概述:为工作人员提供与外部来宾的 B2B 协作
适用于: 员工租户 外部租户(了解详细信息)
Microsoft Entra 外部 ID 包括协作功能,使员工能够与业务合作伙伴和来宾安全地协作。 在员工租户中,可以使用 B2B 协作将公司的应用程序和服务与来宾共享,同时保持对自己公司数据的控制。 与外部合作伙伴安全地合作,即使他们没有 Microsoft Entra ID 或 IT 部门也无妨。
合作伙伴通过一个简单的邀请和兑换过程即可使用自己的凭据来访问公司资源。 来宾兑换其邀请或完成注册后,他们将在目录中表示为用户对象。 这些 B2B 协作用户的用户类型通常设置为“来宾”,其用户主体名称包含 #EXT# 标识符。
开发人员可以使用 Microsoft Entra 企业到企业 API 自定义邀请过程或编写应用程序。 如需了解与来宾用户相关的许可和定价信息,请参阅Microsoft Entra 外部 ID 定价。
与使用自己标识的任何合作伙伴进行协作
借助 Microsoft Entra B2B,合作伙伴可使用自己的标识管理解决方案,因此组织省去了外部管理开销。 来宾用户可使用自己的工作、学校或社交标识登录应用和服务。
- 合作伙伴是否有 Microsoft Entra 帐户,都可以使用其自己的标识和凭据。
- 不需要管理外部帐户或密码。
- 不需要同步帐户或管理帐户生命周期。
管理与其他组织的 B2B 协作
默认启用 B2B 协作,但通过全面管理员设置,可控制与外部合作伙伴和组织之间的入站和出站 B2B 协作。
跨租户访问设置。 对于与其他 Microsoft Entra 组织的 B2B 协作,请使用跨租户访问设置来控制哪些用户可以对哪些资源进行身份验证。 管理入站和出站 B2B 协作,并将访问范围设定为特定用户、组和应用程序。 设置适用于所有外部组织的默认配置,然后根据需要创建特定于个人、组织的设置。 使用跨租户访问设置时,还可以信任来自其他 Microsoft Entra 组织的多重身份验证 (MFA) 和设备声明(合规声明和 Microsoft Entra 混合加入声明)。
外部协作设置。 使用外部协作设置定义谁可以邀请来宾作为来宾加入组织。 还可以允许或阻止 B2B 特定域,并设置对来宾用户访问目录的限制。
这些设置用于管理 B2B 协作的两个不同方面。 跨租户访问设置控制用户是否可以使用外部 Microsoft Entra 租户进行身份验证。 它们适用于入站和出站 B2B 协作。 与此相反,外部协作设置控制允许组织中的哪些用户向任何组织的来宾发送 B2B 协作邀请。
跨租户访问和外部协作设置如何协同工作
考虑与特定外部 Microsoft Entra 组织进行 B2B 协作时,请确定跨租户访问设置是否允许与该组织进行 B2B 协作。 还要考虑外部协作设置是否允许用户向该组织的域发送邀请。 以下是一些示例:
示例 1:你之前已在外部协作设置中将
adatum.com
(一个 Microsoft Entra 组织)添加到阻止域列表中,但你的跨租户访问设置针对所有 Microsoft Entra 组织启用了 B2B 协作。 在这种情况下,将应用最严格的设置。 你的外部协作设置将阻止你的用户向adatum.com
中的用户发送邀请。示例 2:允许在跨租户访问设置中与 Fabrikam 进行 B2B 协作,但随后您在外部协作设置中将 添加到了阻止域中。 用户无法邀请新的 Fabrikam 业务来宾,但现有的 Fabrikam 来宾可以继续使用 B2B 协作。
对于执行跨租户登录的 B2B 协作最终用户,即使未指定自定义品牌,也会显示其主租户品牌。 在以下示例中,Woodgrove Groceries 的公司品牌显示在左侧。 右侧的示例显示用户主租户的默认品牌。
管理与其他 Microsoft Cloud 的 B2B 协作
Azure 云服务在单独的国家云中可用,这些云是以物理方式隔离的 Azure 的实例。 越来越多的组织发现需要跨全球云和国家云边界与组织和用户协作。 使用 Microsoft 云设置,你可以在以下 Azure 云之间建立相互 B2B 协作:
- Azure 全球云和 Azure 政府
- Azure 全球云和由世纪互联运营的 Microsoft Azure
若要在不同云中的租户之间设置 B2B 协作,这两个租户都需要配置其 Microsoft 云设置,以实现与其他云的协作。 然后,每个租户都需要配置与另一个云的租户之间的入站和出站跨租户访问。 请参阅 Microsoft 云设置,了解详细信息。
从 Microsoft Entra 管理中心轻松邀请来宾用户
管理员可以在管理中心轻松地向组织添加来宾用户。
- 在 Microsoft Entra 中新建来宾用户,方法类似于添加新用户。
- 将来宾用户分配到应用或组。
- 发送包含兑换链接的邀请电子邮件或发送要共享的应用的直接链接。
- 来宾用户按照几个简单的兑换步骤操作即可登录。
使用策略安全地共享你的应用和服务
可以使用身份验证和授权策略保护企业内容。 可在以下情况下强制执行多重身份验证等条件访问策略:
- 租户级别
- 应用程序级别
- 针对特定来宾用户,保护企业应用和数据
自定义 B2B 来宾用户的载入体验
使用按组织需求自定义的方法引入外部合作伙伴。
- 使用Microsoft Entra 权利管理配置管理外部用户访问权限的策略。
- 使用 B2B 协作邀请 API 自定义载入体验。