設定外部共同作業設定

  • 發行項

外部共同作業設定可讓您指定組織中哪些角色可以邀請外部用戶進行 B2B 共同作業。 這些設定也包含允許 或封鎖特定網域的選項,以及限制外部來賓使用者可以在 Microsoft Entra 目錄中看到的選項。 下列是可用的選項:

  • 判斷來賓使用者存取權:Microsoft Entra 外部 ID 可讓您限制外部來賓用戶可以在 Microsoft Entra 目錄中看到的內容。 例如,您可以限制來賓使用者的群組成員資格檢視,或只允許來賓檢視自己的配置檔資訊。

  • 指定誰可以邀請來賓:根據預設,組織中的所有使用者,包括 B2B 共同作業來賓使用者,可以邀請外部使用者加入 B2B 共同作業。 如果您想要限制傳送邀請的能力,您可以開啟或關閉每個人的邀請,或限制特定角色的邀請。

  • 透過使用者流程啟用來賓自助式註冊:針對您所建置的應用程式,您可以建立使用者流程,讓使用者註冊應用程式並建立新的來賓帳戶。 您可以在外部共同作業設定中啟用此功能,然後將 自助式註冊使用者流程新增至您的應用程式

  • 允許或封鎖網域:您可以使用共同作業限制來允許或拒絕您指定的網域邀請。 如需詳細資訊,請參閱 允許或封鎖網域

針對與其他 Microsoft Entra 組織的 B2B 共同作業,您也應該檢閱 跨租使用者存取設定 ,以確保您的輸入和輸出 B2B 共同作業和範圍存取特定使用者、群組和應用程式。

對於執行跨租使用者登入的 B2B 共同作業終端使用者,即使未指定自定義商標,也會顯示其主租用戶商標。 在下列範例中,Woodgrove Groceries 的公司商標會出現在左側。 右側的範例會顯示使用者主租用戶的默認商標。

Screenshots showing a comparison of the branded sign-in experience and the default sign-in experience.

在入口網站中設定設定

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

  1. 以至少外部識別提供者系統管理員身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [身分識別外部身分>識別外部共同作業>設定]。

  3. 在 [來賓使用者存取] 下,選擇您想要來賓用戶擁有的存取層級:

    Screenshot showing Guest user access settings.

    • 來賓使用者具有與成員相同的存取權(最多包含):此選項可讓來賓存取與成員使用者相同的 Microsoft Entra 資源和目錄數據。

    • 來賓使用者只能存取目錄對象的屬性和成員資格:(預設值) 此設定會封鎖特定目錄工作的來賓,例如列舉使用者、群組或其他目錄資源。 來賓可以看到所有非隱藏群組的成員資格。 深入了解預設來賓許可權

    • 來賓使用者存取限制為自己的目錄對象的屬性和成員資格(限制最嚴格):使用此設定,來賓只能存取自己的配置檔。 不允許來賓查看其他使用者的配置檔、群組或群組成員資格。

  4. 在 [來賓邀請設定] 下,選擇適當的設定:

    Screenshot showing Guest invite settings.

    • 組織中的任何人都可以邀請來賓使用者,包括來賓和非系統管理員(最具包容性):若要允許組織中的來賓邀請其他來賓,包括非組織成員的使用者,請選取此單選按鈕。
    • 指派給特定系統管理員角色的成員使用者和使用者可以邀請來賓使用者,包括具有成員許可權的來賓:若要允許具有特定系統管理員角色的成員使用者和使用者邀請來賓,請選取此單選按鈕。
    • 只有指派給特定系統管理員角色的使用者可以邀請來賓使用者:若要只允許具有系統管理員角色的使用者邀請來賓,請選取此單選按鈕。 系統管理員角色包括 Global 管理員 istrator、User 管理員 istratorGuest Inviter
    • 組織中沒有人可以邀請來賓使用者,包括系統管理員(最嚴格):若要拒絕組織中的所有人邀請來賓,請選取此單選按鈕。

  5. 如果您想要能夠建立讓用戶註冊應用程式的使用者流程,請在 [啟用來賓自助式註冊] 下,選取 [是]。 如需此設定的詳細資訊,請參閱 將自助式註冊使用者流程新增至應用程式

    Screenshot showing Self-service sign up via user flows setting.

  6. 在 [外部使用者離開設定] 下,您可以控制外部使用者是否可以從組織移除自己。

    • :用戶可以未經系統管理員或隱私權聯繫人的核准,自行離開組織。
    • :用戶無法離開組織本身。 他們會看到一則訊息,引導他們連絡您的系統管理員或隱私權聯繫人,以要求從您的組織移除。

    重要

    只有當您已將隱私權資訊新增至 Microsoft Entra 租使用者時,才可以設定外部使用者離開設定。 否則,將無法使用此設定。

    Screenshot showing External user leave settings in the portal.

  7. 在 [ 共同作業限制] 底下,您可以選擇是否允許或拒絕您指定之網域的邀請,並在文本框中輸入特定功能變數名稱。 針對多個網域,請在新行輸入每個網域。 如需詳細資訊,請參閱 允許或封鎖來自特定組織的 B2B 用戶邀請。

    Screenshot showing Collaboration restrictions settings.

使用 Microsoft Graph 設定設定

您可以使用 Microsoft Graph API 來設定外部共同作業設定:

  • 針對 來賓使用者存取限制來賓邀請限制,請使用 authorizationPolicy 資源類型。
  • 針對 [ 透過使用者流程 啟用來賓自助式註冊] 設定,請使用 authenticationFlowsPolicy 資源類型。
  • 針對電子郵件一次性密碼設定(現在在 Microsoft Entra 系統管理中心的 [所有識別提供者 ] 頁面上,請使用 emailAuthenticationMethodConfiguration 資源類型。

將來賓邀請者角色指派給使用者

使用來賓邀請者角色,您可以為個別使用者提供邀請來賓的能力,而不需指派全域 管理員 istrator 或其他系統管理員角色。 具有來賓邀請者角色的使用者即使 [只有指派給特定系統管理員角色的使用者可以邀請來賓使用者] 選項(在 [來賓邀請設定] 下也能夠邀請來賓使用者時,也能邀請來賓。

以下範例示範如何使用 Microsoft Graph PowerShell 將使用者新增至 Guest Inviter 角色:


Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

B2B 使用者的登入記錄

當 B2B 使用者登入要共同作業的資源租使用者時,會在主租使用者和資源租用戶中產生登入記錄。 這些記錄包括使用的應用程式、電子郵件位址、租使用者名稱和租使用者識別碼,以及主租用戶和資源租用戶的資訊。

下一步

請參閱下列有關 Microsoft Entra B2B 共同作業的文章: