什么是 Microsoft Entra ID 中的多租户组织? (预览版)
重要
多租户组织目前为预览版。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅产品条款。
多租户组织是 Microsoft Entra ID 和 Microsoft 365 中的一项功能,可用于在组织内形成租户组。 组中的每对租户均由跨租户访问设置管理,你可以使用这些设置来配置 B2B 或跨租户同步。
为何使用多租户组织?
以下是多租户组织的主要目标:
- 定义隶属于组织的租户组
- 在新 Microsoft Teams 中跨租户进行协作
- 通过 Microsoft 365 人员搜索跨租户实现用户配置文件的搜索和发现
适合对象。
拥有多个 Microsoft Entra 租户并希望在 Microsoft 365 中简化组织内跨租户协作的组织。
多租户组织功能建立在以下假设的基础之上,即多租户组织各租户间互惠预配 B2B 成员用户。
因此,多租户组织功能假定同时使用 Microsoft Entra 跨租户同步或针对外部标识的替代批量预配引擎。
好处
以下是多租户组织的主要优势:
区分组织内和组织外外部用户
在 Microsoft Entra ID 中,可以将多租户组织之内与之外的外部用户区分开来。 这种区分有助于为组织内和组织外这两种外部用户应用不同的策略。
改进了 Microsoft Teams 中的协作体验
在新 Microsoft Team 中,多租户组织用户可在整个多租户组织内的所有互联租户中进行聊天、通话以及发送会议开始通知,从而获得更出色的跨租户协作体验。 租户切换更无缝、更快速。 有关详细信息,请参阅宣布在 Microsoft Teams 中为多租户组织提供更加顺畅的协作体验和 Microsoft Teams:新体系结构的优势。
改进了跨租户的人员搜索体验
多租户组织人员搜索体验是一项跨各 Microsoft 365 服务的协作功能,支持跨租户搜索和发现人员。 启用后,用户可在某个租户的全局地址列表中搜索和发现同步的用户配置文件,并查看相应的人员卡片。 有关详细信息,请参阅 Microsoft 365 多租户组织人员搜索(公共预览版)。
多租户组织的工作原理
多租户组织功能让你能够在组织内部形成租户组。 以下列表描述了多租户组织的基本生命周期。
定义多租户组织
一个租户管理员以租户分组的形式定义多租户组织。 在每个列出的租户都采取行动加入多租户组织之前,租户分组并不是互惠的。 目标是在所有列出的租户之间达成互惠协议。
加入多租户组织
列出的租户的租户管理员采取行动加入多租户组织。 加入后,每个加入多租户组织的租户之间的多租户组织关系都是互惠的。
退出多租户组织
列出的租户的租户管理员随时可以退出多租户组织。 定义多租户组织的租户管理员虽然可以添加和移除列出的租户,但无法控制其他租户。
多租户组织是以平等协作为原则建立的。 每个租户管理员自行控制其租户及其在多租户组织中的成员身份。
跨租户访问设置
由管理员控制其资源是多租户组织协作的指导原则。 每个租户到租户关系都需要跨租户访问设置。 租户管理员可根据需要明确配置以下策略:
跨租户访问合作伙伴配置
有关详细信息,请参阅为 B2B 协作配置跨租户访问设置和 crossTenantAccessPolicyConfigurationPartner 资源类型。
跨租户访问身份同步
有关详细信息,请参阅配置跨租户同步和 crossTenantIdentitySyncPolicyPartner 资源类型。
多租户组织示例
下图显示了 A、B、C 三个租户,它们组成了一个多租户组织。
| 租户 | 说明 |
|---|---|
| A | 管理员看到由 A、B、C 组成的多租户组织。 此外,管理员还看到 B 和 C 的跨租户访问设置。 |
| B | 管理员看到由 A、B、C 组成的多租户组织。 此外,管理员还看到 A 和 C 的跨租户访问设置。 |
| C | 管理员看到由 A、B、C 组成的多租户组织。 此外,管理员还看到 A 和 B 的跨租户访问设置。 |
跨租户访问设置模板
为了简化应用于多租户组织中的合作伙伴租户的同质跨租户访问设置,多租户组织各租户的管理员可以配置专用于该多租户组织的可选跨租户访问设置模板。 这些模板可用于预配置跨租户访问设置,这些设置将会应用于新加入多租户组织的任何合作伙伴租户。
租户角色和状态
为便于管理多租户组织,任何给定的多租户组织租户都有一个关联角色和状态。
| 租户角色 | 说明 |
|---|---|
| 所有者 | 一个租户创建多租户组织。 创建多租户组织的租户将收到所有者角色。 所有者租户的权限包括将租户添加到待处理状态,以及从多租户组织中移除租户。 此外,所有者租户还可以更改多租户组织内其他租户的角色。 |
| 成员 | 在为多租户组织添加待处理租户后,待处理租户需要加入多租户组织才能将其状态从待处理转为活动状态。 加入后,租户一开始一般都是成员角色。 任何成员租户都有权退出多租户组织。 |
| 租户状态 | 说明 |
|---|---|
| 待定 | 待处理租户是尚未加入多租户组织的租户。 待处理租户虽然会在多租户组织的管理员视图中列出,但还不是多租户组织的成员,因此在多租户组织的最终用户视图中是隐藏的。 |
| 活动 | 在为多租户组织添加待处理租户后,待处理租户需要加入多租户组织才能将其状态从待处理转为活动状态。 加入后,租户一开始一般都是成员角色。 任何成员租户都有权退出多租户组织。 |
约束
在设计多租户组织功能时,进行了以下约束:
- 任何给定租户都只能创建或加入单个多租户组织。
- 任何多租户组织都必须有至少一个活动的所有者租户。
- 每个活动租户都必须具有跨租户访问设置。
- 任何活动租户均可通过从多租户组织中移除自己来退出多租户组织。
- 当唯一的剩余活动(所有者)租户退出时,系统将删除多租户组织。
外部用户分段
通过定义多租户组织,以及对 userType 的 Microsoft Entra 用户属性进行透视,外部标识将按以下方式进行分段:
- 来自多租户组织内部的外部成员
- 来自多租户组织内部的外部来宾
- 来自组织外部的外部成员
- 来自组织外部的外部来宾
由于多租户组织的定义,这样对外部用户进行分段有助于管理员更好地区分组织内和组织外的外部用户。
来自多租户组织内部的外部成员称为“多租户组织成员”。
Microsoft 365 中的多租户协作功能旨在改善与多租户组织成员用户的协作,提供打破租户边界的顺畅协作体验。
开始使用
下面是开始使用多租户组织的基本步骤。
步骤 1:规划部署
有关详细信息,请参阅在 Microsoft 365 中规划多租户组织(预览版)。
步骤 2:创建多租户组织
使用 Microsoft 365 管理中心或 Microsoft Graph API 创建多租户组织:
- 第一个租户(即将成为所有者的租户)创建多租户组织。
- 所有者租户添加一个或多个加入者租户。
- 请等待至少 2 个小时后再允许异步处理。
步骤 3:加入多租户组织
使用 Microsoft 365 管理中心或 Microsoft Graph API 加入多租户组织:
- 加入者租户提交加入请求以加入所有者租户的多租户组织。
- 请等待最多 4 个小时后再允许异步处理。
多租户组织已形成。
步骤 4:同步用户
根据用例,你可能希望使用以下方法之一来同步用户:
限制
多租户组织具有以下限制:
- 每个多租户组织最多 5 个活动租户
- 此限制特定于多租户组织中的租户数量。 它本身不适用于跨租户同步。
- 加入时每个活动租户最多 100,000 个内部用户
如果要添加 5 个以上的租户或每个租户 100,000 个内部用户,请联系 Microsoft 支持人员。
许可证要求
多租户组织功能目前为预览版,如果你在所有多租户组织租户中都具有 Microsoft Entra ID P1 或更高版本许可证,则可以开始使用此功能。 许可条款将在正式发布时发布。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能。
后续步骤
反馈
提交和查看相关反馈