Microsoft Entra B2B 最佳做法
适用于: 员工租户 外部租户(了解详细信息)
本文包含有关 Microsoft Entra 外部 ID 中企业到企业 (B2B) 协作的建议和最佳做法。
重要
电子邮件一次性密码功能现在默认为所有新租户以及尚未显式关闭的任何现有租户启用。 关闭此功能时,回退身份验证方法将提示被邀请者创建 Microsoft 帐户。
B2B 建议
建议 | 注释 |
---|---|
请参阅 Microsoft Entra ID 指南,确保与外部合作伙伴协作 | 通过遵循在 Microsoft Entra ID 和 Microsoft 365 中保护外部协作中的建议,了解如何采用一种全面的管理方法来管理组织与外部合作伙伴的协作。 |
仔细规划跨租户访问和外部协作设置 | Microsoft Entra 外部 ID 提供了一组灵活控件,可用于管理与外部用户和组织之间的协作。 你既可允许或阻止所有协作,也可仅为特定组织、用户和应用配置协作。 在配置跨租户访问和外部协作的设置之前,请仔细盘点与你合作的组织。 然后,确定是否要启用与其他 Microsoft Entra 租户进行 B2B 直连或 B2B 协作。 |
限制来宾用户对目录的访问权限 | 默认情况下,来宾用户对 Microsoft Entra 目录的访问权限有限。 他们可以管理自己的个人资料并查看有关其他用户、组和应用的某些信息。 你可以进一步限制访问权限,使来宾只能查看自己的个人资料信息。 详细了解默认来宾权限以及如何配置外部协作设置。 |
确定谁可以邀请来宾 | 默认情况下,组织中的所有用户(包括 B2B 协作来宾用户)均可邀请外部用户进行 B2B 协作。 若要限制发送邀请的能力,可以为所有人打开或关闭邀请,或将邀请限制为特定角色,方法是配置外部协作设置。 |
使用租户限制来控制如何在网络和托管设备上使用外部帐户。 | 借助租户限制,可以阻止用户使用他们在未知租户中创建的帐户或从外部组织接收的帐户。 建议禁止使用这些帐户,并改用 B2B 协作。 |
为了获得最佳登录体验,请与标识提供者联合 | 请尽可能直接与标识提供者联合,以便受邀用户无需创建 Microsoft 帐户 (MSA) 或 Microsoft Entra 帐户即可登录到你的共享应用和资源。 你可以使用 Google 联合功能,使 B2B 来宾用户可以使用其 Google 帐户登录。 也可使用 SAML/WS-Fed 标识提供者(预览版)功能与其标识提供者 (IdP) 支持 SAML 2.0 或 WS-Fed 协议的任何组织建立联合。 |
对于不能通过其他方式进行身份验证的 B2B 来宾,则使用电子邮件一次性密码功能 | 在无法通过 Microsoft Entra ID、Microsoft 帐户 (MSA) 或 Google 联合身份验证等其他方式对 B2B 来宾用户进行身份验证时,可以使用电子邮件一次性密码功能对其进行身份验证。 当来宾用户兑换邀请或访问共享资源时,他们可以请求临时代码,该代码会发送到他们的电子邮件地址。 他们输入此代码后,可以继续登录。 |
在登录页中添加公司品牌 | 你可以自定义登录页面,以便 B2B 来宾用户获得更直观的体验。 请参阅如何向登录页和访问面板页添加公司品牌。 |
将隐私声明添加到 B2B 来宾用户兑换体验 | 可以将组织隐私声明的 URL 添加到首次邀请兑换过程,使受邀用户必须同意你的隐私条款才能继续。 请参阅如何:在 Microsoft Entra ID 中添加组织的隐私信息。 |
使用批量邀请(预览版)功能同时邀请多个 B2B 来宾用户 | 使用 Azure 门户中的批量邀请预览版功能,同时邀请多个来宾用户加入你的组织。 使用此功能可以上传 CSV 文件来创建 B2B 来宾用户并批量发送邀请。 参阅有关批量邀请 B2B 用户的教程。 |
为 Microsoft Entra 多重身份验证强制执行条件访问策略 | 建议在要与合作伙伴 B2B 用户共享的应用上强制实施 MFA 策略。 这样,无论合作伙伴组织是否使用 MFA,都将对租户中的应用一致地强制实施 MFA。 请参阅 B2B 协作用户的条件访问。 如果你与某个组织有着密切的业务关系,并且已验证其 MFA 做法,则可配置跨租户访问设置以接受其 MFA 声明(了解详细信息)。 |
对来宾使用身份验证强度条件访问策略 | 身份验证强度是一种条件访问控制,可用于定义多重身份验证 (MFA) 方法的特定组合,外部 Microsoft Entra 用户必须完成这些方法才能访问资源。 它与跨租户访问设置中的 MFA 信任设置协同工作,以确定外部用户必须执行 MFA 的位置和方式。 请参阅外部用户的身份验证强度策略 |
如果要强制实施基于设备的条件访问策略,请使用排除列表来允许访问 B2B 用户 | 如果在组织中启用了基于设备的条件访问策略,则 B2B 来宾用户设备将被阻止,因为这些用户不受组织的管理。 你可以创建包含特定合作伙伴用户的排除列表,将其排除在基于设备的条件访问策略之外。 请参阅 B2B 协作用户的条件访问。 |
向 B2B 来宾用户提供直接链接时使用特定于租户的 URL | 可以向来宾提供应用或门户的直接链接,作为邀请电子邮件的替代方法。 此直接链接必须特定于租户。这意味着,它必须包含租户 ID 或已验证的域,以便能够在共享应用所在的租户中对来宾进行身份验证。 请参阅来宾用户的兑换体验。 |
开发应用时,使用 UserType 来确定来宾用户体验 | 如果你正在开发某个应用程序,并想要为租户用户和来宾用户提供不同的体验,请使用 UserType 属性。 令牌中当前未包括 UserType 声明。 应用程序应使用 Microsoft Graph API 从目录中查询用户以获取其 UserType。 |
只有在用户与组织之间的关系发生变化的情况下,才更改 UserType 属性 | 虽然可以使用 PowerShell 将用户的 UserType 属性从 Member 转换为 Guest(反之亦然),但是,只有在用户与组织之间的关系发生变化的情况下,才应更改此属性。 请参阅 B2B 来宾用户的属性。 |
了解你的环境是否将受 Microsoft Entra 目录限制的影响 | Microsoft Entra B2B 受到 Microsoft Entra 服务目录限制的约束。 若要详细了解用户可创建的目录数以及用户或来宾用户可属于的目录数,请参阅 Microsoft Entra 服务限制。 |
使用发起人功能管理 B2B 帐户生命周期 | 发起人是负责其来宾用户的用户或组。 有关此新功能的更多详细信息,请参阅 B2B 用户的“发起人”字段。 |