邀請內部使用者加入 B2B 共同作業

  • 發行項

在 Microsoft Entra B2B 共同作業的可用性之前,組織可以藉由為其設定內部認證,與散發者、供應商、廠商和其他來賓使用者共同作業。 如果您有這類內部來賓使用者,您可以邀請他們改用 B2B 共同作業。 這些 B2B 來賓使用者將能夠使用自己的身分識別和認證登入,而不需要密碼維護或帳戶生命週期管理。

將邀請傳送至現有的內部帳戶,可讓您保留該使用者的物件標識碼、UPN、群組成員資格和應用程式指派。 您不需要手動刪除並重新邀請使用者或重新指派資源。 若要邀請使用者,您可以使用邀請 API 來傳遞內部使用者物件和來賓使用者的電子郵件位址以及邀請。 當使用者接受邀請時,B2B 服務會將現有的內部用戶物件變更為 B2B 使用者。 接下來,用戶必須使用其 B2B 認證登入雲端資源服務。

考量的事項

  • 存取內部部署資源:當使用者受邀進行 B2B 共同作業之後,他們仍然可以使用內部認證來存取內部部署資源。 您可以藉由重設或變更內部帳戶上的密碼來防止這種情況。 例外狀況是電子郵件一次性密碼驗證;如果使用者的驗證方法變更為單次密碼,他們將無法再使用其內部認證。

  • 計費:此功能不會變更使用者的UserType,因此不會自動將使用者的計費模型切換至 外部標識符每月作用中使用者 (MAU) 定價。 若要為使用者啟用 MAU 定價,請將使用者的 UserType 變更為 guest。 另請注意,您的 Microsoft Entra 租用戶必須連結到 Azure 訂用帳戶,才能啟用 MAU 計費。

  • 邀請是單向:您可以邀請內部使用者使用 B2B 共同作業,但一旦新增 B2B 認證,就無法移除認證。 若要將使用者變更回僅限內部的使用者,您必須刪除用戶物件並建立新的物件。

  • Teams:當使用者使用其外部認證存取 Teams 時,其租使用者一開始將無法在 Teams 租使用者選擇器中使用。 使用者可以使用包含租用戶內容的 URL 來存取 Teams,例如: https://teams.microsoft.com/?tenantId=<TenantId>。 之後,租使用者將會在 Teams 租用戶選擇器中變成可用。

  • 內部部署同步處理的使用者:針對在內部部署與雲端之間同步的使用者帳戶,內部部署目錄在受邀使用 B2B 共同作業之後,會維持授權來源。 您對內部部署帳戶所做的任何變更都會同步至雲端帳戶,包括停用或刪除帳戶。 因此,您無法防止使用者直接刪除內部部署帳戶來登入其內部部署帳戶,同時保留其雲端帳戶。 相反地,您可以將內部部署帳戶密碼設定為隨機 GUID 或其他未知值。

注意

在 Microsoft Entra 連線 Sync 中,有預設規則會將 onPremisesUserPrincipalName 屬性寫入用戶物件。 由於這個屬性的存在可以防止使用者使用外部認證登入,因此我們會封鎖具有此屬性之使用者對象的內部對外部轉換。 如果您使用 Microsoft Entra 連線,而且想要能夠邀請內部使用者加入 B2B 共同作業,您必須修改預設規則,讓 onPremisesUserPrincipalName 屬性不會寫入用戶物件。

如何邀請內部使用者加入 B2B 共同作業

您可以使用 Microsoft Entra 系統管理中心、PowerShell 或邀請 API,將 B2B 邀請傳送給內部使用者。 要注意的事項:

  • 邀請使用者之前,請確定 User.Mail 內部用戶物件的 屬性 (Microsoft Entra 系統管理中心中的使用者 Email 屬性) 已設定為將用於 B2B 共同作業的外部電子郵件位址。 如果內部使用者有現有的信箱,則您無法將此屬性變更為外部電子郵件位址。 您必須在 Exchange 系統管理中心更新其屬性。

  • 當您邀請使用者時,會透過電子郵件將邀請傳送給使用者。 如果您使用 PowerShell 或邀請 API,您可以將 設定 SendInvitationMessageFalse來隱藏此電子郵件。 然後,您可以以另一種方式通知使用者。 深入了解邀請 API

  • 當用戶兌換邀請時,他們所使用的帳戶必須符合 屬性中的 User.Mail 網域。 否則,某些服務,例如 Teams,將無法驗證使用者。

使用 Microsoft Entra 系統管理中心傳送 B2B 邀請

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

  1. 以至少外部識別提供者系統管理員身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。

  3. 在清單中尋找使用者,或使用搜尋方塊。 然後選取使用者。

  4. 在 [概觀] 索引標籤的 [我的摘要] 底下,選取 [轉換成外部使用者]。

    使用者配置檔 [概觀] 索引標籤與 B2B 共同作業卡片的螢幕快照。

    注意

    如果卡片顯示「重新傳送此 B2B 使用者的邀請或重設其兌換狀態」。 使用者已受邀使用外部認證進行 B2B 共同作業。

  5. 新增外部電子郵件地址,然後選取 [ 傳送]。

    顯示轉換成外部用戶頁面的螢幕快照。

    注意

    如果選項無法使用,請確定使用者的 Email 屬性已設定為他們應該用於 B2B 共同作業的外部電子郵件位址。

  6. 確認訊息隨即出現,並透過電子郵件將邀請傳送給使用者。 用戶接著可以使用其外部認證兌換邀請。

使用 PowerShell 傳送 B2B 邀請

您將需要 最新的 Microsoft Graph PowerShell 模組。 使用下列命令來更新至最新的模組,並邀請內部使用者進行 B2B 共同作業:

Update-Module Microsoft.Graph
Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee' 
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapplications.microsoft.com" -InvitedUser $msGraphUser

使用邀請 API 傳送 B2B 邀請

下列範例說明如何呼叫邀請 API,以邀請內部使用者作為 B2B 使用者。

POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
ContentType: application/json
{
    "invitedUserEmailAddress": "<<external email>>",
    "sendInvitationMessage": true,
    "invitedUserMessageInfo": {
        "messageLanguage": "en-US",
        "ccRecipients": [
            {
                "emailAddress": {
                    "name": null,
                    "address": "<<optional additional notification email>>"
                }
            }
        ],
        "customizedMessageBody": "<<custom message>>"
    },
    "inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=",
    "invitedUser": {
        "id": "<<ID for the user you want to convert>>"
    }
}

API 的回應與您邀請新來賓使用者加入目錄時所得到的回應相同。

下一步