配置跨租户访问设置,以进行 B2B 直连

  • 项目

使用跨租户访问设置来管理通过 B2B 直连与其他 Microsoft Entra 组织协作的方式。 这些设置可让你确定用户对外部组织的出站访问级别。 还允许控制外部 Microsoft Entra 组织中的用户对内部资源的入站访问级别。

  • 默认设置:默认的跨租户访问设置适用于所有外部 Microsoft Entra 组织,但已为其配置单独设置的组织除外。 可以更改这些默认设置。 对于 B2B 直连,通常保留默认设置,然后采用特定于组织的设置启用 B2B 直连访问。 初始默认值如下所示:

    • B2B 直连初始默认设置 - 默认情况下,将阻止整个租户的出站 B2B 直连,并阻止所有外部 Microsoft Entra 组织的入站 B2B 直连。
    • 组织设置 - 默认情况下,不会添加任何组织。

  • 特定于组织的设置:可以通过添加组织和修改该组织的入站及出站设置来配置组织特定的设置。 组织设置优先于默认设置。

详细了解如何使用跨租户访问设置管理 B2B 直连

重要

Microsoft 将于 2023 年 8 月 30 日开始使用跨租户访问设置将客户迁移到新的存储模型。 你可能会注意到审核日志中有一个条目,通知你在自动任务迁移你的设置时,跨租户访问设置已更新。 在迁移过程的短暂时段内,你将无法对设置进行更改。 如果无法进行更改,则应等待片刻,然后重试更改。 迁移完成后,将不再设置 25kb 的存储空间上限,并且不会再限制可添加的合作伙伴数量。

开始之前

  • 在配置跨租户访问设置之前,先查看跨租户访问概述中的重要注意事项部分。
  • 确定要应用于所有外部 Microsoft Entra 组织的默认访问级别。
  • 确定需要自定义设置的任何 Microsoft Entra 组织。
  • 请联系要设置 B2B 直连的组织。 因为 B2B 直连是通过相互信任建立的,所以你和另一组织都需要在跨租户访问设置中启用与对方之间的 B2B 直连。
  • 从外部组织获取所有必需信息。 如果要将访问设置应用于外部组织中特定用户、组或应用程序,需要先从组织获取这些 ID,然后才能配置访问设置。
  • 若要在 Microsoft Entra 管理中心配置跨租户访问设置,需要一个具有全局管理员或安全管理员角色的帐户。 Teams 管理员可以读取跨租户访问设置,但无法更新这些设置。

配置默认设置

提示

本文中的步骤可能因开始使用的门户而略有不同。

默认的跨租户访问设置适用于尚未创建组织特定自定义设置的所有外部租户。 如果要修改 Microsoft Entra 提供的默认设置,请执行以下步骤。

  1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“外部标识”>“跨租户访问设置”。

  3. 选择“默认设置”选项卡,然后查看“摘要”页。

    Screenshot showing the Cross-tenant access settings Default settings tab

  4. 若要更改设置,请选择“编辑入站默认值”链接或“编辑出站默认值”链接。

    Screenshot showing edit buttons for Default settings

  5. 按照以下部分中的详细步骤修改默认设置:

添加组织

按照以下步骤配置特定组织的自定义设置。

  1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识>外部标识>跨租户访问设置”。

  3. 选择“组织设置”。

  4. 选择“添加组织”。

  5. 在“添加组织”窗格中,键入组织的完整域名(或租户 ID)。

    Screenshot showing adding an organization

  6. 在搜索结果中选择组织,然后选择“添加”。

  7. 该组织将出现在“组织设置”列表中。 此时,将从默认设置继承此组织的所有访问设置。 若要更改此组织的设置,请选择“入站访问”列或“出站访问”列下的“从默认值继承”链接。

    Screenshot showing an organization added with default settings

  8. 按照以下部分中的详细步骤修改组织设置:

修改入站访问设置

通过入站设置,选择哪些外部用户和组能够访问所选的内部应用程序。 无论是配置默认设置还是特定于组织的设置,更改入站跨租户访问设置的步骤都是相同的。 如本部分中所述,导航到“组织设置”选项卡上的“默认”选项卡或组织,然后进行更改。

  1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“外部标识”>“跨租户访问设置”。

  3. 导航到要修改的设置:

    • 要修改默认入站设置,请选择“默认设置”选项卡,然后在“入站访问设置”下选择“编辑入站默认值”。
    • 要修改特定组织的设置,请选择“组织设置”选项卡,在列表中查找该组织(或添加一个组织),然后选择“入站访问权限”列中的链接。

  4. 对于要更改的设置,请执行以下详细步骤:

更改入站 B2B 直连设置

  1. 选择“B2B 直连”选项卡

  2. 如果要为组织配置设置,请选择下列选项之一:

    • 默认设置:组织使用在“默认设置”选项卡上配置的设置。如果已为该组织配置了自定义设置,则需要选择“是”,以确认要将所有设置替换为默认设置。 然后选择“保存”,并跳过此过程中的其余步骤。

    • 自定义设置:可以自定义将为此组织强制执行的设置,而不是使用默认设置。 继续执行此过程中的其余步骤。

  3. 选择“外部用户和用户组”。

  4. 在“访问状态”下,选择下列选项之一:

    • 允许访问:允许在“应用于”下指定的用户和组访问 B2B 直连。
    • 阻止访问:阻止在“应用于”下指定的用户和组访问 B2B 直连。 如果阻止所有外部用户和组的访问,那么也会阻止通过 B2B 直连共享任何内部应用程序的操作。

    Screenshot showing inbound access status for b2b direct connect users

  5. 在“应用于”下,选择下列项之一:

    • 所有外部用户和组:将“访问状态”下选择的操作应用到外部 Microsoft Entra 组织中的所有用户和组。
    • 选择外部用户和组:允许将“访问状态”下选择的操作应用于外部组织中的特定用户和组。 配置的租户需要 Microsoft Entra ID P1 许可证。

    Screenshot showing selecting the target users for b2b direct connect

  6. 如果选择了“选择外部用户和用户组”,请对要添加的每个用户或用户组执行下列操作:

    • 选择“添加外部用户和用户组”。
    • 在“添加其他用户和组”窗格内的“搜索”框中,键入用户对象 ID 或组对象 ID。
    • 在“搜索”框旁边的菜单中,选择“用户”或“组”。
    • 选择 添加

    注意

    无法在入站默认设置中以用户或组为目标。

    Screenshot showing adding external users for inbound b2b direct connect

  7. 添加用户和组后,选择“提交”。

  8. 选择“应用程序”选项卡。

  9. 在“访问状态”下,选择下列项之一:

    • 允许访问:允许 B2B 直连用户访问“应用于”下指定的应用程序。
    • 阻止访问:阻止 B2B 直连用户访问“应用于”下指定的应用程序。

    Screenshot showing inbound applications access status for b2b direct connect

  10. 在“应用于”下,选择下列项之一:

    • 所有应用程序:将“访问状态”下选择的操作应用于所有应用程序。
    • 选择“应用程序”(需要 Microsoft Entra ID P1 或 P2 高级订阅):允许将“访问状态”下选择的操作应用到组织中的特定应用程序。

    Screenshot showing application targets for inbound access

  11. 如果选择了“选择应用程序”,请对要添加的每个应用程序执行以下操作:

    • 选择“添加 Microsoft 应用程序”。
    • 在应用程序窗格中的搜索框中键入应用程序名称,然后在搜索结果中选择应用程序。
    • 选择应用程序后,选中“选择”。

    Screenshot showing adding applications for inbound b2b direct connect

  12. 选择“保存”。

更改用于 MFA 和设备状态的入站信任设置

  1. 选择“信任设置”选项卡。

  2. 如果要为组织配置设置,请选择下列选项之一:

    • 默认设置:组织使用在“默认设置”选项卡上配置的设置。如果已为该组织配置了自定义设置,则需要选择“是”,以确认要将所有设置替换为默认设置。 然后选择“保存”,并跳过此过程中的其余步骤。

    • 自定义设置:可以自定义将为此组织强制执行的设置,而不是使用默认设置。 继续执行此过程中的其余步骤。

  3. 选择以下一个或多个选项:

    • 信任来自 Microsoft Entra 租户的多重身份验证:如果条件访问策略要求使用多重身份验证 (MFA),请勾选此复选框。 此设置允许条件访问策略信任来自外部组织的 MFA 声明。 在身份验证过程中,Microsoft Entra ID 会检查用户的凭据中是否存在某个表明用户已完成 MFA 的声明。 否则,将在用户的主租户中启动 MFA 质询。

    • 信任兼容设备:允许条件访问策略在其用户访问资源时信任来自外部组织的符合设备声明。

    • 信任已建立混合 Microsoft Entra 联接的设备:允许条件访问策略在用户访问资源时信任来自外部组织的已建立混合 Microsoft Entra 联接的设备。

    Screenshot showing inbound trust settings.

  4. (此步骤仅适用于组织设置。)查看自动兑换选项:

    • 向租户自动兑换邀请<租户>:如果要自动兑换邀请,请选中此设置。 如果是这样,指定租户中的用户在首次使用跨租户同步、B2B 协作或 B2B 直连访问此租户时不必接受同意提示。 仅当指定的租户也会针对出站访问检查此设置时,此设置才会抑制同意提示。

    Screenshot that shows the inbound Automatic redemption check box.

  5. 选择“保存”。

注意

在为组织配置设置时,可看到“跨租户同步”选项卡。此选项卡不适用于 B2B 直连配置。 而多租户组织会使用此功能来实现跨租户 B2B 协作。 有关详细信息,请参阅多租户组织文档

修改出站访问设置

使用入站设置,可以选择哪些用户和组能够访问所选的外部应用程序。 无论是配置默认设置还是特定于组织的设置,修改出站跨租户访问设置的详细步骤都是相同的。 如本部分中所述,导航到“组织设置”选项卡上的“默认”选项卡或组织,然后进行更改。

  1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“外部标识”>“跨租户访问设置”。

  3. 导航到要修改的设置:

    • 要修改默认入站设置,请选择“默认设置”选项卡,然后在“入站访问设置”下选择“编辑入站默认值”。

    • 要修改特定组织的设置,请选择“组织设置”选项卡,在列表中查找该组织(或添加一个组织),然后选择“出站访问权限”列中的链接

更改出站访问设置

  1. 选择“B2B 直连”选项卡。

  2. 如果要为组织配置设置,请选择下列选项之一:

    • 默认设置:组织使用在“默认设置”选项卡上配置的设置。如果已为该组织配置了自定义设置,则需要选择“是”,以确认要将所有设置替换为默认设置。 然后选择“保存”,并跳过此过程中的其余步骤。

    • 自定义设置:可以自定义该组织的设置,以将为此组织强制执行这些设置而不是默认设置。 继续执行此过程中的其余步骤。

  3. 选择“用户和组” 。

  4. 在“访问状态”下,选择下列项之一:

    • 允许访问:允许在“应用于”下指定的用户和组访问 B2B 直连。
    • 阻止访问:阻止在“应用于”下指定的用户和组访问 B2B 直连。 如果阻止所有用户和组的访问,那么也会阻止通过 B2B 直连共享任何外部应用程序的操作。

    Screenshot showing users and groups access status for outbound b2b direct connect

  5. 在“应用于”下,选择下列项之一:

    • 所有组织用户:将“访问状态”下选择的操作应用于所有用户和用户组<>
    • 选择<你所在组织>用户和用户组(需要 Microsoft Entra ID P1 或 P2 订阅):允许将“访问状态”下选择的操作应用到特定用户和用户组。

    Screenshot showing selecting target users for b2b direct connect outbound access

  6. 如果选择了“选择你所在组织>的用户和用户组”,请对要添加的每个用户或用户组执行下列操作:

    • 选择“添加”“你的组织”>“用户和用户组”。
    • 在“选择”窗格的搜索框中,键入用户名或用户组名。
    • 选择完用户和组后,选择“选择”。

    注意

    如果以用户和组作为目标,则将无法选择已配置基于 SMS 的身份验证的用户。 这是因为阻止了其用户对象上具有“联合身份验证凭据”的用户,以防止将外部用户添加到出站访问设置中。 解决方法是使用 Microsoft Graph API 直接添加用户的对象 ID 或以用户所属的组作为目标。

  7. 选择“保存”。

  8. 选择“外部应用程序”选项卡。

  9. 在“访问状态”下,选择下列项之一:

    • 允许访问:允许 B2B 直连用户访问“应用于”下指定的应用程序。
    • 阻止访问:阻止 B2B 直连用户访问“应用于”下指定的应用程序。

    Screenshot showing applications access status for outbound b2b direct connect

  10. 在“应用于”下,选择下列项之一:

    • 所有外部应用程序:将“访问状态”下选择的操作应用于所有外部应用程序。
    • 选择“应用程序”(需要 Microsoft Entra ID P1 或 P2 订阅):允许将“访问状态”下选择的操作应用到特定外部应用程序。

    Screenshot showing application targets for outbound b2b direct connect

  11. 如果选择了“选择外部应用程序”,请对要添加的每个应用程序执行以下操作:

    • 选择“添加 Microsoft 应用程序”或“添加其他应用程序”。
    • 在应用程序窗格中的搜索框中键入应用程序名称,然后在搜索结果中选择应用程序。
    • 选择应用程序后,选中“选择”。

    Screenshot showing adding external applications for outbound b2b direct connect

  12. 选择“保存”。

更改出站信任设置

(此部分仅适用于组织设置。)

  1. 选择“信任设置”选项卡。

  2. 查看“自动兑换”选项:

    • 向租户自动兑换邀请<租户>:如果要自动兑换邀请,请选中此设置。 如果是这样,此租户中的用户在首次使用跨租户同步、B2B 协作或 B2B 直连访问指定的租户时不必接受同意提示。 仅当指定的租户也检查此设置进行入站访问时,此设置才会抑制同意提示。

    Screenshot that shows the outbound Automatic redemption check box.

  3. 选择“保存”。

删除组织

从组织设置中删除组织时,默认的跨租户访问设置将对该组织生效。

注意

如果该组织是贵组织的云服务提供商(Microsoft Graph 合作伙伴特定配置中的 isServiceProvider 属性为 True),则你无法删除该组织。

  1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“外部标识”>“跨租户访问设置”。

  3. 选择“组织设置”选项卡。

  4. 在列表中找到组织,然后选择该行上的垃圾桶图标。

后续步骤

配置跨租户访问设置,以进行 B2B 协作