Microsoft Entra B2B 协作常见问题解答

有关 Microsoft Entra 企业到企业 (B2B) 协作的常见问题解答 (FAQ) 会定期更新,以包含新主题。

是否可以自定义登录页,以便 B2B 协作来宾用户获得更直观的体验?

当然,有关如何自定义组织登录页的详细信息,请参阅在登录页和访问面板页中添加公司品牌

B2B 协作用户能否访问 SharePoint Online 和 OneDrive?

是的。 不过,在 SharePoint Online 中使用人员选取器搜索现有来宾用户的功能默认已关闭。 要启用该选项来搜索现有来宾用户,请将 ShowPeoplePickerSuggestionsForGuestUsersOn。 可以在租户级别或站点集合级别启用此设置。 可以使用 Set-SPOTenant 和 Set-SPOSite cmdlet 更改此设置。 使用这些 cmdlet,成员可以搜索目录中的所有现有来宾用户。 租户范围中的更改不会影响已经预配的 SharePoint Online 站点。

B2B 协作用户是否可以访问 Power BI 内容?

是的,可以使用 B2B 协作将 Power BI 内容分发给外部来宾用户。 若要跨 Azure 云共享 Power BI 内容,可以使用 Microsoft 云设置在云和外部云之间建立相互 B2B 协作。

是否仍支持 CSV 上传功能?

是的。 有关使用 .csv 文件上传功能的详细信息,请参阅此 PowerShell 示例

我能否自定义邀请电子邮件?

使用 B2B 邀请 API,几乎可以自定义有关邀请者过程的所有内容。

来宾用户是否可以重置其多重身份验证方法?

是。 来宾用户可以像普通用户一样重置其多重身份验证方法。

哪家组织负责提供多重身份验证许可证?

邀请方组织执行多重身份验证。 邀请方组织必须确保为其使用多重身份验证的 B2B 用户提供足够的许可证。

如果合作伙伴组织已设置多重身份验证会怎样? 我们能否信任他们的多重身份验证?

使用跨租户访问设置,你可以信任来自其他 Microsoft Entra 组织的多重身份验证和设备声明(合规声明和已建立 Microsoft Entra 混合联接的声明)。

可以在跨租户访问设置中添加多少个组织?

跨租户访问设置是目录中的策略,用于存储设置,以便与其他组织协作。 此策略文件的大小限制为 25kb,一旦达到上限,便无法增加或者更改其他组织,从而进一步增加文件大小。 根据我们在此策略中存储内容的方式,可以添加到跨租户访问设置的组织不存在确定的限制。 如果需要将设置应用于大量组织,建议将这些设置作为默认设置实现。 按照步骤计算策略的当前大小,并确定是否达到 25kb 文件大小限制。

如何使用延迟的邀请?

某家组织想要添加 B2B 协作用户,根据需要将这些用户预配到应用程序中,然后发送邀请。 可以使用 B2B 协作邀请 API 自定义载入工作流。

能否在 Exchange 全局地址列表中显示来宾用户?

是的。 默认情况下,来宾对象在组织的全局地址列表中不可见,但你可以使它们可见。 有关详细信息,请参阅 Microsoft 365 每组来宾访问文章中的“将来宾添加到全局地址列表”。

是否可将来宾用户指定为受限制的管理员?

绝对是。 有关详细信息,请参阅将来宾用户添加到角色

Microsoft Entra B2B 协作是否允许 B2B 用户访问 Microsoft Entra 管理中心?

B2B 协作用户不需要 Microsoft Entra 管理中心访问权限,除非为用户分配了受限管理员角色。 但是,分配有受限管理员角色的 B2B 协作用户可以访问门户。 另外,如果未被分配这些管理员角色之一的来宾用户访问门户,该用户可以访问某些部分的体验。 来宾用户角色具有目录中的某些权限。

我是否可以阻止来宾用户访问 Microsoft Entra 管理中心?

允许。你可以创建一个条件访问策略,阻止所有来宾用户和外部用户访问 Microsoft Entra 管理中心。 配置此策略时请小心,避免意外阻止成员和管理员的访问。

  1. 以安全管理员或条件访问管理员的身份登录到 Azure 门户。 选择“Microsoft Entra ID”。
  2. 在“管理”下,选择“安全性” 。
  3. 在“保护”下,选择“条件访问” 。 选择“新策略” 。
  4. 在“新建” 页的“名称” 文本框中,为策略输入一个名称(例如“阻止来宾访问门户”)。
  5. 在“分配” 下,选择“用户和组” 。
  6. 在“包括”选项卡上,选择“选择用户和组”,然后选择“所有来宾和外部用户(预览版)” 。
  7. 选择“完成” 。
  8. 在“新建”页的“分配”部分,选择“云应用或操作” 。
  9. 在“云应用或操作”页上,选择“选择应用”,然后选择“选择” 。
  10. 在“选择”页上,选择“Azure 服务管理 API”,然后选择“选择”
  11. 在“云应用或操作”页上,选择“完成” 。

Microsoft Entra B2B 协作是否支持多重身份验证和使用者电子邮件帐户?

是的。 Microsoft Entra B2B 协作同时支持多重身份验证和使用者电子邮件帐户。

是否支持 Microsoft Entra B2B 协作用户的密码重置?

如果 Microsoft Entra 租户是用户的主目录,则可从 Microsoft Entra 管理中心重置用户的密码。 但是,对于使用由其他 Microsoft Entra 目录或外部标识提供者管理的帐户登录的来宾用户,无法直接重置其密码。 只有用户主目录中的来宾用户或管理员可以重置密码。 以下示例演示来宾用户如何重置密码:

  • 标记为“来宾”(UserType==Guest)的 Microsoft Entra 租户中的来宾用户无法通过 https://account.activedirectory.windowsazure.cn/PasswordReset/Register.aspx?regref=ssprsetup 注册 SSPR。 这些类型的来宾用户只能通过 https://passwordreset.activedirectory.windowsazure.cn 执行 SSPR。

  • 使用 Microsoft 帐户(例如 guestuser@live.com)登录的来宾用户可以使用 Microsoft 帐户自助密码重置 (SSPR) 来重置其自己的密码。 请参阅如何重置 Microsoft 帐户密码

  • 使用外部标识提供者登录的来宾用户可以使用其标识提供者的 SSPR 方法来重置自己的密码。

  • 如果标识租户是实时 (JIT) 或“病毒性”租户(独立的不受管 Azure 租户),则只有来宾用户可以重置其密码。 有时,组织将接管在员工使用其工作电子邮件地址注册服务时创建的病毒性租户的管理。 组织接管病毒性租户后,只有该组织中的管理员可以重置用户密码或启用 SSPR。 如果需要,作为邀请方组织,你可以从目录中删除来宾用户帐户并重新发送邀请。

  • 如果来宾用户的主目录是你的 Microsoft Entra 租户,则你可以重置该用户的密码。 例如,你可能在本地 Active Directory 中创建了用户或同步了用户,并将其 UserType 设置为 Guest。 由于此用户位于你的目录中,因此你可以从 Microsoft Entra 管理中心重置其密码。

Microsoft Dynamics 365 是否为 Microsoft Entra B2B 协作提供联机支持?

是的,Dynamics 365 (Online) 支持 Microsoft Entra B2B 协作。 有关详细信息,请参阅 Dynamics 365 文章通过 Microsoft Entra B2B 协作邀请用户

新创建的 B2B 协作用户的初始密码的生存期是什么?

Microsoft Entra ID 具有固定的字符集、密码强度和帐户锁定要求,同样适用于所有 Microsoft Entra 云用户帐户。 云用户帐户是没有与其他标识提供者联合的帐户,例如

  • Microsoft 帐户
  • Active Directory 联合身份验证服务
  • 其他云租户(用于 B2B 协作)

对于联合帐户,密码策略取决于在本地租户中应用的策略和用户的 Microsoft 帐户设置。

组织可能希望在其应用程序中为租户用户和来宾用户提供不同的体验。 是否有针对此事项的标准指南? 标识提供者声明是否是可用的适当模型?

来宾用户可以使用任何标识提供者进行身份验证。 有关详细信息,请参阅 B2B 协作用户的属性。 使用 UserType 属性确定用户体验。 令牌中当前未包括 UserType 声明。 应用程序应当使用 Microsoft Graph API 从目录中查询用户并获取其 UserType。

可在何处找到 B2B 协作社区以共享解决方案和提交意见?

我们会在改进 B2B 协作的过程中不断听取反馈。 请分享你的用户方案和最佳做法,并分享 Microsoft Entra B2B 协作中让你钟意的方面。 欢迎在 Microsoft 技术社区参与讨论。

我们还力邀你在 B2B 协作意见中提交意见并为未来的功能投票。

是否可以发送自动兑换的邀请,以便用户只需“准备前往”即可? 或者,用户始终需要单击到达兑换 URL?

可以使用 UI、PowerShell 脚本或 API 邀请合作伙伴组织中的其他用户。 然后,可以向来宾用户发送指向共享应用的直接链接。 在大多数情况下,不再需要打开电子邮件邀请并单击兑换 URL。 请参阅 Microsoft Entra B2B 协作邀请兑换

受邀合作伙伴使用联合添加自己的本地身份验证时,B2B 协作如何工作?

如果合作伙伴具有联合到本地身份验证基础架构的 Microsoft Entra 租户,则会自动实现本地单一登录 (SSO)。 如果合作伙伴没有 Microsoft Entra 租户,则会为新用户创建 Microsoft Entra 帐户。

Microsoft Entra B2B 是否不接受 gmail.com 和 outlook.com 电子邮件地址,此类帐户是否使用 B2C?

我们将去除 B2B 和企业对消费者 (B2C) 的协作在所支持的标识这方面的差异。 根据所使用的标识决定使用 B2B 还是 B2C 并不是一个合理的原因。 有关选择协作选项的信息,请参阅在 Microsoft Entra ID 中比较 B2B 协作和 B2C

是否可以邀请 Microsoft Entra B2C 本地帐户加入 Microsoft Entra 租户进行 B2B 协作?

不是。 Azure AD B2C 本地帐户只能用于登录 Azure AD B2C 租户。 该帐户不能用于登录 Microsoft Entra 租户。 不支持邀请 Microsoft Entra B2C 本地帐户加入 Microsoft Entra 租户来进行 B2B 协作。

哪些应用程序和服务支持 Azure B2B 来宾用户?

所有与 Microsoft Entra 集成的应用程序都可以支持 Azure B2B 来宾用户,但必须使用设置为租户的终结点对来宾用户进行身份验证。

如果合作伙伴未启用多重身份验证,我们是否可以强制 B2B 来宾用户使用多重身份验证?

是的。 有关详细信息,请参阅 B2B 协作用户的条件访问

在 SharePoint 中,可以为外部用户定义“允许”和“拒绝”列表。 在 Azure 中是否可以执行此操作?

是的。 Microsoft Entra B2B 协作支持允许列表和阻止列表。

如果受邀用户的电子邮件和 UPN 不匹配会怎么样?

视情况而定。 默认情况下,Microsoft Entra 仅允许 UPN 用于登录 ID。 当 UPN 和电子邮件相同时,Microsoft Entra B2B 邀请和后续登录将按预期运行。 但当用户的电子邮件和 UPN 不匹配时,就可能会出现问题,并会使用电子邮件而不是 UPN 登录。 使用非 UPN 电子邮件邀请用户时,用户可通过电子邮件邀请链接兑换邀请,而无法通过直接链接进行兑换。 但是,即使用户成功兑换了邀请,使用非 UPN 电子邮件的后续登录尝试也会失败,除非标识提供者(Microsoft Entra ID 或联合标识提供者)配置为允许电子邮件作为替代登录 ID。 可以通过以下方式来缓解该问题:

  1. 在受邀/主 Microsoft Entra 租户中启用将电子邮件作为备用登录 ID 的功能
  2. 启用联合标识提供者以支持将电子邮件用作登录 ID(如果 Microsoft Entra ID 联合到另一个标识提供者)或
  3. 指示用户使用其 UPN 兑换/登录。

要完全避免此问题,管理员应确保用户的 UPN 和电子邮件值相同。

Screenshot shows the flow for guest redemption.

Screenshot shows the flow for subsequent sign-ins.

注意

跨 Azure 云发送的邀请和兑换必须使用 UPN。 目前不支持电子邮件。 例如,如果邀请美国政府租户中的用户加入商业租户,则必须使用其 UPN 来邀请该用户。

即时启动:哪些原因会导致复制延迟?

通过 B2B 协作流,我们将用户添加到目录,并在邀请兑换过程、应用分配等期间动态更新用户。 更新和写入通常发生在一个目录实例中,并且必须复制到所有实例中。 更新所有实例后完成复制。 有时,如果在一个实例中编写或更新对象,但是检索该对象的调用针对的是另一个实例,就会出现复制延迟。 如果发生这种情况,刷新或重试可有所帮助。 如果正在使用 API 编写应用,则请重试后退操作,这是解决该问题的一个很好的防御措施。