在 Microsoft Entra ID 中管理外部用户帐户
Microsoft Entra B2B 协作用户已作为来宾用户添加到目录,默认情况下目录中的来宾权限会受到限制。 企业可能需要某些来宾用户来填充组织中的较高特权角色。 要支持定义较高特权角色,可根据组织需要将来宾用户添加到所需的任何角色。
将 B2B 用户添加到角色
Microsoft 建议组织使用最小特权规则。 可以使用 Privileged Identity Management (PIM) 为 B2B/来宾用户授予访问权限。
Microsoft Entra B2B 协作用户的关键属性
UserType
此属性表示用户与宿主租户之间的关系。 此属性可以具有两个值:
成员:此值表示主体组织的某位员工,即组织工资单中的某个用户。 例如,此用户应当对仅限内部站点具有访问权限。 此用户不会被视为外部协作者。
来宾:此值表示不被视为公司内部成员的用户,例如外部协作者、合作伙伴或客户。 此类用户不会接收 CEO 的内部备注,也不会享受公司福利等。
注意
UserType 与用户的登录方式、用户的目录角色等等之间没有关系。 此属性只是指明该用户与宿主组织之间的关系,使该组织能够实施依赖于此属性的策略。
标识
此属性指示用户的主要标识提供者。 用户可以拥有多个标识提供者,可在用户配置文件中选择“标识”旁的链接或通过 Microsoft Graph API 查询标识属性来查看这些标识提供者。
| 标识属性值 | 登录状态 |
|---|---|
| 外部 Microsoft Entra 租户 | 此用户驻留在外部组织中,使用属于另一组织的 Microsoft Entra 帐户进行身份验证。 |
| Microsoft 帐户 | 此用户驻留在某个 Microsoft 帐户中,使用 Microsoft 帐户进行身份验证。 |
| {主机的域} | 此用户使用属于此组织的 Microsoft Entra 帐户进行身份验证。 |
| google.com | 此用户有一个 Gmail 帐户,并且已使用自助服务注册到另一个组织。 |
| facebook.com | 此用户有一个 Facebook 帐户,并且已使用自助服务注册到另一个组织。 |
| 此用户已使用 Microsoft Entra 电子邮件一次性密码 (OTP) 进行注册。 | |
| {证书颁发者 URI} | 此用户位于外部组织中,该组织不是将 Microsoft Entra ID 用作其标识提供者,而是使用基于 SAML/WS-Fed 的标识提供者。 |
是否可将 Microsoft Entra B2B 用户添加为成员而不是来宾?
通常,Microsoft Entra B2B 用户和来宾用户是同义词。 因此在默认情况下,Microsoft Entra B2B 协作用户将添加为用户类型是“来宾”的用户。 但在某些情况下,合作伙伴组织又是一家更大型上级组织的成员,而宿主组织也属于该大型组织。 如果是这样,宿主组织可能希望将合作伙伴组织中的用户视为成员而非来宾。 使用 Microsoft Entra 用户属性将“来宾”更改为“成员”。
对目录中的来宾用户进行筛选
转换 UserType
可使用 PowerShell 将 UserType 从“成员”转换为“来宾”,反之亦然。 但是,UserType 属性表示用户与组织之间的关系。 因此,只有当用户与组织之间的关系发生更改时,才应当更改此属性。 如果用户的关系发生更改,用户主体名称 (UPN) 是否应该更改? 用户是否应该继续有权访问同样的资源? 是否应该分配邮箱? 我们不建议使用 PowerShell 以原子活动的形式更改 UserType。 此外,为防止使用 PowerShell 导致此属性不可变,我们不建议对此值产生依赖关系。
删除来宾用户限制
在某些情况下,你可能想要为来宾用户提供更高的特权。 可将来宾用户添加到任何角色,甚至可在目录中删除默认的来宾用户限制,向用户提供与成员相同的特权。 可以禁用默认限制,便于为公司目录中的来宾用户提供与成员用户相同的权限。 移除 Microsoft Entra ID 菜单中用户设置的限制。
动态组和 Microsoft Entra B2B 协作
什么是动态组?
Azure 门户中提供了 Microsoft Entra ID 安全组成员身份的动态配置。 管理员可以设置规则,填充在 Microsoft Entra ID 中基于用户特性(如 userType、部门或国家/地区)创建的组。 可基于成员属性自动在安全组中添加或删除成员。 这些组可以为成员提供对应用程序或云资源(SharePoint 站点、文档)的访问权限并分配许可证。
创建和使用动态组需要相应的 Microsoft Entra ID 高级版 P1 或 P2 许可。