Microsoft Entra 外部 ID 简介
Microsoft Entra 外部 ID 结合了与组织外部人员合作的强大解决方案。 借助外部 ID 功能,可以允许外部标识安全地访问应用和资源。 无论你是与外部合作伙伴、消费者还是业务客户合作,用户都可以自带标识。 这些标识的范围从公司或政府颁发的帐户到 Google 或 Facebook 等社交标识提供者。
这些方案属于 Microsoft Entra 外部 ID 的范围:
如果你是组织或创建使用者应用的开发人员,请使用外部 ID 快速将身份验证和客户标识和访问管理 (CIAM) 添加到应用程序。 注册应用、创建自定义登录体验,并在外部配置中管理 Microsoft Entra 租户中的应用用户。 此租户独立于员工和组织资源。
如果想要使员工能够与业务合作伙伴和来宾协作,请使用外部 ID 进行 B2B 协作。 允许通过邀请或自助服务注册安全地访问企业应用。 确定来宾对包含员工和组织资源的 Microsoft Entra 租户的访问权限级别,该租户是员工配置中的租户。
Microsoft Entra 外部 ID 是一种灵活的解决方案,适用于需要身份验证和 CIAM 的面向消费者的应用开发人员,以及寻求安全 B2B 协作的企业。
保护消费者和企业客户的应用程序安全
组织和开发人员可以在外部租户中使用外部 ID,将其应用发布到消费者和企业客户时将其作为 CIAM 解决方案。 可以在外部配置中创建单独的 Microsoft Entra 租户,以便独立于员工管理应用和用户帐户。 在此租户中,可以轻松配置自定义品牌注册体验和用户管理功能:
设置自助服务注册流,定义客户遵循的一系列注册步骤,以及他们可以使用的登录方法(例如电子邮件和密码、一次性密码,或者 Google 或 Facebook 社交帐户)。
通过为租户配置“公司品牌打造”设置,为登录应用的用户创建自定义外观。 使用这些设置,可以添加自己的背景图像、颜色、公司徽标和文本来自定义应用中的登录体验。
通过从一系列内置用户属性中进行选择或添加自己的自定义属性,在注册期间从客户那里收集信息。
分析用户活动和参与数据,以发现有价值的见解,从而帮助做出战略性决策并推动业务增长。
凭借外部 ID,客户可以使用已有的标识登录。 可以在使用应用程序时自定义和控制客户注册和登录的方式。 因为这些 CIAM 功能内置于外部 ID 中,因此你还会受益于增强的安全性、合规性和可伸缩性等 Microsoft Entra 平台功能。
有关详细信息,请参阅“外部租户中的 Microsoft Entra 外部 ID 概述”。
与业务来宾协作
外部 ID B2B 协作使员工能够与外部业务合作伙伴协作。 可以邀请任何人使用其专属凭据登录 Microsoft Entra 组织,以便他们可以访问您想与之共享的应用和资源。 在需要让业务来宾访问 Office 365 应用、软件即服务 (SaaS) 应用和业务线应用程序时,请使用 B2B 协作。 没有与业务来宾关联的凭据。 相反,他们使用其本组织或标识提供者进行身份验证,然后您的组织会检查用户是否有资格进行来宾协作。
可通过多种方式将业务来宾添加到组织进行协作:
使用启用的 Microsoft Entra 帐户、Microsoft 帐户或社交标识(例如 Google)邀请用户参与协作。 管理员可使用 Microsoft Entra 管理中心或 PowerShell 邀请用户进行协作。 用户使用其工作帐户、学校帐户或其他电子邮件帐户通过简单的兑换过程登录到共享资源。
使用自助注册用户流,让来宾自行注册应用程序。 可以自定义体验,以允许使用工作、学校或社交标识(如 Google 或 Facebook)进行注册。 你还可以在注册过程中收集有关用户的信息。
Microsoft Entra 权利管理是一种标识治理功能,通过自动执行访问请求工作流、访问分配、审核和过期,使你能够大规模管理外部用户的标识和访问。
对于业务来宾,需要在与员工相同的目录中为其创建一个用户对象。 可以像目录中的其他用户对象一样管理此用户对象,将其添加到组等。 可以将权限分配给用户对象(用于授权),同时允许他们使用其现有凭据(用于身份验证)。
可以使用跨租户访问设置来管理与其他 Microsoft Entra 组织以及在 Microsoft Azure 云中的协作。 对于与非 Azure AD 外部用户和组织之间的协作,请使用外部协作设置。
什么是“员工”和“外部”租户?
租户是 Microsoft Entra ID 的专用且受信任的实例,其中包含组织的资源(包括已注册的应用和用户目录)。 可通过两种方式配置租户,具体取决于组织希望如何使用租户以及想要管理的资源:
- 员工租户配置是一个标准 Microsoft Entra 租户,其中包含员工、内部业务应用和其他组织资源。。 在员工租户中,内部用户可以使用 B2B 协作与外部业务合作伙伴和来宾协作。
- 外部 租户配置专用于要发布到使用者或业务客户的应用。 此不同的租户遵循标准 Microsoft Entra 租户模型,但已针对使用者方案进行配置。 它包含应用注册和使用者或客户帐户目录。
有关详细信息,请参阅 Microsoft Entra 外部 ID 中的员工和外部租户配置。
比较外部 ID 功能集
下表比较了可以使用外部 ID 启用的方案。
员工租户中的外部 ID | 外部租户中的外部 ID | |
---|---|---|
主要场景 | 允许员工与业务来宾协作。 让来宾使用其首选标识登录到 Microsoft Entra 组织中的资源。 提供对 Microsoft 应用程序或您的专属应用程序的访问权限(SaaS 应用、自定义开发的应用等)。 示例:邀请来宾登录 Microsoft 应用或成为 Teams 中的来宾成员。 |
使用外部 ID 将应用发布到使用外部 ID 进行标识体验的外部使用者和企业客户。 为新式 SaaS 或自定义开发的应用程序(非第一方 Microsoft 应用)提供标识和访问管理。 示例: 为使用者移动应用的用户创建自定义登录体验,并监视应用使用情况。 |
适用对象 | 与外部组织(如供应商和合作伙伴)的业务合作伙伴协作。 这些用户可能拥有或没有 Microsoft Entra ID 或托管式 IT。 | 应用的消费者和商业客户。 这些用户是在为外部应用和用户配置的 Microsoft Entra 租户中管理的。 |
用户管理 | B2B 协作用户在员工所在的员工租户中进行管理,但通常批注为来宾用户。 可采用与员工相同的方式管理来宾用户,还可将其添加到相同组等。 跨租户访问设置可用于确定哪些用户有权访问 B2B 协作。 | 应用用户托管在为应用程序的使用者创建的外部租户中。 外部租户中的用户默认权限不同于员工租户中的用户。 它们在外部租户中管理,独立于组织的员工目录。 |
单一登录 (SSO) | 支持对所有 Microsoft Entra 连接的应用的 SSO。 例如,可允许访问 Microsoft 365 或本地应用以及其他 SaaS 应用(例如 Salesforce 或 Workday)。 | 支持在外部租户中注册的应用的 SSO。 不支持单一登录到 Microsoft 365 或其他 Microsoft SaaS 应用。 |
公司品牌 | 身份验证体验的默认状态是 Microsoft 的外观。 管理员可以使用其公司品牌自定义来宾登录体验。 | 外部租户的默认品牌是中性的,不包括任何现有的 Microsoft 品牌。 管理员可以为组织或每个应用程序自定义品牌。 了解详细信息。 |
Microsoft 云设置 | 支持。 | 不适用。 |
权利管理 | 受支持。 | 不适用。 |
相关技术
有多种 Microsoft Entra 技术与同外部用户和组织协作相关。 设计外部 ID 协作模型时,请考虑这些其他功能。
B2B 直连
通过 B2B 直接连接,可以与其他 Microsoft Entra 组织创建双向信任关系,以启用 Teams Connect 共享频道功能。 此功能允许用户无缝登录到 Teams 共享频道进行聊天、呼叫、文件共享和应用共享。 当两个组织相互启用 B2B 直连时,用户将在其本组织中进行身份验证,并接收资源组织提供的令牌以访问。 这与 B2B 协作不同,B2B 直接连接用户不会作为来宾添加到员工目录。 详细了解 Microsoft Entra 外部 ID 中的 B2B 直接连接。
设置与外部组织的 B2B 直连后,即可使用以下 Teams 共享通道:
在 Teams 中,共享通道所有者可以搜索来自外部组织的受允许用户,并将其添加到共享通道。
外部用户可以访问 Teams 共享通道,无需切换组织或使用不同的帐户登录。 在 Teams 中,外部用户可以通过“文件”选项卡访问文件和应用。共享通道的策略确定用户的访问权限。
使用跨租户访问设置来管理与其他 Microsoft Entra 组织之间的信任关系,并定义 B2B 直连的入站和出站策略。
若要详细了解通过 Teams 共享通道提供给 B2B 直连用户的资源、文件和应用程序,请参阅 Microsoft Teams 中的聊天、团队、通道和应用。
许可和计费基于每月活跃用户 (MAU)。 详细了解 Microsoft Entra 外部 ID 的计费模型。
Azure Active Directory B2C
Azure Active Directory B2C (Azure AD B2C) 是 Microsoft 用于客户标识和访问管理的旧解决方案。 Azure AD B2C 包含一个单独的基于使用者的目录,可以通过 Azure AD B2C 服务在 Azure 门户中管理该目录。 每个 Azure AD B2C 租户都是独特的,且不同于其他 Microsoft Entra ID 和 Azure AD B2C 租户。 Azure AD B2C 门户体验与 Microsoft Entra ID 相似,但存在一些重要差异,如使用 Identity Experience Framework 自定义用户旅程的能力。
有关 Azure AD B2C 租户与 Microsoft Entra 租户有何不同的详细信息,请参阅 Azure AD B2C 中的支持的 Microsoft Entra 功能。 有关配置和管理 Azure AD B2C 的详细信息,请参阅 Azure AD B2C 文档。
适用于企业来宾注册的 Microsoft Entra 权利管理
作为邀请方组织,你可能事先不知道需要访问你的资源的各个外部协作者是谁。 需要为合作伙伴公司的用户提供一种方式,让他们根据你所控制的策略自行注册。 若要使其他组织中的用户能够请求访问权限,可以使用 Microsoft Entra 权利管理来配置管理外部用户访问权限的策略。 批准后,这些用户可以请求访问权限,获得批准后,配置有来宾帐户,并分配到组、应用和 SharePoint Online 站点。
条件访问
组织可以使用条件访问策略,通过将相应的访问控制(如 MFA)应用于外部用户来增强其安全性。
外部租户中的条件访问和 MFA
在外部租户中,组织可以通过创建 Microsoft Entra 条件访问策略并添加 MFA 以注册和登录用户流来为客户强制实施 MFA。 外部租户支持作为第二个因素进行身份验证的两种方法:
- 电子邮件一次性密码:当用户使用其电子邮件和密码登录后,系统会提示其输入发送到其电子邮件的密码。
- 基于短信的身份验证:对于外部租户中的用户,短信可用作 MFA 的第二因素身份验证方法。 使用电子邮件和密码、电子邮件和一次性密码或社交标识(如 Google 或 Facebook)登录的用户会被提示使用短信进行第二次验证。
详细了解外部租户中的身份验证方法。
B2B 协作和 B2B 直连的条件访问
在工作人员租户中,组织可以针对外部 B2B 协作和 B2B 直连用户强制实施条件访问策略,其方式与为组织的全职员工和成员启用策略的方式相同。 对于 Microsoft Entra 跨租户场景而言,如果条件访问策略要求 MFA 或设备合规,则您现在可以信任来自外部用户的本组织的 MFA 和设备符合性声明。 启用信任设置时,在身份验证期间,Microsoft Entra ID 将检查用户的 MFA 声明或设备 ID 的凭据,以确定是否已满足该策略。 若是如此,将授予外部用户无缝登录共享资源的权限。 否则,将在用户的主租户中启动 MFA 或设备质询。 详细了解工作人员租户中外部用户的身份验证流和条件访问。
多租户应用程序
如果向许多组织提供软件即服务 (SaaS) 应用程序,可以将应用程序配置为可接受来自任何 Microsoft Entra 租户的登录。 此配置称为“使应用程序成为多租户应用程序”。 任何 Microsoft Entra 租户中的用户在同意配合应用程序使用其帐户之后,便可登录到应用程序。 请参阅如何启用多租户登录。
多租户组织
多租户组织是具有多个 Microsoft Entra ID 实例的组织。 有多种原因会导致出现多租户。 例如,组织可能跨越多个云或地理边界。
多租户组织功能可实现跨 Microsoft 365 的无缝协作。 它改进了多租户组织中的应用(如 Microsoft Teams 和 Microsoft Viva Engage)的员工协作体验。
跨租户同步功能是一种单向同步服务,可确保用户可以访问资源,而无需收到邀请电子邮件,并且无需接受每个租户中的同意提示。
若要详细了解多租户组织和跨租户同步,请参阅多租户组织文档和功能比较。
Microsoft 图形 API
除了下一部分列出的功能之外,还支持通过 Microsoft Graph API 实现自动化的所有外部 ID 功能。 有关详细信息,请参阅使用 Microsoft Graph 管理 Microsoft Entra 标识和网络访问。
Microsoft Graph 不支持的功能
外部 ID 功能 | 受以下版本支持: | 自动化解决方法 |
---|---|---|
确定你所属的组织 | 员工租户 | 租户 - 列出 Azure Resource Manager API。 对于 Teams 共享频道和 B2B 直连,请使用 Get tenantReferences Microsoft Graph API。 |
用于 B2B 协作的 Microsoft Entra Microsoft Graph API
跨租户访问设置 API:Microsoft Graph 跨租户访问 API 允许以编程方式创建可在 Azure 门户中配置的相同 B2B 协作和 B2B 直连策略。 使用这些 API,可以为入站和出站协作设置策略。 例如,默认情况下,可以允许或阻止每个人的功能,并限制对特定组织、组、用户和应用程序的访问。 API 还允许接受来自其他 Microsoft Entra 组织的多重身份验证 (MFA) 和设备声明(合规声明和 Microsoft Entra 混合联接声明)。
B2B 协作邀请管理器:Microsoft Graph 中的邀请管理器 API 可用于为业务来宾用户打造独有的加入体验。 例如,可以使用创建邀请 API 自动将自定义的邀请电子邮件直接发送给 B2B 用户。 或者,应用可以使用创建响应中返回的 inviteRedeemUrl,将你自己的邀请(通过所选的通信机制)发送给受邀用户。