權利管理會使用 Microsoft Entra 企業對企業 (B2B) 共用存取權,讓您可以與組織外部的人員共同作業。 透過 Microsoft Entra B2B,外部使用者會向他們的主目錄進行驗證,但在您的目錄中有代表。 目錄中的表示法可讓使用者獲指派您資源的存取權。
本文描述您可以指定用以管理外部使用者存取權的設定。
權利管理如何提供協助
使用 Microsoft Entra B2B 邀請體驗時,您必須已經知道您希望添加到資源目錄並合作的外部來賓使用者的電子郵件地址。 處理較小或短期專案且認識所有參與者時,直接邀請每位使用者是非常好的方式;但如果想要合作的使用者人數眾多,或一段時間後參與者會變動,這個程序就很難管理。 例如,您可能與另一個組織合作,並與該組織有一個連絡點,但隨著時間推移,來自該組織的更多使用者也需要存取權。
您可以使用權利管理定義原則,讓您指定的組織使用者能夠自行要求存取套件。 此原則包括是否需要核准、是否需要存取權檢閱,以及存取是否有到期日。 在大多數情況下,您會希望必須獲得核准,以便適當監控哪些使用者被加入至您的使用者目錄。 如果需要核准,則對於主要外部組織合作夥伴,您可以考慮邀請一或多個來自外部組織的使用者到您的目錄、將他們指定為贊助者,並設定贊助者為核准者,因為他們可能知道組織中需要存取權的外部使用者。 設定存取套件之後,請取得存取套件的要求連結,以便您將該連結傳送至外部組織的連絡人 (贊助者)。 該連絡人可以與其外部組織的其他使用者共用此連結,使用此連結要求存取套件。 已邀請加入您目錄的組織使用者也可以使用該連結。
您也可以使用權利管理,從沒有自己 Microsoft Entra 目錄的組織引進使用者。 您可以為其網域設定同盟識別提供者,或使用電子郵件型驗證。 您也可以從社交身分識別提供者引進使用者,包括具有 Microsoft 帳戶的使用者。
一般而言,在核准要求時,權利管理會為使用者提供必要的存取權限。 如果使用者未在您的目錄中,權利管理會先邀請使用者。 邀請使用者時,Microsoft Entra ID 會自動為其建立 B2B 來賓帳戶,但不會傳送電子郵件給使用者。 系統管理員可能會藉由設定 B2B 允許或封鎖清單 來允許或封鎖其他組織的網域,限制哪些組織可以共同作業。 如果使用者的網域不在這些清單允許的範圍內,他們將不會被邀請,也無法分配存取權,直到更新清單為止。
因為您不希望外部使用者的存取權限永遠有效,因此您會在原則中指定到期日,例如 180 天。 在 180 天后,如果未擴充其存取權限,權利管理將會移除與該存取套件相關聯的所有存取權限。 根據預設,如果透過權利管理邀請的使用者沒有其他存取套件指派,則當他們失去最後一個指派時,他們的來賓帳戶將被禁止登入 30 天,然後被移除。 這可避免不必要的帳戶激增。 如下列各節所述,這些設定都是可設定的。
外部使用者的存取權運作方式
下圖和步驟概述如何將存取套件的存取權授與外部使用者。
您可以為想要共同作業的 Microsoft Entra 目錄或網域 新增連線的組織 。 您也可以為社交識別提供者設定連線的組織。
您可以檢查目錄中 外部使用者的目錄設定 [已啟用 ],以包含存取套件為 [是]。
您可以在目錄中建立存取套件,其中包含 原則:適用於不在目錄中的使用者 ,並指定可要求、核准者和生命周期設定的已連線組織。 如果您在原則中選取特定連線組織的選項,或所有連線組織的選項,則只有先前設定之組織的使用者可以要求。 如果您在原則中選取所有使用者的選項,則任何使用者都可以要求,包括那些還不屬於您的目錄,也不屬於任何已連線組織的使用者。
您會檢查 存取套件上的隱藏設定 ,以確保存取套件已隱藏。 如果未隱藏,則該存取套件中的原則設定允許的任何使用者都可以在我的存取權入口網站中瀏覽您的租用戶存取套件。
您會將 「我的存取」入口網站鏈接 傳送至外部組織的聯繫人,讓他們可以與其用戶共用以要求存取套件。
外部使用者(此範例中的要求者 A)會使用 My Access 入口網站連結來要求存取存取套件。 我的存取權入口網站需要使用者以連線組織成員的身分登入。 使用者的登入方式取決於已連線組織和外部使用者設定所定義目錄或網域的驗證類型。
核准者 會核准要求 (假設原則需要核准)。
要求切換到 傳遞狀態。
使用 B2B 邀請程式,會在您的目錄中建立來賓用戶帳戶(此範例中的要求者 A(來賓)。 如果已定義 允許清單或封鎖清單 ,則會套用清單設定。
來賓使用者獲指派權限,可存取存取套件中所有的資源。 Microsoft Entra ID 和其他 Microsoft 線上服務或已連線的 SaaS 應用程式進行變更可能需要一些時間。 如需詳細資訊,請參閱 套用變更的時間。
外部使用者會收到一封電子郵件,指出已 傳遞其存取權。
若要存取資源,外部使用者可以選取電子郵件中的連結,或嘗試直接存取任何目錄資源以完成邀請程序。
如果原則設定包含到期日,則稍後當外部使用者的存取套件指派到期時,系統就會從該存取套件中移除外部使用者存取權。
根據外部使用者設定的生命週期,當外部使用者不再有任何存取套件指派時,會封鎖外部使用者登入,並將外部用戶帳戶從您的目錄中移除。
外部使用者設定
為確保組織外部人員可以要求存取套件,並得以存取這些存取套件中的資源,建議驗證已正確設定某些設定。
啟用外部使用者目錄
根據預設,當您建立 新的目錄時,會啟用它以允許外部使用者要求目錄中的存取套件。 請確定 [Enabled for external users] \(對外部使用者啟用\) 設定為 [是]。
如果您是系統管理員或目錄擁有者,您可以在 Microsoft Entra 管理中心的目錄清單中,將 [為外部使用者啟用] 的篩選設定變更為 [是],以檢視目前已對外部使用者啟用的目錄清單。 如果該篩選檢視中顯示的任何類別目錄包含數量不為零的存取套件,這些存取套件可能會有允許目錄外部使用者請求的政策。
設定您的 Microsoft Entra B2B 外部共同作業設定
允許來賓邀請其他來賓加入您的目錄,表示來賓邀請可不經過權利管理。 建議將 [來賓可邀請] 設為 [否],只允許受到適當控管的邀請。
如果您之前已使用 B2B 允許清單,您必須移除該清單,或確保您想利用權益管理系統與其合作的所有組織的網域都已新增到清單中。 或者,如果您使用 B2B 封鎖清單,您必須確定該清單中沒有您想要合作的任何組織的網域。
如果您為 所有使用者 建立權利管理原則(所有已連線的組織 + 任何新的外部使用者),且使用者不屬於目錄中的已連線組織,當他們要求套件時,系統會自動為其建立連線的組織。 不過,任何 B2B 允許或封鎖清單 設定都會優先處理。 因此,如果您正在使用允許清單並想要移除它,以便讓 所有使用者 都可以要求存取權,同時如果您使用封鎖清單,請將所有授權網域排除在封鎖清單之外。
如果您想要建立包含 所有使用者 的權利管理原則(所有已連線的組織 + 任何新的外部使用者),您必須先為您的目錄啟用電子郵件單次密碼驗證。 如需詳細資訊,請參閱 電子郵件單次密碼驗證。
如需Microsoft Entra B2B 外部共同作業設定的詳細資訊,請參閱 設定外部共同作業設定。
審查跨租戶存取設定
- 請確保跨租戶 B2B 協作的輸入存取設定允許請求和指派存取權。 您應檢查這些設定是否允許屬於您目前或未來已連線組織的租戶,並確認來自這些租戶的使用者不會被阻擋邀請。 此外,檢查跨租使用者存取設定是否允許這些用戶能夠向您想要啟用共同作業案例的應用程式進行驗證。 如需詳細資訊,請參閱 設定跨租使用者存取設定。
- 如果您為來自不同 Microsoft 雲端的 Microsoft Entra 租用戶建立連線組織,您也必須適當地設定跨租用戶存取設定。 如需詳細資訊,請參閱 設定Microsoft雲端設定。
檢閱條件式存取原則
請務必從任何會影響來賓使用者的條件式存取原則中排除權利管理應用程式。 否則,條件式存取原則可能會封鎖它們存取 MyAccess 或登入您的目錄。 例如,來賓可能沒有已註冊的裝置、不在已知位置,而且不想重新註冊多重要素驗證 (MFA),因此在條件式存取原則中新增這些需求會封鎖來賓使用權利管理。 如需詳細資訊,請參閱 Microsoft Entra 條件式存取中有哪些條件?。
如果條件式存取封鎖所有雲端應用程式,除了排除權利管理應用程式之外,請確定條件式存取原則中也會排除 要求核准讀取平臺 。 首先確認您具有必要角色:條件式存取管理員、應用程式管理員、屬性指派管理員和屬性定義管理員。 然後,建立具有適當名稱和值的自定義安全性屬性。 找出企業應用程式中 要求核准讀取平臺 的服務主體,並將具有所選值的自定義屬性指派給此應用程式。 在您的條件式存取原則中,根據指派給 要求核准讀取平臺的自定義屬性名稱和值,套用篩選以排除選取的應用程式。 如需在條件式存取原則中篩選應用程式的詳細資訊,請參閱: 條件式存取:篩選應用程式
注意
權限管理應用程式包含 MyAccess 的權限管理端、Microsoft Entra 系統管理中心的權限管理端,以及 Microsoft Graph 的權限管理部分。 後兩者需要額外的權限才能存取,因此除非提供明確的權限,否則來賓將無法存取。
檢閱 SharePoint Online 外部共用設定
如果您想要在外部使用者的存取套件中包含 SharePoint Online 網站,請確定您的組織層級外部共用設定已設定為 [ 任何人 ] (使用者不需要登入),或 [新增] 和 [現有來賓 ] (來賓必須登入或提供驗證碼)。 如需詳細資訊,請參閱 開啟或關閉外部共用。
如果您想要限制權利管理外的任何外部共用,您可以將外部共用設定設為 [現有的來賓]。 然後,只有透過權利管理邀請的新使用者能存取這些網站。 如需詳細資訊,請參閱 開啟或關閉外部共用。
請確定網站層級設定啟用來賓存取 (和先前所列的選項選取項目相同)。 如需詳細資訊,請參閱 開啟或關閉網站的外部共用。
檢閱 Microsoft 365 群組共用設定
如果想在外部使用者的存取套件中包含 Microsoft 365 群組,請務必將 [讓使用者將新的來賓新增到組織] 設為 [開啟],以允許來賓存取。 如需詳細資訊,請參閱 管理Microsoft 365 群組的來賓存取權。
如果您想讓外部使用者能夠存取 SharePoint Online 網站以及與 Microsoft 365 群組建立關聯的資源,請務必開啟 SharePoint Online 外部共用。 如需詳細資訊,請參閱 開啟或關閉外部共用。
如需如何在PowerShell中為目錄層級Microsoft 365群組設定客體原則的相關信息,請參閱 範例:為目錄層級的群組設定客體原則。
檢視 Teams 共用設定
- 如果您想要在外部使用者的存取套件中包含 Teams,請務必將 [Allow guest access in Microsoft Teams] \(允許 Microsoft Teams 的來賓存取\) 設為 [開啟],以允許來賓存取。 如需詳細資訊,請參閱 在 Microsoft Teams 系統管理中心設定來賓存取。
管理外部使用者的生命週期
您可以選擇當一位因透過存取套件要求受邀到您的目錄的外部使用者不再擁有任何存取套件的指派時,會發生什麼事。 當使用者交出所有存取套件指派,或當最後的存取套件指派過期後,就會發生這種情況。 根據預設,當外部使用者不再有任何存取套件指派時,系統會封鎖他們登入您的目錄。 30 天之後,就會從您的目錄中移除其來賓使用者帳戶。 您也可以設定外部使用者不被封鎖登入或刪除,或者設定外部使用者不被封鎖登入但仍被刪除。
請以至少「身分識別控管系統管理員」的角色登入 Microsoft Entra 系統管理中心。
流覽至 [ 標識符治理>權利管理>設定]。
選取 編輯。
在 [Manage the lifecycle of external users] \(管理外部使用者的生命週期\) 區段中,選取不同的外部使用者設定。
當外部使用者失去最後一次的任一存取套件指派時,如果您想禁止使用者登入此目錄,請將 [禁止外部使用者登入此目錄] 設為 [是]。
注意
權利管理只會阻止外部來賓用戶帳戶透過權利管理邀請登入,或藉由將來賓用戶帳戶 轉換成受控管而新增至生命週期管理的權利管理。 此外,請注意,即使將使用者新增到此目錄中非屬於存取套件指派的資源裡,該使用者仍會被阻擋無法登入。 如果使用者被禁止登入此目錄,則使用者將無法在此目錄中重新要求存取套件或要求其他存取權。 如果後續需要要求存取此或其他存取套件,請勿設定封鎖他們登入。
當外部使用者失去其前次對任何存取套件的指派時,如果您想要移除其在此目錄中的來賓使用者帳戶,請將 [移除外部使用者] 設定為 [是]。
注意
權利管理只會移除透過權利管理邀請的外部來賓用戶帳戶,或藉由將來賓用戶帳戶 轉換成控管,將其來賓用戶帳戶新增至生命週期管理的權利管理。 此外,請注意,即使該使用者已新增至此目錄中未獲存取套件指派的資源,也會從此目錄移除。 如果在接收存取套件指派之前,來賓已存在於此目錄中,則會保留它們。 但是,如果來賓是透過存取套件指派來邀請的,而且在獲邀後也被指派到特定的商務用 OneDrive 或 SharePoint Online 網站,他們仍會被移除。 將 [移除外部使用者 ] 設定變更為 [否 ] 只會影響後續失去其最後一個存取套件指派的使用者;已排程刪除且遭到封鎖而無法登入的使用者,仍會在其原始排程中刪除。
如果您想要移除此目錄中的來賓使用者帳戶,您可以設定移除前的天數。 外部使用者在存取套件逾期時會收到通知,但在帳戶被移除時,則不會收到任何通知。 如果您想要在來賓使用者帳戶失去所有存取套件的最後一個指派後立即移除,請將 從此目錄移除外部使用者的天數 設為 0。 此值的變更只會影響後續使用其上次存取套件指派的使用者;已排程要刪除的使用者仍會在其原始排程中刪除。
選取 [儲存]。