了解和管理 B2B 来宾用户的属性
适用于: 员工租户 外部租户(了解详细信息)
B2B 协作是 Microsoft Entra 外部 ID 提供的一种外部标识功能,可用于与组织外部的用户和合作伙伴展开协作。 借助 B2B 协作,将邀请外部用户使用其凭据登录到 Microsoft Entra 组织。 然后,此 B2B 协作用户可以访问要与其共享的应用和资源。 对于 B2B 协作用户,需要在与员工相同的目录中为其创建一个用户对象。 默认情况下,B2B 协作用户对象在该目录中具有受限的特权,用户可以像对待员工一样对之进行管理,例如将其添加到组等。 本文讨论此用户对象的属性以及管理它的方法。
下表根据 B2B 协作用户的身份验证方式(内部或外部)以及他们与组织的关系(来宾或成员)描述 B2B 协作用户。
- 外部来宾:通常被视为外部用户或来宾的多数用户都属于此类别。 此 B2B 协作用户具有外部 Microsoft Entra 组织或外部标识提供者(例如社交标识)中的帐户,并且他们在资源组织中具有来宾级权限。 在 Microsoft Entra 目录资源中创建的用户对象的 UserType 为 Guest。
- 外部成员:此 B2B 协作用户具有外部 Microsoft Entra 组织或外部标识提供者(例如社交标识)中的帐户,并且他们在资源组织中具有来宾级权限。 这种情况在由多个租户组成的组织中很常见,其中用户被视为较大组织的成员,并且需要成员级访问权限来访问组织其他租户中的资源。 在 Microsoft Entra 目录资源中创建的用户对象的 UserType 为 Member。
- 内部来宾:在 Microsoft Entra B2B 协作可用之前,通常通过为分销商、供应商、供应商和其他人员设置内部凭据,将用户对象 UserType 设置为 Guest 来将其指定为来宾。 如有此类内部来宾用户,可以邀请他们改为使用 B2B 协作,以便其可以使用自己的凭据,从而允许其外部标识提供者管理身份验证及其帐户生命周期。
- 内部成员:这些用户通常被视为组织的员工。 用户通过 Microsoft Entra ID 在内部进行身份验证,在资源 Microsoft Entra 目录中创建的相应用户对象的 UserType 是 Member。
所选用户类型具有以下应用或服务限制(但不限于):
应用或服务 | 限制 |
---|---|
Power BI | - Power BI 中对 UserType 成员的支持目前为预览版。 有关详细信息,请参阅使用 Microsoft Entra B2B 将 Power BI 内容分发给外部来宾用户。 |
Azure 虚拟桌面 | - Azure 虚拟桌面不支持外部成员和外部来宾。 |
重要
电子邮件一次性密码功能现在默认为所有新租户以及尚未显式关闭的任何现有租户启用。 关闭此功能时,回退身份验证方法将提示被邀请者创建 Microsoft 帐户。
邀请兑换
现在,让我们看看 Microsoft Entra B2B 协作用户在 Microsoft Entra 外部 ID 中的样子。
兑换邀请之前
B2B 协作用户帐户是邀请来宾用户使用其自己的凭据进行协作的结果。 最初向来宾用户发送邀请时,会在你的租户中创建帐户。 这个帐户没有与之关联的任何凭据,因为是由来宾用户的标识提供者执行身份验证。 目录中来宾用户帐户的“Identities”属性设置为主机的组织域,直到来宾兑换其邀请。 发送邀请的用户添加为来宾用户帐户上“发起人”属性的默认值。 在管理中心,受邀用户的配置文件将显示邀请状态 PendingAcceptance。 使用 Microsoft Graph API 查询 externalUserState
将返回 Pending Acceptance
。
兑换邀请之后
B2B 协作用户接受邀请后,将会根据用户标识提供者更新“表示”属性。
如果 B2B 协作用户使用的是 Microsoft 帐户或来自其他外部标识提供者的凭据,则“标识”将反映该标识提供者。
如果 B2B 协作用户使用另一 Microsoft Entra 组织的凭据,则“Identities”为 ExternalAzureAD。
对于使用内部凭据的外部用户,“标识”属性将设置为主机的组织域。 如果帐户位于组织的本地 Active Directory 中并与 Microsoft Entra ID 同步,则“已同步目录”属性为“是”;如果帐户是仅限云的 Microsoft Entra 帐户,则为“否”。 目录同步信息也可通过 Microsoft Graph 中的
onPremisesSyncEnabled
属性获取。
Microsoft Entra B2B 协作用户的关键属性
用户主体名称
B2B 协作用户对象(即来宾用户)的 UPN 包含来宾用户的电子邮箱,后跟 #EXT#,后跟 tenantname.partner.onmschina.cn。 例如,如果将用户 john@contoso.com 添加为目录 fabrikam 中的外部用户,则其 UPN 将为 john_contoso.com#EXT#@fabrikam.partner.onmschina.cn。
用户类型
此属性表示用户与宿主租户之间的关系。 此属性可以具有两个值:
成员:此值表示主体组织的某位员工,即组织工资单中的某个用户。 例如,此用户应当对仅限内部站点具有访问权限。 此用户不会被视为外部协作者。
来宾:此值表示不被视为公司内部成员的用户,例如外部协作者、合作伙伴或客户。 此类用户不会接收首席执行官 (CEO) 的内部备注,也不会享受公司福利等。
注意
UserType 与用户的登录方式、用户的目录角色等等之间没有关系。 此属性只是指明该用户与宿主组织之间的关系,使该组织能够实施依赖于此属性的策略。
标识
此属性指示了用户的主要标识提供者。 用户可以拥有多个标识提供者,可在用户配置文件中选择“标识”旁边的链接或通过 Microsoft Graph API 查询 identities
属性来查看这些标识提供者。
注意
Identities 和 UserType 是独立的属性。 Identities 的值并不暗示特定的 UserType 值。
Identities 属性值 | 登录状态 |
---|---|
ExternalAzureAD | 此用户驻留在外部组织中,使用属于另一组织的 Microsoft Entra 帐户进行身份验证。 |
Microsoft 帐户 | 此用户驻留在某个 Microsoft 帐户中,使用 Microsoft 帐户进行身份验证。 |
{主机的域} | 此用户使用属于此组织的 Microsoft Entra 帐户进行身份验证。 |
此用户已使用 Microsoft Entra 外部 ID 电子邮件一次性密码 (OTP) 进行注册。 | |
{证书颁发者 URI} | 此用户位于外部组织中,该组织未将 Microsoft Entra ID 用作其标识提供者的,而是使用基于安全断言标记语言 (SAML)/WS-Fed 的标识提供者。 单击 Identities 字段时,将显示证书颁发者 URI。 |
外部用户不支持手机登录。 B2B 帐户不能将 phone
值用作标识提供者。
已同步目录
“已同步目录”属性指示用户是否将与本地 Active Directory 同步,以及是否在本地进行身份验证。 如果帐户位于组织的本地 Active Directory 中并与 Microsoft Entra ID 同步,则此属性为“是”;如果帐户是仅限云的 Microsoft Entra 帐户,则为“否”。 在 Microsoft Graph 中,“已同步目录”属性对应于 onPremisesSyncEnabled
。
是否可将 Microsoft Entra B2B 用户添加为成员而不是来宾?
通常,Microsoft Entra B2B 用户和来宾用户是同义词。 因此,默认情况下,Microsoft Entra B2B 协作用户将添加为 UserType = Guest 的用户。 但在某些情况下,合作伙伴组织又是一家更大型上级组织的成员,而宿主组织也属于该大型组织。 如果是这样,宿主组织可能希望将合作伙伴组织中的用户视为成员而非来宾。 使用 Microsoft Entra B2B 邀请管理器 API 将合作伙伴组织中的用户添加或邀请到宿主组织作为成员。
对目录中的来宾用户进行筛选
在“用户”列表中,可以使用“添加筛选器”仅显示目录中的来宾用户。
转换 UserType
通过在 Microsoft Entra 管理中心内编辑用户个人资料或使用 PowerShell,可以将 UserType 从“Member”转换为“Guest”,反之亦然。 但是,UserType 属性表示用户与组织之间的关系。 因此,只有当用户与组织之间的关系发生更改时,才应当更改此属性。 如果用户的关系发生更改,用户主体名称 (UPN) 是否应该更改? 用户是否应该继续有权访问同样的资源? 是否应该分配邮箱?
来宾用户权限
来宾用户的目录权限默认受到限制。 他们可以管理自己的个人资料、更改自己的密码并检索其他用户、组和应用的某些信息。 但是,他们不能读取所有目录信息。
Microsoft Teams 共享频道不支持 B2B 来宾用户。
在某些情况下,你可能想要为来宾用户提供更高的特权。 可将来宾用户添加到任何角色,甚至可在目录中删除默认的来宾用户限制,向用户提供与成员相同的特权。 可以禁用默认限制,便于为公司目录中的来宾用户提供与成员用户相同的权限。 有关详细信息,请查看在 Microsoft Entra 外部 ID 中限制来宾访问权限一文。
能否在 Exchange 全局地址列表中显示来宾用户?
是的。 默认情况下,来宾对象在组织的全局地址列表中不可见,但可使用 Microsoft Graph PowerShell 使其可见。 有关详细信息,请参阅 Microsoft 365 每组来宾访问文章中的“将来宾添加到全局地址列表”。
是否可以更新来宾用户的电子邮件地址?
如果来宾用户接受邀请,并随后更改其电子邮件地址,新电子邮件不会自动同步到目录中的来宾用户对象。 邮件属性是通过 Microsoft Graph API 创建的。 可以通过 Microsoft Graph API、Exchange 管理中心或 Exchange Online PowerShell 更新邮件属性。 此更改将反映在 Microsoft Entra 来宾用户对象中。