Microsoft Entra B2B 共同作業邀請兌換

  • 發行項

本文說明來賓使用者存取資源的方式,以及他們將遇到的同意程式。 如果您傳送邀請電子郵件給來賓,邀請會包含來賓可兌換的連結,以取得您應用程式或入口網站的存取權。 邀請電子郵件只是來賓取得資源存取權的其中一種方式。 或者,您可以將來賓新增至您的目錄,並提供您想要共用之入口網站或應用程式的直接連結。 無論他們使用的方法為何,來賓都會引導您進行第一次同意程式。 此程式可確保來賓同意隱私權條款,並接受您已設定的任何 使用 規定。

當您將來賓使用者新增至目錄時,來賓用戶帳戶具有一開始設定為 PendingAcceptance的同意狀態(可在PowerShell中檢視)。 在來賓接受您的邀請並同意您的隱私策略和使用規定之前,此設定會維持不變。 之後,同意狀態會變更為 [已接受],且同意頁面不再呈現給來賓。

重要

透過一般端點的兌換程式與登入

來賓用戶現在可以透過一般端點 (URL) 登入您的多租使用者或 Microsoft 第一方應用程式,例如 https://myapps.microsoft.com。 先前,常見的 URL 會將來賓使用者重新導向至其主租使用者,而不是您的資源租用戶進行驗證,因此需要租使用者特定的連結(例如 https://myapps.microsoft.com/?tenantid=<tenant id>)。 現在來賓使用者可以移至應用程式的一般 URL,選擇 [登入選項],然後選取 [ 登入組織]。 然後,使用者輸入組織的功能變數名稱。

顯示用於登入之常見端點的螢幕快照。

然後,用戶會重新導向至您的租使用者特定端點,讓他們可以使用其電子郵件位址登入,或選取您已設定的身分識別提供者。

除了邀請電子郵件或應用程式的一般 URL,您可以為來賓提供應用程式或入口網站的直接連結。 您必須先透過 Microsoft Entra 系統管理中心PowerShell 將來賓使用者新增至目錄。 然後,您可以使用任何 可自定義的方式將應用程式部署到使用者,包括直接登入連結。 當來賓使用直接連結而不是邀請電子郵件時,他們仍會引導他們進行第一次同意體驗。

注意

直接連結是租使用者特定的。 換句話說,它包含租使用者標識碼或已驗證的網域,讓來賓可在共用應用程式所在的租用戶中進行驗證。 以下是使用租用戶內容的直接連結的一些範例:

  • 應用程式存取面板: https://myapps.microsoft.com/?tenantid=<tenant id>
  • 已驗證網域的應用程式存取面板: https://myapps.microsoft.com/<;verified domain>
  • Microsoft Entra 系統管理中心:https://entra.microsoft.com/<tenant id>
  • 個別應用程式:瞭解如何使用 直接登入連結

在某些情況下,建議透過直接連結傳送邀請電子郵件。 如果這些特殊案例對貴組織很重要,建議您使用仍然傳送邀請電子郵件的方法邀請使用者:

  • 有時候受邀的用戶物件可能因為與聯繫人對象發生衝突而沒有電子郵件位址(例如 Outlook 聯繫人物件)。 在此情況下,用戶必須在邀請電子郵件中選取兌換 URL。
  • 用戶可以使用受邀電子郵件地址的別名登入。 (別名是另一個與電子郵件帳戶相關聯的電子郵件位址。在此情況下,用戶必須在邀請電子郵件中選取兌換 URL。

透過邀請電子郵件兌換程式

當您使用 Microsoft Entra 系統管理中心將來賓使用者新增至目錄時,邀請電子郵件會在程式中傳送給來賓。 當您使用 PowerShell 將來賓使用者新增至目錄時,您也可以選擇傳送邀請電子郵件。 以下是來賓在電子郵件中兌換鏈接時體驗的描述。

  1. 來賓會收到Microsoft 邀請傳送的邀請電子郵件
  2. 來賓會在電子郵件中選取 [ 接受邀請 ]。
  3. 來賓會使用自己的認證來登入您的目錄。 如果來賓沒有可與您的目錄同盟的帳戶,且 未啟用電子郵件單次密碼 (OTP) 功能,則會提示來賓建立個人 MSA。 如需詳細資訊, 請參閱邀請兌換流程
  4. 來賓會引導您瞭解 以下所述的同意體驗

與聯繫人物件衝突的兌換程式限制

有時候受邀的外部來賓用戶的電子郵件可能會與現有的 Contact 物件衝突,導致在沒有 proxyAddress 的情況下建立來賓使用者。 這是已知的限制,可防止來賓使用者使用SAML/WS-Fed IdP、MSAGoogle 同盟電子郵件一次性密碼帳戶透過直接鏈接兌換邀請。

不過,下列案例應該會繼續運作:

若要解除封鎖因聯繫人物件衝突而無法兌換邀請的使用者,請遵循下列步驟:

  1. 刪除衝突的 Contact 物件。
  2. 刪除 Microsoft Entra 系統管理中心的來賓使用者(使用者的「已接受邀請」屬性應處於擱置狀態)。
  3. 重新邀請來賓使用者。
  4. 等候用戶兌換邀請。
  5. 將使用者的聯繫人電子郵件新增回 Exchange,以及他們應加入的任何 DLL。

邀請兌換流程

當使用者在邀請電子郵件選取 [接受邀請] 連結時,Microsoft Entra ID 會根據如下所示的默認兌換訂單自動兌換邀請:

顯示兌換流程圖的螢幕快照。

  1. Microsoft Entra ID 會執行以使用者為基礎的探索,以判斷使用者是否已存在於受控 Microsoft Entra 租用戶中。 (非受控的 Microsoft Entra 帳戶無法再用於兌換流程。如果使用者的用戶主體名稱 (UPN) 同時符合現有的 Microsoft Entra 帳戶和個人 MSA,系統會提示使用者選擇要兌換的帳戶。

  2. 如果系統管理員已啟用 SAML/WS-Fed IdP 同盟,Microsoft Entra ID 會檢查使用者的網域後綴是否符合已設定 SAML/WS-Fed 識別提供者的網域,並將使用者重新導向至預先設定的識別提供者。

  3. 如果系統管理員已啟用 Google同盟,Microsoft Entra ID 會檢查使用者的網域後綴是否為 gmail.com,或 googlemail.com 並將使用者重新導向至Google。

  4. 兌換程式會檢查使用者是否有現有的個人 MSA。 如果使用者已經有現有的 MSA,他們將使用其現有的 MSA 登入。

  5. 一旦識別出使用者 的主目錄 ,使用者就會傳送至對應的識別提供者來登入。

  6. 如果找不到主目錄,且來賓已啟用電子郵件一次性密碼功能則會透過受邀的電子郵件將密碼傳送給使用者。 使用者會在 Microsoft Entra 登入頁面中擷取並輸入此密碼。

  7. 如果找不到主目錄,並停用來賓的電子郵件單次密碼,系統會提示使用者建立具有受邀電子郵件的取用者 MSA。 我們支援在 Microsoft Entra ID 內未經驗證的網域中建立具有工作電子郵件的 MSA。

  8. 驗證正確的識別提供者之後,使用者會重新導向至 Microsoft Entra ID,以完成 同意體驗

可設定的兌換

可設定的兌換 可讓您自定義在來賓兌換邀請時向來賓呈現的識別提供者順序。 當來賓選取 [ 接受邀請 ] 連結時,Microsoft Entra ID 會根據 預設順序自動兌換邀請。 您可以藉由變更跨租使用者存取設定中的識別提供者兌換順序來覆寫此值。

當來賓第一次登入合作夥伴組織中的資源時,他們會看到下列同意體驗。 這些同意頁面只會在登入之後顯示給來賓,而且如果使用者已接受這些同意頁面,則完全不會顯示這些同意頁面。

  1. 來賓會檢閱描述邀請組織隱私聲明的 [檢閱 許可權 ] 頁面。 用戶必須 根據 邀請組織的隱私策略接受其資訊的使用,才能繼續。

    顯示 [檢閱許可權] 頁面的螢幕快照。

    注意

    如需您身為租用戶系統管理員如何連結至組織隱私聲明的資訊,請參閱 操作說明:在 Microsoft Entra ID 中新增組織的隱私權資訊。

  2. 如果已設定使用規定,來賓會開啟並檢閱使用規定,然後選取 [ 接受]。

    顯示新使用條款的螢幕快照。

    您可以在外部身分>識別使用規定中設定使用規定。

  3. 除非另有指定,否則來賓會重新導向至 [應用程式存取] 面板,其中會列出來賓可以存取的應用程式。

    顯示 [應用程式存取] 面板的螢幕快照。

在您的目錄中,來賓的 邀請接受 值會變更為 [是]。 如果已建立 MSA,來賓的來源會顯示 Microsoft 帳戶。 如需來賓用戶帳戶屬性的詳細資訊,請參閱 Microsoft Entra B2B 共同作業用戶的屬性。 如果您在存取應用程式時看到需要管理員同意的錯誤,請參閱 如何將系統管理員同意授與應用程式

自動兌換程序設定

您可能會想要自動兌換邀請,讓使用者不必在新增至另一個租使用者以進行 B2B 共同作業時接受同意提示。 設定時,通知電子郵件會傳送給 B2B 共同作業使用者,而該使用者不需要採取任何動作。 使用者會直接傳送通知電子郵件,而且他們不需要先存取租使用者,才能收到電子郵件。

如需如何自動兌換邀請的資訊,請參閱 跨租使用者存取概觀設定 B2B 共同作業的跨租使用者存取設定。

下一步