對 Microsoft Entra B2B 使用者授與您內部部署應用程式的存取權

適用於： 員工租用戶 外部租用戶 (深入了解)

若組織使用 Microsoft Entra B2B 共同作業功能來邀請夥伴組織的來賓使用者，您現在可以對這些 B2B 使用者提供內部部署應用程式的存取權。 這些內部部署應用程式可以搭配 Kerberos 限制委派 (KCD) 來使用 SAML 型驗證或整合式 Windows 驗證 (IWA)。

SAML 應用程式的存取權

若內部部署應用程式使用 SAML 型驗證，您可以使用 Microsoft Entra 應用程式 Proxy，透過 Microsoft Entra 系統管理中心，輕鬆地將這些應用程式提供給 Microsoft Entra B2B 共同作業使用者。

您必須執行下列工作：

• 啟用應用程式 Proxy，並安裝連接器。 如需相關指示，請參閱使用 Microsoft Entra 應用程式 Proxy 發佈應用程式。
• 依照使用應用程式 Proxy 為內部部署應用程式執行 SAML 單一登入中的指示，透過 Microsoft Entra 應用程式 Proxy 發佈內部部署 SAML 型應用程式。
• 將 Microsoft Entra B2B 使用者指派給 SAML 應用程式。

當您完成上述步驟之後，應用程式應該就會啟動並執行。 若要測試 Microsoft Entra B2B 存取：

1. 開啟瀏覽器並瀏覽至您在發佈應用程式時所建立的外部 URL。
2. 使用您指派給應用程式的 Microsoft Entra B2B 帳戶登入。 您應該能夠開啟應用程式，並透過單一登入加以存取。

IWA 和 KCD 應用程式的存取權

針對使用整合式 Windows 驗證和 Kerberos 限制委派所保護的內部部署應用程式，若要讓 B2B 使用者獲得這些應用程式的存取權，您需要下列元件：

• 透過 Microsoft Entra 應用程式 Proxy 進行驗證。 B2B 使用者必須能夠向內部部署應用程式進行驗證。 若要這麼做，您必須透過 Microsoft Entra 應用程式 Proxy 發行內部部署應用程式。 如需詳細資訊，請參閱教學課程：新增可透過應用程式 Proxy 從遠端存取的內部部署應用程式。

• 透過內部部署目錄中 B2B 使用者物件的授權。 應用程式必須能夠執行使用者存取權檢查，並授與正確資源的存取權。 IWA 和 KCD 需要內部部署 Windows Server Active Directory 中的使用者物件才能完成此授權。 如使用 KCD 單一登入的運作方式所述，應用程式 Proxy 需要這個使用者物件，以模擬使用者並將 Kerberos 權杖交給應用程式。

  注意

  設定 Microsoft Entra 應用程式 Proxy 時，請在整合式 Windows 驗證 (IWA) 的單一登入設定中，確認 [委派的登入身分識別] 已設定為 [使用者主體名稱] (預設值)。

  對於 B2B 使用者案例，有兩種方法可供您建立在內部部署目錄中進行授權所需的來賓使用者物件：

  • Microsoft Identity Manager (MIM) 和 Microsoft Graph 的 MIM 管理代理程式。
  • PowerShell 指令碼，這是較輕量的解決方案，不需要 MIM 就可運作。

下圖提供高階的概觀，說明如何搭配使用 Microsoft Entra 應用程式 Proxy，在內部部署目錄中產生 B2B 使用者物件，以對 B2B 使用者授與內部部署 IWA 和 KCD 應用程式的存取權。 圖表下方有各編號步驟的詳細說明。

1. 夥伴組織 (Fabrikam 租用戶) 的使用者獲邀進入 Contoso 租用戶。
2. Contoso 租用戶中建立了來賓使用者物件 (例如，UPN 為 guest_fabrikam.com#EXT#@contoso.onmicrosoft.com 的使用者物件)。
3. 透過 MIM 或 B2B PowerShell 指令碼從 Contoso 匯入 Fabrikam 來賓。
4. 透過 MIM 或透過 B2B PowerShell 指令碼在內部部署目錄 (Contoso.com) 中建立了 Fabrikam 來賓使用者物件 (Guest#EXT#) 的代表或「足跡」。
5. 來賓使用者存取內部部署應用程式 app.contoso.com。
6. 使用 Kerberos 限制委派透過應用程式 Proxy 授權驗證要求。
7. 因為來賓使用者物件存在於本機，所以驗證會成功。

生命週期管理原則

您可以透過生命週期管理原則管理內部部署 B2B 使用者物件。 例如：

• 您可以為來賓使用者設定多重要素驗證 (MFA) 原則，以在應用程式 Proxy 驗證期間使用 MFA。 如需詳細資訊，請參閱 B2B 共同作業使用者的條件式存取。
• 任何對雲端 B2B 使用者執行的贊助、存取權檢閱、帳戶驗證等，皆適用於內部部署使用者。 例如，如果透過生命週期管理原則刪除雲端使用者，則也會由 MIM 同步處理或透過 Microsoft Entra B2B 指令碼刪除內部部署使用者。 如需詳細資訊，請參閱使用 Microsoft Entra 存取權檢閱來管理來賓存取權。

透過 Microsoft Entra B2B 指令碼建立 B2B 來賓使用者物件

您可以使用 Microsoft Entra B2B 範例指令碼來建立從 Microsoft Entra B2B 帳戶同步的影子Microsoft Entra 帳戶。 然後，您可以對使用 KCD 的內部部署應用程式使用影子帳戶。

透過 MIM 建立 B2B 來賓使用者物件

您可以使用適用於 Microsoft Graph 的 MIM 和 MIM 連接器，在內部部署目錄中建立來賓使用者物件。 若要深入了解，請參閱搭配 Microsoft Identity Manager (MIM) 2016 SP1 與 Azure 應用程式 Proxy 的 Microsoft Entra 企業對企業 (B2B) 共同作業。

授權考量

請確定您已為存取內部部署應用程式的外部來賓使用者，或其身分識別是在內部部署管理的外部來賓使用者，準備正確的用戶端存取授權 (CAL) 或外部連接器。 如需詳細資訊，請參閱用戶端存取授權和管理授權的＜外部連接器＞一節。 請就您的特定授權需求向您的 Microsoft 業務代表或地區轉售商洽詢。

下一步

• 授與本機使用者雲端應用程式的存取權限
• 適用於混合式組織的 Microsoft Entra B2B 共同作業