Microsoft Entra 外部 ID 概述
Microsoft Entra 外部 ID 是指可以安全地与组织外部的用户交互的所有方式。 如果要与合作伙伴、分销商、提供商或供应商协作,可以共享资源并定义内部用户访问外部组织的方式。 如果您是创建面向使用者的应用的开发人员,您可以管理客户的标识体验。
使用外部 ID,外部用户可以“自带标识”。无论他们是具有公司或政府颁发的数字标识,还是具有非托管社交标识,他们都可以使用自己的凭据登录。 外部用户的标识提供者管理他们的标识,而您可以使用 Microsoft Entra ID 或 Azure AD B2C 管理对应用的访问,以便保护资源。
以下功能是外部标识的一部分:
B2B 协作 - 通过让外部用户使用其首选标识登录 Microsoft 应用程序或其他企业应用程序(SaaS 应用、自定义开发的应用等)来与之协作。 目录中通常以来宾用户形式展示 B2B 协作用户。
Azure AD B2C - 向使用者和客户发布新式 SaaS 应用或自定义开发的应用(Microsoft 应用除外),同时使用 Azure AD B2C 进行标识和访问管理。
根据想要与外部组织交互的方式以及需要共享的资源类型,可以组合使用这些功能。
B2B 协作
借助 B2B 协作,可以邀请任何人使用其专属凭据登录 Microsoft Entra 组织,以便他们可以访问您想与之共享的应用和资源。 需要让外部用户访问 Office 365 应用、软件即服务 (SaaS) 应用和业务线应用程序时,请使用 B2B 协作,尤其是在合作伙伴不使用 Microsoft Entra ID 时。 没有与 B2B 协作用户关联的凭据。 相反,他们使用其本组织或标识提供者进行身份验证,然后您的组织会检查来宾用户是否有资格进行 B2B 协作。
有多种方式可以将外部用户添加到组织进行 B2B 协作:
使用用户启用的 Microsoft Entra 帐户、Microsoft 帐户或启用的社交标识,邀请用户参与 B2B 协作。 管理员可以使用 Azure 门户或 PowerShell 邀请用户参与 B2B 协作。 用户使用其工作帐户、学校帐户或其他电子邮件帐户通过简单的兑换过程登录到共享资源。
Microsoft Entra 权利管理是一种标识治理功能,通过自动执行访问请求工作流、访问分配、审核和过期,使你能够大规模管理外部用户的标识和访问。
对于 B2B 协作用户,需要在与员工相同的目录中为其创建一个用户对象。 可以像目录中的其他用户对象一样管理此用户对象,将其添加到组等。 可以将权限分配给用户对象(用于授权),同时允许他们使用其现有凭据(用于身份验证)。
可以使用跨租户访问设置来管理 B2B 与其他 Microsoft Entra 组织以及在 Azure 云中的协作。 对于与非 Azure AD 外部用户和组织之间的 B2B 协作,请使用外部协作设置。
Azure AD B2C
Azure AD B2C 是一种客户标识和访问管理 (CIAM) 解决方案,让您可以为面向使用者和面向客户的应用构建用户旅程。 如果您是一个创建面向客户的应用的企业或开发人员,您可以使用 Azure AD B2C 扩展到数百万消费者、客户或公民。 开发人员可以将 Azure AD B2C 作为功能全面的 CIAM 系统用于其应用程序。
使用 Azure AD B2C,客户可以使用已建立的标识登录。 你可以在使用你的应用程序时,完全自定义和控制客户的注册和登录方式以及管理其个人资料。
虽然 Azure AD B2C 是基于与 Microsoft Entra 外部 ID 相同的技术构建的,但它是一个独立的服务,有一些功能上的差异。 有关 Azure AD B2C 租户与 Microsoft Entra 租户有何不同的详细信息,请参阅 Azure AD B2C 文档中的支持的 Microsoft Entra 功能。
比较外部标识功能集
下表详细比较了可使用 Microsoft Entra 外部 ID 实现的场景。 在 B2B 场景中,外部用户是指不在 Microsoft Entra 组织内的任何人。
| B2B 协作 | Azure AD B2C | |
|---|---|---|
| 主要场景 | 通过允许外部用户使用其首选标识登录到 Microsoft Entra 组织中的资源来与之协作。 提供对 Microsoft 应用程序或您的专属应用程序的访问权限(SaaS 应用、自定义开发的应用等)。 示例:邀请外部用户登录 Microsoft 应用或成为 Teams 中的来宾成员。 |
使用 Azure AD B2C 将应用发布给使用者和客户,以进行标识体验。 为新式 SaaS 或自定义开发的应用程序(非第一方 Microsoft 应用)提供标识和访问管理。 |
| 适用对象 | 与外部组织(如供应商和合作伙伴)的业务合作伙伴协作。 这些用户可能拥有或没有 Microsoft Entra ID 或托管式 IT。 | 产品的客户。 这些用户在单独的 Microsoft Entra 目录中进行管理。 |
| 用户管理 | B2B 协作用户在员工所在的目录中进行管理,但通常批注为来宾用户。 可采用与员工相同的方式管理来宾用户,还可将其添加到相同组等。 跨租户访问设置可用于确定哪些用户有权访问 B2B 协作。 | 为 Azure AD B2C 目录中的使用者用户创建用户对象。 他们与组织的员工和合作伙伴目录(若有)分开管理。 |
| 支持的标识提供程序 | 外部用户可以使用工作帐户、学校帐户、任何电子邮件地址、SAML 和 基于 WS-Fed 的标识提供者以及社交标识提供者进行协作。 | 具有本地应用程序帐户(任何电子邮件地址、用户名或手机号码)、Microsoft Entra ID、受支持的各种社会标识的使用者用户,以及通过基于 SAML/WS 联合的标识提供者联合具有公司和政府颁发的标识的用户。 |
| 许可与计费 | 基于每月活跃用户数 (MAU),包括 B2B 协作和 Azure AD B2C 用户。 了解有关外部标识定价的详细信息。 | 基于每月活跃用户数 (MAU),包括 B2B 协作和 Azure AD B2C 用户。 详细了解外部标识定价和 Azure AD B2C 的计费设置。 |
| 安全策略和合规性 | 由主办/邀请组织管理(例如,通过条件访问策略和跨租户访问设置)。 | 由组织通过条件访问进行管理。 |
| Microsoft 云设置 | 支持。 | 不适用。 |
| 权利管理 | 受支持。 | 不适用。 |
| 业务线 (LOB) 应用 | 支持。 | 使用 RESTful API。 |
| 条件访问 | 由主办/邀请组织管理。 详细了解条件访问策略。 | 由组织通过条件访问进行管理 |
| 品牌打造 | 使用主办/邀请组织的品牌。 | 每个应用程序或组织可完全自定义的品牌。 |
| 详细信息 | 博客文章、文档 | 产品页、文档 |
管理外部标识功能
Microsoft Entra B2B 协作是 Microsoft Entra 外部 ID 的一项功能,它通过 Microsoft Entra 服务托管在 Azure 门户中。 要控制入站和出站协作,可以将跨租户访问设置和外部协作设置结合使用。
跨租户访问设置
使用跨租户访问设置可以管理与其他 Microsoft Entra 组织的 B2B 协作。 可以确定其他 Microsoft Entra 组织与你协作(入站访问)的方式,以及你的用户与其他 Microsoft Entra 组织协作(出站访问)的方式。 通过精细控制可以决定组织中和外部 Microsoft Entra 组织中可以参与 B2B 协作的人员、组和应用。 还可以信任来自其他 Microsoft Entra 组织的多重身份验证 和设备声明(合规声明和已建立 Microsoft Entra 混合联接的声明)。
默认跨租户访问设置确定用于 B2B 协作的基线入站和出站设置。 最初,默认设置配置为允许与其他 Microsoft Entra 组织进行的全部入站和出站 B2B 协作。 可以更改这些初始设置,以创建专属默认配置。
组织特定访问设置允许为各个 Microsoft Entra 组织配置自定义设置。 添加组织并自定义此组织的跨租户访问设置后,这些设置将优先于默认设置。 例如,默认情况下可以禁用与所有外部组织之间的 B2B 协作,仅对 Fabrikam 启用这两项功能。
有关详细信息,请参阅 Microsoft Entra 外部 ID 标识中的跨租户访问。
有关 B2B 协作的 Microsoft 云设置
Azure 云服务在单独的国家云中可用,这些云是以物理方式隔离的 Azure 的实例。 越来越多的组织发现需要跨全球云和国家云边界与组织和用户协作。 使用 Microsoft 云设置,你可以在以下 Azure 云之间建立相互 B2B 协作:
- Microsoft Azure 全球云和 Microsoft Azure 政府
- Microsoft Azure 全球云和由世纪互联运营的 Microsoft Azure 云
若要在不同云中的租户之间设置 B2B 协作,这两个租户都需要配置其 Microsoft 云设置,以实现与其他云的协作。 然后,每个租户都必须配置与另一个云的租户之间的入站和出站跨租户访问。 请参阅 Microsoft 云设置,了解详细信息。
外部协作设置
外部协作设置确定用户是否可以将 B2B 协作邀请发送给外部用户,以及来宾用户对目录的访问级别。 利用这些设置可以:
确定来宾用户权限。 控制外部来宾用户可以在 Microsoft Entra 目录中看到的内容。 例如,可以限制来宾用户查看组成员身份,或允许来宾仅查看其自己的个人资料信息。
指定可以邀请来宾的用户。 默认情况下,组织中的所有用户(包括 B2B 协作来宾用户)均可邀请外部用户进行 B2B 协作。 若要限制发送邀请的能力,可以为所有人打开或关闭邀请,或将邀请限制为特定角色。
允许或阻止域。 选择是允许还是拒绝向指定域发出邀请。 有关详细信息,请参阅允许或阻止域。
有关详细信息,请参阅如何配置 B2B 外部协作设置。
外部协作和跨租户访问设置如何协同工作
外部协作设置在邀请级别工作,而跨租户访问设置则在身份验证级别工作。
跨租户访问设置和外部协作设置用于管理 B2B 协作的两个不同方面。 跨租户访问设置控制用户是否可以使用外部 Microsoft Entra 租户进行身份验证,并且它们适用于入站和出站 B2B 协作。 与此相反,外部协作设置控制允许哪些用户向任何组织的外部用户发送 B2B 协作邀请。
考虑与特定外部 Microsoft Entra 组织进行 B2B 协作时,需要评估跨租户访问设置是否允许与该组织进行 B2B 协作,以及外部协作设置是否允许用户将邀请发送给该组织的域。 下面是一些示例:
示例 1:你之前已在外部协作设置中将
adatum.com(一个 Microsoft Entra 组织)添加到阻止域列表中,但你的跨租户访问设置针对所有 Microsoft Entra 组织启用了 B2B 协作。 在这种情况下,将应用最严格的设置。 您的外部协作设置将阻止您的用户向adatum.com中的用户发送邀请。示例 2:允许在跨租户访问设置中与 Fabrikam 进行 B2B 协作,但随后您在外部协作设置中将 添加到了阻止域中。 您的用户将无法邀请新的 Fabrikam 来宾用户,但现有 Fabrikam 来宾将能够继续使用 B2B 协作。
对于执行跨租户登录的 B2B 协作最终用户,即使未指定自定义品牌,也会显示其主租户品牌。 在以下示例中,Woodgrove Groceries 的公司品牌显示在左侧。 右侧的示例显示用户主租户的默认品牌。
Azure Active Directory B2C 管理
Azure AD B2C 是一个单独的基于使用者的目录,可以通过 Azure AD B2C 服务在 Azure 门户中管理该目录。 每个 Azure AD B2C 租户都是独特的,且不同于其他 Microsoft Entra ID 和 Azure AD B2C 租户。 Azure AD B2C 门户体验与 Microsoft Entra ID 相似,但存在一些重要差异,如使用 Identity Experience Framework 自定义用户旅程的能力。
有关配置和管理 Azure AD B2C 的详细信息,请参阅 Azure AD B2C 文档。
相关 Microsoft Entra 技术
有多种 Microsoft Entra 技术与同外部用户和组织协作相关。 设计外部标识协作模型时,请考虑这些其他功能。
用于 B2B 来宾用户注册的 Microsoft Entra 权利管理
作为邀请方组织,你可能事先不知道需要访问你的资源的各个外部协作者是谁。 需要为合作伙伴公司的用户提供一种方式,让他们根据你所控制的策略自行注册。 若要使其他组织的用户能够请求访问权限,并在批准后为他们预配来宾帐户并将其分配到组、应用和 SharePoint Online 站点,可以使用 Microsoft Entra 权利管理来配置用于管理外部用户的访问权限的策略。
用于 B2B 协作的 Microsoft Entra Microsoft Graph API
Microsoft Graph API 可用于创建和管理外部标识功能。
跨租户访问设置 API:Microsoft Graph 跨租户访问 API 允许以编程方式创建可在 Azure 门户中配置的相同 B2B 协作策略。 可以使用 API 为入站和出站协作设置策略,以便在默认情况下允许或阻止所有人的功能,以及限制对特定组织、组、用户和应用程序的访问。 API 还允许你接受 MFA 和设备声明(合规声明和已建立 Microsoft Entra 混合联接的声明)。
B2B 协作邀请管理器:Microsoft Graph 邀请管理器 API 可用于为 B2B 来宾用户打造独有的加入体验。 例如,可以使用创建邀请 API 自动将自定义的邀请电子邮件直接发送给 B2B 用户。 或者,应用可以使用创建响应中返回的 inviteRedeemUrl,将你自己的邀请(通过所选的通信机制)发送给受邀用户。
条件性访问
组织可以针对外部 B2B 协作用户强制实施条件访问策略,其方式与为组织的全职员工和成员启用策略的方式相同。 对于 Microsoft Entra 跨租户场景而言,如果条件访问策略要求 MFA 或设备合规,则您现在可以信任来自外部用户的本组织的 MFA 和设备符合性声明。 启用信任设置时,在身份验证期间,Microsoft Entra ID 将检查用户的 MFA 声明或设备 ID 的凭据,以确定是否符合策略。 倘若如此,将授予外部用户无缝登录共享资源的权限。 否则,将在用户的主租户中启动 MFA 或设备质询。 详细了解适用于外部用户的身份验证流和条件访问。
多租户应用程序
如果向许多组织提供软件即服务 (SaaS) 应用程序,可以将应用程序配置为可接受来自任何 Microsoft Entra 租户的登录。 此配置称为“使应用程序成为多租户应用程序”。 任何 Microsoft Entra 租户中的用户在同意配合应用程序使用其帐户之后,便可登录到应用程序。 请参阅如何启用多租户登录。