通过

启用跨 Azure 云的 B2B 协作

在不同的 Azure 云环境中的 Entra 组织需要协作时,可以使用 Microsoft 云设置来启用 Entra B2B 协作。 以下全球和主权 Azure 云之间支持 B2B 协作:

  • Microsoft Azure商业云和Microsoft Azure Government
  • 微软 Azure 商业云和由世纪互联运营的微软 Azure

重要

如本文所述,两个组织必须启用彼此协作。 然后,每个组织可以选择修改其入站和出站访问设置,如“为 B2B 协作配置跨租户访问设置”中所述。

若要在不同Azure云中的两个组织之间启用协作,每个组织中的管理员完成以下步骤:

  1. 配置其Microsoft云设置,以启用与合作伙伴云的协作。

  2. 使用合作伙伴的租户 ID 查找合作伙伴并将其添加到组织设置。

  3. 为合作伙伴组织配置入站和出站设置。 管理员可以应用默认设置,或者为合作伙伴配置特定的设置。

每个组织完成这些步骤后,将启用 Microsoft Entra B2B 协作,使组织之间的合作成为可能。

开始之前

  • 获取合作伙伴的租户 ID。 若要在另一个Azure云中启用与合作伙伴Microsoft Entra组织的 B2B 协作,需要合作伙伴的租户 ID。 在跨云方案中无法使用组织的域名进行查找。
  • 确定合作伙伴的入站和出站访问配置。 在 Microsoft 云设置中选择某个云服务不会自动启用B2B协作。 启用另一个Azure云后,默认情况下,该云中的组织会阻止所有 B2B 协作。 需要将你要与其协作的租户添加到组织设置中。 此时,默认设置仅对该租户生效。 可以允许默认设置保持生效。 您可以修改组织的入站和出站设置。
  • 获取任何所需的对象 ID 或应用 ID。 若要将访问设置应用于合作伙伴组织中的特定用户、组或应用程序,需要在配置设置之前联系该组织,了解相关信息。 获取其用户对象 ID、组对象 ID 或应用程序 ID(客户端应用 ID 或资源应用 ID),以便可以正确定位设置。

注意

必须使用用户主体名(UPN)来邀请来自另一个 Azure 云的用户。 与另一Azure云中的用户协作时,当前不支持以登录身份发送电子邮件。

在Microsoft云设置中启用云

在Microsoft云设置中,启用要与之协作的Azure云。

  1. 请以至少安全管理员的身份登录Microsoft Entra 管理中心

  2. 浏览到 Entra ID>外部标识>Cross-tenant 访问设置,然后选择 Microsoft 云设置

  3. 选中要启用的外部Azure云旁边的复选框。

    Microsoft 云设置页,其中选择了外部云选项。

    跨云同步设置复选框适用于跨云的同步。

注意

选择一个云不会自动启用与该云中组织的 B2B 协作。 您需要添加您希望合作的组织,如下一部分中所述。

将租户添加到组织设置

按照以下步骤将你要与其协作的租户添加到组织设置中。

  1. 请以至少安全管理员的身份登录Microsoft Entra 管理中心

  2. 浏览到 Entra ID>External Identities>跨租户访问设置,然后选择组织设置

  3. 选择“添加组织”。

  4. 在“添加组织”窗格中,键入组织的租户 ID(目前无法按域名进行跨云查找)。

    添加已输入跨云租户 ID 的组织窗格。

  5. 在搜索结果中选择组织,然后选择“添加”。

  6. 该组织将出现在“组织设置”列表中。 目前,此组织的所有访问设置均继承自您的默认设置。

    显示已添加的组织继承默认访问设置的组织设置列表。

  7. 若要更改此组织的跨租户访问设置,请在“入站访问”或“出站访问”列下选择“从默认继承”的链接。 然后按照以下部分中的详细步骤操作:

登录接口

当您启用与来自不同 Azure 云的组织的协作后,不同云实例间的 Microsoft Entra 来宾用户现在可以使用 common 终结点(也就是说,不包含租户上下文的通用应用程序 URL)登录到您的多租户或 Microsoft 第一方应用程序。 在登录过程中,来宾用户选择“登录选项”,然后选择“登录到组织” 。 然后,用户键入组织的名称,并继续使用其Microsoft Entra凭据登录。

跨云的 Microsoft Entra 来宾用户也可以使用包含您租户信息的应用程序终结点,例如:

  • https://myapplications.windowsazure.cn/?tenantid=<your tenant ID>
  • https://myapplications.windowsazure.cn/<your verified domain>.partner.onmschina.cn
  • https://contoso.sharepoint.com/sites/testsite

您还可以通过包含租户信息(例如https://myapplications.windowsazure.cn/signin/X/<application ID>?tenantId=<your tenant ID>),为跨多个云的 Microsoft Entra 来宾用户提供应用程序或资源的直接链接。

不同云环境中的 Microsoft Entra 来宾用户支持的场景

在与使用不同 Azure 云的组织协作时,支持以下场景:

  • 使用 B2B 协作邀请合作伙伴租户中的用户访问组织中的资源,包括 Web 业务线应用、SaaS 应用和SharePoint联机网站、文档和文件。
  • 将条件访问策略应用于 B2B 合作用户,并选择信任其所属租户中的多重身份验证或设备声明(合规声明和 Microsoft Entra 混合联接声明)。

注意

启用SharePoint 和 OneDrive 与 Microsoft Entra B2B的集成将为从另一个 Azure 云中邀请用户进入 SharePoint 和 OneDrive 提供最佳体验。

后续步骤

请参阅 配置外部协作设置,了解 B2B 与非Microsoft Entra标识、社交标识和非 IT 托管的外部帐户的协作。

  • Last updated on