Настройка мультитенантной организации с помощью POWERShell или API Microsoft Graph

В этой статье описаны основные шаги по настройке мультитенантной организации с помощью Microsoft Graph PowerShell или API Microsoft Graph. В этой статье используется пример арендатора владельца с именем Каир и два клиента-члена с именем Берлин и Афины.

Если вы хотите использовать Центр администрирования Microsoft 365 для настройки мультитенантной организации, см. статью "Настройка мультитенантной организации в Microsoft 365 и присоединение" или выход из мультитенантной организации в Microsoft 365. Сведения о настройке Microsoft Teams для мультитенантной организации см. в классическом клиенте Microsoft Teams.

Необходимые компоненты

Клиент владельца

• Сведения о лицензии см. в разделе "Требования к лицензии".
• Роль администратора безопасности для настройки параметров и шаблонов доступа между клиентами для мультитенантной организации.
• Роль глобального администратора для предоставления согласия на необходимые разрешения.

Клиент-член

• Сведения о лицензии см. в разделе "Требования к лицензии".
• Роль администратора безопасности для настройки параметров и шаблонов доступа между клиентами для мультитенантной организации.
• Роль глобального администратора для предоставления согласия на необходимые разрешения.

Шаг 1. Вход в клиент владельца

Клиент владельца

PowerShell

1. Запустите PowerShell.

2. При необходимости установите пакет SDK Для Microsoft Graph PowerShell.

3. Получите идентификатор клиента владельца и клиента-члена и инициализировать переменные.

   $OwnerTenantId = "<OwnerTenantId>"
   $MemberTenantIdB = "<MemberTenantIdB>"
   $MemberTenantIdA = "<MemberTenantIdA>"
   

4. Используйте команду Connect-MgGraph, чтобы войти в клиент владельца и предоставить согласие на следующие необходимые разрешения.

   • MultiTenantOrganization.ReadWrite.All
   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess
   • Application.ReadWrite.All
   • Directory.ReadWrite.All

   Connect-MgGraph -TenantId $OwnerTenantId -Scopes "MultiTenantOrganization.ReadWrite.All","Policy.Read.All","Policy.ReadWrite.CrossTenantAccess","Application.ReadWrite.All","Directory.ReadWrite.All"
   

Microsoft Graph

В этих шагах описано, как использовать Microsoft Graph Explorer, но вы также можете использовать другой клиент REST API.

1. Запустите средство Microsoft Graph Explorer.

2. Войдите в клиент владельца.

3. Выберите профиль и выберите "Согласие на разрешения".

4. Согласие на следующие необходимые разрешения.

   • MultiTenantOrganization.ReadWrite.All
   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess
   • Application.ReadWrite.All
   • Directory.ReadWrite.All

Шаг 2. Создание мультитенантной организации

Клиент владельца

PowerShell

1. В клиенте владельца используйте команду Update-MgBetaTenantRelationshipMultiTenantOrganization для создания мультитенантной организации. Эта операция может занять несколько минут.

   Update-MgBetaTenantRelationshipMultiTenantOrganization -DisplayName "Cairo"
   

2. Используйте команду Get-MgBetaTenantRelationshipMultiTenantOrganization, чтобы убедиться, что операция завершена перед продолжением.

   Get-MgBetaTenantRelationshipMultiTenantOrganization | Format-List
   

   CreatedDateTime      : 1/8/2024 7:47:45 PM
   Description          :
   DisplayName          : Cairo
   Id                   : <MtoIdC>
   JoinRequest          : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationJoinRequestRecord
   State                : active
   Tenants              :
   AdditionalProperties : {[@odata.context, https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/$entity]}
   

Microsoft Graph

1. В клиенте владельца используйте API Create multiTenantOrganization для создания мультитенантной организации. Эта операция может занять несколько минут.

   Запросить

   PUT https://graph.microsoft.com/beta/tenantRelationships/multiTenantOrganization
   {
       "displayName": "Cairo"
   }
   

2. Используйте API Get multiTenantOrganization, чтобы убедиться, что операция завершена перед продолжением.

   Запросить

   GET https://graph.microsoft.com/beta/tenantRelationships/multiTenantOrganization
   

   Response

   {
       "@odata.context": "https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/$entity",
       "id": "{mtoId}",
       "createdDateTime": "2023-11-20T20:38:20Z",
       "state": "active",
       "displayName": "Cairo",
       "description": null
   }
   

Шаг 3. Добавление клиентов

Клиент владельца

PowerShell

1. В клиенте владельца используйте команду New-MgBetaTenantRelationshipMultiTenantOrganizationTenantTenantTenant Для добавления клиентов в мультитенантную организацию.

   New-MgBetaTenantRelationshipMultiTenantOrganizationTenant -TenantID $MemberTenantIdB -DisplayName "Berlin" | Format-List
   

   New-MgBetaTenantRelationshipMultiTenantOrganizationTenant -TenantID $MemberTenantIdA -DisplayName "Athens" | Format-List
   

2. Используйте команду Get-MgBetaTenantRelationshipMultiTenantOrganizationTenantTenant, чтобы убедиться, что операция завершена перед продолжением.

   Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant | Format-List
   

   AddedByTenantId      : <OwnerTenantId>
   AddedDateTime        : 1/8/2024 7:47:45 PM
   DeletedDateTime      :
   DisplayName          : Cairo
   Id                   : <MtoIdC>
   JoinedDateTime       :
   Role                 : owner
   State                : active
   TenantId             : <OwnerTenantId>
   TransitionDetails    : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails
   AdditionalProperties : {[multiTenantOrgLabelType, none]}
   
   AddedByTenantId      : <OwnerTenantId>
   AddedDateTime        : 1/8/2024 8:05:25 PM
   DeletedDateTime      :
   DisplayName          : Berlin
   Id                   : <MtoIdB>
   JoinedDateTime       :
   Role                 : member
   State                : pending
   TenantId             : <MemberTenantIdB>
   TransitionDetails    : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails
   AdditionalProperties : {[multiTenantOrgLabelType, none]}
   
   AddedByTenantId      : <OwnerTenantId>
   AddedDateTime        : 1/8/2024 8:08:47 PM
   DeletedDateTime      :
   DisplayName          : Athens
   Id                   : <MtoIdA>
   JoinedDateTime       :
   Role                 : member
   State                : pending
   TenantId             : <MemberTenantIdA>
   TransitionDetails    : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails
   AdditionalProperties : {[multiTenantOrgLabelType, none]}
   

Microsoft Graph

1. В клиенте владельца используйте API Add multiTenantOrganizationMember для добавления клиентов в мультитенантную организацию.

   Запросить

   POST https://graph.microsoft.com/beta/tenantRelationships/multiTenantOrganization/tenants
   {
       "tenantId": "{memberTenantIdB}",
       "displayName": "Berlin"
   }
   

   Запросить

   POST https://graph.microsoft.com/beta/tenantRelationships/multiTenantOrganization/tenants
   {
       "tenantId": "{memberTenantIdA}",
       "displayName": "Athens"
   }
   

2. Используйте API List multiTenantOrganizationMembers, чтобы убедиться, что операция завершена перед продолжением.

   Запросить

   GET https://graph.microsoft.com/beta/tenantRelationships/multiTenantOrganization/tenants
   

   Response

   {
       "@odata.context": "https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/tenants"
       "value": [
           {
               "tenantId": "{ownerTenantId}",
               "displayName": "Cairo",
               "addedDateTime": "2023-11-20T20:38:20Z",
               "joinedDateTime": null,
               "addedByTenantId": "{ownerTenantId}",
               "role": "owner",
               "state": "active",
               "transitionDetails": null
           },
           {
               "tenantId": "{memberTenantIdB}",
               "displayName": "Berlin",
               "addedDateTime": "2023-11-20T21:22:35Z",
               "joinedDateTime": null,
               "addedByTenantId": "{ownerTenantId}",
               "role": "member",
               "state": "pending",
               "transitionDetails": {
                   "desiredState": "active",
                   "desiredRole": "member",
                   "status": "notStarted",
                   "details": null
               }
           },
           {
               "tenantId": "{memberTenantIdA}",
               "displayName": "Athens",
               "addedDateTime": "2023-11-20T21:24:59Z",
               "joinedDateTime": null,
               "addedByTenantId": "{ownerTenantId}",
               "role": "member",
               "state": "pending",
               "transitionDetails": {
                   "desiredState": "active",
                   "desiredRole": "member",
                   "status": "notStarted",
                   "details": null
               }
           }
       ]
   }
   

Шаг 4. Изменение роли клиента (необязательно)

Клиент владельца

По умолчанию клиенты, добавленные в мультитенантную организацию, являются клиентами-членами. При необходимости их можно изменить на арендаторов владельца, что позволяет добавлять других клиентов в мультитенантную организацию. Вы также можете изменить арендатор владельца на клиент-член.

PowerShell

1. В клиенте владельца используйте команду Update-MgBetaTenantRelationshipMultiTenantOrganizationTenantTenantTenant , чтобы изменить клиент-член на арендатор владельца.

   Update-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId $MemberTenantIdB -Role "Owner" | Format-List
   

2. Чтобы проверить это изменение, используйте команду Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant.

   Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId $MemberTenantIdB | Format-List
   

   AddedByTenantId      : <OwnerTenantId>
   AddedDateTime        : 1/8/2024 8:05:25 PM
   DeletedDateTime      :
   DisplayName          : Berlin
   Id                   : <MtoIdB>
   JoinedDateTime       :
   Role                 : owner
   State                : pending
   TenantId             : <MemberTenantIdB>
   TransitionDetails    : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails
   AdditionalProperties : {[@odata.context, https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/tenants/$entity],
                          [multiTenantOrgLabelType, none]}
   

Microsoft Graph

1. В клиенте владельца используйте API Update multiTenantOrganizationMember , чтобы изменить клиент-член на клиент владельца.

   Запросить

   PATCH https://graph.microsoft.com/beta/tenantRelationships/multiTenantOrganization/tenants/{memberTenantIdB}
   {
       "role": "owner"
   }
   

2. Используйте API Get multiTenantOrganizationMember для проверки изменения.

   Запросить

   GET https://graph.microsoft.com/beta/tenantRelationships/multiTenantOrganization/tenants/{memberTenantIdB}
   

   Response

   {
       "@odata.context": "https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/tenants/$entity",
       "tenantId": "{memberTenantIdB}",
       "displayName": "Berlin",
       "addedDateTime": "2023-11-20T21:22:35Z",
       "joinedDateTime": null,
       "addedByTenantId": "{ownerTenantId}",
       "role": "member",
       "state": "pending",
       "transitionDetails": {
           "desiredState": "active",
           "desiredRole": "owner",
           "status": "notStarted",
           "details": null
       } 
   }
   

3. Используйте API Update multiTenantOrganizationMember, чтобы изменить клиент владельца на клиент-член.

   Запросить

   PATCH https://graph.microsoft.com/beta/tenantRelationships/multiTenantOrganization/tenants/{memberTenantIdB}
   {
       "role": "member"
   }
   

Шаг 5. Удаление клиента-члена (необязательно)

Клиент владельца

Вы можете удалить любой клиент-член, включая свой собственный. Вы не можете удалить арендаторов владельца. Кроме того, вы не можете удалить исходный клиент создателя, даже если он был изменен с владельца на участника.

PowerShell

1. В клиенте владельца используйте команду Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenantTenantTenant , чтобы удалить любой клиент-член. Эта операция занимает несколько минут.

   Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId <MemberTenantIdD>
   

2. Чтобы проверить это изменение, используйте команду Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant.

   Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId <MemberTenantIdD>
   

   После завершения команды удаления выходные данные аналогичны приведенным ниже. Это ожидаемое сообщение об ошибке. Он указывает, что клиент был удален из мультитенантной организации.

   Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant_Get: Unable to read the company information from the directory.
   
   Status: 404 (NotFound)
   ErrorCode: Directory_ObjectNotFound
   Date: 2024-01-08T20:35:11
   
   ...
   

Microsoft Graph

1. В клиенте владельца используйте API Remove multiTenantOrganizationMember , чтобы удалить любой клиент-член. Эта операция занимает несколько минут.

   Запросить

   DELETE https://graph.microsoft.com/beta/tenantRelationships/multiTenantOrganization/tenants/{memberTenantIdD}
   

2. Используйте API Get multiTenantOrganizationMember для проверки изменения.

   Запросить

   GET https://graph.microsoft.com/beta/tenantRelationships/multiTenantOrganization/tenants/{memberTenantIdD}
   

   Если вы проверяете сразу после вызова API удаления, отобразится ответ, аналогичный приведенному ниже.

   Response

   {
       "@odata.context": "https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/tenants/$entity",
       "tenantId": "{memberTenantIdD}",
       "displayName": "Denver",
       "addedDateTime": "2023-11-20T20:56:05Z",
       "joinedDateTime": null,
       "addedByTenantId": "{ownerTenantId}",
       "role": "member",
       "state": "pending",
       "transitionDetails": {
           "desiredState": "removed",
           "desiredRole": "member",
           "status": "notStarted",
           "details": null
       }
   }
   

   После завершения операции удаления ответ аналогичен следующему. Это ожидаемое сообщение об ошибке. Он указывает, что клиент был удален из мультитенантной организации.

   Response

   {
       "error": {
           "code": "Directory_ObjectNotFound",
           "message": "Unable to read the company information from the directory.",
           "innerError": {
               "date": "2023-11-20T21:09:53",
               "request-id": "75216961-c21d-49ed-8c1f-2cfe51f920f1",
               "client-request-id": "0000aaaa-11bb-cccc-dd22-eeeeee333333"
           }
       }
   }
   

Шаг 6. Вход в клиент участника

Клиент-член

Клиент Каира создал мультитенантную организацию и добавил клиентов Берлина и Афин. В этих шагах вы войдете в клиент Берлина и присоединитесь к мультитенантной организации, созданной Каиром.

PowerShell

1. Запустите PowerShell.

2. Используйте команду Connect-MgGraph, чтобы войти в клиент-член и предоставить согласие на следующие необходимые разрешения.

   • MultiTenantOrganization.ReadWrite.All
   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess
   • Application.ReadWrite.All
   • Directory.ReadWrite.All

   Connect-MgGraph -TenantId $MemberTenantIdB -Scopes "MultiTenantOrganization.ReadWrite.All","Policy.Read.All","Policy.ReadWrite.CrossTenantAccess","Application.ReadWrite.All","Directory.ReadWrite.All"
   

Microsoft Graph

1. Запустите средство Microsoft Graph Explorer.

2. Войдите в клиент-член.

3. Выберите профиль и выберите "Согласие на разрешения".

4. Согласие на следующие необходимые разрешения.

   • MultiTenantOrganization.ReadWrite.All
   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess
   • Application.ReadWrite.All
   • Directory.ReadWrite.All

Шаг 7. Присоединение к мультитенантной организации

Клиент-член

PowerShell

1. В клиенте-члене используйте команду Update-MgBetaTenantRelationshipMultiTenantOrganizationJoinRequest для присоединения к мультитенантной организации.

   Update-MgBetaTenantRelationshipMultiTenantOrganizationJoinRequest -AddedByTenantId $OwnerTenantId | Format-List
   

2. Чтобы проверить соединение, используйте команду Get-MgBetaTenantRelationshipMultiTenantOrganizationJoinRequest.

   Get-MgBetaTenantRelationshipMultiTenantOrganizationJoinRequest | Format-List
   

   AddedByTenantId      : <OwnerTenantId>
   Id                   : <MtoJoinRequestIdB>
   MemberState          : active
   Role                 : member
   TransitionDetails    : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationJoinRequestTransitionDetails
   AdditionalProperties : {[@odata.context, https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/joinRequest/$entity]}
   

3. Используйте команду Get-MgBetaTenantRelationshipMultiTenantOrganizationTenantTenant, чтобы проверить саму мультитенантную организацию. Он должен отражать операцию соединения.

   Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant | Format-List
   

   AddedByTenantId      : <OwnerTenantId>
   AddedDateTime        : 1/8/2024 8:05:25 PM
   DeletedDateTime      :
   DisplayName          : Berlin
   Id                   : <MtoJoinRequestIdB>
   JoinedDateTime       : 1/8/2024 9:53:55 PM
   Role                 : member
   State                : active
   TenantId             : <MemberTenantIdB>
   TransitionDetails    : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails
   AdditionalProperties : {[multiTenantOrgLabelType, none]}
   
   AddedByTenantId      : <OwnerTenantId>
   AddedDateTime        : 1/8/2024 7:47:45 PM
   DeletedDateTime      :
   DisplayName          : Cairo
   Id                   : <Id>
   JoinedDateTime       :
   Role                 : owner
   State                : active
   TenantId             : <OwnerTenantId>
   TransitionDetails    : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails
   AdditionalProperties : {[multiTenantOrgLabelType, none]}
   

4. Чтобы разрешить асинхронную обработку, подождите до 2 часов , прежде чем присоединиться к мультитенантной организации.

Microsoft Graph

1. В клиенте-члене используйте API Update multiTenantOrganizationJoinRequestRecord для присоединения к мультитенантной организации.

   Запросить

   PATCH https://graph.microsoft.com/beta/tenantRelationships/multiTenantOrganization/joinRequest
   {
       "addedByTenantId": "{ownerTenantId}"
   }
   

2. Используйте API Get multiTenantOrganizationJoinRequestRecord для проверки соединения.

   Запросить

   GET https://graph.microsoft.com/beta/tenantRelationships/multiTenantOrganization/joinRequest
   

   Эта операция занимает несколько минут. Если вы проверяете сразу после вызова API для присоединения, ответ будет аналогичен следующему.

   Response

   {
       "@odata.context": "https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/joinRequest/$entity",
       "id": "aa87e8a4-9c88-4e67-971d-79c9e43319a3",
       "addedByTenantId": "{ownerTenantId}",
       "memberState": "pending",
       "role": null,
       "transitionDetails": {
           "desiredMemberState": "active",
           "status": "notStarted",
           "details": ""
       }
   }
   

   После завершения операции соединения ответ аналогичен следующему.

   Response

   {
       "@odata.context": "https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/joinRequest/$entity",
       "id": "aa87e8a4-9c88-4e67-971d-79c9e43319a3",
       "addedByTenantId": "{ownerTenantId}",
       "memberState": "active",
       "role": "member",
       "transitionDetails": null
   }
   

3. Используйте API List multiTenantOrganizationMembers для проверки самой мультитенантной организации. Он должен отражать операцию соединения.

   Запросить

   GET https://graph.microsoft.com/beta/tenantRelationships/multiTenantOrganization/tenants
   

   Response

   {
       "@odata.context": "https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/tenants",
       "value": [
           {
               "tenantId": "{memberTenantIdA}",
               "displayName": "Athens",
               "addedDateTime": "2023-11-20T21:24:59Z",
               "joinedDateTime": "2023-11-21T22:09:18Z",
               "addedByTenantId": "{ownerTenantId}",
               "role": "member",
               "state": "active",
               "transitionDetails": null
           },
           {
               "tenantId": "{memberTenantIdB}",
               "displayName": "Berlin",
               "addedDateTime": "2023-11-20T21:22:35Z",
               "joinedDateTime": "2023-11-21T21:55:34Z",
               "addedByTenantId": "{ownerTenantId}",
               "role": "member",
               "state": "active",
               "transitionDetails": null
           },
           {
               "tenantId": "{ownerTenantId}",
               "displayName": "Cairo",
               "addedDateTime": "2023-11-20T20:38:20Z",
               "joinedDateTime": null,
               "addedByTenantId": "{ownerTenantId}",
               "role": "owner",
               "state": "active",
               "transitionDetails": null
           }
       ]
   }
   

4. Чтобы разрешить асинхронную обработку, подождите до 2 часов , прежде чем присоединиться к мультитенантной организации.

Шаг 8. (Необязательно) Оставьте мультитенантную организацию

Клиент-член

Вы можете оставить мультитенантную организацию, присоединенную к ней. Процесс удаления собственного клиента из мультитенантной организации совпадает с процессом удаления другого клиента из мультитенантной организации.

Если клиент является единственным мультитенантным владелец организации, необходимо назначить нового клиента мультитенантным владелец организации. Инструкции см. в шаге 4. Изменение роли клиента (необязательно).

PowerShell

• В клиенте используйте команду Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenantTenantTenant Для удаления клиента. Эта операция занимает несколько минут.

  Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId <MemberTenantId>
  

Microsoft Graph

• В клиенте используйте API Remove multiTenantOrganizationMember для удаления клиента. Эта операция занимает несколько минут.

  Запросить

  DELETE https://graph.microsoft.com/beta/tenantRelationships/multiTenantOrganization/tenants/{memberTenantId}
  

Шаг 9. Удаление мультитенантной организации (необязательно)

Клиент владельца

Удаление мультитенантной организации путем удаления всех клиентов. Процесс удаления конечного клиента владельца совпадает с процессом удаления всех остальных клиентов-участников.

PowerShell

• В конечном клиенте владельца используйте команду Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenantTenantTenant Для удаления клиента. Эта операция занимает несколько минут.

  Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId $OwnerTenantId
  

Microsoft Graph

• В конечном клиенте владельца используйте API Remove multiTenantOrganizationMember для удаления клиента. Эта операция занимает несколько минут.

  Запросить

  DELETE https://graph.microsoft.com/beta/tenantRelationships/multiTenantOrganization/tenants/{ownerTenantId}
  

Следующие шаги

• Настройка мультитенантной организации в Microsoft 365
• Синхронизация пользователей в мультитенантных организациях в Microsoft 365
• Новый классический клиент Microsoft Teams
• Настройка многотенантных шаблонов организации с помощью API Microsoft Graph