Azure Active Directory B2B 共同作業使用者的屬性
B2B 共同作業是 Azure AD 外部身分識別的功能,可讓您與組織外部的使用者和合作夥伴共同作業。 使用 B2B 共同作業時,會邀請外部使用者利用自己的認證登入您的 Azure AD 組織。 接下來,此 B2B 共同作業使用者便可以存取您想要與他們共用的應用程式和資源。 系統會在與您的員工相同的目錄中,為 B2B 共同作業使用者建立使用者物件。 在您的目錄中,B2B 共同作業使用者物件的權限預設為有限,而且可以像員工一樣受到管理、新增至群組等等。 本文討論這個使用者物件的屬性,以及其管理的方式。
下表根據 B2B 共同作業使用者在內部或外部的驗證,以及與您的組織 (來賓或成員) 之間的關聯性,說明 B2B 共同作業使用者的運作方式。
- 外部來賓:通常被視為外部使用者或來賓的大部分使用者都屬於此類別。 此 B2B 共同作業使用者具有外部 Azure AD 組織或外部身分識別提供者 (例如社交身分識別) 的帳戶,他們在您資源組織中具有來賓層級的權限。 在資源 Azure AD 目錄中建立的使用者物件具有來賓 UserType。
- 外部成員:此 B2B 共同作業使用者具有外部 Azure AD 組織或外部身分識別提供者 (例如社交身分識別) 的帳戶,以及您組織中成員層級的資源存取權。 此案例在由多個租用戶所組成的組織中很常見,其中使用者被視為較大型組織的一部分,而且對組織其他租用戶中的資源需要成員層級的存取權。 在資源 Azure AD 目錄中建立的使用者物件具有成員 UserType。
- 內部來賓:在 Azure AD B2B 共同作業可供使用之前,您通常會與經銷商、供應商、廠商和其他人共同作業,方法是設定其內部認證,並透過設定使用者物件 UserType 將其指定為來賓。 如果您有像這樣的內部來賓使用者,您可以邀請他們改用 B2B 共同作業,讓他們可以使用自己的認證,允許其外部識別提供者管理驗證及其帳戶生命週期。
- 內部成員:這些使用者通常視為組織的員工。 使用者會透過 Azure AD 進行內部驗證,而資源 Azure AD 目錄中所建立的使用者物件具有成員的 UserType。
重要
我們開始推出變更,為所有現有的租用戶開啟電子郵件一次性密碼功能,並為新租用戶預設啟用。 我們會啟用電子郵件一次性密碼功能,因為這能為您的來賓使用者提供順暢的後援驗證方法。 但是,如果您不想讓這項功能自動開啟,可以將其停用。 我們即將在 B2B 共同作業邀請兌換期間停止建立新的非受控 (「病毒式」) Azure AD 帳戶和租用戶。
兌換邀請
現在,讓我們來看看 Azure AD B2B 共同作業使用者在 Azure AD 中的外觀。
邀請兌換之前
邀請來賓使用者利用自有認證來進行共同作業後,就會產生 B2B 共同作業使用者帳戶。 初次傳送邀請給來賓使用者時,您的租用戶中就會建立帳戶。 此帳戶沒有任何與其相關聯的認證,因為驗證會由來賓使用者的識別提供者來執行。 您目錄中的來賓使用者帳戶的 [憑證簽發者] 屬性,在來賓兌換其邀請前會設定為主機的組織網域。 在入口網站中,受邀使用者的 Azure AD 入口網站設定檔中的 [邀請已接受] 內容會設為 [否],且使用 Microsoft Graph API 查詢 externalUserState 將會傳回 Pending Acceptance。
邀請兌換之後
在 B2B 共同作業使用者接受邀請之後,[憑證簽發者] 屬性會根據使用者的識別提供者來進行更新。
如果 B2B 共同作業使用者使用來自另一個 Azure AD 組織的認證,則 [憑證簽發者] 為 [外部 Azure AD]。
如果 B2B 共同作業使用者使用來自另一個外部識別提供者的 Microsoft 帳戶或認證,[憑證簽發者] 會反映身分識別提供者,例如 Microsoft 帳戶、google.com 或 facebook.com。
針對使用內部認證的外部使用者,[憑證簽發者] 屬性會設定為主機的組織網域。 如果帳戶是在組織的內部部署 Active Directory 中,並與 Azure AD 同步,則此 [同步處理的目錄] 屬性為 [是],如果帳戶為僅限於雲端的 Azure AD 帳戶,則此屬性為 [否]。 目錄同步資訊也可以透過 Microsoft Graph 中的 onPremisesSyncEnabled 屬性取得。
Azure AD B2B 共同作業使用者的金鑰屬性
使用者主體名稱
B2B 共同作業使用者物件的使用者主體名稱包括 #EXT# 識別碼。
使用者類型
此屬性會指出使用者與主機租用的關聯性。 此屬性可以包含兩個值:
成員︰此值表示主機組織的員工,以及由組織支薪的使用者。 例如,這位使用者要能夠存取僅供內部使用的網站。 這位使用者不會被認為是外部共同作業人員。
來賓:這個值表示不會被視為公司內部的使用者,例如外部共同作業者、合作夥伴或客戶。 這類使用者不會收到執行長的內部備忘,或收到公司權益等。
注意
UserType 與使用者登入的方式、使用者的目錄角色等等無關。 此屬性只是表示使用者與主機組織的關聯性,並可讓組織強制執行此屬性的相依原則。
Issuer
這個屬性表示使用者的主要身分識別提供者。 使用者可以有數個身分識別提供者,可透過在使用者的設定檔中選取憑證簽發者,或透過 Microsoft Graph API 查詢 onPremisesSyncEnabled 屬性來予以查看。
注意
憑證簽發者 和 UserType 是獨立的屬性。 憑證簽發者的值不代表特定的 UserType 值
| 憑證簽發者屬性值 | 登入狀態 |
|---|---|
| 外部 Azure AD | 此使用者位於外部組織,並使用屬於其他組織的 Azure AD 帳戶進行驗證。 |
| Microsoft 帳戶 | 此使用者位於 Microsoft 帳戶,並使用 Microsoft 帳戶進行驗證。 |
| {主機的網域} | 此使用者會使用屬於此組織的 Azure AD 帳戶進行驗證。 |
| google.com | 此使用者具有 Gmail 帳戶,並已使用自助服務向另一個組織註冊。 |
| facebook.com | 此使用者具有 Facebook 帳戶,並已使用自助服務向另一個組織註冊。 |
| 此使用者的電子郵件地址不符合已驗證的 Azure AD 或 SAML/WS-Fed 網域,且不是 Gmail 位址或 Microsoft 帳戶。 | |
| 電話 | 此使用者的電子郵件地址不符合已驗證的 Azure AD 或 SAML/WS-Fed 網域,且不是 Gmail 位址或 Microsoft 帳戶。 |
| {憑證簽發者 URI} | 此使用者位於外部組織,未使用 Azure Active Directory 做為其身分識別提供者,而是使用以 SAML/WS-Fed 為基礎的識別提供者。 按一下 [憑證簽發者] 欄位時,系統就會顯示 [憑證簽發者 URI]。 |
同步處理的目錄
[已同步作業的目錄] 屬性會顯示使用者是否已經與內部部署 Active Directory 同步,而且會在內部部署中進行驗證。 如果帳戶是在組織的內部部署 Active Directory 中,並與 Azure AD 同步,則此屬性為 [是],如果帳戶是僅限於雲端的 Azure AD 帳戶,則此屬性為 [否]。 在 Microsoft Graph 中,同步處理的目錄屬性會對應到 onPremisesSyncEnabled。
Azure AD B2B 使用者是否可新增為成員而非來賓?
一般而言,Azure AD B2B 使用者和來賓使用者的意義相同。 因此,Azure AD B2B 共同作業使用者根據預設是將 UserType 的使用者設為 [來賓]。 不過,在某些情況下,合作夥伴組織是主機組織也所屬之較大組織的成員。 若是如此,主機組織可能會將合作夥伴組織中的使用者視為成員而非來賓。 使用 Azure AD B2B 邀請管理員 API 來從夥伴組織新增或邀請使用者至主機組織作為成員。
篩選目錄中的來賓使用者
轉換 UserType
您可以藉由編輯 Azure 入口網站中的使用者設定檔,或使用 PowerShell,將 UserType 從成員轉換成來賓,反之亦然。 不過,UserType 屬性會代表使用者與組織的關聯性。 因此,只有在使用者與組織的關聯性變更時,才應該變更此屬。 如果使用者的關聯性變更,是否應該變更使用者主體名稱 (UPN)? 使用者是否應該繼續存取相同的資源? 是否應指派信箱?
移除來賓使用者限制
在某些情況下,您要提供來賓使用者更高的權限。 您可以將來賓使用者新增至任何角色,甚至移除目錄中預設的來賓使用者限制,為使用者提供與成員相同的權限。
可以關閉預設限制,如此公司目錄中的來賓使用者就有與成員使用者相同的權限。
能否在 Exchange 全域通訊清單中顯示來賓使用者?
可以。 根據預設,來賓物件不會在貴組織的全域通訊清單中顯示,但您可以使用 Azure Active Directory PowerShell 讓其顯示。 如需詳細資訊,請參閱 Microsoft 365 個別群組來賓存取文章中的「將來賓新增至全域通訊清單」。
我可以更新來賓使用者的電子郵件地址嗎?
如果來賓使用者接受您的邀請,且後續變更其電子郵件地址,則新的電子郵件不會自動同步至您目錄中的來賓使用者物件。 郵件屬性是透過 Microsoft Graph API 建立。 您可以透過 Microsoft Graph API、Exchange 系統管理中心,或者 Exchange Online PowerShell 來更新郵件屬性。 變更將會反映在 Azure AD guest 使用者物件中。