通过

实现跨 Microsoft 云的 B2B 协作

适用于带白色复选标记符号的绿色圆圈。 员工租户白色 圆圈,带有灰色 X 符号。 外部租户(了解详细信息

当独立的 Microsoft Azure 云中的 Microsoft Entra 组织需要协作时,他们可以使用 Microsoft 云设置来启用相互之间的 Microsoft Entra B2B 协作。 可在以下全球和主权 Microsoft Azure 云之间实现 B2B 协作:

  • Microsoft Azure 商业云和 Microsoft Azure 政府
  • Microsoft Azure 商业云和由世纪互联运营的 Microsoft Azure

重要

首先,如本文所述,两个组织必须都启用与对方协作。 然后,每个组织可以选择性地修改其入站和出站访问设置,如 配置 B2B 协作的跨租户访问设置中所述。

若要为不同的 Microsoft 云中的两个组织启用相互协作,每个组织中的管理员必须完成以下步骤:

  1. 配置其 Microsoft 云设置,以启用与合作伙伴云的协作。

  2. 使用合作伙伴的租户 ID 查找合作伙伴并将其添加到组织设置。

  3. 为合作伙伴组织配置入站和出站设置。 管理员可以应用默认设置,或者为合作伙伴配置特定的设置。

各组织都完成这些步骤后,即已启用组织之间的 Microsoft Entra B2B 协作。

注意

不支持通过 B2B 直连与不同 Microsoft 云中的 Microsoft Entra 租户协作。

开始之前

  • 获取合作伙伴的租户 ID。 若要在另一个 Microsoft Azure 云中启用与合作伙伴 Microsoft Entra 组织的 B2B 协作,需要获取该合作伙伴的租户 ID。 在跨云方案中无法使用组织的域名进行查找。
  • 确定合作伙伴的入站和出站访问设置。 在 Microsoft 云设置中选择一个云不会自动启用 B2B 协作。 启用另一个 Microsoft Azure 云后,该云中的组织默认会阻止所有 B2B 协作。 需要将你要与其协作的租户添加到组织设置中。 此时,默认设置仅对该租户生效。 可以允许默认设置保持生效。 或者,可以修改组织的入站和出站设置。
  • 获取任何所需的对象 ID 或应用 ID。 若要将访问设置应用于合作伙伴组织中的特定用户、组或应用程序,需要在配置设置之前联系该组织,了解相关信息。 获取其用户对象 ID、组对象 ID 或应用程序 ID(客户端应用 ID 或资源应用 ID),以便可以正确定位设置。

注意

对于其他 Microsoft 云中的用户,必须使用其用户主体名称 (UPN) 对其进行邀请。 与另一Microsoft云中的用户协作时,当前不支持以登录身份发送电子邮件。

在 Microsoft 云设置中启用云

在 Microsoft 云设置中,启用你要与其协作的 Microsoft Azure 云。

  1. 以至少安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>外部身份>跨租户访问设置,然后选择 Microsoft 云设置

  3. 选中要启用的外部 Microsoft Azure 云旁边的复选框。

    显示Microsoft云设置的屏幕截图。

    你可能会看到一个名为跨云同步设置的复选框,用于跨云同步。 此功能目前正在分阶段部署。 此设置尚不起作用,不应尝试选中此复选框。

注意

选择一个云不会自动启用与该云中组织的 B2B 协作。 需要按下一部分中所述,添加要与其协作的组织。

将租户添加到组织设置

按照以下步骤将你要与其协作的租户添加到组织设置中。

  1. 以至少安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>外部标识>跨租户访问设置,然后选择 “组织设置”。

  3. 选择“添加组织”。

  4. 在“添加组织”窗格中,键入组织的租户 ID(目前无法按域名进行跨云查找)。

    显示添加组织的屏幕截图。

  5. 在搜索结果中选择组织,然后选择“添加”。

  6. 该组织将出现在“组织设置”列表中。 此时,将从默认设置继承此组织的所有访问设置。

    显示使用默认设置添加的组织的屏幕截图。

  7. 若要更改此组织的跨租户访问设置,请选择“入站访问”列或“出站访问”列下的“从默认值继承”链接。 然后按照以下部分中的详细步骤操作:

登录终结点

在启用与不同 Microsoft 云组织的协作后,跨云的 Microsoft Entra 来宾用户现在可以使用 通用终结点 (换句话说,就是不包含租户上下文的常规应用程序 URL)登录到您的多租户或 Microsoft 自家应用程序。 在登录过程中,来宾用户选择“登录选项”,然后选择“登录到组织” 。 然后,用户需要键入组织的名称并继续使用其 Microsoft Entra 凭据登录。

跨云 Microsoft Entra 来宾用户还可以使用包含租户信息的应用程序终结点,例如:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified ___domain>.onmicrosoft.com
  • https://contoso.sharepoint.com/sites/testsite

还可以通过包含租户信息,为跨云 Microsoft Entra 来宾用户提供应用程序或资源的直接链接,例如 https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>

跨云 Microsoft Entra 来宾用户支持的场景

当与来自不同 Microsoft 云的组织协作时,支持以下场景:

  • 使用 B2B 协作邀请合作伙伴租户中的用户访问组织中的资源,其中包括 Web 业务线应用、SaaS 应用以及 SharePoint Online 站点、文档和文件。
  • 使用 B2B 协作将 Power BI 内容共享给合作伙伴租户中的用户
  • 对 B2B 协作用户应用条件访问策略,并选择信任来自用户主租户的多重身份验证或设备声明(合规声明和 Microsoft Entra 混合联合声明)。

注意

启用 SharePoint 和 OneDrive 与 Microsoft Entra B2B 的集成将为在 SharePoint 和 OneDrive 中邀请来自其他 Microsoft 云环境的用户带来最佳体验。

后续步骤

请参阅配置 B2B 协作的外部协作设置,以支持非Microsoft Entra 标识、社交标识和非 IT 托管的外部帐户。