這些有關 Azure Active Directory (Azure AD) 企業對企業 (B2B) 共同作業的常見問題集 (FAQ) 會定期更新來包含新的主題。
重要
- 從 2021 年 1 月 4 日開始,Google 淘汰了 WebView 登入支援。 如果您使用 Google 同盟或 Gmail 的自助式註冊,建議您測試您企業營運原生應用程式的相容性。
- 我們開始推出變更,為所有現有的租用戶開啟電子郵件一次性密碼功能,並為新租用戶預設啟用。 我們會啟用電子郵件一次性密碼功能,因為這能為您的來賓使用者提供順暢的後援驗證方法。 但是,如果您不想讓這項功能自動開啟,可以將其停用。 我們即將在 B2B 共同作業邀請兌換期間停止建立新的非受控 (「病毒式」) Azure AD 帳戶和租用戶。
是否可以自訂登入頁面,讓我們的 B2B 共同作業來賓使用者感到更直覺式?
當然,請參閱關於此功能的部落格文章。 如需有關如何自訂組織登入頁面的詳細資訊,請參閱將公司商標新增至登入和存取面板頁面。
B2B 共同作業的使用者可以存取 SharePoint Online 和 OneDrive 嗎?
可以。 不過,在 SharePoint Online 中使用人員選擇器搜尋現有來賓使用者的功能,預設為關閉。 若要開啟搜尋現有來賓使用者的選項,請將 ShowPeoplePickerSuggestionsForGuestUsers 設定為 On。 您可以在租用戶等級或網站集合等級開啟這項設定。 您可以使用 Set-SPOTenant 和 Set-SPOSite Cmdlet 變更此設定。 透過這些 Cmdlet,成員可以搜尋目錄中所有現有的來賓使用者。 租用戶範圍中的變更不會影響已佈建的 SharePoint Online 網站。
是否仍支援 CSV 上傳功能?
可以。 如需有關使用 .csv 檔案上傳功能的詳細資訊,請參閱這個 PowerShell 範例。
如何自訂我的邀請電子郵件?
您可以使用 B2B 邀請 API 自訂關於邀請者程序的幾乎一切事項。
來賓使用者是否可以重設多重要素驗證方法?
是的。 就像一般使用者一樣,來賓使用者集也可以重設多重要素驗證方法。
哪個組織負責多重要素驗證授權?
邀請方組織執行多重要素驗證。 邀請方組織必須確定組織有足夠的授權給使用多重要素驗證的 B2B 使用者。
如果夥伴組織已設定多重要素驗證呢? 我們可以信任他們的多重要素驗證嗎?
跨租用戶存取設定也可以讓您信任來自其他 Azure AD 組織的多重要素驗證和裝置宣告 (符合規範的宣告及混合式 Azure AD 聯結宣告)。
我可以在跨租用戶存取設定中新增多少個組織?
跨租用戶存取設定是目錄中的原則,可儲存您如何與其他組織共同作業的設定。 此原則檔案有 25kb 的大小限制,一旦達到上限,其他組織就無法進行變更來進一步增加檔案大小。 由於我們在此原則中儲存內容的方式,您無法在跨租用戶存取設定中新增任何已定義的組織限制。 如果您需要將設定套用至大量組織,建議您將這些設定當作預設設定實作。 請遵循步驟來計算原則的目前大小,並判斷您是否快要達到 25kb 檔案大小限制。
我如何使用延遲的邀請?
組織可能想要新增 B2B 共同作業使用者,依需要將他們佈建至應用程式,然後送出邀請。 您可以使用 B2B 共同作業邀請 API 自訂登入工作流程。
能否在 Exchange 全域通訊清單中顯示來賓使用者?
是的。 根據預設,來賓物件不會在貴組織的全域通訊清單中顯示,但您可以使用 Azure Active Directory PowerShell 讓其顯示。 如需詳細資訊,請參閱 Microsoft 365 個別群組來賓存取文章中的〈將來賓新增至全域通訊清單〉。
我是否可以將來賓使用者設為受限的管理員?
當然。 如需詳細資訊,請參閱將來賓使用者新增至角色。
Azure AD B2B 共同作業是否允許 B2B 使用者存取 Azure 入口網站?
除非使用者獲指派受限的管理員角色,否則 B2B 共同作業使用者不需要存取 Azure 入口網站。 不過,獲指派受限管理員角色的 B2B 共同作業使用者可以存取入口網站。 此外,如果未獲指派其中一個管理員角色的來賓使用者存取入口網站,使用者可能可以存取特定部份的體驗。 來賓使用者角色在目錄中具有某些權限。
我可以封鎖來賓使用者存取 Azure 入口網站嗎?
是,您可以建立條件式存取原則,以阻止所有來賓和外部使用者存取 Azure 入口網站。 當您設定此原則時,請小心避免不慎封鎖成員和管理員的存取權。
- 以安全性系統管理員或條件式存取系統管理員的身分,登入 Azure 入口網站。
- 在 Azure 入口網站中,選取 [Azure Active Directory] 。
- 在 [管理] 底下,選取 [安全性]。
- 在 [保護] 底下,選取 [條件式存取]。 選取 [新增原則]。
- 在 [新增] 頁面的 [名稱] 文字方塊中,輸入原則的名稱 (例如「使來賓無法存取入口網站」)。
- 在 [指派] 底下,選取 [使用者和群組] 。
- 在 [包含] 索引標籤上,選擇 [選取使用者與群組],然後選取 [所有來賓與外部使用者 (預覽)]。
- 選取 [完成] 。
- 在 [新增] 頁面的 [指派] 區段中,選取 [雲端應用程式或動作]。
- 在 [雲端應用程式或動作] 頁面上,選擇 [選取應用程式],然後選擇 [選取]。
- 在 [選取] 頁面上,選擇 [Microsoft Azure 管理] ,然後選擇 [選取] 。
- 在 [雲端應用程式或動作] 頁面上,選取 [完成]。
Azure AD B2B 共同作業是否支援多重要素驗證和取用者電子郵件帳戶?
是的。 Azure AD B2B 共同作業支援多重要素驗證和取用者電子郵件帳戶。
您是否支援 Azure AD B2B 共同作業使用者的密碼重設?
如果您的 Azure AD 租用戶是使用者的主目錄,您可以從 Azure 入口網站重設使用者密碼。 但您無法直接重設使用由其他 Azure AD 目錄或外部身分識別提供者所管理的帳戶進行登入的來賓使用者的密碼。 只有來賓使用者或使用者主目錄中的系統管理員可以重設密碼。 以下是一些如何重設來賓使用者密碼的範例:
Azure AD 租用戶中標示為 "Guest" (UserType==Guest) 的來賓使用者,無法透過 https://aka.ms/ssprsetup 註冊 SSPR。 這些類型的來賓使用者只能透過 https://aka.ms/sspr 執行 SSPR。
使用 Microsoft 帳戶 (例如guestuser@live.com) 登入的來賓使用者,可以使用 Microsoft 帳戶自助式密碼重設 (SSPR) 功能重設自己的密碼。 請參閱如何重設 Microsoft 帳戶密碼。
使用 Google 帳戶或其他外部識別提供者來登入的來賓使用者,可以使用其識別提供者的 SSPR 方法來重設自己的密碼。 例如,使用 Google 帳戶 guestuser@gmail.com 的來賓使用者可以依照變更或重設密碼中的指示重設自己的密碼。
如果身分識別租用戶是 Just-in-time (JIT) 或 「病毒式」租用戶 (表示它是獨立、非受控的 Azure 租用戶),只有來賓使用者才能重設自己的密碼。 組織有時會接管病毒式租用戶的管理,這些是員工使用其工作電子郵件地址來註冊服務時所建立的租用戶。 在組織接管病毒式租用戶之後,只有該組織的系統管理員可以重設使用者的密碼或啟用 SSPR。 如有必要,作為發出邀請的組織,您可以從目錄中移除來賓使用者帳戶,並重新傳送邀請。
如果來賓使用者的主目錄是您的 Azure AD 租用戶,您可以重設使用者的密碼。 例如,您可能已建立使用者或從您的內部部署 Active Directory 同步使用者,並將他們的 UserType 設為 Guest。 因為這位使用者位於您的主目錄中,所以您可以從 Azure 入口網站重設其密碼。
Microsoft Dynamics 365 是否提供 Azure AD B2B 共同作業的線上支援?
是,Dynamics 365 提供 Azure AD B2B 共同作業的線上支援。 如需詳細資訊,請參閱 Dynamics 365 文章透過 Azure Active Directory B2B 共同作業邀請使用者。
什麼是新建立的 B2B 共同作業使用者之初始密碼存留期?
Azure AD 有一組固定的字元、密碼強度,以及帳戶鎖定需求,可同樣適用於所有 Azure AD 雲端使用者帳戶。 雲端使用者帳戶是不與其他身分識別提供者聯盟的帳戶,例如
- Microsoft 帳戶
- Active Directory Federation Services
- 其他雲端租用戶 (適用於 B2B 共同作業)
針對同盟帳戶,密碼原則取決於內部部署租用中套用的原則,以及使用者的 Microsoft 帳戶設定。
組織可能想要在其應用程式中讓租用戶使用者和來賓使用者有不同的體驗。 有適用於此案例的標準指引嗎? 識別提供者宣告的存在是否為應使用的正確模型?
來賓使用者可以使用任何識別提供者進行驗證。 如需詳細資訊,請參閱 B2B 共同作業使用者的屬性。 使用 UserType 屬性來決定使用者體驗。 權杖中目前不包含 UserType 宣告。 應用程式應該使用 Microsoft Graph API 來查詢目錄中的使用者及取得 UserType。
哪裡可以找到 B2B 共同作業社群,以分享解決方案和提交構想?
我們會時常聆聽您對改進 B2B 共同作業的意見反應。 請分享您的使用者案例、最佳做法,以及您喜歡 Azure AD B2B 共同作業的什麼功能。 請前往 Microsoft 技術社群參與討論。
我們也邀請您前往 B2B 共同作業構想提交您的構想和票選未來的功能。
我們是否可以傳送自動兌換的邀請,讓使用者「隨時出發」? 還是使用者一定要按一下才能前往兌換 URL?
您可以使用 UI、PowerShell 指令碼或 API,邀請夥伴組織中的其他使用者。 然後,您可以將共用應用程式的直接連結傳送給來賓使用者。 在大部分情況下,不再需要開啟電子郵件邀請,然後按一下兌換 URL。 請參閱 Azure Active Directory B2B 共同作業邀請兌換。
當受邀的合作夥伴使用同盟來新增自己的內部部署驗證時,B2B 共同作業如何運作?
如果合作夥伴具有與內部部署驗證基礎結構同盟的 Azure AD 租用戶,就會自動達成內部部署單一登入 (SSO)。 如果合作夥伴沒有 Azure AD 租用戶,則系統會為新的使用者建立 Azure AD 帳戶。
我以為 Azure AD B2B 不接受 gmail.com 和 outlook.com 電子郵件地址,而 B2C 用於這些類型的帳戶?
在支援哪些身分識別這方面,我們將會消除 B2B 與企業對消費者 (B2C) 共同作業之間的差異。 使用的身分識別並不是用來選擇要使用 B2B 或 B2C 的好理由。 如需有關選擇協同作業選項的資訊,請參閱比較 Azure Active Directory 的 B2B 共同作業和 B2C。
是否可將 Azure AD B2C 本機帳戶邀請到 Azure AD 租用戶以進行 B2B 共同作業?
不可以。 Azure AD B2C 本機帳戶只能用來登入 Azure AD B2C 租用戶。 該帳戶無法用來登入 Azure AD 的租用戶。 不支援將 Azure AD B2C 本機帳戶邀請到 Azure AD 租用戶進行 B2B 共同作業。
哪些應用程式和服務支援 Azure B2B 來賓使用者?
所有與 Azure AD 整合的應用程式都能支援 Azure B2B 來賓使用者,但必須使用設定為租用戶的端點來驗證來賓使用者。 您可能也需要在使用者向應用程式驗證時所發出的 SAML 權杖中自訂宣告。
如果合作夥伴沒有多重要素驗證,我們是否可以對 B2B 來賓使用者強制執行多重要素驗證?
可以。 如需詳細資訊,請參閱 B2B 共同作業使用者的條件式存取。
在 SharePoint 中,您可以針對外部使用者定義「允許」或「拒絕」清單。 這在 Azure 中辦得到嗎?
是的。 Azure AD B2B 共同作業支援允許清單和封鎖清單。
我們需要哪些使用權才能使用 Azure AD B2B?
若要了解您的組織需具備哪些授權才能使用 Azure AD B2B,請參閱外部身分識別定價。
如果我邀請電子郵件和 UPN 不相符的使用者,會發生什麼事?
要看情況而定。 根據預設,Azure AD 只允許 UPN 用於登入識別碼。 當 UPN 和電子郵件相同時,Azure AD B2B 邀請和後續登入會如預期般運作。 不過,當使用者的電子郵件和 UPN 不相符時,就會發生問題,並使用電子郵件而非 UPN 登入。 使用非 UPN 電子郵件邀請使用者時,如果使用者使用電子郵件邀請連結兌換,他們就能夠兌換邀請,但透過直接連結的兌換將會失敗。 不過,即便使用者成功兌換邀請,使用非 UPN 電子郵件的後續登入嘗試仍會失敗,除非識別提供者 (Azure AD 或同盟識別提供者) 設定為允許電子郵件作為替代登入識別碼。 減輕這個問題的方法有:
- 在受邀/住家 Azure AD 租用戶中啟用電子郵件作為替代登入識別碼
- 如果 Azure AD 與另一個識別提供者同盟,請啟用同盟識別提供者以支援電子郵件作為登入識別碼,或
- 指示使用者使用其 UPN 兌換/登入。
若要完全避免此問題,系統管理員應確保使用者的 UPN 和電子郵件具有相同的值。
即時:什麼會導致複寫延遲?
在 B2B 共同作業流程中,我們會新增使用者到目錄中,並在邀請兌換與應用程式指派等期間動態更新它們。 更新與寫入通常會在一個目錄執行個體中進行,而且必須複寫到所有執行個體。 在所有執行個體都更新後,複寫作業便已完成。 有時,在某個執行個體中寫入或更新物件,但另一個執行個體呼叫擷取此物件時,就會發生複寫延遲問題。 如果發生該情況,請重新整理或重試來提供幫助。 如果您正在使用我們的 API 來撰寫應用程式,則採用某種讓步來重試是可減輕此問題的良好防禦性做法。