概觀:透過 Microsoft Entra 外部 ID 的跨租戶存取
適用於: 員工租用戶 外部租用戶 (深入了解)
Microsoft Entra 組織可以使用外部識別碼跨租用戶存取設定,透過 B2B 共同作業和 B2B 直接連接,來管理與其他 Microsoft Entra 組織和其他 Microsoft Azure 雲端的共同作業。 跨租用戶存取設定 提供對輸入和輸出存取的細微控制項,讓您信任來自其他組織的多重要素驗證 (MFA) 和裝置宣告。
本文說明跨租用戶存取設定,這些設定是用於管理 B2B 共同作業與外部 Microsoft Entra 組織 (包含跨 Microsoft 雲端) 的 B2B 直接連接。 其他設定可用於與非 Microsoft Entra 身分識別 (例如社交身分識別或非 IT 受控外部帳戶)的 B2B 共同作業。 這些外部共同作業設定包括限制來賓使用者存取權的選項、指定可以邀請來賓的人員,以及允許或封鎖網域。
您可以在跨租用戶存取設定中新增的組織數目沒有限制。
使用輸入和輸出設定管理外部存取
外部身分識別的跨租用戶存取設定會管理您與其他 Microsoft Entra 組織共同作業的方式。 這些設定會判斷外部 Microsoft Entra 組織中的使用者對您的資源必須具有的「輸入」存取層級,以及使用者對外部組織必須具有的「輸出」存取層級。
下圖顯示跨租用戶存取輸入和輸出設定。 資源 Microsoft Entra 租用戶是包含要共用資源的租用戶。 若為 B2B 共同作業,資源租用戶是邀請租用戶 (例如公司租用戶,這是您要邀請外部使用者的位置)。 使用者的主 Microsoft Entra 租用戶是管理外部使用者的租用戶。
根據預設,會啟用與其他 Microsoft Entra 組織的 B2B 共同作業,並封鎖 B2B 直接連線。 但下列完整的管理員設定可讓您管理這兩項功能。
輸出存取設定可控制您的使用者是否可以存取外部組織中的資源。 您可以將這些設定套用至所有人,也可以指定個別的使用者、群組和應用程式。
輸入存取設定可控制外部 Microsoft Entra 組織的使用者是否可以存取組織中的資源。 您可以將這些設定套用至所有人,也可以指定個別的使用者、群組和應用程式。
信任設定 (輸入) 會判斷如果使用者已在其主租用戶中滿足這些需求,您的條件式存取原則是否會信任來自外部組織的多重要素驗證 (MFA)、相容裝置和 Microsoft Entra 混合式聯結裝置宣告。 例如,當您將信任設定配置為信任 MFA 時,您的 MFA 原則仍會套用至外部使用者,但已在其主租用戶中完成 MFA 的使用者不必在您的租用戶中再次完成 MFA。
預設設定
預設的跨租用戶存取設定會套用至您租用戶以外的所有 Microsoft Entra 組織,但您配置自訂設定的組織則為例外。 您可以變更預設設定,但 B2B 共同作業和 B2B 直接連線的初始預設設定如下:
B2B 共同作業:預設所有內部使用者都會啟用 B2B 共同作業。 此設定表示您的使用者可以邀請外部來賓存取您的資源,並可將他們邀請至外部組織做為來賓。 來自其他 Microsoft Entra 組織的 MFA 和裝置宣告不受信任。
B2B 直接連線:預設不會建立 B2B 直接連線信任關係。 Microsoft Entra ID 會封鎖所有外部 Microsoft Entra ID 租用戶的所有輸入和輸出 B2B 直接連接功能。
組織設定:預設不會將任何組織新增至您的組織設定。 因此,這會啟用所有外部 Microsoft Entra 組織,以便與貴組織進行 B2B 共同作業。
跨租用戶同步處理:沒有來自其他租用戶的使用者會透過跨租用戶同步處理,同步至您的租用戶。
這些預設設定適用於您相同 Microsoft Azure 雲端中與其他 Microsoft Entra 租用戶的 B2B 共同作業。 在跨雲端案例中,預設設定的運作方式稍有不同。 請參閱本文稍後的 Microsoft 雲端設定。
組織設定
您可以新增組織並修改該組織的輸入和輸出設定來設定組織特定的設定。 組織設定的優先順序高於預設設定。
B2B 共同作業:請使用跨租用戶存取設定來管理輸入和輸出 B2B 共同作業,以及特定使用者、群組和應用程式的範圍存取權。 您可以設定套用至所有外部組織的預設設定,並視需要建立個別、組織特定之設定。 跨租用戶存取設定也可以讓您信任來自其他 Microsoft Entra 組織的多重要素驗證 (MFA) 和裝置宣告 (符合規範的宣告及 Microsoft Entra 混合式聯結宣告)。
提示
如果您即將信任外部使用者的 MFA,建議您從 Microsoft Entra ID Protection MFA 註冊原則中排除外部使用者。 當這兩個原則都存在時,外部使用者將無法滿足存取需求。
B2B 直接連接:針對 B2B 直接連接,請使用組織設定來設定與另一個 Microsoft Entra 組織的相互信任關係。 您的組織和外部組織都需要設定輸入和輸出跨租用戶存取設定,來相互啟用 B2B 直接連線。
您可以使用 [外部共同作業設定],限制誰可以邀請外部使用者、允許或封鎖 B2B 特定網域,以及對您目錄的來賓使用者存取設定限制。
自動兌換設定
自動兌換設定是輸入和輸出組織信任設定,可自動兌換邀請,因此使用者不需要在第一次存取資源/目標租用戶時接受同意提示。 這個設定是具有下列名稱的核取方塊:
- [使用租用戶自動兌換邀請]<[租用戶]>
比較不同案例的設定
自動兌換設定適用於下列情況中的跨租用戶同步處理、B2B 共同作業和 B2B 直接連接:
- 使用跨租用戶同步處理,在目標租用戶中建立使用者時。
- 使用 B2B 共同作業,將使用者新增至資源租用戶時。
- 當使用者透過 B2B 直接連接,存取資源租用戶中的資源時。
下表顯示此設定針對這些案例啟用時的比較:
項目 | 跨租用戶同步處理 | B2B 共同作業 | B2B 直接連接 |
---|---|---|---|
自動兌換設定 | 必要 | 選擇性 | 選擇性 |
使用者會收到 B2B 共同作業的邀請電子郵件 | No | 否 | N/A |
使用者必須接受同意提示 | No | 無 | No |
使用者會收到 B2B 共同作業的通知電子郵件 | No | .是 | N/A |
此設定不會影響應用程式同意體驗。 如需詳細資訊,請參閱 Microsoft Entra ID 中的應用程式同意體驗。 不同 Microsoft 雲端環境的組織不支援此設定,例如 Azure 商業和 Azure Government。
什麼時候同意提示不會顯示?
如果主租用戶/來源租用戶 (輸出) 和資源/目標租用戶 (輸入) 都會檢查此設定,則自動兌換設定只會隱藏同意提示和邀請電子郵件。
下表顯示已針對不同的跨租用戶存取設定組合勾選自動兌換設定時,來源租用戶使用者的同意提示行為。
主租用戶/來源租用戶 | 資源/目標租用戶 | 同意提示行為 適用於來源租用戶使用者 |
---|---|---|
輸出 | 連入 | |
已隱藏 | ||
未隱藏 | ||
未隱藏 | ||
未隱藏 | ||
連入 | 輸出 | |
未隱藏 | ||
未隱藏 | ||
未隱藏 | ||
未隱藏 |
若要使用 Microsoft Graph 配置此設定,請參閱更新 crossTenantAccessPolicyConfigurationPartner API。 如需建置您上線體驗的詳細資訊,請參閱 B2B 共同作業邀請管理員。
如需詳細資訊,請參閱設定跨租用戶同步處理、設定 B2B 共同作業的跨租用戶存取設定,以及設定 B2B 直接連接的跨租用戶存取設定。
可設定的兌換
透過可設定的兌換,您可以自訂來賓使用者在接受邀請時可以使用的身分識別提供者順序。 您可以啟用此功能,並在 [兌換順序] 索引標籤底下指定兌換順序。
當來賓使用者選取邀請電子郵件中的 [接受邀請] 連結時,Microsoft Entra ID 會根據 [預設兌換順序] 自動兌換邀請。 當您在新的 [兌換順序] 索引標籤下變更身分識別提供者的順序時,新的順序會覆寫預設的兌換順序。
您可以在 [兌換順序] 索引標籤底下找到主要識別提供者和後援識別提供者。
主要識別提供者是與其他驗證來源有同盟的身分識別提供者。 後援識別提供者是當使用者不符合主要識別提供者時所使用的身分識別提供者。
後援識別提供者可以是 Microsoft 帳戶 (MSA) 和/或電子郵件一次性密碼。 您無法停用這兩個後援識別提供者,但您可以停用所有主要識別提供者,並只針對兌換選項使用後援識別提供者。
使用此功能時,請考慮下列已知限制:
如果具有現有單一登入 (SSO) 工作階段的 Microsoft Entra ID 使用者透過電子郵件一次性密碼 (OTP) 進行驗證,他們必須選擇 [使用另其他帳戶],再重新輸入使用者名稱以觸發 OTP 流程。 否則,使用者會收到錯誤,指出資源租用戶中沒有他們的帳戶。
當使用者在其 Microsoft Entra ID 和 Microsoft 帳戶中具有相同的電子郵件時,即使系統管理員停用 Microsoft 帳戶的兌換方法,畫面上仍會提示他們選擇使用其 Microsoft Entra ID 或 Microsoft 帳戶。 即使方法已停用,仍允許選擇 Microsoft 帳戶作為兌換選項。
Microsoft Entra ID 已驗證網域的直接同盟
SAML/WS-Fed 身分識別提供者同盟 (直接同盟) 現在支援 Microsoft Entra ID 已驗證網域。 這項功能可讓您為已在 Microsoft Entra 中驗證的網域,設定與外部識別提供者的直接同盟。
注意
請確定網域並未在您嘗試設定直接同盟配置的相同租用戶中驗證。 您設定直接同盟之後,可以配置租用戶的兌換喜好設定,並透過新的可設定兌換跨租用戶存取設定,將 SAML/WS-Fed 身分識別提供者移至 Microsoft Entra ID。
當來賓用戶兌換邀請時,他們會看到傳統的同意畫面,並重新導向至 [我的應用程式] 頁面。 在資源租用戶中,此直接同盟使用者的設定檔會顯示已成功兌換邀請,並將外部同盟列為簽發者。
防止您的 B2B 使用者透過 Microsoft 帳戶兌換邀請
您現在可以防止 B2B 來賓使用者透過 Microsoft 帳戶兌換邀請。 他們會改為使用傳送至電子郵件的一次性密碼作為後援識別提供者。 他們無法使用現有的 Microsoft 帳戶兌換邀請,也不會收到建立新帳戶的提示。 您可以在兌換順序設定中啟用此功能,方法是在後援識別提供者選項中關閉 Microsoft 帳戶。
您必須至少有一個後援識別提供者隨時處於作用中狀態。 因此,如果您決定停用 Microsoft帳戶,則必須啟用電子郵件一次性密碼選項。 已使用 Microsoft 帳戶登入的現有來賓使用者會繼續執行此動作,以供日後登入。若要將新設定套用至他們,您必須重設其兌換狀態。
跨租用戶同步處理設定
跨租用戶同步處理設定是僅限輸入的組織設定,可讓來源租用戶的系統管理員將使用者同步至目標租用戶。 此設定是一個核取方塊,其名稱為目標租用戶中指定的 [允許使用者同步至此租用戶]。 此設定不會影響透過其他流程建立的 B2B 邀請,例如手動邀請或 Microsoft Entra 權利管理。
若要使用 Microsoft Graph 配置此設定,請參閱更新 crossTenantIdentitySyncPolicyPartner API。 如需詳細資訊,請參閱設定跨租用戶同步處理。
租用戶限制
您可以透過 [租用戶限制] 設定,來控制使用者可在您所管理的裝置上使用的外部帳戶類型,包括:
- 使用者在未知租用戶中建立的帳戶。
- 外部組織提供給您使用者的帳戶,讓他們可以存取該組織的資源。
建議您將租用戶限制設定為不允許這些類型的外部帳戶,並改用 B2B 共同作業。 B2B 共同作業可讓您:
- 使用條件式存取,並強制 B2B 共同作業使用者採用多重要素驗證。
- 管理輸入和輸出的存取權。
- 當 B2B 共同作業使用者的雇用狀態變更或其認證遭到入侵時,終止工作階段和認證。
- 使用登入記錄來檢視 B2B 共同作業使用者的詳細資料。
租用戶限制與其他跨租用戶存取設定無關,因此您配置的任何輸入、輸出或信任設定都不會影響租用戶限制。 如需設定租用戶限制的詳細資料,請參閱設定租用戶限制 V2。
Microsoft 雲端設定
Microsoft 雲端設定可讓您與來自不同 Microsoft Azure 雲端的組織共同作業。 透過 Microsoft 雲端設定,您可以在下列雲端之間建立相互的 B2B 共同作業:
- Microsoft Azure 商業雲端與 Microsoft Azure Government 包含 Office GCC-High 和 DoD 雲端。
- Microsoft Azure 商業雲端和由 21Vianet 所營運的 Microsoft Azure (由 21Vianet 運作)
注意
B2B 直接連接不適用於不同 Microsoft 雲端中 Microsoft Entra 租用戶的共同作業。
如需詳細資訊,請參閱 為 B2B 共同作業設定 Microsoft Cloud 設定 一文。
重要考量
重要
將預設的輸入或輸出設定變更為封鎖存取,可能會封鎖對貴組織或夥伴組織中應用程式的現有業務關鍵存取。 請務必使用本文中所述的工具,並洽詢您的商務專案關係人,以找出所需的存取權。
若要配置信任設定或將存取設定套用至特定使用者、群組或應用程式,您將需要 Microsoft Entra ID P1 授權。 所設定的租用戶需要授權。 若 B2B 直接連接需要與其他 Microsoft Entra 組織的相互信任關係,則在這兩個租用戶中皆需要 Microsoft Entra ID P1 授權。
跨租用戶存取設定用來管理與其他 Microsoft Entra 組織的 B2B 共同作業和 B2B 直接連接。 針對與非 Microsoft Entra 身分識別 (例如社交身分識別和非 IT 管理的外部帳戶) 的 B2B 共同作業,請使用外部共同作業設定。 外部共同作業設定包括限制來賓使用者存取權的 B2B 共同作業選項、指定可以邀請來賓的人員,以及允許或封鎖網域。
如果您想要將存取設定套用至外部組織中的特定使用者、群組或應用程式,在進行設定之前,您必須先與組織連絡以取得相關資訊。 取得其使用者物件識別碼、群組物件識別碼或應用程式識別碼 (用戶端應用程式識別碼或資源應用程式識別碼),使得您可以正確地進行設定。
提示
您可以檢查登入記錄來尋找外部組織應用程式的應用程式識別碼。 請參閱識別輸入和輸出登入一節。
您為使用者和群組設定的存取設定必須符合應用程式的存取設定。 不允許衝突的設定,您在嘗試設定時會看到警告訊息。
範例 1:如果您封鎖所有外部使用者和群組的輸入存取,則必須同時封鎖對所有應用程式的存取。
範例 2:如果您允許所有使用者 (或特定使用者或群組) 的輸出存取,則將無法封鎖對外部應用程式的所有存取;至少必須允許存取一個應用程式。
如果您想要對外部組織允許 B2B 直接連接,而且您的條件式存取原則需要 MFA,您必須配置信任設定,以接受來自外部組織的 MFA 宣告。
如果您預設封鎖對所有應用程式的存取,使用者將無法讀取以 Microsoft Rights Management Service (也稱為 Office 365 郵件加密或 OME) 加密的電子郵件。 若要避免這個問題,建議您設定輸出設定,讓您的使用者能夠存取此應用程式識別碼:00000012-0000-0000-c000-000000000000。 如果您只允許此應用程式,預設會封鎖所有其他應用程式的存取。
用於管理跨租用戶存取設定的自訂角色
您可以建立自訂角色來管理跨租用戶存取設定。 在 此處了解更多有關推薦的自訂角色資訊。
保護跨租用戶存取管理動作
修改跨租用戶存取設定的任何動作都會被視為受保護的動作,而且可以使用條件式存取原則額外保護。 如需設定步驟的詳細資訊,請參閱受保護的動作。
識別輸入和輸出登入
有幾個工具可協助您在設定輸入和輸出存取設定之前,先找出您使用者和合作夥伴所需的存取權。 為確保您不會移除使用者和合作夥伴所需的存取權,您應該檢查目前的登入行為。 進行這項初步步驟有助於防止您的終端使用者及合作夥伴使用者遺失所需的存取權。 不過,在某些情況下,這些記錄只會保留 30 天,因此強烈建議您洽詢商務專案關係人,以確保不會遺失必要的存取權。
工具 | 方法 |
---|---|
用於跨租用戶登入活動的 PowerShell 指令碼 | 若要檢閱與外部組織關聯的使用者登入活動,請使用 MSIdentity Tools中 跨租用戶使用者登入活動 PowerShell 指令碼。 |
用於登入記錄的 PowerShell 指令碼 | 若要判斷使用者對外部 Microsoft Entra 組織的存取權,請使用 Get-MgAuditLogSignIn Cmdlet。 |
Azure 監視器 | 如果您的組織訂閱 Azure 監視器服務,請使用 跨租用戶存取活動活頁簿。 |
安全性資訊與事件管理 (SIEM) 系統 | 如果您的組織將登入記錄匯出至安全性資訊與事件管理 (SIEM) 系統,則您可以從 SIEM 系統中擷取必要的資訊。 |
識別跨租用戶存取設定的變更
Microsoft Entra 稽核記錄會擷取跨租用戶存取設定變更和活動的所有活動。 若要稽核跨租用戶存取設定的變更,請使用「類別」 CrossTenantAccessSettings 來篩選所有活動,以顯示跨租用戶存取設定的變更。