通过 Microsoft Entra B2B 协作过渡到受治理的协作

了解协作有助于保护对资源的外部访问。 使用在本文中提供的信息将外部协作迁移到 Microsoft Entra B2B 协作中。

• 请参阅 B2B 协作概述
• 了解： Microsoft Entra ID 中的外部标识

在您开始之前

本文是一系列 10 篇文章中的第 5 篇文章。 建议按顺序查看文章。 转到后续步骤部分可查看整个系列。

协作管理

可以限制用户与（入站和出站）协作的组织，并且组织中的谁可以邀请来宾。 大多数组织允许业务部门决定协作，并委托审批和监督。 例如，政府、教育和财务中的组织通常不允许开放协作。 可以使用 Microsoft Entra 功能来控制协作。

若要控制租户的访问，请部署以下一个或多个解决方案：

• 外部协作设置 - 限制邀请转到的电子邮件域
• 跨租户访问设置 - 按用户、组或租户控制来宾用户对应用程序的访问（入站）。 控制用户对外部 Microsoft Entra 租户和应用程序的访问权限（出站）。
• 连接的组织 - 确定哪些组织可以在权利管理中请求访问包

确定协作合作伙伴

根据需要记录你与之协作的组织和组织用户的域。 基于域的限制可能不切实际。 一个协作合作伙伴可以有多个域，一个合作伙伴可以添加域。 例如，具有多个业务部门的合作伙伴（具有单独的域）可以在配置同步时添加更多域。

如果用户使用 Microsoft Entra B2B，则可以使用登录日志、PowerShell 或工作簿发现他们与之协作的外部Microsoft Entra 租户。 了解详细信息：

• 获取 MsIdCrossTenantAccessActivity
• 跨租户访问活动工作簿

您可以通过以下方式启用未来的协作：

• 外部组织 - 最具包容性
• 外部组织，但不是被否认的组织
• 特定外部组织 - 限制性最强

对一个域的限制可以阻止与具有其他无关域的组织进行授权协作。 例如，与 Contoso 的初始联系点可能是一名拥有 .com 域名电子邮件的美国员工。 但是，如果仅允许域 .com ，则可以省略具有 .ca 域的加拿大员工。

你可以为一部分用户允许特定的协作合作伙伴。 例如，大学可能会限制学生帐户访问外部租户，但允许教职员工与外部组织协作。

具有外部协作设置的允许列表和阻止列表

您可以为这些组织使用白名单或黑名单。 可以使用允许列表或阻止列表，而不是同时使用这两者。

• 允许列表 - 将协作限制为域列表。 其他域位于阻止列表中。
• 阻止列表 - 允许与不在阻止列表上的域协作

了解详细信息： 允许或阻止来自特定组织的 B2B 用户的邀请

某些组织有来自托管安全服务提供商的恶意域名黑名单。 例如，如果组织与 Contoso 开展业务并使用 .com 域，则不相关的组织可以使用 .org 域，并尝试网络钓鱼攻击。

跨租户访问设置

可以使用跨租户访问设置来控制入站和出站访问。 此外，还可以信任来自外部Microsoft Entra 租户的多重身份验证、合规设备和Microsoft Entra 混合联接设备（HAAJD）声明。 配置组织策略时，它将应用于 Microsoft Entra 租户，并应用于该租户中的用户，而不考虑域后缀。

可以在 Microsoft 云中启用协作，例如由世纪互联运营的 Microsoft Azure 或 Azure 政府云。 确定协作合作伙伴是否驻留在不同的Microsoft云中。

了解详细信息：

• 微软 Azure 由世纪互联运营
• Azure 政府版开发人员指南
• 为 B2B 协作（预览版）配置Microsoft云设置。

可以允许对特定租户（allowlist）进行入站访问，并设置默认策略以阻止访问。 然后，创建允许用户、组或应用程序访问的组织策略。

可以阻止对租户的访问（阻止列表）。 将默认策略设置为 “允许” ，然后创建阻止访问某些租户的组织策略。

若要控制外部组织用户访问，请配置类似于入站访问的出站访问策略：允许列表和阻止列表。 配置默认策略和组织特定的策略。

了解详细信息： 为 B2B 协作配置跨租户访问设置

权利管理和连接的组织

使用权限管理来确保自动化来宾生命周期管理。 创建访问包并将其发布到外部用户或连接的组织，这些组织支持Microsoft Entra 租户和其他域。 创建访问包时，请限制对连接的组织的访问。

了解详细信息： 什么是权利管理？

控制外部用户访问

若要开始协作，请邀请或启用合作伙伴访问资源。 用户可通过以下方式获取访问权限：

• Microsoft Entra B2B 协作邀请兑换
• 自助注册
• 请求访问权利管理中的访问包

启用Microsoft Entra B2B 时，可以使用链接和电子邮件邀请邀请来宾用户。 自助注册并将访问包发布到“我的访问”门户需要更多配置。

来宾用户邀请

确定谁可以邀请来宾用户访问资源。

• 限制最大：仅允许具有来宾邀请者角色的管理员和用户
  • 请参阅 配置外部协作设置
• 如果安全要求允许，则允许所有成员用户类型邀请来宾。
• 确定 Guest UserType 是否可以邀请来宾

  • 来宾是默认Microsoft Entra B2B 用户帐户

    

外部用户信息

使用Microsoft Entra权限管理来配置外部用户需要回答的问题。 这些问题会展示给审批者以帮助他们做出决定。 可以为每个访问包策略配置问题集，这样审批者就可以获得他们批准的访问相关信息。 例如，请求供应商提供其供应商合同编号。

了解详细信息： 在权利管理中更改访问包的审批和请求者信息设置

如果使用自助服务门户，请使用 API 连接器在注册期间收集用户属性。 使用属性分配访问权限。 可以在 Azure 门户中创建自定义属性，并在自助服务注册用户流中使用它们。 使用 Microsoft 图形 API 读取和写入这些属性。

了解详细信息：

• 使用 API 连接器自定义和扩展自助注册
• 使用 Microsoft Graph 管理 Azure AD B2C

处理 Microsoft Entra 用户的邀请兑换故障

来自协作合作伙伴的受邀来宾用户在兑换邀请时遇到问题。 有关缓解措施，请参阅以下列表。

• 用户域不在允许列表中
• 合作伙伴的主租户限制会阻止外部协作
• 用户不在合作伙伴Microsoft Entra 租户中。 例如，contoso.com 的用户位于 Active Directory 中。
  • 他们可以使用电子邮件一次性密码兑换邀请（OTP）
  • 参阅 Microsoft Entra B2B 协作邀请兑换

外部用户访问

通常，有一些资源可以与外部用户共享，有些资源不能共享。 可以控制哪些外部用户访问。

了解详细信息： 使用权利管理管理管理外部访问

默认情况下，来宾用户会看到有关租户成员和其他合作伙伴的信息和属性，包括组成员身份。 请考虑限制外部用户访问此信息。

建议使用以下来宾用户限制：

• 限制来宾访问浏览目录中的组和其他属性
  • 使用外部协作设置限制来宾访问他们不是成员的群组。
• 阻止访问仅限员工的应用
  • 创建条件访问策略以阻止对非来宾用户的 Microsoft Entra 集成应用程序的访问权限
• 阻止访问 Azure 门户
  • 可以做出必要的例外
  • 创建包含所有来宾和外部用户的条件访问策略。 实现阻止访问的策略。

了解详细信息： 条件访问：云应用、操作和身份验证上下文

删除不需要访问权限的用户

建立一个流程来评审和删除不需要访问权限的用户。 在租户中包含外部用户作为来宾，以及具有成员帐户的用户。

了解详细信息： 使用 Microsoft Entra ID Governance 查看和删除不再具有资源访问权限的外部用户

某些组织将外部用户添加为成员（供应商、合作伙伴和承包商）。 分配属性或用户名：

• 供应商 - v-alias@contoso.com
• 合作伙伴 - p-alias@contoso.com
• 承包商 - c-alias@contoso.com

评估具有成员帐户的外部用户以确定访问权限。 你可能会有一些来宾用户不是通过权利管理或 Microsoft Entra B2B 邀请的。

若要查找以下用户，请按照以下步骤操作：

• 使用 Microsoft Entra ID Governance 查看和删除不再具有资源访问权限的外部用户
• 在 access-reviews-samples/ExternalIdentityUse 上使用示例 PowerShell 脚本。

将当前外部用户转换为 Microsoft Entra B2B

如果不使用 Microsoft Entra B2B，则租户中可能有非员工用户。 建议将这些帐户转换为 Microsoft Entra B2B 外部用户帐户，然后将其 UserType 更改为 Guest。 使用 Microsoft Entra ID 和 Microsoft 365 来处理外部用户。

包括或排除：

• 条件访问策略中的来宾用户
• 访问包中的来宾用户和访问审查
• 外部对 Microsoft Teams、SharePoint 和其他资源的访问权限

可以在维护当前访问权限、用户主体名称（UPN）和组成员身份的同时转换这些内部用户。

更多： 邀请外部用户参与 B2B 协作

停用协作方法

若要完成到受治理协作的过渡，请解除不需要的协作方法。 退役是根据合作中所需控制级别和安全姿态来进行的。 请参阅 评估外部访问的安全状况。

Microsoft Teams 邀请

默认情况下，Teams 允许外部访问。 组织可以与外部域通信。 若要限制或允许 Teams 的域，请使用 Teams 管理中心。

通过 SharePoint 和 OneDrive 共享

通过 SharePoint 和 OneDrive 共享会添加不在权利管理过程中的用户。

• 安全地从外部访问 Microsoft Teams、SharePoint 和 OneDrive for Business
• 阻止 Office 使用 OneDrive

电子邮件文档和敏感度标签

用户通过电子邮件向外部用户发送文档。 可以使用敏感度标签来限制和加密对文档的访问。

请了解和查看 敏感度标签。

未经批准的协作工具

某些用户可能使用 Google Docs、Dropbox、Slack 或 Zoom。 可以在防火墙级别和组织托管设备的移动应用程序管理中阻止从企业网络使用这些工具。 但是，此操作会阻止被制裁的实例，并且不会阻止来自非托管设备的访问。 阻止不需要的工具，并创建不批准使用的策略。

有关管理应用程序的详细信息，请参阅：

• 管理连接的应用
• 管理发现的应用

后续步骤

请参阅以下系列文章，了解如何保护对资源的外部访问。 建议遵循列出的顺序。

1. 使用 Microsoft Entra ID 确定外部访问的安全态势

2. 发现组织中外部协作的当前状态

3. 为外部资源访问创建安全性计划

4. 使用 Microsoft Entra ID 和 Microsoft 365 中的组来保护外部访问

5. 过渡到与 Microsoft Entra B2B 协作的受治理协作 （你在这里）

6. 使用 Microsoft Entra 权利管理来管理外部访问

7. 使用条件访问策略管理对资源的外部访问

8. 在 Microsoft Entra ID 中使用敏感度标签来控制对资源的外部访问

9. 使用 Microsoft Entra ID 安全地从外部访问 Microsoft Teams、SharePoint 和 OneDrive for Business

10. 将本地来宾帐户转换为 Microsoft Entra B2B 来宾帐户