使用入站设置,可以选择哪些外部用户和组能够访问所选的内部应用程序。 无论是配置默认设置还是特定于组织的设置,更改入站跨租户访问设置的步骤都是相同的。 如本部分中所述,导航到“组织设置”选项卡上的“默认”选项卡或组织,然后进行更改。
至少以安全管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“外部标识”>“跨租户访问设置”。
导航到要修改的设置:
- 默认设置:要修改默认入站设置,请选择“默认设置”选项卡,然后在“入站访问设置”下选择“编辑入站默认值”。
- 组织设置:要修改特定组织的设置,请选择“组织设置”选项卡,在列表中查找该组织(或添加一个组织),然后选择“入站访问权限”列中的链接。
对于要更改的入站设置,请执行以下详细步骤:
更改入站 B2B 协作设置
至少以安全管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“外部标识”>“跨租户访问设置”,然后选择“组织设置”
选择“入站访问”列和“B2B 协作”选项卡中的链接。
如果要配置特定组织的入站访问设置,请选择下列选项之一:
选择“外部用户和用户组”。
在“访问状态”下,选择下列项之一:
- 允许访问:允许在“应用于”下指定的用户和组受邀参加 B2B 协作。
- 阻止访问:阻止在“应用于”下指定的用户和组受邀参加 B2B 协作。
在“应用于”下,选择下列项之一:
- 所有外部用户和组:将“访问状态”下选择的操作应用到外部 Microsoft Entra 组织中的所有用户和组。
- 选择外部用户和组(需要 Microsoft Entra ID P1 或 P2 订阅):允许将“访问状态”下选择的操作应用到外部组织中的特定用户和组。
注意
如果阻止所有外部用户和用户组的访问权限,则还需要在“应用程序”选项卡上阻止访问所有内部应用程序。
如果选择了“选择外部用户和用户组”,请对要添加的每个用户或用户组执行下列操作:
- 选择“添加外部用户和用户组”。
- 在“添加其他用户和组”窗格内的“搜索”框中,键入从合作伙伴组织获取的用户对象 ID 或组对象 ID。
- 在“搜索”框旁边的菜单中,选择“用户”或“组”。
- 选择 添加 。
添加用户和组后,选择“提交”。
选择“应用程序”选项卡。
在“访问状态”下,选择下列项之一:
- 允许访问:允许 B2B 协作用户访问“应用于”下指定的应用程序。
- 阻止访问:阻止 B2B 协作用户访问“应用于”下指定的应用程序。
在“应用于”下,选择下列项之一:
- 所有应用程序:将“访问状态”下选择的操作应用于所有应用程序。
- 选择“应用程序”(需要 Microsoft Entra ID P1 或 P2 高级订阅):允许将“访问状态”下选择的操作应用到组织中的特定应用程序。
注意
如果阻止所有应用程序的访问权限,则还需要在“外部用户和用户组”选项卡上阻止访问所有外部用户和用户组。
如果选择了“选择应用程序”,请对要添加的每个应用程序执行以下操作:
- 选择“添加 Microsoft 应用程序”或“添加其他应用程序”。
- 在“选择”窗格的搜索框中键入应用程序名称或应用程序 ID(可以是客户端应用 ID 或资源应用 ID)。 然后在搜索结果中选择应用程序。 对要添加的每个应用程序重复此操作。
- 选择应用程序后,选中“选择”。
选择“保存”。
允许 Microsoft 应用程序的注意事项
如果要将跨租户访问设置配置为仅允许一组指定的应用程序,请考虑添加下表中显示的 Microsoft 应用程序。 例如,如果配置允许列表并且仅允许 SharePoint Online,则用户无法访问“我的应用”或在资源租户中注册 MFA。 若要确保流畅的最终用户体验,请在入站和出站协作设置中包含以下应用程序。
应用程序 |
资源 ID |
门户中可用 |
详细信息 |
我的应用 |
2793995e-0a7d-40d7-bd35-6968ba142197 |
是 |
兑换邀请后的默认登陆页。 定义对 myapplications.windowsazure.cn 的访问权限。 |
Microsoft 应用访问面板 |
0000000c-0000-0000-c000-000000000000 |
否 |
在“我的登录”中加载某些页面时,在某些后期绑定调用中使用。例如,“安全信息”边栏选项卡或“组织”切换器。 |
我的个人资料 |
8c59ead7-d703-4a27-9e55-c96a0054c8d2 |
是 |
定义对 myaccount.windowsazure.cn (包括“我的组”和“我的访问”门户)的访问权限。 “我的个人资料”中的某些选项卡需要此处列出的其他应用才能正常工作。 |
我的登录 |
19db86c3-b2b9-44cc-b339-36da233a3be2 |
否 |
定义对 mysignins.windowsazure.cn 的访问权限,包括对“安全信息”的访问权限。 如果你要求用户在资源租户中注册和使用 MFA(例如,在主租户中不信任 MFA),则允许此应用。 |
上表中的某些应用程序不允许从 Microsoft Entra 管理中心进行选择。 若要允许这些应用程序,请使用 Microsoft Graph API 添加它们,如以下示例所示:
PATCH https://microsoftgraph.chinacloudapi.cn/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner’s tenant id>
{
"b2bCollaborationInbound": {
"applications": {
"accessType": "allowed",
"targets": [
{
"target": "2793995e-0a7d-40d7-bd35-6968ba142197",
"targetType": "application"
},
{
"target": "0000000c-0000-0000-c000-000000000000",
"targetType": "application"
},
{
"target": "8c59ead7-d703-4a27-9e55-c96a0054c8d2",
"targetType": "application"
},
{
"target": "19db86c3-b2b9-44cc-b339-36da233a3be2",
"targetType": "application"
}
]
}
}
}
注意
请务必在 PATCH 请求中包含要允许的任何其他应用程序,因为这将覆盖以前配置的任何应用程序。 可以通过门户或通过在合作伙伴策略上运行 GET 请求来手动检索已配置的应用程序。 例如: GET https://microsoftgraph.chinacloudapi.cn/v1.0/policies/crossTenantAccessPolicy/partners/<insert partner's tenant id>
注意
通过 Microsoft Graph API 添加且未映射到 Microsoft Entra 管理中心中的可用应用程序的应用程序将显示为应用 ID。
不能将 Microsoft 管理门户应用添加到 Microsoft Entra 管理中心的入站和出站跨租户访问设置。 若要允许 Microsoft 管理门户的外部访问,请使用 Microsoft Graph API 单独添加属于 Microsoft 管理门户应用组的以下应用:
- Azure 门户 (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
- Microsoft Entra 管理中心 (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
- Microsoft 365 Defender 门户 (80ccca67-54bd-44ab-8625-4b79c4dc7775)
- Microsoft Intune 管理中心 (80ccca67-54bd-44ab-8625-4b79c4dc7775)
- Microsoft Purview 合规性门户 (80ccca67-54bd-44ab-8625-4b79c4dc7775)
若要自定义来宾用户在接受邀请时可以用于登录的标识提供者的顺序,请执行以下步骤。
至少以安全管理员身份登录到 Microsoft Entra 管理中心。 然后打开左侧的“标识”服务。
选择“外部标识”>“跨租户访问设置”。
在“默认设置”选项卡的“入站访问设置”下选择“编辑入站默认值”。
在“B2B 协作”选项卡上,选择“兑换顺序”选项卡。
向上或向下移动标识提供者以更改来宾用户在接受邀请时可以登录的顺序。 也可以在此处将兑换顺序重置为默认设置。
选择“保存”。
Microsoft Entra ID 验证域的 SAML/WS-Fed 联合(直接联合)
现在可以添加已登记的 Microsoft Entra ID 验证域来设置直接联合关系。 首先,需要在管理中心或通过 API 设置直接联合配置。 确保域未在同一租户中经过验证。
设置该配置后,可以自定义兑换顺序。 SAML/WS-Fed IdP 作为最后一项添加到兑换顺序。 可以在兑换顺序中将其上移,将其设置在 Microsoft Entra 标识提供者之上。
阻止 B2B 用户使用 Microsoft 帐户兑换邀请
若要阻止 B2B 来宾用户使用其现有 Microsoft 帐户兑换邀请,或者创建新帐户来接受邀请,请执行以下步骤。
至少以安全管理员身份登录到 Microsoft Entra 管理中心。 然后打开左侧的“标识”服务。
选择“外部标识”>“跨租户访问设置”。
在“组织设置”下,选择“入站访问”列和“B2B 协作”选项卡中的链接。
选择“兑换顺序”选项卡。
在“回退标识提供者”下,禁用 Microsoft 服务帐户 (MSA)。
选择“保存”。
在任意给定时间,至少需要启用一个回退标识提供者。 如果要禁用 Microsoft 帐户,必须启用电子邮件一次性密码。 不能禁用这两个回退标识提供者。 使用 Microsoft 帐户登录的任何现有来宾用户都将在后续登录期间继续使用它。需要重置其兑换状态才能应用此设置。
更改适用于 MFA 和设备声明的入站信任设置
选择“信任设置”选项卡。
(此步骤仅适用于组织设置。)如果要为组织配置设置,请选择下列项之一:
选择以下一个或多个选项:
信任来自 Microsoft Entra 租户的多重身份验证:选中此复选框之后,条件访问策略就会信任来自外部组织的 MFA 声明。 在身份验证过程中,Microsoft Entra ID 会检查用户的凭据中是否存在某个表明用户已完成 MFA 的声明。 否则,将在用户的主租户中启动 MFA 质询。 请注意,如果外部用户使用精细委派管理权限 (GDAP) 登录,例如由管理租户中服务的云服务提供商的技术人员使用,则不会应用此设置。 当外部用户使用 GDAP 登录时,用户的主租户始终需要 MFA,并且资源租户始终信任 MFA。 在用户的主租户之外,不支持 GDAP 用户的 MFA 注册。 如果你的组织要求基于用户主租户中的 MFA 禁止服务提供商技术人员的访问,则可以在 Microsoft 365 管理中心删除 GDAP 关系。
信任兼容设备:允许条件访问策略在其用户访问资源时信任来自外部组织的合规设备声明。
信任已建立混合 Microsoft Entra 联接的设备:允许条件访问策略在用户访问资源时信任来自外部组织的已建立混合 Microsoft Entra 联接的设备。
(此步骤仅适用于组织设置。)查看自动兑换选项:
- 向租户自动兑换邀请<租户>:如果要自动兑换邀请,请选中此设置。 如果是这样,则指定租户中的用户在首次使用 B2B 协作访问此租户时不必接受同意提示。 仅当指定的租户也会针对出站访问检查此设置时,此设置才会抑制同意提示。
选择“保存”。
修改出站访问设置
使用入站设置,可以选择哪些用户和组能够访问所选的外部应用程序。 无论是配置默认设置还是特定于组织的设置,更改出站跨租户访问设置的步骤都是相同的。 如本部分中所述,导航到“组织设置”选项卡上的“默认”选项卡或组织,然后进行更改。
至少以安全管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“外部标识”>“跨租户访问设置”。
导航到要修改的设置:
选择“B2B 协作”选项卡。
(此步骤仅适用于组织设置。)如果要为组织配置设置,请选择下列选项之一:
选择“用户和组” 。
在“访问状态”下,选择下列项之一:
- 允许访问:允许在“应用于”下指定的用户和用户组受邀参加 B2B 协作的外部组织。
- 阻止访问:阻止在“应用于”下指定的用户和组受邀参加 B2B 协作。 如果阻止对所有用户和组的访问权限,这也会阻止通过 B2B 协作访问所有外部应用程序。
在“应用于”下,选择下列项之一:
- 所有组织用户:将“访问状态”下选择的操作应用于所有用户和用户组<>。
- 选择<你所在组织>用户和用户组(需要 Microsoft Entra ID P1 或 P2 订阅):允许将“访问状态”下选择的操作应用到特定用户和用户组。
注意
如果阻止所有用户和用户组的访问权限,则还需要在“外部应用程序”选项卡上阻止访问所有外部应用程序。
如果选择了“选择你所在组织>的用户和用户组”,请对要添加的每个用户或用户组执行下列操作:
- 选择“添加”“你的组织”>“用户和用户组”。
- 在“选择”窗格的搜索框中,键入用户名或用户组名。
- 在搜索结果中选择用户或用户组。
- 选择要添加的用户和用户组后,选中“选择”。
注意
如果以用户和组作为目标,则将无法选择已配置基于 SMS 的身份验证的用户。 这是因为阻止了其用户对象上具有“联合身份验证凭据”的用户,以防止将外部用户添加到出站访问设置中。 解决方法是使用 Microsoft Graph API 直接添加用户的对象 ID 或以用户所属的组作为目标。
选择“外部应用程序”选项卡。
在“访问状态”下,选择下列项之一:
- 允许访问:允许用户通过 B2B 协作访问“应用于”下指定的外部应用程序。
- 阻止访问:阻止用户通过 B2B 协作访问“应用于”下指定的外部应用程序。
在“应用于”下,选择下列项之一:
- 所有外部应用程序:将“访问状态”下选择的操作应用于所有外部应用程序。
- 选择外部应用程序:将“访问状态”下选择的操作应用于所有外部应用程序。
注意
如果阻止所有外部应用程序的访问权限,则还需要在“所有用户和用户组”选项卡上阻止访问所有用户和用户组。
如果选择了“选择外部应用程序”,请对要添加的每个应用程序执行以下操作:
- 选择“添加 Microsoft 应用程序”或“添加其他应用程序”。
- 在搜索框中,键入应用程序名称或应用程序 ID(可以是客户端应用 ID 或资源应用 ID)。 然后在搜索结果中选择应用程序。 对要添加的每个应用程序重复此操作。
- 选择应用程序后,选中“选择”。
选择“保存”。
更改出站信任设置
(此部分仅适用于组织设置。)