邀請內部使用者加入 B2B 共同作業
在 Microsoft Entra B2B 共同作業的可用性之前,組織可以藉由為其設定內部認證,與散發者、供應商、廠商和其他來賓使用者共同作業。 如果您有這類內部來賓使用者,您可以邀請他們改用 B2B 共同作業。 這些 B2B 來賓使用者將能夠使用自己的身分識別和認證登入,而不需要密碼維護或帳戶生命週期管理。
將邀請傳送至現有的內部帳戶,可讓您保留該使用者的物件標識碼、UPN、群組成員資格和應用程式指派。 您不需要手動刪除並重新邀請使用者或重新指派資源。 若要邀請使用者,您可以使用邀請 API 來傳遞內部使用者物件和來賓使用者的電子郵件位址以及邀請。 當使用者接受邀請時,B2B 服務會將現有的內部用戶物件變更為 B2B 使用者。 接下來,用戶必須使用其 B2B 認證登入雲端資源服務。
考量的事項
存取內部部署資源:當使用者受邀進行 B2B 共同作業之後,他們仍然可以使用內部認證來存取內部部署資源。 您可以藉由重設或變更內部帳戶上的密碼來防止這種情況。 例外狀況是電子郵件一次性密碼驗證;如果使用者的驗證方法變更為單次密碼,他們將無法再使用其內部認證。
計費:此功能不會變更使用者的UserType,因此不會自動將使用者的計費模型切換至 外部標識符每月作用中使用者 (MAU) 定價。 若要為使用者啟用 MAU 定價,請將使用者的 UserType 變更為
guest
。 另請注意,您的 Microsoft Entra 租用戶必須連結到 Azure 訂用帳戶,才能啟用 MAU 計費。Teams:當使用者使用其外部認證存取 Teams 時,其租使用者一開始將無法在 Teams 租使用者選擇器中使用。 使用者可以使用包含租用戶內容的 URL 來存取 Teams,例如:
https://teams.microsoft.com/?tenantId=<TenantId>
。 之後,租使用者將會在 Teams 租用戶選擇器中變成可用。內部部署同步處理的使用者:針對在內部部署與雲端之間同步的使用者帳戶,內部部署目錄在受邀使用 B2B 共同作業之後,會維持授權來源。 您對內部部署帳戶所做的任何變更都會同步至雲端帳戶,包括停用或刪除帳戶。 因此,您無法防止使用者直接刪除內部部署帳戶來登入其內部部署帳戶,同時保留其雲端帳戶。 相反地,您可以將內部部署帳戶密碼設定為隨機 GUID 或其他未知值。
注意
在 Microsoft Entra 連線 Sync 中,有預設規則會將 onPremisesUserPrincipalName 屬性寫入用戶物件。 由於這個屬性的存在可以防止使用者使用外部認證登入,因此我們會封鎖具有此屬性之使用者對象的內部對外部轉換。 如果您使用 Microsoft Entra 連線,而且想要能夠邀請內部使用者進行 B2B 共同作業,您必須修改默認規則,讓 onPremisesUserPrincipalName 屬性不會寫入用戶物件。
如何邀請內部使用者加入 B2B 共同作業
您可以使用 Microsoft Entra 系統管理中心、PowerShell 或邀請 API,將 B2B 邀請傳送給內部使用者。 要注意的事項:
邀請使用者之前,請確定
User.Mail
內部用戶物件的 屬性 (Microsoft Entra 系統管理中心中的使用者 Email 屬性) 已設定為將用於 B2B 共同作業的外部電子郵件位址。 如果內部使用者有現有的信箱,則您無法將此屬性變更為外部電子郵件位址。 您必須在 Exchange 系統管理中心更新其屬性。當您邀請使用者時,會透過電子郵件將邀請傳送給使用者。 如果您使用 PowerShell 或邀請 API,您可以將 設定
SendInvitationMessage
為False
來隱藏此電子郵件。 然後,您可以以另一種方式通知使用者。 深入了解邀請 API。當用戶兌換邀請時,他們所使用的帳戶必須符合 屬性中的
User.Mail
網域。 否則,某些服務,例如 Teams,將無法驗證使用者。
使用 Microsoft Entra 系統管理中心傳送 B2B 邀請
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
以至少外部識別提供者系統管理員身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[使用者]>[所有使用者]。
在清單中尋找使用者,或使用搜尋方塊。 然後選取使用者。
在 [概觀] 索引標籤的 [我的摘要] 底下,選取 [轉換成外部使用者]。
注意
如果卡片顯示「重新傳送此 B2B 使用者的邀請或重設其兌換狀態」。 使用者已受邀使用外部認證進行 B2B 共同作業。
新增外部電子郵件地址,然後選取 [ 傳送]。
注意
如果選項無法使用,請確定使用者的 Email 屬性已設定為他們應該用於 B2B 共同作業的外部電子郵件位址。
確認訊息隨即出現,並透過電子郵件將邀請傳送給使用者。 用戶接著可以使用其外部認證兌換邀請。
使用 PowerShell 傳送 B2B 邀請
您將需要 最新的 Microsoft Graph PowerShell 模組。 使用下列命令來更新至最新的模組,並邀請內部使用者進行 B2B 共同作業:
Update-Module Microsoft.Graph
Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee'
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapplications.microsoft.com" -InvitedUser $msGraphUser
使用邀請 API 傳送 B2B 邀請
下列範例說明如何呼叫邀請 API,以邀請內部使用者作為 B2B 使用者。
POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
ContentType: application/json
{
"invitedUserEmailAddress": "<<external email>>",
"sendInvitationMessage": true,
"invitedUserMessageInfo": {
"messageLanguage": "en-US",
"ccRecipients": [
{
"emailAddress": {
"name": null,
"address": "<<optional additional notification email>>"
}
}
],
"customizedMessageBody": "<<custom message>>"
},
"inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=",
"invitedUser": {
"id": "<<ID for the user you want to convert>>"
}
}
API 的回應與您邀請新來賓使用者加入目錄時所得到的回應相同。