Microsoft Entra B2B 最佳做法
適用於:
員工租用戶 
外部租用戶 (深入了解)
本文包含 Microsoft Entra 外部 ID 中企業對企業 (B2B) 共同作業的最佳做法和建議。
重要
針對所有新租用戶,以及您尚未明確關閉的任何現有租用戶,現在預設會開啟電子郵件一次性密碼功能。 關閉此功能時,後援驗證方法是提示受邀者建立 Microsoft 帳戶。
B2B 建議
| 建議 | 註解 |
|---|---|
| 請參閱 Microsoft Entra 指導方針,以保護與外部合作夥伴的共同作業 | 遵循保護 Microsoft Entra ID 和 Microsoft 365 的外部共同作業中的建議,了解如何對組織與外部合作夥伴共同作業進行全面治理的方法。 |
| 仔細規劃您的跨租用戶存取和外部共同作業設定 | Microsoft Entra ID 提供一組彈性的控制項,可讓您管理與外部使用者和組織的共同作業。 您可以允許或封鎖所有共同作業,或僅針對特定組織、使用者和應用程式設定共同作業。 在設定跨租用戶存取和外部共同作業的設定之前,請仔細清查您任職並合作的組織。 然後判斷您是否要與其他Microsoft Entra 租用戶啟用 B2B 直接連線 或 B2B 共同 作業。 |
| 限制來賓用戶對目錄的存取 | 根據預設,來賓使用者對 Microsoft Entra 目錄的存取權有限。 他們可以管理自己的配置檔,並查看其他使用者、群組和應用程式的一些資訊。 您可以進一步限制存取,讓來賓只能看到自己的配置文件資訊。 深入瞭解 預設來賓許可權 ,以及如何設定 外部共同作業設定。 |
| 判斷誰可以邀請來賓 | 根據預設,組織中的所有使用者 (包括 B2B 共同作業來賓使用者) 都可以邀請外部使用者進行 B2B 共同作業。 如果您想要限制傳送邀請的能力,您可以開啟或關閉每個人的邀請,或設定 外部共同作業設定來限制特定角色的邀請。 |
| 使用租用戶限制來控制網路和受控裝置上外部帳戶的使用方式。 | 使用租用戶限制,您可以防止使用者使用他們在未知租用戶中建立的帳戶,或從外部組織收到的帳戶。 建議您禁止這些帳戶,並改用 B2B 共同作業。 |
| 為了獲得最佳的登入體驗,請與識別提供者建立同盟 | 可能的話,請直接與識別提供者建立同盟,讓受邀的使用者能夠登入您的共用應用程式和資源,而不需要建立 Microsoft 帳戶 (MSA) 或 Microsoft Entra 帳戶。 您可以使用 Google 同盟功能,讓 B2B 來賓使用者使用其 Google 帳戶登入。 或者,您可以使用 SAML/WS-Fed 識別提供者 (預覽) 功能,設定與識別提供者 (IdP) 支援 SAML 2.0 或 WS-Fed 通訊協定的任何組織建立同盟。 |
| 針對無法透過其他方式進行驗證的 B2B 來賓使用電子郵件一次性密碼功能 | 當無法透過如 Microsoft Entra ID、Microsoft 帳戶 (MSA) 或 Google 同盟等方式驗證 B2B 來賓使用者時,可使用電子郵件一次性密碼功能來驗證。 當來賓使用者兌換邀請或存取共用資源時,他們可以要求一個暫時性驗證碼,此驗證碼會傳送到他們的電子郵件地址。 之後,他們便可輸入此驗證碼繼續登入。 |
| 將公司商標新增至登入頁面 | 您可以自訂登入頁面,讓 B2B 來賓使用者能更直覺化使用頁面。 了解如何在登入和存取面板頁面新增公司商標。 |
| 將您的隱私權聲明新增至 B2B 來賓使用者兌換體驗 | 您可以將貴組織隱私權聲明的 URL 新增到第一次邀請兌換程序,使受邀的使用者必須同意您的隱私權條款才能繼續。 請參閱操作說明:在 Microsoft Entra ID 中新增組織的隱私權資訊。 |
| 使用大量邀請 (預覽) 功能,同時邀請多位 B2B 來賓使用者 | 使用 Azure 入口網站中的大量邀請預覽功能,同時邀請多位來賓使用者加入貴組織。 這項功能可讓您上傳 CSV 檔案以建立 B2B 來賓使用者,並大量傳送邀請。 請參閱大量邀請 B2B 使用者的教學課程。 |
| 針對 Microsoft Entra 多重要素驗證強制執行條件式存取原則 | 建議您在想要與合作夥伴 B2B 使用者共用的應用程式上,強制執行 MFA 原則。 如此一來,不論合作夥伴組織是否使用 MFA,都會一致地在您租用戶中的應用程式上強制執行 MFA。 請參閱 B2B 共同作業使用者的條件式存取。 如果您與組織有密切的業務關係,且您已驗證其 MFA 做法,您可以設定跨租使用者存取設定以接受其 MFA 宣告(深入瞭解)。 |
| 使用來賓的驗證強度條件式存取原則 | 驗證強度是條件式訪問控制,可讓您定義外部Microsoft Entra 用戶必須完成才能存取資源的特定多重要素驗證 (MFA) 方法組合。 它會與跨租使用者存取設定中的 MFA 信任設定搭配運作,以判斷外部使用者必須執行 MFA 的位置和方式。 請參閱 外部用戶的驗證強度原則 |
| 如果您要強制裝置型條件式存取原則,請使用排除清單以允許存取 B2B 使用者 | 如果貴組織已啟用裝置型條件式存取原則,將會封鎖 B2B 來賓使用者裝置,因為這些裝置並非由貴組織管理。 您可以建立包含特定合作夥伴使用者的排除清單,將他們排除在裝置型條件式存取原則之外。 請參閱 B2B 共同作業使用者的條件式存取。 |
| 提供 B2B 來賓使用者的直接連結時,請使用租用戶特定的 URL | 除了邀請電子郵件以外,您也可以為來賓提供應用程式或入口網站的直接連結。 這必須為租用戶特定的直接連結,這表示其必須包含租用戶識別碼或已驗證的網域,才能在您的租用戶 (共用應用程式所在的位置) 中驗證來賓。 請參閱來賓使用者的兌換體驗。 |
| 開發應用程式時,請使用 UserType 來判斷來賓使用者體驗 | 如果您要開發應用程式,並且想要為租用戶使用者和來賓使用者提供不同的體驗,請使用 UserType 屬性。 權杖中目前不包含 UserType 宣告。 應用程式應該使用 Microsoft Graph API 來查詢目錄中的使用者及取得其 UserType。 |
| 只有在使用者與組織的關聯性變更時,才變更 UserType 屬性 | 雖然您可以使用 PowerShell 將使用者的 UserType 屬性從 Member 轉換為 Guest (反之亦然),但僅在使用者與貴組織的關聯性變更時,才應該變更此屬性。 請參閱 B2B 來賓使用者的屬性。 |
| 了解您的環境是否會受到 Microsoft Entra 目錄限制影響 | Microsoft Entra B2B 受限於Microsoft Entra 服務目錄限制。 如需使用者可建立的目錄數目以及使用者或來賓使用者可屬於的目錄數目詳細資訊,請參閱 Microsoft Entra 服務限制。 |
| 使用贊助者功能管理 B2B 帳戶生命週期 | 贊助者是使用者或群組,需負責其來賓使用者。 如需此新功能的詳細資料,請參閱 B2B 使用者的贊助者欄位。 |