Compartilhar via

管理用于 B2B 协作的跨租户访问设置

使用外部标识跨租户访问设置来管理您如何通过 B2B 协作与其他 Microsoft Entra 组织协作。 这些设置确定外部 Microsoft Entra 组织中用户对您的资源的 入站 访问级别,以及您的用户对外部组织的 出站 访问级别。 它们还允许你信任来自其他Microsoft Entra组织的多重身份验证(MFA)和设备声明(符合性声明和Microsoft Entra混合联接声明)。 有关详细信息和规划注意事项,请参阅 Microsoft Entra External ID 中的跨租户访问权限。

跨云协作:不同 Azure 云租户中的合作伙伴组织可以相互设置 B2B 协作。 首先,两个组织必须都启用与对方协作,如“配置 Microsoft 云设置”中所述。 然后,每个组织可以选择修改其入站访问设置出站访问设置,如下所示。

重要

Microsoft 将于 2023 年 8 月 30 日开始使用跨租户访问设置将客户迁移到新的存储模型。 你可能会注意到审核日志中有一个条目,通知你在自动任务迁移你的设置时,跨租户访问设置已更新。 在迁移过程的短暂时段内,你将无法对设置进行更改。 如果无法进行更改,则应等待片刻,然后重试更改。 迁移完成后,将不再设置 25kb 的存储空间上限,并且不会再限制可添加的合作伙伴数量。

先决条件

注意

更改默认的入站或出站设置以阻止访问,这样做可能会阻止对你所在组织内或合作伙伴组织内的应用进行的现有业务关键访问。 请务必使用 Microsoft Entra 外部 ID 中有关跨租户访问的工具,并咨询业务利益相关者以确定所需的访问权限。

  • 在配置跨租户访问设置之前,先查看跨租户访问概述中的重要注意事项部分。
  • 使用这些工具并按照 识别入站和出站登录中的建议,了解用户当前正在访问哪些外部 Microsoft Entra 组织和资源。
  • 确定要应用于所有外部 Microsoft Entra 组织的默认访问级别。
  • 确定任何需要定制设置的 Microsoft Entra 组织,以便可以为其配置组织设置。
  • 如果要将访问设置应用于外部组织中的特定用户、组或应用程序,则需要在配置设置之前联系该组织了解相关信息。 获取其用户对象 ID、组对象 ID 或应用程序 ID(客户端应用 ID 或资源应用 ID),以便可以正确定位设置。
  • 如果要在外部Azure云中与合作伙伴组织设置 B2B 协作,请按照 配置Microsoft云设置中的步骤进行作。 合作伙伴组织中的管理员需要为租户执行相同的操作。
  • 邀请时会检查允许/阻止列表和跨租户访问设置。 如果用户的域名被列入允许名单,则可以邀请他们,除非该域名在跨租户访问设置中被明确阻止。 如果用户的域位于阻止列表中,则无论跨租户访问设置如何,都无法邀请他们。 如果用户不在任一列表中,我们将检查跨租户访问设置,以确定是否可以邀请他们。

配置默认设置

默认的跨租户访问设置适用于尚未创建组织特定自定义设置的所有外部组织。 如果要修改Microsoft Entra ID提供的默认设置,请执行以下步骤。

  1. 即以Security Administrator身份登录Microsoft Entra 管理中心

  2. 浏览到 Entra ID>外部标识>跨租户访问设置,然后选择 跨租户访问设置

  3. 选择“默认设置”选项卡,然后查看“摘要”页。

    显示“跨租户访问设置”的“默认设置”选项卡的屏幕截图

  4. 若要更改设置,请选择“编辑入站默认值”链接或“编辑出站默认值”链接。

    显示“默认设置”的“编辑”按钮的屏幕截图

  5. 按照以下部分中的详细步骤修改默认设置:

添加组织

按照以下步骤配置特定组织的自定义设置。

  1. 至少以安全管理员身份登录 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>外部标识>跨租户访问设置,然后选择 “组织设置”。

  3. 选择“添加组织”

  4. 在“添加组织”窗格中,键入组织的完整域名(或租户 ID)。

    显示“添加组织”的屏幕截图。

  5. 在搜索结果中选择组织,然后选择“添加”。

  6. 该组织将出现在“组织设置”列表中。 在此阶段,此组织的所有访问设置都继承自您的默认设置。 要更改该组织的设置,请选择“入站访问”或“出站访问”列下的“从默认值继承”链接。

    显示添加了默认设置的组织的屏幕截图。

  7. 按照以下部分中的详细步骤修改组织设置:

修改入站访问设置

使用入站设置,可以选择哪些外部用户和组能够访问所选的内部应用程序。 无论是配置默认设置还是特定于组织的设置,更改入站跨租户访问设置的步骤都是相同的。 如本部分中所述,您可以导航到“默认”选项卡或者“组织设置”选项卡中的某个组织,然后进行修改。

  1. 以安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>外部标识>跨租户访问设置

  3. 导航到要修改的设置:

    • 默认设置:要修改默认入站设置,请选择“默认设置”选项卡,然后在“入站访问设置”下选择“编辑入站默认值”。
    • 组织设置:要修改特定组织的设置,请选择“组织设置”选项卡,在列表中查找该组织(或添加一个组织),然后选择“入站访问权限”列中的链接。

  4. 对于要更改的入站设置,请执行以下详细步骤:

注意

如果在启用了 Microsoft SharePoint 和 Microsoft OneDrive 的 Microsoft Entra B2B 集成时使用本机共享功能,则必须将外部域添加到 外部协作设置。 否则,即使外部租户已添加到跨租户访问设置中,来自这些应用程序的邀请也可能会失败。

更改入站 B2B 协作设置

  1. 登录到 Microsoft Entra 管理中心,并至少具有 Security Administrator 的权限。

  2. 浏览至 Entra ID>外部标识>跨租户访问设置,然后选择 组织设置

  3. 选择 入站访问 列和 B2B 协作 中的链接(如果阻止所有外部用户和组的访问权限,则还需要阻止对所有内部应用程序的访问权限)。

  4. 如果要配置特定组织的入站访问设置,请选择下列选项之一:

    • 默认设置:选择此选项,如果您希望组织使用默认的入站设置(如在默认设置中配置)。如果您阻止所有外部用户和组的访问,则还需要阻止所有内部应用程序的访问。 如果已为该组织配置了自定义设置,则需要选择“”以确认要将所有设置替换为默认设置。 然后选择“保存”,并跳过此过程中的其余步骤。

    • 自定义设置:如果想要自定义将为此组织强制执行的设置,而不是使用默认设置,请选择此选项。 继续执行此过程中的其余步骤。

  5. 选择“外部用户和用户组”。

  6. 在“访问状态”下,选择下列项之一:

    • “允许访问”:允许“应用对象”下指定的用户和组受邀参加 B2B 协作。
    • 禁止访问:禁止在“Applies to”下指定的用户和组被邀请加入 B2B 合作。

    显示选择 B2B 协作用户访问状态的屏幕截图。

  7. 在“应用于”下,选择下列项之一:

    • 所有外部用户和组:将你在 Access 状态下选择的作应用于来自外部Microsoft Entra组织的所有用户和组。
    • 选择外部用户和组(需要Microsoft Entra ID P1 或 P2 订阅):允许在 Access 状态下选择的作应用于外部组织中的特定用户和组。

    注意

    如果阻止所有外部用户和用户组的访问权限,则还需要在“应用程序”选项卡上阻止访问所有内部应用程序。 如果已配置跨租户同步,则阻止所有外部用户和组的访问可能会阻止跨租户同步。

    显示选择目标用户和组的屏幕截图。

  8. 如果选择了“选择外部用户和用户组”,请对要添加的每个用户或用户组执行下列操作:

    • 选择“添加外部用户和用户组”。
    • 在“添加其他用户和组”窗格内的“搜索”框中,键入从合作伙伴组织获取的用户对象 ID 或组对象 ID。
    • 在“搜索”框旁边的菜单中,选择“用户”或“组”。
    • 选择 并添加

    注意

    无法在入站默认设置中以用户或组为目标。

    显示添加用户和组的屏幕截图。

  9. 添加用户和组后,选择“提交”。

    显示提交用户和组的屏幕截图。

  10. 选择“应用程序”选项卡。

  11. 在“访问状态”下,选择下列项之一:

    • 允许访问:允许 B2B 协作用户访问“适用对象”下指定的应用程序。
    • 阻止访问:阻止 B2B 协作用户访问应用于下指定的应用程序。

    显示应用程序访问状态的屏幕截图。

  12. 在“应用于”下,选择下列项之一:

    • 所有应用程序:将“访问状态”下选择的操作应用于所有应用程序。
    • 选择应用程序(需要 Microsoft Entra ID P1 或 P2 订阅):可以将您在访问状态下选择的操作应用于组织中的特定应用程序。

    注意

    如果阻止所有应用程序的访问权限,则还需要在“外部用户和用户组”选项卡上阻止访问所有外部用户和用户组。

    显示目标应用程序的屏幕截图。

  13. 如果选择了“选择应用程序”,请对要添加的每个应用程序执行以下操作:

    • 选择“添加 Microsoft 应用程序”或“添加其他应用程序”。
    • 在“选择”窗格的搜索框中键入应用程序名称或应用程序 ID(可以是客户端应用 ID 或资源应用 ID)。 然后在搜索结果中选择应用程序。 对要添加的每个应用程序重复此操作。
    • 完成应用程序选择后,单击“选择”。

    显示选择应用程序的屏幕截图。

  14. 选择“保存”

允许 Microsoft 应用程序的注意事项

如果要将跨租户访问设置配置为仅允许一组指定的应用程序,请考虑添加下表中显示的 Microsoft 应用程序。 例如,如果配置允许列表并且仅允许SharePoint Online,则用户无法访问My Apps或在资源租户中注册 MFA。 若要确保流畅的最终用户体验,请在入站和出站协作设置中包含以下应用程序。

应用程序 资源标识 门户中可用 详细信息
My Apps 2793995e-0a7d-40d7-bd35-6968ba142197 兑换邀请后的默认登陆页。 定义对 myapplications.windowsazure.cn 的访问权限。
Microsoft应用访问面板 0000000c-0000-0000-c000-000000000000 在“我的登录”中加载某些页面时,在某些后期绑定调用中使用。例如,“安全信息”边栏选项卡或“组织”切换器。
我的个人资料 8c59ead7-d703-4a27-9e55-c96a0054c8d2 定义对 myaccount.windowsazure.cn(包括“我的组”和“我的访问”门户)的访问权限。 “我的个人资料”中的某些选项卡需要此处列出的其他应用才能正常工作。
我的登录 19db86c3-b2b9-44cc-b339-36da233a3be2 定义对 mysignins.windowsazure.cn 的访问权限,包括对“安全信息”的访问权限。 如果需要用户在资源租户中注册并使用 MFA(例如,主租户中的 MFA 未被信任),则允许此应用程序。

上表中的某些应用程序不允许从Microsoft Entra管理中心进行选择。 若要允许它们,请使用Microsoft Graph API添加它们,如以下示例所示:

PATCH https://microsoftgraph.chinacloudapi.cn/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id> 
{ 
    "b2bCollaborationInbound": { 
        "applications": { 
            "accessType": "allowed", 
            "targets": [ 
                { 
                    "target": "2793995e-0a7d-40d7-bd35-6968ba142197", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "0000000c-0000-0000-c000-000000000000", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2", 
                    "targetType": "application" 
                }, 
                { 
                    "target": "19db86c3-b2b9-44cc-b339-36da233a3be2", 
                    "targetType": "application" 
                } 
            ] 
        } 
    } 
}

注意

请务必在 PATCH 请求中包含要允许的任何其他应用程序,因为这将覆盖以前配置的任何应用程序。 可以通过门户或通过在合作伙伴策略上运行 GET 请求来手动检索已配置的应用程序。 例如: GET https://microsoftgraph.chinacloudapi.cn/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>

注意

通过 Microsoft Graph API 添加且未映射到 Microsoft Entra 管理中心可用应用程序的应用程序将显示为应用 ID。

不能将Microsoft管理门户应用添加到Microsoft Entra管理中心的入站和出站跨租户访问设置。 若要允许外部访问Microsoft管理门户,请使用Microsoft Graph API单独添加属于Microsoft管理门户应用组的以下应用:

  • Azure门户 (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Microsoft Entra管理中心(c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
  • Microsoft 365 Defender门户网站(80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Microsoft Intune管理中心 (80ccca67-54bd-44ab-8625-4b79c4dc7775)
  • Microsoft Purview门户 (80ccca67-54bd-44ab-8625-4b79c4dc7775)

配置兑换订单

若要自定义来宾用户在接受邀请时可以用于登录的标识提供者的顺序,请执行以下步骤。

  1. 至少以 安全管理员 的身份登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>外部标识>跨租户访问设置

  3. 在“默认设置”选项卡的“入站访问设置”下选择“编辑入站默认值”

  4. 在“B2B 协作”选项卡上,选择“兑换订单”选项卡。

  5. 上移或下移身份提供者以便更改来宾用户接受邀请后登录的顺序。 也可以在此处将兑换顺序重置为默认设置。

    显示“兑换订单”选项卡的屏幕截图。

  6. 选择“保存”

Microsoft Entra ID已验证域的 SAML/WS-Fed 联合身份验证(直接联合)

现在可以将列入的 Microsoft Entra ID(已验证域)添加以设置直接联合关系。 首先,需要在管理中心或通过 API 设置直接联合配置。 确保域未在同一租户中经过验证。 设置该配置后,可以自定义兑换顺序。 SAML/WS-Fed IdP 作为最后一项添加到兑换顺序。 可以在交换顺序中将其上移,将其设置为高于Microsoft Entra身份提供者。

阻止 B2B 用户使用 Microsoft 帐户兑换邀请

若要阻止 B2B 来宾用户使用其现有 Microsoft 帐户兑换邀请,或者创建新帐户来接受邀请,请执行以下步骤。

  1. 至少以安全管理员的身份登录到Microsoft Entra 管理中心

  2. 浏览到 Entra ID>外部标识>跨租户访问设置

  3. 在“默认设置”选项卡的“入站访问设置”下选择“编辑入站默认值”

  4. 在“B2B 协作”选项卡上,选择“兑换订单”选项卡。

  5. 在“回退身份提供程序”下,禁用 Microsoft 服务帐户 (MSA)。

    Screenshot of the fallback identity providers option.回退标识提供者选项的屏幕截图。

  6. 选择“保存”

您需要在任何时候至少启用一个备用身份提供者。 如果要禁用 Microsoft 帐户,必须启用电子邮件一次性密码。 您不能同时禁用这两个回退标识提供者。 使用 Microsoft 帐户登录的任何现有来宾用户都将在后续登录期间继续使用它。需要重置其兑换状态才能应用此设置。

更改适用于 MFA 和设备声明的入站信任设置

  1. 选择“信任设置”选项卡。

  2. (此步骤仅适用于组织设置。)如果要为组织配置设置,请选择下列项之一:

    • 默认设置:组织使用在“默认设置”选项卡上配置的设置。如果已为该组织配置了自定义设置,请选择“”以确认要将所有设置替换为默认设置。 然后选择“保存”,并跳过此过程中的其余步骤。

    • 自定义设置:可以自定义将为此组织强制执行的设置,而不是使用默认设置。 继续执行此过程中的其余步骤。

  3. 选择以下一个或多个选项:

    • 信任来自Microsoft Entra租户的多重身份验证:选中此复选框,允许条件访问策略信任来自外部组织的 MFA 声明。 在身份验证期间,Microsoft Entra ID检查用户的凭据,以获取用户已完成 MFA 的声明。 否则,将在用户的主租户中启动 MFA 验证。 如果外部用户使用精细委派的管理员权限(GDAP)登录,则不会应用此设置,例如由管理租户中服务的云服务提供商的技术人员使用。 当外部用户使用 GDAP 登录时,用户的主租户始终需要 MFA,并且资源租户始终信任 MFA。 在用户的主租户之外,不支持 GDAP 用户的 MFA 注册。 如果你的组织要求禁止访问基于用户主租户中的 MFA 的服务提供商技术人员,则可以删除 Microsoft 365 管理中心中的 GDAP 关系。

    • 信任兼容设备:允许条件访问策略在其用户访问资源时信任来自外部组织的合规设备声明

    • 信任 Microsoft Entra 混合加入的设备:允许您的条件访问策略在来自外部组织的用户访问您的资源时,信任 Microsoft Entra 的混合加入设备声明。

    显示信任设置的屏幕截图。

  4. (此步骤仅适用于组织设置。)查看自动兑换选项:

    • 向租户自动兑换邀请<租户>:如果要自动兑换邀请,请选中此设置。 如果是这样,则指定租户中的用户在首次使用 B2B 协作访问此租户时不必接受同意提示。 仅当指定的租户也会针对出站访问检查此设置时,此设置才会抑制同意提示。

    显示入站“自动兑换”复选框的屏幕截图。

  5. 选择“保存”

修改出站访问设置

使用出站设置,可以选择哪些用户和组能够访问所选的外部应用程序。 无论是配置默认设置还是特定于组织的设置,更改出站跨租户访问设置的步骤都是相同的。 如本部分中所述,您可以导航到“默认”选项卡或者“组织设置”选项卡中的某个组织,然后进行修改。

  1. 至少以 安全管理员 的身份登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>外部标识>跨租户访问设置

  3. 导航到要修改的设置:

    • 要修改默认入站设置,请选择“默认设置”选项卡,然后在“入站访问设置”下选择“编辑入站默认值”。

    • 要修改特定组织的设置,请选择“组织设置”选项卡,在列表中查找该组织(或添加一个组织),然后选择“出站访问权限”列中的链接

  4. 选择“B2B 协作”选项卡。

  5. (此步骤仅适用于组织设置。)如果要为组织配置设置,请选择下列选项之一:

    • 默认设置:组织使用在“默认设置”选项卡上配置的设置。如果已为该组织配置了自定义设置,则需要选择“”以确认要将所有设置替换为默认设置。 然后选择“保存”,并跳过此过程中的其余步骤。

    • 自定义设置:可以自定义将为此组织强制执行的设置,而不是使用默认设置。 继续执行此过程中的其余步骤。

  6. 选择“用户和组” 。

  7. 在“访问状态”下,选择下列项之一:

    • 允许访问:允许“应用于”中指定的用户和组被邀请加入外部组织进行 B2B 协作。
    • 阻止访问:阻止在“应用于”下指定的用户和组受邀参加 B2B 协作。 如果阻止对所有用户和组的访问权限,这也会阻止通过 B2B 协作访问所有外部应用程序。

    显示 B2B 协作的用户和组访问状态的屏幕截图。

  8. 在“应用于”下,选择下列项之一:

    • 所有<组织>用户:将“访问状态”下选择的操作应用于所有用户和用户组
    • 选择 <您组织的>用户和组(需要 Microsoft Entra ID P1 或 P2 订阅):允许您将访问状态下选择的操作应用于特定的用户和组。

    注意

    如果阻止所有用户和用户组的访问权限,则还需要在“外部应用程序”选项卡上阻止访问所有外部应用程序。

    屏幕截图显示正在选择 b2b 协作的目标用户。

  9. 如果选择了“选择<你所在组织>的用户和用户组”,请对要添加的每个用户或用户组执行下列操作:

    • 选择添加你的组织用户和组
    • 在“选择”窗格的搜索框中,键入用户名或用户组名。
    • 在搜索结果中选择用户或用户组。
    • 选择要添加的用户和用户组后,选中“选择”。

    注意

    面向用户和组时,将无法选择已配置 基于短信的身份验证的用户。 因为对其用户对象上具有“联合身份验证凭据”的用户进行了阻止,以防止外部用户被添加到出站访问设置中。 解决方法是,可以使用 Microsoft Graph API直接添加用户的对象 ID 或将用户所属的组作为目标。

  10. 选择“外部应用程序”选项卡。

  11. 在“访问状态”下,选择下列项之一:

    • 允许访问:允许用户通过 B2B 协作访问“应用于”下指定的外部应用程序。
    • 阻止访问:阻止用户通过 B2B 协作访问“应用于”下指定的外部应用程序。

    显示 B2B 协作的应用程序访问状态的屏幕截图。

  12. 在“应用于”下,选择下列项之一:

    • 所有外部应用程序:将“访问状态”下选择的操作应用于所有外部应用程序。
    • 选择外部应用程序:将“访问状态”下选择的操作应用于所有外部应用程序。

    注意

    如果阻止所有外部应用程序的访问权限,则还需要在“所有用户和用户组”选项卡上阻止访问所有用户和用户组。

    显示 b2b 协作的应用程序目标的屏幕截图。

  13. 如果选择了“选择外部应用程序”,请对要添加的每个应用程序执行以下操作:

    • 选择“添加 Microsoft 应用程序”或“添加其他应用程序”。
    • 在搜索框中,键入应用程序名称或应用程序 ID(可以是客户端应用 ID 或资源应用 ID)。 然后在搜索结果中选择应用程序。 对要添加的每个应用程序重复此操作。
    • 完成应用程序选择后,单击“选择”。

    屏幕截图显示用于 B2B 协作的应用程序的选择过程。

  14. 选择“保存”

更改出站信任设置

(此部分仅适用于组织设置。)

  1. 选择“信任设置”选项卡。

  2. 查看“自动兑换”选项:

    • 向租户自动兑换邀请<租户>:如果要自动兑换邀请,请选中此设置。 如果是这样,则此租户中的用户在首次使用 B2B 协作访问指定租户时不必接受同意提示。 仅当指定的租户也会针对入站访问检查此设置时,此设置才会抑制同意提示。

      显示出站自动兑换复选框的屏幕截图。

  3. 选择“保存”

删除组织

从组织设置中删除组织时,默认的跨租户访问设置将对该组织生效。

注意

如果组织是组织的云服务提供商(Microsoft Graph partner 特定配置中的 isServiceProvider 属性为 true),则无法删除组织。

  1. 至少以安全管理员身份登录Microsoft Entra 管理中心

  2. 浏览到 Entra ID>外部标识>跨租户访问设置

  3. 选择“组织设置”选项卡。

  4. 在列表中找到组织,然后选择该行上的垃圾桶图标。

相关内容

  • Last updated on