使用 Microsoft Entra B2B 共同作業轉換至控管的共同作業

瞭解共同作業有助於保護對資源的外部存取。 使用本文中的資訊，將外部共同作業移至Microsoft Entra B2B 共同作業。

• 請參閱 B2B 共同作業概觀
• 瞭解： Microsoft Entra ID 中的外部身分識別

開始之前

本文是一系列 10 篇文章中的第 5 個。 建議您依序檢閱文章。 移至 [後續步驟] 一節，以查看整個系列。

控制協作

您可以限制使用者共同作業的組織（輸入和輸出），以及組織中的誰可以邀請來賓。 大部分的組織都允許業務單位決定共同作業，以及委派核准和監督。 例如，政府、教育和財務中的組織通常不允許開放共同作業。 您可以使用Microsoft Entra 功能來控制共同作業。

若要控制租使用者的存取權，請部署下列一或多個解決方案：

• 外部共同作業設定 – 限制邀請前往的電子郵件網域
• 跨租戶存取設定 – 依使用者、群組或租戶控制來賓的應用程式存取權（入站）。 控制使用者對外部 Microsoft Entra 租戶及應用程式的存取權（出站）。
• 已連線的組織 – 決定哪些組織可以在權利管理中要求存取套件

判斷共同作業合作夥伴

如有需要，請記錄您合作的組織和組織使用者的網域。 網域型限制可能不切實際。 一個共同作業合作夥伴可以有多個網域，而合作夥伴可以新增網域。 例如，具有多個業務單位的合作夥伴，具有個別網域，可以在設定同步處理時新增更多網域。

如果您的使用者正在使用 Microsoft Entra B2B，您可以透過登入記錄、PowerShell 或工作簿來查詢他們正在共同合作的外部 Microsoft Entra 租戶。 瞭解更多資訊：

• 取得 MsIdCrossTenantAccessActivity
• 跨租戶存取活動活頁簿

您可以啟用與以下對象的未來合作：

• 外部組織 - 最具包容性
• 外部組織，但非遭拒的組織
• 特定外部組織 - 限制最嚴格

備註

如果您的共同作業設定具有高度限制性，您的使用者可能會超出共同作業架構。 我們建議您促進在您的安全需求允許下的廣泛合作。

一個網域的限制可以防止與具有其他不相關網域的組織進行授權的共同作業。 例如，與 Contoso 的初始接觸點可能是來自美國且擁有 .com 網域電子郵件的員工。 不過，如果您只允許 .com 網域，您可以排除擁有 .ca 網域的加拿大員工。

您可以為部分使用者允許特定的共同作業合作夥伴。 例如，大學可能會限制學生帳戶存取外部租使用者，但可讓教職員與外部組織共同作業。

具有外部共同作業設定的允許清單和封鎖清單

您可以使用組織的允許清單或封鎖清單。 您可以使用允許清單或封鎖清單，而不是兩者。

• Allowlist - 將共同作業限製為網域清單。 其他網域位於封鎖清單中。
• 封鎖清單 - 允許與不在封鎖清單上的網域共同作業

深入了解： 允許或封鎖來自特定組織的 B2B 用戶的邀請

這很重要

允許清單和封鎖清單不適用於目錄中的使用者。 根據預設，它們不適用於商務用 OneDrive 和 SharePoint 允許清單或封鎖清單;這些清單是分開的。 不過，您可以啟用 SharePoint-OneDrive B2B 整合。

某些組織擁有來自管理式安全性供應商的惡意網域封鎖清單。 例如，如果組織與 Contoso 進行業務，並使用 .com 網域，則不相關的組織可以使用 .org 網域，並嘗試網路釣魚攻擊。

跨租用戶存取設定

您可以使用跨租戶存取設定來控制入站和出站存取。 此外，您可以信任來自外部 Microsoft Entra 租戶的多因素驗證、相容裝置，以及 Microsoft Entra 混合聯結裝置 (HAAJD) 的宣告。 當您設定組織原則時，它會套用至 Microsoft Entra 租戶，並套用至該租戶中的使用者，而不論網域後綴為何。

您可以在 Microsoft 雲端中啟用協作，例如由 21Vianet 營運的 Microsoft Azure 或 Azure Government。 判斷您的共同作業合作夥伴是否位於不同的Microsoft雲端。

瞭解更多資訊：

• 由 21Vianet 營運的 Microsoft Azure
• Azure Government 開發人員指南
• 設定 Microsoft B2B 共同作業的雲端設定 （預覽） 。

您可以允許特定租用戶的輸入存取權（allowlist），並設定預設原則來封鎖存取。 然後，建立允許使用者、群組或應用程式存取的組織原則。

您可以封鎖對租使用者的存取權（封鎖清單）。 將默認原則設定為 [允許 ]，然後建立封鎖某些租使用者存取的組織原則。

備註

跨租用戶存取設定中，入站存取不會阻止用戶傳送邀請，也不會阻止他們兌換邀請。 不過，它會控制應用程式存取，以及令牌是否發行給來賓使用者。 如果來賓可以兌換邀請，原則會封鎖應用程式存取。

若要控制外部組織使用者存取，請設定與輸入存取類似的輸出存取原則：allowlist 和 blocklist。 設定預設和組織特定的原則。

深入瞭解： 設定 B2B 共同作業的跨租戶存取設定

備註

跨租戶存取設定適用於 Microsoft Entra 租戶。 若要控制未使用 Microsoft Entra ID 之合作夥伴的存取權，請使用外部共同作業設定。

權限管理和關聯的組織

使用權限管理來確保自動訪客生命週期管理。 建立存取套件，並將其發佈至外部使用者或已連線的組織，以支援Microsoft Entra 租使用者和其他網域。 當您建立存取套件時，請限制對已連線組織的存取。

深入了解： 什麼是權利管理？

控制外部使用者存取

若要開始共同作業，請邀請或讓合作夥伴存取資源。 使用者可透過：

• Microsoft Entra B2B 共同作業邀請兌換
• 自助式註冊
• 要求存取權利管理中的存取套件

當您啟用 Microsoft Entra B2B 時，您可以透過連結或電子郵件邀請來邀請來賓使用者。 自助式註冊，並將存取套件發佈至「我的存取」入口網站，需要更多設定。

備註

自助式註冊不會在外部共同作業設定中強制執行允許清單或封鎖清單。 請改用跨租戶存取設定。 您可以使用自定義 API 連接器，將allowlist和 blocklist 與自助式註冊整合。 參見將 API 連接器新增至使用者流程。

來賓用戶邀請

判斷誰可以邀請來賓使用者存取資源。

• 限制最嚴格：只允許具有來賓邀請者角色的系統管理員和使用者
  • 請參閱如何配置外部共同作業設定
• 如果安全性需求允許，允許所有成員UserType邀請來賓
• 判斷 Guest UserType 是否可以邀請來賓

  • 來賓帳號是 Microsoft Entra B2B 的預設用戶帳戶

    

外部用戶資訊

使用Microsoft Entra 權利管理來設定外部使用者回答的問題。 問題呈現給審核者，以協助他們做出決定。 您可以針對每個存取套件原則設定一組問題，讓核准者有相關信息供他們核准存取。 例如，要求廠商提供其廠商合約號碼。

深入瞭解： 在權利管理中變更存取套件的核准和要求者資訊設定

如果您使用自助入口網站，請使用 API 連接器在註冊期間收集用戶屬性。 使用屬性來指派存取權。 您可以在 Azure 入口網站中建立自訂屬性，並在自助式註冊使用者流程中使用它們。 使用 Microsoft Graph API 讀取和寫入這些屬性。

瞭解更多資訊：

• 使用 API 連接器來自定義和擴充自助式註冊
• 使用 Microsoft Graph 管理 Azure AD B2C

針對Microsoft Entra 用戶的邀請兌換進行疑難解答

來自合作夥伴的受邀訪客用戶可能會遇到兌換邀請的困難。 如需緩和措施，請參閱下列清單。

• 用戶網域不在允許清單中
• 合作夥伴的房屋租客限制會防止外部合作
• 使用者不在合作夥伴的 Microsoft Entra 租戶中。 例如，contoso.com 的用戶位於Active Directory 中。
  • 他們可以使用電子郵件一次性密碼（OTP）兌換邀請。
  • 請參閱 Microsoft Entra B2B 共同作業邀請兌換

外部使用者存取

一般而言，有些資源可以與外部用戶共用，有些則無法共用。 您可以控制哪些外部使用者存取。

深入瞭解： 使用權利管理管理管理外部存取

根據預設，來賓使用者會看到租用戶成員和其他合作夥伴的相關信息和屬性，包括群組成員資格。 請考慮限制外部使用者存取這項資訊。

我們建議使用下列來賓使用者限制：

• 限制來賓存取瀏覽目錄中的群組和其他屬性
  • 使用外部協作設定來限制訪客讀取他們不是成員的群組
• 封鎖存取僅限員工的應用程式
  • 建立條件式存取原則，以封鎖非來賓使用者的 Microsoft Entra 整合式應用程式的存取
• 封鎖對 Azure 入口網站的存取
  • 您可以做出必要的例外决定
  • 建立適用於所有訪客和外部使用者的條件式存取原則。 實作原則來封鎖存取。

深入瞭解 ：條件式存取：雲端應用程式、動作和驗證內容

拿掉不需要存取權的使用者

建立程式以檢閱和移除不需要存取權的使用者。 在您的租戶中，包含外部使用者作為來賓，以及具有成員帳戶的內部使用者。

深入瞭解： 使用 Microsoft Entra ID Governance 來檢閱和移除不再具有資源存取權的外部使用者

某些組織會將外部使用者新增為成員（廠商、合作夥伴和承包商）。 指定屬性或使用者名稱：

• 廠商 - v-alias@contoso.com
• 合作夥伴 - p-alias@contoso.com
• 承包商 - c-alias@contoso.com

評估具有成員帳戶的外部使用者，以判斷存取權。 您可能有未通過權利管理或 Microsoft Entra B2B 邀請的來賓使用者。

若要尋找這些使用者：

• 使用 Microsoft Entra ID Governance 來檢閱和移除不再具有資源存取權的外部使用者
• 在 access-reviews-samples/ExternalIdentityUse/ 上使用範例 PowerShell 腳本

將目前的外部用戶轉換為 Microsoft Entra B2B

如果您未使用 Microsoft Entra B2B，則您的租使用者中可能會有非員工使用者。 建議您將這些帳戶轉換為 Microsoft Entra B2B 外部使用者帳戶，然後將其 UserType 變更為 Guest。 使用 Microsoft Entra ID 和 Microsoft 365 來處理外部使用者。

包含或排除：

• 條件式存取原則中的來賓使用者
• 存取套件中的來賓使用者和存取審查
• Microsoft Teams、SharePoint 和其他資源的外部存取權

您可以轉換這些內部使用者，同時維護目前的存取權、用戶主體名稱（UPN）和群組成員資格。

了解更多：邀請外部使用者進行 B2B 合作

停用協作方法

若要完成轉換至受管控的協同合作，請停用不必要的協同合作方式。 退役是根據對合作的控制層級和安全性狀態而進行的。 請參閱 判斷外部存取的安全性狀態。

Microsoft Teams 邀請

根據預設，Teams 允許外部存取。 組織可以與外部網域通訊。 若要限制或允許Teams的網域，請使用 Teams系統管理中心。

透過 SharePoint 和 OneDrive 共用

透過 SharePoint 和 OneDrive 共用會新增不在權利管理程式中的使用者。

• 保護Microsoft Teams、SharePoint 和商務用 OneDrive 的外部存取
• 封鎖 Office 的 OneDrive 使用

以電子郵件傳送的檔和敏感度標籤

使用者透過電子郵件將檔傳送給外部使用者。 您可以使用敏感度標籤來限制和加密對檔案的存取。

請參閱和了解 敏感度標籤。

未經批准的共同作業工具

某些使用者可能會使用Google Docs、Dropbox、Slack或 Zoom。 您可以在公司網路中封鎖使用這些工具，可以在防火牆層級進行封鎖，並使用行動應用程式管理針對組織管理的裝置。 不過，此動作會封鎖獲批准的實例，且不會封鎖來自非受控裝置的存取。 封鎖您不想要的工具，並建立不批准使用的原則。

如需控管應用程式的詳細資訊，請參閱：

• 控管已連線的應用程式
• 治理探索到的應用程式

後續步驟

使用下列系列文章來了解如何保護對資源的外部存取。 建議您遵循列出的順序。

1. 使用 Microsoft Entra 識別符來判斷外部存取的安全性狀態

2. 探索組織中外部共同作業的目前狀態

3. 建立外部資源存取的安全性計劃

4. 使用 Microsoft Entra ID 和 Microsoft 365 中的群組保護外部存取

5. 轉換至由 Microsoft Entra B2B 共同管理的合作模式 （您在這裡）

6. 使用 Microsoft Entra 權利管理來管理外部存取

7. 使用條件式存取原則來管理外部資源存取

8. 使用敏感度標籤控制Microsoft Entra ID 中的資源外部存取

9. 使用 Microsoft Entra 標識符保護Microsoft Teams、SharePoint 和商務用 OneDrive 的外部存取

10. 將當地來賓帳戶轉換為 Microsoft Entra B2B 來賓帳戶