概述
跨租户同步 自动完成组织内各租户之间的 Microsoft Entra B2B 协作 用户和组的创建、更新和删除。 它使用户能够访问应用程序并跨租户协作,同时仍允许组织不断发展。
跨租户同步的主要目标是:
- 多租户组织的无缝协作
- 多租户组织中的 B2B 协作用户的自动化生命周期管理
- 当用户离开组织时自动删除 B2B 帐户
为何要使用跨租户同步?
跨租户同步可自动创建、更新和删除 B2B 协作用户和组。 通过跨租户同步创建的用户可以访问Microsoft应用程序(如 Teams 和 SharePoint)和非Microsoft应用程序(如 ServiceNow、Adobe 等),而不管应用与哪个租户集成。
这些用户继续受益于 Microsoft Entra ID 中的安全功能,例如 Microsoft Entra 条件访问 和 跨租户访问设置。 可以通过 Microsoft Entra 权利管理等功能来管理它们。
下图显示了如何使用跨租户同步来使用户能够跨组织中的租户访问应用程序。
谁应使用跨租户同步?
拥有多个Microsoft Entra租户并想要简化组织内跨租户应用程序访问的组织可以从跨租户同步中受益。
跨组织可以使用跨租户同步,但这样做可能会带来额外的合规性责任。 客户负责确保其使用符合适用的隐私、安全和法规要求,包括欧盟一般数据保护条例(GDPR)。
Microsoft不会通过跨租户同步促进用户同意收集。 客户应评估其方案是否需要用户同意、数据最小化或其他安全措施。 客户还应在启用跨组织或跨租户同步之前咨询其法律或合规性团队。
优点
通过跨租户同步,你可以:
- 自动在组织内创建 B2B 协作用户,并向其授予对所需应用程序的访问权限,而无需创建和维护自定义脚本。
- 通过确保用户无需收到邀请电子邮件即可访问资源并必须接受每个租户中的同意提示来提高用户体验。
- 自动更新用户并在他们离开组织时将其删除。
Teams 和 Microsoft 365
通过跨租户同步创建的用户在访问Microsoft Teams和其他Microsoft 365服务时具有相同的体验,因为 B2B 协作用户是通过手动邀请创建的。 如果你的组织使用共享频道,请参阅 Microsoft Entra ID 中预配的已知问题 了解更多详细信息。 随着时间的推移,各种 Microsoft 365 服务将使用 member 属性的 userType 值,为多租户组织中的用户提供差异化的体验。
属性
配置跨租户同步时,需要定义源租户与目标租户之间的信任关系。 跨租户同步具有以下属性:
- 它基于Microsoft Entra预配引擎。
- 是从源租户运行的推送过程,而不是从目标租户运行的拉取过程。
- 支持仅推送源租户中的内部成员。 不支持从源租户同步外部用户。
- 在源租户中配置同步范围内的用户。
- 在源租户中配置属性映射。
- 支持扩展属性。
- 目标租户管理员可以随时停止同步。
下表显示了跨租户同步的组成部分以及为它们配置的租户。
| 租户 | 跨租户 访问设置 |
自动兑换 | “同步设置” 配置 |
范围内的用户 |
|---|---|---|---|---|
源租户 |
✔️ | ✔️ | ✔️ | |
目标租户 |
✔️ | ✔️ |
跨租户同步设置
跨租户同步设置是仅限入站的组织设置,允许源租户的管理员将用户和组同步到目标租户。 这些设置是在目标租户中指定的复选框,其名称为“允许用户同步到此租户”和“允许组同步到此租户”。 这些设置不会影响通过其他过程创建的 B2B 邀请,例如 手动邀请 或 Microsoft Entra 权限管理。
若要使用 Microsoft Graph配置这些设置,请参阅 Update crossTenantIdentitySyncPolicyPartner API。 有关详细信息,请参阅配置跨租户同步。
自动兑换设置
自动兑换设置是一个入站和出站组织信任设置,用于自动兑换邀请。 使用此设置时,用户无需在首次访问资源或目标租户时接受同意提示。 此设置是一个名为自动兑换租户租户名称的复选框。
设置在各种场景中是如何工作的?
在以下情况下,自动兑换设置适用于跨租户同步、B2B 协作和 B2B 直连:
- 通过跨租户同步在目标租户中创建用户时。
- 通过 B2B 协作将用户添加到资源租户时。
- 当用户使用 B2B 直接连接访问资源租户中的资源时。
下表显示了在为这些方案启用此设置时如何工作。
| 项 | 跨租户同步 | B2B 协作 | B2B 直连 |
|---|---|---|---|
| 自动兑换设置 | 必需 | 可选 | 可选 |
| 用户将收到 B2B 协作邀请电子邮件 | 否 | 否 | 不適用 |
| 用户必须接受同意提示 | 否 | 否 | 否 |
| 用户收到 B2B 协作通知电子邮件 | 否 | 是 | 不適用 |
此设置不会影响应用程序同意体验。 有关详细信息,请参阅 Microsoft Entra ID 中应用程序的同意体验。
跨不同Microsoft云环境(例如 Azure 商业和 Azure 政府)的组织都支持此设置。 有关详细信息,请参阅配置跨租户同步。
何时取消同意提示?
仅当为主/源租户(出站)和资源/目标租户(入站)选择此设置时,自动兑换设置才会抑制同意提示和邀请电子邮件。
下表显示了在跨租户访问设置的各种组合中选择自动兑换设置时,源租户用户的同意提示行为。
| 主租户/源租户 | 资源/目标租户 | 同意许可提示 适用于源租户用户 |
|---|---|---|
| 出站 | 入站 | |
|
|
已抑制 |
|
|
|
未抑制 |
|
|
|
未抑制 |
|
|
|
未抑制 |
| 入站 | 出站 | |
|
|
|
未抑制 |
|
|
|
未抑制 |
|
|
|
未抑制 |
|
|
|
未抑制 |
若要使用 Microsoft Graph配置此设置,请参阅 Update crossTenantAccessPolicyConfigurationPartner API。 有关详细信息,请参阅配置跨租户同步。
用户如何知道他们属于哪些租户?
对于跨租户同步,用户不会收到电子邮件,也不一定非要接受同意提示。 如果用户想查看他们属于哪些租户,他们可以打开“我的帐户”页面并选择“组织”。 在Microsoft Entra 管理中心中,用户可以打开其 portal 设置、查看 Directories + subscriptions 和切换目录。
有关详细信息(包括隐私信息),请参阅以外部用户的身份离开组织。
入门步骤
下面是开始使用跨租户同步的基本步骤。
步骤 1:定义如何在组织中构建租户
跨租户同步提供了灵活的解决方案来实现协作,但每个组织是不同的。 例如,你可能拥有中央租户、附属租户或租户网格。 跨租户同步支持这些拓扑中的任何一种。 有关详细信息,请参阅跨租户同步的拓扑。
步骤 2:在目标租户中启用跨租户同步
在创建用户的目标租户中,转到 “跨租户访问设置 ”窗格。 在此处,通过选择相应的复选框来启用跨租户同步和 B2B 自动兑换设置。 有关详细信息,请参阅配置跨租户同步。
步骤 3:在源租户中启用跨租户同步
在任何源租户中,转到 “跨租户访问设置 ”窗格并启用 B2B 自动兑换功能。 接下来,使用 “跨租户同步 ”窗格设置跨租户同步作业并指定:
- 要同步的用户。
- 你想要包含哪些属性?
- 任何转换。
对于使用Microsoft Entra ID将标识预配到服务型软件(SaaS)应用程序的人来说,此体验很熟悉。 配置同步后,可以开始与几个用户进行测试,并确保使用所需的所有属性创建它们。 完成测试后,可以快速添加更多用户以在组织中同步和推出。 有关详细信息,请参阅配置跨租户同步。
许可要求
下表列出了所需的许可证,具体取决于你的方案。
| 情景 | 源租户 | 目标租户 |
|---|---|---|
| 用户的跨租户同步(同一云) | Microsoft Entra ID P1 许可证 | 不適用 |
| 组的跨租户同步(同一云) | Microsoft Entra 身份治理或 Microsoft Entra 套件许可证 | 不適用 |
| 跨云同步 | Microsoft Entra 身份治理或 Microsoft Entra 套件许可证 | 不適用 |
源租户:与跨租户同步的每个用户都必须在其主/源租户中拥有 Microsoft Entra ID P1 许可证。 与跨云同步的每个用户必须在他们的主或源租户中具有 Microsoft Entra ID 治理 或 Microsoft Entra 套件 许可证。 有关详细信息,请参阅 Microsoft Entra 计划和定价 以及 Microsoft Entra ID 治理许可基础知识。
目标租户:目标租户中跨租户同步或跨云同步不需要许可证。 不过,根据您在目标租户中使用的功能,您可能需要额外的许可。 例如,启用外部 ID 计费和预配外部来宾的客户可能会根据 Microsoft Entra 外部 ID 的计费模型收费。
常见问题
云
在同一云中,可在何处使用跨租户同步?
商业云和Azure 政府支持跨租户同步。
由世纪互联运营的 Microsoft Azure 云不支持跨租户同步。
| 来源 | 目标 | Azure 门户链接域 |
|---|---|---|
| Azure 商业版 | Azure 商业版 |
portal.azure.com -->portal.azure.com |
| Azure 政府 | Azure 政府 |
portal.azure.us -->portal.azure.us |
| 世纪互联(中国) | 世纪互联(中国) |
portal.azure.cn -->portal.azure.cn |
是否支持跨云同步?
是的,支持 跨云同步(例如从公有云到 Azure 政府)。
有关Azure云环境和 Microsoft 365(GCC、GCC High)之间的关系的信息,请参阅 Microsoft 365 集成。
跨云同步支持哪些云平台组合?
跨云同步支持以下云对:
| 来源 | 目标 | Azure 门户链接域 |
|---|---|---|
| Azure 商业版 | Azure 政府 |
portal.azure.com -->portal.azure.us |
| Azure 政府 | Azure 商业版 |
portal.azure.us -->portal.azure.com |
| Azure 商业版 | 由世纪互联运营的 Azure (中国 Azure) |
portal.azure.com -->portal.azure.cn |
跨租户同步与跨云同步有何区别?
跨租户同步和跨云同步是通过相同的技术构建的,从根本上讲是相同的。 主要区别在于,同步发生在云中,而不是在同一云中发生。
跨云同步是否具有限制?
当前manager属性在跨云同步中不受支持。
有关多租户组织的限制,请参阅 多租户组织常见问题解答。
有关 Microsoft 365 与外部成员的限制,请参阅与其他 Microsoft 365 云环境中的来宾协作。
现有 B2B 用户
跨租户同步是否可以管理现有 B2B 用户?
是的。 跨租户同步使用名为 alternativeSecurityIdentifier 的内部属性来唯一匹配源租户中的内部用户与目标租户中的外部用户或 B2B 用户。 跨租户同步可以更新现有的 B2B 用户,以确保每个用户只有一个帐户。
跨租户同步不能将源租户中的内部用户与目标租户(类型 member 和类型 guest)中的内部用户匹配。
同步频率
跨租户同步多久运行一次?
目前固定为以 40 分钟为间隔开始同步。 同步持续时间因范围内的用户数量而异。 初始同步周期可能需要比以后的增量同步周期长得多。
Scope
我如何控制同步到目标租户的数据?
在源租户中,可以使用基于配置的筛选器或基于属性的筛选器来控制预配的用户。 还可以控制要同步用户对象上的哪些属性。 有关详细信息,请参阅使用范围筛选器确定要预配的用户或组的范围。
如果用户从源租户的同步范围中被移除,跨租户同步是否会在目标租户中软删除该用户?
是的。
对象类型
可以同步哪些对象类型?
可以在租户之间同步Microsoft Entra用户和安全组。 当前设备和联系人不受支持。
可以同步哪些用户类型?
可以从源租户同步内部成员。 无法从源租户同步内部来宾。
可将用户作为外部成员(默认)或外部来宾同步到目标租户。
有关定义的详细信息 userType ,请参阅 了解和管理 B2B 来宾用户的属性。
我有现有的 B2B 协作用户。 他们会受到怎样的影响?
跨租户同步将匹配用户并对用户进行任何所需的更新,例如更新显示名称。 默认情况下,userType 不会从 guest 更新到 member。 可以在属性映射中配置此属性。
属性
可以同步哪些用户属性?
跨租户同步可以同步Microsoft Entra ID中用户对象的常用属性,包括(包括但不限于)displayName、userPrincipalName 和目录扩展属性。
跨租户同步支持在Azure商业云中预配 manager 属性。 美国政府云目前不支持管理器同步。 若要预配 manager 属性,用户及其经理必须处于跨租户同步的范围内。
对于使用默认架构/属性映射在 2024 年 1 月之后创建的跨租户同步配置:
- 该
manager属性会自动添加到属性映射中。 - 管理器更新适用于正在进行更改(例如,管理器更改)的用户的增量周期。 同步引擎不会自动更新以前预配的所有现有用户。
- 若要为预配范围中的现有用户更新管理器,可以使用特定用户的按需预配,或者重启为所有用户预配管理器。
对于使用自定义架构/属性映射在 2024 年 1 月之前创建的跨租户同步配置(例如,将属性添加到映射或更改了默认映射):
- 需要将
manager属性添加到属性映射。 此操作会触发重启并更新预配范围内的所有用户。 此过程应是源租户中的manager属性与目标租户中的manager属性的直接映射。
如果在源租户中删除了用户的经理,并且源租户中未分配任何新管理器,则 manager 不会在目标租户中更新该属性。
无法同步哪些属性?
不能使用跨租户同步来同步照片、自定义安全属性和目录外部的用户属性等属性。
是否可以控制用户属性的来源或管理方式?
跨租户同步不提供对权威源的直接控制。 用户及其属性在源租户中被视为有权威性。
有并行的权限来源工作线,这些工作线会将用户的权限来源控制发展到属性级别。 源上的用户对象最终可能会反映多个基础源。 对于租户到租户的过程,此情况仍被视为源租户的值对同步到目标租户的过程具有权威性(即使片段源自于其他位置)。 目前不支持反转同步过程的授权来源。
跨租户同步仅支持对象级别的授权来源。 用户的所有属性都必须来自同一源,包括凭据。 无法反转已同步对象的授权来源或联合方向。
如果更改目标租户中同步用户的属性,会发生什么情况?
跨租户同步不会查询目标中的更改。 如果未对源租户中的同步用户进行任何更改,则目标租户中所做的用户属性更改将保持不变。 如果对源租户中的用户进行更改,则在下一个同步周期中,将更新目标租户中的用户以匹配源租户中的用户。
目标租户是否可以手动阻止同步的特定主/源租户用户的登录?
如果未对源租户中的同步用户进行任何更改,则阻止目标租户中的登录的设置将持续存在。 如果检测到源租户中的用户发生更改,跨租户同步将重新启用那些在目标租户中被阻止登录的用户。
组同步
是否支持组同步?
可以,跨租户同步可以在目标租户中创建安全组。
当一个组被同步时,所有处于同步范围内的组成员都会被同步。 有关详细信息,请参阅配置跨租户同步。
如果目标租户中已存在用户组,会发生什么情况?
如果目标租户中存在某个组(是在跨租户同步之外创建的),则跨租户同步不会更新该组。
支持哪些组类型?
| 支持 | 来源 | 目标 |
|---|---|---|
| 支持 | 安全组(静态和动态) Microsoft 365 组 |
安全组(静态) |
| 不支持 | 所有其他组类型,例如: - 具备邮件功能的安全组 - 共享邮箱 - 动态分发组 - 分发组 |
所有其他组类型,例如: - Microsoft 365 组 - 具备邮件功能的安全组 - 共享邮箱 - 动态分发组 - 分发组 |
同步组的限制是什么?
目前不支持创建可分配角色的组。
不支持嵌套组。
跨租户同步不会创建 Microsoft 365 群组、通讯组、邮件启用的安全组或分发列表。
同步范围必须设置为 仅同步分配的用户和组。 启用组同步时,不支持“ 同步所有用户 ”选项。
不支持跨云环境(例如,Azure Commercial、Azure 政府和中国区 Azure)同步组。
对目标租户中组的更改不会自动覆盖。 只有当源租户中的组发生更改时,它们才会被覆盖。
例如,如果组从租户 A 同步到租户 B,而管理员对租户 B 中的组进行更改,则更改将保留在租户 B 中。同步引擎不会检测到对目标租户中的组所做的更改,因此不会重写更改。
如果在跨租户同步之外创建了组,则不会包含在跨租户同步中。
结构
是否可以在多个租户之间同步网格?
跨租户同步配置为单向对等同步,即,同步是在一个源租户和一个目标租户之间配置的。 可以配置多个跨租户同步实例,以便从单个源同步到多个目标,以及从多个源同步到单个目标。 但是,源与目标之间只能存在一个同步实例。
跨租户同步仅同步属于主/源租户内部的用户。 这种限制确保了你不能有一个用户被写回同一租户的循环。
支持多个拓扑。 有关详细信息,请参阅跨租户同步的拓扑。
是否可以跨组织(在多租户组织外部)使用跨租户同步?
出于隐私原因,跨租户同步仅限在组织内部使用。 请考虑使用 权利管理 来邀请整个组织的 B2B 协作用户。
是否可以使用跨租户同步将用户从一个租户迁移到另一个租户?
否。 跨租户同步并非迁移工具,因为已同步的用户需要通过源租户进行身份验证。 此外,租户迁移需要迁移用户数据,例如SharePoint和OneDrive数据。
B2B 协作
跨租户同步是否解决了任何存在的 B2B 协作限制?
由于跨租户同步是基于现有 B2B 协作 技术构建的,因此存在现有限制。 示例包括(但不限于):
| 应用或服务 | 限制 |
|---|---|
| Power BI | Power BI 当前对 UserType 的 Member 值的支持处于预览阶段。 有关详细信息,请参阅使用 Microsoft Entra B2B 将 Power BI 内容分发给外部来宾用户。 |
| Azure 虚拟桌面 | 有关限制,请参阅 prerequisites for Azure 虚拟桌面。 |
| Microsoft Teams | 有关限制,请参阅 与其他 Microsoft 365 云环境中的来宾协作。 |
B2B 直连
跨租户同步与 B2B 直接连接有何关联?
B2B 直接连接 是 Teams Connect 共享通道所需的基础标识技术。
B2B 直接连接和跨租户同步旨在共存。 你可以启用它们以广泛覆盖跨租户场景。
建议对所有其他跨租户应用程序访问方案(包括 Microsoft 和非 Microsoft 应用程序)使用 B2B 协作。
我试图确定在我的多租户架构中需要使用跨租户同步到什么程度。 你们是否计划将 B2B 直连支持扩展到 Teams Connect 之外?
我们并未计划将 B2B 直连支持扩展到 Teams Connect 共享通道之外。
Microsoft 365
跨租户同步是否增强了应用访问的任何跨租户Microsoft 365用户体验?
跨租户同步使用一项功能,通过抑制每个租户中的首次 B2B 同意提示和兑换过程来改善用户体验。
同步的用户具有相同的跨租户Microsoft 365体验可供任何其他 B2B 协作用户使用。
跨租户同步能否在Microsoft 365中启用人员搜索方案?
可以,跨租户同步可以在 Microsoft 365 中启用人员搜索。 确保在目标租户中的用户上将 showInAddressList 属性设置为 True。 此showInAddressList属性在跨租户同步的True中默认设置为。
跨租户同步会创建 B2B 协作用户,但不创建联系人。
团队
跨租户同步是否增强了任何当前的 Teams 体验?
同步的用户具有相同的跨租户Microsoft 365体验,可供任何其他 B2B 协作用户使用。
集成
支持目标租户中的用户使用哪些联合选项同步回到源租户?
对于源租户中的每个内部用户,跨租户同步会在目标中创建一个联合外部用户(通常在 B2B 中使用)。
跨租户同步支持同步内部用户。 这支持通过域联合身份验证(例如 Active Directory 联合身份验证服务)联合到其他标识系统的内部用户。 跨租户同步不支持同步外部用户。
跨租户同步是否使用 SCIM?
否。 目前,Microsoft Entra ID 支持 SCIM 客户端进行跨域标识管理,但不支持 SCIM 服务器。 有关详细信息,请参阅在 Microsoft Entra ID 中进行 SCIM 同步。
取消预配
跨租户同步是否支持取消预配用户?
是的。 在源租户中发生以下操作时,将在目标租户中 软删除 用户:
- 你删除源租户中的用户。
- 您将用户从跨租户同步配置中取消分配。
- 将用户从已分配给跨租户同步配置的组中删除。
- 用户的一个属性发生了更改,使其不再符合在跨租户同步配置上定义的范围筛选器条件。
如果用户被阻止在源租户中登录(accountEnabled = false),他们将无法在目标租户中登录。 此操作不是删除操作,而是对属性的 accountEnabled 更新。
在这种情况下,用户不会从目标租户被软删除。
- 将用户添加到组,然后将其分配给源租户中的跨租户同步配置。
- 按需预配用户或通过增量周期预配用户。
- 将
accountEnabled源租户中的用户的状态更新为false。 - 按需预配用户或通过增量周期预配用户。 在目标租户中,状态
accountEnabled更改为false。 - 从源租户的组中删除该用户。
跨租户同步是否支持还原用户?
是的。 如果源租户中的用户还原、重新分配到应用,并在软删除后的 30 天内再次满足范围条件,则会在目标租户中还原该用户。
IT 管理员可以直接在目标租户中 手动还原 用户。
如何取消预配当前处于跨租户同步范围内的所有用户的监视?
从跨租户同步配置中解除分配所有用户和组。 此操作会触发已被取消分配的所有用户(无论是直接的还是通过群组成员身份),在后续同步周期中被取消预配。 目标租户需要保持入站同步策略启用,直到取消预配完成。
如果范围设置为 “同步所有用户”,则需要将其更改为 “仅同步已分配的用户和组”。 跨租户同步会自动软删除用户。 用户会在 30 天后自动硬删除,也可以选择直接从目标租户中硬删除用户。
同步关系被切断后,之前由跨租户同步管理的外部用户会在目标租户中被删除吗?
否。 如果断开关系(例如,如果删除跨租户同步策略),将不会对先前由跨租户同步管理的外部用户进行任何更改。