B2B 协作概述

B2B 协作是 Microsoft Entra External ID 中的一项功能,使你能够邀请来宾用户同组织一起协作。 使用 B2B 协作,可以安全地将公司的应用程序和服务与外部用户共享,同时保持对自己公司数据的控制。 与外部合作伙伴安全放心地合作,不论其规模是大是小,甚至就算他们没有 Microsoft Entra ID 或 IT 部门也无妨。

Diagram illustrating B2B collaboration.

合作伙伴通过一个简单的邀请和兑换过程即可使用自己的凭据来访问公司资源。 还可以启用自助注册用户流,让外部用户自行注册应用或资源。 外部用户兑换其邀请或完成注册后,他们将在目录中表示为用户对象。 这些 B2B 协作用户的用户类型通常设置为“来宾”,其用户主体名称包含 #EXT# 标识符。

开发人员可以使用 Microsoft Entra 企业到企业 API 自定义邀请处理或编写自助注册门户之类的应用程序。 如需了解与来宾用户相关的许可和定价信息,请参阅Microsoft Entra 外部 ID 定价

重要

电子邮件一次性密码功能现在默认为所有新租户以及尚未显式关闭的任何现有租户启用。 关闭此功能时,回退身份验证方法将提示被邀请者创建 Microsoft 帐户。

与使用自己标识的任何合作伙伴协作

借助 Microsoft Entra B2B,合作伙伴可使用自己的标识管理解决方案,因此组织省去了外部管理开销。 来宾用户可使用自己的工作、学校或社交标识登录应用和服务。

  • 合作伙伴是否有 Microsoft Entra 帐户,都可以使用其自己的标识和凭据。
  • 不需要管理外部帐户或密码。
  • 不需要同步帐户或管理帐户生命周期。

管理与其他组织和云的 B2B 协作

默认启用 B2B 协作,但通过全面管理员设置,可控制与外部合作伙伴和组织之间的入站和出站 B2B 协作:

  • 要与其他 Microsoft Entra 组织进行 B2B 协作,请使用跨租户访问设置。 管理入站和出站 B2B 协作,并将访问范围设定为特定用户、组和应用程序。 设置适用于所有外部组织的默认配置,然后根据需要创建特定于个人、组织的设置。 使用跨租户访问设置时,还可以信任来自其他 Microsoft Entra 组织的多重身份验证 (MFA) 和设备声明(合规声明和 Microsoft Entra 混合加入声明)。

  • 使用外部协作设置来定义谁可邀请外部用户、允许或阻止 B2B 特定域,并就来宾用户对目录的访问权限设置限制。

  • 使用 Microsoft 云设置在 Microsoft Azure 全球云与 Microsoft Azure 政府由世纪互联运营的 Microsoft Azure 之间建立相互 B2B 协作。

从 Microsoft Entra 管理中心轻松邀请来宾用户

管理员可以在管理中心轻松地向组织添加来宾用户。

Screenshot showing the Invite a new guest user invitation entry page.

  • 来宾用户按照几个简单的兑换步骤操作即可登录。

Screenshot showing the Review permissions page.

允许自助注册

使用自助注册用户流,可以为要访问应用的外部用户创建注册体验。 在注册流中,可以提供不同的社交或企业标识提供者选项,并收集用户信息。 了解自助注册及其设置方法

还可以使用 API 连接器将自助注册用户流与外部云系统集成。 可以与自定义审批工作流连接、执行身份验证、验证用户提供的信息等。

Screenshot showing the user flows page.

使用策略安全地共享你的应用和服务

可以使用身份验证和授权策略保护企业内容。 可在以下情况下强制执行多重身份验证等条件访问策略:

  • 租户级别。
  • 应用程序级别。
  • 针对特定来宾用户,保护企业应用和数据。

Screenshot showing the Conditional Access option.

让应用程序和组所有者管理自己的来宾用户

可以委托应用程序所有者管理来宾用户,不论是否为 Microsoft 应用程序,他们都可以将来宾用户直接添加到他们想要共享的任何应用程序。

  • 管理员设置自助服务应用和组管理。
  • 非管理员使用其访问面板将来宾用户添加到应用程序或组。

Screenshot showing the Access panel for a guest user.

自定义 B2B 来宾用户的载入体验

使用按组织需求自定义的方法引入外部合作伙伴。

与标识提供者集成

Microsoft Entra ID 支持外部标识提供者,如 Facebook、Microsoft 帐户、Google 或企业标识提供者。 可以设置与身份提供者的联合。 通过这种方式,你的外部用户可以使用其现有的社交或企业帐户登录,而不是仅为你的应用程序创建新帐户。 了解外部标识的标识提供者的详细信息。

Screenshot showing the Identity providers page.

与 SharePoint 和 OneDrive 集成

你可以启用与 SharePoint 和 OneDrive 的集成,以便与组织外部人员共享文件、文件夹、列表项、文档库和站点,同时使用 Azure B2B 进行身份验证和管理。 你与之共享资源的用户通常为目录中的来宾用户,这些来宾的权限和组与内部用户的权限和组等效。 启用与 SharePoint 和 OneDrive 集成时,还将在 Microsoft Entra B2B 中启用电子邮件一次性密码功能,以用作回退身份验证方法。

Screenshot of the email one-time-passcode setting.

后续步骤