在 Microsoft Entra ID 中管理外部使用者帳戶
Microsoft Entra B2B 同步作業使用者是以來賓使用者的身分新增至目錄,而且目錄中的來賓權限預設會受到限制。 您的企業可能需要某些來賓使用者在組織中擔負較高權限的角色。 若要支援定義較高權限的角色,您可以根據組織的需求,將來賓使用者新增至所需的任何角色。
將 B2B 使用者新增至角色
Microsoft 建議組織使用最低許可權的規則。 您可以使用 Privileged Identity Management (PIM) 來授與 B2B/來賓使用者的存取權。
Microsoft Entra B2B 共同作業使用者的主要屬性
UserType
此屬性指出使用者與主機租用戶的關聯性。 此屬性可以包含兩個值:
成員:此值表示主機組織的員工和組織薪資的使用者。 例如,此使用者應該能夠存取僅供內部使用的網站。 此使用者不會被視為外部共同作業者。
來賓:此值表示不會被視為公司內部的使用者,例如外部共同作業者、合作夥伴或客戶。 這類使用者不應該收到執行長的內部備忘,或收到公司權益等。
注意
[使用者類型] 與使用者的登入方式、使用者的目錄角色等無關。 此屬性只會表示使用者與主機組織的關聯性,並可讓組織強制執行相依於此屬性的原則。
身分識別
這個屬性表示使用者的主要識別提供者。 使用者可以使用數個識別提供者,在使用者設定檔中選取 [身分識別] 旁的連結可檢視識別提供者,或透過 Microsoft Graph API 查詢 Identities 屬性。
| Identities 屬性值 | 登入狀態 |
|---|---|
| 外部 Microsoft Entra 租用戶 | 此使用者位於外部組織,並使用屬於其他組織的 Microsoft Entra 帳戶進行驗證。 |
| Microsoft 帳號 | 此使用者位於 Microsoft 帳戶,並使用 Microsoft 帳戶進行驗證。 |
| {主機的網域} | 此使用者會使用屬於此組織的 Microsoft Entra 帳戶進行驗證。 |
| google.com | 此使用者具有 Gmail 帳戶,且已使用自助功能來註冊其他組織。 |
| facebook.com | 此使用者具有 Facebook 帳戶,且已使用自助功能來註冊其他組織。 |
| 郵件 | 此使用者已使用 Microsoft Entra 電子郵件一次性密碼 (OTP) 註冊。 |
| {簽發者 URI} | 此使用者位於未使用 Microsoft Entra ID 作為其識別提供者的外部組織 (但是改用 SAML/WS-Fed 型識別提供者)。 |
Microsoft Entra B2B 使用者是否可新增為成員而非來賓?
一般而言,Microsoft Entra B2B 使用者與來賓使用者為同義字。 因此,Microsoft Entra B2B 共同作業使用者預設會新增為 [UserType = 來賓] 的使用者。 不過,在某些情況下,夥伴組織是主機組織同屬較大型組織的成員。 在此情況下,主機組織可能會想要將夥伴組織中的使用者視為成員而非來賓。 使用 Microsoft Entra 使用者屬性,將來賓變更為成員。
篩選目錄中的來賓使用者
轉換使用者類型
您可以使用 PowerShell,將 [使用者類型] 從 [成員] 轉換成 [來賓],反之亦然。 不過,[使用者類型] 屬性代表使用者與組織的關聯性。 因此,只有在使用者與組織的關聯性變更時,才應該變更此屬性。 如果使用者的關聯性變更,是否應該變更使用者主體名稱 (UPN)? 使用者是否應該繼續存取相同的資源? 是否應該指派信箱? 不建議使用 PowerShell 作為不可部分完成的活動來變更 [使用者類型]。 此外,為了避免因使用 PowerShell 而讓此屬性成為不可變屬性,不建議與此值建立相依性。
移除來賓使用者限制
您有時可能想要為來賓使用者提供較高的權限。 您可以將來賓使用者新增至任何角色,甚至是移除目錄中的預設來賓使用者限制,以為使用者提供與成員相同的權限。 您可以關閉預設限制,讓公司目錄中的來賓使用者擁有與成員使用者相同的權限。 在 Microsoft Entra 功能表的 [使用者設定] 中移除限制。
![[使用者設定] 中 [外部使用者] 選項的螢幕擷取畫面。選擇要為外部使用者設定哪些限制。](../../wwl-sci/implement-manage-external-identities/media/remove-guest-limitations-6f8f344d-6a805970.png)
動態群組和 Microsoft Entra B2B 共同作業
什麼是動態群組?
Azure 入口網站允許您動態設定 Microsoft Entra ID 的安全性群組成員資格。 管理員可以設定規則以根據使用者屬性 (例如 userType、部門或國家/地區) 填入在 Microsoft Entra ID 中建立的群組。 在安全性群組中,可以根據成員的屬性而自動新增或移除成員。 這些群組可以提供對應用程式或雲端資源 (SharePoint 網站和文件) 的存取,以及將授權指派給成員。
需要有適當的 Microsoft Entra ID Premium P1 或 P2 授權,才能建立和使用動態群組。