什麼是 Azure Active Directory B2B 中的來賓使用者存取權?

Azure Active Directory (Azure AD) 企業對企業 (B2B) 共同作業是外部身分識別中的一項功能,可讓您邀請來賓使用者與您的組織共同作業。 透過企業對企業 (B2B) 共同作業,您可以與來自任何其他組織的來賓使用者安全地共用公司的應用程式與服務,同時持續控制您公司的資料。 即使沒有 Azure AD 或 IT 部門,也可以安全地與外部合作夥伴 (無論大型或小型) 合作。 透過簡單的邀請和兌換程序,夥伴可以使用自己的認證來存取您的公司資源。 開發人員可以使用 Azure AD 企業對企業 API 來自訂邀請程序,或撰寫自助式註冊入口網站等應用程式。 如需與來賓使用者相關的授權和定價資訊,請參閱Azure Active Directory 外部身分識別定價。

重要

  • 從2021年7月12日開始,如果 Azure AD B2B 客戶設定新的 Google 整合以與自訂或企業營運應用程式的自助式註冊搭配使用,則必須等到驗證移至系統 web 視圖之後,才能使用 google 身分識別進行驗證。 深入了解
  • 2021 年9月30日起,Google 將 淘汰內嵌的 web view 登入支援。 如果您的應用程式是以內嵌的 web 視圖驗證使用者,且您使用 google 同盟搭配Azure AD B2C或 Azure AD B2B 進行外部使用者邀請自助註冊,Google Gmail 使用者將無法進行驗證。 深入了解
  • 2021 年11月1日起,Microsoft 將不再支援藉由為 B2B 共同作業案例建立非受控 Azure AD 帳戶和租使用者來兌換邀請。 屆時,我們將開始推出變更,以針對所有現有的租使用者開啟電子郵件單次密碼功能,並根據預設為新的租使用者啟用。 如果您不想要讓這項功能自動開啟,您可以將 它停用。

使用他們的身分識別與任何夥伴共同作業

使用 Azure AD B2B,夥伴可使用自己的身分識別管理解決方案,因此您的組織不會產生外部系統管理額外負荷。 來賓使用者使用自己的公司、學校或社交身分識別登入您的應用程式與服務。

  • 夥伴使用他們自己的身分識別與認證;Azure AD 不是必需的。
  • 您不需要管理外部帳戶或密碼。
  • 您不需要同步處理帳戶或管理帳戶的生命週期。

從 Azure AD 入口網站輕鬆地邀請來賓使用者

系統管理員可以在 Azure 入口網站中輕鬆地將來賓使用者新增到您的組織。

  • 在 Azure AD 中建立新的來賓使用者,類似於加入新使用者的方式。
  • 將來賓使用者指派給應用程式或群組。
  • 傳送包含兌換連結的邀請電子郵件,也可以傳送您要共用之應用程式的直接連結。

顯示 [新增來賓使用者] 進入頁面的螢幕擷取畫面

  • 來賓使用者只需幾個簡單的兌換步驟即可登入。

顯示 [檢閱權限] 頁面的螢幕擷取畫面

使用原則來安全地共用您的應用程式與服務

您可以使用授權原則保護您的公司內容。 可以強制執行條件式存取原則,例如多重要素驗證:

  • 在租用戶層級。
  • 在應用程式層級。
  • 針對特定來賓使用者來保護公司應用程式與資料。

顯示 [條件式存取] 選項的螢幕擷取畫面

讓應用程式與群組擁有者管理自己的來賓使用者

您可以將來賓使用者管理委派給應用程式擁有者,讓他們可以將來賓使用者直接新增到他們想要共用的任何應用程式,無論它是否為 Microsoft 應用程式。

  • 系統管理員可設定自助式應用程式與群組管理。
  • 非系統管理員必須使用其存取面板將來賓使用者新增到應用程式或群組。

顯示來賓使用者存取面板的螢幕擷取畫面

自訂 B2B 來賓使用者的上線體驗

讓您的外部合作夥伴以針對您組織需求量身打造的方式上線使用。

與識別提供者整合

Azure AD 支援 Facebook、Microsoft 帳戶、Google 或企業識別提供者之類的外部識別提供者。 您可以設定與識別提供者的同盟,以便外部使用者使用其現有社交或企業帳戶進行登入,而不只是為您的應用程式建立新的帳戶。 深入瞭解 外部身分識別的身分識別提供者

顯示 [識別提供者] 頁面的螢幕擷取畫面

建立自助註冊使用者流程

透過自助式註冊使用者流程,您可以為想要存取您應用程式的外部使用者建立註冊體驗。 在註冊流程中,您可以為不同的社交或企業識別提供者提供選項,並收集使用者的相關資訊。 了解自助式註冊及如何進行設定

您也可以使用 API 連接器,將您的自助式註冊使用者流程與外部雲端系統整合。 您可以使用自訂核准工作流程進行連線、執行身分識別驗證、驗證使用者提供的資訊等等。

顯示使用者流程頁面的螢幕擷取畫面

後續步驟