設定外部共同作業設定

  • 文章

外部共同作業設定可讓您指定組織中,有哪些角色具有邀請外部使用者進行 B2B 共同作業的權力。 這些設定選項包含允許或封鎖特定網域,以及限制外部來賓使用者在您 Azure AD 目錄中看到的內容。 可用選項如下:

  • 判斷來賓使用者存取權:Azure AD 可讓您限制外部來賓使用者能在 Azure AD 目錄中看到的內容。 例如,您可以限制來賓使用者檢視群組成員的資格,或只允許來賓檢視自己的設定檔資訊。

  • 指定可以邀請來賓的角色:在預設狀況下,您組織中的所有使用者 (包括 B2B 共同作業來賓使用者),都可以邀請外部使用者進行 B2B 共同作業。 如果您想要限制傳送邀請的功能,您可以為所有人開啟或關閉邀請功能,或限制可以使用邀請功能的角色。

  • 透過使用者流程,啟用來賓自助式註冊:您可以針對您所建立的應用程式,建立使用者流程以允許使用者註冊應用程式,並建立新的來賓帳戶。 您可以在外部共同作業設定中啟用此功能,然後 [將自助式註冊使用者流程新增至您的應用程式]

  • 允許或封鎖網域:您可以透過使用共同作業限制的功能,來允許或拒絕在您指定網域內的邀請。 如需詳細資訊,請參閱允許或封鎖網域

針對其他 Azure AD 組織的 B2B 共同作業,您也應檢閱您的跨租用戶存取設定以確保 B2B 共同作業的輸入與輸出,以及特定使用者、群組和應用程式的範圍存取權。

在入口網站中進行設定

  1. 使用全域系統管理員帳戶登入 [Azure 入口網站],然後開啟 [Azure Active Directory] 服務。

  2. 選取 [外部身分識別]>[外部共同作業設定]。

  3. 在 [來賓使用者存取權] 下方,選擇您希望來賓使用者擁有的存取層級:

    Screenshot showing Guest user access settings.

    • 來賓使用者具有與成員相同的存取權 (最寬鬆):此選項可讓來賓與成員具有相同的 Azure AD 資源和目錄資料存取權。

    • 來賓使用者對目錄物件的屬性和成員資格存取權受到限制:(預設) 這項設定會封鎖來自某些目錄工作的來賓,例如列舉使用者、群組或其他目錄資源。 來賓可以看到所有非隱藏群組的成員資格。 深入瞭解預設來賓權限

    • 來賓使用者存取權僅限於其本身目錄物件的屬性和成員資格 (最受限):使用此設定時,來賓只能存取自己的設定檔。 不允許來賓查看其他使用者的設定檔、群組或群組成員資格。

  4. 在 [來賓邀請設定]下,選擇適當的設定:

    Screenshot showing Guest invite settings.

    • 組織中的任何人都可邀請來賓使用者,包括來賓及非系統管理員 (最寬鬆):若要讓組織中的來賓邀請其他來賓 (包括不是組織的成員),請選取此選項按鈕。
    • 被指派為特定系統管理員角色的成員使用者和使用者,可邀請來賓使用者,包括具有成員權限的來賓:若要讓成員使用者,以及具有特定系統管理員角色的使用者邀請來賓,請選取此選項按鈕。
    • 只有被指派為特定系統管理員角色的使用者可以邀請來賓使用者:若要只允許具有系統管理員角色的使用者邀請來賓,請選取此選項按鈕。 系統管理員角色包含 [全域管理員]、[使用者系統管理員] 及 [來賓邀請者]
    • 組織中沒有任何人可邀請來賓使用者,包括系統管理員 (最受限):若要拒絕讓組織中的所有人邀請來賓,請選取此選項按鈕。

      注意

      如果 [成員可邀請] 設定為 [否],且 [擔任來賓邀請者角色的系統管理員和使用者可邀請] 設定為 [是],則擔任 [來賓邀請者] 角色的使用者仍可邀請來賓。

  5. 如果您想要建立可讓使用者註冊應用程式的使用者流程,請在 [允許來賓透過使用者流程進行自助式註冊]下方,選取 [是]。 如需關於此設定的詳細資訊,請參閱將自助式註冊使用者流程新增至應用程式

    Screenshot showing Self-service sign up via user flows setting.

  6. 在 [共同作業限制]下,您可以選擇是否要允許或拒絕在您指定網域的邀請,並在文字方塊中輸入特定的網域名稱。 若有多個網域,請將每個網域輸入於不同行。 如需詳細資訊,請參閱允許或封鎖對特定組織的 B2B 使用者的邀請

    Screenshot showing Collaboration restrictions settings.

使用 Microsoft Graph 進行設定

您可以使用 Microsoft Graph API 來設定外部共同作業設定:

將來賓邀請者角色指派給使用者

利用來賓邀請者角色,您可賦予個別使用者邀請來賓的能力,而不需對他們指派全域管理員或其他管理員角色。 將來賓邀請者角色指派給個人。 然後確定將 [系統管理員與具備來賓邀請者角色的使用者可邀請] 設定為 [是]。

以下範例顯示如何使用 PowerShell 將使用者新增到「來賓邀請者」角色:

Add-MsolRoleMember -RoleObjectId 95e79109-95c0-4d8e-aee3-d01accf2d47b -RoleMemberEmailAddress <RoleMemberEmailAddress>

B2B 使用者的登入記錄

B2B 使用者登入要共同作業的資源租用戶時,會在主租用戶和資源租用戶中產生登入記錄。 這些記錄包括主租用戶和資源租用戶的資訊,例如所使用應用程式、電子郵件地址、租用戶名稱和租用戶識別碼。

後續步驟

請參閱下列有關 Azure AD B2B 共同作業的文章: