共用方式為

多租用戶使用者管理的常見考量

  • 發行項

本文是一系列文章中的第三篇,提供在 Microsoft Entra 多租用戶環境中設定及提供使用者生命週期管理的指導。 該系列中的下列文章提供如下所述的更多資訊。

本指南可協助您達成一致的使用者生命週期管理狀態。 生命週期管理包括使用可用的 Azure 工具,跨租用戶佈建、管理和取消佈建使用者,這些工具包括 Microsoft Entra B2B 共同作業 (B2B) 和跨租用戶同步處理

根據您組織的特定需求,會有獨特的同步處理需求。 當您設計解決方案以符合組織的需求時,本文中的下列考量可協助您找出最佳選項。

  • 跨租用戶同步處理
  • 目錄物件
  • Microsoft Entra 條件式存取
  • 額外的存取控制
  • Office 365

跨租用戶同步處理

跨租用戶同步處理可解決多租用戶組織的共同作業和存取挑戰。 下表顯示常見的同步處理使用案例。 當考量與多個共同作業模式相關時,您可以使用跨租用戶同步處理和客戶開發來滿足使用案例。

使用案例 跨租用戶同步處理 自訂開發
使用者生命週期管理 核取記號圖示 核取記號圖示
檔案共用和應用程式存取 核取記號圖示 核取記號圖示
支援同步至主權雲端/從主權雲端同步 核取記號圖示
控制從資源租用戶同步 核取記號圖示
同步群組物件 核取記號圖示
同步處理管理員連結 核取記號圖示 核取記號圖示
授權單位的屬性層級來源 核取記號圖示
Microsoft Entra 回寫至 Microsoft Windows Server Active Directory 核取記號圖示

目錄物件考量

使用 UPN 與 SMTP 位址邀請外部使用者

Microsoft Entra B2B 預期使用者的 UserPrincipalName (UPN) 是傳送邀請的主要簡易郵件傳輸通訊協定 (SMTP) (電子郵件) 位址。 當使用者的 UPN 與其主要 SMTP 地址相同時,B2B 會如預期般運作。 不過,如果 UPN 與外部使用者的主要 SMTP 電子郵件地址不同,則當使用者接受邀請時,可能無法解析。 如果您不知道使用者真正的 UPN,此問題可能是一項挑戰。 您必須在傳送 B2B 的邀請時探索並使用 UPN。

本文的 Microsoft Exchange Online 一節說明如何變更外部使用者的預設主要 SMTP。 如果您希望外部的所有電子郵件和通知都流向實際的主要 SMTP 位址,而不是 UPN,這項技術會很有用。 如果無法針對郵件流程路由 UPN,則可能需要這項技術。

轉換外部使用者的 UserType

當您使用主控台手動建立外部使用者帳戶的邀請時,會建立來賓使用者類型的使用者物件。 使用其他技術建立邀請,可讓您將使用者類型設定為外部來賓帳戶以外的使用者類型。 例如,使用 API 時,您可以將帳戶設定為外部成員帳戶或外部來賓帳戶。

如果您從外部來賓帳戶轉換為外部成員使用者帳戶,Exchange Online 處理 B2B 帳戶的方式可能會有問題。 您無法為邀請作為外部成員使用者的帳戶啟用郵件功能。 若要啟用外部成員帳戶的郵件功能,請使用下列最佳方法。

  • 邀請跨組織使用者作為外部來賓使用者帳戶。
  • 顯示 GAL 中的帳戶。
  • 將 UserType 設定為 [成員]。

當您使用此方法時,帳戶會在 Exchange Online 和整個 Office 365 中顯示為 MailUser 物件。 此外,請注意有時間挑戰。 請檢查 Microsoft Entra 使用者 ShowInAddressList 屬性是否與 Exchange Online PowerShell HiddenFromAddressListsEnabled 屬性一致 (彼此相反),以確認使用者顯示在 GAL 中。 本文的 Microsoft Exchange Online 一節提供變更可見度的詳細資訊。

您可以將成員使用者轉換為來賓使用者,這對您想要限制為來賓層級權限的內部使用者很有用。 內部來賓使用者是您組織員工以外須管理其使用者和認證的使用者。 其可讓您避免授權內部來賓使用者。

使用郵件連絡人物件 (而非外部使用者或成員) 的問題

您可以使用傳統的 GAL 同步處理來代表來自另一個租用戶的使用者。 如果您執行 GAL 同步處理,而不是使用 Microsoft Entra B2B 共同作業,則會建立郵件連絡人物件。

  • 郵件連絡人物件與已啟用郵件功能的外部成員或來賓使用者不得同時共存在具有相同電子郵件地址的相同用戶中。
  • 如果與受邀外部使用者相同的郵寄地址存在郵件連絡人物件,則會建立外部使用者,但不會啟用郵件功能。
  • 若已啟用郵件功能的外部使用者存在於相同的郵件中,嘗試建立郵件連絡人物件的行為會在建立時擲回例外狀況。

重要

使用郵件連絡人需要 Active Directory 服務 (AD DS) 或 Exchange Online PowerShell。 Microsoft Graph 不提供用於管理連絡人的 API 呼叫。

下表顯示郵件連絡人物件和外部使用者狀態的結果。

現有狀態 佈建案例 有效結果
邀請 B2B 成員 未啟用郵件功能的成員使用者。 重要注意
邀請 B2B 來賓使用者 啟用郵件功能的外部使用者。
存在郵件連絡人物件 邀請 B2B 成員 Error。 Proxy 位址衝突。
存在郵件連絡人物件 邀請 B2B 來賓使用者 郵件連絡人與未啟用郵件功能的外部使用者。 重要注意
已啟用郵件功能的外部來賓使用者 建立郵件連絡人物件 錯誤
存在已啟用郵件功能的外部成員使用者 建立郵件連絡人 錯誤

Microsoft 建議使用 Microsoft Entra B2B 共同作業 (而不是傳統 GAL 同步處理) 來建立:

  • 可在 GAL 中顯示的外部使用者。
  • 預設顯示於 GAL 中但未啟用郵件功能的外部成員使用者。

您可以選擇使用郵件連絡人物件來顯示 GAL 中的使用者。 此方法整合 GAL 而不提供其他權限,因為郵件連絡人不是安全性主體。

請遵循下列建議的方法來達成目標:

郵件連絡人物件無法轉換為使用者物件。 因此,與郵件連絡人物件相關聯的屬性無法轉移 (例如群組成員資格和其他資源存取權)。 使用郵件連絡人物件來代表使用者會帶來以下挑戰。

  • Office 365 群組。 Office 365 群組支援控管哪些類型的使用者可作為群組成員,並與群組相關聯內容互動的原則。 例如,群組可能不允許來賓使用者加入。 這些原則無法控管郵件連絡人物件。
  • Microsoft Entra 自助群組管理 (SSGM)。 郵件連絡人物件不符合使用 SSGM 功能的群組成員資格。 您可能需要其他工具來管理以連絡人 (而非使用者物件) 表示收件者的群組。
  • Microsoft Entra ID 控管,存取權檢閱。 您可以使用存取權檢閱功能來檢閱及證明 Office 365 群組的成員資格。 存取權檢閱是以使用者物件為基礎。 郵件連絡人物件所代表的成員超出存取權檢閱的範圍。
  • Microsoft Entra ID 控管,權利管理 (EM)。 當您在公司的 EM 入口網站中使用 EM 為外部使用者啟用自助式存取要求時,會在要求時建立使用者物件。 不支援郵件連絡人物件。

Microsoft Entra 條件式存取考量

使用者主租用戶中的使用者、裝置或網路狀態並不會傳達給資源租用戶。 因此,外部使用者帳戶可能無法符合使用下列控制項的條件式存取原則。

如果允許,您可以使用跨租用戶存取設定 (CTAS)來覆寫此行為,以接受來自主租用戶的多重要素驗證和裝置合規性。

  • 需要多重要素驗證。 若未設定 CTAS,外部使用者必須在資源租用戶中註冊/回應多重要素驗證 (即使主租用戶中已滿足多重要素驗證也一樣),這會導致多個多重要素驗證挑戰。 此案例會產生多個多重要素驗證挑戰。 如果使用者必須重設其多重要素驗證證明,則可能不會注意到租用戶中的多個多重要素驗證證明註冊。 缺乏注意可能會讓使用者需要與主租用戶、資源租用戶或兩者中的系統管理員連絡。
  • 裝置需要標記為符合規範。 若未設定 CTAS,則不會在資源租用戶中註冊裝置身分識別,因此外部使用者無法存取需要此控制項的資源。
  • 需要 Microsoft Entra 混合式加入裝置。 若未設定 CTAS,則不會在資源租用戶 (或連線到資源租用戶的內部部署 Active Directory) 中註冊裝置身分識別,因此外部使用者無法存取需要此控制項的資源。 因此,外部用戶無法存取需要此控件的資源。
  • 需要已核准的用戶端應用程式或需要應用程式保護原則。 若未設定 CTAS,外部使用者就無法套用資源租用戶 Intune 行動應用程式管理 (MAM) 原則,因為它還需要註冊裝置。 使用此控制項的資源租用戶條件式存取原則不允許主租用戶 MAM 保護符合該原則。 從每個以 MAM 為基礎的條件式存取原則中排除外部使用者。

此外,雖然您可以使用下列條件式存取條件,但請注意可能的後果。

  • 登入風險和使用者風險。 登入風險和使用者風險部分取決於使用者在其主租用戶中的行為。 主租用戶會儲存資料與風險分數。 如果資源租用戶原則封鎖外部使用者,則資源租用戶系統管理員可能無法啟用存取。 Microsoft Entra ID Protection 和 B2B 使用者說明 Microsoft Entra ID Protection 如何偵測 Microsoft Entra 使用者是否有遭盜用的認證。
  • 位置。 資源租用戶中的具名位置定義會決定原則範圍。 此原則範圍不會評估在主租用戶中管理的信任位置。 如果您的組織想要跨租用戶共用信任的位置,請在您定義資源和條件式存取原則的每個租用戶中定義位置。

保護您的多租用戶環境

從確保每個租用戶都遵守安全性最佳做法開始,保護多租用戶環境。 請檢閱安全性檢查清單最佳做法,以取得保護租用戶的指引。 請確定遵循這些最佳做法,並與您密切合作的任何租用戶一起檢閱這些最佳做法。

保護管理員帳戶並確保最低權限

監視多租用戶環境

  • 使用稽核記錄 UIAPIAzure 監視器整合 (適用於主動式警示),監視跨租用戶存取原則中的變更。 稽核事件使用 "CrossTenantAccessSettings" 和 "CrossTenantIdentitySyncSettings" 類別。藉由監視這些類別下的稽核事件,您可以識別租用戶中的任何跨租用戶存取原則變更並採取行動。 在 Azure 監視器中建立警示時,您可以建立如下所示的任一查詢,以識別任何跨租用戶存取原則變更。
AuditLogs
| where Category contains "CrossTenant"
  • 監視任何新增至跨租用戶存取設定的新合作夥伴。
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
  • 監視對允許/不允許同步處理的跨租用戶存取原則所做的變更。
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
  • 使用跨租用戶存取活動儀表板,監視租用戶中的應用程式存取。 監視功能可讓您查看誰正在存取租用戶中的資源,以及這些使用者來自何處。

動態成員資格群組

如果您的組織正在現有的條件式存取原則中,使用所有使用者動態成員資格群組條件,則此原則會影響外部使用者,因為這些使用者都在所有使用者的範圍內。

預設為拒絕

  • 對應用程式要求使用者指派。 如果應用程式將 [需要使用者指派嗎?] 屬性設定為 [否],則外部使用者可以存取應用程式。 應用程式管理員必須了解存取控制影響,尤其是當應用程式包含敏感性資訊時。 將 Microsoft Entra 應用程式限制為 Microsoft Entra 租用戶中的一組使用者一文,說明在租用戶中註冊的應用程式如何可供所有驗證成功的租用戶使用者使用。 此設定預設為 [開啟]。

深層防禦

條件式存取。

  • 定義存取控制原則以控制資源的存取權。
  • 設計條件式存取原則時,請考量外部使用者。
  • 建立外部使用者的特定原則。
  • 建立外部帳戶的專用條件式存取原則。 如果您的組織正在現有的條件式存取原則中,使用所有使用者動態成員資格群組條件,則此原則會影響外部使用者,因為這些使用者都在所有使用者的範圍內。

受限制的管理單位

使用安全性群組來控制跨租用戶同步處理範圍內的人員時,您需要限制誰可以變更安全性群組。 將指派給跨租用戶同步處理作業之安全性群組的擁有者數目降至最低,並將群組包含在受限制的管理單位中。 此案例限制可以新增或移除群組成員並跨租用戶佈建帳戶的人數。

其他存取控制考量

條款及條件

Microsoft Entra 使用規定提供一種簡單的方法,讓組織可用來將資訊呈現給終端使用者。 您可以使用使用規定要求外部使用者在存取您的資源之前,先核准使用規定。

具有 Microsoft Entra ID P1 或 P2 功能之來賓使用者的授權考量

Microsoft Entra External ID 定價是以每月活躍使用者 (MAU) 為基礎。 活躍使用者數目是指曆月中執行驗證活動的不重複使用者計數。 Microsoft Entra 外部識別碼的計費模型描述如何根據MAU定價。

Office 365 考量

下列資訊旨在解決本文案例內容中的 Office 365 問題。 如需詳細資訊,請參閱 Microsoft 365 同租使用者共同作業 365 同租使用者共同作業。 本文描述的選項包括使用中央位置存放檔案和交談、共用行事曆、使用 IM、用於通訊的音訊/視訊通話,以及保護資源和應用程式的存取。

Microsoft Exchange Online

Exchange Online 會針對外部使用者限制特定功能。 您可以藉由建立外部成員使用者 (而非外部來賓使用者) 來減少限制。 對外部使用者的支援具有下列限制。

  • 您可以將 Exchange Online 授權指派給外部使用者。 不過,您無法對其核發 Exchange Online 的權杖。 因此無法存取資源。
    • 外部使用者不得使用資源租用戶中的共用或委派 Exchange Online 信箱。
    • 您可以將外部使用者指派給共用信箱,但無法存取共用信箱。
  • 您需要取消隱藏外部使用者,才能將其包含在 GAL 中。 預設為隱藏。
    • 邀請時會建立隱藏的外部使用者。 該建立行為與使用者是否已兌換其邀請無關。 因此,如果所有外部使用者都未隱藏,則清單會包含尚未兌換邀請之外部使用者的使用者物件。 根據您的案例,您不一定需要列出物件。
    • 外部使用者可使用 Exchange Online PowerShell 來取消隱藏。 您可以執行 Set-MailUser PowerShell Cmdlet,將 HiddenFromAddressListsEnabled 屬性設定為 $false 值。

例如:

Set-MailUser [ExternalUserUPN] -HiddenFromAddressListsEnabled:\$false\

其中 ExternalUserUPN 是計算的 UserPrincipalName

例如:

Set-MailUser externaluser1_contoso.com#EXT#@fabricam.onmicrosoft.com\ -HiddenFromAddressListsEnabled:\$false

Microsoft 365 系統管理中心可能會取消隱藏外部使用者。

  • 您只能使用 Exchange Online PowerShell 設定 Exchange 特定屬性 (例如 PrimarySmtpAddressExternalEmailAddressEmailAddressesMailTip) 的更新。 Exchange Online 系統管理中心不允許您使用圖形化使用者介面 (GUI) 修改屬性。

如範例中所示,您可以針對郵件特定屬性使用 Set-MailUser PowerShell Cmdlet。 您可以使用 Set-User PowerShell Cmdlet 修改使用者屬性。 您可以使用 Microsoft Graph API 修改大部分的屬性。

Set-MailUser 的最實用功能之一,就是能夠操作 EmailAddresses 屬性。 此多重值屬性可能包含外部使用者的多個 Proxy 位址 (例如 SMTP、X500、工作階段初始通訊協定 (SIP))。 根據預設,外部使用者的主要 SMTP 位址戳記與 UserPrincipalName (UPN) 相互關聯。 如果您想要變更主要 SMTP 或新增 SMTP 位址,您可以設定此屬性。 您無法使用 Exchange 系統管理中心,必須使用 Exchange Online PowerShell。 在 Exchange Online 中新增或移除信箱的電子郵件地址顯示修改多重值屬性 (例如 EmailAddresses) 的不同方式。

Microsoft 365 中的 Microsoft SharePoint

Microsoft 365 中的 SharePoint 有自己的服務特定權限,視使用者 (內部或外部) 為 Microsoft Entra 租用戶中的成員或來賓類型而定。 Microsoft Office 365 外部共用與 Microsoft Entra B2B 共同作業描述如何啟用與 SharePoint 和 OneDrive 的整合,以與組織外部人員共用檔案、資料夾、清單項目、文件庫及網站。 Microsoft 365 在使用 Azure B2B 進行驗證和管理時會執行這項作業。

在 Microsoft 365 中的 SharePoint 啟用外部共用之後,在 Microsoft 365 中的 SharePoint 人員選擇器搜尋來賓使用者的功能預設為 [關閉]。 此設定會禁止探索隱藏在 Exchange Online GAL 中的來賓使用者。 您可以讓來賓使用者以兩種方式顯示 (不會互斥):

  • 您可以透過下列方式來啟用搜尋來賓使用者的功能:
  • Microsoft 365 中的 SharePoint 人員選擇器也會顯示在 Exchange Online GAL 中顯示的來賓使用者。 無論 ShowPeoplePickerSuggestionsForGuestUsers 的設定為何,都會顯示帳戶。

Microsoft Teams

Microsoft Teams 有功能可限制存取,並且以使用者類型為基礎。 使用者類型的變更可能會影響內容存取與可用的功能。 Microsoft Teams 要求使用者在其主租用戶以外的 Teams 中工作時,使用其 Teams 用戶端的租用戶切換機制來變更其內容。

Microsoft Teams 的租用戶切換機制可能會需要使用者在其主租用戶以外的 Teams 中工作時,手動切換其 Teams 用戶端的內容。

您可以從其他整個外部網域啟用 Teams 使用者,以使用 Teams 同盟來尋找、呼叫、聊天及設定使用者會議。 使用 Microsoft 身分識別管理外部會議並與人員和組織聊天描述如何允許組織中的使用者與使用 Microsoft 作為識別提供者的組織外部人員聊天和開會。

Teams 中來賓使用者的授權考量

當您搭配 Office 365 工作負載使用 Azure B2B 時,主要考量包括來賓使用者 (內部或外部) 與成員使用者沒有相同體驗的情況。

  • Microsoft 群組。將來賓新增至 Office 365 群組描述 Microsoft 365 群組中的來賓存取如何透過授權存取群組交談、檔案、行事曆邀請和群組筆記本,讓您和您的小組與組織外部的人員共同作業。
  • Microsoft Teams。Teams 中的團隊擁有者、成員和來賓功能 描述 Microsoft Teams 中的來賓帳戶體驗。 您可以使用外部成員使用者,在 Teams 中啟用最高逼真度體驗。
    • 對於我們商業雲端中的多個租用戶,在使用者主租用戶中授權的使用者,可以存取相同法律實體中另一個租用戶的資源。 您可以使用外部成員設定來授與存取權,而不需要額外的授權費用。 此設定適用於 SharePoint、OneDrive for Teams and Groups。
    • 對於其他 Microsoft 雲端的多個租用戶及不同雲端中的多個租用戶,B2B 成員授權檢查尚無法使用。 搭配 Teams 使用 B2B 成員需要每個 B2B 成員的額外授權。 這需求也可能會影響其他工作負載,例如 Power BI。
    • 屬於不同法律實體之租用戶的 B2B 成員使用還有其他授權需求。
  • 身分控管功能。 權利管理和存取權檢閱可能需要外部使用者的其他授權。
  • 其他產品。 Dynamics 客戶關係管理 (CRM) 等產品可能需要代表使用者之每個租用戶的授權。

下一步