Поделиться через

Планирование мультитенантных организаций в Microsoft 365

  • Статья

Примечание.

Мультитенантные организации недоступны в Microsoft 365 для Китая (управляется компанией 21Vianet). Если ваша организация управляет несколькими клиентами Microsoft 365, вы можете настроить мультитенантную организацию в Microsoft 365, чтобы упростить совместную работу и доступ к ресурсам между клиентами. Создание мультитенантной организации и синхронизация пользователей между клиентами обеспечивают более удобную совместную работу пользователей в разных клиентах при поиске друг друга, использовании Microsoft Teams и собраниях, а также совместной работе над файлами.

Клиент, создающий мультитенантную организацию, называется владельцем , а другие клиенты, которые присоединяются к мультитенантной организации, называются участниками. После того как глобальный администратор в клиенте владельца создаст мультитенантную организацию, он может пригласить клиентов-участников. Затем глобальный администратор в каждом клиенте-участнике может присоединиться к мультитенантной организации.

Важно!

Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.

Хотя вы настраиваете мультитенантные организации Microsoft 365 в Центре администрирования Microsoft 365, большая часть вспомогательной инфраструктуры находится в Идентификаторе Microsoft Entra. Дополнительные сведения о том, как мультитенантные организации работают в Microsoft Entra ID, см. в разделах Что такое мультитенантная организация в Microsoft Entra ID? и Топологии для синхронизации между клиентами.

Синхронизация пользователей между клиентами

Мультитенантные организации синхронизируют пользователей между клиентами с помощью пользователей совместной работы Microsoft Entra B2B. Пользователи из вашего клиента подготавливаются в других клиентах в мультитенантной организации в качестве пользователей совместной работы B2B, но с типом пользователя участника, а не гостя. (Различия между этими ролями см. в разделе Какие разрешения пользователя по умолчанию в Microsoft Entra ID? Тип пользователя-участника является обязательным для Teams в мультитенантных организациях.

Мы рекомендуем начать с небольшого набора пользователей перед развертыванием во всей организации. При выполнении полного развертывания настоятельно рекомендуется синхронизировать всех пользователей во всех клиентах в вашей мультитенантной организации для оптимального взаимодействия с пользователем. Однако при необходимости можно синхронизировать подмножество пользователей, включая разных пользователей с разными клиентами.

При настройке синхронизации пользователей в Центре администрирования Microsoft 365 одни и те же пользователи синхронизируются со всеми клиентами в мультитенантной организации. Синхронизацию разных пользователей с разными клиентами необходимо настроить с помощью идентификатора Microsoft Entra.

После настройки синхронизации пользователей можно настроить параметры синхронизации, включая область пользователя и сопоставление атрибутов, в идентификаторе Microsoft Entra. (Хотя вы можете создать несколько конфигураций синхронизации между клиентами для одного внешнего клиента, рекомендуется использовать только одну из них, чтобы упростить администрирование.) Дополнительные сведения см. в разделе Настройка межтенантной синхронизации.

Существующие конфигурации синхронизации между клиентами

Если у вас есть конфигурации синхронизации между клиентами в Microsoft Entra ID, они продолжают работать после настройки мультитенантной организации в Microsoft 365. Эти конфигурации можно использовать для синхронизации пользователей в мультитенантной организации Microsoft 365. (Обратите внимание, что Центр администрирования Microsoft 365 не распознает эти конфигурации, а состояние исходящей синхронизации будет отображаться как не настроено.)

Если у вас уже есть пользователи-члены B2B, синхронизированные с клиентами, входящими в MTO, эти пользователи сразу же станут участниками MTO после создания MTO.

Вы можете синхронизировать пользователей между клиентами с помощью Центра администрирования Microsoft 365. При этом будут созданы новые конфигурации синхронизации между клиентами в Microsoft Entra ID. Как новые, так и ранее существующие конфигурации будут запускаться и синхронизировать указанных пользователей.

Рекомендуется использовать только одну конфигурацию для синхронизации пользователей с заданным клиентом. Если вы хотите синхронизировать одинаковых пользователей с каждым клиентом, настройте синхронизацию в Центре администрирования Microsoft 365. Если вы хотите синхронизировать разных пользователей с разными клиентами, настройте синхронизацию в идентификаторе Microsoft Entra.

Параметры доступа между клиентами в Идентификаторе Microsoft Entra

При создании новой мультитенантной организации или присоединении к существующей организации другие организации в мультитенантной организации добавляются в параметры доступа между клиентами Microsoft Entra в вашем клиенте.

Если у вас уже настроено организационное отношение в идентификаторе Microsoft Entra с клиентом, который вы добавляете в мультитенантную организацию, существующая конфигурация обновляется следующим образом:

  • Параметры синхронизации входящего трафика между клиентами обновлены, чтобы разрешить пользователям синхронизироваться с вашим клиентом.
  • Параметры исходящего доверия обновляются, поэтому пользователям из этого клиента не нужно принимать запрос согласия при первом доступе к другому клиенту с помощью синхронизации между клиентами, совместной работы B2B или прямого подключения B2B (общие каналы).

Мы рекомендуем проверить параметры совместной работы B2B на наличие уже существующих организационных связей, чтобы убедиться, что соответствующие пользователи и приложения разрешены.

Новый классический клиент Microsoft Teams

Для оптимальной работы в мультитенантных организациях пользователям нужен новый классический клиент Microsoft Teams. С помощью нового классического клиента Teams пользователи могут:

  • Получение уведомлений в режиме реального времени от всех клиентов в мультитенантной организации
  • Участвуйте в чатах, собраниях и звонках для всех клиентов, не переходя из звонка или собрания для переключения клиентов.
  • Задайте их состояние для каждой учетной записи и организации по отдельности.
  • Карточка профиля пользователя с именем организации и адресом электронной почты

Чтобы определить, какие пользователи могут использовать новый классический клиент Teams, используйте политики обновления Teams. Дополнительные сведения см. в статье Развертывание новых Teams с помощью политик.

Доверенные организации с внешним доступом

Внешний доступ требуется для чатов и звонков между клиентами. Внешний доступ для пользователей Teams и Skype для бизнеса во внешних организациях должен быть настроен для каждого клиента в вашей мультитенантной организации и должен разрешать домены всех клиентов в вашей мультитенантной организации. Кроме того, всем пользователям, которые синхронизируются между клиентами, необходимо включить внешний доступ с помощью Teams и пользователей Skype для бизнеса во внешних организациях. Дополнительные сведения см. в статье Управление внешними собраниями и чат с людьми и организациями с помощью удостоверений Майкрософт.

Общие каналы в мультитенантных организациях

Использование общих каналов в Teams с другими клиентами в мультитенантной организации работает так же, как и использование общих каналов с любой другой внешней организацией. Хотя отношения между организациями в Идентификаторе Microsoft Entra настроены как часть конфигурации мультитенантной организации, по-прежнему необходимо включить общие каналы в Teams и настроить параметры прямого подключения B2B в Microsoft Entra ID. Дополнительные сведения см . в статье Совместная работа с внешними участниками в общем канале.

Требования лицензирования

Для использования функции мультитенантной организации требуются лицензии Microsoft Entra ID P1 или выше во всех клиентах мультитенантной организации. Дополнительные сведения см. в разделе Требования к лицензированию для мультитенантной организации Entra. Если вы планируете использовать межтенантную синхронизацию Entra через Центр администрирования Microsoft 365 или Microsoft Entra ID, также см. раздел Требования к лицензированию синхронизации между клиентами Entra.

Ограничения для мультитенантных организаций в Microsoft 365

Ниже перечислены ограничения мультитенантных организаций в Microsoft 365:

  • Поддерживается не более 100 клиентов в мультитенантной организации.
  • Teams в Интернете, комнаты Microsoft Teams (MTR) и VDI/AVD не поддерживаются.
  • Возможность предоставления или отзыва разрешения на получение уведомлений от других клиентов и переключение между клиентами не поддерживается на мобильных устройствах.
  • Ссылки пользователей в вашей организации могут не работать для пользователей из другого клиента, если их учетная запись изначально была гостевым и ранее имела доступ к ресурсам SharePoint.
  • После синхронизации пользователя в поиске может потребоваться до семи дней. Обратитесь в службу поддержки Майкрософт, если пользователи недоступны для поиска по истечении семи дней.
  • Поддержка гостевого userType участника в Power BI в настоящее время доступна в предварительной версии. Дополнительные сведения см. в статье Распространение содержимого Power BI для внешних гостевых пользователей с помощью Microsoft Entra B2B.

Если вы хотите добавить более 100 клиентов, обратитесь в службу поддержки Майкрософт.

Дополнительные ограничения см . в разделе Ограничения в мультитенантных организациях.

Настройка мультитенантной организации или присоединение к ней

Сведения о настройке новой мультитенантной организации, в которой владелец клиента, см. в статье Настройка мультитенантной организации в Microsoft 365.

Чтобы присоединиться к существующей мультитенантной организации в качестве клиента-участника, см. статью Присоединение к мультитенантной организации в Microsoft 365 или выход из нее.

Настройка межтенантной синхронизации с помощью PowerShell или API Microsoft Graph

Синхронизация пользователей в мультитенантных организациях в Microsoft 365