Microsoft Entra ID 中的多租户组织功能
本文概述了 Microsoft Entra ID 中的多租户组织方案和相关功能。
什么是租户?
租户是 Microsoft Entra ID 的一个实例,其中保存了有关单个组织的信息,包括用户、组、设备等组织对象,以及 Microsoft 365 和第三方应用程序等应用程序注册。 租户还包含资源的访问与合规性策略,例如在目录中注册的应用程序。 租户提供的主要功能包括身份验证和资源访问管理。
从 Microsoft Entra 的角度看,租户构成了标识和访问管理范围。 例如,租户管理员为租户中的部分或所有用户提供应用程序,并对该租户中的用户强制实施该应用程序的访问策略。 此外,租户包含用于驱动最终用户体验的组织品牌数据,例如组织电子邮件域和该组织的员工使用的 SharePoint URL。 从 Microsoft 365 的角度看,租户构成了默认的协作和许可边界。 例如,Microsoft Teams 或 Microsoft Outlook 中的用户可以轻松查找其租户中的其他用户并与之协作,但无法查找或查看其他租户中的用户。
租户包含特权组织数据,并与其他租户安全隔离。 此外,可以将租户配置为在特定区域或云中持久保存和处理数据,使组织能够将租户用作一种机制来满足数据驻留与合规性处理要求。
什么是多租户组织?
多租户组织是具有多个 Microsoft Entra ID 实例的组织。 下面是组织使用多个租户的主要原因:
- 集团:具有多个子公司或独立运营的业务单位的组织。
- 合并与收购:合并或收购公司的组织。
- 资产剥离活动:在资产剥离中,一个组织拆分其部分业务以组建一个新组织或将业务出售给现有组织。
- 多个云:在多个云环境中运营的组织需要满足合规性或监管要求。
- 多个地理边界:组织需要根据驻留法规在多个地理位置运营。
- 测试或过渡租户:组织在更广泛地部署到主要租户之前需要在多个租户中进行测试或过渡。
- 部门或员工创建的租户:组织中的部门或员工创建了租户用于开发、测试或独立控制。
多租户挑战
你的组织可能最近收购了一家新公司、与另一家公司合并或根据新成立的业务单位进行重组。 如果有不同的标识管理系统,则不同租户中的用户访问资源和协作可能会面临挑战。
下图显示了其他租户中的用户为何无法跨组织中的租户访问应用程序。
随着组织的发展,IT 团队必须适应不断变化的需求。 这通常包括与现有租户整合或组建新租户。 无论标识基础结构的管理方式如何,为用户提供用于访问资源和协作的无缝体验都至关重要。 目前,你可能正在使用自定义脚本或本地解决方案来整合租户,以提供跨租户的无缝体验。
B2B 直连
要使用户能够在 Teams Connect 共享通道中跨租户协作,可以使用 Microsoft Entra B2B 直连。 B2B 直连是 External Identities 的一项功能,可用于与其他 Microsoft Entra 组织建立互信关系,以实现团队的无缝协作。 建立信任后,B2B 直连用户可以使用其主租户中的凭据进行单一登录访问。
这是跨多个租户使用 B2B 直连的主要限制:
- 目前,B2B 直连仅适用于 Teams Connect 共享通道。
有关详细信息,请参阅 B2B 直连概述。
B2B 协作
要使用户能够跨租户协作,可以使用 Microsoft Entra B2B 协作。 B2B 协作是外部标识的一项功能,使你能够邀请来宾用户同组织一起协作。 外部用户兑换其邀请或完成注册后,他们将在租户中表示为用户对象。 使用 B2B 协作,可以安全地将公司的应用程序和服务与外部用户共享,同时保持对自己公司数据的控制。
下面是跨多个租户使用 B2B 协作的主要限制:
- 管理员必须使用 B2B 邀请流程邀请用户,或使用 B2B 协作邀请管理器构建加入体验。
- 管理员可能必须使用自定义脚本来同步用户。
- 根据自动兑换设置,用户可能需要接受同意提示并在每个租户中遵循兑换流程。
- 默认情况下,用户属于外部来宾类型,其权限与外部成员不同,并且其用户体验可能不符合需求。
有关详细信息,请参阅 B2B 协作概述。
跨租户同步
如果你要让用户获得更无缝的跨租户协作体验,可以使用跨租户同步。 跨租户同步是 Microsoft Entra ID 中的单向同步服务,可跨组织中的租户自动创建、更新和删除 B2B 协作用户。 跨租户同步建立在 B2B 协作功能之上,利用现有的 B2B 跨租户访问设置。 用户在目标租户中表示为 B2B 协作用户对象。
下面是使用跨租户同步的主要好处:
- 在组织内自动创建 B2B 协作用户并为其提供对所需应用程序的访问权限,而无需创建和维护自定义脚本。
- 改进用户体验,并确保用户可以访问资源,而无需在每个租户中收到邀请电子邮件并接受同意提示。
- 自动更新用户并在他们离开组织时将其删除。
下面是跨多个租户使用跨租户同步的主要限制:
- 不会增强当前的 Teams 或 Microsoft 365 体验。 已同步用户所获得的跨租户 Teams 和 Microsoft 365 体验与任何其他 B2B 协作用户可用的体验相同。
- 不会同步组、设备或联系人。
有关详细信息,请参阅什么是跨租户同步?。
多租户组织
多租户组织是 Microsoft Entra ID 和 Microsoft 365 中的一项功能,可用于在组织内形成租户组。 组中的每对租户均由跨租户访问设置管理,你可以使用这些设置来配置 B2B 或跨租户同步。
以下是多租户组织的主要优势:
- 区分组织内和组织外外部用户
- 改进了新 Microsoft Teams 中的协作体验
- 改进了跨租户的人员搜索体验
有关详细信息,请参阅什么是 Microsoft Entra ID 中的多租户组织?。
比较多租户功能
可以根据组织的需求使用 B2B 直连、B2B 协作、跨租户同步和多租户组织功能的任意组合。 B2B 直连和 B2B 协作是独立的功能,而跨租户同步和多租户组织功能则彼此独立,虽然两者都依赖于基础的 B2B 协作。
下表比较了每项功能的作用。 有关不同外部标识方案的详细信息,请参阅比较外部标识功能集。
| B2B 直连 (组织到组织外部或内部) |
B2B 协作 (组织到组织外部或内部) |
跨租户同步 (组织内部) |
多租户组织 (组织内部) |
|
|---|---|---|---|---|
| 用途 | 用户可以访问托管在外部租户中的 Teams Connect 共享通道。 | 用户可以访问托管在外部租户中的应用/资源,通常拥有有限的来宾特权。 根据自动兑换设置,用户可能需要在每个租户中接受同意提示。 | 用户可以在同一组织中无缝访问应用/资源,即使它们托管在不同的租户中。 | 用户可以通过新的 Teams 和人员搜索在多租户组织中更无缝地进行协作。 |
| 值 | 仅在 Teams Connect 共享通道内启用外部协作。 对管理员而言更方便,因为他们无需管理 B2B 用户。 | 启用外部协作。 通过管理 B2B 协作用户来为管理员提供更高的控制和监视方便性。 管理员可以限制这些外部用户对其应用/资源的访问权限。 | 支持跨组织租户的协作。 管理员无需手动邀请和同步租户之间的用户,即可确保连续访问组织中的应用/资源。 | 支持跨组织租户的协作。 管理员可以通过跨租户访问设置继续获得完整的配置权限。 可选的跨租户访问模板允许预配置跨租户访问设置。 |
| 主管理员工作流 | 配置跨租户访问,使外部用户能够使用其主租户的凭据对租户进行入站访问。 | 使用 B2B 邀请流程将外部用户添加到资源租户,或使用 B2B 协作邀请管理器构建自己的加入体验。 | 配置跨租户同步引擎,以将多个租户之间的用户作为 B2B 协作用户进行同步。 | 创建多租户组织、添加(邀请)租户、加入多租户组织。 利用现有 B2B 协作用户或使用跨租户同步来预配 B2B 协作用户。 |
| 信任级别 | 中信任度。 不太容易跟踪 B2B 直连用户,必须与外部组织建立一定程度的信任。 | 中低信任度。 可以通过精细控制轻松跟踪和管理用户对象。 | 高信任度。 所有租户都是同一组织的一部分,通常为用户授予对所有应用/资源的成员访问权限。 | 高信任度。 所有租户都是同一组织的一部分,通常为用户授予对所有应用/资源的成员访问权限。 |
| 对用户的影响 | 用户使用其主租户的凭据访问资源租户。 用户对象不是在资源租户中创建的。 | 外部用户作为 B2B 协作用户添加到租户。 | 在同一组织内,用户将作为 B2B 协作用户从其主租户同步到资源租户。 | 在同一多租户组织内,B2B 协作用户(尤其是成员用户)可以受益于 Microsoft 365 中的增强型无缝协作。 |
| 用户类型 | B2B 直连用户 - 不适用 |
B2B 协作用户 - 外部成员 - 外部来宾(默认) |
B2B 协作用户 - 外部成员(默认) - 外部来宾 |
B2B 协作用户 - 外部成员(默认) - 外部来宾 |
下图展示了如何将 B2B 直连、B2B 协作和跨租户同步功能一起使用。
术语
若要更好地理解与多租户组织方案相关的 Microsoft Entra 功能,可参考以下术语列表。
| 术语 | 定义 |
|---|---|
| tenant | Microsoft Entra ID 的实例。 |
| organization | 业务层次结构的最高级别。 |
| 多租户组织 | 拥有多个 Microsoft Entra ID 实例并能在 Microsoft Entra ID 中对这些实例进行分组的组织。 |
| 创建者租户 | 创建多租户组织的租户。 |
| 所有者租户 | 具有所有者角色的租户。 最初为创建者租户。 |
| 添加的租户 | 由所有者租户添加的租户。 |
| 加入者租户 | 正在加入多租户组织的租户。 |
| 加入请求 | 加入者或添加的租户可提交一项加入多租户组织的加入请求。 |
| 挂起的租户 | 已由所有者添加但尚未加入的租户。 |
| 活动租户 | 已创建或加入多租户组织的租户。 |
| 成员租户 | 具有成员角色的租户。 大多数加入者租户以成员身份开始。 |
| 多租户组织租户 | 多租户组织的活动租户,不处于挂起状态。 |
| 跨租户同步 | Microsoft Entra ID 中的单向同步服务,可跨组织中的租户自动创建、更新和删除 B2B 协作用户。 |
| 跨租户访问设置 | 用于管理特定 Microsoft Entra 组织的协作的设置。 |
| 跨租户访问设置模板 | 一个用于预配置跨租户访问设置的可选模板,这些设置适用于新加入多租户组织的任何合作伙伴租户。 |
| 组织设置 | 特定 Microsoft Entra 组织的跨租户访问设置。 |
| 配置 | Microsoft Entra ID 中的应用程序和基础服务主体,包括跨租户同步所需的设置(例如目标租户、用户范围和属性映射)。 |
| 预配 | 跨边界自动创建或同步对象的过程。 |
| 自动兑换 | 一项 B2B 设置,用于自动兑换邀请,使新建的用户在添加到目标租户后不会收到邀请电子邮件,也不必接受同意提示。 |