--- layout: Conceptual title: 工作人员租户概述 | Azure Docs canonicalUrl: https://docs.azure.cn/zh-cn/entra/external-id/what-is-b2b schema: Conceptual author: alexchen2016 breadcrumb_path: /bread/toc.json depot_name: Azure.mooncake-docs description: 了解如何使用外部 ID 进行身份验证和标识访问管理,以便与外部标识、业务合作伙伴和来宾共享应用的 B2B 协作。 document_id: 61fc9ad5-d128-4a59-27ff-a89098842e27 document_version_independent_id: 2dc98b47-f29a-7bf8-c97f-df8ae2882182 git_commit_id: d1f51cb6dbfa2dab68006c481d70b79a9498a04f gitcommit: https://github.com/MicrosoftDocs/mc-docs-pr/blob/d1f51cb6dbfa2dab68006c481d70b79a9498a04f/articles/entra/external-id/what-is-b2b.md locale: zh-cn ms.author: v-junlch ms.collection: M365-identity-device-management ms.custom: it-pro, seo-july-2024, sfi-image-nochange ms.date: 2026-02-28T00:00:00.0000000Z ms.service: entra-external-id ms.topic: overview original_content_git_url: https://github.com/MicrosoftDocs/mc-docs-pr/blob/live/articles/entra/external-id/what-is-b2b.md recommendations: false site_name: DocsAzureCN uhfHeaderId: mooncake updated_at: 2026-03-05T12:59:00.0000000Z ms.translationtype: MT ms.contentlocale: zh-cn loc_version: 2025-08-01T10:56:12.6293374Z loc_source_id: Github-85544329#live loc_file_id: Github-85544329.live.Azure.mooncake-docs.articles/entra/external-id/what-is-b2b.md page_type: conceptual toc_rel: toc.json feedback_system: None feedback_product_url: '' feedback_help_link_type: '' feedback_help_link_url: '' word_count: 1861 asset_id: entra/external-id/what-is-b2b item_type: Content cmProducts: - https://microsoft-devrel.poolparty.biz/DevRelOfferingOntology/57eae307-c3a1-4cac-b645-1a899934bac8 - https://microsoft-devrel.poolparty.biz/DevRelOfferingOntology/c77bc83e-f0b0-4b63-836e-6630e606bf7c spProducts: - https://microsoft-devrel.poolparty.biz/DevRelOfferingOntology/ee561821-1ac7-45a8-9409-6ba5eb7a5b97 - https://microsoft-devrel.poolparty.biz/DevRelOfferingOntology/b98eda1f-6af8-444f-bbfb-7f2366948cbc platformId: f64e58ef-9383-f6f1-8ed6-4e66988f4a60 --- # 工作人员租户概述 | Azure Docs Microsoft Entra 外部 ID 包括协作功能,使员工能够与业务合作伙伴和来宾安全地协作。 在员工租户中,可以使用 B2B 协作将公司的应用程序和服务与来宾共享,同时保持对自己公司数据的控制。 与外部合作伙伴安全地合作,即使他们没有 Microsoft Entra ID 或 IT 部门也无妨。 ![说明 B2B 直连的图表。](media/what-is-b2b/b2b-collaboration-overview.png) 合作伙伴通过一个简单的邀请和兑换过程即可使用自己的凭据来访问公司资源。 来宾兑换其邀请或完成注册后,他们将在目录中表示为用户对象。 这些 B2B 协作用户的用户类型通常设置为“来宾”,其用户主体名称包含 #EXT# 标识符。 开发人员可以使用 Microsoft Entra 企业到企业 API 自定义邀请过程或编写应用程序。 如需了解与来宾用户相关的许可和定价信息,请参阅[Microsoft Entra 外部 ID 定价](https://www.azure.cn/pricing/details/active-directory)。 ## 与使用自己标识的任何合作伙伴进行协作 借助 Microsoft Entra B2B,合作伙伴可使用自己的标识管理解决方案,因此组织省去了外部管理开销。 来宾用户可使用自己的工作、学校或社交标识登录应用和服务。 - 合作伙伴是否有 Microsoft Entra 帐户,都可以使用其自己的标识和凭据。 - 不需要管理外部帐户或密码。 - 不需要同步帐户或管理帐户生命周期。 ## 管理与其他组织的 B2B 协作 默认启用 B2B 协作,但通过全面管理员设置,可控制与外部合作伙伴和组织之间的入站和出站 B2B 协作。 - **跨租户访问设置。** 对于与其他 Microsoft Entra 组织的 B2B 协作,请使用[跨租户访问设置](cross-tenant-access-overview)来控制哪些用户可以对哪些资源进行身份验证。 管理入站和出站 B2B 协作,并将访问范围设定为特定用户、组和应用程序。 设置适用于所有外部组织的默认配置,然后根据需要创建特定于个人、组织的设置。 使用跨租户访问设置时,还可以信任来自其他 Microsoft Entra 组织的多重身份验证 (MFA) 和设备声明(合规声明和 Microsoft Entra 混合加入声明)。 - **外部协作设置。** 使用[外部协作设置](external-collaboration-settings-configure)定义谁可以邀请外部用户作为来宾加入组织。 默认情况下,组织中的所有用户(包括 B2B 协作来宾用户)均可邀请外部用户进行 B2B 协作。 若要限制发送邀请的能力,可以为所有人打开或关闭邀请,或将邀请限制为特定角色。 还可以允许或阻止 B2B 特定域,并设置对来宾用户访问目录的限制。 这些设置用于管理 B2B 协作的两个不同方面。 跨租户访问设置控制用户是否可以使用外部 Microsoft Entra 租户进行身份验证。 它们适用于入站和出站 B2B 协作。 与此相反,外部协作设置控制允许组织中的哪些用户向任何组织的来宾发送 B2B 协作邀请。 ### 跨租户访问和外部协作设置如何协同工作 考虑与特定外部 Microsoft Entra 组织进行 B2B 协作时,请确定跨租户访问设置是否允许与该组织进行 B2B 协作。 还要考虑外部协作设置是否允许用户向该组织的域发送邀请。 以下是一些示例: - 示例 1:你之前已在外部协作设置中将 (一个 Microsoft Entra 组织)添加到阻止域列表中,但你的跨租户访问设置针对所有 Microsoft Entra 组织启用了 B2B 协作。`adatum.com` 在这种情况下,将应用最严格的设置。 你的外部协作设置将阻止你的用户向 `adatum.com` 中的用户发送邀请。 - 示例 2:允许在跨租户访问设置中与 Fabrikam 进行 B2B 协作,但随后您在外部协作设置中将 添加到了阻止域中。 用户无法邀请新的 Fabrikam 业务来宾,但现有的 Fabrikam 来宾可以继续使用 B2B 协作。 注释 自 2025 年 7 月起,Microsoft将推出更新,改善来宾用户登录体验,以提升 B2B 合作。 推出持续到2025年底。 通过此更新,来宾用户将被重定向到其所属组织的登录页,以提供其凭据。 来宾用户会看到其主租户的品牌和 URL 端点。 此步骤可确保更清楚地了解要使用的登录信息。 在自己的组织中成功进行身份验证后,来宾用户将返回到组织以完成登录过程。 ### 管理与其他 Microsoft Cloud 的 B2B 协作 Azure 云服务在单独的国家云中可用,这些云是以物理方式隔离的 Azure 的实例。 越来越多的组织发现需要跨全球云和国家云边界与组织和用户协作。 使用 Microsoft 云设置,你可以在以下 Azure 云之间建立相互 B2B 协作: - Azure 全球云和 Azure 政府 - Azure 全球云和[由世纪互联运营的 Microsoft Azure](https://learn.microsoft.com/azure/china/) 若要在不同云中的租户之间设置 B2B 协作,这两个租户都需要配置其 Microsoft 云设置,以实现与其他云的协作。 然后,每个租户都需要配置与另一个云的租户之间的入站和出站跨租户访问。 请参阅 [Microsoft 云设置](cross-cloud-settings),了解详细信息。 ## 从 Microsoft Entra 管理中心轻松邀请来宾用户 管理员可以在管理中心轻松地向组织添加来宾用户。 - 在 Microsoft Entra 中新建来宾用户,方法类似于添加新用户。 - 将来宾用户分配到应用或组。 - [发送包含兑换链接的邀请电子邮件](invitation-email-elements)或发送要共享的应用的直接链接。 [![显示“邀请新来宾用户邀请”入口页的屏幕截图。](media/what-is-b2b/add-a-b2b-user.png)](media/what-is-b2b/add-a-b2b-user.png#lightbox) - 来宾用户按照几个简单的兑换步骤操作即可登录。 ![显示“查看权限”页的屏幕截图。](media/what-is-b2b/consent-screen.png) ## 使用策略安全地共享你的应用和服务 可以使用身份验证和授权策略保护企业内容。 可在以下情况下强制执行多重身份验证等条件访问策略: - 租户级别 - 应用程序级别 - 针对特定来宾用户,保护企业应用和数据 ![显示“条件访问”选项的屏幕截图。](media/what-is-b2b/tutorial-mfa-policy-2.png) ## 自定义 B2B 来宾用户的载入体验 使用按组织需求自定义的方法引入外部合作伙伴。 - 使用[Microsoft Entra 权利管理](../id-governance/entitlement-management-overview)配置[管理外部用户访问权限](../id-governance/entitlement-management-external-users#how-access-works-for-external-users)的策略。 - 使用 [B2B 协作邀请 API](https://learn.microsoft.com/graph/api/resources/invitation) 自定义载入体验。