在權利管理中管理已連線的組織

發行項
07/15/2024

使用權利管理，您可以與組織外部的人員共同作業。如果您經常與來自特定外部組織的許多使用者共同作業，便可將這些組織的身分識別來源新增為已連線的組織。擁有一個已連線組織可以簡化來自這些組織的更多人員要求存取權的方式。本文說明如何新增已連線的組織，使您可以讓組織外部的使用者要求您目錄中的資源。

什麼是已連線的組織？

已連線的組織是與您關聯的另一個組織。為了讓該組織中的使用者能夠存取您的資源，例如您的 SharePoint Online 網站或應用程式，您需要該組織使用者在該目錄中的代表項目。因為在大部分情況下，該組織中的使用者尚未存在於您的 Microsoft Entra 目錄中，所以您可以視需要使用權利管理，將使用者帶入您的 Microsoft Entra 目錄。

若要為任何人提供要求存取的路徑，而且您不確定這些新使用者可能來自哪些組織，則可以為不在目錄中的使用者設定存取套件指派原則。在該原則中，選取 [所有使用者 (所有連線的組織 + 任何新的外部使用者)] 選項。如果要求者獲得核准，且不屬於您目錄中的連線組織，系統會自動為其建立連線組織。

若只想要允許來自指定組織的個人要求存取權，請先建立這些已連線的組織。其次，為不在目錄中的使用者設定存取套件指派原則、選取 [特定的連線組織] 選項，然後選取您建立的組織。

權利管理有四種方式可讓您指定形成連線組織的使用者。其可以是：

另一個 Microsoft Entra 目錄中的使用者 (來自任何 Microsoft Cloud)，
對於 SAML/WS-Fed 識別提供者 (IdP) 同盟設定的另一個非 Microsoft 目錄中的使用者，
另一個非 Microsoft 目錄中的使用者，其電子郵件位址都具有相同的公共網域且特定於該組織，或
具有 Microsoft 帳戶的使用者，例如來自網域 live.com，如果您有與沒有共同組織的使用者共同作業所需的商務需求。

例如，假設您任職於 Woodgrove Bank，而且您想要與兩個外部組織共同作業。您想要為兩個外部組織的使用者提供相同資源的存取權，但這兩個組織有不同的組態：

Contoso 尚未使用 Microsoft Entra ID。 Contoso 使用者的電子郵件位址結尾為 contoso.com。
Graphic Design Institute 使用 Microsoft Entra ID，而且至少有一些使用者具有以 graphicdesigninstitute.com 結尾的使用者主體名稱。

在此情況下，您可以設定兩個已連線的組織，然後使用一個原則來設定一個存取套件。

確保您已啟用電子郵件一次性密碼 (OTP) 驗證，以便來自尚未屬於 Microsoft Entra 目錄的網域的使用者，在要求存取權或稍後存取您的資源時，使用電子郵件一次性密碼進行驗證。此外，您可能需要設定您的 Microsoft Entra B2B 外部共同作業設定，以允許外部使用者存取。
建立 Contoso 的已連線組織。指定網域 contoso.com 後，權利管理會辨識出沒有與該網域相關聯的現有 Microsoft Entra 租用戶，而且如果使用者以具有 contoso.com 電子郵件位址網域的電子郵件一次性密碼進行驗證，則會辨識來自該已連線組織的使用者。
為 Graphic Design Institute 建立另一個連線組織。指定網域 graphicdesigninstitute.com 後，權利管理會辨識有與該網域相關聯的租用戶。
在可讓外部使用者要求的目錄中，建立存取套件。
在該存取套件中，為尚未在目錄中的使用者建立存取套件指派原則。在該原則中，選取 [特定的連線組織] 選項，並指定兩個連線組織。這可讓來自每個組織的使用者，使用符合其中一個已連線組織的身分識別來源來要求存取套件。
在具有 contoso.com 網域的使用者主體名稱的外部使用者要求存取套件時，他們會使用電子郵件進行驗證。此電子郵件網域符合 Contoso 連線的組織，且使用者將可要求套件。要求之後，外部使用者存取的運作方式會描述如何邀請 B2B 使用者，並為外部使用者指派存取權。
此外，使用來自 Graphic Design Institute 租用戶之組織帳戶的外部使用者，將會比對 Graphic Design Institute 連線的組織，並允許要求存取套件。此外，由於 Graphic Design Institute 會使用 Microsoft Entra ID，因此主體名稱符合另一個已驗證網域 (新增至 Graphic Design Institute 租用戶，例如 graphicdesigninstitute.example) 的任何使用者，也將能夠使用相同的原則來要求存取套件。

來自 Microsoft Entra 目錄或網域的使用者如何驗證取決於驗證類型。連線組織的驗證類型如下：

在相同的雲端中的 Microsoft Entra ID
另一個雲端中的 Microsoft Entra ID
SAML/WS-Fed 識別提供者 (IdP) 同盟
一次性密碼 (網域)
Microsoft 帳戶

如需如何新增連線組織的示範，請觀看下列影片：

檢視已連線組織的清單

提示

根據您開始使用的入口網站，本文中的步驟可能略有不同。

以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別控管] > [權利管理] > [已連線的組織]。
在搜尋方塊中，您可以依連線組織的名稱搜尋已連線的組織。不過，您無法搜尋網域名稱。

新增已連線的組織

若要新增外部 Microsoft Entra 目錄或網域做為已連線的組織，請遵循本節中的指示。

以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別控管] > [權利管理] > [已連線的組織]。
在 [已連線的組織] 頁面上，選取 [新增已連線的組織]。
選取 [基本] 索引標籤，然後輸入組織的顯示名稱和描述。
當您建立新的連線組織時，狀態會自動設定為 [已設定]。如需已連線組織之狀態屬性的詳細資訊，請參閱已連線組織的狀態屬性
選取 [目錄 + 網域] 索引標籤，然後選取 [新增目錄 + 網域]。

接著 [選取目錄 + 網域] 窗格隨即開啟。
在搜尋方塊中，輸入網域名稱以搜尋 Microsoft Entra 目錄或網域。您也可以新增未與任何 Microsoft Entra 目錄相關聯的網域。請務必輸入完整的網域名稱。
驗證組織名稱和驗證類型是否正確。在能夠存取 MyAccess 入口網站之前，使用者登入取決於其組織的驗證類型。如果已連線組織的驗證類型是 Microsoft Entra ID，則在該組織目錄 (具有 Microsoft Entra 目錄的任何已驗證網域) 中帳戶的所有使用者，都會登入其目錄，然後可以要求存取允許該連線組織的套件。如果驗證類型是一次性密碼，這讓具有該網域電子郵件的使用者可造訪 MyAccess 入口網站。在他們使用密碼進行驗證之後，使用者可以提出要求。

注意

Microsoft Entra 企業對企業 (B2B) 的允許或拒絕清單可能會封鎖來自某些網域的存取。此外，如果使用者的電子郵件位址與已設定為 Microsoft Entra 驗證的連線組織具有相同的網域，但未向該 Microsoft Entra 目錄進行驗證，則不會被識別為該連線組織的一部分。如需詳細資訊，請參閱允許或封鎖對特定組織的 B2B 使用者的邀請。
選取 [新增] 以新增 Microsoft Entra 目錄或網域。 您可以新增多個Microsoft Entra 目錄和網域。
新增 Microsoft Entra 目錄或網域之後，請選取 [選取]。

組織會出現在清單中。
選取 [贊助者] 索引標籤，然後為這個已連線的組織新增選用的贊助者。

贊助者是已在您目錄中的內部或外部使用者，也就是與這個連線組織建立關聯性的連絡點。內部贊助者是您目錄中的成員使用者。外部贊助者是來賓使用者，其來自先前受邀且已在您目錄中的連線組織。當這個連線組織中的使用者要求存取此存取套件時，您可以使用贊助者作為核准者。如需如何邀請來賓使用者加入目錄的資訊，請參閱新增 Microsoft Entra B2B 共同作業使用者。

當您選取 [新增/移除] 時，有一個窗格會開啟，您可以在其中選擇內部或外部贊助者。此窗格會顯示您目錄中未篩選的使用者和群組清單。
選取 [檢閱 + 建立] 索引標籤、檢閱您的組織設定，然後選取 [建立]。

更新連線組織

如果連線組織變更為不同的網域、組織的名稱變更，或您想要變更贊助者，則您可以遵循本節中的指示來更新連線組織。

以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別控管] > [權利管理] > [已連線的組織]。
在 [已連線的組織] 頁面上，選取您要更新的已連線組織。
在線組織的概觀窗格中，選取 [編輯] 來變更組織名稱、描述或狀態。
在 [目錄 + 網域] 窗格中，選取 [更新目錄 + 網域] 以變更為不同的目錄或網域。
在 [贊助者] 窗格中，選取 [新增內部贊助者] 或 [新增外部贊助者]，將使用者新增為贊助者。若要移除贊助者，請選取贊助者，然後在右窗格中選取 [刪除]。

刪除連線組織

如果您不再與外部 Microsoft Entra 目錄或網域建立關聯，或不想再有建議的已連線組織，即可刪除已連線的組織。

以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別控管] > [權利管理] > [已連線的組織]。
在 [已連線的組織] 頁面上，選取您要刪除的已連線組織並加以開啟。
在連線組織的概觀窗格中，選取 [刪除] 以將其刪除。

以程式設計方式管理連線組織

您也可以使用 Microsoft Graph 來建立、列出、更新及刪除連線組織。適當角色中其應用程式具有所委派 EntitlementManagement.ReadWrite.All 權限的使用者可以呼叫 API，來管理 connectedOrganization 物件並為其設定贊助者。

透過 Microsoft PowerShell 管理已連線的組織

您也可以在 PowerShell 中，使用來自適用於 Identity Governance 的 Microsoft Graph PowerShell Cmdlet 模組版本 1.16.0 或更新版本的 Cmdlet 來管理連線組織。

下列腳本說明如何使用 v1.0 Graph 配置檔來擷取所有已連線的組織。每個傳回的已連線組織都包含該已連線組織目錄和網域的清單 identitySources。

Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"

$co = Get-MgEntitlementManagementConnectedOrganization -all

foreach ($c in $co) {
  foreach ($i in $c.identitySources) {
    write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
  }
}

連線組織的狀態屬性

已設定及建議權利管理中已連線組織有兩個不同的狀態：

已設定的連線組織是可充分運作的連線組織，可讓該組織內的使用者存取套件。若管理員透過 Microsoft Entra 系統管理中心建立新的連線組織，系統預設會處於 [已設定] 狀態，因為管理員已建立並想要使用這個連線組織。此外，當透過 API 以程式設計方式建立連線組織時，除非明確地設定為另一種狀態，否則預設狀態應為 [已設定]。

已設定的連線組織會顯示在連線組織的選擇器中，而且將會在以「所有已設定的連線組織」為目標的任何原則範圍內。
已建議的連線組織是已自動建立的連線組織，但尚未讓管理員建立或核准該組織。若使用者在已設定的連線組織之外註冊存取套件，任何自動建立的連線組織都會處於 [已建議] 狀態，因為租用戶中的管理員不會設定該合作關係。

已建議的連線組織不在任何原則上 [所有已設定的連線組織] 設定的範圍內，但只能用於以特定組織為目標的原則中。

只有已設定的連線組織使用者可以要求所有已設定組織可供使用者使用的存取套件。來自建議連線組織的用戶有體驗，就好像該網域沒有連線的組織;只能查看並要求範圍限定在其特定組織或限定於任何使用者的存取套件。若租用戶中有允許「所有已設定的連線組織」的原則，請確定您不會將建議的連線組織轉換為已設定的社交識別提供者。

注意

在推出這個新功能的過程中，於 09/09/20 之前建立的所有連線組織都被視為 [已設定]。如果您具有的存取套件允許來自任何組織的使用者註冊，則應該檢閱在該日期之前建立的連線組織清單，沒有任何連線組織錯誤分類為 [已設定]。特別是，如果有指派原則不需要核准所有已設定連線組織的使用者，則不應將社交識別提供者指出為已設定。管理員可以適當地更新 [狀態] 屬性。如需指引，請參閱更新連線組織。

注意

在某些情況下，使用者可能會使用其個人帳戶向社交識別提供者要求存取套件，而該帳戶的電子郵件位址與對應至 Microsoft Entra 租用戶的現有已連線組織具有相同網域。如果該使用者獲得核准，則會產生代表該網域的新建議連線組織。在此情況下，請確定使用者改用其組織帳戶以重新要求存取，而入口網站將會識別來自已設定連線組織的 Microsoft Entra 租用戶的這個使用者。

共用方式為