適用於: 
員工租戶 (瞭解更多資訊)
本文說明來賓使用者的 Microsoft Entra B2B 邀請兌換流程,包括他們如何存取您的資源,以及完成必要的同意步驟。 無論您是傳送邀請電子郵件或提供直接連結,來賓都會引導您進行安全的登入和同意程式,以確保符合貴組織的隱私權條款與 使用規定。
當你將訪客使用者加入目錄時,訪客使用者帳號會有一個同意狀態(可在 PowerShell 中查看),最初設定為 PendingAcceptance。 此設定會保留到來賓接受您的邀請並同意您的隱私權原則和使用條款為止。 之後,同意狀態會變更為 [已接受],而不再對來賓呈現同意頁面。
重要
- 自 2021 年 7 月 12 日起,若 Microsoft Entra B2B 客戶為自訂或業務線上應用程式的自助註冊設置新的 Google 整合,Google 身份認證將無法生效,直到驗證權限移至系統網頁檢視。 深入了解。
- 自 2021 年 9月 30 日起,Google 將淘汰內嵌的 Web 檢視登入支援。 如果您的應用程式是以內嵌的 Web 檢視來驗證使用者,且您針對外部使用者邀請或自助式註冊使用 Google 與 Azure AD B2C 或 Microsoft Entra B2B 的同盟,則 Google Gmail 使用者將無法進行驗證。 深入了解。
- 電子郵件 一次性密碼功能 現在在所有新租戶中預設開啟,對於任何未明確關閉該功能的現有租戶也會啟用。 關閉此功能時,後援驗證方法是提示受邀者建立 Microsoft 帳戶。
透過通用端點進行的兌換過程和登入流程
來賓使用者現在可以透過共用端點 (URL) 登入您的多租用戶或 Microsoft 第一方應用程式,例如 https://myapps.microsoft.com。 先前,一個通用 URL 會將訪客使用者重新導向至其主租用戶,而不是到您的資源租用戶進行驗證,因此需要一個特定租用戶的連結 (例如 https://myapps.microsoft.com/?tenantid=<tenant id>)。 現在來賓使用者可以移至應用程式的通用 URL,選擇 [登入選項],然後選取 [登入組織]。 使用者接著會輸入您組織的網域名稱。
使用者接著會被導向到你的租戶專用端點,在那裡他們可以用電子郵件登入,或選擇你設定的身份提供者。
透過直接連結的兌換程序
作為邀請電子郵件或應用程式通用 URL 的替代方案,請為來賓提供您應用程式或入口網站的直接連結。 首先,透過 Microsoft Entra 系統管理中心將來賓使用者新增至目錄, 或 PowerShell。 然後使用任何 可自定義的方式,將應用程式部署至使用者,包括直接登入連結。 當賓客使用直接連結而非邀請郵件時,連結仍能引導他們完成首次同意的體驗。
注意
直接連結是租用戶專用。 換句話說,其包括租用戶識別碼或已驗證的網域,才能在您的租用戶 (共用應用程式所在的位置) 中驗證來賓。 以下是一些具有租戶上下文的直接連結範例:
- 應用程式存取面板:
https://myapps.microsoft.com/?tenantid=<tenant id> - 已驗證網域的應用程式存取面板:
https://myapps.microsoft.com/<;verified domain> - Microsoft Entra 系統管理中心:
https://entra.microsoft.com/<tenant id> - 個別應用程式:請參閱如何使用直接登入連結
以下是使用直接連結與邀請電子郵件的一些注意事項:
電子郵件別名: 使用受邀電子郵件地址別名的來賓需要電子郵件邀請。 (別名是另一個與電子郵件帳戶相關聯的電子郵件位址。)用戶必須在邀請電子郵件中選取兌換 URL。
衝突的接觸物件: 當訪客使用者物件與目錄中的聯絡物件衝突時,贖回程序可防止登入問題。 每當您新增或邀請具有符合現有聯繫人的電子郵件的來賓時,來賓用戶物件上的 proxyAddresses 屬性會保留空白。 之前 External ID 只搜尋 proxyAddresses 屬性,因此當找不到匹配時,直接連結兌換失敗。 現在,外部 ID 會同時搜尋 proxyAddresses 和受邀電子郵件屬性。
透過邀請電子郵件的兌換程序
當您使用 Microsoft Entra 系統管理中心 將來賓使用者新增至目錄時,會傳送邀請電子郵件給來賓。 你也可以選擇在 使用 PowerShell 將訪客使用者加入目錄時發送邀請郵件。 以下是訪客在郵件中兌換連結時的體驗描述。
- 來賓會收到一封來自 Microsoft Invitations 的
<primary domain> <invites@<primary domain>.onmicrosoft.com>。 - 來賓會在電子郵件中選取 [接受邀請]。
- 來賓會使用自己的認證來登入您的目錄。 如果來賓沒有可以與您的目錄同盟的帳戶,且未啟用 電子郵件單次密碼 (OTP) 功能,系統會提示來賓建立個人 Microsoft 帳戶 (MSA)。 如需詳細資訊,請參閱邀請兌換流程。
- 賓客將接受以下章節所述的 同意體驗 。
邀請兌換流程
當使用者在 邀請電子郵件中選取 [接受邀請] 連結時,Microsoft Entra ID 會根據預設兌換訂單自動兌換邀請:
Microsoft Entra ID 會執行以使用者為基礎的探索,以判斷使用者是否已存在於受控 Microsoft Entra 租用戶中。 (未管理的 Microsoft Entra 帳戶無法用於兌換流程。)如果使用者主體名稱(UPN)與現有的 Microsoft Entra 帳號及個人 MSA 都相符,系統會提示使用者選擇要兌換的帳號。
若管理員啟用 SAML/WS-Fed IdP 聯邦,Microsoft Entra ID 會檢查使用者的網域後綴是否與已設定的 SAML/WS-Fed 身份提供者網域相符,並將使用者導向至預先設定的身份提供者。
如果管理員啟用 Google 聯邦,Microsoft Entra ID 會檢查使用者的網域後綴是 gmail.com 還是 googlemail.com,並將使用者重新導向到 Google。
兌換程序會檢查使用者是否有現有的個人 MSA。 如果使用者已經有現有的 MSA,他們就會使用現有的 MSA 登入。
一旦識別出使用者的主目錄,使用者就會被傳送至對應的識別提供者以進行登入。
如果找不到主目錄,並「已啟用」來賓的電子郵件一次性密碼功能,則會透過受邀電子郵件將密碼傳送給使用者。 使用者會在 Microsoft Entra 登入頁面中擷取並輸入此密碼。
如果找不到主目錄,且來賓的電子郵件一次性密碼被停用,系統會提示使用者使用受邀的電子郵件建立一般 MSA。 我們支援使用工作電子郵件帳號,來在未經 Microsoft Entra ID 驗證的網域中建立 MSA。
向適當的識別提供者進行驗證後,系統會將使用者重新導向至 Microsoft Entra ID 以進行同意體驗。
可設定的兌換
可設定的兌換功能可讓您自訂在來賓兌換邀請時,呈現給來賓的身份提供者的順序。 當來賓選取 [接受邀請] 連結時,Microsoft Entra ID 會根據預設順序自動兌換邀請。 若在 跨租戶存取設定中更改身份提供者的贖回順序,則可覆蓋此排序。
來賓的同意體驗
當訪客首次在合作組織中登入資源時,他們會看到以下的同意體驗。 訪客只有在登入後才會看到這些同意頁面,如果使用者已經接受,這些頁面根本不會顯示。
來賓會查看描述邀請組織隱私聲明的審查權限頁面。 繼續使用, 使用者必須根據 邀請組織的隱私政策接受其資訊的使用。
同意此同意提示即表示您承認帳戶的某些部分是共享的。 這些元素包括您的姓名、照片和電子郵件地址,以及其他組織可能會用來更好管理帳戶並提升跨組織體驗的目錄識別碼。
![顯示 [檢閱權限] 頁面的螢幕擷取畫面。](media/redemption-experience/new-review-permissions.png)
注意
有關身為租用戶管理員的您如何連結至貴組織隱私權聲明的詳細資訊,請參閱做法:在 Microsoft Entra ID 中新增貴組織的隱私權資訊。
如果已設定使用條款,訪客會打開並檢視使用條款,然後選擇 接受。
除非另有指定,否則會將來賓重新導向至應用程式存取面板,其中會列出來賓可以存取的應用程式。
在您的目錄中,來賓的 [邀請已接受] 值會變更為 [是]。 如果已建立 MSA,賓客的來源會顯示Microsoft 帳戶。 如需來賓使用者帳戶屬性的詳細資訊,請參閱 Microsoft Entra B2B 共同作業使用者的屬性。 如果您在存取應用程式時看到需要管理員同意的錯誤,請參閱如何將管理員同意授與應用程式。
自動兌換處理程序設定
你可能想自動兌換邀請,這樣用戶在加入其他租戶進行 B2B 協作時,就不必接受同意提示。 當你設定此設定時,B2B 協作使用者會收到一封通知郵件,且無需他們採取行動。 使用者會直接收到通知郵件,不需要先進入租戶才能收到郵件。
如需關於如何自動兌換邀請的資訊,請參閱跨租用戶存取概觀和針對 B2B 共同作業設定跨租用戶存取設定。