B2B 同步處理

  • 發行項

OneDrive 同步處理 應用程式現在可讓使用者同步處理 Microsoft SharePoint 或 Microsoft OneDrive 中已從其他組織共用的文件庫或資料夾。 此案例通常稱為企業對企業 (B2B) 共同作業。 我們會在 OneDrive 同步處理 應用程式「B2B 同步」中呼叫這項新功能。

Microsoft Entra 來賓帳戶在實現 B2B 共同作業 方面扮演重要角色。 一個組織的來賓帳戶會連結到另一個組織的成員帳戶。 建立之後,來賓帳戶可讓 OneDrive 和 SharePoint 等 Microsoft 365 服務以與組織內成員被授與許可權相同的方式,將來賓許可權授與網站和資料夾。 由於兩個組織的帳戶已連結,因此使用者只需要記住其組織中帳戶的使用者名稱和密碼。 因此,單一登錄其帳戶可讓您從自己的組織以及已為其建立來賓帳戶的任何其他組織存取內容。

重要事項

建議您啟用 SharePoint 和 OneDrive 與 Microsoft Entra B2B 整合,以協助確保在您組織的目錄中建立共用收件者所需的 Microsoft Entra 來賓帳戶。

B2B 同步處理需求

讓組織外部的人員同步共享連結庫和資料夾:

  • 必須為您的組織啟用外部共用。
  • 必須為網站或 OneDrive 啟用外部共用。
  • 內容必須與組織外部的網站或資料夾層級人員共用。 如果共用資料夾,則必須透過需要登入的連結。
  • 共用收件者必須擁有 Microsoft 365 公司或學校帳戶, (與內容租用戶位於相同雲端的 Microsoft Entra ID) - Microsoft Azure Commercial、Microsoft Azure Government 或 Microsoft Azure China。 (請注意,Microsoft Azure Commercial 包含 Microsoft 365 商業和 GCC 雲端環境,而 Microsoft Azure Government 包含 GCC High 和 DoD 雲端環境。)
  • 任何 Microsoft Entra 條件式存取原則都必須與來賓相容 (以下) 。
  • 如果使用 19.086 之前的組建,就不能啟用 ADAL。*。

本文提供 B2B 同步處理體驗的概觀,並詳細說明這些需求。

此版本的已知問題

  • 從一個雲端中租使用者共享的內容 (例如,Microsoft Azure China) 無法由不同雲端中的使用者同步 (例如 Microsoft Azure 商業) 。
  • 在 Mac 上,隨選檔案縮圖不會從外部組織的網站顯示。 使用者自有組織的檔案會正確顯示縮圖。
  • 在 Mac 上,如果來賓帳戶建立的電子郵件位址格式不同於與同步處理應用程式搭配使用的表單,則無法同步處理外部網站的內容。 例如, first.last@fabrikam.com 與 。alias@fabrikam.com
  • 在 Mac 上,外部內容可能會放在使用者自己組織資料夾的本機電腦上,而不是放在具有外部組織名稱的本機電腦上。
  • 同步處理客戶端不支援外部組織來賓帳戶的互動式驗證 UI。

B2B 同步處理體驗概觀

以下是在 “Contoso” 的某人與 “Fabrikam” 的人員共享網站或資料夾之後會發生什麼情況的範例:

  1. Fabrikam 收件者會收到如下的電子郵件。

    共用邀請電子郵件

  2. 當收件者按兩下電子郵件中的連結以移至共享專案時,他們必須按兩下 [組織帳戶] 以使用其 Fabrikam 帳戶登入。 在幕後,這會在 Microsoft Entra ID 中建立 Contoso 來賓帳戶。

    接受邀請

  3. 收件者可能需要輸入其 Fabrikam 使用者名稱或密碼,然後才能檢視共用專案。 如果他們不想同步處理共用的所有專案,則可以瀏覽至他們想要同步處理的連結庫或資料夾。若要設定同步處理,他們必須按兩下 [同步] 按鈕。

    SharePoint 文件庫中的 [同步處理] 按鈕

  4. 來賓的瀏覽器會顯示一則訊息,詢問是否要開啟 「Microsoft OneDrive」,而且他們必須允許此選項。

  5. 如果這是來賓第一次使用同步處理應用程式搭配其 Fabrikam 帳戶,則必須登入。 電子郵件地址會自動設定為先前步驟中使用的 Fabrikam 帳戶。 來賓必須選取 [登入]。

  6. 如果來賓使用相同的帳戶登入 Windows,則可以登入同步處理應用程式,而不需要輸入其 Fabrikam 密碼。 否則,他們將需要輸入其密碼。

  7. 來賓會確認要在其電腦上同步共享專案的位置。

    注意事項

    內容會放在資料夾中,其名稱包含此範例中 (“SharePoint - Contoso” 的組織名稱) 。 如果使用者也正在從 Fabrikam 同步 SharePoint 內容,他們也會有 “SharePoint - Fabrikam” 資料夾。

  8. 來賓會繼續進行 OneDrive 同步處理 應用程式設定。

  9. 客體完成設定之後,網站就會開始同步處理。 使用者可以按下通知區域中的藍色雲端圖示來開啟 OneDrive 同步處理 活動中心,並查看檔案同步處理、開啟本機資料夾與檔案,或在網頁瀏覽器中開啟 SharePoint 網站。

為您的組織啟用外部共用

為了讓貴組織的用戶能夠與其他組織的合作夥伴共享,必須在組織層級啟用外部共用。 若要這樣做,您必須是 Microsoft 365 中的全域或 SharePoint 系統管理員。 在組織層級啟用外部共享之後,您可以依網站限制外部共用。 網站的設定可以與組織設定相同,或是更具限制性,但不能更寬鬆。

您可以在兩個不同的位置變更組織層級的共享設定, (兩者控制相同的專案) :

重要事項

如果您允許任何人連結 (有時稱為「匿名存取」連結) ,則這些連結不會建立來賓帳戶,因此外部共用收件者將無法在接收該鏈接類型時利用 B2B 同步處理。

如需詳細資訊,請參閱 外部共用概觀

控制外部共用

當您允許使用者從組織外部共享內容時,您可以使用 Microsoft 365 中的數個功能來管理可存取內容的人員。 系統管理員和網站擁有者可以檢閱網站的許可權和稽核存取權。 如需詳細資訊,請 參閱搜尋與組織外部人員共用的網站內容開啟外部共用通知。 您可以只對特定因特網網域啟用外部共用,也可以封鎖特定網域。 如需詳細資訊,請參閱 受限制的網域共用。 您也可以只允許特定安全組的成員在外部共用。 如需詳細資訊, 請參閱開啟或關閉外部共用

建議您 (網站集合建立個別網站,而不是針對您想要在外部共用的每個工作單位建立子網站) 。 如此一來,您可以清楚標註網站,以指出組織外部的人員具有存取權,並避免意外洩漏資訊。 針對從 OneDrive 共用內容的個別使用者,建議您為不同的專案或共同作業群組建立個別的資料夾。

您可以移除來賓對網站或資料夾的許可權,也可以刪除來賓帳戶,以從您組織的所有內容中移除其許可權。

重要事項

拿掉許可權之後,任何同步處理的內容都會保留在用戶的計算機上。

啟用網站的外部共用

若要檢視或變更任何網站的共享設定,請使用新的 SharePoint 系統管理中心。

  1. 前往SharePoint 系統管理中心的 [使用中網站],並以具備貴組織之系統管理員權限的帳戶登入。

    注意事項

    如果您使用由 21Vianet (中國) 提供的 Office 365,請登入 Microsoft 365 系統管理中心,然後瀏覽至 SharePoint 系統管理中心,並開啟 [使用中網站] 頁面。

  2. 視需要自定義檢視以查看外部共享數據行。

  3. 如有需要, 請變更網站的外部共享設定

確定任何 Microsoft Entra 條件式存取 (CA) 原則都與外部存取相容

租用戶系統管理員可以在其租用戶啟用數種條件式存取原則。 當來賓要存取租用戶的內容時,可能需要為來賓調整這些原則,才能取得存取權。

  • 同步處理用戶端目前不支援同步處理外部內容時的互動式驗證UI。 任何需要登入 UI 的原則,例如 MFA (多重要素驗證) 或 TOU (使用規定) 提示,都會防止從該租使用者同步處理外部內容。 如果租用戶系統管理員在來賓開始從該租使用者同步之前部署這類原則,使用者將無法建立同步關聯性。 如果在來賓同步處理租使用者的內容之後部署原則,該來賓將會收到錯誤,而且無法繼續從租使用者同步處理。

  • 租使用者可能會不時更新其使用規定 (TOU) 。 原則可以觸發使用者透過互動式驗證提示來檢視和接受更新的 TOU。 由於同步不支援外部租使用者登入UI,因此同步處理會指出它無法同步處理外部網站的內容。

  • 裝置合規性要求使用者計算機必須由租使用者管理,然後才符合需求。 對於來賓而言,他們的機器可能會由自己的組織管理,因此與要求其計算機由內容共用租使用者管理不相容。

  • 位置型條件式存取原則通常用來強制執行其他需求,例如當使用者未從信任的位置連線時, (例如租使用者的辦公室網路) 。 一般而言,在客體案例中,用戶端計算機不會位於信任的位置,而且因為同步不支援 MFA,您可能不希望此原則套用至您的來賓。

如需詳細資訊,請參閱外部身分識別 的驗證和條件式存取

共用的方法

網站和資料夾可以在 SharePoint 和 OneDrive 中以不同的方式共用:

  • 如果使用者正在同步處理資料夾,他們可以在 檔案總管 中以滑鼠右鍵按兩下以共享資料夾。
  • 使用者可以移至網頁上的 SharePoint 網站或資料夾,然後按兩下 [共用] 按鈕來共用它。
  • 用戶可以在 SharePoint 和 OneDrive 行動裝置應用程式中共用網站和資料夾。
  • 系統管理員可以建立來賓帳戶,並使用系統管理中心或PowerShell將它們新增至網站。

注意事項

如需這些方法的詳細資訊,請參閱 瞭解如何共享網站瞭解如何共享資料夾

B2B 同步處理適用於所有這些共用方法。 它只有下列需求:

  • 若要讓來賓同步共用內容,必須在網站或資料夾層級共享內容。 來賓無法同步處理個別共用的檔案 (例如,從 Office 應用程式) 。
  • B2B 同步處理僅適用於在組織中建立來賓帳戶,以及收件者具有 Microsoft Entra 帳戶時。 當使用者透過建立任何人連結 (也稱為「匿名存取」連結) ,或與擁有 Microsoft 帳戶或其他個人帳戶的人員共用時,則無法運作。

將來賓新增至 SharePoint 網站

身為 Microsoft 365 的系統管理員,您可以透過在 Microsoft Entra 系統管理中心 中個別建立來賓,然後將來賓個別新增至 SharePoint 小組網站,或將來賓新增至已擁有您要共用網站許可權的安全組,來與組織外部人員共用。 如果您使用 [進階許可權] 頁面授與許可權 (,而不是使用 [共享網站] 按鈕) ,您必須通知來賓您已將網站的許可權授與他們。 他們將不會收到邀請電子郵件。

重要事項

如果您使用進階許可權頁面,建議您在網站層級授與許可權,而不是在文檔庫或資料夾層級授與許可權。

使用 PowerShell 大量建立來賓帳戶,並將其新增至 SharePoint 群組

如果您需要建立許可權並授與許多來賓帳戶,您可以使用下列 PowerShell 腳本,以建立來賓帳戶,並將許可權授與網站。 腳本會使用 CSV (逗號分隔值) 檔案作為輸入,其中包含用戶顯示名稱和電子郵件地址的清單。 針對每個名稱和電子郵件位址,會建立來賓帳戶,並將該帳戶新增至安全組以授與許可權。 腳本的設計可讓您在後續執行時將產生的輸出 CSV 當做腳本的輸入來饋送。 這可讓您將更多使用者新增至 CSV 檔案,或重試建立任何失敗的帳戶。

注意事項

Azure AD Powershell 預計於 2024 年 3 月 30 日淘汰。 若要深入瞭解,請閱讀 淘汰更新

建議您移轉至 Microsoft Graph PowerShell,以與 Microsoft Entra ID (先前的 Azure AD) 互動。 Microsoft Graph PowerShell 允許存取所有 Microsoft Graph API,並且可在 PowerShell 7 上使用。 如需常見移轉查詢的解答,請參閱 移轉常見問題

當使用者新增至 Microsoft Entra 群組時,應該會收到歡迎他們加入群組的電子郵件。 執行腳本之後,您必須使用您授與他們許可權的 SharePoint 網站直接連結,以傳送電子郵件給使用者。 當他們按兩下列 UI 以接受邀請條款。 一旦他們接受之後,系統會將他們帶到您與他們共享的網站。 此時,他們可以按兩下 [同步] 按鈕,開始將網站檔案同步處理至其電腦或Mac。

接受共享邀請

# first line of InviteGuests.ps1 PowerShell script
# requires latest AzureADPreview
# Get-Module -ListAvailable AzureAD*
# Uninstall-Module AzureAD
# Uninstall-Module AzureADPreview
# Install-Module AzureADPreview


# customizable properties for this script

$csvDir = ''
$csvInput = $csvDir + 'BulkInvite.csv'
$csvOutput = $csvDir + 'BulkInviteResults.csv'

$domain = 'YourTenantOrganization.onmicrosoft.com'
$admin = "admin@$domain"
$redirectUrl = 'https://YourTenantOrganization.sharepoint.com/sites/SiteName/'
$groupName = 'SiteName'


# CSV file expected format (with the header row):
# Name,Email
# Jane Doe,jane@contoso.com

$csv = import-csv $csvInput

# will prompt for credentials for the tenantorganization admin account
# (who has permissions to send invites and add to groups)
Connect-AzureAD -TenantDomain $domain -AccountId $admin

$group = (Get-AzureADGroup -SearchString $groupName)

foreach ($row in $csv)
{
    Try
    {
        if ((Get-Member -inputobject $row -name 'error') -and `
            ($row.error -eq 'success'))
        {
            $out = $row  #nothing to do, user already invited and added to group
        }
        else
        {
            echo ("name='$($row.Name)' email='$($row.Email)'")

            $inv = (New-AzureADMSInvitation -InvitedUserEmailAddress $row.Email -InvitedUserDisplayName $row.Name `
                        -InviteRedirectUrl $redirectUrl -SendInvitationMessage $false)

            $out = $row
            $out|Add-Member -MemberType ScriptProperty -force -name 'time' -Value {$(Get-Date -Format u)}
            $out|Add-Member -MemberType ScriptProperty -force -name 'status' -Value {$inv.Status}
            $out|Add-Member -MemberType ScriptProperty -force -name 'userId' -Value {$inv.InvitedUser.Id}
            $out|Add-Member -MemberType ScriptProperty -force -name 'redeemUrl' -Value {$inv.inviteRedeemUrl}
            $out|Add-Member -MemberType ScriptProperty -force -name 'inviteId' -Value {$inv.Id}

            # this will send a welcome to the group email
            Add-AzureADGroupMember -ObjectId $group.ObjectId -RefObjectId $inv.InvitedUser.Id

            $out|Add-Member -MemberType ScriptProperty -force -name 'error' -Value {'success'}
        }
    }
    Catch
    {
        $err = $PSItem.Exception.Message
        $out|Add-Member -MemberType ScriptProperty -force -name 'error' -Value {$err}
    }
    Finally
    {
        $out | export-csv -Path $csvOutput -Append
    }
}

# for more information please see
# https://learn.microsoft.com/azure/active-directory/b2b/b2b-tutorial-bulk-invite
# end of InviteGuests.ps1 powershell script

如需詳細資訊,請參閱:

當來賓失去共享內容的存取權時

如果刪除人員的來賓帳戶,或移除其共用內容的許可權,同步處理應用程式將會顯示錯誤。

  • 隨即會出現通知,指出連結庫無法同步處理。

    我們無法同步您的文件庫通知

  • 通知區域中的 OneDrive 圖示會顯示錯誤。

    OneDrive 同步處理 錯誤圖示

    當來賓按兩下圖示時,他們會在活動中心看到錯誤橫幅。

    OneDrive 需要注意訊息要求存取或停止同步連結庫

防止 B2B 同步處理的原則設定

OneDrive 同步處理 應用程式的 B2B 同步功能可讓組織中的使用者同步處理與其他組織共用的內容。 如果您想要防止組織中的用戶能夠使用 B2B 同步處理,您可以在使用者的 Windows PC 或 Mac 上設定原則值,以封鎖外部同步處理。

如果您想要防止組織中的使用者使用 B2B 同步處理功能 (,以防止同步處理其他組織) 共用的連結庫和資料夾,您才需要採取這些動作。

新的 BlockExternalSync 設定會在安裝為 OneDrive 同步處理 產品組建 19.086.* 或更新版本的 adm\OneDrive.admx 和 OneDrive.adml 檔案中說明。 如果您使用ADM來管理同步處理應用程式原則,請像往常一樣匯入新檔案,以查看新的設定。

如果您使用其他管理系統將原則部署到使用者的 Windows 電腦,請使用下列命令的對等專案來防止 B2B 同步:

reg add "HKLM\SOFTWARE\Policies\Microsoft\OneDrive" /v BlockExternalSync /t REG_DWORD /d 1

在具有 OneDrive Apple Store 版本的 Mac 上,使用下列命令的對等專案來防止 B2B 同步:

defaults write com.microsoft.OneDrive-mac BlockExternalSync -bool YES

在具有 OneDrive 獨立版本的 Mac 上,使用下列命令的對等專案來防止 B2B 同步:

defaults write com.microsoft.OneDrive BlockExternalSync -bool YES