与来宾用户共享画布应用
画布应用可以与 Microsoft Entra 租户的来宾用户共享。 您可以邀请外部业务合作伙伴、承包商和第三方来运行您公司的画布应用。
观看此视频,了解如何与来宾共享应用:
先决条件
在 Microsoft Entra ID 中,为租户启用 B2B 外部协作。 详细信息:启用 B2B 外部协作与管理可以邀请来宾的人员
备注
默认情况下,启用 B2B 外部协作。 不过,您需要验证这些设置不能由租户管理员更改。有关 Microsoft Entra B2B 的详细信息,请参阅什么是 Microsoft Entra B2B 中的来宾用户访问权限?
可以将来宾用户添加到 Microsoft Entra 租户的帐户的访问权限。 具有来宾邀请者角色的管理员和用户可以将来宾添加到租户。
要访问连接到 Dataverse 的应用,来宾用户必须拥有具有 Power Apps 使用权限的许可证,该许可证与应用的功能相匹配。 当应用托管在 Microsoft Dataverse for Teams 环境中时,不必满足此先决条件。
备注
确保对资源租户执行以下步骤,而不是对主租户执行以下步骤。
- 资源租户是预期应用会存在以及用户会作为来宾使用 Power Apps 创建应用的地方。
- 主租户是用户帐户所在并向其进行身份验证的位置。
授予来宾访问权限的步骤
在 Microsoft Entra ID 中,选择新建来宾用户。 详细信息:快速入门:在 Microsoft Entra ID 中添加新来宾用户
如果来宾用户的主租户中还没有许可证,请将许可证分配给该来宾用户。
若要从 admin.microsoft.com 分派来宾用户,请转到将许可证分派给一个用户。
若要从 portal.azure.com 分配来宾用户,请转到分配或删除许可证。
重要提示
您可能需要禁用 Microsoft 365 管理中心预览版以向来宾分配许可证。
通过执行以下步骤来共享画布应用:
登录到 Power Apps。
在左侧窗格上,选择应用。
选择一个画布应用。
在命令栏上,选择共享。
输入来自 Microsoft Entra 租户的来宾用户的电子邮件地址。 详细信息:什么是 Microsoft Entra B2B 中的来宾用户访问权限?
共享应用以供来宾访问后,来宾可以从共享过程中发送给他们的电子邮件中发现和访问与其共享的应用。 您还可以直接与来宾共享应用 URL。 若要查找 URL,请转到 Power Apps,在左侧窗格上选择应用,选择该应用,然后选择详细信息选项卡。应用 URL 将显示在 Web 链接下。
有关来宾访问的注意事项和限制
- 访问不同 Microsoft Entra 租户中的 Web 体验的用户必须在独立浏览器会话(不同浏览器或 InPrivate 浏览器会话)中访问 Power Apps 。 独立浏览器会话可确保 Power Apps 为正在访问的应用程序选取正确的 Azure B2B 用户标识。
- Power Apps 来宾访问使用 Azure B2B。
- Power Apps Mobile 不支持使用 Microsoft Entra 直接联合进行身份验证。 详细信息:使用 Power Apps Mobile 登录
- Power Apps 每应用计划范围限制在特定环境中的应用,因此无法跨租户识别它们。
- Office 随附的 Power Apps 和 Power Apps 每用户计划具有以下特征:
常见问题解答
画布应用来宾访问与 Power Pages 之间有什么区别?
使用画布应用,无需使用 C# 等传统编程语言编写代码,即可构建定制用于数字化业务流程的应用。 画布应用的来宾访问使参与共同业务流程的不同组织的个人团队,可以访问可以与各种 Microsoft 和合作伙伴来源集成的相同应用资源。 详细信息:适用于 Power Apps 的画布应用连接器概述
Power Pages 向您提供生成低代码、响应式网站的能力,允许外部用户与 Dataverse 中存储的数据进行交互。 使用 Power Pages,组织可创建可以匿名方式或通过所选的登录提供程序(例如 LinkedIn、Microsoft)或其他商业登录提供程序与组织外部用户共享的网站。
下表概括了 Power Pages 和画布应用之间的一些核心功能差异。
| 来宾访问 | 接口 | 身份验证 | 可访问数据源 |
|---|---|---|---|
| Power Pages | 仅浏览器体验 | 允许匿名和身份验证后访问 | Dataverse |
| 画布应用 | 浏览器和移动应用 | 需要通过 Microsoft Entra ID 进行身份验证 | 大约 150 个任何现成连接器和任何自定义连接器 |
来宾可以在 SharePoint 中访问自定义窗体吗?
请参阅要让来宾能够运行与他们共享的应用必须为他们分配哪个许可证?
为什么在试用时提示访问 SharePoint 中自定义窗体的来宾?
如果自定义窗体使用高级连接器,来宾必须有 Power Apps 许可证才能访问该自定义窗体。 如果自定义表单仅使用标准连接器,您的租户必须允许将 Microsoft Power Platform 内部同意计划分配给用户。 有关 Power Platform 内部同意计划的更多详细信息,请阅读阻止试用许可证命令。
来宾可以访问 SharePoint 中嵌入的应用吗?
是的。 但是,访问画布独立应用需要有具有 Power Apps 用户权限且与应用功能相匹配的用户许可证;包括嵌入式应用。 使用 Power Apps 嵌入控件将画布应用嵌入 SharePoint 时,请在应用 Web 链接或 ID 框中输入应用 ID。
当通过 iFrame HTML 标记在 SharePoint 中嵌入画布应用时,使用完整 Web URL 引入该应用。 若要查找 URL,请登录到 Power Apps,选择应用,然后选择详细信息选项卡。URL 将显示在 Web 链接下。
来宾如何打开与他们共享的应用,但不创建数据连接?
与非来宾的情况一样,来宾还必须可以访问应用所访问的基本数据源。
必须为我的来宾分配什么许可证,他们才可以运行与他们共享的应用?
下表说明了来宾是否可以使用引用的许可证运行(使用)自定义的 Microsoft Lists 或 SharePoint 库窗体、画布应用和模型驱动应用。
| 计划 | 自定义 Microsoft Lists 或 SharePoint 库窗体(使用非高级连接器) | 自定义 Microsoft Lists 或 SharePoint 库(使用高级连接器) | 画布应用(使用非高级连接器) | 画布应用(使用高级连接器) | 模型驱动应用 |
|---|---|---|---|---|---|
| 无许可证 | ✓ | ✗ | ✗ | ✗ | ✗ |
| SharePoint 用户(没有 Power Apps 许可证) | ✓ | ✗ | ✗ | ✗ | ✗ |
| Office 随附的 Power Apps | ✓ | ✗ | ✓ | ✗ | ✗ |
| 按应用计划的 Power Apps | ✓ | ✓ | ✓ | ✓ | ✓ |
| 按用户计划的 Power Apps | ✓ | ✓ | ✓ | ✓ | ✓ |
有关定价和各种计划的功能的详细信息,请转到 Microsoft Power Apps 和 Power Automate 许可指南。
在 Power Apps Mobile 中,来宾如何查看其主租户的应用?
当用户通过移动设备访问画布应用,并且该应用发布在非主 Microsoft Entra 租户中时,他们可以 切换到其他目录。
在 Power Apps Mobile 中,来宾如何查看来宾租户中的应用?
来宾用户将打开共享来宾租户中的应用时收到的电子邮件,然后选择打开应用。 此视图既适用于 Microsoft Entra,也适用于 Microsoft 帐户用户。 您还可以创建深层链接。 有关详细信息,请参阅对 Power Apps Mobile 使用深层链接。
来宾是否必须接受 Microsoft Entra 来宾邀请,才能与他们共享应用?
不能。 如果来宾在接受邀请之前打开与他们共享的应用,系统将提示来宾在打开应用时接受邀请作为登录体验的一部分。
在哪个 Microsoft Entra 租户中为来宾用户创建连接?
始终在与应用关联的 Microsoft Entra 租户的上下文中进行应用的连接。 例如,如果在 Contoso 租户中创建了一个应用,为 Contoso 内部和来宾用户建立的连接将在 Contoso 租户的上下文中建立。
来宾可以将 Microsoft Graph 与 Power Apps 一起使用吗?
默认情况下,Azure B2B 用户访问 Microsoft Graph 中的信息的权限有限。 Microsoft Graph 中用户的权限决定了使用 Microsoft Security Graph、Office 365 用户、Office 365 组等连接器以及使用 Microsoft Graph API 的自定义连接器时返回的内容。 有关 Microsoft Graph 权限的详细信息,请参阅 默认用户权限 和 在 Microsoft Graph 中使用用户。
哪些 Intune 策略适用于使用我的应用的来宾?
Intune 仅适用于用户的主租户的策略。 例如,如果 Lesa@Contoso.com 与 Wanda@Fabrikam.com 共享一个应用,无论 Wanda 运行的应用是什么,Intune 都会继续在 Wanda 的设备上应用 Fabrikam.com 策略。
是否可以禁用交叉租户许可证识别?
不能。 授权功能可以而且应该用于控制哪些用户访问资源。 例如, Dataverse 可以将环境绑定到排除 Azure B2B 来宾用户的安全组。
为什么没有许可证的 Azure B2B 用户可以访问模型驱动应用?
检测到以前获得许可的用户不再拥有许可并不是即时的。 如果您预计用户将失去对某个应用的 Dataverse访问权限,则应更新其对该应用或数据的授权。 例如,应用应取消与用户共享,或者 Dataverse 应从用户中删除安全角色。
默认情况下,哪些连接器在资源租户中创建连接?
依赖于 Azure B2B 访问应用的用户仅对使用 Microsoft Entra ID 进行身份验证的连接器有影响。 某些基于 Microsoft Entra ID 的连接器默认在资源租户中创建连接,而其他连接器则默认在主租户中创建连接。 对于租户中的来宾和成员,不使用任何类型的 Microsoft Entra ID 身份验证的连接器的工作方式相同。 下表枚举使用 Microsoft Entra ID 身份验证的所有连接器,并默认在资源租户中创建连接。 有关每个连接器可能存在限制的详细信息,请参阅 所有 Power Apps 连接器列表
| 连接器 | 默认情况下在资源租户中创建连接 |
|---|---|
| Microsoft Entra | 是 |
| Azure 自动化 | 是 |
| Azure 容器 Instance | 是 |
| Azure 数据工厂 | 是 |
| Azure Data Lake | 是 |
| Azure IoT Central | 是 |
| Azure Kusto | 是 |
| Azure Log Analytics | 是 |
| Azure 资源管理器 | 可以 |
| Microsoft Dataverse | 是* |
| Dynamics 365 AI for Sales | 可以 |
| Microsoft Teams | 可以 |
| Office 365 组 | 可以 |
| Office 365 Users | 可以 |
| Outlook Tasks | 可以 |
| Power BI | 可以 |
| SharePoint | 可以 |
* 使用 Microsoft Dataverse 作为数据源时,请确保来宾用户从您有 Dataverse 数据的同一租户获得许可。