Microsoft Entra ID 中的多租户组织功能
本文概述了 Microsoft Entra ID 中的多租户组织方案和相关功能。
什么是多租户组织情况?
当某个组织拥有多个 Microsoft Entra ID 租户实例时,就会出现多租户组织的情况。 下面是组织使用多个租户的主要原因:
- 集团:具有多个子公司或独立运营的业务单位的组织。
- 合并与收购:合并或收购公司的组织。
- 资产剥离活动:在资产剥离中,一个组织拆分其部分业务以组建一个新组织或将业务出售给现有组织。
- 多个云:在多个云环境中运营的组织需要满足合规性或监管要求。
- 多个地理边界:组织需要根据驻留法规在多个地理位置运营。
- 测试或过渡租户:组织在更广泛地部署到主要租户之前需要在多个租户中进行测试或过渡。
- 部门或员工创建的租户:组织中的部门或员工创建了租户用于开发、测试或独立控制。
什么是 Microsoft Entra 租户?
租户是 Microsoft Entra ID 的一个实例,其中保存了有关单个组织的信息,包括用户、组、设备等组织对象,以及 Microsoft 365 和第三方应用程序等应用程序注册。 租户还包含资源的访问与合规性策略,例如在目录中注册的应用程序。 租户提供的主要功能包括身份验证和资源访问管理。
从 Microsoft Entra 的角度看,租户构成了标识和访问管理范围。 例如,租户管理员为租户中的部分或所有用户提供应用程序,并对该租户中的用户强制实施该应用程序的访问策略。 此外,租户包含用于驱动最终用户体验的组织品牌数据,例如组织电子邮件域和该组织的员工使用的 SharePoint URL。 从 Microsoft 365 的角度看,租户构成了默认的协作和许可边界。 例如,Microsoft Teams 或 Microsoft Outlook 中的用户可以轻松查找其租户中的其他用户并与之协作,但无法查找或查看其他租户中的用户。
租户包含特权组织数据,并与其他租户安全隔离。 此外,可以将租户配置为在特定区域或云中持久保存和处理数据,使组织能够将租户用作一种机制来满足数据驻留与合规性处理要求。
多租户挑战
你的组织可能最近收购了一家新公司、与另一家公司合并或根据新成立的业务单位进行重组。 如果有不同的标识管理系统,则不同租户中的用户访问资源和协作可能会面临挑战。
下图显示了其他租户中的用户为何无法跨组织中的租户访问应用程序。
随着组织的发展,IT 团队必须适应不断变化的需求。 这通常包括与现有租户整合或组建新租户。 无论标识基础结构的管理方式如何,为用户提供用于访问资源和协作的无缝体验都至关重要。 目前,你可能正在使用自定义脚本或本地解决方案来整合租户,以提供跨租户的无缝体验。
多租户组织的多租户功能
Microsoft Entra ID 中的多租户组织提供了一系列多租户功能,你可以使用这些功能来与多个租户的组织中的用户安全交互,并在你的租户中自动预配和管理这些用户。
其中的多项多租户功能与面向企业来宾的 Microsoft Entra 外部 ID 和 Microsoft Entra ID 中的应用预配共享通用技术堆栈,因此你可能经常看到对这些其他领域的交叉引用。 Microsoft 365 企业版使用多租户功能在 Microsoft Teams 和 Microsoft 365 应用程序中启用或促进无缝多租户协作体验。
以下多租户功能集支持多租户组织的需求:
跨租户访问设置 - 管理租户如何允许或禁止组织中的其他租户访问你的租户,反之亦然。 它们控制 B2B 协作、B2B 直连、跨租户同步,并指示组织的另一个租户是否已知是多租户组织的一部分。
B2B 直连 - 与其他 Microsoft Entra 租户建立双向信任以实现无缝协作。 B2B 直连用户不会出现在你的目录中,但会出现在 Teams 中,以便在 Teams 共享通道中进行协作。
B2B 协作 – 为外部用户提供应用程序访问权限并与外部用户协作。 B2B 协作用户会出现在你的目录中。 可以在 Microsoft Teams 中使用它们实现协作(如果已启用)。 还可以跨 Microsoft 365 应用程序使用它们。
跨租户同步 - 提供同步服务,可在包含多个租户的组织中自动创建、更新和删除 B2B 协作用户。 该服务可用于确定目标租户中 Microsoft 365 人员搜索的范围。 该服务由跨租户访问设置下的跨租户同步设置控制。
Microsoft 365 多租户人员搜索 - 与 B2B 协作用户进行协作。 如果显示在地址列表中,则 B2B 协作用户可用作 Outlook 中的联系人。 如果提升为用户类型成员,B2B 协作成员用户可在大多数 Microsoft 365 应用程序中使用。
多租户组织 - 定义组织拥有的 Microsoft Entra 租户的边界,由邀请和接受流推动。 与 B2B 成员配置配合使用,可在 Microsoft Teams 和 Microsoft Viva Engage 等 Microsoft 365 应用程序中实现无缝协作体验。 跨租户访问设置为多租户组织租户提供一个标志。
用于多租户协作的 Microsoft 365 管理中心 - 提供直观的管理门户体验来创建多租户组织。 对于较小的多租户组织,还提供了一种简化的体验,用于将用户同步到多租户组织租户,作为使用 Microsoft Entra 管理中心的替代方案。
以下各部分更详细地介绍了其中的每项功能。
跨租户访问设置
Microsoft Entra 租户管理员保持对其租户范围内的资源的控制是一项指导原则,即使在包含多个租户的组织内也是如此。 因此,每个租户到租户的关系都需要跨租户访问设置,并且租户管理员根据需要显式配置每个跨租户访问关系。
下图显示了基本的跨租户访问入站和出站设置功能。
有关详细信息,请参阅跨租户访问概述。
B2B 直连
要使用户能够在 Teams Connect 共享通道中跨租户协作,可以使用 Microsoft Entra B2B 直连。 B2B 直连是外部 ID 的一项功能,可用于与其他 Microsoft Entra 租户建立互信关系,以实现团队的无缝协作。 建立信任后,B2B 直连用户可以使用其主租户中的凭据进行单一登录访问。
这是跨多个租户使用 B2B 直连的主要限制:
- 目前,B2B 直连仅适用于 Teams Connect 共享通道。
有关详细信息,请参阅 B2B 直连概述。
B2B 协作
要使用户能够跨租户协作,可以使用 Microsoft Entra B2B 协作。 B2B 协作是外部 ID 的一项功能,使你能够邀请来宾用户同组织一起协作。 外部用户兑换其邀请或完成注册后,他们将在租户中表示为用户对象。 使用 B2B 协作,可以安全地将租户的应用程序和服务与外部用户共享,同时保持对自己租户数据的控制。
下面是跨多个租户使用 B2B 协作的主要限制:
- 管理员必须使用 B2B 邀请流程邀请用户,或使用 B2B 协作邀请管理器构建加入体验。
- 管理员可能必须使用自定义脚本来同步用户。
- 根据自动兑换设置,用户可能需要接受同意提示并在每个租户中遵循兑换流程。
有关详细信息,请参阅 B2B 协作概述。
跨租户同步
如果你要让用户获得更无缝的跨租户协作体验,可以使用 Microsoft Entra ID 中的跨租户同步。 跨租户同步是 Microsoft Entra ID 中的单向同步服务,可跨组织中的租户自动创建、更新和删除 B2B 协作用户。 跨租户同步建立在 B2B 协作功能之上,利用现有的 B2B 跨租户访问设置。 用户在目标租户中表示为 B2B 协作用户对象。
下面是使用跨租户同步的主要好处:
- 在组织内自动创建 B2B 协作用户并为其提供对所需应用程序的访问权限,而无需创建和维护自定义脚本。
- 改进用户体验,并确保用户可以访问资源,而无需在每个租户中收到邀请电子邮件并接受同意提示。
- 自动更新用户并在他们离开组织时将其删除。
下面是跨多个租户使用跨租户同步的主要限制:
- 已同步用户所获得的跨租户 Teams 和 Microsoft 365 体验与任何其他 B2B 协作用户可用的体验相同。
- 不会同步组、设备或联系人。
有关详细信息,请参阅什么是跨租户同步?。
Microsoft 365 多租户人员搜索
现在,B2B 协作用户可以在 Microsoft 365 中实现协作,这超越了众所周知的 B2B 协作来宾用户体验。
多租户组织人员搜索是一项协作功能,可以跨多个租户搜索和发现人员。 如果显示在地址列表中,则 B2B 协作用户可用作 Outlook 中的联系人。 除了显示在地址列表中之外,如果进一步提升为用户类型“成员”,B2B 协作成员用户还可在大多数 Microsoft 365 应用程序中使用。
下面是跨多个租户使用 Microsoft 365 人员搜索的主要优势:
- B2B 协作用户可以在 Outlook 中进行协作。 对于主机租户中的 Exchange Online 邮件用户,可以使用设置为 true 的 showInAddressList 属性来启用此功能,或者从源租户使用跨租户同步。
- 通过将 userType 属性设置为 Member,能使地址列表中已显示的 B2B 协作用户可以在大多数 Microsoft 365 应用程序中进行协作,并在主机租户的 Microsoft Entra 管理中心进行管理,或从源租户使用跨租户同步。
下面是跨多个租户使用 Microsoft 365 人员搜索的主要限制:
- 对于大多数 Microsoft 365 应用程序中的协作,B2B 协作用户应显示在地址列表中,并设置为用户类型“成员”。
- 有关其他地址列表限制,请参阅多租户组织中的全局地址列表限制。
有关详细信息,请参阅 Microsoft 365 多租户人员搜索。
多租户组织
多租户组织是 Microsoft Entra ID 和 Microsoft 365 中的一项功能,使你能够定义组织拥有的 Microsoft Entra 租户的边界。 在目录中,它采用代表组织的租户组形式。 组中的每对租户均由跨租户访问设置管理,你可以使用这些设置来配置 B2B 协作。
以下是多租户组织的主要优势:
- 区分组织内和组织外外部用户
- 改进了新 Microsoft Teams 中的协作体验
- Viva Engage 中改进的协作体验
下面是使用多租户组织的主要限制:
- 如果属于多租户组织的租户中已有 B2B 协作成员用户,则这些用户将在创建多租户组织后立即成为多租户组织成员。 因此,具有多租户组织体验的应用程序会将现有 B2B 协作成员用户识别为多租户组织用户。
- 改进的 Microsoft Teams 协作依赖于 B2B 协作成员用户的反向预配。
- 改进的 Viva Engage 协作依赖于 B2B 协作成员的集中预配。
- 有关其他限制,请参阅多租户组织中的限制。
有关详细信息,请参阅什么是 Microsoft Entra ID 中的多租户组织?。
用于多租户协作的 Microsoft 365 管理中心
用于多租户协作的 Microsoft 365 管理中心提供直观的管理门户体验来创建多租户组织。
- 在 Microsoft 365 管理中心内创建多租户组织。
创建多租户组织后,Microsoft 会提供两种方法用于将员工大规模预配到相邻的多租户组织租户中。
- 对于使用复杂标识拓扑的企业组织,我们建议使用 Microsoft Entra ID 中的跨租户同步。 跨租户同步具有高度可配置性,允许预配任何多中心多分支标识拓扑。
- 对于要将员工预配到所有租户的小型多租户组织,我们建议继续使用 Microsoft 365 管理中心将用户同时同步到多租户组织的多个租户中。
如果你已有自己的大规模用户预配引擎,则可以享受新的多租户组织优势,同时继续使用自己的引擎来管理员工的生命周期。
下面是使用 Microsoft 365 管理中心创建多租户组织和预配员工的主要优势。
- Microsoft 365 管理中心提供图形用户体验来创建多租户组织。
- Microsoft 365 管理中心将预先配置租户以自动兑换 B2B 协作邀请。
- Microsoft 365 管理中心将预先配置租户以实现入站用户同步,但跨租户同步的使用仍是可选的。
- 在 Microsoft 365 管理中心可以轻松将员工预配到多租户组织的多个租户中。
下面是使用 Microsoft 365 管理中心创建多租户组织或预配员工的主要限制:
- Microsoft 365 管理中心将预配置但不启动跨租户同步作业,即使你打算在 Microsoft Entra 管理中心使用跨租户同步也是如此。
- 使用 Microsoft Entra 管理门户中的跨租户同步可以更方便地预配复杂标识拓扑,例如多中心多分支系统。
有关详细信息,请参阅 Microsoft 365 多租户协作。
比较多租户功能
可以根据组织的需求使用 B2B 直连、B2B 协作、跨租户同步和多租户组织功能的任意组合。 B2B 直连和 B2B 协作是独立的功能,而跨租户同步和多租户组织功能则彼此独立,虽然两者都依赖于基础的 B2B 协作。
下表比较了每项功能的作用。 有关不同外部标识方案的详细信息,请参阅比较外部 ID 功能集。
| B2B 直连 (组织到组织外部或内部) |
B2B 协作 (组织到组织外部或内部) |
跨租户同步 (组织内部) |
多租户组织 (组织内部) |
|
|---|---|---|---|---|
| 用途 | 用户可以访问托管在外部租户中的 Teams Connect 共享通道。 | 用户可以访问托管在外部租户中的应用/资源,通常拥有有限的来宾特权。 根据自动兑换设置,用户可能需要在每个租户中接受同意提示。 | 用户可以在同一组织中无缝访问应用/资源,即使它们托管在不同的租户中。 | 用户可以通过新的 Teams 和 Viva Engage 在多租户组织中更无缝地进行协作。 |
| 值 | 仅在 Teams Connect 共享通道内启用外部协作。 对管理员而言更方便,因为他们无需管理 B2B 用户。 | 启用外部协作。 通过管理 B2B 协作用户来为管理员提供更高的控制和监视方便性。 管理员可以限制这些外部用户对其应用/资源的访问权限。 | 支持跨组织租户的协作。 管理员无需手动邀请和同步租户之间的用户,即可确保连续访问组织中的应用/资源。 | 支持跨组织租户的协作。 管理员可以使用跨租户访问设置继续获得完整的配置权限。 可选的跨租户访问模板允许预配置跨租户访问设置。 |
| 主管理员工作流 | 配置跨租户访问,使外部用户能够使用其主租户的凭据对租户进行入站访问。 | 使用 B2B 邀请流程将外部用户添加到资源租户,或使用 B2B 协作邀请管理器构建自己的加入体验。 | 配置跨租户同步引擎,以将多个租户之间的用户作为 B2B 协作用户进行同步。 | 创建多租户组织、添加(邀请)租户、加入多租户组织。 使用现有 B2B 协作用户或使用跨租户同步来预配 B2B 协作用户。 |
| 信任级别 | 中信任度。 不太容易跟踪 B2B 直连用户,必须与外部组织建立一定程度的信任。 | 中低信任度。 可以通过精细控制轻松跟踪和管理用户对象。 | 高信任度。 所有租户都是同一组织的一部分,通常为用户授予对所有应用/资源的成员访问权限。 | 高信任度。 所有租户都是同一组织的一部分,通常为用户授予对所有应用/资源的成员访问权限。 |
| 对用户的影响 | 用户使用其主租户的凭据访问资源租户。 用户对象不是在资源租户中创建的。 | 外部用户作为 B2B 协作用户添加到租户。 | 在同一组织内,用户将作为 B2B 协作用户从其主租户同步到资源租户。 | 在同一多租户组织内,B2B 协作用户(尤其是成员用户)可以受益于 Microsoft 365 中的增强型无缝协作。 |
| 用户类型 | B2B 直连用户 - 不适用 |
B2B 协作用户 - 外部成员 - 外部来宾(默认) |
B2B 协作用户 - 外部成员(默认) - 外部来宾 |
B2B 协作用户 - 外部成员(默认) - 外部来宾 |
下图展示了如何将 B2B 直连、B2B 协作和跨租户同步功能一起使用。
术语
若要更好地理解与多租户组织方案相关的 Microsoft Entra 功能,可参考以下术语列表。
| 术语 | 定义 |
|---|---|
| tenant | Microsoft Entra ID 的实例。 |
| organization | 业务层次结构的最高级别。 |
| 多租户组织 | 拥有多个 Microsoft Entra ID 实例并能在 Microsoft Entra ID 中对这些实例进行分组的组织。 |
| 创建者租户 | 创建多租户组织的租户。 |
| 所有者租户 | 具有所有者角色的租户。 最初为创建者租户。 |
| 添加的租户 | 由所有者租户添加的租户。 |
| 加入者租户 | 正在加入多租户组织的租户。 |
| 加入请求 | 加入者或添加的租户可提交一项加入多租户组织的加入请求。 |
| 挂起的租户 | 已由所有者添加但尚未加入的租户。 |
| 活动租户 | 已创建或加入多租户组织的租户。 |
| 成员租户 | 具有成员角色的租户。 大多数加入者租户以成员身份开始。 |
| 多租户组织租户 | 多租户组织的活动租户,不处于挂起状态。 |
| 跨租户同步 | Microsoft Entra ID 中的单向同步服务,可跨组织中的租户自动创建、更新和删除 B2B 协作用户。 |
| 跨租户访问设置 | 用于管理特定 Microsoft Entra 组织的协作的设置。 |
| 跨租户访问设置模板 | 一个用于预配置跨租户访问设置的可选模板,这些设置适用于新加入多租户组织的任何合作伙伴租户。 |
| 组织设置 | 特定 Microsoft Entra 组织的跨租户访问设置。 |
| 配置 | Microsoft Entra ID 中的应用程序和基础服务主体,包括跨租户同步所需的设置(例如目标租户、用户范围和属性映射)。 |
| 预配 | 跨边界自动创建或同步对象的过程。 |
| 自动兑换 | 一项 B2B 设置,用于自动兑换邀请,使新建的用户在添加到目标租户后不会收到邀请电子邮件,也不必接受同意提示。 |