通过

在 Microsoft Entra 外部 ID 中配置 B2B 的外部协作设置

适用于带白色复选标记符号的绿色圆圈,指示以下内容适用于员工租户。 员工租户(了解详细信息

可以通过外部协作设置指定组织中的哪些角色能够邀请外部用户进行 B2B 协作。 这些设置还包括 允许或阻止特定域的选项,以及限制外部来宾用户在 Microsoft Entra 目录中可见内容的选项。 可以使用以下选项:

  • 确定来宾用户访问:Microsoft Entra 外部 ID 允许您限制外部来宾用户在 Microsoft Entra 目录中可以查看的内容。 例如,可以限制来宾用户查看组成员身份,或允许来宾仅查看其自己的个人资料信息。

  • 指定可以邀请来宾的用户默认情况下,组织中的所有用户(包括 B2B 协作来宾用户)均可邀请外部用户进行 B2B 协作。 若要限制发送邀请的能力,可以为所有人打开或关闭邀请,或将邀请限制为特定角色。

  • 通过用户流启用来宾用户自助注册:对于构建的应用程序,也可以创建用户流,以允许用户注册应用并创建新的来宾帐户。 可以在外部协作设置中启用该功能,然后将 自助注册用户流添加到应用

  • 允许或阻止域:可以使用协作限制允许或拒绝所指定域的邀请。 有关详细信息,请参阅 允许或阻止域

要与其他 Microsoft Entra 组织进行 B2B 协作,还应查看跨租户访问设置,以确保可以进行入站和出站 B2B 协作,并将访问范围设定为特定用户、组和应用程序。

注意

自 2025 年 7 月起,Microsoft 开始推出针对 B2B 协作的来宾用户登录体验的更新。 该计划将持续到 2025 年底。 通过此更新,来宾用户将被重定向到其所属组织的登录页,以提供其凭据。 来宾用户会看到其主租户的品牌和 URL 端点。 此步骤确保用户更清楚地了解要使用的登录信息。 在自己的组织中成功进行身份验证后,来宾用户将返回到组织以完成登录过程。 在以下示例中,Woodgrove Groceries 的公司品牌显示在左侧。 右侧示例展示了用户主租户的自定义品牌。

显示来宾用户登录流的屏幕截图。

在门户中配置设置

在 Microsoft Entra 管理中心中,必须分配全局管理员角色才能激活“外部协作设置”页并更新设置。 使用 Microsoft Graph 时,较小的特权角色可能可用于单个设置;请参阅本文后面的 Microsoft Graph 配置设置

配置来宾用户访问权限

  1. 登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>外部标识>外部协作设置

  3. 在“来宾用户访问”下,选择希望来宾用户拥有的访问级别:

    显示来宾用户访问设置的屏幕截图。

    • 来宾用户具有与成员相同的访问权限(最具包容性):此选项为来宾提供与成员用户相同的 Microsoft Entra 资源和目录数据的访问权限。

    • 来宾用户对目录对象的属性和成员身份的访问权限有限:(默认值)此设置阻止来宾执行某些目录任务,例如枚举用户、组或其他目录资源。 来宾可以看到所有非隐藏组的成员身份。 详细了解默认来宾权限

    • 来宾用户访问仅限于其自己的目录对象的属性和成员身份(限制最严格):通过此设置,来宾只能访问自己的配置文件。 不允许来宾查看其他用户的配置文件、组或组成员身份。

配置来宾邀请设置

  1. 登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>外部标识>外部协作设置

  3. “来宾邀请设置”下,选择相应的设置:

    显示来宾邀请设置的屏幕截图。

    • 组织中的任何人都可以邀请来宾用户(包括来宾和非管理员):若要允许组织中的来宾邀请其他来宾(包括非组织成员的用户),请选择此单选按钮。
    • 成员用户和分配到特定管理员角色的用户可以邀请来宾用户(包括具有成员权限的来宾):若要允许成员用户和具有特定管理员角色的用户邀请来宾,请选择此单选按钮。
    • 只有分配给特定管理员角色的用户才能邀请来宾用户:若要仅允许具有 用户管理员来宾邀请者 角色的用户邀请来宾,请选择此单选按钮。
    • 组织中的任何人都不能邀请来宾用户(包括管理员)(最严格):若要拒绝组织中的每个人邀请来宾,请选择此单选按钮。

配置来宾自助注册

  1. 登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>外部标识>外部协作设置

  3. 启用通过用户流进行来宾自助注册下,如果希望能够创建允许用户注册应用的用户流,请选择。 有关此设置的详细信息,请参阅 向应用添加自助注册用户流

    显示通过用户流设置进行自助注册的屏幕截图。

配置外部用户退出设置

  1. 登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>外部标识>外部协作设置

  3. “外部用户离开设置”下,可以控制外部用户是否可以从组织中删除自己。

    • :用户无需管理员或隐私联系人批准即可离开组织。
    • :用户不能自行离开你的组织。 用户看到一条消息,该消息指导他们联系管理员或隐私联系人以请求从组织中进行移除。

    重要

    只有在已向 Microsoft Entra租户添加隐私信息后,才能配置“外部用户离开设置”。 否则,此设置将不可用。

    屏幕截图显示了门户中的“外部用户离开设置”。

配置协作限制(允许或阻止域)

重要

Microsoft 建议使用权限最少的角色。 这种做法有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于紧急方案,或者无法使用现有角色时。

  1. 登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>外部标识>外部协作设置

  3. 协作限制下,可以选择是允许还是拒绝你指定的域的邀请,并在文本框中输入特定的域名。 若要阻止多个域,请分行输入每个域。 有关详细信息,请参阅 允许或阻止来自特定组织的 B2B 用户的邀请

    显示协作限制设置的屏幕截图。

使用 Microsoft Graph 配置设置

可以使用 Microsoft 图形 API 配置外部协作设置:

  • 对于 来宾用户访问限制来宾邀请限制,请使用 authorizationPolicy 资源类型。
  • 对于通过用户流启用来宾自助注册设置,使用 authenticationFlowsPolicy 资源类型。
  • 对于外部用户退出设置,请使用 externalidentitiespolicy 资源类型。
  • 对于电子邮件一次性密码设置(现在位于 Microsoft Entra 管理中心的“所有标识提供者”页面),可使用 emailAuthenticationMethodConfiguration 资源类型。

将“来宾邀请者”角色分配给用户

借助 “来宾邀请者 ”角色,你可以为单个用户提供邀请来宾的能力,而无需为其分配更高的特权管理员角色。 具有来宾邀请者角色的用户即使在选择了只有分配有特定管理员角色的用户才能邀请来宾用户(位于来宾邀请设置下)时,也能够邀请来宾。

下面是一个示例,它展示了如何使用 PowerShell 将用户添加到“Guest Inviter”角色:


Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

B2B 用户的登录日志

当 B2B 用户登录到资源租户进行协作时,主租户和资源租户中均会生成登录日志。 这些日志包括主租户和资源租户所使用的应用程序、电子邮件地址、租户名称和租户 ID 等信息。

后续步骤

请参阅以下有关 Microsoft Entra B2B 协作的文章:

  • Last updated on