加入受信任的供应商以在 Microsoft 365 中协作

如果你的组织具有针对外部供应商或其他组织的审批流程,则可以使用 Microsoft Entra ID 和 Teams 中的功能来阻止未经批准的组织中的人员进行访问,并在获得批准后添加新组织。

通过使用域允许列表,可以阻止尚未通过内部流程批准的组织的域。 这有助于确保组织中的用户仅与批准的供应商协作。

本文介绍可用于加入新供应商的审批流程的一部分的功能。

如果尚未为组织配置来宾共享,请参阅 与站点中的来宾协作与团队中的来宾协作 (IT 管理员)

SharePoint 和 OneDrive 与 Microsoft Entra B2B 集成

本文中的过程假定你已启用 SharePoint 和 OneDrive 与 Microsoft Entra B2B 的集成。 如果尚未为 SharePoint 和 OneDrive 启用 Microsoft Entra B2B 集成,Microsoft Entra B2B 域允许列表和阻止列表不会影响文件和文件夹共享。 在这种情况下,请使用 “按域限制共享 SharePoint 和 OneDrive 内容”。

允许供应商的域Microsoft Entra 外部协作设置

使用 Microsoft Entra 外部协作设置,可以允许或阻止对某些域的邀请。 通过创建允许列表,可以只允许向这些域发送来宾邀请,所有其他域都会被阻止。 可以使用此功能允许向已批准的供应商发出来宾邀请,同时阻止向尚未批准的供应商发出邀请。

仅允许来自指定域的共享邀请:

  1. 外部标识提供者管理员身份登录到 Microsoft Entra 管理中心

  2. 展开 “标识”,然后展开“ 外部标识”。

  3. 选择“ 外部协作设置”。

  4. “协作限制”下,选择“ 仅允许对指定域的邀请”,然后键入要允许的域。

  5. 选择“保存”

    Microsoft Entra ID 中协作限制设置的屏幕截图。

有关在 entra ID Microsoft中使用允许列表或阻止列表的详细信息,请参阅 允许或阻止来自特定组织的 B2B 用户的邀请

允许其他Microsoft 365 组织的域

如果已批准的供应商也使用 Microsoft 365,则可以在 Microsoft Entra ID 和 Teams 中配置其他设置来管理这些域并为用户创建更集成的体验。

通过将供应商组织添加到Microsoft Entra 跨租户访问设置,可以指定:

  • 可以邀请供应商组织中的哪些用户加入组织
  • 供应商组织中的哪些用户可以参与Microsoft Teams 中的共享频道
  • 这些用户有权访问组织中的哪些应用程序
  • 当其他组织的用户访问资源时,条件访问策略是否会接受来自其他Microsoft Entra 组织的声明。

通过将供应商组织添加到 Teams 外部访问的允许列表:

  • 组织中的用户和供应商组织中的用户可以聊天和会面,而无需供应商以来宾身份登录。

在 Microsoft Entra 跨租户访问设置中允许供应商的域

若要指定设置,例如可以从供应商组织邀请谁以及他们可以使用哪些应用程序,请先在 Entra 跨租户访问设置Microsoft添加组织。

若要添加组织,请执行以下操作:

  1. 外部标识提供者管理员身份登录到 Microsoft Entra 管理中心

  2. 展开 “标识”,然后展开“ 外部标识”。

  3. 选择 “跨租户访问设置”。

  4. 选择“组织设置”。

  5. 选择“添加组织”。

  6. 在“添加组织”窗格中,键入组织的完整域名(或租户 ID)。

  7. 在搜索结果中选择组织,然后选择“添加”。

    Microsoft Entra ID 中跨租户访问设置的屏幕截图,其中配置了两个外部组织。

若要指定用户可以邀请谁作为供应商组织的来宾,请执行以下操作:

  1. 在“ 组织设置 ”选项卡上,选择要配置的组织的 “入站访问 ”链接。

  2. “B2B 协作”选项卡上,选择“自定义设置

  3. 在“ 外部用户和组 ”选项卡上,选择 “选择 <组织> 用户和组”,然后选择“ 添加外部用户和组”。

  4. 添加要包含的用户和组的 ID,然后选择“ 提交”。

  5. 选择“保存”

    外部组织的入站跨租户访问设置中允许的组的屏幕截图。

若要指定供应商组织的来宾可以使用哪些应用程序,请执行以下操作:

  1. 在“ 组织设置 ”选项卡上,选择要配置的组织的 “入站访问 ”链接。

  2. “B2B 协作”选项卡上,选择“自定义设置

  3. 在“ 应用程序 ”选项卡上,选择 “选择应用程序”,然后选择“ 添加Microsoft应用程序 ”或 “添加其他应用程序”。

  4. 选择要允许的应用程序,然后选择 “选择”。

  5. 选择“保存”

    外部组织的入站跨租户访问设置中允许的应用程序的屏幕截图。

有关跨租户访问设置中可用选项(包括接受来自其他组织的条件访问声明)的详细信息,请参阅 为 B2B 协作配置跨租户访问设置

如果计划将 Teams 共享频道与供应商组织配合使用,则两个组织都必须为 Microsoft Entra B2B 直连设置跨租户访问设置。 有关详细信息,请参阅 在共享频道中与外部参与者协作

在 Teams 外部访问中允许供应商的域

若要允许组织中的用户和供应商组织中的用户聊天和会面,而无需供应商以来宾身份登录,请允许 Teams 中的域外部访问。

若要允许 Teams 中的组织进行外部访问,请执行以下操作:

  1. 在 Teams 管理中心中,展开 “用户”,然后选择“ 外部访问”。

  2. “选择用户有权访问的域”下,选择“ 仅允许特定的外部域”。

  3. 选择 允许域

  4. 在“”框中,键入想要允许的域,然后单击“完成”。

  5. 如果要允许其他域,请选择“添加域”。

  6. 选择“保存”

    具有一个允许域的外部组织中的 Teams 和 Skype 企业用户的 Teams 外部访问设置的屏幕截图。

Teams 管理中心中的外部访问设置页包括非组织管理的 Teams 帐户的设置,Skype用户。 如果这些帐户不符合组织对已批准供应商的要求,则可以关闭这些帐户。

有关 Teams 外部访问选项的详细信息,请参阅 使用Microsoft标识管理外部会议并与人员和组织聊天

限制可邀请来宾的人员

可以限制组织中的哪些用户可以邀请受信任供应商的来宾。 如果来宾邀请需要批准,或者你希望用户在被允许邀请来宾之前完成培训课程,这将非常有用。 有关如何执行此操作的信息,请参阅 限制可以邀请来宾的人员

阻止未经身份验证的访问

有两项功能允许组织外部的人员无需登录即可访问组织中的资源:

  • 匿名会议加入
  • 未经身份验证的文件和文件夹共享

如果对受信任的供应商的要求要求每个人在访问组织的资源之前登录,则可以关闭这些选项。

若要防止用户以匿名参与者身份加入会议,可以在 Teams 会议策略中关闭 匿名用户可以加入 会议。 有关详细信息,请参阅 管理对 Teams 会议的匿名参与者访问 (IT 管理员)

若要防止未经身份验证的文件和文件夹共享,必须阻止使用 任何人 共享链接。 可以为整个组织或特定 SharePoint 网站执行此操作。 有关详细信息,请参阅 在 Microsoft 365 中管理 SharePoint 和 OneDrive共享设置和更改网站的共享设置

Microsoft Entra 外部 ID 文档

使用来宾访问和外部访问与组织外部的人员进行协作

Microsoft Entra 使用条款

仅允许特定安全组中的成员在外部共享 SharePoint 和 OneDrive 文件和文件夹