Microsoft Entra B2B 最佳做法
適用於:
員工員工租使用者外部租
使用者(深入瞭解)
本文包含 Microsoft Entra 外部 ID 中企業對企業(B2B)共同作業的建議和最佳做法。
重要
所有新租使用者,以及您尚未明確關閉的任何現有租用戶,現在預設會開啟電子郵件一次性密碼功能。 當此功能關閉時,後援驗證方法是提示受邀者建立 Microsoft 帳戶。
B2B 建議
| 建議 | 註解 |
|---|---|
| 請參閱 Microsoft Entra 指引,以保護您的與外部合作夥伴的共同作業 | 瞭解如何遵循保護 Microsoft Entra ID 和 Microsoft 365 中的外部共同作業中的建議,以全面控管方式與外部合作夥伴的合作。 |
| 仔細規劃跨租使用者存取和外部共同作業設定 | Microsoft Entra 外部 ID 提供一組彈性的控件,讓您管理與外部使用者和組織的共同作業。 您可以允許或封鎖所有共同作業,或只針對特定組織、使用者和應用程式設定共同作業。 設定跨租使用者存取和外部共同作業的設定之前,請先仔細清查您工作和合作的組織。 然後判斷您是否要與其他 Microsoft Entra 租使用者啟用 B2B 直接連線 或 B2B 共同 作業,以及如何管理 B2B 共同作業邀請。 |
| 使用租使用者限制來控制網路和受管理裝置上外部帳戶的使用方式。 | 使用租使用者限制,您可以防止使用者使用他們在未知租使用者中建立的帳戶,或從外部組織收到的帳戶。 建議您不允許這些帳戶,並改用 B2B 共同作業。 |
| 為了獲得最佳登入體驗,請與識別提供者同盟 | 盡可能與識別提供者直接同盟,以允許受邀的使用者登入您的共用應用程式和資源,而不需要建立 Microsoft 帳戶 (MSA) 或 Microsoft Entra 帳戶。 您可以使用 Google同盟功能 ,允許B2B來賓使用者使用其Google帳戶登入。 或者,您可以使用 SAML/WS-Fed 身分識別提供者 (預覽) 功能 來設定與任何身分識別提供者 (IdP) 支援 SAML 2.0 或 WS-Fed 通訊協定的組織建立同盟。 |
| 針對無法透過其他方式進行驗證的 B2B 來賓使用電子郵件單次密碼功能 | 電子郵件 一次性密碼 功能會在無法透過 Microsoft Entra ID、Microsoft 帳戶(MSA) 或 Google 同盟等其他方式驗證 B2B 來賓使用者時,驗證他們。 當來賓使用者兌換邀請或存取共用資源時,他們可以要求一個暫時性驗證碼,此驗證碼會傳送到他們的電子郵件地址。 之後,他們便可輸入此驗證碼繼續登入。 |
| 將公司商標新增至您的登入頁面 | 您可以自定義登入頁面,讓 B2B 來賓使用者更直覺。 瞭解如何新增公司商標來登入和 存取面板 頁面。 |
| 將您的隱私聲明新增至 B2B 來賓用戶兌換體驗 | 您可以將組織隱私聲明的 URL 新增至第一次邀請兌換程式,讓受邀的用戶必須同意您的隱私權條款才能繼續。 請參閱 操作說明:在 Microsoft Entra ID 中新增貴組織的隱私權資訊。 |
| 使用大量邀請 (預覽) 功能同時邀請多個 B2B 來賓使用者 | 使用 Azure 入口網站 中的大量邀請預覽功能,同時邀請多個來賓使用者到您的組織。 此功能可讓您上傳 CSV 檔案,以建立 B2B 來賓使用者,並大量傳送邀請。 請參閱 大量邀請 B2B 用戶的教學課程。 |
| 針對 Microsoft Entra 多重要素驗證強制執行條件式存取原則 | 建議您在您想要與合作夥伴 B2B 使用者共用的應用程式上強制執行 MFA 原則。 如此一來,不論合作夥伴組織是否使用 MFA,您租使用者中的應用程式都會持續強制執行 MFA。 請參閱 B2B 共同作業用戶的條件式存取。 |
| 如果您要強制執行以裝置為基礎的條件式存取原則,請使用排除清單允許存取 B2B 使用者 | 如果您的組織中已啟用裝置型條件式存取原則,B2B 來賓用戶裝置將會遭到封鎖,因為它們不是由貴組織管理。 您可以建立包含特定合作夥伴使用者的排除清單,以將其從裝置型條件式存取原則中排除。 請參閱 B2B 共同作業用戶的條件式存取。 |
| 提供 B2B 來賓使用者的直接連結時,請使用租使用者特定的 URL | 作為邀請電子郵件的替代方案,您可以為來賓提供您應用程式或入口網站的直接連結。 此直接鏈接必須是租使用者特定的,這表示它必須包含租使用者標識碼或已驗證的網域,才能在共用應用程式所在的租使用者中驗證來賓。 請參閱 來賓用戶的兌換體驗。 |
| 開發應用程式時,請使用UserType來判斷來賓用戶體驗 | 如果您要開發應用程式,而且想要為租用戶使用者和來賓使用者提供不同的體驗,請使用UserType屬性。 令牌中目前未包含 UserType 宣告。 應用程式應該使用 Microsoft Graph API 來查詢目錄,讓使用者取得其 UserType。 |
| 只有在使用者與組織的關係變更時,才變更UserType屬性 | 雖然可以使用PowerShell將使用者的UserType屬性從 Member 轉換為 Guest(反之亦然),但只有在使用者與組織的關係變更時,才應該變更此屬性。 請參閱 B2B 來賓用戶的屬性。 |
| 瞭解您的環境是否會受到 Microsoft Entra 目錄限制的影響 | Microsoft Entra B2B 受限於 Microsoft Entra 服務目錄限制。 如需使用者可以建立的目錄數目,以及使用者或來賓使用者可以所屬目錄數目的詳細資訊,請參閱 Microsoft Entra 服務限制和限制。 |
| 使用贊助者功能管理 B2B 帳戶生命週期 | 贊助者是負責其來賓用戶的使用者或群組。 如需這項新功能的詳細資訊,請參閱 B2B 用戶的贊助欄位。 |
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應