共用方式為

邀請內部使用者加入 B2B 共同作業

  • 發行項

適用於具有白色核取記號的綠色圓圈。員工租用戶具有灰色 X 符號的白色圓圈。外部租用戶 (深入了解)

在 Microsoft Entra B2B 共同作業推出之前,組織可以藉由設定內部認證,與經銷商、供應商、廠商和其他來賓使用者共同作業。 如果您有類似的內部來賓使用者,可以邀請他們改用 B2B 共同作業。 這些 B2B 來賓使用者將能夠使用自己的身分識別和認證進行登入,而不需要密碼維護或帳戶生命週期管理。

邀請可以傳送給現有的內部帳戶,讓您得以保留使用者的物件識別碼、UPN、群組成員資格和應用程式指派。 您不需要手動刪除並重新邀請使用者或重新指派資源。 若要邀請使用者,您可以使用邀請 API,與邀請一併傳遞內部使用者物件和來賓使用者的電子郵件地址。 當使用者接受邀請時,B2B 服務會將現有的內部使用者物件變更為 B2B 使用者。 之後,使用者就必須使用其 B2B 認證登入雲端資源服務。

考量的事項

  • 內部部署資源存取:使用者在受邀加入 B2B 共同作業之後,他們仍可使用內部認證來存取內部部署資源。 您可以重設或變更內部帳戶的密碼,以避免發生此情況。 電子郵件一次性密碼驗證則是例外;如果使用者的驗證方法變更為一次性密碼,他們就無法再使用內部認證。

  • 計費:此功能不會變更使用者的 UserType,因此不會自動將使用者的計費模式切換為外部 ID 每月活躍使用者 (MAU) 定價。 若要啟用使用者的 MAU 定價,請將使用者的 UserType 變更為 guest。 另請注意,您的 Microsoft Entra 租用戶必須連結至 Azure 訂閱,才能啟用 MAU 計費。

  • Teams:當使用者使用外部認證存取 Teams 時,其租用戶一開始不會出現在 Teams 租用戶選擇器中。 使用者可以使用包含租用戶內容的 URL 來存取 Teams,例如:https://teams.microsoft.com/?tenantId=<TenantId>。 之後,其租用戶就會出現在 Teams 租用戶選擇器中。

  • 內部部署同步使用者:若是在內部部署與雲端之間同步的使用者帳戶,使用者在受邀加入 B2B 共同作業之後,內部部署目錄仍會是授權單位來源。 您對內部部署帳戶所做的任何變更都會同步至雲端帳戶,包括停用或刪除帳戶。 因此,您無法單純透過刪除內部部署帳戶,在防止使用者在登入內部部署帳戶的同時保留其雲端帳戶。 不過,您可以將內部部署帳戶密碼設定為隨機 GUID 或其他未知的值。

注意

在 Microsoft Entra Connect Sync 中,有一項預設規則會將 onPremisesUserPrincipalName 屬性寫入使用者物件。 因為這個屬性的存在可能會讓使用者無法使用外部認證登入,所以我們會禁止具有這個屬性的使用者物件從內部轉換為外部。 若使用 Microsoft Entra Connect,並且希望能夠邀請內部使用者加入 B2B 共同作業,就必須修改預設規則,讓 onPremisesUserPrincipalName 屬性不會寫入使用者物件中。

如何邀請內部使用者加入 B2B 共同作業

您可以使用 Microsoft Entra 系統管理中心、PowerShell 或邀請 API 將 B2B 邀請傳送給內部使用者。 要注意的事項:

  • 邀請使用者之前,請確定內部使用者物件的 User.Mail 屬性 (Microsoft Entra 系統管理中心中的使用者 Email 屬性) 設定為將用於 B2B 共同作業的外部電子郵件地址。 如果內部使用者有現有的信箱,則您無法將此屬性變更為外部電子郵件地址。 您必須在 Exchange 系統管理中心更新其屬性。

  • 當您邀請使用者時,會透過電子郵件將邀請傳送給使用者。 如果您使用 PowerShell 或邀請 API,則您可以將 SendInvitationMessage 設定為 False,來隱藏此電子郵件。 然後,您可以透過另一種方式來通知使用者。 深入了解邀請 API

  • 使用者兌換邀請時,他們所使用的帳戶必須符合 User.Mail 屬性中的網域。 否則,某些服務 (例如 Teams) 將無法驗證使用者。

使用 Microsoft Entra 系統管理中心傳送 B2B 邀請

提示

根據您開始使用的入口網站,本文中的步驟可能略有不同。

  1. 至少以外部識別提供者管理員身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[使用者]>[所有使用者]。

  3. 在清單中尋找使用者,或使用搜尋方塊。 然後選取使用者。

  4. 在 [概觀] 索引標籤的 [我的摘要] 底下,選取 [轉換為外部使用者]

    此螢幕擷取畫面顯示使用者設定檔 [概觀] 索引標籤與 B2B 共同作業卡片。

    注意

    如果卡片指出「重新傳送此 B2B 使用者的邀請或重設其兌換狀態」。 使用者已獲邀使用 B2B 共用作業的外部認證。

  5. 新增外部電子郵件地址,然後選取 [傳送]

    此螢幕擷取畫面顯示 [轉換為外部使用者] 頁面。

    注意

    如果選項無法使用,則請確定使用者的 Email 屬性設定為他們應該用於 B2B 共同作業的外部電子郵件地址。

  6. 確認訊息隨即出現,並透過電子郵件將邀請傳送給使用者。 使用者接著可以使用其外部認證來兌換邀請。

使用 PowerShell 傳送 B2B 邀請

您將需要最新的 Microsoft Graph PowerShell 模組。 請使用下列命令更新為最新的模組,並邀請內部使用者加入 B2B 共同作業:

Update-Module Microsoft.Graph
Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee' 
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapplications.microsoft.com" -InvitedUser $msGraphUser

使用邀請 API 傳送 B2B 邀請

下列範例說明如何呼叫邀請 API,以邀請內部使用者成為 B2B 使用者。

POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
ContentType: application/json
{
    "invitedUserEmailAddress": "<<external email>>",
    "sendInvitationMessage": true,
    "invitedUserMessageInfo": {
        "messageLanguage": "en-US",
        "ccRecipients": [
            {
                "emailAddress": {
                    "name": null,
                    "address": "<<optional additional notification email>>"
                }
            }
        ],
        "customizedMessageBody": "<<custom message>>"
    },
    "inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=",
    "invitedUser": {
        "id": "<<ID for the user you want to convert>>"
    }
}

對 API 的回應,與您邀請新來賓使用者加入目錄時收到的回應相同。

下一步