Возможности мультитенантной организации в идентификаторе Microsoft Entra

В этой статье представлен обзор сценария мультитенантной организации и связанных возможностей в идентификаторе Microsoft Entra.

Что такое мультитенантный сценарий организации?

Сценарий мультитенантной организации возникает, когда организация имеет несколько экземпляров клиента идентификатора Microsoft Entra. Ниже приведены основные причины, по которым у организации может быть несколько клиентов:

• Конгломерат: организации с несколькими дочерними или бизнес-подразделениями, которые работают независимо.
• Слияния и приобретения: организации, которые объединяют или получают компании.
• Действия по дивституре. В рамках погружения одна организация отделяет часть своего бизнеса, чтобы сформировать новую организацию или продать ее существующей организации.
• Несколько облаков: организации, имеющие соответствие требованиям или нормативные требования, должны существовать в нескольких облачных средах.
• Несколько географических границ: организации, работающие в нескольких географических расположениях с различными правилами проживания.
• Тестирование или промежуточное размещение клиентов: организации, которым требуется несколько клиентов для тестирования или промежуточного хранения, прежде чем развертывать более широко в первичных клиентах.
• Отдел или сотрудники, созданные клиентами: организации, в которых отделы или сотрудники создали арендаторы для разработки, тестирования или отдельного элемента управления.

Что такое клиент Microsoft Entra?

Клиент — это экземпляр идентификатора Microsoft Entra, в котором сведения о одной организации находятся в том числе объекты организации, такие как пользователи, группы и устройства, а также регистрации приложений, такие как Microsoft 365 и сторонние приложения. Клиент также содержит политики доступа и соответствия ресурсам, таким как приложения, зарегистрированные в каталоге. Основные функции, обслуживаемые клиентом, включают проверку подлинности удостоверения, а также управление доступом к ресурсам.

С точки зрения Microsoft Entra клиент формирует область управления удостоверениями и доступом. Например, администратор клиента делает приложение доступным для некоторых или всех пользователей в клиенте и применяет политики доступа к этому приложению для пользователей в этом клиенте. Кроме того, клиент содержит данные фирменной символики организации, которые управляют взаимодействием с конечными пользователями, например домены электронной почты организаций и URL-адреса SharePoint, используемые сотрудниками в этой организации. С точки зрения Microsoft 365 клиент формирует границу совместной работы и лицензирования по умолчанию. Например, пользователи в Microsoft Teams или Microsoft Outlook могут легко находить и сотрудничать с другими пользователями в клиенте, но не имеют возможности находить или видеть пользователей в других клиентах.

Клиенты содержат привилегированные корпоративные данные и безопасно изолированы от других клиентов. Кроме того, клиенты могут быть настроены на сохранение и обработку данных в определенном регионе или облаке, что позволяет организациям использовать арендаторы в качестве механизма для удовлетворения требований к месту расположения данных и обработки требований к соответствию.

Многотенантные проблемы

Возможно, ваша организация недавно приобрела новую компанию, объединилась с другой компанией или реструктурировалась на основе недавно сформированных бизнес-подразделений. Если у вас есть разрозненные системы управления удостоверениями, может оказаться сложной задачей для пользователей в разных клиентах для доступа к ресурсам и совместной работе.

На следующей схеме показано, как пользователи в других клиентах могут не иметь доступа к приложениям между клиентами в вашей организации.

По мере развития организации ИТ-отдел должен адаптироваться к изменяющимся потребностям. Это часто включает интеграцию с существующим клиентом или формирование новой. Независимо от того, как управляется инфраструктура удостоверений, важно, чтобы пользователи имели простой доступ к ресурсам и совместной работе. Сегодня вы можете использовать пользовательские скрипты или локальные решения для объединения клиентов, чтобы обеспечить простой интерфейс между клиентами.

Мультитенантные возможности для мультитенантных организаций

Мультитенантные организации в Идентификаторе Microsoft Entra предоставляют портфель мультитенантных возможностей, которые можно использовать для безопасного взаимодействия с пользователями в организации нескольких клиентов, а также для автоматической подготовки и управления этими пользователями в клиентах.

Некоторые из этих мультитенантных возможностей совместно используют общий стек технологий с Внешняя идентификация Microsoft Entra для бизнес-гостей и подготовки приложений в идентификаторе Microsoft Entra ID, поэтому часто можно найти перекрестные ссылки на эти другие области. Microsoft 365 for Enterprise использует мультитенантные возможности для обеспечения или упрощения простого мультитенантного взаимодействия в Microsoft Teams и в приложениях Microsoft 365.

Следующий набор мультитенантных возможностей поддерживает потребности мультитенантных организаций:

• Параметры доступа между клиентами— управляет тем, как клиент разрешает или запрещает доступ к клиенту из других клиентов в вашей организации или наоборот. Они управляют совместной работой B2B, прямым подключением B2B, синхронизацией между клиентами и указывают, является ли другой клиент вашей организации частью мультитенантной организации.

• Прямое подключение B2B — устанавливает взаимное двустороннее доверие с другим клиентом Microsoft Entra для эффективной совместной работы. Пользователи прямого подключения B2B не представлены в каталоге, но они отображаются в Teams для совместной работы в общих каналах Teams.

• Совместная работа B2B — предоставляет доступ к приложениям для внешних пользователей и совместную работу. Пользователи совместной работы B2B представлены в каталоге. Они доступны в Microsoft Teams для совместной работы, если они включены. Они также доступны в приложениях Microsoft 365.

• Синхронизация между клиентами — предоставляет службу синхронизации , которая автоматизирует создание, обновление и удаление пользователей совместной работы B2B в организации нескольких клиентов. Служба может использоваться для области поиска пользователей Microsoft 365 в целевых клиентах. Служба управляется параметрами синхронизации между клиентами в параметрах доступа между клиентами.

• Поиск мультитенантных пользователей Microsoft 365 — совместная работа с пользователями совместной работы B2B. Если отображается в списке адресов, пользователи совместной работы B2B доступны как контакты в Outlook. При повышении уровня "Член пользователя" пользователи участников совместной работы B2B доступны в большинстве приложений Microsoft 365.

• Мультитенантная организация — определяет границу вокруг клиентов Microsoft Entra, принадлежащих вашей организации, с помощью потока приглашения и принятия. В сочетании с подготовкой участников B2B обеспечивает простой интерфейс совместной работы в приложениях Microsoft Teams и Microsoft 365, таких как Microsoft Viva Engage. Параметры доступа между клиентами предоставляют флаг для клиентов мультитенантной организации.

• Центр администрирования Microsoft 365 для мультитенантной совместной работы. Предоставляет интуитивно понятный интерфейс портала администрирования для создания мультитенантной организации. Для небольших мультитенантных организаций также предоставляет упрощенную возможность синхронизации пользователей с мультитенантными клиентами организации в качестве альтернативы использованию Центра администрирования Microsoft Entra.

В следующих разделах подробно описаны все эти возможности.

Параметры доступа между клиентами

Администраторы клиентов Microsoft Entra, оставающиеся под контролем своих ресурсов с областью клиента, являются руководящим принципом, даже в организации нескольких клиентов. Таким образом, параметры доступа между клиентами требуются для каждой связи между клиентами и клиентами, а администраторы клиентов явно настраивают каждую связь доступа между клиентами по мере необходимости.

На следующей схеме показаны основные возможности межтенантного доступа к входящим и исходящим параметрам.

Дополнительные сведения см. в обзоре доступа между клиентами.

Прямое соединение B2B

Чтобы пользователи между клиентами могли совместно работать в Teams Связи общих каналах, можно использовать прямое подключение Microsoft Entra B2B. Прямое подключение B2B — это функция внешнего идентификатора, которая позволяет настроить отношения взаимного доверия с другим клиентом Microsoft Entra для эффективного совместной работы в Teams. При установке доверия пользователь прямого подключения B2B имеет доступ к единому входу с использованием учетных данных из своего домашнего клиента.

Ниже приведено основное ограничение с использованием прямого подключения B2B между несколькими клиентами:

• В настоящее время прямое подключение B2B работает только с Teams Связи общими каналами.

Дополнительные сведения см. в обзоре прямого подключения B2B.

служба совместной работы Azure AD B2B;

Для совместной работы пользователей между клиентами можно использовать совместную работу Microsoft Entra B2B. Совместная работа B2B — это функция внешнего идентификатора, которая позволяет приглашать гостевых пользователей для совместной работы с вашей организацией. После активации приглашения или завершения регистрации внешний пользователь будет представлен в клиенте как объект пользователя. Благодаря совместной работе B2B вы можете безопасно обмениваться приложениями и службами клиента с внешними пользователями, сохраняя контроль над данными клиента.

Ниже приведены основные ограничения для совместной работы B2B в нескольких клиентах:

• Администраторы должны приглашать пользователей с помощью процесса приглашения B2B или создавать интерфейс подключения с помощью диспетчера приглашений для совместной работы B2B.
• Администраторам может потребоваться синхронизировать пользователей с помощью пользовательских скриптов.
• В зависимости от параметров автоматического активации пользователям может потребоваться принять запрос согласия и следовать процессу активации в каждом клиенте.

Дополнительные сведения см. в статье Предварительная версия службы совместной работы B2B: простая и надежная облачная интеграция партнеров.

Синхронизация клиентов

Если вы хотите, чтобы пользователи могли работать более эффективно в разных клиентах, можно использовать синхронизацию между клиентами в идентификаторе Microsoft Entra. Синхронизация между клиентами — это односторонняя служба синхронизации в идентификаторе Microsoft Entra, которая автоматизирует создание, обновление и удаление пользователей совместной работы B2B в организации. Синхронизация между клиентами основана на функциональных возможностях совместной работы B2B и использует существующие параметры доступа между клиентами B2B. Пользователи представлены в целевом клиенте как объект пользователя совместной работы B2B.

Ниже приведены основные преимущества при использовании межтенантной синхронизации:

• Автоматически создавайте пользователей совместной работы B2B в организации и предоставляйте им доступ к приложениям, которые им нужны, без создания и поддержания пользовательских скриптов.
• Улучшайте взаимодействие с пользователем и убедитесь, что пользователи могут получать доступ к ресурсам, не получая электронное письмо с приглашением и принимая запрос на согласие в каждом клиенте.
• Автоматически обновите пользователей и удалите их при выходе из организации.

Ниже приведены основные ограничения с использованием межтенантной синхронизации между несколькими клиентами:

• После синхронизации для пользователей будут доступны те же интерфейсы Teams и Microsoft 365, что и для любого другого пользователя службы совместной работы B2B.
• Не синхронизирует группы, устройства или контакты.

Дополнительные сведения см. в разделе "Что такое синхронизация между клиентами?".

Поиск мультитенантных пользователей Microsoft 365

Теперь пользователи совместной работы B2B могут быть включены для совместной работы в Microsoft 365 за пределами известного гостевого пользователя службы совместной работы B2B.

Многотенантный поиск пользователей организации — это функция совместной работы, которая позволяет выполнять поиск и обнаружение людей в нескольких клиентах. Если отображается в списке адресов, пользователи совместной работы B2B доступны как контакты в Outlook. Помимо отображения в списке адресов, если более высокий уровень до участника типа пользователя, пользователи участников совместной работы B2B доступны в большинстве приложений Microsoft 365.

Ниже приведены основные преимущества использования поиска пользователей Microsoft 365 в нескольких клиентах:

• Пользователи совместной работы B2B могут быть доступны для совместной работы в Outlook. Это можно включить с помощью свойства showInAddressList значение true для пользователей почты Exchange Online в клиенте узла или с помощью синхронизации между клиентами из исходного клиента.
• Пользователи службы совместной работы B2B, уже отображаемые в списках адресов, могут быть доступны для совместной работы в большинстве приложений Microsoft 365 с помощью свойства userType , заданного в качестве участника, управляемого в Центре администрирования Microsoft Entra узла или с помощью синхронизации между клиентами из исходного клиента.

Ниже приведены основные ограничения использования поиска пользователей Microsoft 365 в нескольких клиентах:

• Для совместной работы в большинстве приложений Microsoft 365 пользователь совместной работы B2B должен отображаться в списках адресов, а также иметь тип "Член пользователя".
• Дополнительные ограничения списка адресов см. в разделе "Ограничения глобального списка адресов" в мультитенантных организациях.

Дополнительные сведения см. в статье о многотенантном поиске пользователей Microsoft 365.

Мультитенантная организация

Мультитенантная организация — это функция в идентификаторе Microsoft Entra и Microsoft 365, которая позволяет определить границу вокруг клиентов Microsoft Entra, принадлежащих вашей организации. В каталоге она принимает форму группы клиентов, представляющей вашу организацию. Каждая пара клиентов в группе управляется параметрами доступа между клиентами, которые можно использовать для настройки совместной работы B2B.

Ниже приведены основные преимущества мультитенантной организации:

• Дифференцировать внешних пользователей в организации и вне организации
• Улучшенный интерфейс совместной работы в новой версии Microsoft Teams
• Улучшенный интерфейс совместной работы в Viva Engage

Ниже приведены основные ограничения с использованием мультитенантной организации:

• Если у вас уже есть пользователи участников совместной работы B2B в клиентах, которые являются частью мультитенантной организации, эти пользователи сразу же станут участниками мультитенантной организации при создании мультитенантной организации. Таким образом, приложения с мультитенантными организациями распознают существующих пользователей участников совместной работы B2B как мультитенантных пользователей организации.
• Улучшенная совместная работа Microsoft Teams зависит от взаимной подготовки пользователей службы совместной работы B2B.
• Улучшенная совместная работа Viva Engage зависит от централизованной подготовки участников совместной работы B2B.
• Дополнительные ограничения см. в разделе "Ограничения" в мультитенантных организациях.

Дополнительные сведения см. в разделе "Что такое мультитенантная организация в идентификаторе Microsoft Entra ID?".

Центр администрирования Microsoft 365 для мультитенантной совместной работы

Центр администрирования Microsoft 365 для мультитенантной совместной работы предоставляет интуитивно понятный интерфейс портала администрирования для создания мультитенантной организации.

• Создайте мультитенантную организацию в Центр администрирования Microsoft 365.

После создания мультитенантной организации корпорация Майкрософт предлагает два метода подготовки сотрудников в соседние мультитенантные клиенты организации в масштабе.

• Для корпоративных организаций с сложными топологиями удостоверений рекомендуется использовать синхронизацию между клиентами в идентификаторе Microsoft Entra. Синхронизация между клиентами очень настраивается и позволяет подготавливать любую топологию многоуровневых удостоверений.
• Для небольших мультитенантных организаций, где сотрудники должны быть подготовлены ко всем клиентам, рекомендуется оставаться в Центр администрирования Microsoft 365 одновременно синхронизировать пользователей с несколькими клиентами мультитенантной организации.

Если у вас уже есть собственный механизм подготовки пользователей, вы можете воспользоваться новыми преимуществами мультитенантной организации, продолжая использовать собственный механизм для управления жизненным циклом сотрудников.

Ниже приведены основные преимущества использования Центр администрирования Microsoft 365 для создания мультитенантной организации и подготовки сотрудников.

• Центр администрирования Microsoft 365 предоставляет графический интерфейс пользователя для создания мультитенантной организации.
• Центр администрирования Microsoft 365 предварительно настроит ваши клиенты для автоматического активации приглашений на совместную работу B2B.
• Центр администрирования Microsoft 365 предварительно настроит ваши клиенты для входящего синхронизации пользователей, хотя использование синхронизации между клиентами остается необязательным.
• Центр администрирования Microsoft 365 позволяет легко подготавливать сотрудников в нескольких клиентах мультитенантной организации.

Ниже приведены основные ограничения с помощью Центр администрирования Microsoft 365 для создания мультитенантной организации или подготовки сотрудников:

• Центр администрирования Microsoft 365 предварительно настраивает, но не запускает задания синхронизации между клиентами, даже если вы планируете использовать синхронизацию между клиентами в Центре администрирования Microsoft Entra.
• Сложные топологии удостоверений, такие как многоуровневые, многофакторные системы, лучше подготавливаются с помощью синхронизации между клиентами на портале администрирования Microsoft Entra.

Дополнительные сведения см. в статье о мультитенантной совместной работе Microsoft 365.

Сравнение мультитенантных возможностей

В зависимости от потребностей вашей организации можно использовать любое сочетание прямого подключения B2B, совместной работы B2B, синхронизации между клиентами и мультитенантной организации. Прямое подключение B2B и совместная работа B2B являются независимыми возможностями, а межтенантная синхронизация и мультитенантная организация не зависят друг от друга, хотя оба используют базовую совместную работу B2B.

В следующей таблице сравниваются возможности каждой функции. Дополнительные сведения о различных сценариях внешних удостоверений см. в разделе "Сравнение наборов функций внешнего идентификатора".

	Прямое соединение B2B (внешняя или внутренняя организация)	служба совместной работы Azure AD B2B; (внешняя или внутренняя организация)	Синхронизация клиентов (внутренняя организация)	Мультитенантная организация (внутренняя организация)
Целевые назначения	Пользователи могут получить доступ к Teams Связи общим каналам, размещенным во внешних клиентах.	Пользователи могут получать доступ к приложениям и ресурсам, размещенным во внешних клиентах, как правило, с ограниченными привилегиями гостя. В зависимости от параметров автоматического активации пользователям может потребоваться принять запрос согласия в каждом клиенте.	Пользователи могут легко получать доступ к приложениям и ресурсам в одной организации, даже если они размещаются в разных клиентах.	Пользователи могут более легко сотрудничать в мультитенантной организации в новых Teams и Viva Engage.
Value	Включает внешнюю совместную работу только в Teams Связи общих каналов. Удобнее для администраторов, так как им не нужно управлять пользователями B2B.	Включает внешнюю совместную работу. Дополнительные возможности контроля и мониторинга для администраторов, управляя пользователями совместной работы B2B. Администраторы могут ограничить доступ, которым эти внешние пользователи должны иметь свои приложения или ресурсы.	Обеспечивает возможность совместной работы между клиентами организации. Администраторам не нужно вручную приглашать пользователей и синхронизировать их между клиентами, чтобы обеспечить непрерывный доступ к приложениям и ресурсам в организации.	Обеспечивает возможность совместной работы между клиентами организации. Администраторы по-прежнему имеют полную возможность настройки с помощью параметров доступа между клиентами. Необязательные шаблоны доступа между клиентами позволяют предварительно настроить параметры доступа между клиентами.
Рабочий процесс основного администратора	Настройте межтенантный доступ для предоставления внешним пользователям входящего доступа к клиенту учетных данных для своего домашнего клиента.	Добавьте внешних пользователей в клиент ресурсов с помощью процесса приглашения B2B или создайте собственный интерфейс подключения с помощью диспетчера приглашений для совместной работы B2B.	Настройте подсистему синхронизации между клиентами для синхронизации пользователей между несколькими клиентами в качестве пользователей совместной работы B2B.	Создайте мультитенантную организацию, добавьте (пригласить) клиентов, присоединитесь к мультитенантной организации. Используйте существующих пользователей совместной работы B2B или используйте синхронизацию между клиентами для подготовки пользователей совместной работы B2B.
Уровень доверия	Средний доверие. Пользователи прямых подключений B2B менее легко отслеживать, а также управлять определенным уровнем доверия с внешней организацией.	Низкий до середины доверия. Пользовательские объекты можно легко отслеживать и управлять с помощью детализированных элементов управления.	Высокий уровень доверия. Все клиенты являются частью одной организации, и пользователи обычно получают доступ к всем приложениям и ресурсам.	Высокий уровень доверия. Все клиенты являются частью одной организации, и пользователи обычно получают доступ к всем приложениям и ресурсам.
Влияние на пользователей	Пользователи получают доступ к клиенту ресурсов с помощью учетных данных для своего домашнего клиента. Объекты пользователей не создаются в клиенте ресурсов.	Внешние пользователи добавляются в клиент как пользователи совместной работы B2B.	В той же организации пользователи синхронизируются с домашним клиентом с клиентом ресурсов в качестве пользователей службы совместной работы B2B.	В той же мультитенантной организации пользователи совместной работы B2B, особенно пользователи-члены, получают преимущества от расширенной, простой совместной работы в Microsoft 365.
Тип пользователя	Пользователь прямого подключения B2B - N/A	Пользователь совместной работы B2B - Внешний член — внешний гостевой (по умолчанию)	Пользователь совместной работы B2B — внешний элемент (по умолчанию) - Внешний гость	Пользователь совместной работы B2B — внешний элемент (по умолчанию) - Внешний гость

На следующей схеме показано, как можно использовать возможности прямого подключения B2B, совместной работы B2B и межтенантной синхронизации.

Терминология

Чтобы лучше понять сценарии многотенантной организации, связанные с возможностями Microsoft Entra, можно вернуться к следующему списку терминов.

Термин	Определение
tenant	Экземпляр идентификатора Microsoft Entra.
organization	Верхний уровень бизнес-иерархии.
мультитенантная организация	Организация с несколькими экземплярами идентификатора Microsoft Entra ID, а также возможность группировать эти экземпляры в идентификаторе Microsoft Entra.
клиент creator	Клиент, создавший мультитенантную организацию.
клиент владельца	Клиент с ролью владельца. Изначально клиент создателя.
добавлен клиент	Клиент, добавленный клиентом владельца.
клиент соединения	Клиент, присоединяющийся к мультитенантной организации.
запрос на присоединение	Присоединенный или добавленный клиент отправляет запрос на присоединение к мультитенантной организации.
ожидающий клиент	Клиент, добавленный владельцем, но он еще не присоединился.
активный клиент	Клиент, создавший или присоединившийся к мультитенантной организации.
клиент-член	Клиент с ролью участника. Большинство клиентов соединения начинаются как члены.
Клиент мультитенантной организации	Активный клиент мультитенантной организации, а не ожидающий.
синхронизация между клиентами	Односторонняя служба синхронизации в идентификаторе Microsoft Entra, которая автоматизирует создание, обновление и удаление пользователей совместной работы B2B в организации.
параметры доступа между клиентами	Параметры управления совместной работой для определенных организаций Microsoft Entra.
Шаблон параметров доступа между клиентами	Необязательный шаблон для предварительной настройки параметров доступа между клиентами, применяемых к любому клиенту партнера, недавно присоединенному к мультитенантной организации.
Параметры организации	Параметры доступа между клиентами для определенных организаций Microsoft Entra.
настройка	Приложение и базовый субъект-служба в идентификаторе Microsoft Entra, который включает параметры (например, целевой клиент, область пользователя и сопоставления атрибутов), необходимые для синхронизации между клиентами.
Подготовка	Процесс автоматического создания или синхронизации объектов через границу.
автоматическое активация	Параметр B2B для автоматического активации приглашений, поэтому только что созданные пользователи не получают приглашение по электронной почте или должны принять запрос согласия при добавлении в целевой клиент.

Следующие шаги

• Что такое мультитенантная организация в идентификаторе Microsoft Entra?
• Что такое синхронизация между клиентами?