適用於: 員工租用戶 外部租用戶 (深入了解)
這些有關 Microsoft Entra 企業對企業 (B2B) 共同作業的常見問題集 (FAQ) 會定期更新來包含新的主題。
重要
- 從 2021 年 1 月 4 日開始,Google 淘汰了 WebView 登入支援。 如果您使用 Google 同盟或 Gmail 的自助式註冊,建議您測試您企業營運原生應用程式的相容性。
- 針對所有新租用戶,以及您尚未明確關閉的任何現有租用戶,現在預設會開啟電子郵件一次性密碼功能。 關閉此功能時,後援驗證方法是提示受邀者建立 Microsoft 帳戶。
當然,如需有關如何自訂組織登入頁面的詳細資訊,請參閱將公司商標新增至登入和存取面板頁面。
是。 不過,在 SharePoint Online 中使用人員選擇器搜尋現有來賓使用者的功能,預設為關閉。 若要開啟搜尋現有來賓使用者的選項,請將 ShowPeoplePickerSuggestionsForGuestUsers 設定為 On。 您可以在租用戶等級或網站集合等級開啟這項設定。 您可以使用 Set-SPOTenant 和 Set-SPOSite Cmdlet 變更此設定。 透過這些 Cmdlet,成員可以搜尋目錄中所有現有的來賓使用者。 租用戶範圍中的變更不會影響已佈建的 SharePoint Online 網站。
是,您可以使用 B2B 共同作業,將 Power BI 內容發佈給外部來賓使用者。 若要跨 Microsoft 雲端共用 Power BI 內容,您可以 使用 Microsoft 雲端設定來建立雲端與外部雲端之間的相互 B2B 共同作業。
是。 如需有關使用 .csv 檔案上傳功能的詳細資訊,請參閱這個 PowerShell 範例。
您可以使用 B2B 邀請 API 自訂關於邀請者程序的幾乎一切事項。
是。 就像一般使用者一樣,來賓使用者集也可以重設多重要素驗證方法。
邀請方組織執行多重要素驗證。 邀請方組織必須確定組織有足夠的授權給使用多重要素驗證的 B2B 使用者。
跨租用戶存取設定也可以讓您信任來自其他 Microsoft Entra 組織的多重要素驗證和裝置宣告 (符合規範的宣告及 Microsoft Entra 混合式聯結宣告)。
跨租用戶存取設定是目錄中的原則,可儲存您如何與其他組織共同作業的設定。 您可以在跨租用戶存取設定中新增的組織數目沒有限制。
組織可能想要新增 B2B 共同作業使用者,依需要將他們佈建至應用程式,然後送出邀請。 您可以使用 B2B 共同作業邀請 API 自訂登入工作流程。
是。 根據預設,來賓物件不會在貴組織的全域通訊清單中顯示,但您可以使其顯示。 如需詳細資訊,請參閱 Microsoft 365 個別群組來賓存取文章中的〈將來賓新增至全域通訊清單〉。
當然 如需詳細資訊,請參閱將來賓使用者新增至角色。
除非使用者獲指派受限的管理員角色,否則 B2B 共同作業使用者不需要存取 Microsoft Entra 系統管理中心。 不過,獲指派受限管理員角色的 B2B 共同作業使用者可以存取入口網站。 此外,如果未獲指派其中一個管理員角色的來賓使用者存取入口網站,使用者可能可以存取特定部份的體驗。 來賓使用者角色在目錄中具有某些權限。
是,您可以建立條件式存取原則,以封鎖來賓使用者存取系統管理中心或入口網站。 設定條件式存取原則時,您可以細微控制您想要套用原則的外部使用者類型。 當您設定此原則時,請小心避免不慎封鎖成員和管理員的存取權。 深入了解外部使用者的條件式存取。
是。 Microsoft Entra B2B 共同作業支援多重要素驗證和取用者電子郵件帳戶。
如果您的 Microsoft Entra 租用戶是使用者的主目錄,您可以從 Microsoft Entra 系統管理中心重設使用者密碼。 但您無法直接重設使用由其他 Microsoft Entra 目錄或外部身分識別提供者所管理的帳戶進行登入的來賓使用者的密碼。 只有來賓使用者或使用者主目錄中的系統管理員可以重設密碼。 以下是一些如何重設來賓使用者密碼的範例:
Microsoft Entra 租用戶中標示為 "Guest" (UserType==Guest) 的來賓使用者,無法透過 https://aka.ms/ssprsetup 註冊 SSPR。 這些類型的來賓使用者只能透過 https://aka.ms/sspr 執行 SSPR。
使用 Microsoft 帳戶 (例如guestuser@live.com) 登入的來賓使用者,可以使用 Microsoft 帳戶自助式密碼重設 (SSPR) 功能重設自己的密碼。 請參閱如何重設 Microsoft 帳戶密碼。
使用 Google 帳戶或其他外部識別提供者來登入的來賓使用者,可以使用其識別提供者的 SSPR 方法來重設自己的密碼。 例如,使用 Google 帳戶 guestuser@gmail.com 的來賓使用者可以依照變更或重設密碼中的指示重設自己的密碼。
如果身分識別租用戶是 Just-in-time (JIT) 或 「病毒式」租用戶 (表示它是獨立、非受控的 Azure 租用戶),只有來賓使用者才能重設自己的密碼。 組織有時會接管病毒式租用戶的管理,這些是員工使用其工作電子郵件地址來註冊服務時所建立的租用戶。 在組織接管病毒式租用戶之後,只有該組織的系統管理員可以重設使用者的密碼或啟用 SSPR。 如有必要,作為發出邀請的組織,您可以從目錄中移除來賓使用者帳戶,並重新傳送邀請。
如果來賓使用者的主目錄是您的 Microsoft Entra 租用戶,您可以重設使用者的密碼。 例如,您可能已建立使用者或從您的內部部署 Active Directory 同步使用者,並將他們的 UserType 設為 Guest。 因為這位使用者位於您的主目錄中,所以您可以從 Microsoft Entra 系統管理中心重設其密碼。
是,Dynamics 365 提供 Microsoft Entra B2B 共同作業的線上支援。 如需詳細資訊,請參閱 Dynamics 365 文章透過 Microsoft Entra B2B 共同作業邀請使用者。
Microsoft Entra ID 有一組固定的字元、密碼強度,以及帳戶鎖定需求,可同樣適用於所有 Microsoft Entra 雲端使用者帳戶。 雲端使用者帳戶是不與其他身分識別提供者聯盟的帳戶,例如
- Microsoft 帳戶
- Active Directory 同盟服務
- 其他雲端租用戶 (適用於 B2B 共同作業)
針對同盟帳戶,密碼原則取決於內部部署租用中套用的原則,以及使用者的 Microsoft 帳戶設定。
來賓使用者可以使用任何識別提供者進行驗證。 如需詳細資訊,請參閱 B2B 共同作業使用者的屬性。 使用 UserType 屬性來決定使用者體驗。 權杖中目前不包含 UserType 宣告。 應用程式應該使用 Microsoft Graph API 來查詢目錄中的使用者及取得 UserType。
我們會時常聆聽您對改進 B2B 共同作業的意見反應。 請分享您的使用者案例、最佳做法,以及您喜歡 Microsoft Entra B2B 共同作業的什麼功能。 請前往 Microsoft 技術社群參與討論。
我們也邀請您前往 B2B 共同作業構想提交您的構想和票選未來的功能。
您可以使用 UI、PowerShell 指令碼或 API,邀請夥伴組織中的其他使用者。 然後,您可以將共用應用程式的直接連結傳送給來賓使用者。 在大部分情況下,不再需要開啟電子郵件邀請,然後按一下兌換 URL。 請參閱 Microsoft Entra B2B 共同作業邀請兌換。
如果合作夥伴具有與內部部署驗證基礎結構同盟的 Microsoft Entra 租用戶,就會自動達成內部部署單一登入 (SSO)。 如果合作夥伴沒有 Microsoft Entra 租用戶,則會為新使用者建立 Microsoft Entra 帳戶。
否。 Azure AD B2C 本機帳戶只能用來登入 Azure AD B2C 租用戶。 該帳戶無法用來登入 Microsoft Entra 的租用戶。 不支援將 Azure AD B2C 本機帳戶邀請到 Microsoft Entra 租用戶進行 B2B 共同作業。
所有與 Microsoft Entra 整合的應用程式都能支援 Azure B2B 來賓使用者,但必須使用設定為租用戶的端點來驗證來賓使用者。 您可能也需要在使用者向應用程式驗證時所發出的 SAML 權杖中自訂宣告。
是。 如需詳細資訊,請參閱 B2B 共同作業使用者的條件式存取。
是。 Microsoft Entra B2B 共同作業支援允許清單和封鎖清單。
若要了解您的組織需具備哪些授權才能使用 Microsoft Entra B2B,請參閱外部 ID 定價。
要看情況而定。 根據預設,Microsoft Entra 只允許 UPN 用於登入識別碼。 當 UPN 和電子郵件相同時,Microsoft Entra B2B 邀請和後續登入會如預期般運作。 不過,當使用者的電子郵件和 UPN 不相符時,就會發生問題,並使用電子郵件而非 UPN 登入。 使用非 UPN 電子郵件邀請使用者時,如果使用者使用電子郵件邀請連結兌換,他們就能夠兌換邀請,但透過直接連結的兌換將會失敗。 不過,即便使用者成功兌換邀請,使用非 UPN 電子郵件的後續登入嘗試仍會失敗,除非識別提供者 (Microsoft Entra ID 或同盟識別提供者) 設定為允許電子郵件作為替代登入識別碼。 減輕這個問題的方法有:
- 在受邀/住家 Microsoft Entra 租用戶中啟用電子郵件作為替代登入識別碼
- 如果 Microsoft Entra 與另一個識別提供者同盟,請啟用同盟識別提供者以支援電子郵件作為登入識別碼,或
- 指示使用者使用其 UPN 兌換/登入。
若要完全避免此問題,系統管理員應確保使用者的 UPN 和電子郵件具有相同的值。
注意
在 Microsoft 雲端之間傳送的邀請和兌換必須使用 UPN。 目前不支援電子郵件。 例如,如果來自美國政府租用戶的使用者受邀加入商業租用戶,則必須使用其 UPN 來邀請使用者。
在 B2B 共同作業流程中,我們會新增使用者到目錄中,並在邀請兌換流程與應用程式指派等期間動態更新它們。 更新與寫入通常會在一個目錄執行個體中進行,而且必須複寫到所有執行個體。 在所有執行個體都更新後,複寫作業便已完成。 有時,在某個執行個體中寫入或更新物件,但另一個執行個體呼叫擷取此物件時,就會發生複寫延遲問題。 如果發生該情況,請重新整理或重試來提供幫助。 如果您正在使用我們的 API 來撰寫應用程式,則採用某種讓步來重試是可減輕此問題的良好防禦性做法。