適用於: 
員工租戶 (瞭解更多資訊)
Microsoft Entra 組織可以使用外部 ID 跨租戶存取設定,透過 B2B 共同作業和 B2B 直接連線來管理與其他 Microsoft Entra 組織和 Microsoft Azure 雲端的共同作業。 跨租使用者存取設定提供對輸入和輸出存取的細微控制,讓您信任來自其他組織的多重要素驗證 (MFA) 和裝置宣告。
本文涵蓋跨租戶存取設定,以管理 B2B 共同作業和 B2B 與外部 Microsoft Entra 組織直接連線,包括跨 Microsoft 雲端。 其他設定可用於與非Microsoft Entra 身分識別的 B2B 共同作業(例如社交身分識別或非 IT 管理的外部帳戶)。 這些 外部共同作業設定 包括限制來賓使用者存取、指定可邀請來賓的人員,以及允許或封鎖網域的選項。
您可以在跨租用戶存取設定中新增的組織數目沒有限制。
使用輸入和輸出設定管理外部存取
外部身分識別的跨租使用者存取設定用於管理您與其他 Microsoft Entra 組織的協作方式。 這些設定會判斷外部 Microsoft Entra 組織中的使用者對您的資源必須具有的「輸入」存取層級,以及使用者對外部組織必須具有的「輸出」存取層級。
下圖顯示跨租使用者存取輸入和輸出設定。 Resource Microsoft Entra 租戶是包含要共用之資源的租戶。 針對 B2B 共同作業,資源租賃方是發出邀請的租賃方(例如,您的公司租賃方,您希望邀請外部使用者)。 使用者的主要 Microsoft Entra 租戶是管理外部使用者的租戶。
根據預設,會啟用與其他Microsoft Entra 組織的 B2B 共同作業,並封鎖 B2B 直接連線。 但下列完整的系統管理員設定可讓您管理這兩項功能。
輸出存取設定 可控制您的使用者是否可以存取外部組織中的資源。 您可以將這些設定套用至每個人,或指定個別使用者、群組和應用程式。
輸入存取設定 可控制來自外部Microsoft Entra 組織的使用者是否可以存取您組織中的資源。 您可以將這些設定套用至每個人,或指定個別使用者、群組和應用程式。
信任設定 (輸入)決定您的條件式存取原則是否信任來自外部組織的多重要素驗證(MFA)、符合規範的裝置,以及 Microsoft Entra 混合式聯結裝置 宣告,如果他們的使用者在其主租戶中已經滿足這些要求。 例如,當您將信任設定設定為信任 MFA 時,您的 MFA 原則仍會套用至外部使用者,但已在其主租使用者中完成 MFA 的使用者不需要在租使用者中再次完成 MFA。
預設設定
默認跨租使用者存取設定會套用至租使用者外部的所有Microsoft Entra 組織,但您設定自定義設定的組織除外。 您可以變更預設設定,但 B2B 共同作業和 B2B 直接連線的初始預設設定如下所示:
B2B 共同作業:所有內部使用者預設即啟用 B2B 共同作業功能。 此設定表示您的使用者可以邀請外部來賓存取您的資源,並可邀請外部組織作為來賓。 其他 Microsoft Entra 組織的 MFA 和裝置宣稱並不受信任。
B2B 直接連線:預設不會建立 B2B 直接連線信任關係。 Microsoft Entra ID 會封鎖所有外部Microsoft Entra 租使用者的輸入和輸出 B2B 直接連線功能。
組織設定:預設不會將組織新增至您的組織設定。 因此,所有外部Microsoft Entra組織都已啟用,以便與貴組織進行 B2B 合作。
跨租戶同步: 使用跨租戶同步處理時,其他租戶的使用者不會同步至您的租戶。
這些預設設定適用於與您相同 Microsoft Azure 雲端中其他 Microsoft Entra 租戶協作的 B2B 合作。 在跨雲端案例中,預設設定的運作方式稍有不同。 請參閱本文稍後 的Microsoft雲端設定 。
組織設定
您可以新增組織並修改該組織的輸入和輸出設定,以設定組織特定的設定。 組織設定的優先順序高於預設設定。
B2B 共同作業:使用跨租戶存取設定來管理進入和外出 B2B 共同作業,並設定特定使用者、群組和應用程式的存取範圍。 您可以設定套用至所有外部組織的預設組態,然後視需要建立個別的組織特定設定。 使用跨租戶存取設定,您也可以信任來自其他 Microsoft Entra 組織的多因素驗證(MFA)和設備聲明(合規聲明和 Microsoft Entra 混合聯結聲明)。
小提示
如果您要信任外部使用者的 MFA,建議您從 Microsoft Entra ID Protection MFA 註冊原則中排除外部使用者。 當這兩個原則都存在時,外部使用者將無法滿足存取的需求。
B2B 直接連線:針對 B2B 直接連線,請使用組織設定來設定與另一個Microsoft Entra 組織的相互信任關係。 貴組織與外部組織必須共同啟用 B2B 直接連線,這需要設定內部和外部的跨租戶存取設定。
您可以使用 外部共同作業設定 來限制誰可以邀請外部使用者、允許或封鎖 B2B 特定網域,以及設定來賓使用者存取目錄的限制。
自動兌換設定
自動兌換設定是輸入和輸出組織信任設定,可自動兌換邀請,因此使用者不需要在第一次存取資源/目標租用戶時接受同意提示。 這個設定是一個具有下列名稱的核取方塊:
- [使用租戶自動兌換邀請]<[租戶]>
比較不同情境的設定
自動兌換設定適用於下列情況中的跨租用戶同步處理、B2B 共同作業和 B2B 直接連接:
- 在使用跨租用戶同步處理時,會在目標租用戶中建立使用者。
- 使用 B2B 協作時,將使用者新增至資源租用戶。
- 當使用者透過 B2B 直接連接,存取資源租用戶中的資源時。
下表顯示此設定針對這些案例啟用時的比較:
| 項目 | 跨租戶同步 | B2B 共同作業 | B2B 直接連接 |
|---|---|---|---|
| 自動兌換設定 | 為必填項目 | 可選 | 可選 |
| 使用者會收到 B2B 共同作業的邀請電子郵件 | 否 | 否 | N/A |
| 使用者必須接受同意提示 | 否 | 否 | 否 |
| 使用者會收到 B2B 共同作業的通知電子郵件 | 否 | 是的 | N/A |
此設定不會影響應用程式同意體驗。 如需詳細資訊,請參閱 Microsoft Entra ID 中的應用程式同意體驗。 此設定支援跨不同Microsoft雲端環境的組織,例如 Azure 商業和 Azure Government,但目前處於預覽狀態。 如需詳細資訊,請參閱設定跨租用戶同步處理。
什麼時候同意提示不會顯示?
如果主租用戶/來源租用戶 (輸出) 和資源/目標租用戶 (輸入) 都會檢查此設定,則自動兌換設定只會隱藏同意提示和邀請電子郵件。
下表顯示已針對不同的跨租用戶存取設定組合勾選自動兌換設定時,來源租用戶使用者的同意提示行為。
| 主租用戶/來源租用戶 | 資源/目標租戶 | 同意提示行為 適用於來源租用戶使用者 |
|---|---|---|
| 外向 | 輸入 | |
|
|
已隱藏 |
|
|
|
未隱藏 |
|
|
|
未隱藏 |
|
|
|
未隱藏 |
| 輸入 | 外向 | |
|
|
|
未隱藏 |
|
|
|
未隱藏 |
|
|
|
未隱藏 |
|
|
|
未隱藏 |
若要使用 Microsoft Graph 配置此設定,請參閱更新 crossTenantAccessPolicyConfigurationPartner API。 如需建置您自己的上線體驗的相關信息,請參閱 B2B 共同作業邀請管理員。
如需詳細資訊,請參閱 設定跨租使用者同步、設定跨租使用者存取設定以支援 B2B 合作,以及 設定跨租使用者存取設定以支援 B2B 直接連線。
可設定的兌換
透過可設定的兌換,您可以自訂來賓使用者在接受邀請時可以用來登入的身分識別提供者順序。 您可以啟用此功能,並在 [兌換訂單] 索引標籤下指定 兌換訂單 。
當來賓用戶選取邀請電子郵件中的 [接受邀請 ] 連結時,Microsoft Entra ID 會根據 預設兌換訂單自動兌換邀請。 當您在 [新兌換順序] 索引標籤下變更識別提供者順序時,新順序會覆寫預設的兌換順序。
您可以在 [ 兌換訂單 ] 索引標籤下找到主要識別提供者和後援識別提供者。
主要識別提供者是與其他驗證來源有同盟的身分識別提供者。 後援識別提供者是當使用者不符合主要識別提供者時所使用的身分識別提供者。
後援識別提供者可以是Microsoft帳戶(MSA)、電子郵件一次性密碼,或兩者。 您無法停用這兩個後援識別提供者,但您可以停用所有主要識別提供者,並只針對兌換選項使用後援識別提供者。
使用此功能時,請考慮下列已知限制:
如果具有現有單一登錄 (SSO) 工作階段的 Microsoft Entra ID 使用者使用電子郵件單次密碼 (OTP) 進行驗證,則必須選擇 [ 使用另一個帳戶 ],然後重新輸入使用者名稱以觸發 OTP 流程。 否則,使用者會收到錯誤,指出其帳戶不存在於資源租使用者中。
當使用者在其Microsoft Entra ID 和 Microsoft 帳戶中具有相同的電子郵件時,即使系統管理員停用Microsoft帳戶做為兌換方法,仍會提示他們選擇使用其Microsoft Entra ID 或其Microsoft帳戶。 即使方法已停用,仍允許選擇Microsoft帳戶做為兌換選項。
Microsoft Entra ID 已驗證網域的直接聯盟
Microsoft Entra ID 驗證網域現在支援 SAML/WS-Fed 識別提供者同盟 (直接同盟)。 這項功能可讓您為在另一個 Microsoft Entra 租用戶中驗證的網域,設定與外部身份提供者的直接聯邦合作。
備註
請確定網域未在嘗試設定直接聯盟組態的相同租用者中驗證。 設定直接同盟之後,您可以設定租用戶的兌換喜好設定,並透過新的可設定的兌換跨租使用者存取設定,透過Microsoft Entra 標識符來移動 SAML/WS-Fed 識別提供者。
當來賓用戶兌換邀請時,他們會看到傳統的同意畫面,並重新導向至 [我的應用程式] 頁面。 在資源租戶中,此直接同盟使用者的配置檔顯示已成功兌換邀請,並將外部同盟列為簽發者。
防止您的 B2B 使用者透過 Microsoft 帳戶兌換邀請
您現在可以防止 B2B 來賓使用者使用Microsoft帳戶兌換邀請。 相反地,他們會使用傳送至電子郵件的一次性密碼作為後援識別提供者。 他們不允許使用現有的Microsoft帳戶兌換邀請,也不會提示他們建立新的帳戶。 您可以在兌換訂單設定中啟用此功能,方法是在後援識別提供者選項中關閉Microsoft帳戶。
您必須一律至少有一個後援識別提供者處於活躍狀態。 因此,如果您決定停用Microsoft帳戶,則必須啟用電子郵件單次密碼選項。 已使用 Microsoft 帳戶登入的現有來賓用戶會繼續執行此動作,以供日後登入。若要將新設定套用至它們,您必須 重設其兌換狀態。
跨租用戶同步設定
跨租用戶同步處理設定是一個僅限內部的組織設定,允許來源租用戶的系統管理員將使用者同步到目標租用戶。 此設定是一個核取方塊,位於目標租用戶中,名稱為 [允許使用者同步至此租用戶]。 此設定不會影響透過其他流程建立的 B2B 邀請,例如手動邀請或 Microsoft Entra 權利管理。
![螢幕擷取畫面:顯示 [跨租戶同步] 索引標籤,其中包含 [允許使用者同步至此租戶] 勾選框。](../media/external-identities/access-settings-users-sync.png#lightbox)
若要使用 Microsoft Graph 配置此設定,請參閱更新 crossTenantIdentitySyncPolicyPartner API。 如需詳細資訊,請參閱設定跨租用戶同步處理。
租使用者限制
透過 租使用者限制 設定,您可以控制使用者可在您管理的裝置上使用的外部帳戶類型,包括:
- 在不明租戶中使用者建立的帳戶。
- 外部組織提供給您使用者的帳戶,讓他們可以存取該組織的資源。
建議您將租使用者限制設定為不允許這些類型的外部帳戶,並改用 B2B 共同作業。 B2B 共同作業可讓您:
- 使用條件式存取,並強制 B2B 共同作業使用者採用多重要素驗證。
- 管理進出存取權。
- 當 B2B 合作用戶的雇用狀態改變或其憑證遭到洩露時,終止連線會話和憑證。
- 使用登入記錄來檢視 B2B 共同作業使用者的詳細資料。
租使用者限制與其他跨租使用者存取設定無關,因此您設定的任何輸入、輸出或信任設定都不會影響租使用者限制。 如需設定租使用者限制的詳細資訊,請參閱 設定租使用者限制 V2。
Microsoft 雲端設定
Microsoft雲端設定可讓您與來自不同Microsoft Azure 雲端的組織共同作業。 透過Microsoft雲端設定,您可以在下列雲端之間建立相互 B2B 共同作業:
- Microsoft Azure 商業雲端和 Microsoft Azure Government,其中包括 Office GCC-High 和國防部 (DoD) 雲端
- Microsoft由 21Vianet 運作的 Azure 商業雲端和Microsoft Azure(由 21Vianet 運作)
備註
B2B 直接連接不適用於不同 Microsoft 雲端中 Microsoft Entra 租用戶的共同作業。
如需詳細資訊,請參閱 設定 B2B 共同作業Microsoft雲端設定 一文。
跨雲端同步設定可讓您在組織中不同的租戶中管理來自不同Microsoft雲端服務的使用者生命週期。 啟用跨租戶同步處理設定之後,您就可以開始從該雲端環境同步用戶數據。
重要考慮
這很重要
變更預設的輸入或輸出設定來封鎖存取,可能會封鎖組織或合作夥伴組織中應用程式的現有業務關鍵存取。 請務必使用本文所述的工具,並洽詢您的商務項目關係人,以識別所需的存取權。
若要設定信任設定,或將存取設定套用至特定使用者、群組或應用程式,您需要Microsoft Entra ID P1 授權。 您必須在您所設定的租使用者上取得授權。 針對 B2B 直接連線,其中需要與另一個 Microsoft Entra 組織建立相互信任關係,您需要在這兩個租戶中擁有 Microsoft Entra ID P1 授權。
跨租使用者存取設定可用來管理 B2B 共同作業和 B2B 直接連線到其他Microsoft Entra 組織。 針對具有非Microsoft Entra 身分識別的 B2B 共同作業(例如社交身分識別或非 IT 受控外部帳戶),請使用 外部共同作業設定。 外部共同作業設定包括 B2B 共同作業選項,可用來限制來賓使用者存取、指定可邀請來賓的人員,以及允許或封鎖網域。
若要將存取設定套用至外部組織中的特定使用者、群組或應用程式,您需要先連絡組織以取得資訊,再設定您的設定。 取得其使用者物件識別碼、群組物件識別碼或應用程式識別碼 (用戶端應用程式識別碼或資源應用程式識別碼),使得您可以正確地進行設定。
小提示
您可以藉由檢查登入記錄來尋找外部組織中應用程式的應用程式識別碼。 請參閱 識別輸入和輸出登入 一節。
您為使用者和群組設定的存取設定必須符合應用程式的存取設定。 不允許衝突的設定,如果您嘗試設定這些設定,就會顯示警告訊息。
範例 1:如果您封鎖所有外部使用者和群組的輸入存取,則也必須封鎖所有應用程式的存取權。
範例 2:如果您允許所有使用者(或特定使用者或群組)的輸出存取,您將無法封鎖所有外部應用程式的存取;至少必須允許存取一個應用程式。
如果您想要允許 B2B 與外部組織直接連線,而您的條件式存取原則需要 MFA,您必須設定信任設定以接受來自外部組織的 MFA 宣告。
如果您默認封鎖存取所有應用程式,使用者將無法讀取以 Microsoft Rights Management Service 加密的電子郵件,也稱為 Office 365 郵件加密 (OME)。 若要避免此問題,建議您設定輸出設定,以允許使用者存取此應用程式標識碼:00000012-0000-0000-c000-000000000000000。 如果您只允許此應用程式,預設會封鎖所有其他應用程式的存取。
如果組織依據條件式存取原則要求使用 MFA 或使用規定(ToU),使用者可能無法註冊 MFA 方法或同意 ToU。 若要避免此問題,請設定出站設定(主租戶)和入站設定(資源租戶),以便用戶可以存取用於 MFA 註冊的應用程式 ID 0000000c-0000-0000-c000-000000000000(Microsoft 應用程式存取面板)和用於使用條款的應用程式 ID d52792f4-ba38-424d-8140-ada5b883f293(AAD 使用規定)。 您可以透過Microsoft Entra 系統管理中心來設定輸出設定,方法是選取 [新增其他應用程式] 並提供應用程式識別符。 由於目前的使用者介面 (UI) 限制輸入設定必須透過 Microsoft Graph API 來執行。
用於管理跨租戶存取設定的自訂角色
您可以建立自定義角色來管理跨租使用者存取設定。 在這裡深入了解建議的自定義角色。
保護跨租戶存取管理活動
修改跨租使用者存取設定的任何動作都會被視為受保護的動作,而且可以使用條件式存取原則額外保護。 如需設定步驟的詳細資訊,請參閱 受保護的動作。
識別輸入和輸出登入
在您設定輸入和輸出存取設定之前,有數個工具可協助您識別使用者和合作夥伴所需的存取權。 為了確保您不會移除使用者和合作夥伴所需的存取權,您應該檢查目前的登入行為。 採取此初步步驟有助於防止使用者和合作夥伴用戶遺失所需的存取權。 不過,在某些情況下,這些記錄只會保留 30 天,因此強烈建議您與業務項目關係人交談,以確保所需的存取不會遺失。
| 工具 | 方法 |
|---|---|
| 跨租戶登入活動的 PowerShell 指令碼 | 若要檢閱與外部組織相關聯的使用者登入活動,請使用 MSIdentityTools 中的跨租用戶使用者登入活動 PowerShell 腳本。 |
| 用於登入記錄的 PowerShell 腳本 | 若要判斷使用者對外部Microsoft Entra 組織的存取權,請使用 Get-MgAuditLogSignIn Cmdlet。 |
| Azure 監視器 | 如果您的組織訂閱 Azure 監視器服務,請使用 跨租使用者存取活動活頁簿。 |
| 安全性資訊和事件管理 (SIEM) 系統 | 如果您的組織將登入記錄匯出至安全性資訊和事件管理 (SIEM) 系統,您可以從 SIEM 系統擷取所需的資訊。 |
識別跨租戶存取設定的變更
Microsoft Entra 稽核記錄會擷取與跨租戶存取設定變更和相關活動有關的所有活動。 若要稽核跨租使用者存取設定的變更,請使用 CrossTenantAccessSettings類別來篩選所有活動,以顯示跨租使用者存取設定的變更。
