Azure Active Directory B2B 共同作業使用者的屬性

B2B 共同作業是 Azure AD 外部身分識別的功能,可讓您與組織外部的使用者和合作夥伴共同作業。 使用 B2B 共同作業時,會邀請外部使用者使用自己的認證登入您的 Azure AD 組織。 此 B2B 共同作業使用者隨後可以存取您想要與他們共用的應用程式和資源。 系統會為 B2B 共同作業使用者在與員工相同的目錄中,建立使用者物件。 在您的目錄中,B2B 共同作業使用者物件的權限預設為有限,而且可以像員工一樣受到管理、新增至群組等等。 本文討論這個使用者物件的屬性,以及其管理的方式。

下表根據 B2B 共同作業使用者在內部或外部的驗證,以及與您的組織 (來賓或成員) 之間的關聯性,說明 B2B 共同作業使用者的運作方式。

顯示 B2B 共同作業使用者的示意圖。

  • 外部來賓:通常被視為外部使用者或來賓的大部分使用者都屬於此類別。 此 B2B 共同作業使用者具有外部 Azure AD 組織或外部身分識別提供者 (例如社交身分識別) 的帳戶,他們在您資源組織中具有來賓層級的權限。 在資源 Azure AD 目錄中建立的使用者物件具有來賓 UserType。
  • 外部成員:此 B2B 共同作業使用者具有外部 Azure AD 組織或外部身分識別提供者 (例如社交身分識別) 的帳戶,以及您組織中成員層級的資源存取權。 此案例在由多個租用戶所組成的組織中很常見,其中使用者被視為較大型組織的一部分,而且對組織其他租用戶中的資源需要成員層級的存取權。 在資源 Azure AD 目錄中建立的使用者物件具有成員 UserType。
  • 內部來賓:在 Azure AD B2B 共同作業可供使用之前,您通常會與經銷商、供應商、廠商和其他人共同作業,方法是設定其內部認證,並透過設定使用者物件 UserType 將其指定為來賓。 如果您有像這樣的內部來賓使用者,您可以邀請他們改用 B2B 共同作業,讓他們可以使用自己的認證,允許其外部識別提供者管理驗證及其帳戶生命週期。
  • 內部成員:這些使用者通常視為組織的員工。 使用者會透過 Azure AD 進行內部驗證,而資源 Azure AD 目錄中所建立的使用者物件具有成員的 UserType。

重要

針對所有新租用戶,以及您尚未明確關閉的任何現有租用戶,現在預設會開啟電子郵件一次性密碼功能。 關閉此功能時,後援驗證方法是提示受邀者建立 Microsoft 帳戶。

兌換邀請

現在,讓我們來看看 Azure AD B2B 共同作業使用者在 Azure AD 中的外觀。

邀請兌換之前

邀請來賓使用者利用自有認證來進行共同作業後,就會產生 B2B 共同作業使用者帳戶。 初次傳送邀請給來賓使用者時,您的租用戶中就會建立帳戶。 此帳戶沒有任何與其相關聯的認證,因為驗證會由來賓使用者的識別提供者來執行。 在來賓兌換邀請前,目錄中的來賓使用者帳戶 [身分識別] 屬性會設為主機的組織網域。 在入口網站中,受邀使用者的設定檔會顯示 PendingAcceptance外部使用者狀態。 使用 Microsoft Graph API 查詢 externalUserState 會傳回 Pending Acceptance

螢幕擷取畫面:兌換之前的使用者設定檔。

邀請兌換之後

B2B 共同作業使用者接受邀請後,[身分識別] 屬性會根據使用者的識別提供者更新。

  • 如果 B2B 共同作業使用者使用另一個外部識別提供者的 Microsoft 帳戶或認證,[身分識別] 會反映識別提供者,例如 Microsoft 帳戶google.comfacebook.com

    螢幕擷取畫面:兌換之後的使用者設定檔。

  • 如果 B2B 共同作業使用者使用另一個 Azure AD 組織的認證,[身分識別] 即為 [外部 Azure AD]。

  • 如果是使用內部認證的外部使用者,[身分識別] 屬性會設為主機的組織網域。 如果帳戶是在組織的內部部署 Active Directory 中,並與 Azure AD 同步,則此 [同步處理的目錄] 屬性為 [是],如果帳戶為僅限於雲端的 Azure AD 帳戶,則此屬性為 [否]。 目錄同步資訊也可以透過 Microsoft Graph 中的 onPremisesSyncEnabled 屬性取得。

Azure AD B2B 共同作業使用者的金鑰屬性

使用者主體名稱

B2B 共同作業使用者物件的使用者主體名稱包括 #EXT# 識別碼。

使用者類型

此屬性會指出使用者與主機租用的關聯性。 此屬性可以包含兩個值:

  • 成員︰此值表示主機組織的員工,以及由組織支薪的使用者。 例如,這位使用者要能夠存取僅供內部使用的網站。 此使用者不會被視為外部共同作業者。

  • 來賓:此值表示不會被視為公司內部的使用者,例如外部共同作業者、合作夥伴或客戶。 這類使用者不應該收到執行長的內部備忘,或收到公司權益等。

注意

[使用者類型] 與使用者的登入方式、使用者的目錄角色等無關。 此屬性只是表示使用者與主機組織的關聯性,並可讓組織強制執行此屬性的相依原則。

Identities

這個屬性表示使用者的主要身分識別提供者。 使用者可以使用數個識別提供者,在使用者設定檔中選取 [身分識別] 旁的連結可檢視識別提供者,或透過 Microsoft Graph API 查詢 onPremisesSyncEnabled 屬性。

注意

身分識別和 UserType 是獨立的屬性。 身分識別的值不表示特定的 UserType 值

身分識別屬性值 登入狀態
外部 Azure AD 此使用者位於外部組織,並使用屬於其他組織的 Azure AD 帳戶進行驗證。
Microsoft 帳戶 此使用者位於 Microsoft 帳戶,並使用 Microsoft 帳戶進行驗證。
{主機的網域} 此使用者會使用屬於此組織的 Azure AD 帳戶進行驗證。
google.com 此使用者具有 Gmail 帳戶,並已使用自助服務向另一個組織註冊。
facebook.com 此使用者具有 Facebook 帳戶,並已使用自助服務向另一個組織註冊。
mail 此使用者已使用 Azure AD Email一次性密碼 (OTP) 註冊。
{憑證簽發者 URI} 此使用者位於外部組織,未使用 Azure Active Directory 做為其身分識別提供者,而是使用以 SAML/WS-Fed 為基礎的識別提供者。 按一下 [憑證簽發者] 欄位,系統會顯示簽發者 URI。

同步處理的目錄

[已同步作業的目錄] 屬性會顯示使用者是否已經與內部部署 Active Directory 同步,而且會在內部部署中進行驗證。 如果帳戶是在組織的內部部署 Active Directory 中,並與 Azure AD 同步,則此屬性為 [是],如果帳戶是僅限於雲端的 Azure AD 帳戶,則此屬性為 [否]。 在 Microsoft Graph 中,同步處理的目錄屬性會對應到 onPremisesSyncEnabled

Azure AD B2B 使用者是否可新增為成員而非來賓?

一般而言,Azure AD B2B 使用者和來賓使用者的意義相同。 因此,Azure AD B2B 共同作業使用者根據預設是將 UserType 的使用者設為 [來賓]。 不過,在某些情況下,合作夥伴組織是主機組織也所屬之較大組織的成員。 在此情況下,主機組織可能會想要將夥伴組織中的使用者視為成員而非來賓。 您可以使用 Azure AD B2B 邀請管理員 API,將夥伴組織中的使用者新增或邀請至主機組織作為成員。

篩選目錄中的來賓使用者

在 [使用者] 清單中,您可以使用 [新增篩選條件],在目錄中只顯示來賓使用者。

此螢幕擷取畫面顯示如何新增來賓的使用者類型篩選條件。

螢幕擷取畫面:顯示來賓使用者的篩選條件。

轉換 UserType

您可以藉由編輯 Azure 入口網站中的使用者設定檔,或使用 PowerShell,將 UserType 從成員轉換成來賓,反之亦然。 不過,UserType 屬性會代表使用者與組織的關聯性。 因此,只有在使用者與組織的關聯性變更時,才應該變更此屬性。 如果使用者的關聯性變更,是否應該變更使用者主體名稱 (UPN)? 使用者是否應該繼續存取相同的資源? 是否應該指派信箱?

來賓使用者權限

來賓使用者預設的目錄權限有限。 他們可以管理自己的設定檔、變更自己的密碼,以及擷取其他使用者、群組和應用程式的相關資訊。 但卻無法讀取所有目錄資訊。

Microsoft Teams 共用頻道不支援 B2B 來賓使用者。 如需共用通道的存取權,請參閱 B2B 直接連接。

您有時可能想要為來賓使用者提供較高的權限。 您可以將來賓使用者新增至任何角色,甚至是移除目錄中的預設來賓使用者限制,以為使用者提供與成員相同的權限。 您可以關閉預設限制,讓公司目錄中的來賓使用者擁有與成員使用者相同的權限。 如需詳細資訊,請參閱文章:在 Azure Active Directory 中限制來賓的存取權限

顯示使用者設定中「外部使用者」選項的螢幕擷取畫面。

能否在 Exchange 全域通訊清單中顯示來賓使用者?

可以。 根據預設,來賓物件不會在貴組織的全域通訊清單中顯示,但您可以使用 Azure Active Directory PowerShell 讓其顯示。 如需詳細資訊,請參閱 Microsoft 365 個別群組來賓存取文章中的「將來賓新增至全域通訊清單」。

我可以更新來賓使用者的電子郵件地址嗎?

如果來賓使用者接受您的邀請,且後續變更其電子郵件地址,則新的電子郵件不會自動同步至您目錄中的來賓使用者物件。 郵件屬性是透過 Microsoft Graph API 建立。 您可以透過 Microsoft Graph API、Exchange 系統管理中心,或者 Exchange Online PowerShell 來更新郵件屬性。 變更將會反映在 Azure AD guest 使用者物件中。

後續步驟