描述外部身分識別

  • 6 分鐘

現今的世界都是共同作業,同時與組織內外的人員合作。 這表示您有時需要將貴組織應用程式或資料的存取權提供給外部使用者。

Microsoft Entra 外部 ID 是指您可以安全地與組織外使用者互動的所有方法。

下列功能會構成外部身分識別:

  • B2B 共同作業
  • B2B 直接連接
  • 適用於客戶的 Microsoft Entra 外部識別碼 (預覽)
  • Microsoft Entra 多租用戶組織

B2B 共同作業

B2B 共同作業讓外部使用者使用慣用的身分識別登入您的 Microsoft 應用程式,或其他企業應用程式,以便組織員工與外部使用者進行共同作業。 B2B 共同作業使用者會顯示在您的目錄中,通常會顯示為來賓使用者。

沒有與 B2B 共同作業使用者相關聯的登入資訊。 相反地,他們會向其主要組織或識別提供者進行驗證,然後您的組織會檢查來賓使用者的 B2B 共同作業資格。

有多種方式可將外部使用者新增至您的組織以進行 B2B 共同作業:

  • 邀請使用者以自己的 Microsoft Entra 帳戶、Microsoft 帳戶或您啟用的社交身分識別,進行 B2B 共同作業。 使用者使用工作、學校或其他電子郵件帳戶的簡單兌換流程,便能登入至共用資源。
  • 使用自助式註冊使用者流程,以利外部使用者自己註冊應用程式。 您可以自訂此體驗,以允許使用公司、學校或社交身分識別註冊。 您也可以在登入流程期間收集使用者的相關資訊。
  • Microsoft Entra 權利管理是一種身分識別控管功能,可用以透過將存取要求工作流程、存取指派、檢閱和到期自動化,讓您管理外部使用者的身分識別與存取。

系統會為 B2B 共同作業使用者在與員工相同的目錄中,建立使用者物件。 此使用者物件可像您目錄中的其他使用者物件般管理、新增至群組等等。 您可以指派權限給使用者物件 (用於授權),同時讓他們使用其現有的認證 (進行驗證)。

您可以使用跨租用戶存取設定來管理與其他 Microsoft Entra 組織以及跨 Microsoft Azure 雲端的 B2B 共同作業,讓您更精細地控制外部 Microsoft Entra 組織如何與您共同作業 (輸入存取),以及您的使用者如何與外部 Microsoft Entra 組織共同作業 (輸出存取)。 您也可以使用外部共同作業設定來管理與非 Microsoft Entra 外部使用者和組織共同作業的 B2B 共同作業。

B2B 直接連接

B2B 直接連接是使用 Microsoft Teams 共用頻道與其他 Microsoft Entra 組織共同作業的新方式。 透過 B2B 直接連接,您可以與其他 Microsoft Entra 組織建立雙向信任關係,讓使用者順暢地登入您的共用資源,反之亦然。 B2B 直接連接使用者不會顯示在您的 Microsoft Entra 目錄中,但可從 Teams 共用通道內顯示,而且可以在 Teams 系統管理中心報告中進行監視。 當兩個組織相互啟用 B2B 直接連接時,使用者會在主組織中進行驗證,並從資源組織接收權杖以供存取。

B2B 直接連接可啟用 Teams 連線共用通道功能,可讓您的使用者與來自多個組織的外部使用者共同作業,並透過 Teams 共用通道進行聊天、通話、檔案共用和應用程式共用。 設定 B2B 直接連接到外部組織之後,下列 Teams 共用通道功能便可供使用:

  • 在 Teams 中,共用通道擁有者可以搜尋來自外部組織的允許使用者,並將之新增至共用通道。
  • 外部使用者可以存取 Teams 共用通道,而不需要切換組織或使用不同的帳戶登入。 從 Teams 內,外部使用者可以透過 [檔案] 索引標籤來存取檔案和應用程式。使用者的存取權取決於共用通道的原則。 您可以使用跨租用戶存取設定來管理與其他 Microsoft Entra 組織的信任關係,並定義 B2B 直接連接的輸入和輸出原則。

適用於客戶的 Microsoft Entra 外部識別碼 (預覽)

適用於客戶的 Microsoft Entra 外部識別碼是 Microsoft 的新客戶身分識別與存取管理 (CIAM) 解決方案。 這個解決方案所適用的企業是要讓應用程式可供其客戶使用 Microsoft Entra 平台進行身分識別與存取。

透過適用於客戶的 Microsoft Entra 外部識別碼,您可以建立遵循標準 Microsoft Entra 租用戶模型的不同租用戶,但是針對客戶案例進行設定。 功能包含:

  • 使用社交和企業身分識別的單一登入 (SSO)。 客戶可以選擇社交、企業或受控識別,以使用者名稱和密碼、電子郵件或單次密碼進行登入。
  • 您應用程式的註冊和登入頁面。 快速為您的客戶應用程式新增直覺式、方便使用的註冊及註冊體驗。
  • 將貴公司商標新增至註冊頁面。 自訂註冊和登入體驗的外觀與感覺。 透過單一身分識別,客戶可以安全地存取您要讓他們使用的所有應用程式。
  • 提供自助帳戶管理。 客戶可以自行註冊您的線上服務、管理其設定檔、刪除其帳戶、註冊多重要素驗證 (MFA) 方法,或在沒有系統管理員或技術支援中心協助的情況下,重設其密碼。

Screen capture of a consumer sign-in screen that shows options for using a social identity account and is customized with an organization's branding.

多租用戶組織

多租用戶組織是具有多個 Microsoft Entra 識別碼執行個體的組織。 擁有多租用戶有許多原因,例如使用多個雲端或有多個地理界限。 多租使用者組織在 Microsoft Entra 識別碼中使用單向同步處理服務,稱為跨租用戶同步處理。 跨租用戶同步處理可讓多租用戶組織順暢地共同作業。 它可改善使用者體驗,並確保使用者可以存取資源,而不需要收到邀請電子郵件且必須在每個租用戶中接受同意提示。