B2B 协作概述

Azure Active Directory (Azure AD) 企业到企业 (B2B) 协作是外部标识的一项功能,使你能够邀请来宾用户同组织一起协作。 使用 B2B 协作,可以安全地将公司的应用程序和服务与外部用户共享,同时保持对自己公司数据的控制。 与外部合作伙伴安全放心地合作,不论其规模是大是小,甚至就算他们没有 Azure AD 或 IT 部门也无妨。

说明 B2B 直连的图表。

合作伙伴通过一个简单的邀请和兑换过程即可使用自己的凭据来访问公司资源。 外部用户兑换其邀请或完成注册后,他们将在目录中表示为用户对象。 B2B 协作用户对象通常具有“guest”用户类型,并且可以通过用户主体名称中的 #EXT# 扩展进行标识。

开发人员可以使用 Azure AD 企业到企业 API 自定义邀请处理或编写自助注册门户之类的应用程序。 若要了解与来宾用户相关的许可和定价信息,请参阅 Azure Active Directory 外部标识定价

与使用自己标识的任何合作伙伴协作

借助 Azure AD B2B,合作伙伴可使用自己的标识管理解决方案,因此组织省去了外部管理开销。 来宾用户可使用自己的工作或学校标识登录应用和服务。

  • 合作伙伴使用自己的标识和凭据;
  • 不需要管理外部帐户或密码。
  • 不需要同步帐户或管理帐户生命周期。

管理与其他组织和云的协作

默认启用 B2B 协作,但通过全面管理员设置,可控制与外部合作伙伴和组织之间的入站和出站 B2B 协作:

  • 若要与其他 Azure AD 组织进行 B2B 协作,请使用跨租户访问设置。 管理入站和出站 B2B 协作,并将访问范围设定为特定用户、组和应用程序。 设置适用于所有外部组织的默认配置,然后根据需要创建特定于个人、组织的设置。 使用跨租户访问设置时,还可以信任来自其他 Azure AD 组织的多重身份验证 (MFA) 和设备声明(合规声明和已建立混合 Azure AD 联接的声明)。

  • 使用外部协作设置来定义谁可邀请外部用户、允许或阻止 B2B 特定域,并就来宾用户对目录的访问权限设置限制。

  • 使用 Microsoft 云设置(预览版)在 Azure 全球云与 Azure 中国世纪互联之间建立相互 B2B 协作。

从 Azure AD 门户轻松地邀请来宾用户

管理员可以在 Azure 门户中轻松地向组织添加来宾用户。

  • 在 Azure AD 中创建新的来宾用户,方法类似于添加新用户。
  • 将来宾用户分配到应用或组。
  • 发送包含兑换链接的邀请电子邮件或发送要共享的应用的直接链接。

显示“新建来宾用户邀请”入口页的屏幕截图。

  • 来宾用户按照几个简单的兑换步骤操作即可登录。

显示“查看权限”页的屏幕截图。

使用策略安全地共享你的应用和服务

可以使用身份验证和授权策略保护企业内容。 可在以下级别强制执行多重身份验证等条件访问策略:

  • 租户级别。
  • 应用程序级别。
  • 针对特定来宾用户,保护企业应用和数据。

显示“条件访问”选项的屏幕截图。

自定义 B2B 来宾用户的载入体验

使用按组织需求自定义的方法引入外部合作伙伴。

后续步骤