Azure 邀請外部使用者加入團隊

在 Azure (Microsoft Entra ID) 中邀請外部使用者(例如其他公司的 E-mail 或 Gmail/Outlook 等)加入你的小組或團隊,通常有兩種最常見的情境:直接邀請到 Teams 團隊,或是透過 Azure 後台邀請為 B2B 外部來賓

以下為您整理這兩種最常用的操作方法:

方法一:直接從 Microsoft Teams 邀請(最直覺、最推薦)

如果你只是想讓對方加入某個特定的小組聊天、存取檔案或開會,直接在 Teams 軟體中操作最快。

  1. 開啟 Teams: 找到你想邀請對方的團隊(Team),點選團隊名稱旁邊的 「…」(更多選項)
  2. 新增成員: 選擇 「新增成員」 (Add member)
  3. 輸入 Email: 輸入該外部人員的完整電子郵件地址(例如 [email protected])。
  4. 新增為來賓: 系統會顯示「將 [Email] 新增為來賓」,點擊它,然後按一下 「新增」 (Add)
  5. 完成: 對方的信箱會收到一封邀請函,點擊信中的連結並按照提示驗證,就能加入你的 Teams 團隊了。

⚠️ 注意: 如果系統提示「找不到相符項目」或無法新增,代表你們公司的 IT 管理員把「允許外部來賓」的功能關閉了,這時需要請管理員參考方法二的設定。

方法二:從 Azure 入口網站邀請(IT 管理員適用)

如果你是 Azure 管理員,希望將外部人員正式加入組織的目錄(Microsoft Entra ID)中,方便後續指派多個群組或雲端資源:

  1. 登入後台: 登入 Azure PortalMicrosoft Entra admin center
  2. 前往使用者: 導覽至 Microsoft Entra ID -> 使用者 (Users) -> 所有使用者 (All users)
  3. 邀請外部使用者: 點選上方的 「新使用者」 (New user),然後選擇 「邀請外部使用者」 (Invite external user)
  4. 填寫資料:
    • 身分識別: 輸入對方的電子郵件地址(必填)和姓名。
    • 群組和角色(選填): 你可以直接在這裡將他加入對應的 Teams 背後的 M365 群組。
  5. 發送邀請: 填寫完畢後點選 「邀請」 (Invite)

💡 常見問題與排查

  • 為什麼對方收不到信?請請對方檢查「垃圾信件匣(Spam)」,邀請函通常是由 [email protected] 發出。
  • 外部人員需要付費授權嗎?不用。微軟的外部來賓(B2B)通常享有非常寬鬆的免費額度(通常是前 50,000 名每月活躍使用者免費),不需要為他們購買額外的授權。
  • 無法新增外部人員?這通常是組織原則限制。管理員需要到 Microsoft Entra ID -> 外部身分識別 (External Identities) -> 外部協同作業設定 (External collaboration settings) 中,將來賓權限調整為 「任何使用者都可以邀請來賓」「成員和指派特定管理員角色的使用者可以邀請來賓」

看來您已經在 Azure 中成功建立了外部使用者(杜甫),目前停留在該使用者的設定畫面。

如果您已經為這個使用者建立了一個 資源群組 (Resource Group, 簡稱 RG),並希望讓他能夠存取、管理該 RG,接下來的關鍵步驟是賦予他該資源群組的存取權限(也就是設定 IAM 角色指派)

請依照以下步驟操作:

下一步:將資源群組 (RG) 的權限指派給該外部使用者

不要在目前這個「指派的角色」畫面操作(這裡是設定全域管理員等目錄角色的)。請改到您建立的 資源群組 頁面進行設定:

  1. 尋找您的資源群組: 在 Azure 頂端的搜尋列輸入您建立的資源群組名稱,或是從左側選單點選 「資源群組」 (Resource groups),並點進該 RG。
  2. 進入權限設定: 在該資源群組的左側選單中,點選 「存取控制 (IAM)」 (Access control (IAM))
  3. 新增角色指派: 點選上方的 「+ 新增」 (Add) -> 選擇 「新增角色指派」 (Add role assignment)
  4. 選擇角色 (Role): 根據您想給對方的權限大小,選擇一個角色(常用的三個基礎角色):
    • 擁有者 (Owner): 權限最大,可管理資源並能把權限再分給別人。
    • 參與者 (Contributor): 可以建立、修改、刪除 RG 內的所有資源(例如建立虛擬機、資料庫),但不能更改權限。(最常指派給外部開發者的角色)
    • 讀取者 (Reader): 只能看,不能做任何變更。
    選好後點選 「下一步」
  5. 選取成員 (Members): * 在「將存取權指派給」維持選擇 「使用者、群組或服務主體」
    • 點選 「+ 選取成員」 (Select members)
    • 在右側搜尋欄輸入 杜晟甫 或他的 Email,點擊他讓他出現在下方清單中,然後點選 「選取」
  6. 審查並提交: 點選 「檢閱 + 指派」 (Review + assign),再次確認後點擊按鈕送出。

這樣就完成了嗎?外部使用者該如何登入?

當您完成上述指派後,外部使用者(杜甫)需要透過特定的方式登入才能看到您分給他的資源:

  • 接受邀請: 他的 Email 會收到一封來自 Microsoft 的邀請函(如果之前沒收過),他必須點擊信中的 「Accept invitation」 接受加入您的租戶 (Tenant)。
  • 專屬登入連結: 外部來賓登入 Azure 時,有時直接進 portal.azure.com 會切換不到您的公司目錄。最保險的做法是提供他帶有您租戶網域名稱或租戶 ID 的專屬連結:https://portal.azure.com/您的公司網域名稱.onmicrosoft.com(例如:https://portal.azure.com/mycompany.onmicrosoft.com)

當他透過該連結登入後,就能在您的 Azure 環境中,看到並操作您指定給他的那個資源群組(RG)了!

沒錯,您的直覺非常準確!這確實是因為您的帳號權限不夠,所以清單中才沒有出現最核心的「擁有者 (Owner)」或「參與者 (Contributor)」選項。

您目前在搜尋列輸入了「擁有者」,系統篩選出來的都是一些特定服務的次級角色(例如:儲存體 Blob 資料擁有者、圖表擁有者等),而不是整個資源群組的基礎管理角色。

要解決這個問題,您有以下兩種解決方案:

方案一:聯絡公司的 Azure 系統管理員(最快)

您需要請你們公司內部權限最高的人(通常是 IT 部門、雲端架構師或當初建立這個 Azure 訂閱的人),幫您進行以下調整:

  1. 請管理員幫忙指派: 直接把這張截圖發給管理員,跟他說:「我想把外部人員加入 rg-pr-stg-jpe-001 這個資源群組,但我沒有這個 RG 的 Owner 權限,可以請你幫我把【杜晟甫】加進去,並給他【參與者 (Contributor)】角色嗎?」
  2. 請管理員提升您的權限: 或者,請管理員將您在這個資源群組(或整個訂閱)的角色提升為 「使用者存取系統管理員 (User Access Administrator)」「擁有者 (Owner)」,這樣您以後就能自己指派權限給別人了。

方案二:選擇目前選單中「退而求其次」的角色(視對方的需求而定)

如果您現在急著先讓「杜晟甫」能進來看資源,且管理員暫時聯絡不上,您可以先清除搜尋欄的「擁有者」,改搜尋並指派 「讀取者 (Reader)」

  • 讀取者 (Reader) 角色通常不需要太高的管理權限就能指派。
  • 缺點: 杜晟甫登入後只能看、不能動(無法建立任何東西)。但至少能先確認他進得來這個資源群組,等您權限拿到後,再幫他升級成參與者即可。

Related Posts

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *