B2B 直连概述
适用于: 员工租户 外部租户(了解详细信息)
B2B 直连是 Microsoft Entra 外部 ID 的一项功能,可用于与其他 Microsoft Entra 组织建立互信关系,以实现无缝协作。 此功能目前适用于 Microsoft Teams 共享频道。 借助 B2B 直连,两个组织的用户可使用其主凭据和 Teams 中的共享频道进行协作,而无需作为来宾添加到彼此的组织中。 可使用 B2B 直连与外部 Microsoft Entra 组织共享资源。 也可使用它在组织内的多个 Microsoft Entra 租户之间共享资源。
B2B 直连要求两个 Microsoft Entra 组织建立互信关系,以允许访问彼此的资源。 资源组织和外部组织都需要在其跨租户访问设置中相互启用 B2B 直连。 建立信任后,B2B 直连用户可以使用其所在 Microsoft Entra 组织的凭据对组织外的资源进行单一登录访问。
目前,B2B 直连功能可与 Teams 共享频道一起使用。 在两个组织之间建立 B2B 直连后,其中一个组织中的用户可以在 Teams 中创建共享频道并邀请外部 B2B 直连用户加入。 然后,B2B 直连用户可通过 Teams 无缝访问其主租户 Teams 实例中的共享频道,而无需手动登录到托管共享频道的组织。
管理跨租户访问以进行 B2B 直连
Microsoft Entra 组织可以通过定义入站和出站跨租户访问设置来管理与其他 Microsoft Entra 组织的信任关系。 使用跨租户访问设置,可以精细化地控制其他组织与你协作的方式(入站访问)以及你的用户与其他组织协作的方式(出站访问)。
入站访问设置控制外部组织的用户是否可以访问你所在组织中的资源。 可以将这些设置应用于每个人,也可以指定单个用户、组和应用程序。
“出站访问设置”控制用户是否可以访问外部组织中的资源。 可以将这些设置应用于每个人,也可以指定单个用户、组和应用程序。
租户限制确定用户在使用你的设备和网络但使用外部组织分配给他们的帐户登录时如何访问外部组织。
在外部组织的用户访问你的资源时,“信任设置”可确定条件访问策略是否信任来自这些组织的多重身份验证 (MFA)、合规设备和已加入混合 Microsoft Entra 的设备声明。
重要
只有两个组织都允许相互访问,才能进行 B2B 直连。 例如,Contoso 可以允许来自 Fabrikam 的入站 B2B 直连,但只有 Fabrikam 也启用与 Contoso 的出站 B2B 直连,才可进行共享。 因此,你需要与外部组织的管理员协调,确保其跨租户访问设置允许与你共享。 这种双方协议非常重要,因为 B2B 直连允许 B2B 直连用户共享有限的数据。
默认设置
默认的跨租户访问设置适用于所有外部 Microsoft Entra 组织,但已为其配置单独设置的组织除外。 最初,默认情况下,Microsoft Entra ID 会阻止所有外部 Microsoft Entra 租户的所有入站和出站 B2B 直连功能。 你可以更改这些默认设置,但一般不作改动,启用与单个组织的 B2B 直连访问即可。
特定于组织的设置
可通过添加组织和修改跨租户访问设置来配置特定于组织的设置。 然后,这些设置将优先于此组织的默认设置。
示例 1:允许与 Fabrikam 的 B2B 直连并阻止所有其他连接
此示例中,Contoso 希望默认阻止与所有外部组织的 B2B 直连,但允许 Fabrikam 中所有用户、组和应用进行 B2B 直连。
针对跨租户访问,Contoso 设置了以下默认设置:
- 阻止所有外部用户和组对 B2B 直连的入站访问。
- 阻止所有 Contoso 用户和组对 B2B 直连的出站访问。
然后,Contoso 将添加 Fabrikam 组织,并为 Fabrikam 配置以下组织设置:
- 允许所有 Fabrikam 用户和组对 B2B 直连的入站访问。
- 允许 Fabrikam B2B 直连用户对所有内部 Contoso 应用程序进行入站访问。
- 允许所有 Contoso 用户或者选择用户和组使用 B2B 直连对 Fabrikam 进行出站访问。
- 允许 Contoso B2B 直连用户对所有 Fabrikam 应用程序进行出站访问。
若要使此方案正常工作,Fabrikam 还需要为 Contoso 及其用户和应用程序配置这些相同的跨租户访问设置,才能与 Contoso 进行 B2B 直连。 配置完成后,管理 Teams 共享频道的 Contoso 用户可通过搜索 Fabrikam 用户的完整 Fabrikam 电子邮件地址来添加他们。
示例 2:仅启用与 Fabrikam 营销组的 B2B 直连
从上面的示例开始,Contoso 还可以选择仅允许 Fabrikam 营销组通过 B2B 直连与 Contoso 用户协作。 在这种情况下,Contoso 需要从 Fabrikam 获取营销组的对象 ID。 然后,他们将按如下所示配置特定于 Fabrikam 的访问设置,而不是允许所有 Fabrikam 用户的入站访问:
- 仅允许 Fabrikam 的营销组对 B2B 直连的入站访问。 Contoso 在允许的用户和组列表中指定 Fabrikam 的营销组对象 ID。
- 允许 Fabrikam B2B 直连用户对所有内部 Contoso 应用程序进行入站访问。
- 允许所有 Contoso 用户和组使用 B2B 直连对 Fabrikam 进行出站访问。
- 允许 Contoso B2B 直连用户对所有 Fabrikam 应用程序进行出站访问。
Fabrikam 还需要配置其出站跨租户访问设置,以允许其营销组通过 B2B 直连与 Contoso 协作。 配置完成后,管理 Teams 共享频道的 Contoso 用户可通过搜索 Fabrikam 市场营销组用户的完整 Fabrikam 电子邮件地址来添加他们。
身份验证
在 B2B 直连场景中,身份验证涉及到这种情况:某个 Microsoft Entra 组织(用户的主租户)中的用户尝试登录到其他 Microsoft Entra 组织(资源租户)中的文件或应用。 用户使用主租户的 Microsoft Entra 凭据登录。 系统根据用户的主租户和资源租户中的跨租户访问设置评估登录尝试。 如果满足所有访问要求,则向用户颁发一个令牌,允许其访问资源。 此令牌的有效期为 1 小时。
要详细了解在使用条件访问策略的跨租户场景中身份验证的工作原理,请参阅跨租户场景中的身份验证和条件访问。
多重身份验证 (MFA)
如果要允许与外部组织的 B2B 直连,并且条件访问策略需要 MFA,则必须配置入站信任设置,以便条件访问策略接受来自外部组织的 MFA 声明。 此配置可确保外部组织的 B2B 直连用户符合条件访问策略,还可提供更加连贯流畅的用户体验。
例如,假设 Contoso(资源租户)信任 Fabrikam 的 MFA 声明。 Contoso 有一个条件访问策略需要 MFA。 此策略的范围是所有来宾、外部用户和 SharePoint Online。 作为 B2B 直连的先决条件,Contoso 必须在其跨租户访问设置中配置信任设置,以接受 Fabrikam 的 MFA 声明。 当 Fabrikam 用户访问启用了 B2B 直连的应用(例如 Teams Connect 共享频道)时,该用户需遵守 Contoso 强制实施的 MFA 要求:
- 如果 Fabrikam 用户已在其主租户中执行了 MFA,则他们将能够访问共享频道中的资源。
- 如果 Fabrikam 用户尚未完成 MFA,则将阻止他们访问资源。
有关条件访问和 Teams 的信息,请参阅 Microsoft Teams 文档中的安全性和合规性概述。
设备符合性的信任设置
在跨租户访问设置中,可以使用信任设置信任来自外部用户主租户的声明,了解用户设备是否符合其设备符合性策略,还是已加入混合 Microsoft Entra。 启用设备信任设置后,Microsoft Entra ID 会检查用户的身份验证会话以获取设备声明。 如果会话包含一个设备声明,指示已在用户的主租户中满足策略,则向外部用户授予对共享资源的无缝登录权限。 可以为所有 Microsoft Entra 组织或单个组织启用设备信任设置。 (了解详细信息)
B2B 直连用户体验
目前,B2B 直连支持 Teams Connect 共享频道功能。 B2B 直连用户可以访问外部组织的 Teams共享频道,而无需切换租户或使用不同的帐户登录。 B2B 直连用户的访问权限由共享频道的策略决定。
在资源组织中,Teams 共享频道所有者可以在 Teams 中搜索外部组织的用户,并将其添加到共享频道。 添加后,B2B 直连用户可在其 Teams 主实例中访问共享频道,在 Teams 中,他们可使用聊天、通话、文件共享和应用共享等功能进行协作。 有关详细信息,请参阅 Microsoft Teams 中的团队和频道概述。 若要详细了解通过 Teams 共享通道提供给 B2B 直连用户的资源、文件和应用程序,请参阅 Microsoft Teams 中的聊天、团队、通道和应用。
用户访问和管理
B2B 直连用户通过两个组织之间的相互连接进行协作,而 B2B 协作用户则通过他人邀请加入组织并通过用户对象进行管理。
B2B 直连提供了一种与其他 Microsoft Entra 组织的用户进行协作的方式,这是通过两个组织的管理员配置的双向互连实现的。 用户对启用了 B2B 直连的 Microsoft 应用程序具有单一登录访问权限。 目前,B2B 直连支持 Teams Connect 共享频道。
利用 B2B 协作,你可以邀请外部合作伙伴访问 Microsoft、SaaS 或自定义开发的应用。 如果外部合作伙伴不使用 Microsoft Entra ID 或者 B2B 直连不切实际或无法设置,B2B 协作就特别有用。 B2B 协作使外部用户可以使用其首选标识登录,包括 Microsoft Entra 帐户、使用者 Microsoft 帐户或者你启用的社交标识(如 Google)。 借助 B2B 协作,可允许外部用户登录到 Microsoft 应用程序、SaaS 应用程序、自定义开发的应用等。
在 Teams 中使用 B2B 直连和 B2B 协作的对比
在 Teams 中,资源的共享方式存在差异,具体取决于你是使用 B2B 直连还是使用 B2B 协作与人协作。
通过 B2B 直连,可将外部用户添加到团队中的共享频道。 此用户可以访问共享频道中的资源,但无法访问整个团队或共享频道之外的任何其他资源。 例如,他们无权访问 Azure 门户。 但他们可以访问“我的应用”门户。 B2B 直连用户不会出现在你的 Microsoft Entra 组织中,因此这些用户由共享频道所有者在 Teams 客户端中进行管理。 如需了解详情,请参阅在在 Microsoft Teams 中分配团队所有者和成员。
通过 B2B 协作,可以邀请来宾用户加入团队。 B2B 协作来宾用户使用邀请电子邮件地址登录到资源租户。 他们的访问权限取决于为资源租户中的来宾用户分配的权限。 来宾用户不能查看或加入团队中的任何共享频道。
若要详细了解 Teams 中 B2B 协作和 B2B 直连的差异,请参阅 Microsoft Teams 中的来宾访问权限。
监视和审核
Azure 门户和 Microsoft Teams 管理中心都提供监视和审核 B2B 直连活动的报告。
Microsoft Entra 监视和审核日志
Microsoft Entra ID 在组织的审核日志和登录日志中包含有关跨租户访问和 B2B 直连的信息。 你可在 Azure 门户的“监视”下查看这些日志。
Microsoft Entra 审核日志:创建、更新或删除入站和出站策略时显示 Microsoft Entra 审核日志。
Microsoft Entra 登录日志:在本组织和资源组织中都将提供 Microsoft Entra 登录日志。 启用 B2B 直连后,登录日志就会开始包含来自其他租户的 B2B 直连用户的用户对象 ID。 每个组织报告的信息会有所不同,例如:
在这两个组织中,B2B 直连登录的跨租户访问类型均被标记为 B2B 直连。 当 B2B 直连用户首次访问资源组织时,系统将记录登录事件,在为用户颁发刷新令牌时,会再记录一次。 用户可以访问其自己的登录日志。 管理员可以查看其整个组织的登录情况,了解 B2B 直连用户如何访问其租户中的资源。
在本组织中,日志将包含客户端应用程序信息。
在资源组织中,日志包含“条件访问”选项卡中的 conditionalAccessPolicies。
Microsoft Entra 访问评审:通过 Microsoft Entra 访问评审,租户管理员可以配置针对外部用户的一次性或定期访问评审,确保外部来宾用户无法访问你的应用和资源。 详细了解访问评审。
Microsoft Teams 监视和审核日志
Microsoft Teams 管理中心将显示共享频道(包括每个团队的外部 B2B 直连成员)的报告。
Teams 审核日志:在托管共享频道的租户中,Teams 支持以下审核事件:共享频道生命周期(创建/删除频道)、租户内/跨租户成员生命周期(添加/删除/提升/降级成员)。 资源租户中提供了这些审核日志,以便管理员可以确定谁有权访问 Teams 共享频道。 外部用户的主租户中没有与外部共享频道中的活动相关的审核日志。
Teams 访问评审:Teams 组访问评审现可检测使用 Teams 共享频道的 B2B 直连用户。 创建访问评审时,可将评审的范围限定为所有内部用户、来宾用户和已直接添加到共享频道的外部 B2B 直连用户。 然后,系统会向审阅者显示可直接访问共享频道的用户。
当前限制:访问评审可以检测内部用户和外部 B2B 直连用户,但不能检测已添加到共享频道的其他团队。 若要查看和删除已添加到共享频道的团队,共享频道所有者可从 Teams 中管理成员身份。
有关 Microsoft Teams 审核日志的详细信息,请参阅 Microsoft Teams 审核文档。
隐私和数据处理
利用 B2B 直连,用户和组可以访问由外部组织托管的应用和资源。 若要建立连接,外部组织的管理员还必须启用 B2B 直连。
通过启用与外部组织的 B2B 连接,可以允许为其启用了出站设置的外部组织访问与你的用户有关的有限联系人数据。 Microsoft 与这些组织共享此数据,帮助他们发送请求来与用户进行连接。 外部组织收集的数据(包括有限的联系人数据)受到这些组织的隐私策略和做法的制约。
出站访问
如果启用了与外部组织的 B2B 直连,则外部组织中的用户将能够按完整的电子邮件地址搜索用户。 匹配的搜索结果将返回用户的有限数据,包括其名字和姓氏。 用户需要先同意外部组织的隐私策略,他们才会共享更多数据。 建议查看将由组织提供并向用户显示的隐私信息。
入站访问
强烈建议添加你的全局隐私联系人和组织的隐私声明,以便内部员工和外部来宾可以查看你的策略。 按照步骤添加组织的隐私信息。
限制对用户和组的访问
你可能需要考虑使用跨租户访问设置来仅限所在组织和外部组织中的特定用户和组可以使用 B2B 直连。