使用 Microsoft Entra B2B 共同作業授與本機受控合作夥伴帳戶對雲端資源的存取權
在 Microsoft Entra 識別碼之前,具有內部部署身分識別系統的組織傳統上在其內部部署目錄中管理合作夥伴帳戶。 在這類組織中,當您開始將應用程式移至 Microsoft Entra ID 時,您想要確定您的合作夥伴可以存取所需的資源。 資源在內部部署或雲端中都不應有問題。 此外,您希望合作夥伴使用者能夠針對內部部署和 Microsoft Entra 資源使用相同的登入認證。
如果您在內部部署目錄中為外部合作夥伴建立帳戶(例如,您為 partners.contoso.com 網域中名為 Maria Sullivan 的外部使用者建立登入名稱為 「msullivan」 的帳戶),您現在可以將這些帳戶同步處理至雲端。 具體來說,您可以使用 Microsoft Entra 連線 將合作夥伴帳戶同步處理至雲端,以使用 UserType = Guest 建立使用者帳戶。 這可讓合作夥伴使用者使用與其本機帳戶相同的認證來存取雲端資源,而不會給予他們比所需的更多存取權。 如需轉換本機來賓帳戶的詳細資訊,請參閱 將本機來賓帳戶轉換為 Microsoft Entra B2B 來賓帳戶 。
注意
另請參閱如何 邀請內部使用者加入 B2B 共同作業 。 透過這項功能,您可以邀請內部來賓使用者使用 B2B 共同作業,而不論您是否已將帳戶從內部部署目錄同步至雲端。 一旦使用者接受使用 B2B 共同作業的邀請,他們就能夠使用自己的身分識別和認證來登入您想要他們存取的資源。 您不需要維護密碼或管理帳戶生命週期。
識別 UserType 的唯一屬性
啟用 UserType 屬性的同步處理之前,您必須先決定如何從 內部部署的 Active Directory衍生 UserType 屬性。 換句話說,內部部署環境中的哪些參數對外部共同作業者而言是唯一的? 判斷參數,以區分這些外部共同作業者與您自己的組織成員。
這兩個常見方法包括:
- 指定未使用的內部部署的 Active Directory屬性(例如 extensionAttribute1)作為來源屬性。
- 或者,從其他屬性衍生 UserType 屬性的值。 例如,如果您想要將其內部部署的 Active Directory UserPrincipalName 屬性結尾為網域 @partners.contoso.com ,則您想要將所有使用者同步處理為 Guest。
如需詳細的屬性需求,請參閱 啟用 UserType 的同步處理。
設定 Microsoft Entra 連線,以將使用者同步至雲端
識別唯一屬性之後,您可以設定 Microsoft Entra 連線將這些使用者同步至雲端,以建立 UserType = Guest 的使用者帳戶。 從授權的觀點來看,這些使用者與透過 Microsoft Entra B2B 共同作業邀請程式建立的 B2B 使用者無法區分。
如需實作指示,請參閱 啟用 UserType 的同步處理。