使用入站设置,可以选择哪些外部用户和组能够访问所选的内部应用程序。 无论是配置默认设置还是特定于组织的设置,更改入站跨租户访问设置的步骤都是相同的。 如本部分中所述,导航到“组织设置”选项卡上的“默认”选项卡或组织,然后进行更改。
至少以安全管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“外部标识”>“跨租户访问设置”。
导航到要修改的设置:
- 默认设置:要修改默认入站设置,请选择“默认设置”选项卡,然后在“入站访问设置”下选择“编辑入站默认值”。
- 组织设置:要修改特定组织的设置,请选择“组织设置”选项卡,在列表中查找该组织(或添加一个组织),然后选择“入站访问权限”列中的链接。
对于要更改的入站设置,请执行以下详细步骤:
更改入站 B2B 协作设置
至少以安全管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“外部标识”>“跨租户访问设置”,然后选择“组织设置”
选择“入站访问”列和“B2B 协作”选项卡中的链接。
如果要配置特定组织的入站访问设置,请选择下列选项之一:
选择“外部用户和用户组”。
在“访问状态”下,选择下列项之一:
- 允许访问:允许在“应用于”下指定的用户和组受邀参加 B2B 协作。
- 阻止访问:阻止在“应用于”下指定的用户和组受邀参加 B2B 协作。
在“应用于”下,选择下列项之一:
- 所有外部用户和组:将“访问状态”下选择的操作应用到外部 Microsoft Entra 组织中的所有用户和组。
- 选择外部用户和组(需要 Microsoft Entra ID P1 或 P2 订阅):允许将“访问状态”下选择的操作应用到外部组织中的特定用户和组。
注意
如果阻止所有外部用户和用户组的访问权限,则还需要在“应用程序”选项卡上阻止访问所有内部应用程序。
如果选择了“选择外部用户和用户组”,请对要添加的每个用户或用户组执行下列操作:
- 选择“添加外部用户和用户组”。
- 在“添加其他用户和组”窗格内的“搜索”框中,键入从合作伙伴组织获取的用户对象 ID 或组对象 ID。
- 在“搜索”框旁边的菜单中,选择“用户”或“组”。
- 选择 添加 。
添加用户和组后,选择“提交”。
选择“应用程序”选项卡。
在“访问状态”下,选择下列项之一:
- 允许访问:允许 B2B 协作用户访问“应用于”下指定的应用程序。
- 阻止访问:阻止 B2B 协作用户访问“应用于”下指定的应用程序。
在“应用于”下,选择下列项之一:
- 所有应用程序:将“访问状态”下选择的操作应用于所有应用程序。
- 选择“应用程序”(需要 Microsoft Entra ID P1 或 P2 高级订阅):允许将“访问状态”下选择的操作应用到组织中的特定应用程序。
注意
如果阻止所有应用程序的访问权限,则还需要在“外部用户和用户组”选项卡上阻止访问所有外部用户和用户组。
如果选择了“选择应用程序”,请对要添加的每个应用程序执行以下操作:
- 选择“添加 Microsoft 应用程序”或“添加其他应用程序”。
- 在“选择”窗格的搜索框中键入应用程序名称或应用程序 ID(可以是客户端应用 ID 或资源应用 ID)。 然后在搜索结果中选择应用程序。 对要添加的每个应用程序重复此操作。
- 选择应用程序后,选中“选择”。
选择“保存”。
将 Microsoft 管理门户应用添加到 B2B 协作
不能直接将 Microsoft 管理门户应用添加到 Microsoft Entra 管理中心的入站和出站跨租户访问设置。 但是,可以使用 Microsoft Graph API 单独添加下方列出的应用。
以下应用是 Microsoft 管理门户应用组的一部分:
- Azure 门户 (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
- Microsoft Entra 管理中心 (c44b4083-3bb0-49c1-b47d-974e53cbdf3c)
- Microsoft 365 Defender 门户 (80ccca67-54bd-44ab-8625-4b79c4dc7775)
- Microsoft Intune 管理中心 (80ccca67-54bd-44ab-8625-4b79c4dc7775)
- Microsoft Purview 合规性门户 (80ccca67-54bd-44ab-8625-4b79c4dc7775)
若要自定义来宾用户在接受邀请时可以用于登录的标识提供者的顺序,请执行以下步骤。
使用全局管理员或安全管理员帐户登录到 Microsoft Entra 管理中心。 然后打开左侧的“标识”服务。
选择“外部标识”>“跨租户访问设置”。
在“组织设置”下,选择“入站访问”列和“B2B 协作”选项卡中的链接。
选择“兑换顺序”选项卡。
向上或向下移动标识提供者以更改来宾用户在接受邀请时可以登录的顺序。 也可以在此处将兑换顺序重置为默认设置。
选择“保存”。
还可以通过 Microsoft Graph API 自定义兑换顺序。
打开“Microsoft Graph 资源管理器”。
使用全局管理员或安全管理员帐户登录到资源租户。
运行以下查询以获取当前兑换顺序:
GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
- 在此示例中,我们将 SAML/WS-Fed IdP 联合移动到 Microsoft Entra 标识提供者上方的兑换顺序的顶部。 使用以下请求正文修补同一 URI:
{
"invitationRedemptionIdentityProviderConfiguration":
{
"primaryIdentityProviderPrecedenceOrder": ["ExternalFederation ","AzureActiveDirectory"],
"fallbackIdentityProvider": "defaultConfiguredIdp "
}
}
若要验证更改,请再次运行 GET 查询。
若要将兑换顺序重置为默认设置,请运行以下查询:
{
"invitationRedemptionIdentityProviderConfiguration": {
"primaryIdentityProviderPrecedenceOrder": [
"azureActiveDirectory",
"externalFederation",
"socialIdentityProviders"
],
"fallbackIdentityProvider": "defaultConfiguredIdp"
}
}
Microsoft Entra ID 验证域的 SAML/WS-Fed 联合(直接联合)
现在可以添加已登记的 Microsoft Entra ID 验证域来设置直接联合关系。 首先,需要在管理中心或通过 API 设置直接联合配置。 确保域未在同一租户中经过验证。
设置该配置后,可以自定义兑换顺序。 SAML/WS-Fed IdP 作为最后一项添加到兑换顺序。 可以在兑换顺序中将其上移,将其设置在 Microsoft Entra 标识提供者之上。
阻止 B2B 用户使用 Microsoft 帐户兑换邀请
若要阻止 B2B 来宾用户使用其现有 Microsoft 帐户兑换邀请,或者创建新帐户来接受邀请,请执行以下步骤。
使用全局管理员或安全管理员帐户登录到 Microsoft Entra 管理中心。 然后打开左侧的“标识”服务。
选择“外部标识”>“跨租户访问设置”。
在“组织设置”下,选择“入站访问”列和“B2B 协作”选项卡中的链接。
选择“兑换顺序”选项卡。
在“回退标识提供者”下,禁用 Microsoft 服务帐户 (MSA)。
选择“保存”。
在任意给定时间,至少需要启用一个回退标识提供者。 如果要禁用 Microsoft 帐户,必须启用电子邮件一次性密码。 不能禁用这两个回退标识提供者。 使用 Microsoft 帐户登录的任何现有来宾用户都将在后续登录期间继续使用它。需要重置其兑换状态才能应用此设置。
更改适用于 MFA 和设备声明的入站信任设置
选择“信任设置”选项卡。
(此步骤仅适用于组织设置。)如果要为组织配置设置,请选择下列项之一:
选择以下一个或多个选项:
信任来自 Microsoft Entra 租户的多重身份验证:选中此复选框之后,条件访问策略就会信任来自外部组织的 MFA 声明。 在身份验证过程中,Microsoft Entra ID 会检查用户的凭据中是否存在某个表明用户已完成 MFA 的声明。 否则,将在用户的主租户中启动 MFA 质询。
信任兼容设备:允许条件访问策略在其用户访问资源时信任来自外部组织的合规设备声明。
信任已建立混合 Microsoft Entra 联接的设备:允许条件访问策略在用户访问资源时信任来自外部组织的已建立混合 Microsoft Entra 联接的设备。
(此步骤仅适用于组织设置。)查看自动兑换选项:
- 向租户自动兑换邀请<租户>:如果要自动兑换邀请,请选中此设置。 如果是这样,指定租户中的用户在首次使用跨租户同步、B2B 协作或 B2B 直连访问此租户时不必接受同意提示。 仅当指定的租户也会针对出站访问检查此设置时,此设置才会抑制同意提示。
选择“保存”。
允许用户同步到此租户
如果选择已添加组织的“入站访问”,则会看到“跨租户同步”选项卡和“允许用户同步到此租户”复选框。 跨租户同步是 Microsoft Entra ID 中的单向同步服务,可跨组织中的租户自动创建、更新和删除 B2B 协作用户。 有关详细信息,请参阅配置跨租户同步和多租户组织文档。
修改出站访问设置
使用入站设置,可以选择哪些用户和组能够访问所选的外部应用程序。 无论是配置默认设置还是特定于组织的设置,更改出站跨租户访问设置的步骤都是相同的。 如本部分中所述,导航到“组织设置”选项卡上的“默认”选项卡或组织,然后进行更改。
至少以安全管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“外部标识”>“跨租户访问设置”。
导航到要修改的设置:
选择“B2B 协作”选项卡。
(此步骤仅适用于组织设置。)如果要为组织配置设置,请选择下列选项之一:
选择“用户和组” 。
在“访问状态”下,选择下列项之一:
- 允许访问:允许在“应用于”下指定的用户和用户组受邀参加 B2B 协作的外部组织。
- 阻止访问:阻止在“应用于”下指定的用户和组受邀参加 B2B 协作。 如果阻止对所有用户和组的访问权限,这也会阻止通过 B2B 协作访问所有外部应用程序。
在“应用于”下,选择下列项之一:
- 所有组织用户:将“访问状态”下选择的操作应用于所有用户和用户组<>。
- 选择<你所在组织>用户和用户组(需要 Microsoft Entra ID P1 或 P2 订阅):允许将“访问状态”下选择的操作应用到特定用户和用户组。
注意
如果阻止所有用户和用户组的访问权限,则还需要在“外部应用程序”选项卡上阻止访问所有外部应用程序。
如果选择了“选择你所在组织>的用户和用户组”,请对要添加的每个用户或用户组执行下列操作:
- 选择“添加”“你的组织”>“用户和用户组”。
- 在“选择”窗格的搜索框中,键入用户名或用户组名。
- 在搜索结果中选择用户或用户组。
- 选择要添加的用户和用户组后,选中“选择”。
选择“外部应用程序”选项卡。
在“访问状态”下,选择下列项之一:
- 允许访问:允许用户通过 B2B 协作访问“应用于”下指定的外部应用程序。
- 阻止访问:阻止用户通过 B2B 协作访问“应用于”下指定的外部应用程序。
在“应用于”下,选择下列项之一:
- 所有外部应用程序:将“访问状态”下选择的操作应用于所有外部应用程序。
- 选择外部应用程序:将“访问状态”下选择的操作应用于所有外部应用程序。
注意
如果阻止所有外部应用程序的访问权限,则还需要在“所有用户和用户组”选项卡上阻止访问所有用户和用户组。
如果选择了“选择外部应用程序”,请对要添加的每个应用程序执行以下操作:
- 选择“添加 Microsoft 应用程序”或“添加其他应用程序”。
- 在搜索框中,键入应用程序名称或应用程序 ID(可以是客户端应用 ID 或资源应用 ID)。 然后在搜索结果中选择应用程序。 对要添加的每个应用程序重复此操作。
- 选择应用程序后,选中“选择”。
选择“保存”。
更改出站信任设置
(此部分仅适用于组织设置。)