你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

了解多个 Azure Active Directory 租户组织如何交互

在属于 Microsoft Entra 的 Azure Active Directory (Azure AD) 中,每个 Azure AD 组织都是完全独立的:也就是说,对等租户与你管理的其他 Azure AD 组织在逻辑上相互独立。 组织之间的这种独立性包括资源独立性、管理独立性和同步独立性。 组织之间不存在父子关系。

资源独立性

  • 如果在一个组织中创建或删除了 Azure AD 资源,这不影响另一个组织中的任何资源,但对于外部用户来说,情况并非完全如此。
  • 如果向一个组织注册了某个域名,则任何其他组织都不能使用该域名。

管理独立性

如果组织“Contoso”的某个非管理用户创建了测试组织“Test”,那么:

  • 默认情况下,会在该新组织中将创建组织的用户添加为外部用户,并在该组织中为其分配全局管理员角色。
  • 组织“Contoso”的管理员对组织“Test”没有直接管理特权,除非“Test”的管理员专门向其授予了这些特权。 不过,如果“Contoso”的管理员登录到创建“Test”的用户帐户,则可以控制对组织“Test”的访问。
  • 如果为一个组织中的用户添加或删除 Azure AD 角色,则此更改不会影响在任何其他 Azure AD 组织中为该用户分配的角色。

同步独立性

可以使用 Azure AD Connect 工具独立配置每个 Azure AD 组织,以从不同的 AD 林同步数据。 请参阅 Azure AD Connect 的拓扑,详细了解当有多个 Azure AD 租户时受支持的拓扑。

添加 Azure AD 组织

若要在 Azure 门户中添加 Azure AD 组织,请使用作为 Azure AD 全局管理员的帐户登录到 Azure 门户,然后选择“新建”。

注意

与其他 Azure 资源不同,你的 Azure AD 组织不是 Azure 订阅的子资源。 如果 Azure 订阅已取消或已过期,你仍可以使用 Azure PowerShell、Microsoft Graph API 或 Microsoft 365 管理中心来访问你的 Azure AD 组织的数据。 还可以将其他订阅与组织相关联

后续步骤

有关 Azure AD 许可注意事项和最佳做法,请参阅 什么是 Azure Active Directory 许可?