在權利管理中管理已連線的組織
透過權利管理,您可以與組織外部的人員共同作業。 如果您經常與來自特定外部組織的許多使用者共同作業,您可以將這些組織的身分識別來源新增為已連線的組織。 讓已連線的組織簡化來自這些組織的更多人員如何要求存取權。 本文說明如何新增已連線的組織,使您可以讓組織外部的使用者要求您目錄中的資源。
什麼是已連線的組織?
已連線的組織是與您關聯的另一個組織。 為了讓該組織中的使用者能夠存取您的資源 (例如您的 SharePoint Online 網站或應用程式),您需要在該目錄中代表該組織的使用者。 因為在大部分情況下,該組織中的使用者尚未存在於您的 Microsoft Entra 目錄中,所以您可以視需要使用權利管理,將使用者帶入您的 Microsoft Entra 目錄。
如果您想要為任何人提供要求存取的路徑,而且您不確定哪些組織可能來自哪些新使用者,則可以為不在目錄中 的使用者設定 存取套件指派原則。 在該原則中,選取 [所有使用者] 選項 (所有連線的組織 + 任何新的外部使用者]。 如果要求者已核准,且它們不屬於目錄中的已連線組織,系統會自動為其建立連線的組織。
如果您只想要允許來自指定組織的個人要求存取權,請先建立這些已連線的組織。 其次,為 不在目錄中 的使用者設定存取套件指派原則、選取 [特定連線的組織 ] 選項 ,然後選取您建立的組織。
權利管理有四種方式可讓您指定組成已連線組織的使用者。 可能是
- 另一個 Microsoft Entra 目錄中的使用者 (來自任何 Microsoft Cloud),
- 已針對 SAML/WS-Fed 識別提供者 (IdP) 同盟 設定的另一個非 Microsoft 目錄中的使用者,
- 位於另一個非 Microsoft 目錄中的使用者,其電子郵件地址全都具有相同的功能變數名稱,且專屬於該組織,或
- 如果您有與沒有萬用群組織的使用者共同作業,則具有 Microsoft 帳戶的使用者,例如來自網域 live.com 。
例如,假設您在 Woodgrove Bank 工作,而您想要與兩個外部組織共同作業。 您想要為兩個外部組織的使用者提供相同資源的存取權,但這兩個組織有不同的組態:
- Contoso 尚未使用 Microsoft Entra ID。 Contoso 使用者的電子郵件地址結尾 為 contoso.com 。
- 圖形設計研究所使用 Microsoft Entra ID,而且至少有一些使用者具有以 graphicdesigninstitute.com 結尾 的使用者主體名稱。
在此情況下,您可以設定兩個已連線的組織,然後使用一個原則來設定一個存取套件。
- 請確定您已 開啟電子郵件單次密碼 (OTP) 驗證 ,讓尚未屬於 Microsoft Entra 目錄的網域的使用者在要求存取權或稍後存取您的資源時,使用電子郵件一次性密碼進行驗證。 此外,您可能需要設定 Microsoft Entra B2B 外部共同作業設定 ,以允許外部使用者存取。
- 建立 Contoso 的已連線組織。 當您指定網域 contoso.com 時,權利管理會辨識沒有與該網域相關聯的現有 Microsoft Entra 租使用者,而且如果使用者使用 具有 contoso.com 電子郵件地址網域的電子郵件一次性密碼進行驗證,則會辨識來自該已連線組織的使用者。
- 為圖形設計研究所建立另一個連線的組織。 當您指定網域 graphicdesigninstitute.com 時,權利管理會辨識有與該網域相關聯的租使用者。
- 在可讓外部使用者要求的目錄中,建立存取套件。
- 在該存取套件中,為 目錄中尚未 的使用者建立存取套件指派原則。 在該原則中,選取 [特定已連線的組織 ] 選項 ,並指定兩個已連線的組織。 這可讓來自每個組織的使用者使用符合其中一個已連線組織的身分識別來源來要求存取套件。
- 當具有 contoso.com 網域 的使用者主體名稱的外部使用者要求存取套件時,他們會使用電子郵件進行驗證。 此電子郵件網域會符合 Contoso 連線的組織,而且使用者將可要求套件。 要求之後, 外部使用者 存取的運作方式會描述如何邀請 B2B 使用者,並為外部使用者指派存取權。
- 此外,使用來自圖形設計學院租使用者之組織帳戶的外部使用者將會符合圖形設計學院連線的組織,並允許要求存取套件。 而且,由於圖形設計研究所使用 Microsoft Entra ID,因此任何具有主體名稱的使用者,其主要名稱符合另一個 已驗證的網域 ,新增至圖形設計學院租使用者,例如 graphicdesigninstitute.example ,也能夠使用相同的原則來要求存取套件。
來自 Microsoft Entra 目錄或網域驗證的使用者如何取決於驗證類型。 連線組織的驗證類型如下:
- 相同雲端中的 Microsoft Entra 識別碼
- Microsoft Entra ID,在另一個雲端中
- SAML/WS-Fed 識別提供者 (IdP) 同盟
- 一次性密碼 (網域)
- Microsoft 帳戶
如需如何新增已連線組織的示範,請觀看下列影片:
檢視已連線的組織清單
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
必要角色 : 全域管理員istrator 或 Identity Governance 管理員istrator
以至少身 分識別治理管理員istrator 身分登入 Microsoft Entra 系統管理中心 。
流覽至身 分識別治理 > 權利管理 > 連線組織。
在搜尋方塊中,您可以依連線組織的名稱搜尋已連線的組織。 不過,您無法搜尋功能變數名稱。
新增已連線的組織
若要新增外部 Microsoft Entra 目錄或網域做為已連線的組織,請遵循本節中的指示。
必要角色 : 全域管理員istrator 或 Identity Governance 管理員istrator
以至少身 分識別治理管理員istrator 身分登入 Microsoft Entra 系統管理中心 。
流覽至身 分識別治理 > 權利管理 > 連線組織。
在 連線組織 頁面上,選取 [ 新增已連線的組織 ]。
選取 [基本] 索引標籤,然後輸入組織的顯示名稱和描述。
當您建立新的連線組織時,狀態會自動設定為 [已 設定]。 如需已連線組織之狀態屬性的詳細資訊,請參閱 已連線組織的狀態屬性
選取 [目錄 + 網域] 索引標籤,然後選取 [新增目錄 + 網域]。
然後 ,[選取目錄 + 網域] 窗格隨即 開啟。
在搜尋方塊中,輸入網域名稱以搜尋 Microsoft Entra 目錄或網域。 您也可以新增未與任何 Microsoft Entra 目錄相關聯的網域。 請務必輸入完整的網域名稱。
確認組織名稱(s) 和驗證類型正確無誤。 使用者登入之前能夠存取 MyAccess 入口網站,取決於其組織的驗證類型。 如果已連線組織的驗證類型是 Microsoft Entra ID,則具有該組織目錄中帳戶的所有使用者,以及該 Microsoft Entra 目錄的任何已驗證網域,都會登入其目錄,然後可以要求存取允許該連線組織的套件。 如果驗證類型是單次密碼,這可讓使用者只擁有來自該網域的電子郵件地址來流覽 MyAccess 入口網站。 使用密碼進行驗證之後,使用者可以提出要求。
注意
Microsoft Entra 企業對企業 (B2B) 允許或拒絕清單可能會封鎖某些網域的存取。 此外,具有與針對 Microsoft Entra 驗證設定之已連線組織相同網域,但未向該 Microsoft Entra 目錄進行驗證的使用者,將無法辨識為該連線組織的一部分。 如需詳細資訊,請參閱 允許或封鎖來自特定組織的 B2B 使用者邀請。
選取 [新增] 以新增 Microsoft Entra 目錄或網域。 您可以新增多個 Microsoft Entra 目錄和網域 。
新增 Microsoft Entra 目錄或網域之後,請選取 [ 選取 ]。
組織會出現在清單中。
選取 [贊助者] 索引標籤,然後為這個已連線的組織新增選用的贊助者。
贊助者是您目錄中已有的內部或外部使用者,這些使用者是與這個已連線組織建立關聯性的連絡點。 內部贊助者是您目錄中的成員使用者。 外部贊助者是先前受邀且已在目錄中連線組織的來賓使用者。 當此已連線組織的使用者要求存取此存取套件時,贊助商可以做為核准者。 如需如何邀請來賓使用者加入目錄的資訊,請參閱 新增 Microsoft Entra B2B 共同作業使用者 。
當您選取 [ 新增/移除 ] 時,隨即開啟一個窗格,您可以選擇內部或外部贊助者。 此窗格會顯示您目錄中未篩選的使用者和群組清單。
選取 [檢閱 + 建立] 索引標籤、檢閱您的組織設定,然後選取 [建立]。
更新已連線的組織
如果連線的組織變更為不同的網域、組織的名稱變更,或您想要變更贊助者,您可以遵循本節中的指示來更新已連線的組織。
必要角色 : 全域管理員istrator 或 Identity Governance 管理員istrator
以至少身 分識別治理管理員istrator 身分登入 Microsoft Entra 系統管理中心 。
流覽至身 分識別治理 > 權利管理 > 連線組織。
在 連線組織 頁面上,選取您要更新的已連線組織。
在連線的組織概觀窗格中,選取 [編輯 ] 以變更組織名稱、描述或狀態。
在 [ 目錄 + 網域 ] 窗格中,選取 [更新目錄 + 網域 ] 以變更為不同的目錄或網域。
在 [ 贊助者] 窗格中,選取 [新增內部贊助者 ] 或 [新增外部贊助者 ],將使用者新增為贊助者。 若要移除贊助者,請選取贊助者,然後在右窗格中選取 [ 刪除 ]。
刪除已連線的組織
如果您不再與外部 Microsoft Entra 目錄或網域有關聯性,或不想再有建議的已連線組織,您可以刪除已連線的組織。
必要角色 : 全域管理員istrator 或 Identity Governance 管理員istrator
以至少身 分識別治理管理員istrator 身分登入 Microsoft Entra 系統管理中心 。
流覽至身 分識別治理 > 權利管理 > 連線組織。
在 [連線的組織 ] 頁面上,選取您要刪除的已連線組織加以開啟。
在連線組織的 [概觀] 窗格中,選取 [ 刪除 ] 將其刪除。
以程式設計方式管理已連線的組織
您也可以使用 Microsoft Graph 建立、列出、更新及刪除已連線的組織。 具有委派 EntitlementManagement.ReadWrite.All 許可權的應用程式具有適當角色的使用者可以呼叫 API 來管理 connectedOrganization 物件,並為其設定贊助者。
透過 Microsoft PowerShell 管理已連線的組織
您也可以使用適用于身分識別治理 模組 1.16.0 版或更新版本的 Microsoft Graph PowerShell Cmdlet Cmdlet 來管理 PowerShell 中的已連線組織。
下列腳本說明如何使用 v1.0 Graph 設定檔來擷取所有已連線的組織。 每個傳回的已連線組織都包含該已連線組織目錄和網域的清單 identitySources 。
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$co = Get-MgEntitlementManagementConnectedOrganization -all
foreach ($c in $co) {
foreach ($i in $c.identitySources) {
write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
}
}
已連線組織的狀態屬性
已設定及建議權利管理中已連線組織有兩個不同的狀態:
已 設定 的連線組織是一個功能完整的連線組織,可讓使用者在該組織記憶體取套件。 當系統管理員在 Microsoft Entra 系統管理中心建立新的已連線組織時,預設會處於 設定 狀態,因為系統管理員已建立並想要使用此連線的組織。 此外,透過 API 以程式設計方式建立連線組織時,除非明確設定為另一個狀態,否則應該 設定預設狀態。
已設定的已連線組織會顯示在已連線組織的選擇器中,且會針對以「所有已設定的已連線組織」為目標的任何原則。
建議的 已連線組織是已自動建立的已連線組織,但尚未有系統管理員建立或核准組織。 當使用者註冊已設定連線組織外部的存取套件時,任何自動建立的已連線組織都會處於 建議 狀態,因為租使用者中沒有系統管理員設定該合作關係。
建議的連線組織不在任何原則上「所有已設定的已連線組織」設定範圍內,但僅適用于以特定組織為目標的原則。
只有來自已設定連線組織的使用者可以要求存取套件,這些套件可供所有已設定組織的使用者使用。 來自建議連線組織的使用者有體驗,就像該網域沒有連線的組織一樣;只能查看並要求範圍限定在其特定組織或限定于任何使用者的存取套件。 如果您的租使用者中有允許「所有已設定的已連線組織」的原則,請確定您不會將建議的已連線組織轉換為已設定的社會識別提供者。
注意
在推出這項新功能時,所有在 09/09/20 之前建立的已連線組織都會被視為已設定 。 如果您有可讓任何組織使用者註冊的存取套件,您應該檢閱在該日期之前建立的已連線組織清單,以確保未設定 任何組織分類錯誤。 特別是,如果有指派原則不需要核准所有已設定連線組織的使用者,則不應將 社交識別提供者指出為已設定。 系統管理員可以視需要更新 State 屬性。 如需指引,請參閱 更新已連線的組織 。
注意
在某些情況下,使用者可能會使用其個人帳戶向社交識別提供者要求存取套件,該帳戶的電子郵件地址與對應至 Microsoft Entra 租使用者的現有已連線組織具有相同網域。 如果該使用者獲得核准,則會產生代表該網域的新建議連線組織。 在此情況下,請確定使用者改用其組織帳戶重新要求存取權,而入口網站將會識別來自已設定連線組織的 Microsoft Entra 租使用者的使用者。