启用 B2B 外部协作并管理谁可以邀请来宾

本文介绍如何启用 Azure Active Directory (Azure AD) B2B 协作、指定谁可以邀请来宾,并确定来宾用户在你的 Azure AD 中所具有的权限。

默认情况下,目录中的所有用户和来宾都可以邀请来宾,即使未为他们分配管理员角色。 使用外部协作设置可为组织中不同类型的用户启用或禁用来宾邀请功能。 还可以将邀请委托给个人用户,只需向他们分配有权邀请来宾的角色即可。

Azure AD 允许你限制外部来宾用户可以在你的 Azure AD 目录中所看到的内容。 默认情况下,来宾用户设置为受限权限级别,该权限级别阻止来宾用户枚举用户、组或其他目录资源,但允许他们查看非隐藏组的成员身份。 新的预览设置可让你进一步限制来宾访问权限,使来宾只能查看其自己的个人资料信息。 有关详细信息,请参阅限制来宾访问权限(预览版)

配置 B2B 外部协作设置

使用 Azure AD B2B 协作,租户管理员可以设置以下邀请策略:

  • 关闭邀请
  • 只有管理员和具有“来宾邀请者”角色的用户可以邀请
  • 管理员、“来宾邀请者”角色和成员可以邀请
  • 所有用户(包括来宾)都可以邀请

默认情况下,所有用户(包括来宾)都可以邀请来宾用户。

若要配置外部协作设置,请执行以下操作:

  1. 以租户管理员身份登录到 Azure 门户

  2. 选择“Azure Active Directory” 。

  3. 选择“组织关系” > “设置” 。

  4. 在页面上,选择要启用的策略。

    外部协作设置

  • 来宾用户权限处于限制状态:此策略确定目录中来宾的权限。 选择“是”会阻止来宾执行某些目录任务,例如枚举用户、组或其他目录资源。 选择“否”会向来宾授予与目录中普通用户相同的目录数据访问权限。
  • 管理员和具有“来宾邀请者”角色的用户可以邀请:若要允许充当“来宾邀请者”角色的管理员和用户邀请来宾,请将此策略设置为“是”。
  • 成员可以邀请:若要允许目录的非管理员成员邀请来宾,请将此策略设置为“是”。
  • 来宾可以邀请:若要允许来宾邀请其他来宾,请将此策略设置为“是”。
  • 协作限制:若要详细了解如何允许或阻止向特定的域发送邀请,请参阅 允许或阻止向特定组织中的 B2B 用户发送邀请

备注

如果“成员可以邀请”设为“否”,而“来宾邀请者角色中的管理员和用户可以邀请”设为“是”,则“来宾邀请者”角色中的用户仍将能够邀请来宾。

将“来宾邀请者”角色分配给用户

“来宾邀请者”角色可让个人用户邀请来宾,无需向他们分配全局管理员角色或其他管理员角色。 将“来宾邀请者”角色分配给个人。 然后,确保将“管理员和具有‘来宾邀请者’角色的用户可以邀请”设置为“是” 。

下面是一个示例,它展示了如何使用 PowerShell 将用户添加到“来宾邀请者”角色:

Add-MsolRoleMember -RoleObjectId 95e79109-95c0-4d8e-aee3-d01accf2d47b -RoleMemberEmailAddress <RoleMemberEmailAddress>

后续步骤

请参阅以下有关 Azure AD B2B 协作的文章: