你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

配置外部协作设置

  • 项目

可以通过外部协作设置指定组织中的哪些角色能够邀请外部用户进行 B2B 协作。 这些设置还包括允许或阻止特定域的选项,以及用于限制外部来宾用户可以在 Azure AD 目录中看到的内容的选项。 提供了以下选项:

  • Azure AD 允许你限制外部来宾用户可以在 Azure AD 目录中看到的内容。 例如,可以限制来宾用户查看组成员身份,或允许来宾仅查看其自己的个人资料信息。

  • 默认情况下,组织中的所有用户(包括 B2B 协作来宾用户)均可邀请外部用户进行 B2B 协作。 若要限制发送邀请的能力,可以为所有人打开或关闭邀请,或将邀请限制为特定角色。

  • 通过用户流启用来宾用户自助注册:对于构建的应用程序,也可以创建用户流,以允许用户注册应用并创建新的来宾帐户。 可以在外部协作设置中启用该功能,然后 将自助注册用户流添加到应用

  • 允许或阻止域:可以使用协作限制允许或拒绝所指定域的邀请。 有关详细信息,请参阅允许或阻止域

若要与其他 Azure AD 组织进行 B2B 协作,也可以查看跨租户访问设置,确保可以进行入站和出站 B2B 协作,以及将访问范围设定为特定用户、组和应用程序。

在门户中配置设置

  1. 使用全局管理员登录到 Azure 门户,并打开 Azure Active Directory 服务。

  2. 选择“外部标识”>“外部协作设置”。

  3. 在“来宾用户访问”下,选择希望来宾用户拥有的访问级别:

    Screenshot showing Guest user access settings.

    • 来宾用户具有与成员相同的访问权限(包括首选项) :此选项使来宾与成员用户具有相同的对 Azure AD 资源和目录数据的访问权限。

    • 来宾用户对目录对象的属性和成员身份具有有限的访问权限:(默认值)此设置阻止来宾执行某些目录任务,例如枚举用户、组或其他目录资源。 来宾可以看到所有非隐藏组的成员身份。 详细了解默认来宾权限

    • 来宾用户访问权限仅限于自己的目录对象的属性和成员身份(最严格) :使用此设置,来宾只能访问自己的配置文件。 来宾不能看到其他用户的个人资料、组或组成员身份。

  4. 在“来宾邀请设置”下,选择适当的设置:

    Screenshot showing Guest invite settings.

    • 组织中的任何人都可以邀请包括来宾和非管理员在内的来宾用户(范围最广):若要允许组织中的来宾邀请其他来宾(包括不是组织成员的来宾),请选择此单选按钮。
    • 成员用户和分配到特定管理员角色的用户可以邀请来宾用户(包括具有成员权限的来宾):若要允许成员用户和具有特定管理员角色的用户邀请来宾,请选择此单选按钮。
    • 仅分配到特定管理员角色的用户可以邀请来宾用户:若只允许那些具有管理员角色的用户邀请来宾,请选择此单选按钮。 管理员角色包括全局管理员用户管理员来宾邀请者
    • 组织中的任何人都不能邀请包括管理员在内的来宾用户(限制最严格):若要拒绝组织中的每个人邀请来宾,请选择此单选按钮。

      注意

      如果“成员可以邀请”设为“否”,而“来宾邀请者角色中的管理员和用户可以邀请”设为“是”,则“来宾邀请者”角色中的用户仍将能够邀请来宾。

  5. 如果想要创建允许用户注册应用的用户流,可以在“通过用户流启用来宾自助注册”下,选择“是” 。 有关此设置的详细信息,请参阅向应用添加自助注册用户流

    Screenshot showing Self-service sign up via user flows setting.

  6. 在“协作限制”下,可以选择是允许还是拒绝指定的域的邀请,并在文本框中输入特定的域名。 若要阻止多个域,请分行输入每个域。 有关详细信息,请参阅允许或阻止向特定组织中的 B2B 用户发送邀请

    Screenshot showing Collaboration restrictions settings.

使用 Microsoft Graph 配置设置

可以使用 Microsoft 图形 API 配置外部协作设置:

将“来宾邀请者”角色分配给用户

“来宾邀请者”角色可让个人用户邀请来宾,无需向他们分配全局管理员角色或其他管理员角色。 将“来宾邀请者”角色分配给个人。 然后,确保将“管理员和具有‘来宾邀请者’角色的用户可以邀请”设置为“是” 。

下面是一个示例,它展示了如何使用 PowerShell 将用户添加到“来宾邀请者”角色:

Add-MsolRoleMember -RoleObjectId 95e79109-95c0-4d8e-aee3-d01accf2d47b -RoleMemberEmailAddress <RoleMemberEmailAddress>

B2B 用户的登录日志

当 B2B 用户登录到资源租户进行协作时,主租户和资源租户中均会生成登录日志。 这些日志包括主租户和资源租户所使用的应用程序、电子邮件地址、租户名称和租户 ID 等信息。

后续步骤

请参阅以下有关 Azure AD B2B 协作的文章: