Microsoft Entra 组织可以使用外部 ID 跨租户访问设置,管理与其他 Microsoft Entra 组织以及通过 B2B 协作进行的 Azure 云协作。 跨租户访问设置提供对入站和出站访问的精细控制,使你能够信任来自其他组织的多重身份验证 (MFA) 和设备声明。
本文介绍了跨租户访问设置,以管理与外部 Microsoft Entra 组织的 B2B 协作,包括跨 Azure 云。 其他设置可用于与非Microsoft Entra标识(例如社交标识或非 IT 托管外部帐户)的 B2B 协作。 这些外部协作设置包括用于限制来宾用户访问、指定可以邀请来宾的用户以及允许或阻止域的选项。
可以在跨租户访问设置中添加的组织数量没有限制。
使用入站和出站设置管理外部访问
外部身份跨租户访问设置管理如何与其他 Microsoft Entra 组织进行协作。 这些设置不仅决定了外部 Microsoft Entra 组织中用户对您资源的入站访问级别,还决定了您的用户对外部组织的出站访问级别。
下图显示了跨租户访问入站和出站设置。 Microsoft Entra 资源租户是包含要共享的资源的租户。 对于 B2B 协作,资源租户是邀请租户(例如你的企业租户,你希望邀请外部用户加入到其中)。 用户的主Microsoft Entra租户是托管外部用户的租户。
默认情况下,已启用与其他Microsoft Entra组织的 B2B 协作。 但可以通过以下综合管理设置来管理这两种功能。
“出站访问设置”控制用户是否可以访问外部组织中的资源。 可以将这些设置应用于每个人,或指定单个用户、组和应用程序。
Inbound 访问设置控制是否允许外部 Microsoft Entra 组织的用户访问您组织中的资源。 可以将这些设置应用于每个人,或指定单个用户、组和应用程序。
信任设置(入站)确定条件访问策略是否信任来自外部组织的多重身份验证(MFA)、合规设备和Microsoft Entra 混合加入设备的声明,如果他们的用户已经在他们的主租户中满足了这些要求。 例如,将信任设置配置为信任 MFA 时,MFA 策略仍适用于外部用户,但已在其主租户中完成 MFA 的用户无需在你的租户中再次完成 MFA。
默认设置
默认跨租户访问设置适用于所有位于租户之外的 Microsoft Entra 组织,配置自定义设置的组织除外。 可以更改默认设置,但 B2B 协作的初始默认设置如下所示:
B2B 协作:默认情况下,所有内部用户均可进行 B2B 协作。 此设置意味着你的用户可以邀请外部来宾访问你的资源,并且可以邀请他们作为来宾加入外部组织。 其他Microsoft Entra组织的 MFA 和设备声明不受信任。
组织设置:默认情况下,不会向组织设置添加任何组织。 因此,所有外部 Microsoft Entra 组织都已启用用于与您组织的 B2B 协作。
这些默认设置适用于同一 Azure 云中的其他 Microsoft Entra 租户的 B2B 协作。 在跨云方案中,默认设置的工作方式略有不同。 请参阅本文后面的 Microsoft 云设置。
组织设置
可以通过添加组织和修改该组织的入站及出站设置来配置组织特定的设置。 组织设置优先于默认设置。
B2B 协作:使用跨租户访问设置来管理入站和出站 B2B 协作,以及将访问范围设定为特定用户、组和应用程序。 可以设置适用于所有外部组织的默认配置,然后根据需要创建特定于个人、组织的设置。 使用跨租户访问设置,还可以信任其他 Microsoft Entra 组织的多重身份验证 (MFA) 和设备声明(合规声明和 Microsoft Entra 混合加入声明)。
可以使用外部协作设置来限制谁可以邀请外部用户、允许或阻止 B2B 特定域,以及就来宾用户对目录的访问权限设置限制。
自动兑换设置
自动兑换设置是一种入站和出站组织信任设置,用于自动兑换邀请,因此用户无需在首次访问资源/目标租户时接受同意提示。 此设置是具有以下名称的复选框:
- 自动与租户兑换邀请<租户>
比较不同场景的配置
在以下情况下,自动兑换设置适用于跨租户同步和 B2B 协作:
- 当使用跨租户同步在目标租户中创建用户时。
- 当通过 B2B 协作将用户添加到资源租户时。
下表显示了在这些情况下启用此设置时的比较情况:
| 项目 | 跨租户同步 | B2B 协作 |
|---|---|---|
| 自动兑换设置 | 必需 | 可选 |
| 用户收到 B2B 协作邀请电子邮件 | 否 | 否 |
| 用户必须接受同意提示 | 否 | 否 |
| 用户收到 B2B 协作通知电子邮件 | 否 | 是 |
此设置不会影响应用程序同意体验。 有关详细信息,请参阅 Microsoft Entra ID 中应用程序的用户同意体验。 跨不同Azure云环境(例如Azure商业和Azure 政府)的组织都支持此设置。
何时会不显示同意提示?
仅当主/源租户(出站)和资源/目标租户(入站)都勾选此设置时,自动兑换设置才会抑制同意提示和邀请电子邮件。
下表展示了在不同跨租户访问设置组合中选中自动兑换设置时,源租户用户的同意提示行为。
| 主租户/源租户 | 资源/目标租户 | 同意提示行为 对于源租户用户 |
|---|---|---|
| 出站 | 入站 | |
|
|
已抑制 |
|
|
|
未抑制 |
|
|
|
未抑制 |
|
|
|
未抑制 |
| 入站 | 出站 | |
|
|
|
未抑制 |
|
|
|
未抑制 |
|
|
|
未抑制 |
|
|
|
未抑制 |
若要使用 Microsoft Graph 配置此设置,请参阅 Update crossTenantAccessPolicyConfigurationPartner API。 有关如何构建您自己的入职体验的信息,请参阅 B2B 协作邀请管理器。
有关详细信息,请参阅配置跨租户访问设置,以进行 B2B 协作。
可配置兑换
通过可配置的身份验证,您可以自定义来宾用户在接受邀请时可以登录的身份提供者的顺序。 你可以启用该功能,并在“兑换顺序”选项卡下指定兑换顺序。
当来宾用户选择邀请电子邮件中的 Accept 邀请链接时,Microsoft Entra ID根据 default 兑换订单 自动兑换邀请。 当你在新的“兑换顺序”选项卡下更改标识提供者顺序时,新顺序将替代默认兑换顺序。
可以在“兑换顺序”选项卡下找到主要身份提供者和备用身份提供者。
主要标识提供者是与其他身份验证源联合的标识提供者。 回退标识提供者是当用户与主要标识提供者不匹配时使用的标识提供者。
备用身份提供者可以是 Microsoft 帐户 (MSA)、电子邮件一次性密码,或两者兼有。 不能同时禁用这两个回退标识提供者,但可以禁用所有主要标识提供者,并仅对兑换选项使用回退标识提供者。
使用此功能时,请考虑以下已知限制:
如果具有现有单一登录(SSO)会话的Microsoft Entra ID用户使用电子邮件一次性密码(OTP)进行身份验证,则需要选择使用另一个帐户并重新输入用户名以触发 OTP 流。 否则,用户会收到错误,指示其帐户在资源租户中不存在。
当用户在其Microsoft Entra ID和Microsoft账户中具有相同的电子邮件时,即使管理员已禁用Microsoft账户作为兑换方式,系统也会提示他们选择使用Microsoft Entra ID或Microsoft账户。 即使方法已禁用,也允许选择Microsoft 帐户作为兑换选项。
Microsoft Entra ID已验证域的直接联合身份验证
Microsoft Entra ID已验证的域现在支持 SAML/WS-Fed 标识提供者联合身份验证(直接联合身份验证)。 此功能允许为在另一个 Microsoft Entra 租户中验证的域设立与外部身份验证提供商的直接联合。
注意
确保您尝试设置直接联合配置的域在同一租户中未被验证。 设置直接联合后,可以配置租户的兑换首选项,并通过新的可配置兑换跨租户访问设置,将 SAML/WS-Fed 身份提供者迁移到 Microsoft Entra ID。
当来宾用户兑换邀请时,他们会看到传统的同意屏幕,并重定向到我的应用页面。 在资源租户中,此直接联合用户的个人资料显示邀请已成功兑换,外部联合列为发行者。
阻止 B2B 用户使用 Microsoft 帐户兑换邀请
现在可以阻止 B2B 来宾用户使用 Microsoft 帐户兑换邀请。 相反,他们使用发送到电子邮件的一次性密码作为后备身份验证提供者。 他们不允许使用现有的Microsoft 帐户兑换邀请,也不会提示他们创建新邀请。 可以通过在备用标识提供者选项中关闭 Microsoft 帐户,在兑换订单设置中启用此功能。
必须始终至少有一个备用身份提供者处于激活状态。 因此,如果你决定禁用Microsoft帐户,则需要启用电子邮件一次性密码选项。 使用 Microsoft 帐户登录的现有来宾用户继续这样做,以便将来登录。若要向其应用新设置,需要重新设置其兑换状态。
租户限制
使用“租户限制”设置,能够控制用户可在你管理的设备上使用的外部帐户类型,包括:
- 用户在未知租户中创建的帐户。
- 外部组织提供给用户以用于访问组织资源的帐户。
配置租户限制以禁止这些类型的外部帐户,并改用 B2B 协作。 B2B 协作使您能够:
- 对 B2B 协作用户使用“条件访问”并强制其进行多重身份验证。
- 管理入站和出站访问。
- 当 B2B 协作用户的雇佣状态更改或其凭据遭到泄露时,终止会话和凭据。
- 使用登录日志查看有关 B2B 协作用户的详细信息。
租户限制独立于其他跨租户访问设置,因此你配置的任何入站、出站或信任设置都不会影响租户限制。 有关配置租户限制的详细信息,请参阅 设置租户限制 V2。
Microsoft云设置
Microsoft云设置允许你与来自不同Azure云的组织协作。 使用Microsoft云设置,可以在以下云之间建立相互 B2B 协作:
- Azure商业云和Azure政府云,其中包括 Office GCC-High 和 DoD 云
- Azure 商业云和由世纪互联运营的 Microsoft Azure
有关详细信息,请参阅 Microsoft配置 B2B 协作的云设置一文。
重要注意事项
重要
更改默认的入站或出站设置以阻止访问,这样做可能会阻止对您所在组织内或合作伙伴组织内的应用进行的现有业务关键访问。 请务必使用本文中所述的工具,并咨询业务利益干系人来确定所需的访问权限。
若要在 Azure 门户中配置跨租户访问设置,需要至少具有 Security Administrator 或 custom 角色的帐户。
若要配置信任设置或向特定用户、组或应用程序应用访问设置,需要Microsoft Entra ID P1 许可证。 在所配置的租户上需要许可证。
跨租户访问设置用于管理与其他Microsoft Entra组织的 B2B 协作。 对于与非Microsoft Entra标识(例如社交标识或非 IT 托管外部帐户)的 B2B 协作,请使用 外部协作设置。 外部协作设置包括用于限制来宾用户访问、指定可以邀请来宾的用户以及允许或阻止域的 B2B 协作选项。
若要将访问设置应用于外部组织中的特定用户、组或应用程序,则需要在配置设置之前联系该组织了解相关信息。 获取其用户对象 ID、组对象 ID 或应用程序 ID(客户端应用 ID 或资源应用 ID),以便可以正确定位设置。
为用户和组配置的访问设置必须与应用程序的访问设置匹配。 不允许有冲突的设置,如果尝试这种配置,将显示警告消息。
示例 1:如果阻止所有外部用户和组的入站访问,则必须同时阻止对所有应用程序的访问。
示例 2:如果允许所有用户(或特定用户或组)的出站访问,则你将无法阻止对外部应用程序的所有访问;必须允许对至少一个应用程序的访问。
如果默认阻止访问所有应用,则用户无法读取使用 Microsoft Rights Management Service 加密的电子邮件,也称为Office 365消息加密(OME)。 若要避免此问题,请将出站设置配置为允许用户访问此应用 ID:00000012-0000-0000-c000-000000000000。 如果仅允许此应用程序,则默认情况下会阻止访问所有其他应用。
需要 MFA 或使用条款的条件访问策略(ToU)可能会阻止用户完成 MFA 注册或 ToU 同意。 若要避免此问题,请配置出站设置(主租户)和入站设置(资源租户),以允许用户访问用于 MFA 注册的 Microsoft 应用访问面板(应用 ID: 0000000c-0000-0000-c000-000000000000)和用于 ToU(使用条款)的 Microsoft Entra(应用 ID: d52792f4-ba38-424d-8140-ada5b883f293)。 通过在Microsoft Entra 管理中心选择“添加其他应用程序”并提供应用ID,可以配置出站设置。 由于当前的用户界面(UI)限制,必须通过 Microsoft Graph API 执行入站设置的配置。
用于管理跨租户访问设置的自定义角色
可以创建自定义角色来管理跨租户访问设置。 在此处详细了解建议的自定义角色。
保护跨租户访问管理操作
修改跨租户访问设置的任何操作都被视为受保护的操作,并可以使用条件访问策略进行额外保护。 有关配置步骤的详细信息,请参阅受保护的操作。
识别入站和出站登录
在设置入站和出站访问设置之前,可以使用多款工具来帮助确定用户和合作伙伴所需的访问权限。 若要确保不会删除用户和合作伙伴所需的访问权限,应该检查当前的登录行为。 采取此预备步骤有助于防止最终用户和合作伙伴用户失去所需的访问权限。 但在某些情况下,这些日志仅保留 30 天,因此强烈建议与业务利益干系人沟通,确保所需访问权限不会丢失。
| 工具 | 方法 |
|---|---|
| 用于跨租户登录活动的 PowerShell 脚本 | 要查看与外部组织关联的用户登录活动,请使用 MSIdentityTools 中的跨租户用户登录活动 PowerShell 脚本。 |
| 用于登录日志的 PowerShell 脚本 | 若要确定用户对外部Microsoft Entra组织的访问,请使用 Get-MgAuditLogSignIn cmdlet。 |
| Azure Monitor | 如果您的组织订阅了 Azure Monitor 服务,请使用“跨租户访问活动工作簿”。 |
| 安全信息和事件管理 (SIEM) 系统 | 如果组织将登录日志导出到安全信息和事件管理 (SIEM) 系统,则可以从 SIEM 系统检索所需信息。 |
标识跨租户访问设置的变更
Microsoft Entra 审核日志记录所有与跨租户访问设置更改及活动相关的操作。 若要审核对跨租户访问设置所做的变更,请使用 CrossTenantAccessSettings 的“类别”筛选所有显示跨租户访问设置变更的活动。
