配置 Microsoft 云设置以实现 B2B 协作

  • 项目

当独立的 Microsoft Azure 云中的 Microsoft Entra 组织需要协作时,他们可以使用 Microsoft 云设置来启用 Microsoft Entra B2B 协作。 可在以下全球和主权 Microsoft Azure 云之间实现 B2B 协作:

  • Microsoft Azure 商业云和 Microsoft Azure 政府
  • Microsoft Azure 商业云和由世纪互联运营的 Microsoft Azure

若要在不同 Microsoft Azure 云中的合作伙伴组织之间设置 B2B 协作,需要每个合作伙伴都同意配置相互之间的 B2B 协作。 每家组织的管理员完成以下步骤:

  1. 配置其 Microsoft 云设置,以启用与合作伙伴云的协作。

  2. 使用合作伙伴的租户 ID 查找合作伙伴并将其添加到组织设置。

  3. 为合作伙伴组织配置入站和出站设置。 管理员可以应用默认设置,或者为合作伙伴配置特定的设置。

各组织都完成这些步骤后,即已启用组织之间的 Microsoft Entra B2B 协作。

注意

不支持通过 B2B 直连与不同 Microsoft 云中的 Microsoft Entra 租户协作。

开始之前

  • 获取合作伙伴的租户 ID。 若要在另一个 Microsoft Azure 云中启用与合作伙伴 Microsoft Entra 组织的 B2B 协作,需要获取该合作伙伴的租户 ID。 在跨云方案中无法使用组织的域名进行查找。
  • 确定合作伙伴的入站和出站访问设置。 在 Microsoft 云设置中选择一个云不会自动启用 B2B 协作。 启用另一个 Microsoft Azure 云后,该云中的组织默认会阻止所有 B2B 协作。 需要将你要与其协作的租户添加到组织设置中。 此时,默认设置仅对该租户生效。 可以允许默认设置保持生效。 或者,可以修改组织的入站和出站设置。
  • 获取任何所需的对象 ID 或应用 ID。 若要将访问设置应用于合作伙伴组织中的特定用户、组或应用程序,需要在配置设置之前联系该组织,了解相关信息。 获取其用户对象 ID、组对象 ID 或应用程序 ID(客户端应用 ID 或资源应用 ID),以便可以正确定位设置。

注意

对于其他 Microsoft 云中的用户,必须使用其用户主体名称 (UPN) 对其进行邀请。 当与其他 Microsoft 云中的用户协作时,当前不支持使用邮件作为登录方式

在 Microsoft 云设置中启用云

提示

本文中的步骤可能因开始使用的门户而略有不同。

在 Microsoft 云设置中,启用你要与其协作的 Microsoft Azure 云。

  1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“外部标识”>“跨租户访问设置”,然后选择“Microsoft Cloud 设置”。

  3. 选中要启用的外部 Microsoft Azure 云旁边的复选框。

    Screenshot showing Microsoft cloud settings.

注意

选择一个云不会自动启用与该云中组织的 B2B 协作。 需要按下一部分中所述,添加要与其协作的组织。

将租户添加到组织设置

按照以下步骤将你要与其协作的租户添加到组织设置中。

  1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“外部标识”>“跨租户访问设置”,然后选择“组织设置”。

  3. 选择“添加组织”。

  4. 在“添加组织”窗格中,键入组织的租户 ID(目前无法按域名进行跨云查找)。

    Screenshot showing adding an organization.

  5. 在搜索结果中选择组织,然后选择“添加”。

  6. 该组织将出现在“组织设置”列表中。 此时,将从默认设置继承此组织的所有访问设置。

    Screenshot showing an organization added with default settings.

  7. 若要更改此组织的跨租户访问设置,请选择“入站访问”列或“出站访问”列下的“从默认值继承”链接。 然后按照以下部分中的详细步骤操作:

登录终结点

与来自不同 Microsoft 云的组织实现协作后,跨云 Microsoft Entra 来宾用户现在可以使用公共终结点(即不包含租户上下文的通用应用 URL)登录到你的多租户或 Microsoft 第一方应用。 在登录过程中,来宾用户选择“登录选项”,然后选择“登录到组织” 。 然后,用户需要键入组织的名称并继续使用其 Microsoft Entra 凭据登录。

跨云 Microsoft Entra 来宾用户还可以使用包含租户信息的应用程序终结点,例如:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://contoso.sharepoint.com/sites/testsite

还可以通过包含租户信息,为跨云 Microsoft Entra 来宾用户提供应用程序或资源的直接链接,例如 https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>

跨云 Microsoft Entra 来宾用户支持的场景

当与来自不同 Microsoft 云的组织协作时,支持以下场景:

  • 使用 B2B 协作邀请合作伙伴租户中的用户访问组织中的资源,其中包括 Web 业务线应用、SaaS 应用以及 SharePoint Online 站点、文档和文件。
  • 使用 B2B 协作将 Power BI 内容共享给合作伙伴租户中的用户
  • 对 B2B 协作用户应用条件访问策略,并选择信任来自用户主租户的多重身份验证或设备声明(合规声明和 Microsoft Entra 混合联合声明)。

注意

启用 SharePoint 和 OneDrive 与 Microsoft Entra B2B 的集成可提供最佳体验,用以在 SharePoint 和 OneDrive 中邀请其他 Microsoft 云中的用户。

后续步骤

对于与非 Microsoft Entra 标识、社交标识和非 IT 托管外部帐户之间的 B2B 协作,请参阅配置外部协作设置