的使用者和群組,以存取 B2B 直接連接。 封鎖所有使用者和群組的存取,也會封鎖所有外部應用程式透過 B2B 直接連接共用。

    針對輸出 b2b 直接連接顯示使用者和群組存取狀態的螢幕擷取畫面

  5. 在 [適用於] 底下,選取下列其中一項:

    • <您的組織> 的所有使用者:將您在 [存取狀態] 底下選擇的動作套用至所有使用者和群組。
    • 選取 <您的組織> 使用者和群組 (需要 Azure AD Premium 訂用帳戶):讓您將在 [存取狀態] 底下選擇的動作套用至特定使用者和群組。

    顯示針對 b2b 直接連接輸出存取選取目標使用者的螢幕擷取畫面

  6. 如果您選擇 [選取 <您的組織> 使用者和群組],請針對您要新增的每個使用者或群組執行下列動作:

    • 選取 [新增 <您的組織> 使用者和群組]。
    • 在 [選取] 窗格中,於搜尋方塊中輸入使用者名稱或群組名稱。
    • 當您完成選取使用者和群組時,請選擇 [選取]。

    注意

    以使用者和群組為目標時,您將無法選取已設定 SMS 型驗證的使用者。 這是因為在其使用者物件上具有「同盟認證」的使用者遭到封鎖,以防止外部使用者新增至輸出存取設定。 作為因應措施,您可以使用 Microsoft 圖形 API,直接新增使用者的物件識別碼,或將使用者所屬的群組設為目標。

  7. 選取 [儲存]。

  8. 選取 [外部應用程式] 索引標籤。

  9. 在 [存取狀態] 底下,選取下列其中一項:

    • 允許存取:允許在 [套用至] 底下指定的應用程式由 B2B 直接連接使用者存取。
    • 封鎖存取:封鎖在 [套用至] 底下指定的應用程式,使其無法由 B2B 直接連接使用者存取。

    針對輸出 b2b 直接連接顯示應用程式存取狀態的螢幕擷取畫面

  10. 在 [適用於] 底下,選取下列其中一項:

    • 所有外部應用程式:將您在 [存取狀態] 底下選擇的動作套用至所有外部應用程式。
    • 選取應用程式 (需要 Azure AD Premium 訂用帳戶):讓您將在 [存取狀態] 底下選擇的動作套用到特定外部應用程式。

    針對輸出 b2b 直接連接顯示應用程式目標的螢幕擷取畫面

  11. 如果您選擇 [選取外部應用程式],請針對您要新增的每個應用程式執行下列動作:

    • 選取 [新增 Microsoft 應用程式] 或 [新增其他應用程式]。
    • 在應用程式窗格中,在搜尋方塊中輸入應用程式名稱,然後在搜尋結果中選取應用程式。
    • 完成選取應用程式時,請選擇 [選取]。

    顯示針對輸出 b2b 直接連接新增外部應用程式的螢幕擷取畫面

  12. 選取 [儲存]。

變更輸出信任設定

(本節僅適用于 組織設定 。)

  1. 選取 [信任設定] 索引標籤。

  2. 檢閱同意提示選項:

    • 當使用者存取另一個租使用者中的應用程式和資源時,隱藏來自我的租使用者的同意提示:如果您想要自動兌換邀請,請選取此核取方塊,讓來自此租使用者的使用者在使用 B2B 直接連線存取指定租使用者中的資源時,不需要接受同意提示。 如果指定的租使用者也檢查此設定以取得輸入存取權,此設定只會隱藏同意提示。

    顯示輸出隱藏同意提示覆選框的螢幕擷取畫面。

  3. 選取 [儲存]。

移除組織

當您從 [組織] 設定中移除組織時,預設的跨租用戶存取設定將會針對該組織生效。

注意

如果該組織是貴組織的雲端服務提供者,(Microsoft Graph 合作夥伴特定設定中的 isServiceProvider 屬性為 true),您將無法移除組織。

  1. 使用全域管理員或安全性系統管理員帳戶登入 Azure 入口網站。 然後開啟 Azure Active Directory 服務。

  2. 選取 [外部身分識別],然後選取 [跨租用戶存取設定]。

  3. 選取 [組織設定] 索引標籤。

  4. 在清單中尋找組織,然後選取該資料列上的垃圾桶圖示。

後續步驟

針對 B2B 共同作業設定跨租用戶存取設定