B2B 共同作業概觀

Azure Active Directory (Azure AD) B2B 共同作業是外部身分識別中的一項功能,可讓您邀請來賓使用者與您的組織共同作業。 透過 B2B 共同作業,您可以與外部使用者安全地共用公司的應用程式與服務,同時持續控制您公司的資料。 儘管外部使用者 (不論規模大小) 沒有 Azure AD 或 IT 部門,您皆可與其安全共同作業。

說明 B2B 共同作業的圖表。

簡單的邀請和兌換流程,讓合作夥伴使用自己的認證存取您公司的資源。 您也可以啟用自助式註冊使用者流程,讓外部使用者能自行註冊應用程式或資源。 一旦外部使用者兌換其邀請或完成註冊之後,他們就會在您的目錄中以使用者物件表示。 B2B 共同作業使用者物件通常會被指定成「來賓」的使用者類型,並可透過其使用者主體名稱中的 #EXT# 擴充識別。

開發人員可以使用 Azure AD 企業對企業 API 來自訂邀請程序,或撰寫自助式註冊入口網站等應用程式。 如需來賓使用者的相關授權與價格資訊,請參閱 Azure Active Directory 定價

重要

針對所有新租用戶,以及您尚未明確關閉的任何現有租用戶,現在預設會開啟電子郵件一次性密碼功能。 關閉此功能時,後援驗證方法是提示受邀者建立 Microsoft 帳戶。

使用他們的身分識別與任何夥伴共同作業

透過 Azure AD B2B,合作夥伴會使用自己的身分識別管理解決方案,因此您的組織不會有外部系統管理額外負荷。 來賓使用者使用自己的公司、學校或社交身分識別登入您的應用程式與服務。

  • 夥伴會使用自己的身分識別與認證,無論其是否有 Azure AD 帳戶。
  • 您不需要管理外部帳戶或密碼。
  • 您不需要同步處理帳戶或管理帳戶的生命週期。

管理與其他組織和雲端的共同作業

預設會啟用 B2B 共同作業,但完整的系統管理設定可讓您控制與外部夥伴與組織的輸入和輸出 B2B 共同作業:

  • 針對與其他 Azure AD 組織的 B2B 共同作業,請使用跨租用戶存取設定。 管理輸入和輸出 B2B 共同作業,並設定特定使用者、群組和應用程式存取的範圍。 設定套用至所有外部組織的預設設定,並視需要建立個別、組織特定的設定。 透過跨租用戶設定,您也可以信任其他 Azure AD 組織的多重要素 (MFA) 與裝置宣告 (符合規範的宣告及已使用混合式 Azure AD 而聯結的宣告)。

  • 使用 [外部共同作業設定],定義誰可以邀請外部使用者、允許或封鎖 B2B 特定網域,以及對您目錄的來賓使用者存取設定限制。

  • 使用Microsoft 雲端設定 (預覽) ,在 Microsoft Azure 全球雲端與Microsoft Azure GovernmentMicrosoft Azure China 21Vianet之間建立相互 B2B 共同作業。

從 Azure AD 入口網站輕鬆地邀請來賓使用者

系統管理員可以在 Azure 入口網站中輕鬆地將來賓使用者新增到您的組織。

  • 在 Azure AD 中建立新的來賓使用者,類似於加入新使用者的方式。
  • 將來賓使用者指派給應用程式或群組。
  • 傳送包含兌換連結的邀請電子郵件,或傳送直接連結至您想要共用的應用程式。

顯示 [邀請新的來賓使用者邀請專案] 頁面的螢幕擷取畫面。

  • 來賓使用者只需幾個簡單的兌換步驟即可登入。

顯示 [檢閱權限] 頁面的螢幕擷取畫面。

允許自助式註冊

透過自助式註冊使用者流程,您可以為想要存取您應用程式的外部使用者建立註冊體驗。 在註冊流程中,您可以為不同的社交或企業識別提供者提供選項,並收集使用者的相關資訊。 了解自助式註冊及如何進行設定

您也可以使用 API 連接器,將您的自助式註冊使用者流程與外部雲端系統整合。 您可以使用自訂核准工作流程進行連線、執行身分識別驗證、驗證使用者提供的資訊等等。

顯示使用者流程頁面的螢幕擷取畫面。

使用原則來安全地共用您的應用程式與服務

您可以使用驗證與授權原則,保護您的公司內容。 可以強制執行條件式存取原則,例如多重要素驗證:

  • 在租用戶層級。
  • 在應用程式層級。
  • 針對特定來賓使用者來保護公司應用程式與資料。

顯示 [條件式存取] 選項的螢幕擷取畫面。

讓應用程式與群組擁有者管理自己的來賓使用者

您可以將來賓使用者管理委派給應用程式擁有者,讓他們可以將來賓使用者直接新增到他們想要共用的任何應用程式,無論它是否為 Microsoft 應用程式。

  • 系統管理員可設定自助式應用程式與群組管理。
  • 非系統管理員必須使用其存取面板將來賓使用者新增到應用程式或群組。

顯示來賓使用者存取面板的螢幕擷取畫面。

自訂 B2B 來賓使用者的上線體驗

讓您的外部合作夥伴以針對您組織需求量身打造的方式上線使用。

與識別提供者整合

Azure AD 支援 Facebook、Microsoft 帳戶、Google 或企業識別提供者之類的外部識別提供者。 您可以設定與識別提供者的同盟。 如此一來,外部使用者就可以使用現有的社交或企業帳戶登入,而不只是為您的應用程式建立新的帳戶。 深入了解外部身分識別的識別提供者

顯示 [識別提供者] 頁面的螢幕擷取畫面。

與 SharePoint 和 OneDrive 整合

您可以啟用與 SharePoint 和 OneDrive 的整合,以與組織外部人員共用檔案、資料夾、清單項目、文件庫和網站,同時使用 Azure B2B 進行驗證和管理。 您共用資源的使用者通常會新增至您的目錄作為來賓,而權限和群組對這些來賓的運作方式與內部使用者相同。 啟用與 SharePoint 和 OneDrive 的整合時,您也會在 Azure AD B2B 中啟用電子郵件一次性密碼功能,以作為後援驗證方法。

電子郵件一次性密碼設定的螢幕擷取畫面。

後續步驟