設定 B2B 直接連線的跨租使用者存取設定

  • 發行項

使用跨租使用者存取設定來管理您透過 B2B 直接連線與其他 Microsoft Entra 組織共同作業的方式。 這些設定可讓您判斷使用者對外部組織擁有的輸出存取層級。 它們也可讓您控制外部 Microsoft Entra 組織使用者對您的內部資源所擁有的輸入存取層級。

  • 默認設定:預設跨租使用者存取設定會套用至所有外部 Microsoft Entra 組織,但您設定個別設定的組織除外。 您可以變更這些預設設定。 針對 B2B 直接連線,您通常會依預設設定保留預設設定,並使用組織特定的設定啟用 B2B 直接連線存取。 一開始,您的預設值如下所示:

    • B2B 直接連線初始預設設定 - 根據預設,輸出 B2B 直接聯機會針對整個租用戶封鎖,而且所有外部 Microsoft Entra 組織都會封鎖輸入 B2B 直接連線。
    • 組織設定 - 預設不會新增任何組織。

  • 組織特定設定:您可以新增組織並修改該組織的輸入和輸出設定,以設定組織特定的設定。 組織設定優先於預設設定。

深入瞭解如何使用跨租使用者存取設定來管理 B2B 直接連線

重要

Microsoft 已開始使用跨租使用者存取設定將客戶移至 2023 年 8 月 30 日的新記憶體模型。 您可能會注意到稽核記錄中的專案,通知您跨租使用者存取設定已更新,因為我們的自動化工作會移轉您的設定。 在移轉程式期間,對於短暫的視窗,您將無法變更您的設定。 如果您無法進行變更,您應該稍候片刻,然後再試一次變更。 移轉完成之後, 您就不會再使用 25 kb 的儲存空間 上限,而且不會再限制您可以新增的合作夥伴數目。

開始之前

  • 在設定跨租使用者存取設定之前,請先檢閱跨租使用者存取概觀中的重要考慮一節。
  • 決定您想要套用至所有外部 Microsoft Entra 組織的預設存取層級。
  • 識別任何需要自定義設定的 Microsoft Entra 組織。
  • 請連絡您想要設定 B2B 直接連線的組織。 由於 B2B 直接連線是透過相互信任建立的,因此您必須在跨租使用者存取設定中啟用 B2B 直接連線。
  • 從外部組織取得任何必要資訊。 如果您想要將存取設定套用至外部組織內的特定使用者、群組或應用程式,您必須先從組織取得這些標識碼,才能設定存取設定。
  • 若要在 Microsoft Entra 系統管理中心設定跨租使用者存取設定,您需要具有全域 管理員 istrator 或 Security 管理員 istrator 角色的帳戶。 Teams 系統管理員可以讀取跨租使用者存取設定,但無法更新這些設定。

設定預設設定

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

默認跨租使用者存取設定會套用至您尚未建立組織特定自定義設定的所有外部租使用者。 如果您想要修改 Microsoft Entra ID 提供的預設設定,請遵循下列步驟。

  1. 以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分>識別外部身分>識別跨租使用者存取設定]。

  3. 選取 [ 預設設定] 索引標籤並檢閱摘要頁面。

    Screenshot showing the Cross-tenant access settings Default settings tab

  4. 若要變更設定,請選取 [ 編輯輸入預設值 ] 連結或 [ 編輯輸出預設值 ] 連結。

    Screenshot showing edit buttons for Default settings

  5. 依照下列各節的詳細步驟修改預設設定:

新增組織

請遵循下列步驟來設定特定組織的自定義設定。

  1. 以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分>識別外部身分>識別跨租使用者存取設定]。

  3. 選取 [ 組織設定]。

  4. 選取 [新增組織]

  5. 在 [新增組織] 窗格中,輸入組織的完整網域名稱 (或租用戶識別碼)。

    Screenshot showing adding an organization

  6. 在搜尋結果中選取組織,然後選取 [ 新增]。

  7. 組織會出現在 [ 組織設定 ] 清單中。 此時,此組織的所有存取設定都會繼承自您的預設設定。 若要變更此組織的設定,請選取 [輸入存取] 或 [輸出存取] 資料行底下的 [繼承自默認連結]。

    Screenshot showing an organization added with default settings

  8. 依照下列各節中的詳細步驟修改組織的設定:

修改輸入存取設定

透過輸入設定,您可以選取哪些外部使用者和群組可以存取您選擇的內部應用程式。 無論您是設定預設設定或組織特定的設定,變更輸入跨租使用者存取設定的步驟都相同。 如本節所述,您會流覽至 [組織設定] 索引標籤上的 [預設] 索引卷標或組織,然後進行變更。

  1. 以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分>識別外部身分>識別跨租使用者存取設定]。

  3. 瀏覽至您要修改的設定:

    • 若要修改預設輸入設定,請選取 [預設設定] 索引標籤,然後在 [輸入存取設定] 底下,選取 [編輯輸入預設值]。
    • 若要修改特定組織的設定,請選取 [組織設定] 索引卷標,在清單中尋找組織(或新增一個),然後選取 [輸入存取] 資料行中的連結。

  4. 請遵循您要變更之設定的詳細步驟:

變更輸入 B2B 直接連線設定

  1. 選取 [B2B 直接連線] 索引標籤

  2. 如果您要設定組織的設定, 請選取下列其中一個選項:

    • 默認設定:組織會使用 [預設設定] 索引標籤上設定的設定。如果已為此組織設定自定義的設定,您必須選取 [是] 以確認所有設定都由預設設定取代。 然後選取 [ 儲存],並略過此程式中其餘的步驟。

    • 自訂設定:您可以自定義設定來強制執行此組織的設定,而不是預設設定。 繼續進行此程式中其餘的步驟。

  3. 選取 [外部使用者與群組]

  4. 在 [存取狀態] 底下,選取下列其中一個選項:

    • 允許存取:允許在 [套用] 底下指定的使用者和群組存取 B2B 直接連線。
    • 封鎖存取:封鎖 [套用至] 底下指定的使用者和群組,以存取 B2B 直接連線。 封鎖所有外部使用者和群組的存取,也會封鎖所有內部應用程式透過 B2B 直接連線共用。

    Screenshot showing inbound access status for b2b direct connect users

  5. 在 [套用至]下,選取下列其中一項:

    • 所有外部使用者和群組:將您在 [存取狀態] 底下選擇的動作套用至來自外部 Microsoft Entra 組織的所有使用者和群組。
    • 選取外部使用者和群組:可讓您將您在 [存取狀態] 底下選擇的動作套用至外部組織內的特定使用者和群組。 您設定的租使用者上需要 Microsoft Entra ID P1 授權。

    Screenshot showing selecting the target users for b2b direct connect

  6. 如果您選擇 [ 選取外部使用者和群組],請針對您要新增的每個使用者或群組執行下列動作:

    • 選取 [ 新增外部使用者和群組]。
    • 在 [ 新增其他使用者和群組 ] 窗格中,於搜尋方塊中輸入使用者物件標識碼或群組對象標識碼。
    • 在搜尋方塊旁邊的功能表中,選擇 使用者群組
    • 選取新增

    注意

    您無法以輸入預設設定中的使用者或群組為目標。

    Screenshot showing adding external users for inbound b2b direct connect

  7. 當您完成新增使用者和群組時,請選取 [ 提交]。

  8. 選取 [ 應用程式] 索引 標籤。

  9. 在 [存取狀態] 底下,選取下列其中一項:

    • 允許存取:允許 B2B 直接連線使用者存取 [套用] 底下指定的應用程式。
    • 封鎖存取:封鎖 [套用至] 下指定的應用程式,防止 B2B 直接連線使用者存取。

    Screenshot showing inbound applications access status for b2b direct connect

  10. 在 [套用至]下,選取下列其中一項:

    • 所有應用程式:將您在 [存取狀態] 底下選擇的動作套用至所有應用程式。
    • 選取應用程式(需要 Microsoft Entra ID P1 或 P2 訂用帳戶):可讓您在 [存取狀態] 底下套用您在組織中特定應用程式的 [存取狀態] 下選擇的動作。

    Screenshot showing application targets for inbound access

  11. 如果您選擇 [ 選取應用程式],請針對您想要新增的每個應用程式執行下列動作:

    • 選取 [ 新增 Microsoft 應用程式]。
    • 在應用程式窗格中,在搜尋方塊中輸入應用程式名稱,然後在搜尋結果中選取應用程式。
    • 當您完成選取應用程式時,請選擇 [ 選取]。

    Screenshot showing adding applications for inbound b2b direct connect

  12. 選取 [儲存]。

變更 MFA 和裝置狀態的輸入信任設定

  1. 選取 [信任設定] 索引標籤。

  2. 如果您要設定組織的設定,請選取下列其中一個選項:

    • 默認設定:組織會使用 [預設設定] 索引標籤上設定的設定。如果已為此組織設定自定義的設定,您必須選取 [是] 以確認所有設定都由預設設定取代。 然後選取 [ 儲存],並略過此程式中其餘的步驟。

    • 自訂設定:您可以自定義設定來強制執行此組織的設定,而不是預設設定。 繼續進行此程式中其餘的步驟。

  3. 選取下列一或多個選項:

    • 信任來自 Microsoft Entra 租使用者的多重要素驗證:如果您的條件式存取原則需要多重要素驗證(MFA),請選取此複選框。 此設定可讓您的條件式存取原則信任來自外部組織的 MFA 宣告。 在驗證期間,Microsoft Entra ID 會檢查用戶的認證,以取得使用者已完成 MFA 的宣告。 如果沒有,則會在使用者的主租使用者中起始 MFA 挑戰。

    • 信任相容的裝置:允許條件式存取原則在其使用者存取您的資源時信任來自外部組織的相容裝置宣告。

    • 信任 Microsoft Entra 混合式已加入裝置:在您的使用者存取您的資源時,允許條件式存取原則信任來自外部組織的 Microsoft Entra 混合式已加入裝置宣告。

    Screenshot showing inbound trust settings.

  4. (此步驟適用於 只限組織設定 。)檢閱自動 兌換 選項:

    • 使用租<>用戶自動兌換邀請:如果您想要自動兌換邀請,請檢查此設定。 若是如此,來自指定租用戶的使用者就不需要在第一次使用跨租使用者同步處理、B2B 共同作業或 B2B 直接連線存取此租使用者時,接受同意提示。 如果指定的租使用者也檢查此設定以進行輸出存取,此設定只會抑制同意提示。

    Screenshot that shows the inbound Automatic redemption check box.

  5. 選取 [儲存]

注意

設定組織的設定時,您會注意到 [跨租使用者同步處理 ] 索引標籤。此索引標籤不適用於 B2B 直接連線設定。 相反地,多租用戶組織會使用這項功能,在其租用戶之間啟用 B2B 共同作業。 如需詳細資訊,請參閱 多租使用者組織檔

修改輸出存取設定

透過輸出設定,您可以選取哪些使用者和群組能夠存取您選擇的外部應用程式。 無論是設定預設或組織特定的設定,修改輸出跨租使用者存取設定的詳細步驟都相同。 如本節所述,流覽至 [組織設定] 索引標籤上的 [預設] 索引標籤或組織,然後進行變更。

  1. 以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分>識別外部身分>識別跨租使用者存取設定]。

  3. 瀏覽至您要修改的設定:

    • 若要修改預設輸出設定,請選取 [預設設定] 索引標籤,然後在 [輸出存取設定] 底下,選取 [編輯輸出預設值]。

    • 若要修改特定組織的設定,請選取 [組織設定] 索引卷標,在清單中尋找組織(或新增一個),然後選取 [輸出存取] 資料行中的連結。

變更輸出存取設定

  1. 選取 [B2B 直接連線] 索引標籤。

  2. 如果您要設定組織的設定, 請選取下列其中一個選項:

    • 默認設定:組織會使用 [預設設定] 索引標籤上設定的設定。如果已為此組織設定自定義的設定,您必須選取 [是] 以確認所有設定都由預設設定取代。 然後選取 [ 儲存],並略過此程式中其餘的步驟。

    • 自訂設定:您可以自定義此組織的設定,這會針對此組織強制執行,而不是預設設定。 繼續進行此程式中其餘的步驟。

  3. 選取 使用者及群組

  4. 在 [存取狀態] 底下,選取下列其中一項:

    • 允許存取:允許在 [套用] 底指定的使用者和群組存取 B2B 直接連線。
    • 封鎖存取:封鎖您在 [套用至] 底下指定的使用者和群組,以存取 B2B 直接連線。 封鎖所有使用者和群組的存取,也會封鎖所有外部應用程式透過 B2B 直接連線共用。

    Screenshot showing users and groups access status for outbound b2b direct connect

  5. 在 [套用至]下,選取下列其中一項:

    • 所有<組織>使用者:將您在 [存取狀態] 底下選擇的動作套用至所有使用者和群組。
    • 選取 <您的組織> 使用者和群組 (需要 Microsoft Entra ID P1 或 P2 訂用帳戶):可讓您將您選擇的動作套用至特定使用者和群組的 [存取狀態 ]。

    Screenshot showing selecting target users for b2b direct connect outbound access

  6. 如果您選擇 [選取您的組織>使用者和群組],請針對您要新增的每個使用者或群組<執行下列動作:

    • 選取 [新增您的組織>使用者和群組<]。
    • 在 [ 選取 ] 窗格中,於搜尋方塊中輸入使用者名稱或組名。
    • 當您完成選取使用者和群組時,請選擇 [ 選取]。

    注意

    以使用者和群組為目標時,您將無法選取已設定 SMS型驗證的使用者。 這是因為在其用戶物件上有「同盟認證」的使用者遭到封鎖,以防止外部使用者新增至輸出存取設定。 因應措施是,您可以使用 Microsoft Graph API 直接新增使用者的物件識別碼,或將使用者所屬的群組設為目標。

  7. 選取 [儲存]。

  8. 選取 [ 外部應用程式] 索引 標籤。

  9. 在 [存取狀態] 底下,選取下列其中一項:

    • 允許存取:允許 B2B 直接連線使用者存取 [套用] 底下指定的應用程式。
    • 封鎖存取:封鎖 [套用至] 下指定的應用程式,防止 B2B 直接連線使用者存取。

    Screenshot showing applications access status for outbound b2b direct connect

  10. 在 [套用至]下,選取下列其中一項:

    • 所有外部應用程式:將您在 [存取狀態] 底下選擇的動作套用至所有外部應用程式。
    • 選取應用程式(需要 Microsoft Entra ID P1 或 P2 訂用帳戶):可讓您套用您在 [存取狀態] 底下所選的動作至特定外部應用程式。

    Screenshot showing application targets for outbound b2b direct connect

  11. 如果您選擇 [ 選取外部應用程式],請針對您想要新增的每個應用程式執行下列動作:

    • 選取 [新增 Microsoft 應用程式 ] 或 [新增其他應用程式]。
    • 在應用程式窗格中,在搜尋方塊中輸入應用程式名稱,然後在搜尋結果中選取應用程式。
    • 當您完成選取應用程式時,請選擇 [ 選取]。

    Screenshot showing adding external applications for outbound b2b direct connect

  12. 選取 [儲存]。

變更輸出信任設定

(本節適用於 只限組織設定 。)

  1. 選取 [信任設定] 索引標籤。

  2. 檢閱自動 兌換 選項:

    • 使用租<>用戶自動兌換邀請:如果您想要自動兌換邀請,請檢查此設定。 如果是,來自此租用戶的使用者不需要在第一次使用跨租使用者同步處理、B2B 共同作業或 B2B 直接連線存取指定的租使用者時,接受同意提示。 只有在指定的租使用者檢查此設定以取得輸入存取權時,此設定才會隱藏同意提示。

    Screenshot that shows the outbound Automatic redemption check box.

  3. 選取 [儲存]。

拿掉組織

當您從組織設定中移除組織時,預設的跨租使用者存取設定會生效給該組織。

注意

如果組織是貴組織的雲端服務提供者(Microsoft Graph 合作夥伴特定組態 中的 isServiceProvider 屬性為 true),您將無法移除組織。

  1. 以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分>識別外部身分>識別跨租使用者存取設定]。

  3. 選取 [組織設定] 索引標籤。

  4. 在清單中尋找組織,然後選取該數據列上的垃圾桶圖示。

下一步

設定 B2B 共同作業的跨租使用者存取設定