在 Microsoft Entra 外部 ID 中配置 B2B 外部协作设置

适用于:带白色勾号的绿色圆圈。 员工租户 带灰色 X 号的白色圆圈。 外部租户(了解详细信息

可以通过外部协作设置指定组织中的哪些角色能够邀请外部用户进行 B2B 协作。 这些设置还包括用于允许或阻止特定域的选项,以及用于限制外部来宾用户可以在 Microsoft Entra 目录中查看的内容的选项。 可使用以下选项:

  • 确定来宾用户访问权限:Microsoft Entra ID 支持限制外部来宾用户可以在 Microsoft Entra 目录中查看的内容。 例如,可以限制来宾用户查看组成员身份,或允许来宾仅查看其自己的个人资料信息。

  • 默认情况下,组织中的所有用户(包括 B2B 协作来宾用户)均可邀请外部用户进行 B2B 协作。 若要限制发送邀请的能力,可以为所有人打开或关闭邀请,或将邀请限制为特定角色。

  • 通过用户流启用来宾用户自助注册:对于构建的应用程序,也可以创建用户流,以允许用户注册应用并创建新的来宾帐户。 可以在外部协作设置中启用该功能,然后 将自助注册用户流添加到应用

  • 允许或阻止域:可以使用协作限制允许或拒绝所指定域的邀请。 有关详细信息,请参阅允许或阻止域

要与其他 Microsoft Entra 组织进行 B2B 协作,还应查看跨租户访问设置,以确保可以进行入站和出站 B2B 协作,并将访问范围设定为特定用户、组和应用程序。

对于执行跨租户登录的 B2B 协作最终用户,即使未指定自定义品牌,也会显示其主租户品牌。 在以下示例中,Woodgrove Groceries 的公司品牌显示在左侧。 右侧的示例显示用户主租户的默认品牌。

屏幕截图显示品牌化登录体验与默认登录体验的比较。

注意

根据要配置的外部协作设置,可能需要不同的管理员角色。 本文指定每种设置类型所需的角色。 另请参阅外部 ID/B2C 任务中的最低特权角色

在门户中配置设置

提示

本文中的步骤可能因开始使用的门户而略有不同。

配置来宾用户访问

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“外部标识”>“外部协作设置”。

  3. 在“来宾用户访问”下,选择希望来宾用户拥有的访问级别:

    显示来宾用户访问设置的屏幕截图。

    • 来宾用户具有与成员相同的访问权限(最具包容性):使用此选项,来宾将会具有与成员用户相同的对 Microsoft Entra 资源和目录数据的访问权限。

    • 来宾用户对目录对象的属性和成员身份具有有限的访问权限:(默认值)此设置阻止来宾执行某些目录任务,例如枚举用户、组或其他目录资源。 来宾可以看到所有非隐藏组的成员身份。 详细了解默认来宾权限

    • 来宾用户访问权限仅限于自己的目录对象的属性和成员身份(最严格) :使用此设置,来宾只能访问自己的配置文件。 不允许来宾查看其他用户的配置文件、组或组成员身份。

配置来宾邀请设置

  1. 至少以来宾邀请者的身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“外部标识”>“外部协作设置”。

  3. 在“来宾邀请设置”下,选择适当的设置:

    显示来宾邀请设置的屏幕截图。

    • 组织中的任何人都可以邀请包括来宾和非管理员在内的来宾用户(范围最广):若要允许组织中的来宾邀请其他来宾(包括不是组织成员的用户),请选择此单选按钮。
    • 成员用户和分配到特定管理员角色的用户可以邀请来宾用户(包括具有成员权限的来宾):若要允许成员用户和具有特定管理员角色的用户邀请来宾,请选择此单选按钮。
    • 仅分配到特定管理员角色的用户可以邀请来宾用户:若只允许那些具有“用户管理员”或“来宾邀请者”角色的用户邀请来宾,请选择此单选按钮。
    • 组织中的任何人都不能邀请包括管理员在内的来宾用户(限制最严格):若要拒绝组织中的每个人邀请来宾,请选择此单选按钮。

配置来宾自助注册

  1. 请至少以用户管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“外部标识”>“外部协作设置”。

  3. 如果想要创建允许用户注册应用的用户流,可以在“通过用户流启用来宾自助注册”下,选择“” 。 有关此设置的详细信息,请参阅向应用添加自助注册用户流

    显示通过用户流设置进行自助注册的屏幕截图。

配置外部用户离开设置

  1. 至少以外部标识提供者管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“外部标识”>“外部协作设置”。

  3. 在“外部用户离开设置”下,可以控制外部用户是否可以从组织中删除自己。

    • 是:用户无需管理员或隐私联系人批准即可离开组织。
    • 否:用户无法自行离开组织。 用户看到一条消息,该消息指导他们联系管理员或隐私联系人以请求从组织中进行移除。

    重要

    只有在已向 Microsoft Entra租户添加隐私信息后,才能配置“外部用户离开设置”。 否则,此设置将不可用。

    显示门户中的“外部用户离开设置”的屏幕截图。

配置协作限制(允许或阻止域)

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于无法使用现有角色的紧急情况。

  1. 至少以全局管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“外部标识”>“外部协作设置”。

  3. 在“协作限制”下,可以选择是允许还是拒绝指定的域的邀请,并在文本框中输入特定的域名。 若要阻止多个域,请分行输入每个域。 有关详细信息,请参阅允许或阻止向特定组织中的 B2B 用户发送邀请

    显示“协作限制设置”的屏幕截图。

使用 Microsoft Graph 配置设置

可以使用 Microsoft 图形 API 配置外部协作设置:

  • 对于“来宾用户访问限制”和“来宾邀请限制”,请使用 authorizationPolicy 资源类型。
  • 对于“通过用户流启用来宾自助注册”设置,使用 authenticationFlowsPolicy 资源类型。
  • 对于电子邮件一次性密码设置(现在位于 Microsoft Entra 管理中心的“所有标识提供者”页面),可使用 emailAuthenticationMethodConfiguration 资源类型。

将“来宾邀请者”角色分配给用户

借助“来宾邀请者”角色,无需向各个用户分配更高权限的管理员角色即可为他们提供邀请来宾的功能。 即使选择了“仅分配了特定管理员角色的用户可以邀请来宾用户”选项(在“来宾邀请设置”下),具有“来宾邀请者”角色的用户也可以邀请来宾。

下面是一个示例,它展示了如何使用 PowerShell 将用户添加到“Guest Inviter”角色:


Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

B2B 用户的登录日志

当 B2B 用户登录到资源租户进行协作时,主租户和资源租户中均会生成登录日志。 这些日志包括主租户和资源租户所使用的应用程序、电子邮件地址、租户名称和租户 ID 等信息。

后续步骤

请参阅以下有关 Microsoft Entra B2B 协作的文章: