B2B 直接連接概觀
適用於: 員工租用戶 外部租用戶 (深入了解)
B2B 直接連接是 Microsoft Entra 外部 ID 的一項功能,其允許您與另一個 Microsoft Entra 組織建立互相信任關聯性以實現無縫共同作業。 這項功能目前適用于 Microsoft Teams 共用通道。 透過 B2B 直接連接,來自兩個組織的使用者可以使用他們的主要認證和 Teams 中的共用通道協作,而無需作為來賓新增到彼此的組織中。 使用 B2B 直接連接以與外部 Microsoft Entra 組織共用資源。 或者,使用其在您自己組織內的多個 Microsoft Entra 租用戶之間共用資源。
B2B 直接連接需要兩個 Microsoft Entra 組織之間的相互信任關係,才能存取彼此的資源。 資源組織和外部組織都必須在其跨租使用者存取設定中相互啟用 B2B 直接連接。 建立信任時,B2B 直接連接使用者可以使用來自其主組織 Microsoft Entra 組織的認證,對組織外部的資源進行單一登入存取。
目前,B2B 直接連接功能可與 Teams 共用通道搭配使用。 在兩個組織之間建立 B2B 直接連接時,一個組織中的使用者可以在 Teams 中建立共用通道,並邀請外部 B2B 直接連接使用者。 然後,從 Teams 內,B2B 直接連接使用者可以順暢地存取其主租使用者 Teams 執行個體中的共用通道,而不需要手動登入裝載共用通道的組織。
管理 B2B 直接連接的跨租用戶存取
Microsoft Entra 組織可以透過定義輸入和輸出跨租用戶存取設定來管理其與其他 Microsoft Entra 組織的信任關聯性。 跨租用戶存取設定可讓您精細控制其他組織如何與您協作 (輸入存取) 以及您的使用者如何與其他組織協作 (輸出存取)。
輸入存取設定可控制外部組織的使用者是否可以存取組織中的資源。 您可以將這些設定套用至所有人,也可以指定個別的使用者、群組和應用程式。
輸出存取設定可控制您的使用者是否可以存取外部組織中的資源。 您可以將這些設定套用至所有人,也可以指定個別的使用者、群組和應用程式。
租用戶限制會判斷您的使用者在使用您的裝置和網路時如何存取外部組織,但他們會使用外部組織發佈給他們的帳戶進行登入。
信任設定會判斷您的條件式存取原則在其使用者存取您的資源時是否信任來自外部組織的多重要素驗證 (MFA)、符合規範裝置和已使用 Microsoft Entra 混合式加入的裝置宣告。
重要
僅當兩個組織都允許存取另一個組織或從另一個組織存取時,B2B 直接連接才可能實現。 例如,Contoso 可以允許從 Fabrikam 輸入 B2B 直接連接,但在 Fabrikam 也啟用與 Contoso 的輸出 B2B 直接連接之前,則無法進行共用。 因此,您需要與外部組織的管理員協調,以確保他們的跨租用戶存取設定允許與您共用。 這種互相合約很重要,因為 B2B 直接連接為您啟用 B2B 直接連接的使用者啟用有限的資料共用。
預設設定
預設的跨租用戶存取設定會套用到所有外部 Microsoft Entra 組織,但您已進行個別設定的組織則為例外。 一開始,Microsoft Entra ID 預設會封鎖所有外部 Microsoft Entra 租用戶的所有輸入和輸出 B2B 直接連接功能。 您可以變更這些預設設定,但通常會保持原狀,並啟用與個別組織的 B2B 直接連接存取。
特定於組織的設定
您可以透過新增組織和修改跨租用戶存取設定來設定特定於組織的設定。 這些設定會優先於此組織的預設設定。
範例 1:允許 B2B 直接連接 Fabrikam 並封鎖所有其他連接
在此範例中,Contoso 希望在預設情況下封鎖與所有外部組織的 B2B 直接連接,但允許 Fabrikam 中所有使用者、群組和應用程式的 B2B 直接連接。
Contoso 為跨租用戶存取設定以下預設設定:
- 封鎖所有外部使用者和群組對 B2B 直接連接的輸入存取。
- 封鎖所有 Contoso 使用者和群組對 B2B 直接連接的輸出存取。
然後 Contoso 會新增 Fabrikam 組織,並為 Fabrikam 設定以下組織設定:
- 允許所有 Fabrikam 使用者和群組對 B2B 直接連接的輸入存取。
- 允許 Fabrikam B2B 直接連接使用者對所有內部 Contoso 應用程式進行輸入存取。
- 允許所有 Contoso 使用者或選取使用者和群組以使用 B2B 直接連接對 Fabrikam 進行輸出存取。
- 允許 Contoso B2B 直接連接使用者對所有 Fabrikam 應用程式進行輸出存取。
若要讓此案例能夠運作,Fabrikam 還需要透過為 Contoso 及其使用者和應用程式設定相同的跨租用戶存取設定,以允許 B2B 直接連接 Contoso。 當設定完成時,管理 Teams 共用通道的 Contoso 使用者可以透過搜尋 Fabrikam 的完整電子郵件地址來新增 Fabrikam 使用者。
範例 2:僅與 Fabrikam 的行銷群組啟用 B2B 直接連接
從上述範例開始,Contoso 還可以選擇僅允許 Fabrikam 行銷群組透過 B2B 直接連接與 Contoso 的使用者協作。 在此案例中,Contoso 需要從 Fabrikam 獲得行銷群組的物件識別碼。 然後,他們不再允許所有 Fabrikam 使用者進行輸入存取,而是按如下所示設定 Fabrikam 特定的存取設定:
- 僅允許 Fabrikam 的行銷群組對 B2B 直接連接的輸入存取。 Contoso 在允許的使用者和群組清單中指定 Fabrikam 的行銷群組物件識別碼。
- 允許 Fabrikam B2B 直接連接使用者對所有內部 Contoso 應用程式進行輸入存取。
- 允許所有 Contoso 使用者和群組使用 B2B 直接連接對 Fabrikam 進行輸出存取。
- 允許 Contoso B2B 直接連接使用者對所有 Fabrikam 應用程式進行輸出存取。
Fabrikam 還需要設定其輸出跨租用戶存取設定,以便允許其行銷群組透過 B2B 直接連接與 Contoso 協作。 當設定完成時,管理 Teams 共用通道的 Contoso 使用者將只能透過搜尋他們的完整 Fabrikam 電子郵件地址來新增 Fabrikam 行銷群組使用者。
驗證
在 B2B 直接連接案例中,驗證涉及來自 Microsoft Entra 組織 (使用者的主要租用戶) 的使用者試圖登入到另一個 Microsoft Entra 組織 (資源租用戶) 中的檔案或應用程式。 使用者從其主租用戶使用 Microsoft Entra 認證登入。 登入嘗試將根據使用者的主要租用戶和資源租用戶中的跨租用戶存取設定進行評估。 如果符合所有存取需求,則會向使用者發佈權杖以允許使用者存取此資源。 此權杖的有效期限為 1 小時。
如需驗證在具有條件式存取原則的跨租用戶案例中如何運作的詳細資訊,請參閱跨租用戶案例中的驗證和條件式存取。
多重要素驗證 (MFA)
如果您希望允許 B2B 直接連接到外部組織,並且您的條件式存取原則需要 MFA,您必須設定您的輸入信任設定,以便您的條件式存取原則將接受來自外部組織的 MFA 宣告。 這項設定可確保來自外部組織的 B2B 直接連接使用者符合您的條件式存取原則,並提供更無縫的使用者體驗。
例如,假設 Contoso (資源租用戶) 信任來自 Fabrikam 的 MFA 宣告。 Contoso 具備需要 MFA 的條件式存取原則。 此原則的範圍適用於所有來賓、外部使用者和 SharePoint Online。 作為 B2B 直接連接的先決條件,Contoso 必須在其跨租用戶存取設定中設定信任設定,以接受來自 Fabrikam 的 MFA 宣告。 當 Fabrikam 使用者存取啟用 B2B 直接連接的應用程式 (例如,Teams Connect 共用通道) 時,此使用者必須遵守 Contoso 強制執行的 MFA 需求:
- 如果 Fabrikam 使用者已經在其主要租用戶中執行 MFA,他們將能夠存取共用通道中的資源。
- 如果 Fabrikam 使用者尚未完成 MFA,將會封鎖他們存取資源。
如需條件式存取和 Teams 的相關資訊,請參閱 Microsoft Team 文件中的安全性和合規性概觀。
裝置合規性的信任設定
在跨租用戶存取設定中,您可以使用信任設定以信任來自外部使用者主租用戶的宣告,以了解使用者的裝置是否符合其裝置合規性原則或為 Microsoft Entra 混合式加入。 啟用裝置信任設定時,Microsoft Entra ID 會檢查使用者的驗證工作階段是否有裝置宣告。 如果工作階段包含裝置宣告,指出已在使用者的主租用戶中符合原則,則外部使用者會獲准無縫登入共用資源。 您可以啟用所有 Microsoft Entra 組織或個別組織的裝置信任設定。 (深入了解)
B2B 直接連接使用者體驗
目前,B2B 直接連接可啟用 Teams Connect 共用通道功能。 B2B 直接連接使用者可以存取外部組織的 Teams 共用通道,而無需切換租用戶或使用其他帳戶登入。 B2B 直接連接使用者的存取權限由共用通道的原則判斷。
在資源組織中,Teams 共用通道擁有者可以在 Teams 中搜尋來自外部組織的使用者並將其新增到共用通道。 新增之後,B2B 直接連接使用者可以從他們的 Teams 主要執行個體中存取共用通道,他們可以在其中使用聊天、呼叫、檔案共用和應用程式共用等功能進行協作。 如需詳細資訊,請參閱 Microsoft Teams 中的小組和頻道概觀。 如需可供 B2B 直接連接使用者透過 Teams 共用頻道使用的資源、檔案和應用程式詳細資料,請參閱 Microsoft Teams 中的聊天、小組、頻道和應用程式。
使用者存取和管理
B2B 直接連接使用者透過兩個組織之間的互相連接進行協作,而已將 B2B 共同作業使用者邀請到組織,並透過使用者物件進行管理。
B2B 直接連接提供透過由兩個組織的管理員設定的互相雙向連接與來自另一個 Microsoft Entra 組織的使用者進行共同作業的方式。 使用者可以單一登入存取啟用 B2B 直接連接的 Microsoft 應用程式。 目前,B2B 直接連接支援 Teams Connect 共用通道。
B2B 共同作業允許您邀請外部合作夥伴存取您的 Microsoft、SaaS 或自訂開發的應用程式。 當外部合作夥伴不使用 Microsoft Entra ID 或者設定 B2B 直接連接不切實際或不可能實現時,B2B 共同作業特別有用。 B2B 共同作業允許外部使用者使用他們的偏好身分識別進行登入,包括他們的 Microsoft Entra 帳戶、消費者 Microsoft 帳戶或您啟用的社交身分識別,如 Google。 透過 B2B 共同作業,您可以讓外部使用者登入到您的 Microsoft 應用程式、SaaS 應用程式、自訂開發的應用程式等。
使用 Teams 搭配 B2B 直接連接與B2B 共同作業
在 Teams 的內容中,資源共用方式存在差異,具體取決於您是與使用 B2B 直接連接還是 B2B 共同作業的人員進行協作。
透過 B2B 直接連接,您可以將外部使用者新增至小組內的共用通道。 此使用者可以存取共用通道內的資源,但他們無權存取整個小組或共用通道外的任何其他資源。 例如,他們沒有存取 Azure 入口網站的權限。 不過,他們確實可以訪存取我的應用程式入口網站。 B2B 直接連接使用者在您的 Microsoft Entra 組織中並未存在,因此這些使用者由共用通道擁有者在 Teams 使用者端中進行管理。 如需詳細資訊,請參閱在 Microsoft Teams 中指派小組擁有者和成員。
透過 B2B 共同作業,您可以邀請來賓使用者加入小組。 B2B 共同作業來賓使用者會使用用於邀請他們的電子郵件地址登入到資源租用戶。 他們的存取權限由指派給資源租用戶中來賓使用者的權限決定。 來賓使用者無法查看或參與小組中的任何共用通道。
如需 Teams 中 B2B 共同作業和 B2B 直接連接之間差異的詳細資訊,請參閱 Microsoft Teams 中的來賓存取權限。
監視和稽核
Azure 入口網站和 Microsoft Teams 管理員中心均提供用於監視和稽核 B2B 直接連接活動的報告。
Microsoft Entra 監視和稽核記錄
Microsoft Entra ID 在組織的稽核記錄和登入記錄中包含有關跨租用戶存取和 B2B 直接連接的資訊。 這些記錄可以在 Azure 入口網站中的 [監視] 下檢視。
Microsoft Entra 稽核記錄:Microsoft Entra 稽核記錄會在建立、更新或刪除輸入和輸出原則時顯示。
Microsoft Entra 登入記錄:Microsoft Entra 登入記錄可在主組織和資源組織中取得。 一旦啟用 B2B 直接連接,登入記錄將開始包含來自其他租用戶的 B2B 直接連接使用者的使用者物件識別碼。 每個組織報告的資訊各不相同,例如:
在這兩個組織中,B2B 直接連接登入都予以標記為 B2B 直接連接的跨租用戶存取類型。 B2B 直接連接使用者首次存取資源組織時,以及為使用者發佈重新整理權杖時,會記錄登入事件。 使用者可以存取自己的登入記錄。 管理員可以檢視整個組織的登入,以查看 B2B 直接連接使用者如何存取其租用戶中的資源。
在主要組織中,記錄包括用戶端應用程式資訊。
在資源組織中,記錄包含 [條件式存取] 索引標籤中的 conditionalAccessPolicies。
Microsoft Entra 存取權檢閱:有了 Microsoft Entra 存取權檢閱,租用戶管理員可以透過設定外部使用者的一次性或定期存取權檢閱,確保外部來賓使用者對您的應用程式和資源的存取時間不會超過所需的時間。 深入了解存取權檢閱。
Microsoft Teams 監視和稽核記錄
Microsoft Teams 管理員中心顯示共用通道的報告,包含每個小組的外部 B2B 直接連接成員。
Teams 稽核記錄:Teams 支援託管共用通道租用戶中的以下稽核事件:共用通道生命週期 (建立/刪除通道)、租用戶內/跨租用戶成員生命週期 (新增/移除/升階/降階成員)。 這些稽核記錄在資源租用戶中可供使用,以便管理員可以判斷有權限存取 Teams 共用通道的人員。 外部使用者的主要租用戶中沒有與其在外部共用通道中的活動相關的稽核記錄。
Teams 存取權檢閱:Teams 群組的存取權檢閱現在可以偵測使用 Teams 共用通道的 B2B 直接連接使用者。 建立存取權檢閱時,您可以將檢閱範圍擴大到直接新增到共用通道的所有內部使用者、來賓使用者和外部 B2B 直接連接使用者。 然後,檢閱者會看到直接存取共用通道的使用者。
目前的限制:存取權檢閱可以偵測已新增到共用通道的內部使用者和外部 B2B 直接連接使用者,但不能偵測其他小組。 若要檢視和移除已新增到共用通道的小組,共用通道擁有者可以從 Teams 內部管理成員資格。
如需 Microsoft Teams 稽核記錄的詳細資訊,請參閱 Microsoft Teams 稽核文件。
隱私權和資料處理
B2B 直接連接允許您的使用者和群組存取由外部組織託管的應用程式和資源。 若要建立連接,來自外部組織的管理員還必須啟用 B2B 直接連接。
透過啟用與外部組織的 B2B 連接,您允許已啟用輸出設定的外部組織存取有關您使用者的有限連絡人資料。 Microsoft 會與這些組織共用這些資料,以協助它們傳送與您的使用者連接的要求。 外部組織收集的資料,包含有限連絡人資料,其受這些組織的隱私權原則和實務的約束。
輸出存取
當與外部組織啟用 B2B 直接連接時,外部組織中的使用者將能夠透過完整的電子郵件地址搜尋您的使用者。 比對搜尋結果將傳回有關使用者的有限資料,包含名字和姓氏。 在共用更多使用者的資料之前,您的使用者需要同意外部組織的隱私權原則。 我們建議您檢閱組織將提供並呈現給使用者的隱私權資訊。
輸入存取
我們強烈建議您新增全球隱私連絡人和組織的隱私權聲明,以便您的內部員工和外部來賓可以檢閱您的原則。 請遵循以下步驟新增組織的隱私權資訊。
限制使用者和群組的存取
您可能需要考慮使用跨租用戶存取設定來限制 B2B 直接連接到您的組織和外部組織內的特定使用者和群組。
下一步
- 設定跨租用戶存取設定
- 如需資料遺失預防、保留原則和電子文件探索的詳細資訊,請參閱 Microsoft Teams 文件。