实现跨租户访问控制
Microsoft Entra 组织可以使用外部标识跨租户访问设置来管理如何与其他 Microsoft Entra 组织或 Microsoft 云协作。 跨租户访问设置让你可以精细地控制外部 Microsoft Entra 组织与你协作的方式,即入站访问。 还可以控制用户如何与外部 Microsoft Entra 组织协作,即出站访问。
管理入站和出站设置
默认情况下,会启用与其他 Microsoft Entra 组织的 B2B 协作,并阻止 B2B 直连。 但可以通过以下综合管理设置来管理这两种功能。
| 跨租户访问设置名称 | 托管的操作 |
|---|---|
| 出站访问设置 | 控制用户是否可以访问外部组织中的资源。 可以将这些设置应用于每个人,或指定单个用户、组和应用程序。 |
| 入站访问设置 | 控制来自外部 Microsoft Entra 组织的用户是否可以访问组织中的资源。 可以将这些设置应用于每个人,或指定单个用户、组和应用程序。 |
| 信任设置(入站) | 确定条件访问策略是否信任多重身份验证 (MFA)。 还可以要求使用合规设备和混合 Microsoft Entra 联接设备。 最后,如果外部组织的用户在其家庭租户中已经满足这些要求,则允许或限制来自外部组织的用户。 |
| B2b 直接连接 | 与其他 Microsoft Entra 组织建立相互信任关系以实现无缝协作。 此功能目前适用于 Microsoft Teams 共享频道。 |
特定于组织的配置
在上述内容中,你浏览了默认设置。 这些设置应用于所有外部连接。 但是,还可以根据组织配置特定的协作设置。 在“跨租户访问控制”屏幕中选择“组织设置”,然后添加租户。 添加后,可以配置入站和出站设置。
特定于 Microsoft 云的配置
贵公司有政府合同,需要连接到 Microsoft Azure 政府或 Microsoft Azure 中国。 使用“Microsoft 云设置”连接到协作设置并进行配置。
B2B 直接连接
B2B 直连要求两个 Microsoft Entra 组织建立互信关系,以允许访问彼此的资源。 资源组织和外部组织都需要在其跨租户访问设置中相互启用 B2B 直连。 建立信任后,B2B 直连用户可以使用其所在 Microsoft Entra 组织的凭据对组织外的资源进行单一登录访问。
目前,B2B 直连功能可与 Teams 共享频道一起使用。 在两个组织之间建立 B2B 直连后,其中一个组织中的用户可以在 Teams 中创建共享频道并邀请外部 B2B 直连用户加入。 然后,B2B 直连用户可通过 Teams 无缝访问其主租户 Teams 实例中的共享频道,而无需手动登录到托管共享频道的组织。