配置跨租户访问设置以进行 B2B 协作

• 在配置跨租户访问设置之前，先查看跨租户访问概述中的重要注意事项部分。
• 使用工具并按照确定入站和出站登录中的建议来了解用户当前正在访问的外部 Microsoft Entra 组织和资源。
• 确定要应用于所有外部 Microsoft Entra 组织的默认访问级别。
• 确定需要自定义设置的任何 Microsoft Entra 组织，以便可以为其配置“组织设置”。
• 如果要将访问设置应用于外部组织中的特定用户、组或应用程序，则需要在配置设置之前联系该组织了解相关信息。 获取其用户对象 ID、组对象 ID 或应用程序 ID（客户端应用 ID 或资源应用 ID），以便可以正确定位设置。
• 如果要在外部 Azure 云中与合作伙伴组织建立 B2B 协作，请按照配置 Microsoft 云设置中的步骤操作。 合作伙伴组织中的管理员需要为租户执行相同的操作。
• 邀请时会检查允许/阻止列表和跨租户访问设置。 如果用户的域位于允许列表中，则可以邀请这些域，除非跨租户访问设置中显式阻止该域。 如果用户的域位于阻止列表中，则无论跨租户访问设置如何，都无法邀请他们。 如果用户不在任一列表中，我们将检查跨租户访问设置，以确定是否可以邀请他们。

默认的跨租户访问设置适用于尚未创建组织特定自定义设置的所有外部组织。 如果要修改 Microsoft Entra 提供的默认设置，请执行以下步骤。

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识>外部标识>跨租户访问设置”，然后选择“跨租户访问设置”。

3. 选择“默认设置”选项卡，然后查看“摘要”页。

   

4. 若要更改设置，请选择“编辑入站默认值”链接或“编辑出站默认值”链接。

   

5. 按照以下部分中的详细步骤修改默认设置：

   • 修改入站访问设置
   • 修改出站访问设置

按照以下步骤配置特定组织的自定义设置。

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“外部标识”>“跨租户访问设置”，然后选择“组织设置”。

3. 选择“添加组织”。

4. 在“添加组织”窗格中，键入组织的完整域名（或租户 ID）。

   

5. 在搜索结果中选择组织，然后选择“添加”。

6. 该组织将出现在“组织设置”列表中。 此时，将从默认设置继承此组织的所有访问设置。 若要更改此组织的设置，请选择“入站访问”列或“出站访问”列下的“从默认值继承”链接。

   

7. 按照以下部分中的详细步骤修改组织设置：

   • 修改入站访问设置
   • 修改出站访问设置

使用入站设置，可以选择哪些外部用户和组能够访问所选的内部应用程序。 无论是配置默认设置还是特定于组织的设置，更改入站跨租户访问设置的步骤都是相同的。 如本部分中所述，导航到“组织设置”选项卡上的“默认”选项卡或组织，然后进行更改。

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“外部标识”>“跨租户访问设置”。

3. 导航到要修改的设置：

   • 默认设置：要修改默认入站设置，请选择“默认设置”选项卡，然后在“入站访问设置”下选择“编辑入站默认值”。
   • 组织设置：要修改特定组织的设置，请选择“组织设置”选项卡，在列表中查找该组织（或添加一个组织），然后选择“入站访问权限”列中的链接。

4. 对于要更改的入站设置，请执行以下详细步骤：

   • 更改入站 B2B 协作设置
   • 更改用于接受 MFA 和设备声明的入站信任设置

更改入站 B2B 协作设置

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“外部标识”>“跨租户访问设置”，然后选择“组织设置”

3. 选择“入站访问”列和“B2B 协作”选项卡中的链接。

4. 如果要配置特定组织的入站访问设置，请选择下列选项之一：

   • 默认设置：如果希望组织使用默认入站设置（可在默认设置选项卡上配置），请选择此选项。 如果已为该组织配置了自定义设置，则需要选择“是”以确认要将所有设置替换为默认设置。 然后选择“保存”，并跳过此过程中的其余步骤。

   • 自定义设置：如果想要自定义将为此组织强制执行的设置，而不是使用默认设置，请选择此选项。 继续执行此过程中的其余步骤。

5. 选择“外部用户和用户组”。

6. 在“访问状态”下，选择下列项之一：

   • 允许访问：允许在“应用于”下指定的用户和组受邀参加 B2B 协作。
   • 阻止访问：阻止在“应用于”下指定的用户和组受邀参加 B2B 协作。

   

7. 在“应用于”下，选择下列项之一：

   • 所有外部用户和组：将“访问状态”下选择的操作应用到外部 Microsoft Entra 组织中的所有用户和组。
   • 选择外部用户和组（需要 Microsoft Entra ID P1 或 P2 订阅）：允许将“访问状态”下选择的操作应用到外部组织中的特定用户和组。

   注意

   如果阻止所有外部用户和用户组的访问权限，则还需要在“应用程序”选项卡上阻止访问所有内部应用程序。

   

8. 如果选择了“选择外部用户和用户组”，请对要添加的每个用户或用户组执行下列操作：

   • 选择“添加外部用户和用户组”。
   • 在“添加其他用户和组”窗格内的“搜索”框中，键入从合作伙伴组织获取的用户对象 ID 或组对象 ID。
   • 在“搜索”框旁边的菜单中，选择“用户”或“组”。
   • 选择 添加 。

   注意

   无法在入站默认设置中以用户或组为目标。

   

9. 添加用户和组后，选择“提交”。

   

10. 选择“应用程序”选项卡。

11. 在“访问状态”下，选择下列项之一：

    • 允许访问：允许 B2B 协作用户访问“应用于”下指定的应用程序。
    • 阻止访问：阻止 B2B 协作用户访问“应用于”下指定的应用程序。

    

12. 在“应用于”下，选择下列项之一：

    • 所有应用程序：将“访问状态”下选择的操作应用于所有应用程序。
    • 选择“应用程序”（需要 Microsoft Entra ID P1 或 P2 高级订阅）：允许将“访问状态”下选择的操作应用到组织中的特定应用程序。

    注意

    如果阻止所有应用程序的访问权限，则还需要在“外部用户和用户组”选项卡上阻止访问所有外部用户和用户组。

    

13. 如果选择了“选择应用程序”，请对要添加的每个应用程序执行以下操作：

    • 选择“添加 Microsoft 应用程序”或“添加其他应用程序”。
    • 在“选择”窗格的搜索框中键入应用程序名称或应用程序 ID（可以是客户端应用 ID 或资源应用 ID）。 然后在搜索结果中选择应用程序。 对要添加的每个应用程序重复此操作。
    • 选择应用程序后，选中“选择”。

    

14. 选择“保存”。

将 Microsoft 管理门户应用添加到 B2B 协作

不能直接将 Microsoft 管理门户应用添加到 Microsoft Entra 管理中心的入站和出站跨租户访问设置。 但是，可以使用 Microsoft Graph API 单独添加下方列出的应用。

以下应用是 Microsoft 管理门户应用组的一部分：

• Azure 门户 (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Microsoft Entra 管理中心 (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
• Microsoft 365 Defender 门户 (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Microsoft Intune 管理中心 (80ccca67-54bd-44ab-8625-4b79c4dc7775)
• Microsoft Purview 合规性门户 (80ccca67-54bd-44ab-8625-4b79c4dc7775)

配置兑换订单

若要自定义来宾用户在接受邀请时可以用于登录的标识提供者的顺序，请执行以下步骤。

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。 然后打开左侧的“标识”服务。

2. 选择“外部标识”>“跨租户访问设置”。

3. 在“默认设置”选项卡的“入站访问设置”下选择“编辑入站默认值”。

4. 在“B2B 协作”选项卡上，选择“兑换顺序”选项卡。

5. 向上或向下移动标识提供者以更改来宾用户在接受邀请时可以登录的顺序。 也可以在此处将兑换顺序重置为默认设置。

   

6. 选择“保存”。

Microsoft Entra ID 验证域的 SAML/WS-Fed 联合（直接联合）

现在可以添加已登记的 Microsoft Entra ID 验证域来设置直接联合关系。 首先，需要在管理中心或通过 API 设置直接联合配置。 确保域未在同一租户中经过验证。 设置该配置后，可以自定义兑换顺序。 SAML/WS-Fed IdP 作为最后一项添加到兑换顺序。 可以在兑换顺序中将其上移，将其设置在 Microsoft Entra 标识提供者之上。

阻止 B2B 用户使用 Microsoft 帐户兑换邀请

若要阻止 B2B 来宾用户使用其现有 Microsoft 帐户兑换邀请，或者创建新帐户来接受邀请，请执行以下步骤。

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。 然后打开左侧的“标识”服务。

2. 选择“外部标识”>“跨租户访问设置”。

3. 在“组织设置”下，选择“入站访问”列和“B2B 协作”选项卡中的链接。

4. 选择“兑换顺序”选项卡。

5. 在“回退标识提供者”下，禁用 Microsoft 服务帐户 (MSA)。

   

6. 选择“保存”。

在任意给定时间，至少需要启用一个回退标识提供者。 如果要禁用 Microsoft 帐户，必须启用电子邮件一次性密码。 不能禁用这两个回退标识提供者。 使用 Microsoft 帐户登录的任何现有来宾用户都将在后续登录期间继续使用它。需要重置其兑换状态才能应用此设置。

更改适用于 MFA 和设备声明的入站信任设置

1. 选择“信任设置”选项卡。

2. （此步骤仅适用于组织设置。）如果要为组织配置设置，请选择下列项之一：

   • 默认设置：组织使用在“默认设置”选项卡上配置的设置。如果已为该组织配置了自定义设置，请选择“是”以确认要将所有设置替换为默认设置。 然后选择“保存”，并跳过此过程中的其余步骤。

   • 自定义设置：可以自定义将为此组织强制执行的设置，而不是使用默认设置。 继续执行此过程中的其余步骤。

3. 选择以下一个或多个选项：

   • 信任来自 Microsoft Entra 租户的多重身份验证：选中此复选框之后，条件访问策略就会信任来自外部组织的 MFA 声明。 在身份验证过程中，Microsoft Entra ID 会检查用户的凭据中是否存在某个表明用户已完成 MFA 的声明。 否则，将在用户的主租户中启动 MFA 质询。 请注意，如果外部用户使用精细委派管理权限 (GDAP) 登录，例如由管理租户中服务的云服务提供商的技术人员使用，则不会应用此设置。 当外部用户使用 GDAP 登录时，用户的主租户始终需要 MFA，并且资源租户始终信任 MFA。 在用户的主租户之外，不支持 GDAP 用户的 MFA 注册。 如果你的组织要求基于用户主租户中的 MFA 禁止服务提供商技术人员的访问，则可以在 Microsoft 365 管理中心删除 GDAP 关系。

   • 信任兼容设备：允许条件访问策略在其用户访问资源时信任来自外部组织的合规设备声明。

   • 信任已建立混合 Microsoft Entra 联接的设备：允许条件访问策略在用户访问资源时信任来自外部组织的已建立混合 Microsoft Entra 联接的设备。

   

4. （此步骤仅适用于组织设置。）查看自动兑换选项：

   • 向租户自动兑换邀请<租户>：如果要自动兑换邀请，请选中此设置。 如果是这样，则指定租户中的用户在首次使用 B2B 协作访问此租户时不必接受同意提示。 仅当指定的租户也会针对出站访问检查此设置时，此设置才会抑制同意提示。

   

5. 选择“保存”。

修改出站访问设置

使用入站设置，可以选择哪些用户和组能够访问所选的外部应用程序。 无论是配置默认设置还是特定于组织的设置，更改出站跨租户访问设置的步骤都是相同的。 如本部分中所述，导航到“组织设置”选项卡上的“默认”选项卡或组织，然后进行更改。

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“外部标识”>“跨租户访问设置”。

3. 导航到要修改的设置：

   • 要修改默认入站设置，请选择“默认设置”选项卡，然后在“入站访问设置”下选择“编辑入站默认值”。

   • 要修改特定组织的设置，请选择“组织设置”选项卡，在列表中查找该组织（或添加一个组织），然后选择“出站访问权限”列中的链接。

4. 选择“B2B 协作”选项卡。

5. （此步骤仅适用于组织设置。）如果要为组织配置设置，请选择下列选项之一：

   • 默认设置：组织使用在“默认设置”选项卡上配置的设置。如果已为该组织配置了自定义设置，则需要选择“是”以确认要将所有设置替换为默认设置。 然后选择“保存”，并跳过此过程中的其余步骤。

   • 自定义设置：可以自定义将为此组织强制执行的设置，而不是使用默认设置。 继续执行此过程中的其余步骤。

6. 选择“用户和组” 。

7. 在“访问状态”下，选择下列项之一：

   • 允许访问：允许在“应用于”下指定的用户和用户组受邀参加 B2B 协作的外部组织。
   • 阻止访问：阻止在“应用于”下指定的用户和组受邀参加 B2B 协作。 如果阻止对所有用户和组的访问权限，这也会阻止通过 B2B 协作访问所有外部应用程序。

   

8. 在“应用于”下，选择下列项之一：

   • 所有组织用户：将“访问状态”下选择的操作应用于所有用户和用户组<>。
   • 选择<你所在组织>用户和用户组（需要 Microsoft Entra ID P1 或 P2 订阅）：允许将“访问状态”下选择的操作应用到特定用户和用户组。

   注意

   如果阻止所有用户和用户组的访问权限，则还需要在“外部应用程序”选项卡上阻止访问所有外部应用程序。

   

9. 如果选择了“选择你所在组织>的用户和用户组”，请对要添加的每个用户或用户组执行下列操作：

   • 选择“添加”“你的组织”>“用户和用户组”。
   • 在“选择”窗格的搜索框中，键入用户名或用户组名。
   • 在搜索结果中选择用户或用户组。
   • 选择要添加的用户和用户组后，选中“选择”。

   注意

   如果以用户和组作为目标，则将无法选择已配置基于 SMS 的身份验证的用户。 这是因为阻止了其用户对象上具有“联合身份验证凭据”的用户，以防止将外部用户添加到出站访问设置中。 解决方法是使用 Microsoft Graph API 直接添加用户的对象 ID 或以用户所属的组作为目标。

10. 选择“外部应用程序”选项卡。

11. 在“访问状态”下，选择下列项之一：

    • 允许访问：允许用户通过 B2B 协作访问“应用于”下指定的外部应用程序。
    • 阻止访问：阻止用户通过 B2B 协作访问“应用于”下指定的外部应用程序。

    

12. 在“应用于”下，选择下列项之一：

    • 所有外部应用程序：将“访问状态”下选择的操作应用于所有外部应用程序。
    • 选择外部应用程序：将“访问状态”下选择的操作应用于所有外部应用程序。

    注意

    如果阻止所有外部应用程序的访问权限，则还需要在“所有用户和用户组”选项卡上阻止访问所有用户和用户组。

    

13. 如果选择了“选择外部应用程序”，请对要添加的每个应用程序执行以下操作：

    • 选择“添加 Microsoft 应用程序”或“添加其他应用程序”。
    • 在搜索框中，键入应用程序名称或应用程序 ID（可以是客户端应用 ID 或资源应用 ID）。 然后在搜索结果中选择应用程序。 对要添加的每个应用程序重复此操作。
    • 选择应用程序后，选中“选择”。

    

14. 选择“保存”。

更改出站信任设置

（此部分仅适用于组织设置。）

1. 选择“信任设置”选项卡。

2. 查看“自动兑换”选项：

   • 向租户自动兑换邀请<租户>：如果要自动兑换邀请，请选中此设置。 如果是这样，则此租户中的用户在首次使用 B2B 协作访问指定租户时不必接受同意提示。 仅当指定的租户也会针对入站访问检查此设置时，此设置才会抑制同意提示。

     

3. 选择“保存”。

从组织设置中删除组织时，默认的跨租户访问设置将对该组织生效。

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“外部标识”>“跨租户访问设置”。

3. 选择“组织设置”选项卡。

4. 在列表中找到组织，然后选择该行上的垃圾桶图标。