控管權利管理中外部使用者的存取權限

權利管理會使用 Microsoft Entra 企業對企業 (B2B) 來共用存取權,以便與組織外部的人員共同作業。 透過 Microsoft Entra B2B,外部使用者會向主目錄進行驗證,但在目錄中有表示方式。 目錄中的表示法可讓使用者獲指派您資源的存取權。

本文描述您可以指定用以管理外部使用者存取權的設定。

權利管理如何提供協助

使用 Microsoft Entra B2B 邀請體驗時,您事先必須知道要帶入資源目錄並使用的外部來賓使用者的電子郵件位址。 處理較小或短期專案且認識所有參與者時,直接邀請每位使用者是非常好的方式;但如果想要合作的使用者人數眾多,或一段時間後參與者會變動,這個程序就很難管理。 例如,您可能與另一個組織合作,並與該組織有一個連絡點,但隨著時間推移,來自該組織的更多使用者也需要存取權。

您可以使用權利管理定義原則,讓您指定的組織使用者能夠自行要求存取套件。 此原則包括是否需要核准、是否需要存取權檢閱,以及存取是否有到期日。 在大部分情況下,您想要要求核准,以便對哪些使用者帶入目錄有適當的監督。 如果需要核准,則對於主要外部組織合作夥伴,您可以考慮邀請一或多個來自外部組織的使用者到您的目錄、將他們指定為贊助者,並設定贊助者為核准者,因為他們可能知道組織中需要存取權的外部使用者。 設定存取套件之後,請取得存取套件的要求連結,以便您將該連結傳送至外部組織的連絡人 (贊助者)。 該連絡人可以與其外部組織的其他使用者共用此連結,使用此連結要求存取套件。 已邀請加入您目錄的組織使用者也可以使用該連結。

您也可以使用權利管理,從沒有自己 Microsoft Entra 目錄的組織引進使用者。 您可以為其網域設定同盟識別提供者,或使用電子郵件型驗證。 您也可以從社交身分識別提供者引進使用者,包括具有 Microsoft 帳戶的使用者。

一般而言,在核准要求時,權利管理會佈建具有必要存取權限的使用者。 如果使用者未在您的目錄中,權利管理會先邀請使用者。 邀請使用者時,Microsoft Entra ID 會自動為其建立 B2B 來賓帳戶,但不會傳送電子郵件給使用者。 系統管理員可能會藉由設定 B2B 允許或封鎖清單 來允許或封鎖對其他組織網域的邀請,以限制哪些組織可以共同作業。 如果這些清單不允許使用者網域,則這些清單不會受到邀請,而且在更新清單之前無法指派存取權。

因為您不希望外部使用者的存取權限永遠有效,因此您會在原則中指定到期日,例如 180 天。 在 180 天后,如果未擴充其存取權限,權利管理將會移除與該存取套件相關聯的所有存取權限。 根據預設,如果透過權利管理邀請的使用者沒有其他存取套件指派,則當他們失去最後一個指派時,會封鎖其來賓帳戶登入 30 天,之後移除。 這可避免不必要的帳戶激增。 如下列各節所述,這些設定都是可設定的。

外部使用者的存取權運作方式

下圖和步驟概述如何將存取套件的存取權授與外部使用者。

顯示外部使用者生命週期的圖表

  1. 您為想要共同作業的 Microsoft Entra 目錄或網域 新增連線組織。 您也可以為社交識別提供者設定連線的組織。

  2. 您可以檢查要包含存取套件中的目錄,其目錄設定 [為外部使用者啟用][是]

  3. 您可以在目錄中建立存取套件,其中包含 針對不在目錄中的使用者 的原則,並指定可要求、核准者和生命週期設定的連線組織。 如果您在原則中選取特定連線組織的選項,或所有連線組織的選項,則只有先前設定之組織的使用者可以要求。 如果您在原則中選取所有使用者的選項,則任何使用者都可以要求,包括那些還不屬於您的目錄,也不屬於任何已連線組織的使用者。

  4. 您可以檢查 存取套件上的隱藏設定,以確保存取套件已隱藏。 如果未隱藏,則該存取套件中的原則設定允許的任何使用者都可以在我的存取權入口網站中瀏覽您的租用戶存取套件。

  5. 我的存取權入口網站連結傳送給外部組織連絡人,以便其可與自己的使用者共用,要求存取套件。

  6. 外部使用者 (本範例中為要求者 A) 使用我的存取權入口網站連結提出存取套件的存取權要求。 我的存取權入口網站需要使用者以連線組織成員的身分登入。 使用者的登入方式取決於已連線組織和外部使用者設定所定義目錄或網域的驗證類型。

  7. 核准者 核准要求 (假設原則需要核准)。

  8. 要求即會進入正在傳遞狀態

  9. 使用 B2B 邀請程序,就會在目錄中建立來賓使用者帳戶 (此範例中為要求者 A (來賓))。 如果定義了 允許清單或封鎖清單,則會套用清單設定。

  10. 來賓使用者獲指派權限,可存取存取套件中所有的資源。 Microsoft Entra ID 和其他 Microsoft 線上服務或已連線的 SaaS 應用程式進行變更可能需要一些時間。 如需詳細資訊,請參閱套用變更後

  11. 外部使用者會收到通知已傳遞存取權的電子郵件。

  12. 若要存取資源,外部使用者可以選取電子郵件中的連結,或嘗試直接存取任何目錄資源以完成邀請程序。

  13. 如果原則設定包含到期日,則稍後當外部使用者的存取套件指派到期時,系統就會從該存取套件中移除外部使用者存取權。

  14. 根據外部使用者設定的生命週期,當外部使用者不再有任何存取套件指派時,會封鎖外部使用者登入,並將外部用戶帳戶從您的目錄中移除。

外部使用者設定

為確保組織外部人員可以要求存取套件,並得以存取這些存取套件中的資源,建議驗證已正確設定某些設定。

啟用外部使用者目錄

  • 根據預設,當您建立 新的目錄 時,會啟用允許外部使用者要求目錄中的存取套件。 請確定 [Enabled for external users] \(對外部使用者啟用\) 設定為 [是]

    編輯目錄設定

    如果您是系統管理員或目錄擁有者,您可以在目錄的 Microsoft Entra 系統管理中心清單中檢視目前為外部使用者啟用的目錄清單,方法是將 [為外部使用者啟用] 篩選條件設定為 [是]。 如果該篩選檢視中顯示的任何類別目錄具有非零數目的存取套件,這些存取套件可能會有 原則給不在您目錄中 允許使用者要求的外部使用者。

設定您的 Microsoft Entra B2B 外部共同作業設定

  • 允許來賓邀請其他來賓加入您的目錄,表示來賓邀請可不經過權利管理。 建議將 [來賓可邀請] 設為 [否],只允許受到適當控管的邀請。

  • 如果您先前已使用 B2B 允許清單,則必須移除該清單,或確定您想要與權利管理合作的一切組織所有的網域都會新增至清單。 或者,如果您使用 B2B 封鎖清單,您必須確定該清單中沒有您想要合作的任何組織的網域。

  • 如果建立適用於所有使用者 (所有連線組織 + 任何新外部使用者) 的權利管理原則,但有使用者不屬於您目錄中的連線組織,則當這些使用者要求套件時,系統自動為其建立連線的組織。 不過,您擁有的任何 B2B 允許或封鎖清單 設定都會優先執行。 因此,如果您使用了允許清單,您想要移除該允許清單,讓 所有使用者 均可要求存取權,並在使用封鎖清單時從封鎖清單中排除所有授權網域。

  • 如果您想要建立包含所有使用者 (所有連線組織 + 任何新外部使用者) 的權利管理原則,則必須先為目錄啟用電子郵件單次密碼驗證。 如需詳細資訊,請參閱電子郵件單次密碼驗證

  • 如需 Microsoft Entra B2B 外部共同作業設定的詳細資訊,請參閱 設定外部共同作業設定

    Microsoft Entra 外部共同作業設定

檢閱跨租使用者存取設定

  • 請確定輸入 B2B 共同作業的跨租使用者存取設定允許要求和指派存取權。 您應該檢查這些設定是否允許屬於您目前或未來已連線組織的租使用者,而且不會封鎖來自這些租用戶的使用者受邀。 此外,檢查跨租使用者存取設定是否允許這些用戶能夠向您想要啟用共同作業案例的應用程式進行驗證。 如需詳細資訊,請參閱 設定跨租使用者存取設定
  • 如果您為來自不同 Microsoft 雲端的 Microsoft Entra 租用戶建立連線組織,您也必須適當地設定跨租用戶存取設定。 如需詳細資訊,請參閱 設定Microsoft雲端設定

檢閱條件式存取原則

  • 請務必從任何會影響來賓使用者的條件式存取原則中排除權利管理應用程式。 否則,條件式存取原則可能會封鎖它們存取 MyAccess 或登入您的目錄。 例如,來賓可能沒有已註冊的裝置、不在已知位置,而且不想重新註冊多重要素驗證 (MFA),因此在條件式存取原則中新增這些需求會封鎖來賓使用權利管理。 如需詳細資訊,請參閱 Microsoft Entra 條件式存取中的條件為何?

  • 如果條件式存取封鎖所有雲端應用程式,除了排除權利管理應用程式之外,請確定 條件式存取 (CA) 原則中也會排除要求核准讀取平臺 。 首先確認您具有必要角色:條件式存取管理員、應用程式管理員、屬性指派管理員和屬性定義管理員。 然後,建立具有適當名稱和值的自定義安全性屬性。 找出企業應用程式中要求核准讀取平臺的服務主體,並將具有所選值的自定義屬性指派給此應用程式。 在您的 CA 原則中,根據指派給 要求核准讀取平臺的自定義屬性名稱和值,套用篩選以排除選取的應用程式。 如需在 CA 原則中篩選應用程式的詳細資訊,請參閱: 條件式存取:篩選應用程式

    排除應用程式選項的螢幕擷取畫面。

    排除雲端應用程式之選取項目的螢幕擷取畫面。

    排除來賓應用程式選取項目的螢幕擷取畫面。

注意

權利管理應用程式包含 MyAccess 的權利管理端、Microsoft Entra 系統管理中心的權利管理端,以及 MS 圖形的權利管理部分。 後兩者需要額外的權限才能存取,因此除非提供明確的權限,否則來賓將無法存取。

檢閱 SharePoint Online 外部共用設定

  • 如果您想要在外部使用者的存取套件中包含 SharePoint Online 網站,請確定您的組織層級外部共用設定已設定為 [任何人] (使用者不需要登入),或 [新的和現有的來賓] (來賓必須登入或提供驗證碼)。 如需詳細資訊,請參閱開啟或關閉外部共用

  • 如果您想要限制權利管理外的任何外部共用,您可以將外部共用設定設為 [現有的來賓]。 然後,只有透過權利管理邀請的新使用者能存取這些網站。 如需詳細資訊,請參閱開啟或關閉外部共用

  • 請確定網站層級設定啟用來賓存取 (和先前所列的選項選取項目相同)。 如需詳細資訊,請參閱開啟或關閉網站的外部共用

檢閱 Microsoft 365 群組共用設定

  • 如果想在外部使用者的存取套件中包含 Microsoft 365 群組,請務必將 [讓使用者將新的來賓新增到組織] 設為 [開啟],以允許來賓存取。 如需詳細資訊,請參閱 管理 Microsoft 365 群組的來賓存取

  • 如果您想讓外部使用者能夠存取 SharePoint Online 網站以及與 Microsoft 365 群組建立關聯的資源,請務必開啟 SharePoint Online 外部共用。 如需詳細資訊,請參閱開啟或關閉外部共用

  • 如需如何在 PowerShell 目錄層級設定 Microsoft 365 群組來賓原則的資訊,請參閱範例:在目錄層級設定群組的來賓原則

檢閱 Teams 共用設定

  • 如果您想要在外部使用者的存取套件中包含 Teams,請務必將 [Allow guest access in Microsoft Teams] \(允許 Microsoft Teams 的來賓存取\) 設為 [開啟],以允許來賓存取。 如需詳細資訊,請參閱在 Microsoft Teams 系統管理中心內設定來賓存取

管理外部使用者的生命週期

提示

本文中的步驟可能會依據您開始的入口網站而稍有不同。

您可以選取因要求存取套件而受邀到目錄的外部使用者不再有任何存取套件指派後會發生什麼事。 當使用者交出所有存取套件指派,或當最後的存取套件指派過期後,就會發生這種情況。 根據預設,當外部使用者不再有任何存取套件指派時,系統會封鎖他們登入您的目錄。 30 天之後,就會從您的目錄中移除其來賓使用者帳戶。 您也可以設定外部使用者未封鎖登入或刪除,或未封鎖外部使用者登入,但遭到刪除。

  1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別治理]>[權利管理]>[設定]

  3. 選取編輯

    管理外部使用者生命週期的設定

  4. 在 [Manage the lifecycle of external users] \(管理外部使用者的生命週期\) 區段中,選取不同的外部使用者設定。

  5. 當外部使用者失去最後一次的任一存取套件指派時,如果您想禁止使用者登入此目錄,請將 [禁止外部使用者登入此目錄] 設為 [是]

    注意

    權利管理只會封鎖透過權利管理邀請,或藉由將其來賓使用者帳戶 轉換成受控管帳戶 而新增至生命週期管理之權利管理的外部來賓使用者帳戶進行登入。 此外,請注意,即使該使用者已新增至未存取套件指派的此目錄中的資源,使用者也會遭到封鎖而無法登入。 如果使用者被禁止登入此目錄,則使用者將無法在此目錄中重新要求存取套件或要求其他存取權。 如果後續需要要求存取此或其他存取套件,請勿設定封鎖他們登入。

  6. 當外部使用者失去其前次對任何存取套件的指派時,如果您想要移除其在此目錄中的來賓使用者帳戶,請將 [移除外部使用者] 設定為 [是]

    注意

    權利管理只會移除透過權利管理邀請,或將其來賓使用者帳戶 轉換成受控管帳戶 而新增至生命週期管理之權利管理的外部來賓使用者帳戶。 此外,請注意,即使該使用者已新增至此目錄中未獲存取套件指派的資源,也會從此目錄移除。 如果在接收存取套件指派之前,來賓已存在於此目錄中,則會保留它們。 但是,如果來賓是透過存取套件指派邀請,而且其獲邀之後也將其指派給商務用 OneDrive 或 SharePoint Online 網站,仍會將他們移除。 將 [移除外部使用者] 設定變更為 [否] 只會影響後續失去其上次存取套件指派的使用者;已排程刪除且遭到封鎖而無法登入的使用者,仍會在其原始排程中刪除。

  7. 如果您想要移除此目錄中的來賓使用者帳戶,您可以設定移除前的天數。 外部使用者的存取套件逾期時會收到通知,移除其帳戶時則不會收到通知。 如果您想要在來賓使用者帳戶失去其前次對任何存取套件指派的情況下將其移除,請將 [經過此天數後,從這個目錄中移除外部使用者] 設定為 0。 此值的變更只會影響後續使用其上次存取套件指派的使用者;已排程要刪除的使用者仍會在其原始排程中刪除。

  8. 選取 [儲存]。

下一步