Azure Active Directory 是 Microsoft 365 使用的目录服务。Azure Active Directory 组织关系设置直接影响 Teams、Microsoft 365 Groups、SharePoint 和 OneDrive 中的共享。 在 Azure AD 中,邀请设置控制目录、租户和应用程序级别的来宾体验。
Azure AD 中的外部协作设置
设置 | 默认 | 描述 |
来宾用户权限 | 来宾对目录对象的属性和成员资格具有有限的访问权限 | 确定来宾在 Azure Active Directory 中的权限。 |
来宾邀请设置 | 组织中的任何人都可以邀请来宾,包括来宾和非管理员 | 确定来宾、成员和管理员是否可以邀请来宾加入组织。 此设置会影响 Microsoft 365 共享体验,例如 Teams 和 SharePoint。 |
打开来宾的自助服务 | 不支持 | 确定您是否可以创建允许某人注册您创建的应用程序并创建新访客帐户的用户流。 |
协作限制 | 允许将邀请发送到任何域 | 此设置允许您指定允许或阻止的域列表以供共享。指定允许的域后,共享邀请只能发送到这些域。如果指定了拒绝域,则无法将共享邀请发送到这些域。 此设置会影响 Microsoft 365 共享体验,例如 Teams 和 SharePoint。通过在 SharePoint 或 Teams 中使用域筛选,您可以在更细粒度的级别允许或阻止域。 |
在 Azure AD 管理中心配置外部协作
- 以租户管理员身份登录 Azure 门户。
- 选择 Azure 活动目录。
- 选择用户设置 > 管理外部协作设置。
- 在访客用户访问限制下,选择您希望访客用户拥有的访问级别:
- 来宾用户具有与成员相同的访问权限(最广泛):此选项为来宾提供与成员用户相同的 Azure AD 资源和目录数据访问权限。
- 来宾用户对目录对象的属性和成员资格的访问权限有限:(默认)此设置阻止来宾执行某些目录任务,例如枚举用户、组或其他目录资源。
- 来宾可以看到所有非隐藏组的成员资格。 来宾用户访问仅限于他们自己的目录对象的属性和成员资格(最严格):使用此设置,来宾只能访问他们自己的配置文件。不允许来宾查看其他用户的个人资料、群组或群组成员资格。
- 在访客邀请设置下,选择适当的 设置:
- 组织中的任何人都可以邀请来宾用户,包括来宾和非管理员(大多数):要允许组织中的来宾邀请其他来宾(包括非组织成员的来宾),请选择此单选按钮。
- 成员用户和分配了特定管理员角色的用户可以邀请来宾用户,包括具有成员权限的来宾:要允许成员用户和具有特定管理员角色的用户邀请来宾,请选择此单选按钮。
- 只有分配了特定管理员角色的用户才能邀请来宾用户:要仅允许具有管理员角色的用户邀请来宾,请选择此单选按钮。 管理员角色包括全局管理员、用户管理员和来宾邀请者。
- 组织中的任何人都不能邀请来宾用户,包括管理员(最严格):要拒绝组织中的每个人邀请来宾,请选择此单选按钮。
- 在通过用户流启用访客自助注册下,如果您选择是 希望能够创建让用户注册应用程序的用户流。
- 在协作限制下,您可以选择是允许还是拒绝对您指定的域的邀请,并在文本框中输入特定的域名。 对于多个域,请在新行中输入每个域。