B2B 协作是一项Microsoft Entra 外部 ID功能,可让你与组织外部的用户和合作伙伴协作。 通过 B2B 协作,外部用户被邀请使用自己的凭据登录到您的 Microsoft Entra 企业员工租户。 然后,此 B2B 协作用户可以访问要与其共享的应用和资源。 对于 B2B 协作用户,需要在与员工相同的目录中为其创建一个用户对象。 默认情况下,B2B 协作用户对象在目录中具有有限的权限,并且可以像员工一样进行管理,例如添加到组或分配给应用程序。 本文讨论此用户对象的属性以及管理它的方法。
下表根据 B2B 协作用户的身份验证方式(内部或外部)以及他们与组织的关系(来宾或成员)描述 B2B 协作用户。
- 外部来宾:通常被视为外部用户或来宾的多数用户都属于此类别。 此 B2B 协作用户在外部Microsoft Entra组织或外部标识提供者(例如社交标识)中有一个帐户,并且他们在资源组织中具有来宾级权限。 在 Microsoft Entra 目录中的资源中创建的用户对象的用户类型为访客。
- 外部成员:此 B2B 协作用户在外部 Microsoft Entra 组织或外部标识提供者(例如社交标识)中有一个帐户,并具有成员级别的访问权限,可访问您组织中的资源。 这种情况在由多个租户组成的组织中很常见,其中用户被视为较大组织的成员,并且需要成员级访问权限来访问组织其他租户中的资源。 在 Microsoft Entra 资源目录中创建的用户对象具有 UserType 为 Member。
- Internal guest: 在 Microsoft Entra B2B 协作出现之前,组织通常通过为分销商、供应商、厂商和其他合作伙伴创建内部凭据来进行协作。 这些外部用户通过将用户对象的 UserType 属性设置为 Guest 来指定为来宾。 如有此类内部来宾用户,可以邀请他们改为使用 B2B 协作,以便其可以使用自己的凭据,从而允许其外部标识提供者管理身份验证及其帐户生命周期。
- 内部成员: 这些用户被视为组织的员工。 用户通过 Microsoft Entra ID 在内部进行身份验证,在 Microsoft Entra 资源目录中创建的用户对象的用户类型为成员。
你选择的用户类型对应用或服务具有以下限制(但包括但不限于):
| 应用或服务 | 限制 |
|---|---|
| Power BI | - Power BI中对 UserType 成员的支持目前为预览版。 |
| Azure 虚拟桌面 | - 有关限制,请参阅 prerequisites for Azure 虚拟桌面。 |
| Microsoft Teams | - 有关限制,请参阅 与其他 Microsoft 365 云环境中的来宾协作。 |
邀请兑换
现在,让我们看看Microsoft Entra 外部 ID中Microsoft Entra B2B 协作用户的外观。
兑换邀请之前
B2B 协作用户帐户是邀请来宾用户使用其自己的凭据进行协作的结果。 最初向来宾用户发送邀请时,会在你的租户中创建帐户。 这个帐户没有与之关联的任何凭据,因为是由来宾用户的标识提供者执行身份验证。 在您的目录中,来宾用户帐户的“Identities”属性设置为主机的组织域名,直到来宾接受其邀请为止。 发送邀请的用户被设置为来宾用户帐户上“发起人”属性的默认值。 在管理中心,受邀用户的配置文件显示邀请状态为等待接受。 使用 Microsoft 图形 API 查询 externalUserState 将返回 Pending Acceptance。
邀请码兑换之后
B2B 协作用户接受邀请后,将根据用户的身份提供者更新“标识”属性。
如果 B2B 协作用户使用 Microsoft 帐户或来自其他外部身份提供者的凭据,Identities将显示标识提供者。
如果 B2B 协作用户使用来自另一个 Microsoft Entra 组织的凭据,Identities 即为 ExternalAzureAD。
对于使用内部凭据的外部用户,“标识”属性将设置为主机的组织域。 Directory synced 属性为 Yes 如果帐户驻留在组织的本地 Active Directory中并且与Microsoft Entra ID同步, 或 No如果该帐户是仅限云的Microsoft Entra帐户。 目录同步信息也可通过 Microsoft Graph 中的
onPremisesSyncEnabled属性获取。
Microsoft Entra B2B 协作用户的关键属性
用户主体名称
B2B 协作用户对象的 UPN(来宾用户)包含来宾用户的电子邮件,随后是 #EXT# 和 tenantname.partner.onmschina.cn。 例如,如果将用户 john@contoso.com 添加为 fabrikam 目录中的外部用户,那么其 UPN 就是 john_contoso.com#EXT#@fabrikam.partner.onmschina.cn。
用户类型
此属性表示用户与宿主租户之间的关系。 此属性可以具有两个值:
成员:此值表示东道组织的一名员工,以及该组织工资单中的一名用户。 例如,此用户应当对仅限内部站点具有访问权限。 此用户不会被视为外部协作者。
来宾:此值表示不被视为公司内部成员的用户,例如外部协作者、合作伙伴或客户。 此类用户不会接收首席执行官 (CEO) 的内部备注,也不会享受公司福利等。
注意
UserType 与用户的登录方式、用户的目录角色等等之间没有关系。 此属性只是指明该用户与宿主组织之间的关系,使该组织能够实施依赖于此属性的策略。
身份
此属性指示了用户的主要标识提供者。 用户可以有多个标识提供者,可以通过选择用户配置文件中 Identities 旁边的链接或通过通过Microsoft 图形 API查询 identities 属性来查看这些标识提供者。
注意
Identities 和 UserType 是独立的属性。 一个身份的值并不意味着 UserType 会具有特定的值。
| Identities 属性值 | 登录状态 |
|---|---|
| ExternalAzureAD | 此用户驻留在外部组织中,并使用属于其他组织的Microsoft Entra帐户进行身份验证。 |
| 微软账户 | 此用户绑定于Microsoft帐户,并使用Microsoft帐户进行身份验证。 |
| {主机的域} | 此用户使用属于此组织的Microsoft Entra帐户进行身份验证。 |
| 邮件 | 此用户已使用Microsoft Entra 外部 ID电子邮件一次性密码(OTP)进行注册。 |
| {证书颁发者 URI} | 此用户驻留在外部组织中,该组织不使用Microsoft Entra ID作为其标识提供者,而是使用基于安全断言标记语言(SAML)/WS-Fed 的标识提供者。 单击 Identities 字段时,将显示证书颁发者 URI。 |
外部用户不支持电话登录。 B2B 账户不能将 phone 值用作身份提供者。
已同步目录
Directory synced 属性指示用户是否正在与本地 Active Directory同步并在本地进行身份验证。 如果帐户驻留在组织的本地 Active Directory 并与 Microsoft Entra ID 同步,则此属性为Yes;如果帐户是仅限云的 Microsoft Entra 帐户,则此属性为No。 在Microsoft Graph中,Directory 同步属性对应于 onPremisesSyncEnabled。
Microsoft Entra B2B 用户是否可以添加为成员而不是来宾?
通常,Microsoft Entra B2B 用户和来宾用户是同义词。 因此,Microsoft Entra B2B 协作用户默认情况下会被添加为 UserType 设置为 Guest 的用户。 但在某些情况下,合作伙伴组织又是一家更大型上级组织的成员,而宿主组织也属于该大型组织。 如果是这样,宿主组织可能希望将合作伙伴组织中的用户视为成员而非来宾。 使用 Microsoft Entra B2B 邀请管理器 API 将合作伙伴组织中的用户添加或邀请到主机组织作为成员。
对目录中的来宾用户进行筛选
在“用户”列表中,您可以使用“添加筛选器”来仅显示目录中的来宾用户。
转换 UserType
可以通过在Microsoft Entra 管理中心或使用 PowerShell 中编辑用户配置文件,将 UserType 从成员转换为来宾,反之亦然。 但是,UserType 属性表示用户与组织之间的关系。 因此,只有当用户与组织之间的关系发生更改时,才应当更改此属性。 如果用户的关系发生更改,用户主体名称 (UPN) 是否应该更改? 用户是否应该继续有权访问同样的资源? 是否应该分配邮箱?
来宾用户权限
来宾用户的目录权限默认受到限制。 他们可以管理自己的个人资料、更改自己的密码并检索其他用户、组和应用的某些信息。 但是,他们不能读取所有目录信息。
Microsoft Teams共享通道不支持 B2B 来宾用户。
在某些情况下,你可能想要为来宾用户提供更高的特权。 可将来宾用户添加到任何角色,甚至可在目录中删除默认的来宾用户限制,向用户提供与成员相同的特权。 可以禁用默认限制,便于为公司目录中的来宾用户提供与成员用户相同的权限。 有关详细信息,请参阅 Microsoft Entra 外部 ID 中限制来宾访问权限的内容。
是否可以使来宾用户显示在Exchange全局地址列表中?
是的。 默认情况下,来宾对象在组织的全局地址列表中不可见,但你可以使用 Microsoft Graph PowerShell 使其可见。 有关详细信息,请参阅 Microsoft 365 每组来宾访问文章中的“将来宾添加到全局地址列表”。
是否可以更新来宾用户的电子邮件地址?
如果来宾用户接受邀请,并且他们稍后更改其电子邮件地址,则新电子邮件不会自动同步到目录中的来宾用户对象。 邮件属性是通过 Microsoft 图形 API 创建的。 可以通过 Microsoft 图形 API、Exchange 管理中心 或 Exchange Online PowerShell 更新邮件属性。 更改反映在Microsoft Entra来宾用户对象中。