共用方式為


Microsoft Entra External ID 簡介

Microsoft Entra 外部 ID 結合了功能強大的解決方案,可與組織外部的人員合作。 使用外部 ID 功能,您可以允許外部身分識別安全地存取您的應用程式和資源。 無論您是與外部合作夥伴、取用者或商務客戶合作,使用者都可以攜帶自己的身分識別。 這些身分識別的範圍從公司或政府發行的帳戶到 Google 或 Facebook 等社交識別提供者。

此圖表顯示 External ID 的概觀。

這些案例落在 Microsoft Entra 外部 ID 的範圍內:

  • 如果您是組織或建立取用者應用程式的開發人員,請使用外部 ID 快速將驗證和客戶身分識別和存取權管理 (CIAM) 新增至您的應用程式。 註冊您的應用程式、建立自訂的登入體驗,以及在外部設定的 Microsoft Entra 租用戶中管理您的應用程式使用者。 此租用戶與您的員工和組織資源不同。

  • 如果您想要讓員工能夠與商務合作夥伴和來賓共同作業,請使用外部 ID 進行 B2B 共同作業。 允許透過邀請或自助式註冊,安全地存取您的企業應用程式。 判斷來賓對包含員工和組織資源的 Microsoft Entra 租用戶所擁有的存取層級,這是員工設定中的租用戶。

Microsoft Entra 外部 ID 是一個彈性的解決方案,適用於需要驗證和 CIAM 的取用者導向應用程式開發人員,以及尋求安全 B2B 共同作業的企業。

保護取用者和商務客戶的應用程式

將應用程式發佈給取用者和商務客戶時,組織和開發人員可以使用外部租用戶中的外部 ID 作為其 CIAM 解決方案。 您可以在外部設定中建立個別的 Microsoft Entra 租用戶,這可讓您與員工分開管理應用程式和使用者帳戶。 在此租用戶中,您可以輕鬆地設定自訂品牌註冊體驗和使用者管理功能:

  • 設定自助式註冊流程,以定義客戶遵循的一系列註冊步驟,以及他們可以使用的登入方法,例如電子郵件和密碼、一次性密碼,或 Google 或 Facebook 中的社交帳戶。

  • 為租用戶設定公司商標設定,以建立使用者登入應用程式的自訂外觀與風格。 透過這些設定,您可以新增自己的背景影像、色彩、公司標誌和文字,以自訂應用程式之間的登入體驗。

  • 從一系列內建使用者屬性中選取或新增您自己的自訂屬性,以在註冊期間收集客戶的資訊。

  • 分析使用者活動和參與度資料,以找出可協助策略性決策並推動業務成長的寶貴見解。

使用外部 ID,客戶可以使用他們已經擁有的身分識別登入。 您可以自訂及控制客戶在使用應用程式時如何註冊和登入。 因為這些 CIAM 功能內建於外部 ID 中,因此您也可以受益於 Microsoft Entra 平台功能,例如增強的安全性、合規性和可擴縮性。

如需詳細資訊,請參閱外部租用戶中的 Microsoft Entra 外部 ID 概觀

與商務來賓共同作業

外部 ID B2B 共同作業可讓您的員工與外部商務夥伴共同作業。 您可以邀請任何人使用自己的認證登入 Microsoft Entra 組織,讓他們能夠存取您想要與之共用的應用程式和資源。 當您需要讓商務來賓存取 Office 365 應用程式、軟體即服務 (SaaS) 應用程式和企業營運應用程式時,請使用 B2B 共同作業。 沒有與商務來賓相關聯的認證。 相反地,他們會向其主要組織或識別提供者進行驗證,然後您的組織會檢查使用者的來賓共同作業資格。

有各種方式可將商務來賓新增至您的組織以進行共同作業:

  • 邀請使用者以自己的 Microsoft Entra 帳戶、Microsoft 帳戶或您啟用的社交身分識別,以進行共同作業 (例如 Google)。 系統管理員可以使用 Microsoft Entra 系統管理中心或 PowerShell 來邀請使用者共同作業。 使用者使用工作、學校或其他電子郵件帳戶的簡單兌換流程,便能登入至共用資源。

  • 使用自助式註冊使用者流程,讓來賓自行註冊應用程式。 您可以自訂此體驗,以允許使用工作、學校或社交身分識別 (例如 Google 或 Facebook) 註冊。 您也可以在登入流程期間收集使用者的相關資訊。

  • Microsoft Entra 權利管理 是一種身分識別控管功能,可用以透過將存取要求工作流程、存取指派、檢閱和到期自動化,讓您管理 外部使用者的身分識別與存取

系統會為商務來賓在與員工相同的目錄中,建立使用者物件。 此使用者物件可像您目錄中的其他使用者物件般管理、新增至群組等等。 您可以指派權限給使用者物件 (用於授權),同時讓他們使用其現有的認證 (進行驗證)。

您可以使用跨租用戶存取設定來管理與其他 Microsoft Entra 組織及跨 Microsoft Azure 雲端的共同作業。 針對與非 Azure AD 外部使用者和組織進行共同作業,請使用外部共同作業設定

什麼是「員工」和「外部」租用戶?

租用戶是 Microsoft Entra ID 的專用且受信任的執行個體,其中包含組織的資源,包括已註冊的應用程式和使用者的目錄。 有兩種方式可以設定租用戶,視組織打算如何使用租用戶和他們想要管理的資源而定:

  • 員工租用戶設定是一個標準 Microsoft Entra 租用戶,其中包含您的員工、內部商務應用程式和其他組織資源。 在員工租用戶中,您的內部使用者可以使用 B2B 共同作業,與外部商務夥伴和來賓共同作業。
  • 外部租用戶設定專用於您想要對取用者或商務客戶發佈的應用程式。 此相異租用戶遵循標準 Microsoft Entra 租用戶模型,但已針對取用者案例進行設定。 其中包含您的應用程式註冊和取用者或客戶帳戶的目錄。

如需詳細資料,請參閱 Microsoft Entra 外部 ID 中的員工和外部租用戶設定

比較外部 ID 功能集

下表比較您可以使用外部 ID 啟用的案例。

員工租用戶中的外部 ID 外部租用戶中的外部 ID
主要案例 讓您的員工能夠與商務來賓共同作業。 讓來賓使用其慣用的身分識別登入 Microsoft Entra 組織中的資源。 提供 Microsoft 應用程式或您自己應用程式 (SaaS 應用程式、自訂開發應用程式等) 的存取權。

範例:邀請來賓登入您的 Microsoft 應用程式,或成為 Teams 中的來賓成員。
使用外部 ID 將應用程式發佈至外部取用者和商務客戶,以取得身分識別體驗。 提供新式 SaaS 或自訂開發應用程式的身分識別和存取管理 (非第一方 Microsoft 應用程式)。

範例:為取用者行動應用程式的使用者建立自訂的登入體驗,並監視應用程式使用量。
適用於 與來自外部組織 (例如供應商、合作夥伴、廠商) 的商業夥伴共同作業。 這些使用者不一定具有 Microsoft Entra ID 或受控的 IT。 您應用程式的取用者和商務客戶。 這些使用者是在針對外部應用程式和使用者設定的 Microsoft Entra 租用戶中管理。
使用者管理 B2B 共同作業使用者與員工都在相同的員工租用戶中受到管理,但系統會特別標註為來賓使用者。 管理來賓使用者的方式與員工相同,也可以新增到相同的群組。 跨租用戶存取設定可用來判斷哪些使用者可以存取 B2B 共同作業。 應用程式使用者是在您為應用程式取用者建立的外部租用戶中管理。 外部租用戶中的使用者與員工租用戶中的使用者具有不同的預設權限。 它們是在外部租用戶中管理,與組織的員工目錄分開。
單一登入 (SSO) 支援 SSO 至所有與 Microsoft Entra 連線的應用程式。 舉例來說,您可以提供 Microsoft 365 或內部部署應用程式的存取權,或者是其他 SaaS 應用程式的存取權,例如 Salesforce 或 Workday。 支援在外部租用戶中註冊的應用程式 SSO。 不支援 SSO 至 Microsoft 365 或其他 Microsoft SaaS 應用程式。
公司商標 驗證體驗的預設狀態是 Microsoft 的外觀和風格。 系統管理員可以使用其公司商標來自訂來賓登入體驗。 外部租用戶的預設商標是中性,且不包含任何現有的 Microsoft 商標。 系統管理員可以自訂組織或每個應用程式的商標。 深入了解
Microsoft 雲端設定 支援 不適用。
權利管理 支援 不適用。

有幾個與外部使用者和組織共同作業相關的 Microsoft Entra 技術。 在設計外部 ID 共同作業模型時,請考慮這些其他功能。

B2B 直接連接

B2B 直接連接可讓您與其他 Microsoft Entra 組織建立雙向信任關係,以啟用 Teams Connect 共用頻道功能。 此功能可讓使用者順暢地登入 Teams 共用頻道,以進行聊天、通話、檔案共用和應用程式共用。 當兩個組織相互啟用 B2B 直接連接時,使用者會在主組織中進行驗證,並從資源組織接收權杖以供存取。 不同於 B2B 共同作業,B2B 直接連接使用者不會新增為員工目錄的來賓。 深入了解 Microsoft Entra 外部 ID 中的 B2B 直接連接

設定 B2B 直接連接到外部組織之後,下列 Teams 共用頻道功能即可供使用:

  • 共用頻道擁有者可以在 Teams 中搜尋來自外部組織的受允許使用者,並將其新增至共用頻道。

  • 外部使用者可以存取 Teams 共用通道,而不需要切換組織或使用不同的帳戶登入。 從 Teams 內,外部使用者可以透過 [檔案] 索引標籤來存取檔案和應用程式。共用頻道的原則會決定使用者的存取權。

您可以使用 跨租用戶存取設定 來管理與其他 Microsoft Entra 組織的信任關係,並定義 B2B 直接連接的輸入和輸出原則。

如需可供 B2B 直接連接使用者透過 Teams 共用頻道使用的資源、檔案和應用程式詳細資料,請參閱 Microsoft Teams 中的聊天、小組、頻道和應用程式

授權和計費是以每月活躍使用者 (MAU) 為基礎。 了解有關 Microsoft Entra External ID 的計費模式的更多資訊。

Azure Active Directory B2C

Azure Active Directory B2C (Azure AD B2C) 是 Microsoft 的舊版客戶身分識別和存取權管理解決方案。 Azure AD B2C 包含個別的取用者型目錄,您可透過 Azure AD B2C 服務在 Azure 入口網站中進行管理。 每個 Azure AD B2C 租用戶都與其他 Microsoft Entra ID 和 Azure AD B2C 租用戶不同。 Azure AD B2C 入口網站體驗類似於 Microsoft Entra ID,但有一些重要差異,例如使用 Identity Experience Framework 自訂使用者旅程圖的能力。

如需 Azure AD B2C 租用戶與 Microsoft Entra 租用戶有何不同的詳細資訊,請參閱 Azure AD B2C 中支援的 Microsoft Entra 功能。 如需有關設定和管理 Azure AD B2C 的詳細資訊,請參閱 Azure AD B2C 文件

商務來賓註冊的 Microsoft Entra 權利管理

身為發出邀請的組織,您可能不會事先知道需要存取您資源的個別外部共同作業者有誰。 您需要提供方法讓合作夥伴公司的使用者可以使用您控制的原則來自行註冊。 若要讓其他組織的使用者要求存取權,您可以使用 Microsoft Entra 權利管理來設定管理外部使用者存取的原則。 核准後,這些使用者將會佈建來賓帳戶,並指派給群組、應用程式和 SharePoint Online 網站。

條件式存取

組織可以使用條件式存取原則,將 MFA 等適當存取控制套用至外部使用者,以增強其安全性。

外部租用戶中的條件式存取和多重要素驗證 (MFA)

在外部租使用者中,組織可以藉由建立 Microsoft Entra 條件式存取原則,以及新增 MFA 來註冊和登入使用者流程,為客戶強制執行 MFA。 外部租用戶支援兩種驗證方法作為第二個因數:

  • 電子郵件一次性密碼:當使用者使用其電子郵件和密碼登入之後,系統會提示他們輸入傳送至其電子郵件的密碼。
  • 基於 SMS 的身份驗證:SMS 可作為外部租用戶的多重要素驗證 (MFA) 的第二要素驗證方法。 使用電子郵件和密碼、電子郵件和一次性密碼或 Google 或 Facebook 等社交身分識別登入的使用者,系統會使用 SMS 提示進行第二次驗證。

了解更多關於 外部租用戶中的身份驗證方法

B2B 合作與 B2B 直接連線的條件性存取

組織可以為外部 B2B 共同作業和 B2B 直接連接使用者強制執行條件式存取原則,方式與為組織的全職員工和成員啟用原則的方式相同。 針對 Microsoft Entra 跨租用戶案例,如果您的條件式存取原則需要 MFA 或裝置合規性,您現在可以信任來自外部使用者主要組織的 MFA 和裝置合規性宣告。 若啟用信任設定,則在驗證期間,Microsoft Entra ID 會檢查使用者的認證是否有 MFA 宣告或裝置識別碼,以判斷其是否已符合原則。 若符合,外部使用者便能順暢地登入您的共用資源。 否則,系統會在使用者的主租用戶中起始 MFA 或裝置挑戰。 深入了解 外部使用者的驗證流程和條件式存取

多租用戶應用程式

如果您為許多組織提供軟體即服務 (SaaS) 應用程式,您可以將應用程式設定為接受來自任何 Microsoft Entra 租用戶的登入。 這個設定稱為讓應用程式成為多租用戶應用程式。 任何 Microsoft Entra 租用戶中的使用者都能夠在同意將帳戶與您的應用程式搭配使用後,登入您的應用程式。 請參閱如何啟用多租用戶登入

多租用戶組織

多租用戶組織是具有多個 Microsoft Entra ID 執行個體的組織。 針對多租用戶有各種原因。 例如,您的組織可能會跨越多個雲端或地理界限。

多租用戶組織功能可讓您跨 Microsoft 365 無縫共同作業。 它可改善在 Microsoft Teams 和 Microsoft Viva Engage 等應用程式中跨組織的多個租用戶的員工共同作業體驗。

跨租用戶同步處理功能是單向同步服務,確保使用者可以存取資源,而不需收到邀請電子郵件,且必須接受每個租用戶中的同意提示。

若要深入了解多租用戶組織和跨租用戶同步處理,請參閱多租用戶組織文件功能比較

Microsoft Graph API

除了下一節所列的 API 以外,所有外部標識符功能也都支援透過 Microsoft Graph API 進行自動化。 如需詳細資訊,請參閱 使用 Microsoft Graph 管理Microsoft Entra 身分識別和網路存取。

Microsoft Graph 不支援的功能

外部標識碼功能 支援於 自動化因應措施
識別您所屬的組織 員工租用戶 租使用者 - 列出 Azure Resource Manager API。 針對 Teams 共用通道和 B2B 直接連線,請使用 取得 tenantReferences Microsoft Graph API。

適用於 B2B 共同作業的 Microsoft Entra Microsoft Graph API

  • 跨租使用者存取設定 APIMicrosoft Graph 中的跨租使用者存取 API 可讓您以程式設計方式建立可在 Azure 入口網站 中設定的相同 B2B 共同作業和 B2B 直接連線原則。 您可以使用這些 API 來設定輸入和輸出共同作業的原則。 例如,您可以預設允許或封鎖每個人的功能,並限制對特定組織、群組、使用者和應用程式的存取。 API 也可讓您接受來自其他Microsoft Entra 組織的多重要素驗證(MFA) 和裝置宣告(符合規範的宣告和Microsoft Entra 混合式聯結宣告)。

  • B2B 共同作業邀請管理員Microsoft Graph 中的邀請管理員 API 可用於為商務來賓建置您自己的上線體驗。 例如,您可以使用建立邀請 API,自動地將自訂邀請電子郵件直接傳送給 B2B 使用者。 或者,您的應用程式可以使用在建立回應中傳回的 inviteRedeemUrl,將您自己製作的邀請 (透過您選擇的通訊機制)傳送給受邀的使用者。

下一步