Microsoft Entra B2B 共同作業用戶的屬性
B2B 共同作業是 Microsoft Entra 外部身分識別的功能,可讓您與組織外部的使用者和合作夥伴共同作業。 使用 B2B 共同作業時,會邀請外部使用者使用自己的認證登入您的 Microsoft Entra 組織。 此 B2B 共同作業使用者隨後可以存取您想要與他們共用的應用程式和資源。 系統會為 B2B 共同作業使用者在與員工相同的目錄中,建立使用者物件。 B2B 共同作業使用者物件預設在目錄中具有有限權限,而且可以像管理員工一樣進行管理、新增至群組等。 本文討論此用戶對象的屬性,以及管理它的方式。
下表說明 B2B 共同作業用戶根據他們如何驗證(內部或外部)及其與貴組織的關係(來賓或成員)。
- 外部來賓: 通常被視為外部使用者或來賓的大多數用戶都屬於此類別。 此 B2B 共同作業使用者具有外部 Microsoft Entra 組織或外部身分識別提供者的帳戶(例如社交身分識別),而且他們在資源組織中具有來賓層級許可權。 在資源 Microsoft Entra 目錄中建立的用戶物件具有 Guest 的 UserType。
- 外部成員: 此 B2B 共同作業用戶擁有外部 Microsoft Entra 組織中的帳戶或外部識別提供者(例如社交身分識別)和成員層級存取貴組織中的資源。 此案例常見於由多個租用戶組成的組織,其中使用者會被視為較大型組織的一部分,而且需要成員層級存取組織其他租使用者中的資源。 在資源 Microsoft Entra 目錄中建立的用戶物件具有 Member 的 UserType。
- 內部來賓: 在 Microsoft Entra B2B 共同作業可供使用之前,通常會藉由設定用戶物件 UserType 為 Guest,來設定其內部認證,並將其指定為來賓,以與散發者、供貨商、廠商和其他人員共同作業。 如果您有這類內部來賓使用者,您可以邀請他們改用 B2B 共同作業,讓他們能夠使用自己的認證,允許其外部身分識別提供者管理驗證及其帳戶生命週期。
- 內部成員: 這些使用者通常被視為貴組織的員工。 用戶會透過 Microsoft Entra 識別碼在內部進行驗證,而且在資源 Microsoft Entra 目錄中建立的用戶物件具有 Member 的 UserType。
您選擇的使用者類型對於應用程式或服務有下列限制(但不限於):
| 應用程式或服務 | 限制 |
|---|---|
| Power BI | - Power BI 中 UserType 成員的支援目前為預覽狀態。 如需詳細資訊,請參閱 使用 Microsoft Entra B2B 將 Power BI 內容散發給外部來賓使用者。 |
| Azure 虛擬桌面 | - Azure 虛擬桌面不支援外部成員和外部來賓。 |
重要
所有新租使用者,以及您尚未明確關閉的任何現有租用戶,現在預設會開啟電子郵件一次性密碼功能。 當此功能關閉時,後援驗證方法是提示受邀者建立 Microsoft 帳戶。
邀請兌換
現在,讓我們看看 Microsoft Entra B2B 共同作業使用者在 Microsoft Entra 外部 ID 的外觀。
邀請兌換之前
B2B 共同作業用戶帳戶是邀請來賓使用者使用來賓使用者自己的認證共同作業的結果。 當邀請最初傳送給來賓使用者時,會在您的租使用者中建立帳戶。 此帳戶沒有任何與其相關聯的認證,因為驗證會由來賓使用者的識別提供者來執行。 目錄中來賓用戶帳戶的Identities屬性會設定為主機的組織網域,直到來賓兌換其邀請為止。 傳送邀請的使用者會新增為來賓用戶帳戶上[贊助者] 屬性的預設值。 在系統管理中心,受邀使用者的配置文件會顯示PendingAcceptance的外部用戶狀態。 使用 externalUserState Microsoft Graph API 進行查詢將會傳回 Pending Acceptance。
邀請兌換之後
B2B 共同作業使用者接受邀請之後, 會根據用戶的識別提供者更新Identities 屬性。
如果 B2B 共同作業使用者使用來自其他外部識別提供者的 Microsoft 帳戶或認證, 則身分識別 會反映識別提供者,例如 Microsoft 帳戶、 google.com 或 facebook.com。
如果 B2B 共同作業使用者使用來自另一個 Microsoft Entra 組織的認證, 則 Identities 是 ExternalAzureAD。
對於使用內部認證的外部使用者, Identities 屬性會設定為主機的組織網域。 如果帳戶位於組織的 內部部署的 Active Directory 並與 Microsoft Entra 標識元同步處理,則目錄同步處理屬性為 [是],如果帳戶是僅限雲端的 Microsoft Entra 帳戶,則為 [否]。 您也可以透過
onPremisesSyncEnabledMicrosoft Graph 中的 屬性取得目錄同步資訊。
Microsoft Entra B2B 共同作業使用者的主要屬性
使用者主體名稱
B2B 共同作業使用者物件的用戶主體名稱 (UPN) 包含 #EXT# 識別碼。
使用者類型
此屬性指出使用者與主機租用戶的關聯性。 此屬性可以包含兩個值:
成員:此值表示主機組織的員工和組織薪資的使用者。 例如,此使用者應該能夠存取僅供內部使用的網站。 此使用者不會被視為外部共同作業者。
來賓:此值表示不會被視為公司內部的使用者,例如外部共同作業者、合作夥伴或客戶。 例如,這類使用者不會收到首席執行官(CEO)的內部備忘錄或獲得公司福利。
注意
[使用者類型] 與使用者的登入方式、使用者的目錄角色等無關。 此屬性只會表示使用者與主機組織的關聯性,並可讓組織強制執行相依於此屬性的原則。
身分識別
這個屬性表示使用者的主要識別提供者。 用戶可以有數個識別提供者,可藉由選取使用者配置檔中 [身分識別] 旁的連結,或透過 Microsoft Graph API 查詢 identities 屬性來檢視。
注意
身分識別和 UserType 是獨立的屬性。 Identities 的值並不表示 UserType 的特定值。
| Identities 屬性值 | 登入狀態 |
|---|---|
| ExternalAzureAD | 此使用者位於外部組織,並使用屬於其他組織的 Microsoft Entra 帳戶進行驗證。 |
| Microsoft 帳號 | 此使用者位於 Microsoft 帳戶,並使用 Microsoft 帳戶進行驗證。 |
| {主機的網域} | 此使用者會使用屬於此組織的 Microsoft Entra 帳戶進行驗證。 |
| google.com | 此使用者具有 Gmail 帳戶,且已使用自助功能來註冊其他組織。 |
| facebook.com | 此使用者具有 Facebook 帳戶,且已使用自助功能來註冊其他組織。 |
| 郵件 | 此使用者已使用 Microsoft Entra 外部 ID 電子郵件一次性密碼 (OTP) 進行註冊。 |
| {簽發者 URI} | 此用戶位於外部組織中,其不會使用 Microsoft Entra ID 作為其識別提供者,而是改用安全性聲明標記語言 (SAML)/WS-Fed 型識別提供者。 按兩下 [身分識別] 字段時,會顯示簽發者 URI。 |
外部使用者不支援 電話 登入。 B2B 帳戶無法使用 phone 值作為識別提供者。
已同步處理目錄
Directory synced 屬性會指出使用者是否正在與 內部部署的 Active Directory 同步,並在內部部署進行驗證。 如果帳戶位於組織的 內部部署的 Active Directory 並與 Microsoft Entra 標識元同步處理,則此屬性為 [是],如果帳戶是僅限雲端的 Microsoft Entra 帳戶,則為 [否]。 在 Microsoft Graph 中,目錄同步處理屬性會對應至 onPremisesSyncEnabled。
Microsoft Entra B2B 使用者是否可新增為成員而非來賓?
一般而言,Microsoft Entra B2B 使用者與來賓使用者為同義字。 因此,Microsoft Entra B2B 共同作業用戶預設會新增為 UserType 設定為 Guest 的使用者。 不過,在某些情況下,夥伴組織是主機組織同屬較大型組織的成員。 在此情況下,主機組織可能會想要將夥伴組織中的使用者視為成員而非來賓。 使用 Microsoft Entra B2B 邀請管理員 API,將合作夥伴組織的使用者新增或邀請至主機組織做為成員。
篩選目錄中的來賓使用者
在 [使用者] 清單中,您可以使用 [新增篩選] 只顯示目錄中的來賓使用者。
轉換使用者類型
在 Microsoft Entra 系統管理中心或使用 PowerShell 編輯使用者配置檔,可以將 UserType 從 Member 轉換為 Guest,反之亦然。 不過,[使用者類型] 屬性代表使用者與組織的關聯性。 因此,只有在使用者與組織的關聯性變更時,才應該變更此屬性。 如果使用者的關聯性變更,是否應該變更使用者主體名稱 (UPN)? 使用者是否應該繼續存取相同的資源? 是否應該指派信箱?
來賓使用者權限
來賓使用者具有 預設限制的目錄許可權。 他們可以管理自己的設定檔、變更自己的密碼,以及擷取其他使用者、群組和應用程式的相關資訊。 不過,他們無法讀取所有目錄資訊。
Microsoft Teams 共用頻道不支援 B2B 來賓使用者。 如需共用通道的存取權,請參閱 B2B 直接連線。
您有時可能想要為來賓使用者提供較高的權限。 您可以將來賓使用者新增至任何角色,甚至是移除目錄中的預設來賓使用者限制,以為使用者提供與成員相同的權限。 您可以關閉預設限制,讓公司目錄中的來賓使用者擁有與成員使用者相同的權限。 如需詳細資訊,請參閱限制 Microsoft Entra 外部 ID 中的來賓訪問許可權一文。
![顯示 [使用者設定] 中 [外部使用者] 選項的螢幕擷取畫面。](media/user-properties/remove-guest-limitations.png)
我可以在 Exchange 全域通訊清單中顯示來賓使用者嗎?
是。 根據預設,來賓物件不會顯示在您組織的全域通訊清單中,但您可以使用 Microsoft Graph PowerShell 來顯示它們。 如需詳細資訊,請參閱 Microsoft 365 每組來賓存取文章中的。
我可以更新來賓用戶的電子郵件位址嗎?
如果來賓使用者接受您的邀請,且後續變更其電子郵件位址,新的電子郵件不會自動同步至目錄中的來賓用戶物件。 郵件屬性是透過 Microsoft Graph API 建立的。 您可以透過 Microsoft Graph API、Exchange 系統管理中心或 Exchange Online PowerShell 來更新郵件屬性。 變更會反映在 Microsoft Entra 來賓用戶物件中。