設計外部身分識別的解決方案
Microsoft Entra 外部 ID 是指您可以安全地與組織外使用者互動的所有方法。 如果您想要與合作夥伴、經銷商、供應商或廠商共同作業,您可以共用您的資源,並定義內部使用者可存取外部組織的方法。 如果您是建立對應消費者之應用程式的開發人員,您可以管理客戶的身分識別體驗。
使用外部身分識別,外部使用者可「自備身分識別」。無論是公司或政府核發的數位身分識別,還是非受控的社交身分識別 (例如 Google 或 Facebook),他們都可以使用自己的登入資訊登入。 外部使用者的識別提供者會管理其身分識別,您可以使用 Microsoft Entra ID 或 Microsoft Entra ID B2C 來管理應用程式的存取權,讓您的資源持續受到保護。
下列功能會構成外部身分識別:
B2B 共同作業 - 讓外部使用者使用慣用的身分識別,登入您的 Microsoft 應用程式或其他企業應用程式 (SaaS 應用程式、自訂開發應用程式等),與外部使用者共同作業。 B2B 共同作業使用者會顯示在您的目錄中,通常會顯示為來賓使用者。
B2B 直接連接 - 建立與其他 Microsoft Entra 組織的相互雙向信任,以便順暢地共同作業。 B2B 直接連線目前支援 Teams 共用通道,讓外部使用者能夠從其 Teams 的主執行個體內存取您的資源。 B2B 直接連線使用者不會顯示在您的目錄中,但可從 Teams 共用通道內顯示,而且可以在 Teams系統管理中心報告中進行監視。
Azure AD B2C - 發佈新式 SaaS 應用程式或自訂開發應用程式 (不包括 Microsoft 應用程式) 給消費者和客戶,同時使用 Azure AD B2C 進行身分識別和存取權管理。
Microsoft Entra 多租使用者組織 - 透過跨租使用者同步處理,在單一 Microsoft Entra 組織中與多個租使用者共同作業。
根據您想要與外部組織互動的方式,以及您必須共用的資源類型,您可以將這些功能搭配使用。
B2B 共同作業
透過 B2B 共同作業,您可以邀請任何人使用自己的認證登入 Microsoft Entra 組織,讓他們能夠存取您想要與之共用的應用程式和資源。 當您需要讓外部使用者存取 Office 365 應用程式、軟體即服務 (SaaS) 應用程式和企業營運應用程式時,請使用 B2B 共同作業,特別是當合作夥伴不使用 Microsoft Entra ID 或系統管理員無法透過 B2B 直接連接設定相互連線時。 沒有與 B2B 共同作業使用者相關聯的登入資訊。 相反地,他們會向其主要組織或識別提供者進行驗證,然後您的組織會檢查來賓使用者的 B2B 共同作業資格。
有多種方式可將外部使用者新增至您的組織以進行 B2B 共同作業:
邀請使用者以自己的 Microsoft Entra 帳戶、Microsoft 帳戶或您啟用的社交身分識別,進行 B2B 共同作業 (例如 Google)。 系統管理員可以使用 Azure 入口網站或 PowerShell 來邀請使用者加入 B2B 共同作業。 使用者使用工作、學校或其他電子郵件帳戶的簡單兌換流程,便能登入至共用資源。
使用自助式註冊使用者流程,以利外部使用者自己註冊應用程式。 您可以自訂此體驗,以允許使用工作、學校或社交身分識別 (例如 Google 或 Facebook) 註冊。 您也可以在登入流程期間收集使用者的相關資訊。
Microsoft Entra 權利管理 是一種身分識別控管功能,可用以透過將存取要求工作流程、存取指派、檢閱和到期自動化,讓您管理 外部使用者的身分識別與存取。
系統會為 B2B 共同作業使用者在與員工相同的目錄中,建立使用者物件。 此使用者物件可像您目錄中的其他使用者物件般管理、新增至群組等等。 您可以指派權限給使用者物件 (用於授權),同時讓他們使用其現有的認證 (進行驗證)。
您可以使用 跨租使用者存取設定 來管理與其他 Microsoft Entra 組織及跨 Microsoft Azure 雲端的 B2B 共同作業。 針對與非 Azure AD 外部使用者和組織進行 B2B 共同作業,請使用 外部共同作業設定。
B2B 直接連接
B2B 直接連接是與其他 Microsoft Entra 組織共同作業的新方式。 這項功能目前適用于 Microsoft Teams 共用通道。 透過 B2B 直接連接,您可以與其他 Microsoft Entra 組織建立雙向信任關係,讓使用者順暢地登入您的共用資源,反之亦然。 B2B 直接連接使用者不會被新增為您 Microsoft Entra 目錄的來賓。 當兩個組織相互啟用 B2B 直接連接時,使用者會在主組織中進行驗證,並從資源組織接收權杖以供存取。 深入瞭解 Microsoft Entra ID 中的 B2B 直接連接。
目前,B2B 直接連接可啟用 Teams 連線共用通道功能,可讓您的使用者與來自多個組織的外部使用者共同作業,並透過 Teams 共用通道進行聊天、通話、檔案共用和應用程式共用。 設定 B2B 直接連接到外部組織之後,下列 Teams 共用通道功能便可供使用:
在 Teams 中,共用通道擁有者可以搜尋來自外部組織的允許使用者,並將之新增至共用通道。
外部使用者可以存取 Teams 共用通道,而不需要切換組織或使用不同的帳戶登入。 從 Teams 內,外部使用者可以透過 [檔案] 索引標籤來存取檔案和應用程式。使用者的存取權取決於共用通道的原則。
您可以使用 跨租用戶存取設定 來管理與其他 Microsoft Entra 組織的信任關係,並定義 B2B 直接連接的輸入和輸出原則。
如需可供 B2B 直接連接使用者透過 Teams 共用通道使用的資源、檔案和應用程式詳細資料,請參閱 Microsoft Teams 中的聊天、團隊、公道、應用程式。
Azure AD B2C
Azure AD B2C 是客戶身分識別和存取管理 (CIAM) 解決方案,可讓您為消費者和客戶面向的應用程式建置使用者旅程圖。 如果您是建立客戶面向的應用程式的企業或個別開發人員,您可以使用 Azure AD B2C 將之擴大成數百萬名消費者、客戶或公民。 開發人員可以使用 Azure AD B2C 作為其應用程式的完整 CIAM 系統。
使用 Azure AD B2C,客戶可以使用他們已建立的身分識別登入 (例如 Facebook 或 Gmail)。 您可以完全自訂和控制客戶在使用應用程式來註冊、登入,以及管理其設定檔的方式。
雖然 Azure AD B2C 是以與 Microsoft Entra ID 相同的技術所建置,但它是一項具有一些功能差異的個別服務。 如需 Azure AD B2C 租使用者與 Microsoft Entra 租使用者有何不同的詳細資訊,請參閱 Azure AD B2C 文件 中的 支援的 Microsoft Entra 功能。
比較外部身分識別功能集
下表提供您可以使用 Microsoft Entra 外部 ID 啟用之案例的詳細比較。 在 B2B 案例中,外部使用者是任何不在 Microsoft Entra 組織內的人員。
| B2B 共同作業 | B2B 直接連接 | Azure AD B2C | |
|---|---|---|---|
| 主要案例 | 讓他們使用慣用的身分識別來登入 Microsoft Enta 組織中的資源,以與外部使用者共同作業。 提供 Microsoft 應用程式或您自己的應用程式的存取權 (SaaS 應用程式、自訂開發的應用程式等等)。 範例: 邀請外部使用者登入您的 Microsoft 應用程式,或成為 Teams 中的來賓成員。 |
藉由建立相互連線,與其他 Microsoft Entra 組織的使用者共同作業。 目前可與 Teams 共用通道搭配使用,外部使用者可以從 Teams 的主執行個體存取這些通道。 範例: 將外部使用者新增至 Teams 共用通道,以提供聊天、通話和共用內容的空間。 |
使用 Azure AD B2C 進行身分識別體驗,將應用程式發佈至消費者和客戶。 提供新式 SaaS 或自訂開發應用程式的身分識別和存取管理 (非第一方 Microsoft 應用程式)。 |
| 適用於 | 與來自外部組織 (例如供應商、合作夥伴、廠商) 的商業夥伴共同作業。 這些使用者不一定具有 Microsoft Entra ID 或受控的 IT。 | 與來自使用 Microsoft Entra ID 的外部組織 (例如供應商、合作夥伴、廠商) 的商業夥伴共同作業。 | 您產品的客戶。 這些使用者會在個別的 Microsoft Entra 目錄中受控管。 |
| 使用者管理 | B2B 共同作業使用者與員工都在相同的目錄中受控,但系統會特別註記為來賓使用者。 管理來賓使用者的方式與員工相同,也可以新增到相同的群組。 跨租使用者存取設定可用來判斷哪些使用者可以存取 B2B 共同作業。 | 您的 Microsoft Entra 目錄中不會建立任何使用者物件。 跨租使用者存取設定會判斷哪些使用者可以存取 B2B 共同作業。 直接連接。 共用通道使用者可以在 Teams 中管理,而使用者存取權取決於 Teams 共用通道的原則。 | 系統會為 Azure AD B2C 目錄中的消費者使用者建立使用者物件。 他們會與組織的員工和合作夥伴目錄 (如果有的話) 分開管理。 |
| 支援識別提供者 | 外部使用者可以使用工作帳戶、學校帳戶、任何電子郵件地址、SAML 和以 WS 為基礎的身分識別提供者和社交身分識別提供者 (例如 Gmail 和 Facebook) 共同作業。 | 外部使用者會使用 Microsoft Entra ID 公司帳戶或學校帳戶共同作業。 | 具有本機應用程式帳戶的消費使用者 (任何電子郵件地址、使用者名稱或電話號碼)、Microsoft Entra ID、各種支援的社交身分識別,以及具有透過 SAML/WS-Fed 同盟識別提供者同盟之公司和政府發行的身分識別。 |
| 單一登入 (SSO) | 支援 SSO 至所有與 Microsoft Entra 連線的應用程式。 舉例來說,您可以提供 Microsoft 365 或內部部署應用程式的存取權,或者是其他 SaaS 應用程式的存取權,例如 Salesforce 或 Workday。 | SSO 至 Teams 共用通道。 | 支援 SSO 至客戶在 Azure AD B2C 租用戶內擁有的應用程式。 不支援 SSO 至 Microsoft 365 或其他 Microsoft SaaS 應用程式。 |
| 授權和計費 | 根據每月活躍使用者 (MAU),包括 B2B 共同作業和 Azure AD B2C 使用者。 | 根據每月活躍使用者 (MAU),包括 B2B 共同作業、B2B 直接連接和 Azure AD B2C 使用者。 | 根據每月活躍使用者 (MAU),包括 B2B 共同作業和 Azure AD B2C 使用者。 |
| 安全性原則與合規性 | 由主辦/邀請組織管理 (例如,使用條件式存取原則和跨租使用者存取設定)。 | 由主辦/邀請組織管理 (例如,使用條件式存取原則和跨租使用者存取設定)。 | 由組織透過條件式存取和身分識別保護管理。 |
| 多重要素驗證 (MFA) | 如果已設定要接受來自使用者主租使用者的 MFA 宣告的輸入信任設定,且已在使用者的主租使用者中符合 MFA 原則,則外部使用者可以登入。 如果未啟用 MFA 信任,則會向使用者顯示來自資源組織的 MFA 挑戰。 | 如果已設定要接受來自使用者主租使用者的 MFA 宣告的輸入信任設定,且已在使用者的主租使用者中符合 MFA 原則,則外部使用者可以登入。 如果未啟用 MFA 信任,且條件式存取原則需要 MFA,則會封鎖使用者存取資源。 您 必須 設定輸入信任設定,以接受來自組織的 MFA 宣告。 | 直接與 Microsoft Entra 多重要素驗證整合。 |
| Microsoft 雲端設定 | 支援。 | 不支援。 | 不適用。 |
| 權利管理 | 支援。 | 不支援。 | 不適用。 |
| 企業營運 (LOB) 應用程式 | 支援。 | 不支援。 只有已啟用 B2B 的直接連接應用程式可以共用 (目前為 Teams Connect 共用通道)。 | 與 RESTful API 搭配作業。 |
| 條件式存取 | 由主辦/邀請組織所管理。 | 由主辦/邀請組織所管理。 | 由組織透過條件式存取和身分識別保護管理。 |
| 商標 | 會使用主辦/邀請組織的品牌。 | 針對登入畫面,會使用使用者的主要組織品牌。 在共用通道中,會使用資源組織的品牌。 | 可針對每個應用程式或組織完整自訂的商標。 |
根據您的組織需求,您可能會在多租使用者組織中使用跨租使用者同步處理 (預覽)。 如需這項新功能的詳細資訊,請參閱 多租使用者組織文件 和 功能比較。