B2B 共同作業邀請兌換
適用於:
工作負載租用戶 
外部租用戶 (進一步瞭解)
本文說明來賓使用者如何存取您的資源,以及他們遇到的同意程式。 如果您傳送邀請電子郵件給來賓,邀請會包含來賓可以兌換以存取您的應用程式或入口網站的連結。 邀請電子郵件只是來賓存取資源的方式之一。 或者,您可以將來賓新增至您的目錄,並提供您想要共用之入口網站或應用程式的直接連結。 無論來賓使用何種方法,系統都會引導他們進行第一次的同意程序。 此程式可確保您的來賓同意隱私權條款,並接受您已設定的任何使用規定。
當您將來賓使用者新增到您的目錄時,來賓使用者帳戶的同意狀態 (可在 PowerShell 中檢視) 最初會設定為 PendingAcceptance。 此設定會保留到來賓接受您的邀請並同意您的隱私權原則和使用條款為止。 之後,同意狀態會變更為 [已接受],而不再對來賓呈現同意頁面。
重要
- 從 2021 年 7 月 12 日開始,如果 Microsoft Entra B2B 客戶設定新的 Google 整合以與自訂或企業營運應用程式的自助式註冊搭配使用,則必須等到驗證移至系統 Web 檢視之後,才能使用 Google 身分識別進行驗證。 深入了解。
- 自 2021 年 9月 30 日起,Google 將淘汰內嵌的 Web 檢視登入支援。 如果您的應用程式是以內嵌的 Web 檢視來驗證使用者,且您針對外部使用者邀請或自助式註冊使用 Google 與 Azure AD B2C 或 Microsoft Entra B2B 的同盟,則 Google Gmail 使用者將無法進行驗證。 深入了解。
- 針對所有新租用戶,以及您尚未明確關閉的任何現有租用戶,現在預設會開啟電子郵件一次性密碼功能。 關閉此功能時,後援驗證方法是提示受邀者建立 Microsoft 帳戶。
透過通用端點進行的兌換過程和登入流程
來賓使用者現在可以透過共用端點 (URL) 登入您的多租用戶或 Microsoft 第一方應用程式,例如 https://myapps.microsoft.com。 先前,一個通用 URL 會將訪客使用者重新導向至其主租用戶,而不是到您的資源租用戶進行驗證,因此需要一個特定租用戶的連結 (例如 https://myapps.microsoft.com/?tenantid=<tenant id>)。 現在來賓使用者可以移至應用程式的通用 URL,選擇 [登入選項],然後選取 [登入組織]。 使用者接著會輸入您組織的網域名稱。
然後,使用者會重新導向至您的租用戶特定端點,在此使用者可以使用其電子郵件地址登入,或選取您已設定的身分識別提供者。
透過直接連結的兌換程序
作為邀請電子郵件或應用程式通用 URL 的替代方案,請為來賓提供您應用程式或入口網站的直接連結。 首先,透過 Microsoft Entra 系統管理中心將來賓使用者新增至目錄, 或 PowerShell。 然後使用任何 可自定義的方式,將應用程式部署至使用者,包括直接登入連結。 當來賓使用直接連結而不是邀請電子郵件時,他們仍會引導他們進行第一次同意體驗。
注意
直接連結是租用戶專用。 換句話說,其包括租用戶識別碼或已驗證的網域,才能在您的租用戶 (共用應用程式所在的位置) 中驗證來賓。 以下是一些具有租戶上下文的直接連結範例:
- 應用程式存取面板:
https://myapps.microsoft.com/?tenantid=<tenant id> - 已驗證網域的應用程式存取面板:
https://myapps.microsoft.com/<;verified domain> - Microsoft Entra 系統管理中心:
https://entra.microsoft.com/<tenant id> - 個別應用程式:請參閱如何使用直接登入連結
以下是使用直接連結與邀請電子郵件的一些注意事項:
電子郵件別名: 使用受邀電子郵件地址別名的來賓需要電子郵件邀請。 (別名是另一個與電子郵件帳戶相關聯的電子郵件位址。)用戶必須在邀請電子郵件中選取兌換 URL。
衝突的聯繫人物件: 為防止當來賓用戶物件與目錄中的聯繫人物件衝突時出現登入問題,已更新還原流程。 每當您新增或邀請具有符合現有聯繫人的電子郵件的來賓時,來賓用戶物件上的 proxyAddresses 屬性會保留空白。 先前,External ID 僅搜尋 proxyAddresses 屬性,因此當找不到相符的項目時,直接連結兌換會失敗。 現在,外部 ID 會同時搜尋 proxyAddresses 和受邀電子郵件屬性。
透過邀請電子郵件的兌換程序
當您使用 Microsoft Entra 系統管理中心 將來賓使用者新增至目錄時,會傳送邀請電子郵件給來賓。 當您使用 PowerShell將來賓使用者新增到您的目錄時,也可選擇傳送邀請電子郵件。 以下說明來賓在兌換電子郵件中的連結時的體驗。
- 來賓會收到從 Microsoft Invitations 傳送的邀請電子郵件。
- 來賓會在電子郵件中選取 [接受邀請]。
- 來賓會使用自己的認證來登入您的目錄。 如果來賓沒有可以與您的目錄同盟的帳戶,且未啟用 電子郵件單次密碼 (OTP) 功能,系統會提示來賓建立個人 Microsoft 帳戶 (MSA)。 如需詳細資訊,請參閱邀請兌換流程。
- 系統會引導來賓進行同意體驗,如下所述。
邀請兌換流程
當使用者在 邀請電子郵件中選取 [接受邀請] 連結時,Microsoft Entra ID 會根據預設兌換訂單自動兌換邀請:
Microsoft Entra ID 會執行以使用者為基礎的探索,以判斷使用者是否已存在於受控 Microsoft Entra 租用戶中。 (未受管理的 Microsoft Entra 帳戶無法再用於兌換流程。)如果使用者主體名稱(UPN)同時符合現有的 Microsoft Entra 帳戶和個人 Microsoft 帳戶(MSA),系統會提示使用者選擇要兌換的帳戶。
如果系統管理員已啟用 SAML/WS-Fed IdP 同盟,Microsoft Entra ID 會檢查使用者的網域後綴是否符合已設定 SAML/WS-Fed 識別提供者的網域,並將使用者重新導向至預先設定的識別提供者。
如果系統管理員已啟用 Google 同盟,Microsoft Entra ID 會檢查使用者的網域尾碼是否為 gmail.com 或 googlemail.com,並將使用者重新導向至 Google。
兌換程序會檢查使用者是否有現有的個人 MSA。 如果使用者已經有現有的 MSA,他們就會使用現有的 MSA 登入。
一旦識別出使用者的主目錄,使用者就會被傳送至對應的識別提供者以進行登入。
如果找不到主目錄,並「已啟用」來賓的電子郵件一次性密碼功能,則會透過受邀電子郵件將密碼傳送給使用者。 使用者會在 Microsoft Entra 登入頁面中擷取並輸入此密碼。
如果找不到主目錄,且來賓的電子郵件一次性密碼被停用,系統會提示使用者使用受邀的電子郵件建立一般 MSA。 我們支援使用工作電子郵件帳號,來在未經 Microsoft Entra ID 驗證的網域中建立 MSA。
向適當的識別提供者進行驗證後,系統會將使用者重新導向至 Microsoft Entra ID 以進行同意體驗。
可設定的兌換
可設定的兌換功能可讓您自訂在來賓兌換邀請時,呈現給來賓的身份提供者的順序。 當來賓選取 [接受邀請] 連結時,Microsoft Entra ID 會根據預設順序自動兌換邀請。 藉由在 跨租使用者存取設定中變更識別提供者兌換順序,來覆寫此動作。
來賓的同意體驗
來賓第一次登入以存取合作夥伴組織中的資源時,系統會向他們呈現下列同意體驗。 這些同意頁面只會在登入後向來賓顯示,而且,如果使用者已接受這些同意頁面,則根本不予顯示。
來賓會檢閱 檢閱許可權 頁面,描述邀請組織的 隱私聲明。 用戶必須 接受 根據邀請組織的隱私策略繼續使用其資訊。
您同意此同意提示,即確認將會共用您帳戶的某些元素。 這些包括您的名稱、相片和電子郵件位址,以及其他組織可能用來更妥善管理帳戶及改善跨組織體驗的目錄標識符。
![顯示 [檢閱權限] 頁面的螢幕擷取畫面。](media/redemption-experience/new-review-permissions.png)
注意
有關身為租用戶管理員的您如何連結至貴組織隱私權聲明的詳細資訊,請參閱做法:在 Microsoft Entra ID 中新增貴組織的隱私權資訊。
如果已設定使用規定,則來賓會開啟並檢閱使用規定,然後選取 [接受]。
除非另有指定,否則會將來賓重新導向至應用程式存取面板,其中會列出來賓可以存取的應用程式。
在您的目錄中,來賓的 [邀請已接受] 值會變更為 [是]。 如果已建立 MSA,賓客的來源會顯示Microsoft 帳戶。 如需來賓使用者帳戶屬性的詳細資訊,請參閱 Microsoft Entra B2B 共同作業使用者的屬性。 如果您在存取應用程式時看到需要管理員同意的錯誤,請參閱如何將管理員同意授與應用程式。
自動兌換處理程序設定
您可能需要自動接受邀請,讓使用者在被新增至另一個租用戶進行 B2B 協作時能夠跳過同意提示。 設定時,系統會傳送通知電子郵件給 B2B 共同作業使用者,而該使用者不需要採取任何動作。 系統會直接傳送通知電子郵件給使用者,而且他們不必先存取租用戶,即可收到電子郵件。
如需關於如何自動兌換邀請的資訊,請參閱跨租用戶存取概觀和針對 B2B 共同作業設定跨租用戶存取設定。