概述:使用 Microsoft Entra 外部 ID 进行跨租户访问

适用于:带白色勾号的绿色圆圈。 员工租户 带灰色 X 符号的白色圆圈。 外部租户(了解详细信息

Microsoft Entra 组织可以使用外部 ID 跨租户访问设置管理如何通过 B2B 协作和 B2B 直连与其他 Microsoft Entra 组织和 Microsoft Azure 云协作。 跨租户访问设置提供对入站和出站访问的精细控制,使你能够信任来自其他组织的多重身份验证 (MFA) 和设备声明。

本文介绍用于管理与外部 Microsoft Entra 组织(包括跨 Microsoft 云)进行 B2B 协作和 B2B 直连的跨租户访问设置。 其他设置可用于与非 Microsoft Entra 标识(例如社交标识或非 IT 托管的外部帐户)进行 B2B 协作。 这些外部协作设置包括用于限制来宾用户访问、指定可以邀请来宾的用户以及允许或阻止域的选项。

可以在跨租户访问设置中添加的组织数量没有限制。

使用入站和出站设置管理外部访问

外部标识跨租户访问设置可管理与其他 Microsoft Entra 组织展开协作的方式。 这些设置用于确定外部 Microsoft Entra 组织中的用户对你的资源的入站访问级别,以及你的用户对外部组织的出站访问级别。

下图显示了跨租户访问入站和出站设置。 资源 Microsoft Entra 租户是包含要共享的资源的租户。 对于 B2B 协作,资源租户是邀请租户(例如你的企业租户,你希望邀请外部用户加入到其中)。 用户的主 Microsoft Entra 租户是在其中管理外部用户的租户。

跨租户访问设置的概略图。

默认情况下,会启用与其他 Microsoft Entra 组织的 B2B 协作,并阻止 B2B 直连。 但可以通过以下综合管理设置来管理这两种功能。

  • “出站访问设置”控制用户是否可以访问外部组织中的资源。 可以将这些设置应用于每个人,或指定单个用户、组和应用程序。

  • 入站访问设置控制外部组织的用户是否可以访问你所在组织中的资源。 可以将这些设置应用于每个人,或指定单个用户、组和应用程序。

  • “信任设置”(入站)确定条件访问策略是否信任来自外部组织的多重身份验证 (MFA)、合规设备和已建立 Microsoft Entra 混合联接的声明,但前提是其用户已经满足主租户中的要求。 例如,将信任设置配置为信任 MFA 时,MFA 策略仍适用于外部用户,但已在其主租户中完成 MFA 的用户无需在你的租户中再次完成 MFA。

默认设置

默认的跨租户访问设置适用于你的租户以外的所有 Microsoft Entra 组织,但已配置组织设置的组织除外。 可以更改默认设置,但用于 B2B 协作和 B2B 直连的初始默认设置如下所示:

  • B2B 协作:默认情况下,所有内部用户均可进行 B2B 协作。 此设置意味着你的用户可以邀请外部来宾访问你的资源,并且可以邀请他们作为来宾加入外部组织。 来自其他 Microsoft Entra 组织的 MFA 和设备声明不可信。

  • B2B 直连:默认情况下,不建立 B2B 直连信任关系。 Microsoft Entra ID 会阻止所有外部 Microsoft Entra 租户的所有入站和出站 B2B 直连功能。

  • 组织设置:默认情况下,不会向组织设置添加任何组织。 因此,所有外部 Microsoft Entra 组织均可与你的组织进行 B2B 协作。

  • 跨租户同步:不会通过跨租户同步将其他租户中的用户同步到你的租户。

这些默认设置适用于与同一 Microsoft Azure 云中的其他 Microsoft Entra 租户的 B2B 协作。 在跨云方案中,默认设置的工作方式略有不同。 请参阅本文后面部分的 Microsoft 云设置

组织设置

可以通过添加组织和修改该组织的入站及出站设置来配置组织特定的设置。 组织设置优先于默认设置。

  • B2B 协作:使用跨租户访问设置来管理入站和出站 B2B 协作,以及将访问范围设定为特定用户、组和应用程序。 可以设置适用于所有外部组织的默认配置,然后根据需要创建特定于个人、组织的设置。 使用跨租户访问设置时,还可以信任来自其他 Microsoft Entra 组织的多重身份验证 (MFA) 和设备声明(合规声明和 Microsoft Entra 混合加入声明)。

    提示

    如果要信任外部用户的 MFA,建议从 Microsoft Entra ID 保护的 MFA 注册策略中排除外部用户。 这两个策略都已部署时,外部用户将无法达到访问要求。

  • B2B 直连:对于 B2B 直连,使用组织设置与另一个 Microsoft Entra 组织建立相互信任关系。 你的组织和外部组织都需要通过配置入站和出站跨租户访问设置来相互启用 B2B 直连。

  • 可以使用外部协作设置来限制谁可以邀请外部用户、允许或阻止 B2B 特定域,以及就来宾用户对目录的访问权限设置限制。

自动兑换设置

自动兑换设置是一种入站和出站组织信任设置,用于自动兑换邀请,因此用户无需在首次访问资源/目标租户时接受同意提示。 此设置是具有以下名称的复选框:

  • 自动兑换租户 <租户> 邀请

显示入站“自动兑换”复选框的屏幕截图。

比较不同方案的设置

在以下情况下,自动兑换设置适用于跨租户同步、B2B 协作和 B2B 直连:

  • 使用跨租户同步在目标租户中创建用户时。
  • 使用 B2B 协作将用户添加到资源租户时。
  • 用户使用 B2B 直连访问资源租户中的资源时。

下表显示了在这些情况下启用此设置时的比较情况:

跨租户同步 B2B 协作 B2B 直连
自动兑换设置 必需 可选 可选
用户收到 B2B 协作邀请电子邮件 空值
用户必须接受同意提示 No
用户收到 B2B 协作通知电子邮件 空值

此设置不会影响应用程序同意体验。 有关详细信息,请参阅 Microsoft Entra ID 中应用程序的同意体验。 跨不同 Microsoft 云环境(例如 Azure 商业和 Azure 政府)的组织不支持此设置。

仅当主/源租户(出站)和资源/目标租户(入站)检查自动兑换设置时,自动兑换设置才会抑制同意提示和邀请电子邮件。

显示出站和入站自动兑换设置的关系图。

下表显示了检查不同跨租户访问设置组合的自动兑换设置时,源租户用户的同意提示行为。

主/源租户 资源/目标租户 同意提示行为
对于源租户用户
Outbound 入站
复选标记的图标。 复选标记的图标。 已抑制
复选标记的图标。 清除复选标记的图标。 未抑制
清除复选标记的图标。 复选标记的图标。 未抑制
清除复选标记的图标。 清除复选标记的图标。 未抑制
入站 Outbound
复选标记的图标。 复选标记的图标。 未抑制
复选标记的图标。 清除复选标记的图标。 未抑制
清除复选标记的图标。 复选标记的图标。 未抑制
清除复选标记的图标。 清除复选标记的图标。 未抑制

要使用 Microsoft Graph 配置此设置,请参阅更新 crossTenantAccessPolicyConfigurationPartner API。 有关构建自己的载入体验的信息,请参阅 B2B 协作邀请管理器

有关详细信息,请参阅配置跨租户同步配置 B2B 协作的跨租户访问设置配置 B2B 直连的跨租户访问设置

可配置兑换

使用可配置兑换,可以自定义来宾用户在接受邀请时登录的标识提供者的顺序。 你可以启用该功能,并在“兑换顺序”选项卡下指定兑换顺序。

“兑换订单”选项卡的屏幕截图。

当来宾用户选择邀请电子邮件中的“接受邀请”链接时,Microsoft Entra ID 会根据默认兑换顺序自动兑换邀请。 当你在新的“兑换顺序”选项卡下更改标识提供者顺序时,新顺序将替代默认兑换顺序。

可以在“兑换顺序”选项卡下找到主要标识提供者和回退标识提供者。

主要标识提供者是与其他身份验证源联合的标识提供者。 回退标识提供者是当用户与主要标识提供者不匹配时使用的标识提供者。

回退标识提供者可以是 Microsoft 帐户 (MSA) 和/或电子邮件一次性密码。 不能同时禁用这两个回退标识提供者,但可以禁用所有主要标识提供者,并仅对兑换选项使用回退标识提供者。

使用此功能时,请考虑以下已知限制:

  • 如果具有现有单一登录 (SSO) 会话的 Microsoft Entra ID 用户正在使用电子邮件一次性密码 (OTP) 进行身份验证,则需要选择使用另一个帐户并重新输入用户名以触发 OTP 流。 否则,用户会收到错误,指示其帐户在资源租户中不存在。

  • 用户在 Microsoft Entra ID 和 Microsoft 帐户中具有相同的电子邮件时,即使管理员已禁用 Microsoft 帐户作为兑换方法,也会提示用户使用 Microsoft Entra ID 或 Microsoft 帐户进行选择。 即使该方法已禁用,也会允许选择 Microsoft 帐户作为兑换选项。

Microsoft Entra ID 验证域的直接联合

Microsoft Entra ID 验证域现在支持 SAML/WS-Fed 标识提供者联合(直接联合)。 使用此功能可为 Microsoft Entra 中验证的域设置与外部标识提供者的直接联合。

注意

请确保该域未在你要尝试设置直接联合配置的同一租户中经过验证。 设置直接联合后,可以配置租户的兑换首选项,并通过新的可配置兑换跨租户访问设置,将 SAML/WS-Fed 标识提供者移动到 Microsoft Entra ID 之上。

当来宾用户兑换邀请时,他们会看到传统的同意屏幕,然后重定向到“我的应用”页面。 在资源租户中,此直接联合身份验证用户的个人资料显示已成功兑换邀请,并且外部联合身份验证列为颁发者。

用户身份标识下直接联合提供程序的屏幕截图。

阻止 B2B 用户使用 Microsoft 帐户兑换邀请

现在可以阻止 B2B 来宾用户使用 Microsoft 帐户兑换邀请。 相反,他们使用发送到其电子邮件的一次性密码作为回退标识提供者。 系统不允许他们使用现有的 Microsoft 帐户兑换邀请,也不会提示他们创建新帐户。 可以通过在回退标识提供者选项中关闭 Microsoft 帐户,在兑换订单设置中启用此功能。

回退标识提供者选项的屏幕截图。

必须始终至少有一个回退标识提供者处于活动状态。 因此,如果决定禁用 Microsoft 帐户,则需要启用电子邮件一次性密码选项。 使用 Microsoft 帐户登录的现有来宾用户在将来登录时将继续此操作。若要向其应用新设置,你需要重置其兑换状态

跨租户同步设置

跨租户同步设置是仅限入站的组织设置,可让源租户的管理员将用户同步到目标租户。 此设置是一个复选框,其名称为“允许用户同步此租户”,在目标租户中指定。 此设置不会影响通过手动邀请Microsoft Entra 权利管理等其他过程创建的 B2B 邀请。

显示“跨租户同步”选项卡的屏幕截图,其中包含“允许用户同步到此租户”复选框。

若要使用 Microsoft Graph 配置此设置,请参阅更新 crossTenantIdentitySyncPolicyPartner API。 有关详细信息,请参阅配置跨租户同步

租户限制

使用“租户限制”设置,能够控制用户可在你管理的设备上使用的外部帐户类型,包括:

  • 用户在未知租户中创建的帐户。
  • 外部组织提供给用户以用于访问组织资源的帐户。

建议配置租户限制以禁止这些类型的外部帐户,并改为使用 B2B 协作。 B2B 协作支持:

  • 对 B2B 协作用户使用“条件访问”并强制其进行多重身份验证。
  • 管理入站和出站访问。
  • 当 B2B 协作用户的雇佣状态更改或其凭据遭到泄露时,终止会话和凭据。
  • 使用登录日志查看有关 B2B 协作用户的详细信息。

租户限制独立于其他跨租户访问设置,因此你配置的任何入站、出站或信任设置都不会影响租户限制。 有关配置租户限制的详细信息,请参阅 设置租户限制 V2

Microsoft 云设置

Microsoft 云设置允许你与来自不同 Microsoft Azure 云的组织协作。 借助 Microsoft 云设置,可以在以下云之间建立相互 B2B 协作:

  • Microsoft Azure 商业云和 Microsoft Azure 政府,其中包括 Office GCC-High 和 DoD 云
  • Microsoft Azure 商业云和由世纪互联运营的 Microsoft Azure

注意

不支持通过 B2B 直连与不同 Microsoft 云中的 Microsoft Entra 租户协作。

有关详细信息,请参阅配置 Microsoft 云设置进行 B2B 协作文章。

重要注意事项

重要

更改默认的入站或出站设置以阻止访问,这样做可能会阻止对您所在组织内或合作伙伴组织内的应用进行的现有业务关键访问。 请务必使用本文中所述的工具,并咨询业务利益干系人来确定所需的访问权限。

  • 若要在 Azure 门户中配置跨租户访问设置,需要一个至少具有安全管理员自定义角色的帐户。

  • 若要配置信任设置或将访问设置应用于特定用户、组或应用程序,需要具有 Microsoft Entra ID P1 许可证。 在所配置的租户上需要许可证。 对于 B2B 直连(需要与另一个 Microsoft Entra 组织建立相互信任关系),这两个租户都需要 Microsoft Entra ID P1 许可证。

  • 跨租户访问设置用于管理与其他 Microsoft Entra 组织之间的 B2B 协作和 B2B 直连。 对于与非 Microsoft Entra 标识(例如社交标识或非 IT 托管式外部帐户)之间的 B2B 协作,请使用外部协作设置。 外部协作设置包括用于限制来宾用户访问、指定可以邀请来宾的用户以及允许或阻止域的 B2B 协作选项。

  • 若要将访问设置应用于外部组织中的特定用户、组或应用程序,则需要在配置设置之前联系该组织了解相关信息。 获取其用户对象 ID、组对象 ID 或应用程序 ID(客户端应用 ID 或资源应用 ID),以便可以正确定位设置。

    提示

    通过检查登录日志,也许可以找到外部组织中的应用的应用程序 ID。 请参阅“标识入站和出站登录”部分。

  • 为用户和组配置的访问设置必须与应用程序的访问设置匹配。 不允许有冲突的设置,如果尝试这种配置,将显示警告消息。

    • 示例 1:如果阻止所有外部用户和组的入站访问,则必须同时阻止对所有应用程序的访问。

    • 示例 2:如果允许所有用户(或特定用户或组)的出站访问,则你将无法阻止对外部应用程序的所有访问;必须允许对至少一个应用程序的访问。

  • 如果要允许与外部组织的 B2B 直连,并且条件访问策略需要 MFA,则必须配置信任设置,以便接受外部组织的 MFA 声明。

  • 如果默认阻止访问所有应用,则用户无法读取使用 Microsoft Rights Management 服务(也称为 Office 365 Message Encryption 或 OME)加密的电子邮件。 若要避免此问题,建议配置出站设置以允许用户访问此应用 ID:00000012-0000-0000-c000-000000000000。 如果仅允许此应用程序,则默认情况下会阻止访问所有其他应用。

用于管理跨租户访问设置的自定义角色

可以创建自定义角色来管理跨租户访问设置。 在此处详细了解建议的自定义角色。

保护跨租户访问管理操作

修改跨租户访问设置的任何操作都被视为受保护的操作,并可以使用条件访问策略进行额外保护。 有关配置步骤的详细信息,请参阅受保护的操作

标识入站和出站登录

在设置入站和出站访问设置之前,可以使用多款工具来帮助确定用户和合作伙伴所需的访问权限。 若要确保不会删除用户和合作伙伴所需的访问权限,应该检查当前的登录行为。 采取此预备步骤有助于防止最终用户和合作伙伴用户失去所需的访问权限。 但在某些情况下,这些日志仅保留 30 天,因此强烈建议与业务利益干系人沟通,确保所需访问权限不会丢失。

工具 方法
用于跨租户登录活动的 PowerShell 脚本 要查看与外部组织关联的用户登录活动,请使用 MSIdentityTools 中的跨租户用户登录活动 PowerShell 脚本。
用于登录日志的 PowerShell 脚本 要确定用户对外部 Microsoft Entra 组织的访问权限,请使用 Get-MgAuditLogSignIn cmdlet。
Azure Monitor 如果组织订阅 Azure Monitor 服务,请使用跨租户访问活动工作簿
安全信息和事件管理 (SIEM) 系统 如果组织将登录日志导出到安全信息和事件管理 (SIEM) 系统,则可以从 SIEM 系统检索所需信息。

标识跨租户访问设置的变更

Microsoft Entra 审核日志可捕获有关跨租户访问设置变更和活动的所有活动。 若要审核对跨租户访问设置所做的变更,请使用 CrossTenantAccessSettings 的“类别”筛选所有显示跨租户访问设置变更的活动。

跨租户访问设置的审核日志的屏幕截图。

后续步骤

配置跨租户访问设置,以进行 B2B 协作

配置跨租户访问设置,以进行 B2B 直连