適用於: 
外部租用戶 (深入瞭解)
Microsoft Entra 外部 ID 包含 Microsoft 的客戶身分識別和存取管理 (CIAM) 解決方案。 對於想要將應用程式提供給消費者和企業客戶的組織和企業,外部 ID 可讓您輕鬆地新增 CIAM 功能,例如自助式註冊、個人化登入體驗,以及客戶帳戶管理。 由於這些 CIAM 功能內建在 Microsoft Entra ID 中,因此您也會受益於增強的安全性、合規性和延展性等平台功能。
建立專用的外部租戶
若要開始使用外部 ID 於您的消費者和企業客戶應用程式,您首先需要為應用程式、資源和客戶帳戶目錄建立一個租戶。
如果您曾使用過 Microsoft Entra ID,您已經熟悉如何使用內含員工目錄、內部應用程式及其他組織資源的 Microsoft Entra 租戶。 透過外部 ID,您可以建立一個獨特的租用戶,此租用戶遵循標準 Microsoft Entra 租用戶模型,但針對外部使用情境進行設定。 此外部租用戶包含:
目錄:目錄會儲存客戶的認證和設定檔資料。 當消費者或商務客戶註冊您的應用程式時,系統會在您的外部租用戶中為其建立一個本機帳戶。
應用程式註冊:Microsoft Entra ID 只會針對已註冊的應用程式執行身分識別和存取管理。 註冊您的應用程式會建立信任關係,並可讓您將應用程式與 Microsoft Entra ID 進行整合。 在外部租使用者中,您可以註冊使用 OpenID Connect (OIDC) 或安全性判斷提示標記語言 (SAML) 通訊協定進行驗證和單一登錄 (SSO) 的應用程式。 應用程式註冊程式已針對以 OIDC 為基礎的應用程式優化。 若要 註冊 SAML 應用程式,請改用企業應用程式功能。
使用者流程:外部租戶包含您想為客戶提供的自助式註冊、登入及密碼重設體驗。
延伸模組:如果您需要從外部系統新增使用者屬性和資料,則可以為您的使用者流程建立自訂驗證延伸模組。
登入方法:您可以啟用各種登入應用程式的選項,包括使用者名稱和密碼、單次密碼,以及 Google、Facebook、Apple 或自定義 OIDC 身分識別。
加密金鑰:新增及管理用於簽署和驗證權杖、用戶端密碼、憑證和密碼的加密金鑰。
深入瞭解 密碼和一次性密碼 登入,以及 Google、Facebook、Apple 和 OIDC 聯邦。
您可在外部租用戶中管理的使用者帳戶有兩種類型:
客戶帳戶:代表存取應用程式的客戶帳戶。
系統管理員帳戶:具有公司帳戶的使用者可管理租用戶中的資源,而具有系統管理員角色的使用者也可管理租用戶。 具有工作帳戶的使用者可以建立新的取用者帳戶、重設密碼、封鎖/解除封鎖帳戶,以及設定權限或將帳戶指派給安全性群組。
新增自訂登入
外部 ID 專門用於讓企業支援其客戶使用 Microsoft Entra 平台進行身分識別並存取其應用程式。
將註冊和登入頁面新增至您的應用程式。 快速為您的客戶應用程式新增直覺、方便用戶的註冊和登入體驗。 透過單一身分識別,客戶可以安全地存取您要讓他們使用的所有應用程式。
使用社交和企業身分識別新增單一登入 (SSO)。 客戶可以選擇社交、企業或受控識別,以使用者名稱和密碼、電子郵件或單次密碼進行登入。
將貴公司商標新增至註冊頁面。 自訂註冊和登入體驗的外觀和風格,包括預設體驗和特定瀏覽器語言的體驗。
輕鬆自訂及擴充註冊流程。 根據您的需求量身打造身分識別使用者流程。 選擇您在註冊期間想要向客戶收集的屬性,或新增您自己的自訂屬性。 如果您應用程式所需的資訊包含在外部系統中,請建立自訂驗證延伸模組,以收集及新增資料至驗證權杖。
整合多個應用程式語言和平台。 您可以利用 Microsoft Entra,快速設定及提供多個應用程式類型、平台和語言的安全品牌驗證流程。
針對您的應用程式使用原生驗證。 使用適用於 iOS 和 Android 的 Microsoft 驗證連結庫 (MSAL),建立適用於行動和傳統型應用程式的流暢驗證體驗。
提供自助帳戶管理。 客戶可以自行註冊您的線上服務、管理其設定檔、刪除其帳戶、註冊多重要素驗證 (MFA) 方法,或在沒有系統管理員或技術支援中心協助的情況下,重設其密碼。
同意您的使用規定和隱私權原則。 您可以在註冊期間提示使用者接受您的條款及條件。 藉由使用客戶使用者屬性,您可以在註冊表單中新增核取方塊,並包含使用規定和隱私權原則的連結。
深入了解如何將登入及註冊新增至您的應用程式以及自訂登入外觀和風格。
設計自助式註冊的使用者流程
您可以藉由將使用者流程新增至您的應用程式,來為您的客戶建立簡單的註冊和登入體驗。 使用者流程會定義客戶遵循的一系列註冊步驟,以及他們可以使用的登入方法(例如電子郵件和密碼、一次性驗證碼、來自 Google、Facebook 或 Apple的社交帳號,以及 自定義 OIDC 身分識別提供者)。 您也可以在註冊期間從一系列使用者內建屬性中進行選取,或新增您自己的自訂屬性,向客戶收集資訊。
數個使用者流程設定可讓您控制客戶註冊應用程式的方式,包括:
- 登入方法和外部識別提供者
- 要在使用者註冊時收集的屬性,例如名字、郵遞區號或所在國家/地區
- 公司商標和語言自訂
如需設定使用者流程的詳細資訊,請參閱為客戶建立註冊和登入使用者流程。
新增您自己的商務邏輯
外部 ID 是專為提供彈性而設計,可讓您定義驗證流程內特定時間點的動作。 您可以使用自訂驗證延伸模組,在將權杖發行至您的應用程式之前,將來自外部系統的宣告新增到權杖中。
深入了解如何使用自訂驗證延伸模組來新增您自己的商務邏輯。
Microsoft Entra 安全性與可靠性
外部 ID 代表將企業對消費者 (B2C) 功能整合到 Microsoft Entra 平台。 您可以受益於平台功能,例如更高的安全性、法規合規性,以及調整身分識別與存取管理程式的能力。
條件式存取
Microsoft Entra 條件式存取會將訊號結合在一起,以做出決策並強制執行安全策略。 最簡單的條件式存取原則就是 if-then 陳述式;如果 使用者想要存取您的應用程式,則 他們必須完成動作。
條件式存取原則會在使用者完成第一因素驗證之後強制執行。 例如,如果使用者的登入風險層級很高,他們必須執行 MFA 才能取得存取權。 或者,最嚴格的方法是封鎖對應用程式的存取。
多重要素驗證 (MFA)
Microsoft Entra MFA 有助於保護對資料和應用程式的存取,同時為您的使用者維護簡單性。 Microsoft Entra 外部 ID 直接與 Microsoft Entra MFA 整合,因此您可以藉由要求第二種形式的驗證,將安全性新增至註冊和登入體驗。 您可以根據您想要套用至應用程式的安全性範圍來微調 MFA。 請考慮下列案例:
您可以為客戶提供單一應用程式,並想要啟用 MFA 以增加一層安全性。 您可以在以所有使用者和應用程式為目標的條件式存取原則中啟用 MFA。
您可以為客戶提供多個應用程式,但不需要每個應用程式的 MFA。 例如,客戶可以使用社交或本機帳戶登入汽車保險應用程式,但必須先驗證電話號碼,才能存取同個目錄中註冊的家庭保險應用程式。 在條件式存取原則中,您可以鎖定所有使用者,但只針對您想要強制執行 MFA 的應用程式。
深入瞭解 外部租戶中的 MFA,或瞭解如何 啟用多重要素驗證。
機器對機器驗證(M2M)
機器對機器(M2M)認證利用 OAuth 2.0 用戶端憑證流程 ,讓應用程式直接以 Microsoft Entra ID 進行認證。 此流程適用於無需使用者互動的情境,後端服務需自行安全請求存取權杖並呼叫 API。
對於 Microsoft Entra 外部 ID 應用程式,你可以透過用戶端憑證流程,搭配用戶端秘密或憑證來設定 M2M 認證。 這種方式允許應用程式在存取 API 時以自身身份進行認證。 要啟用 M2M 認證,您必須使用 M2M Premium 附加元件。 請檢視貴組織的高級附加使用政策,了解成本影響並確保遵守內部治理與授權要求。
Microsoft Entra 可靠性和延展性
建立高度自訂的登入體驗,並大規模管理客戶帳戶。 利用 Microsoft Entra 效能、復原能力、商務持續性、低延遲和高輸送量,確保良好的客戶體驗。
分析使用者活動和參與狀況
[使用方式與深入解析] 底下的 [應用程式用戶活動] 功能,將提供租用戶中已註冊應用程式的使用者活動和參與狀況資料分析。 您可以使用這項功能,在 Microsoft Entra 系統管理中心檢視、查詢及分析使用者活動資料。 這有助於您找出可輔助策略決策,並推動業務成長的寶貴深入解析。
進一步了解在外部租戶中可用的應用程式使用者活動儀表板。
關於 Azure AD B2C
自 2025 年 5 月 1 日起,新客戶無法再購買 Azure AD B2C (在我們的 常見問題中深入瞭解)。 Microsoft Entra External ID 是 Microsoft 推出的新一代 CIAM 解決方案,所有的新功能都在此平臺上建置。
後續步驟
- 請參閱我們的訓練、即時示範和影片。
- 深入瞭解 Microsoft Entra 外部 ID 的規劃。
- 另請參閱 Microsoft Entra 外部 ID 開發人員中心,以取得最新的開發人員內容和資源。