瞭解和管理 B2B 來賓用戶的屬性
適用於:
員工租用戶 
外部租用戶 (深入了解)
B2B 共同作業是 Microsoft Entra 外部身分識別的功能,可讓您與組織外部的使用者和合作夥伴共同作業。 使用 B2B 共同作業時,會邀請外部使用者使用自己的認證登入您的 Microsoft Entra 組織。 此 B2B 共同作業使用者隨後可以存取您想要與他們共用的應用程式和資源。 系統會為 B2B 共同作業使用者在與員工相同的目錄中,建立使用者物件。 B2B 共同作業使用者物件預設在目錄中具有有限權限,而且可以像管理員工一樣進行管理、新增至群組等。 本文討論這個使用者物件的屬性,以及其管理的方式。
下表根據 B2B 共同作業使用者在內部或外部的驗證,以及與您的組織 (來賓或成員) 之間的關聯性,說明 B2B 共同作業使用者的運作方式。
- 外部來賓:通常被視為外部使用者或來賓的大部分使用者都屬於此類別。 此 B2B 共同作業使用者具有外部 Microsoft Entra 組織或外部識別提供者 (例如社交身分識別) 的帳戶,且他們在您資源組織中具有來賓層級的權限。 在資源 Microsoft Entra 目錄中建立的使用者物件具有來賓 UserType。
- 外部成員:此 B2B 共同作業使用者具有外部 Microsoft Entra 組織或外部識別提供者 (例如社交身分識別) 的帳戶,以及貴組織中成員層級的資源存取權。 此案例在由多個租用戶所組成的組織中很常見,其中使用者被視為較大型組織的一部分,而且對組織其他租用戶中的資源需要成員層級的存取權。 在資源 Microsoft Entra 目錄中建立的使用者物件具有成員 UserType。
- 內部來賓:在 Microsoft Entra B2B 共同作業可供使用之前,您通常會與經銷商、供應商、廠商和其他人共同作業,方法是設定其內部認證,並透過設定使用者物件 UserType 將其指定為來賓。 如果您有像這樣的內部來賓使用者,您可以邀請他們改用 B2B 共同作業,讓他們可以使用自己的認證,允許其外部識別提供者管理驗證及其帳戶生命週期。
- 內部成員:這些使用者通常被視為組織的員工。 使用者會透過 Microsoft Entra ID 進行內部驗證,而資源 Microsoft Entra 目錄中所建立的使用者物件具有成員 UserType。
您選擇的使用者類型對於應用程式或服務有下列限制 (但不限於):
| 應用程式或服務 | 限制 |
|---|---|
| Power BI | - Power BI 中 UserType 成員的支援目前為預覽狀態。 如需詳細資訊,請參閱使用 Microsoft Entra B2B 將 Power BI 內容散發給外部來賓使用者 (部分機器翻譯)。 |
| Azure 虛擬桌面 | - Azure 虛擬桌面不支援外部成員和外部來賓。 |
重要
針對所有新租用戶,以及您尚未明確關閉的任何現有租用戶,現在預設會開啟電子郵件一次性密碼功能。 關閉此功能時,後援驗證方法是提示受邀者建立 Microsoft 帳戶。
兌換邀請
現在,讓我們看看 Microsoft Entra B2B 共同作業使用者在 Microsoft Entra External ID 中看起來的樣子。
邀請兌換之前
邀請來賓使用者利用自有認證來進行共同作業後,就會產生 B2B 共同作業使用者帳戶。 初次傳送邀請給來賓使用者時,您的租用戶中就會建立帳戶。 此帳戶沒有任何與其相關聯的認證,因為驗證會由來賓使用者的識別提供者來執行。 在來賓兌換邀請前,目錄中的來賓使用者帳戶 [身分識別] 屬性會設為主機的組織網域。 傳送邀請的使用者會新增為來賓使用者帳戶上 [贊助者] 屬性的預設值。 在系統管理中心,受邀使用者的配置檔會顯示 [擱置接受] 的邀請狀態。 使用 Microsoft Graph API 查詢 externalUserState 會傳回 Pending Acceptance。
邀請兌換之後
B2B 共同作業使用者接受邀請後,[身分識別] 屬性會根據使用者的識別提供者更新。
如果 B2B 共同作業使用者使用另一個外部識別提供者的 Microsoft 帳戶或認證,[身分識別] 會反映識別提供者,例如 Microsoft 帳戶、google.com 或 facebook.com。
如果 B2B 共同作業使用者使用另一個 Microsoft Entra 組織的認證,[身分識別] 為 [ExternalAzureAD]。
如果是使用內部認證的外部使用者,[身分識別] 屬性會設為主機的組織網域。 如果帳戶是在組織的內部部署 Active Directory 中,並與 Microsoft Entra 同步,則 [目錄已同步處理] 屬性為 [是],如果帳戶為僅限於雲端的 Microsoft Entra 帳戶,則此屬性為 [否]。 目錄同步資訊也可以透過 Microsoft Graph 中的
onPremisesSyncEnabled屬性取得。
Microsoft Entra B2B 共同作業使用者的主要屬性
使用者主體名稱
B2B 共同作業使用者物件的 UPN(即來賓使用者)包含來賓使用者的電子郵件,後面接著 #EXT#,後面接著 tenantname.onmicrosoft.com。 例如,如果使用者 john@contoso.com 新增為 fabrikam 目錄中的外部使用者,則其 UPN 將是 john_contoso.com#EXT#@fabrikam.onmicrosoft.com。
使用者類型
此屬性指出使用者與主機租用戶的關聯性。 此屬性可以包含兩個值:
成員:此值表示主機組織的員工和組織薪資的使用者。 例如,此使用者應該能夠存取僅供內部使用的網站。 此使用者不會被視為外部共同作業者。
來賓:此值表示不會被視為公司內部的使用者,例如外部共同作業者、合作夥伴或客戶。 這類使用者不會收到執行長 (CEO) 的內部備忘,或收到公司權益等。
注意
[使用者類型] 與使用者的登入方式、使用者的目錄角色等無關。 此屬性只會表示使用者與主機組織的關聯性,並可讓組織強制執行相依於此屬性的原則。
身分識別
這個屬性表示使用者的主要身分識別提供者。 使用者可以使用數個識別提供者,在使用者設定檔中選取 [身分識別] 旁的連結,或透過 Microsoft Graph API 查詢 identities 屬性,即可加以檢視。
注意
身分識別和 UserType 是獨立的屬性。 身分識別的值不表示特定的 UserType 值。
| Identities 屬性值 | 登入狀態 |
|---|---|
| ExternalAzureAD | 此使用者位於外部組織,並使用屬於其他組織的 Microsoft Entra 帳戶進行驗證。 |
| Microsoft 帳號 | 此使用者位於 Microsoft 帳戶,並使用 Microsoft 帳戶進行驗證。 |
| {主機的網域} | 此使用者會使用屬於此組織的 Microsoft Entra 帳戶進行驗證。 |
| google.com | 此使用者具有 Gmail 帳戶,且已使用自助功能來註冊其他組織。 |
| facebook.com | 此使用者具有 Facebook 帳戶,且已使用自助功能來註冊其他組織。 |
| 郵件 | 此使用者已使用 Microsoft Entra External ID 電子郵件一次性密碼 (OTP) 進行註冊。 |
| {簽發者 URI} | 此使用者所在的外部組織不使用 Microsoft Entra ID 作為其識別提供者,而是改用安全性聲明標記語言 (SAML)/WS-Fed 型識別提供者。 按一下 [憑證簽發者] 欄位,系統會顯示簽發者 URI。 |
外部使用者不支援電話登入。 B2B 帳戶無法使用 phone 值作為識別提供者。
同步處理的目錄
[已同步作業的目錄] 屬性會顯示使用者是否已經與內部部署 Active Directory 同步,而且會在內部部署中進行驗證。 如果帳戶位於組織的內部部署 Active Directory 中,並與 Microsoft Entra 同步,則此屬性為 [是],如果帳戶為僅限於雲端的 Microsoft Entra 帳戶,則此屬性為 [否]。 在 Microsoft Graph 中,同步處理的目錄屬性會對應到 onPremisesSyncEnabled。
Microsoft Entra B2B 使用者是否可新增為成員而非來賓?
一般而言,Microsoft Entra B2B 使用者與來賓使用者為同義字。 因此,Microsoft Entra B2B 共同作業使用者會新增為預設將 UserType 設為 [來賓] 的使用者。 不過,在某些情況下,夥伴組織是主機組織同屬較大型組織的成員。 在此情況下,主機組織可能會想要將夥伴組織中的使用者視為成員而非來賓。 使用 Microsoft Entra B2B 邀請管理員 API 來從夥伴組織新增或邀請使用者至主機組織作為成員。
篩選目錄中的來賓使用者
在 [使用者] 清單中,您可以使用 [新增篩選條件],在目錄中只顯示來賓使用者。
轉換使用者類型
您可以藉由在 Microsoft Entra 系統管理中心編輯使用者設定檔,或使用 PowerShell,將 UserType 從成員轉換成來賓,反之亦然。 不過,[使用者類型] 屬性代表使用者與組織的關聯性。 因此,只有在使用者與組織的關聯性變更時,才應該變更此屬性。 如果使用者的關聯性變更,是否應該變更使用者主體名稱 (UPN)? 使用者是否應該繼續存取相同的資源? 是否應該指派信箱?
來賓使用者權限
來賓使用者預設的目錄權限有限。 他們可以管理自己的設定檔、變更自己的密碼,以及擷取其他使用者、群組和應用程式的相關資訊。 但卻無法讀取所有目錄資訊。
Microsoft Teams 共用頻道不支援 B2B 來賓使用者。 如需共用通道的存取權,請參閱 B2B 直接連接。
您有時可能想要為來賓使用者提供較高的權限。 您可以將來賓使用者新增至任何角色,甚至是移除目錄中的預設來賓使用者限制,以為使用者提供與成員相同的權限。 您可以關閉預設限制,讓公司目錄中的來賓使用者擁有與成員使用者相同的權限。 如需詳細資訊,請參閱限制 Microsoft Entra External ID 中的來賓存取權權限一文 (部分機器翻譯)。
![顯示 [使用者設定] 中 [外部使用者] 選項的螢幕擷取畫面。](media/user-properties/remove-guest-limitations.png)
能否在 Exchange 全域通訊清單中顯示來賓使用者?
是。 根據預設,來賓物件不會在貴組織的全域通訊清單中顯示,但您可以使用 Microsoft Graph PowerShell 讓其顯示。 如需詳細資訊,請參閱 Microsoft 365 個別群組來賓存取文章中的〈將來賓新增至全域通訊清單〉。
我可以更新來賓使用者的電子郵件地址嗎?
如果來賓使用者接受您的邀請,且後續變更其電子郵件地址,則新的電子郵件不會自動同步至您目錄中的來賓使用者物件。 郵件屬性是透過 Microsoft Graph API 建立。 您可以透過 Microsoft Graph API、Exchange 系統管理中心,或者 Exchange Online PowerShell 來更新郵件屬性。 變更將會反映在 Microsoft Entra 來賓使用者物件中。