这些有关Microsoft Entra企业对企业(B2B)协作的常见问题(常见问题解答)会定期更新,以包含新主题。
B2B 协作中的来宾用户登录体验有什么变化?
自 2025 年 7 月起,Microsoft将推出更新,改善来宾用户登录体验,以提升 B2B 合作。 推出持续到2025年底。 通过此更新,将来宾用户重定向到他们各自组织的登录页面以输入凭据。 来宾用户会看到其主租户的品牌和 URL 端点。 此步骤可确保更清楚地了解要使用的登录信息。 在自己的组织中成功进行身份验证后,来宾用户将返回到组织以完成登录过程。
B2B 协作用户可以访问 SharePoint Online 和 OneDrive吗?
Yes. 但是,默认情况下,使用人员选取器在 SharePoint Online 中搜索现有来宾用户的功能是关闭的。 要启用该选项来搜索现有来宾用户,请将 ShowPeoplePickerSuggestionsForGuestUsers 为 On。 可以在租户级别或站点集合级别启用此设置。 可以使用 Set-SPOTenant 和 Set-SPOSite cmdlet 更改此设置。 使用这些 cmdlet,成员可以搜索目录中的所有现有来宾用户。 租户范围中的更改不会影响已预配SharePoint Online 网站。
B2B 协作用户可以访问Power BI内容吗?
是的,可以使用 B2B 协作向外部来宾用户分发 Power BI 内容。 为了在Azure云之间共享Power BI内容,您可以使用Microsoft云设置在云和外部云之间建立互惠的B2B协作。
是否仍支持 CSV 上传功能?
Yes. 有关使用 .csv 文件上传功能的详细信息,请参阅此 PowerShell 示例。
我能否自定义邀请电子邮件?
使用 B2B 邀请 API,几乎可以自定义有关邀请者过程的所有内容。
来宾用户是否可以重置其多重身份验证方法?
Yes. 来宾用户可以像普通用户一样重置其多重身份验证方法。
哪家组织负责提供多重身份验证许可证?
邀请方组织执行多重身份验证。 邀请方组织必须确保为其使用多重身份验证的 B2B 用户提供足够的许可证。
如果合作伙伴组织已设置多重身份验证会怎样? 我们能否信任他们的多重身份验证?
跨租户访问设置使您能够信任来自其他Microsoft Entra组织的多重身份验证和设备声明(合规声明和Microsoft Entra混合加入声明)。
可以在跨租户访问设置中添加多少个组织?
跨租户访问设置是目录中的策略,用于存储设置,以便与其他组织协作。 可以在跨租户访问设置中添加的组织数量没有限制。
如何使用延迟发送的邀请?
某家组织想要添加 B2B 协作用户,根据需要将这些用户预配到应用程序中,然后发送邀请。 可以使用 B2B 协作邀请 API 自定义载入工作流。
能否在 Exchange 全局地址列表中显示来宾用户?
Yes. 默认情况下,来宾对象在组织的全局地址列表中不可见,但你可以使它们可见。 有关详细信息,请参阅 Microsoft 365 每个组来宾访问文章中的将来宾添加到全局地址列表。
是否可将来宾用户指定为受限制的管理员?
Absolutely. 有关更多信息,请参阅将访客用户添加到角色。
Microsoft Entra B2B 协作是否允许 B2B 用户访问Microsoft Entra管理中心?
除非为用户分配了受限管理员的角色,否则 B2B 协作用户不需要访问Microsoft Entra管理中心。 但是,分配有受限管理员角色的 B2B 协作用户可以访问门户。 另外,如果未被分配这些管理员角色之一的来宾用户访问门户网站,该用户可能可以访问体验中的某些部分。 来宾用户角色具有目录中的某些权限。
我可以阻止来宾用户访问 Microsoft Entra 管理中心吗?
是的,你可以创建一个条件访问策略,阻止来宾用户访问管理中心或门户。 配置条件访问策略时,可以精细控制要应用策略的外部用户的类型。 配置此策略时请小心,避免意外阻止成员和管理员的访问。 详细了解适用于外部用户的条件访问。
Microsoft Entra B2B 协作是否支持多重身份验证和使用者电子邮件帐户?
Yes. Microsoft Entra B2B 协作支持多重身份验证和消费者电子邮件帐户。
是否支持 Microsoft Entra B2B 协作用户的密码重置?
如果Microsoft Entra租户是用户的主目录,则可以从Microsoft Entra管理中心重置用户的密码。 但是,对于通过另一个 Microsoft Entra 目录或外部身份提供商管理的帐户登录的来宾用户,您无法直接重置其密码。 只有用户主目录中的来宾用户或管理员可以重置密码。 以下示例演示来宾用户如何重置密码:
标记为“Guest”(UserType==Guest)的Microsoft Entra租户中的来宾用户无法通过 https://mysignins.windowsazure.cn/security-info 注册 SSPR。 这些类型的来宾用户只能通过 https://passwordreset.activedirectory.windowsazure.cn 执行 SSPR。
使用 Microsoft 帐户(例如 guestuser@live.com)登录的来宾用户可以使用 Microsoft 帐户自助密码重置 (SSPR) 来重置其自己的密码。 请参阅如何重置 Microsoft 帐户密码。
使用外部标识提供者登录的来宾用户可以使用其标识提供者的 SSPR 方法来重置自己的密码。
如果标识租户是实时(JIT)或“病毒”租户(这意味着它是单独的非托管Azure租户),则只有来宾用户可以重置其密码。 有时,当员工使用其工作电子邮件地址注册服务时,组织会接管这些自发创建的租户的管理。 组织接管病毒性租户后,只有该组织中的管理员可以重置用户密码或启用 SSPR。 如果需要,作为邀请方组织,你可以从目录中删除来宾用户帐户并重新发送邀请。
如果来宾用户的主目录位于 Microsoft Entra 租户中,您可以重置用户的密码。 例如,你可能已创建用户或从on-premises Active Directory同步用户并将其 UserType 设置为 Guest。 由于此用户驻留在目录中,因此可以从Microsoft Entra管理中心重置其密码。
Microsoft Dynamics 365是否为Microsoft Entra B2B 协作提供联机支持?
是的,Dynamics 365(联机)支持Microsoft Entra B2B 协作。 有关详细信息,请参阅 Dynamics 365 文章 邀请用户参与 Microsoft Entra B2B 协作。
新创建的 B2B 协作用户的初始密码的生存期是什么?
Microsoft Entra ID具有一组固定的字符、密码强度和帐户锁定要求,这些要求同样适用于所有Microsoft Entra云用户帐户。 云用户帐户是没有与其他标识提供者联合的帐户,例如
- Microsoft 帐户
- 活动目录联合服务 (Active Directory Federation Services)
- 其他云租户(用于 B2B 协作)
对于联合帐户,密码策略取决于在本地租户中应用的策略和用户的 Microsoft 帐户设置。
组织可能希望在其应用程序中为租户用户和来宾用户提供不同的体验。 是否有针对此事项的标准指南? 标识提供者声明是否是可用的适当模型?
来宾用户可以使用任何身份提供商进行身份验证。 有关详细信息,请参阅 B2B 协作用户的属性。 使用 UserType 属性确定用户体验。 令牌中当前未包括 UserType 声明。 应用程序应使用Microsoft Graph API来查询用户的目录,并获取 UserType。
可在何处找到 B2B 协作社区以共享解决方案和提交意见?
我们会在改进 B2B 协作的过程中不断听取反馈。 请共享用户方案、最佳做法以及你喜欢Microsoft Entra B2B 协作的内容。 加入 Microsoft 技术社区的讨论。
我们还邀请你在 B2B Collaboration Ideas 提交你的想法并投票支持未来的功能。
是否可以发送自动兑换的邀请,以便用户只需“准备前往”即可? 或者用户是否必须一直点击以访问兑换URL?
可以使用 UI、PowerShell 脚本或 API 邀请合作伙伴组织中的其他用户。 然后,可以向来宾用户发送指向共享应用的直接链接。 在大多数情况下,不再需要打开电子邮件邀请并单击兑换 URL。 请参阅 Microsoft Entra B2B 协作邀请兑换。
当受邀合作伙伴使用联合身份管理来添加他们自己的本地身份验证时,B2B 协作如何进行?
如果合作伙伴具有与本地身份验证基础结构联合的Microsoft Entra租户,则会自动实现本地单一登录(SSO)。 如果合作伙伴没有Microsoft Entra租户,则会为新用户创建Microsoft Entra帐户。
Azure AD B2C 本地帐户是否可以邀请到 Microsoft Entra 租户中进行 B2B 协作?
No. Azure AD B2C 本地帐户只能用于登录到 Azure AD B2C 租户。 该账户无法用于登录 Microsoft Entra 租户。 不支持将 Azure AD B2C 本地帐户邀请到 Microsoft Entra 租户进行 B2B 协作。
Important
自 2025 年 5 月 1 日起,Azure AD B2C 将不再可供新客户购买。 若要了解详细信息,请参阅常见问题解答中的 Azure AD B2C 是否仍可购买?。
哪些应用程序和服务支持Azure B2B 来宾用户?
所有 Microsoft Entra 集成的应用程序都可以支持 Azure B2B 来宾用户,但必须使用配置为租户的终结点来验证来宾用户的身份。 可能还需要在来宾用户对应用进行身份验证时颁发的 SAML 令牌中自定义声明。
如果合作伙伴未启用多重身份验证,我们是否可以强制 B2B 来宾用户使用多重身份验证?
Yes. 有关详细信息,请参阅B2B 协作用户的条件访问。
在SharePoint中,可以为外部用户定义“允许”或“拒绝”列表。 我们能在Azure中做到这一点吗?
Yes. Microsoft Entra B2B 协作支持允许列表和阻止列表。
如果受邀用户的电子邮件和 UPN 不匹配会怎么样?
视情况而定。 默认情况下,Microsoft Entra仅允许 UPN 登录 ID。 当 UPN 和电子邮件相同时,Microsoft Entra B2B 邀请和后续登录按预期工作。 当用户的电子邮件地址与 UPN 不匹配时,可能会出现问题,尤其是在使用电子邮件而不是 UPN 登录的情况下。 使用非 UPN 电子邮件邀请用户时,用户可通过电子邮件邀请链接兑换邀请,而无法通过直接链接进行兑换。 但是,即使用户成功兑换邀请,使用非 UPN 电子邮件的后续登录尝试也会失败,除非标识提供者(Microsoft Entra ID或联合标识提供者)配置为允许电子邮件作为替代登录 ID。 可以通过以下方式来缓解该问题:
- 在受邀/主页Microsoft Entra租户中将电子邮件作为备用登录 ID 启用
- 启用联合标识提供者以登录 ID 的形式支持电子邮件(如果Microsoft Entra ID与另一个标识提供者联合) 或
- 指示用户使用其 UPN 兑换/登录。
要完全避免此问题,管理员应确保用户的 UPN 和电子邮件值相同。
Note
跨Azure云发送的邀请和兑换必须使用 UPN。 目前不支持电子邮件。 例如,如果邀请美国政府租户中的用户加入商业租户,则必须使用其 UPN 来邀请该用户。
即时启动:哪些原因会导致复制延迟?
通过 B2B 协作流,我们将用户添加到目录,并在邀请兑换过程、应用分配等期间动态更新用户。 更新和写入通常发生在一个目录实例中,并且必须复制到所有实例中。 更新所有实例后完成复制。 有时,如果在一个实例中编写或更新对象,但是检索该对象的调用针对的是另一个实例,就会出现复制延迟。 如果发生这种情况,刷新或重试可有所帮助。 如果您使用我们的 API 编写应用程序,那么在重试时采取一些退避措施是一个很好的防御性做法,可以缓解这个问题。