通过

在 Microsoft 365 中规划多租户组织

  • 项目

注意

由世纪互联) 运营的 Microsoft 365 中国 (不提供多租户组织。 如果组织管理多个Microsoft 365 个租户,则可以在 Microsoft 365 中设置多租户组织,以促进租户之间的协作和资源访问。 创建多租户组织并在租户之间同步用户,在 相互搜索、使用Microsoft Teams 和会议以及协作处理文件时,在不同租户中的用户之间提供了更无缝的协作体验。

创建多租户组织的租户称为 所有者 ,而加入多租户组织的其他租户称为 成员。 所有者租户中的全局管理员创建多租户组织后,他们可以邀请成员租户。 然后,每个成员租户中的全局管理员可以加入多租户组织。

重要

Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。

在 Microsoft 365 管理中心中配置 Microsoft 365 多租户组织时,大部分支持基础结构位于 Entra ID Microsoft。 有关多租户组织如何在 entra ID Microsoft 中工作的详细信息,请参阅 什么是 Microsoft Entra ID 中的多租户组织?跨租户同步的拓扑

租户之间的用户同步

多租户组织使用 Microsoft Entra B2B 协作用户在租户之间同步用户。 租户中的用户作为 B2B 协作用户预配到多租户组织中的其他租户中,但用户类型为成员而不是来宾。 (请参阅 Microsoft Entra ID 中的默认用户权限是什么? ,了解这些角色之间的差异。) 多租户组织中的 Teams 需要成员用户类型。

建议从一小部分用户开始,然后再向整个组织推出。 完成全面推出后,强烈建议跨多租户组织的所有租户同步所有用户,以获得最佳用户体验。 但是,如果需要,可以同步一部分用户,包括不同的用户到不同的租户。

在 Microsoft 365 管理中心配置用户同步时,同一用户将同步到多租户组织中的所有租户。 必须在 Entra ID Microsoft配置将不同的用户同步到不同的租户。

配置用户同步后,可以在 Entra ID Microsoft调整同步设置,包括用户范围和属性映射。 (虽然可以为单个外部租户创建多个跨租户同步配置,但建议只使用一个,以便于管理。) 有关详细信息,请参阅 配置跨租户同步

现有的跨租户同步配置

如果在 Microsoft Entra ID 中具有现有的跨租户同步配置,则它们在 Microsoft 365 中设置多租户组织后将继续运行。 可以继续使用这些配置来同步 Microsoft 365 多租户组织的用户。 (请注意,Microsoft 365 管理中心无法识别这些配置,并且出站同步状态将显示为“未配置”。)

如果已将 B2B 成员用户与属于 MTO 的租户同步,这些用户将在 MTO 形成时立即成为 MTO 成员。

可以使用 Microsoft 365 管理中心在租户之间同步用户。 这将在 Entra ID Microsoft创建新的跨租户同步配置。 新的和以前的现有配置都将运行并同步你指定的用户。

建议仅使用单个配置将用户同步到给定租户。 如果要将同一用户同步到每个租户, 请在 Microsoft 365 管理中心配置同步。 如果要将不同的用户同步到不同的租户,请在 Entra ID Microsoft 配置同步

Microsoft Entra ID 中的跨租户访问设置

创建新的多租户组织或加入现有多租户组织时,多租户组织中的其他组织将添加到 租户中的 Microsoft Entra 跨租户访问设置 中。

如果已在 Microsoft Entra ID 中配置了组织关系,且租户要添加到多租户组织,则现有配置将更新如下:

  • 将更新入站跨租户同步设置,以允许用户同步到租户。
  • 出站信任设置已更新,因此,此租户中的用户在首次使用跨租户同步、B2B 协作或 B2B 直连 (共享通道) 访问其他租户时不必接受同意提示。

建议检查 B2B 协作设置中是否存在预先存在的组织关系,以确保允许适当的用户和应用。

新的 Microsoft Teams 桌面客户端

为了在多租户组织中获得最佳体验,用户需要 新的 Microsoft Teams 桌面客户端。 使用新的 Teams 桌面客户端,用户可以:

  • 接收来自多租户组织中所有租户的实时通知
  • 参与所有租户的聊天、会议和通话,而无需从呼叫或会议中删除来切换租户。
  • 单独为每个帐户和组织设置其状态。
  • 用户配置文件卡显示组织名称和电子邮件地址

若要控制哪些用户可以使用新的 Teams 桌面客户端,请使用 Teams 更新策略。 有关详细信息,请参阅 使用策略部署新 Teams

外部访问中的受信任组织

租户之间的聊天和调用需要外部访问权限。 必须为多租户组织中的每个租户配置外部组织中的 Teams 和 Skype for Business 用户的外部访问,并且必须允许多租户组织中所有租户的域。 此外,必须在租户之间同步的所有用户启用外部访问,以便与外部组织中的 Teams 和 Skype for Business 用户进行外部访问。 有关详细信息,请参阅 使用Microsoft标识管理外部会议并与人员和组织聊天

多租户组织中的共享频道

将 Teams 中的共享频道用于多租户组织中的其他租户,其工作原理与将共享频道用于任何其他外部组织相同。 虽然 Microsoft Entra ID 中的组织关系配置为多租户组织配置的一部分,但你仍必须在 Teams 中启用共享通道,并在 Microsoft Entra ID 中配置 B2B 直连设置。 有关详细信息,请参阅 在共享频道中与外部参与者协作

许可要求

使用多租户组织功能需要在所有多租户组织租户中Microsoft Entra ID P1 许可证或更高版本。 有关其他详细信息,请参阅 Entra 多租户组织许可要求。 如果计划通过 Microsoft 365 管理中心或 Microsoft Entra ID 利用 Entra 跨 租户同步 ,另请参阅 Entra 跨租户同步许可要求

Microsoft 365 中多租户组织的限制

以下是 Microsoft 365 中多租户组织的限制:

  • 多租户组织中最多支持 100 个租户。
  • 不支持 Web 上的 Teams、Microsoft Teams 会议室 (MTR) 和 VDI/AVD。
  • 移动设备不支持授予或撤销接收来自其他租户的通知并在租户之间切换的权限。
  • 如果组织中的用户最初是来宾并且以前访问过 SharePoint 资源,则组织中的用户链接可能不适用于其他租户的用户。
  • 同步后,用户可能需要长达 7 天的时间才能显示在搜索中。 如果用户在 7 天后无法搜索,请联系Microsoft支持人员。
  • 对 Power BI 中成员的来宾 UserType 的支持目前以预览版提供。 有关详细信息,请参阅 使用 Microsoft Entra B2B 将 Power BI 内容分发给外部来宾用户

如果要添加超过 100 个租户,请联系Microsoft支持人员。

有关其他限制,请参阅 多租户组织中的限制

设置或加入多租户组织

若要设置租户是所有者的新多租户组织,请参阅 在 Microsoft 365 中设置多租户组织

若要将现有多租户组织作为成员租户加入,请参阅 在 Microsoft 365 中加入或离开多租户组织

使用 PowerShell 或 Microsoft Graph API 配置跨租户同步

在 Microsoft 365 中同步多租户组织中的用户