管理外部协作

已完成

Microsoft Entra 外部标识是一项功能,通过它可允许组织外部的人员访问你的应用和资源。 合作伙伴、分销商、供应商和其他来宾用户可以“自带标识”。无论他们是具有公司或政府颁发的数字标识,还是具有 Google 或 Facebook 等非托管社交标识,他们都可以使用自己的凭据登录。 外部用户的标识提供者管理其标识,而你使用 Microsoft Entra ID 管理对你的应用的访问,从而保护你的资源。

邀请兑换流

兑换外部邀请以来宾身份加入 Microsoft Entra 租户的示意图。

  1. Microsoft Entra ID 执行基于用户的发现,以确定该用户是否已存在于托管 Microsoft Entra 租户中。 (非托管 Microsoft Entra 帐户不再可用于兑换。)如果用户的用户主体名称 (UPN) 同时与现有 Microsoft Entra 帐户和个人 MSA 匹配,系统会提示用户选择要用于兑换的帐户。
  2. 如果管理员已启用 SAML/WS-Fed IdP 联合身份验证,Microsoft Entra ID 会检查用户的域后缀是否与已配置的 SAML/WS-Fed 标识提供程序的域相匹配,并将用户重定向到预配置的标识提供程序。
  3. 如果管理员已启用 Google 联合,Microsoft Entra ID 会检查用户的域后缀是 gmail.com 还是 googlemail.com,并将用户重定向到 Google。
  4. 兑换过程会检查用户是否具有现有个人 MSA。 如果用户已有现有 MSA,则用户将使用其现有的 MSA 登录。
  5. 标识用户的主目录后,用户将发送到相应的标识提供程序进行登录。
  6. 如果未找到主目录,并且为来宾启用了一次性密码功能,则通过受邀电子邮件向用户发送密码。 用户会在 Microsoft Entra 登录页面中检索并输入此密码。
  7. 如果未找到主目录并对来宾禁用一次性密码,则会提示用户通过受邀电子邮件创建使用者 MSA。 支持未在 Microsoft Entra ID 中验证的域中使用工作电子邮件创建 MSA。
  8. 对适当的标识提供者进行身份验证后,系统会将用户重定向到 Microsoft Entra ID 来完成同意体验。

外部标识方案

Microsoft Entra 外部标识不太关注用户与你的组织的关系,而是更多地关注用户想要如何登录到你的应用和资源。 在此框架中,Microsoft Entra ID 支持各种场景。

B2B 协作方案允许邀请外部用户加入你自己的租户,作为可向其分配权限(用于授权)的“来宾”用户,同时允许他们使用现有凭据(用于身份验证)。 用户使用其工作帐户、学校帐户或其他电子邮件帐户通过简单的邀请和兑换过程登录到共享资源。 也可使用 Microsoft Entra 权利管理来配置用于管理外部用户访问权限的策略。 现在,随着自助注册用户流的推出,你可以允许外部用户自行注册应用程序。 可以自定义体验,以允许使用工作、学校或社交标识(如 Google 或 Facebook)进行注册。 你还可以在注册过程中收集有关用户的信息。

下表列出了一个示例 B2B 协作方案,并详细介绍了它提供的一些功能:

  • 主要方案 - 使用 Microsoft 应用程序(Microsoft 365、Team 等)或你自己的应用程序(SaaS 应用、自定义开发的应用等)进行协作。
  • 意图 - 与来自外部组织(如供应商、合作伙伴、供应商)的业务合作伙伴进行协作。 用户在目录中显示为来宾用户。
  • 受支持的标识提供者 - 外部用户可以使用工作帐户、学校帐户、任何电子邮件地址、基于 SAML 和 WS-Fed 的标识提供者、Gmail 和 Facebook 进行协作。
  • 外部用户管理 - 外部用户与员工在相同的目录中接受管理,但通常注释为“来宾用户”。 可采用与员工相同的方式管理来宾用户,还可将其添加到相同组等。
  • 单一登录 (SSO) - 支持 SSO 到所有 Microsoft Entra 连接的应用。 例如,可允许访问 Microsoft 365 或本地应用以及其他 SaaS 应用(例如 Salesforce 或 Workday)。
  • 安全策略和合规性 - 由主机/邀请组织进行管理(例如使用条件访问策略)。
  • 品牌 - 使用主机/邀请组织的品牌。

在 Microsoft Entra ID 中管理外部协作设置

本单元介绍如何启用 Microsoft Entra B2B 协作。 然后,我们探讨指定可以邀请来宾的人员的能力,并确定来宾拥有的权限。

默认情况下,目录中的所有用户和来宾都可以邀请来宾,即使未为他们分配管理员角色。 使用外部协作设置可为组织中不同类型的用户启用或禁用来宾邀请功能。 还可以将邀请委托给个人用户,只需向他们分配有权邀请来宾的角色即可。

Microsoft Entra ID 允许限制外部来宾用户可以在 Microsoft Entra 目录中看到的内容。 默认情况下,来宾用户会被授予有限的权限级别。 来宾被阻止列出用户、组或其他目录资源,但来宾可以看到非隐藏组的成员身份。 管理员可以更改来宾权限设置,允许你进一步限制来宾访问,以便来宾只能查看自己的个人资料信息。 有关详细信息,请参阅限制来宾访问权限

配置企业对企业外部协作设置

通过 Microsoft Entra B2B(企业对企业)协作,租户管理员可以设置以下邀请策略:

  • 关闭邀请(无法邀请外部用户)
  • 只有具有来宾邀请者角色的管理员和用户可以邀请 (only admins and users in the Guest Inviter role can invite)
  • 管理员、来宾邀请者角色和成员可以邀请(设置同上,但受邀成员也可以邀请外部用户)
  • 包括来宾在内的所有用户都可以邀请(顾名思义,租户中的所有用户都可以邀请外部用户)

默认情况下,所有用户(包括来宾)都可以邀请来宾用户。