管理外部共同作業

  • 5 分鐘

Microsoft Entra 外部身分識別的功能可讓您允許組織外部人員存取您的應用程式和資源,同時讓他們使用偏好的任何身分識別進行登入。 您的合作夥伴、經銷商、供應商、廠商和其他來賓使用者皆可「自備身分識別」。無論是公司或政府核發的數位身分識別,還是非受控的社交身分識別 (例如 Google 或 Facebook),他們都可以使用自己的登入資訊登入。 外部使用者的識別提供者會管理其身分識別,您可以使用 Microsoft Entra ID 來管理應用程式的存取權,讓您的資源持續受到保護。

邀請兌換流程

圖表:以來賓身分加入 Microsoft Entra 租用戶的外部邀請兌換。

  1. Microsoft Entra ID 會執行以使用者為基礎的探索,以判斷使用者是否已存在於受控 Microsoft Entra 租用戶中。 (非受控 Microsoft Entra 帳戶無法再用於兌換。)如果使用者的使用者主體名稱 (UPN) 同時符合現有的 Microsoft Entra 帳戶和個人 MSA,系統會提示使用者選擇要用於兌換的帳戶。
  2. 如果系統管理員已啟用 SAML/WS-Fed IdP 同盟,Microsoft Entra ID 會檢查使用者的網域尾碼是否符合所設定 SAML/WS-Fed 識別提供者的網域,並將使用者重新導向至預先設定的識別提供者。
  3. 如果系統管理員已啟用 Google 同盟,Microsoft Entra ID 會檢查使用者的網域尾碼是否為 gmail.com 或 googlemail.com,並將使用者重新導向至 Google。
  4. 兌換程序會檢查使用者是否有現有的個人 MSA。 如果使用者已經有現有的 MSA,他們將使用其現有的 MSA 登入。
  5. 一旦識別出使用者的主目錄,使用者就會被傳送至對應的識別提供者以進行登入。
  6. 如果找不到主目錄,並「已啟用」來賓的電子郵件一次性密碼功能,則會透過受邀電子郵件將密碼傳送給使用者。 使用者會在 Microsoft Entra 登入頁面中擷取並輸入此密碼。
  7. 如果找不到主目錄,並「已停用」來賓的電子郵件一次性密碼,系統會提示使用者建立具有受邀電子郵件的取用者 MSA。 我們支援在 Microsoft Entra ID 內未經驗證的網域中建立具有工作電子郵件的 MSA。
  8. 向適當的識別提供者進行驗證後,使用者會重新導向至 Microsoft Entra ID 以進行同意體驗。

外部身分識別案例

Microsoft Entra 外部身分識別較不著重在使用者與貴組織的關聯性,而是使用者希望以什麼樣的方式登入您的應用程式和資源。 在此架構內,Microsoft Entra ID 支援各種案例。

B2B 共同作業案例可讓您邀請外部使用者加入您自己的租用戶,成為可對其指派權限 (進行授權),同時允許他們使用其現有認證 (進行驗證) 的「來賓」使用者。 使用者使用工作、學校或其他電子郵件帳戶的簡單邀請和兌換流程,便能登入至共用資源。 您也可以使用 Microsoft Entra 權利管理來設定管理外部使用者存取權的原則。 現在藉由使用自助登入使用者流程,您便能允許外部使用者自行登入應用程式。 您可以自訂這項體驗,以允許使用工作、學校或社交身分識別 (例如 Google 或 Facebook) 註冊。 您也可以在登入流程期間收集使用者的相關資訊。

下列清單會識別範例 B2B 共同作業案例,並詳細說明其所提供的一些功能:

  • 主要案例:使用 Microsoft 應用程式 (Microsoft 365、Teams 等) 或您自己的應用程式 (SaaS 應用程式、自訂開發的應用程式等) 進行共同作業。
  • 目的:與來自外部組織 (例如供應商、合作夥伴、廠商) 的商業合作夥伴共同作業。 使用者會在您的目錄中會顯示為來賓使用者。
  • 支援的識別提供者:外部使用者可以使用工作帳戶、學校帳戶、任何電子郵件地址、SAML 和以 WS-Fed 為基礎的身分識別提供者、Gmail 和 Facebook 共同作業。
  • 外部使用者管理:外部使用者與員工都在相同的目錄中進行管理,但系統會特別註記為來賓使用者。 管理來賓使用者的方式與員工相同,也可以新增到相同的群組。
  • 單一登入 (SSO):支援 SSO 至所有與 Microsoft Entra 連線的應用程式。 舉例來說,您可以提供 Microsoft 365 或內部部署應用程式的存取權,或者是其他 SaaS 應用程式的存取權,例如 Salesforce 或 Workday。
  • 安全性原則與合規性:由主控/邀請組織管理 (例如,使用條件式存取原則)。
  • 商標:使用主控/邀請組織的品牌。

在 Microsoft Entra ID 中管理外部共同作業設定

本單元說明如何啟用 Microsoft Entra B2B 共同作業。 然後,我們會探索可以指定誰能邀請來賓的能力,並判斷來賓擁有的權限。

根據預設,您目錄中的所有使用者和來賓皆能邀請來賓,無論其是否指派至系統管理員角色。 外部共同作業設定可讓您針對組織中不同類型的使用者,開啟或關閉來賓邀請。 您也可以指派允許個人邀請來賓的角色,將邀請委派給個別使用者。

Microsoft Entra ID 可讓您限制外部來賓使用者可以在 Microsoft Entra 目錄中看到的內容。 根據預設,來賓使用者會被授與有限的權限層級。 來賓遭到封鎖,無法列出使用者、群組或其他目錄資源,但來賓可以看到非隱藏群組的成員資格。 系統管理員可以變更來賓權限設定,讓您進一步限制來賓存取權,讓來賓只能檢視自己的設定檔資訊。 如需詳細資訊,請參閱限制來賓存取許可權

設定企業對企業外部共同作業設定

租用戶管理員可以使用 Microsoft Entra B2B (企業對企業) 共同作業來設定下列邀請原則:

  • 關閉邀請 (無法邀請外部使用者)
  • 只有來賓邀請者角色中的管理員和使用者可以邀請 (只有來賓邀請者角色中的管理員和使用者可以邀請)
  • 管理員、來賓邀請者角色和成員可以邀請 (與上述設定相同,但受邀的成員也可以邀請外部使用者)
  • 包括來賓在內的所有使用者都可以邀請 (顧名思義,租用戶中的所有使用者皆可邀請外部使用者)

根據預設,所有使用者 (包含來賓) 皆能邀請來賓使用者。