Microsoft Entra ID 中的多租用戶組織功能
本文提供多租用戶組織案例的概觀,以及其在 Microsoft Entra ID 中的相關功能。
什麼是多租用戶組織案例?
當組織有多個 Microsoft Entra ID 執行個體租用戶時,就會發生多租用戶組織案例。 以下是組織可能有多租用戶的主要原因:
- 集團:具有多個子公司或獨立運作的業務單位的組織。
- 合併和收購:合併或收購公司的組織。
- 分拆活動:分拆中,一個組織將部分業務分割成新的組織,或將其銷售給現有組織。
- 多個雲端:具有合規性或法規需求的組織,必須存在於多個雲端環境中。
- 多個地理邊界:使用各種落地法規在多個地理位置運作的組織。
- 測試或暫存租用戶:廣泛部署到主要租用戶之前,需要多個租用戶進行測試或暫存用途的組織。
- 部門或員工建立的租用戶: 部門或員工建立租用戶以進行開發、測試或個別控制的組織。
什麼是 Microsoft Entra 租用戶?
租用戶是 Microsoft Entra ID 的執行個體,其中包含關於單一組織的資訊組織物件,例如使用者、群組和裝置,以及應用程式註冊,例如 Microsoft 365 和第三方應用程式。 租用戶也包含資源的存取和合規性原則,例如在目錄中註冊的應用程式。 租用戶的主要功能包括身分識別驗證,以及資源存取管理。
從 Microsoft Entra 的觀點來看,租用戶可形成身分識別和存取管理的範圍。 例如,租用戶系統管理員可讓租用戶中的部分或所有使用者可用應用程式,並為該租用戶中的使用者強制執行該應用程式的存取原則。 此外,租用戶包含組織商標資訊,可推動終端使用者體驗,例如組織電子郵件網域和該組織員工所使用的 SharePoint URL。 從 Microsoft 365 的觀點來看,租用戶可形成預設共同作業和授權邊界。 例如,Microsoft Teams 或 Microsoft Outlook 中的使用者可以輕鬆地尋找並與其租用戶中的其他使用者共同作業,但無法尋找或查看其他租用戶中的使用者。
租用戶包含特殊權限的組織資料,可以安全地與其他租用戶隔離。 此外,租用戶也可以設定為在特定區域或雲端保存和處理資料,讓組織能夠使用租用戶作為符合資料落地和處理合規性需求的機制。
多租用戶的挑戰
您的組織最近可能已收購新公司、與另一家公司合併,或根據新成立的業務單位進行重組。 如果您有不同的身分識別管理系統,則不同租用戶中的使用者存取資源和共同作業可能會是個挑戰。
下圖顯示其他租用戶中的使用者,可能無法在您的組織內存取跨租用戶應用程式。
隨著組織的發展,您的 IT 小組必須適應不斷變化的需求。 這通常包括整合現有的租用戶,或形成新的租用戶。 無論身分識別基礎結構如何管理,重要的是使用者存取資源和共同作業都必須擁有順暢的體驗。 目前,您可以使用自訂指令碼或內部部署解決方案將租用戶整合在一起,為跨租用戶提供順暢的體驗。
多租用戶組織的多租用戶功能
Microsoft Entra ID 中的多租用戶組織提供一系列多租用戶功能,可讓您用來安全地與多個租用戶組織中的使用者互動,以及自動佈建和管理跨租用戶的使用者。
其中多個多租用戶功能會與商務來賓的 Microsoft Entra 外部 ID 共用一個通用技術堆疊,並在 Microsoft Entra ID 中佈建應用程式,因此您可能會經常找到這些其他區域的交叉參考。 Microsoft 365 企業版使用多租用戶功能,在 Microsoft Teams 和跨 Microsoft 365 應用程式之間啟用或輔助更順暢的多租用戶共同作業體驗。
下列多租用戶功能集合,支援多租用戶組織的需求:
跨租用戶存取設定 - 管理組織內的租用戶允許或不允許從其他租用戶存取您的租用戶,反之亦然。 它們會控管 B2B 共同作業、B2B 直接連線、跨租用戶同步處理,以及指出您組織的另一個租用戶是否已為多租用戶組織的一部分。
B2B 直接連接 - 建立與其他 Microsoft Entra 租用戶的相互雙向信任,以便順暢地共同作業。 B2B 直接連接使用者不會顯示在您的目錄中,但是可在 Teams 共用頻道內顯示以進行共同作業。
B2B 共同作業 – 提供應用程式存取權,並與外部使用者共同作業。 B2B 共同作業使用者顯示在您的目錄中。 如果已啟用,他們可用於 Microsoft Teams 共同作業。 他們也適用於跨 Microsoft 365 應用程式。
跨租用戶同步處理 - 提供同步處理服務,可自動化跨多個租用戶組織建立、更新和刪除 B2B 共同作業使用者。 此服務可用來設定目標租用戶中 Microsoft 365 人員搜尋的範圍。 此服務由跨租用戶存取設定下的跨租用戶同步處理設定所控管。
Microsoft 365 多租用戶人員搜尋 - 與 B2B 共同作業使用者共同作業。 如果在地址清單中顯示,B2B 共同作業使用者可在 Outlook 中以連絡人的形式使用。 如果將使用者類型提升為 [成員],則大部分 Microsoft 365 應用程式中都可以使用 B2B 共同作業成員使用者。
多租用戶組織 - 可讓您定義組織擁有的 Microsoft Entra 租用戶邊界,由邀請與接受流程所實施。 搭配 B2B 成員佈建,可在 Microsoft Teams 和 Microsoft 365 應用程式,例如 Microsoft Viva Engage,提供順暢的共同作業體驗。 跨租用戶存取設定會為您的多租用戶組織租用戶加上旗標。
適用於多租用戶共同作業的 Microsoft 365 系統管理中心 - 提供直覺式的管理員入口網站體驗,以建立多租用戶組織。 對於較小的多租用戶組織,也提供簡易化創建體驗,可將使用者同步處理至多租用戶組織租用戶,作為使用 Microsoft Entra 系統管理中心的替代方案。
下列各節會更詳細地說明每個功能。
跨租用戶存取設定
Microsoft Entra 租用戶系統管理員持續控制其租用戶範圍資源是一個指導原則,即使在您組織的多個租用戶中也是如此。 因此,每個租用戶對租用戶關聯都需要跨租用戶存取設定,租用戶系統管理員會視需要明確設定每個跨租用戶存取關聯性。
下圖顯示基本跨租用戶存取輸入和輸出設定功能。
如需詳細資訊,請參閱跨租用戶存取概觀。
B2B 直接連接
若要讓使用者在 Teams Connect 共用頻道內跨租用戶共同作業 ,您可以使用 Microsoft Entra B2B 直接連線。 B2B 直接連接是外部身分識別的一項功能,其允許您與另一個 Microsoft Entra 租用戶建立互相信任關聯性以實現 Teams 內無縫共同作業。 建立信任後,B2B 直接連接使用者可以使用來自其主要租用戶的認證進行單一登入存取。
以下是在多個租用戶之間使用 B2B 直接連線的主要限制式:
- 目前,B2B 直接連接僅能與 Teams Connect 共用通道搭配使用。
如需詳細資訊,請參閱 B2B 直接連線概觀。
B2B 共同作業
若要讓使用者跨租用戶共同作業,您可以使用 Microsoft Entra B2B 共同作業。 B2B 共同作業是外部身分識別中的一項功能,可讓您邀請來賓使用者與您的組織共同作業。 一旦外部使用者兌換其邀請或完成註冊之後,他們就會在您的租用戶中以使用者物件表示。 透過 B2B 共同作業,您可以與外部使用者安全地共用租用戶的應用程式與服務,同時持續控制租用戶的資料。
以下是跨多個租用戶使用 B2B 共同作業的主要條件約束:
- 系統管理員必須使用 B2B 邀請程式邀請使用者,或使用 B2B 共同作業邀請管理員來建置上線體驗。
- 系統管理員可能需要使用自訂指令碼來同步使用者。
- 依據自動兌換設定,使用者可能需要接受同意提示,並遵循每個租用戶中的兌換流程。
如需詳細資訊,請參閱 B2B 共同作業概觀。
跨租用戶同步處理
如果您想要讓使用者在租用戶之間擁有更順暢的共同作業體驗,您可以在 Microsoft Entra ID 中使用跨租用戶同步處理。 跨租用戶同步處理是 Microsoft Entra ID 中提供同步處理服務的一種方式,可自動化跨組織內的租用戶建立、更新和刪除 B2B 共同作業使用者。 跨租用戶同步處理建置在 B2B 共同作業功能上,並利用現有的 B2B 跨租用戶存取設定。 使用者會在目標租用戶中表示為 B2B 共同作業使用者物件。
以下是使用跨租用戶同步處理的主要優點:
- 在組織內自動建立 B2B 共同作業使用者,並提供他們所需的應用程式存取權,而不需要建立和維護自訂指令碼。
- 改善使用者體驗,並確保使用者可以存取資源,不需要接收邀請電子郵件,而且必須接受每個租用戶中的同意提示。
- 自動更新使用者,並在他們離開組織時將其移除。
以下是跨多個租用戶使用跨租用戶同步處理的主要條件約束:
- 已同步處理的使用者將會有和任何其他 B2B 共同作業使用者相同的跨租用戶 Teams 和 Microsoft 365 體驗。
- 不會同步群組、裝置或連絡人。
如需詳細資訊,請參閱什麼是跨租用戶同步處理?。
Microsoft 365 多租用戶人員搜尋
B2B 共同作業使用者現在可以在 Microsoft 365 中啟用共同作業,更勝眾所熟知的 B2B 共同作業來賓使用者 體驗。
多租用戶組織人員搜尋是一項共同作業功能,可跨多個租用戶搜尋和探索人員。 如果在地址清單中顯示,B2B 共同作業使用者可在 Outlook 中以連絡人的形式使用。 除了在地址清單中顯示以外,如果進一步將使用者類型提升為 [成員],則大部分 Microsoft 365 應用程式中都可以使用 B2B 共同作業成員使用者。
以下是跨多個租用戶使用 Microsoft 365 人員搜尋的主要優點:
- B2B 共同作業使用者可以在 Outlook 中用於共同作業。 這可以使用 showInAddressList 屬性集,針對主機租用戶中的 Exchange Online 郵件使用者設定為「True」,或使用來源租用戶的跨租用戶同步處理來啟用。
- B2B 共同作業使用者已顯示在地址清單中,可供大部分 userType 屬性集設定為「Member」的 Microsoft 365 應用程式進行共同作業,可在主機租用戶的 Microsoft Entra 系統管理中心管理,或從來源租用戶使用跨租用戶同步處理控制。
以下是跨多個租用戶使用 Microsoft 365 人員搜尋的主要條件約束:
- 對於大部分 Microsoft 365 應用程式的共同作業,B2B 共同作業使用者應該會在地址清單中顯示,並將使用者類型設定為「成員」。
- 如需其他地址清單條件約束,請參閱多租用戶組織中全域通訊清單限制。
如需詳細資訊,請參閱 Microsoft 365 多租用戶人員搜尋。
多組織用戶組織
多租用戶組織是 Microsoft Entra ID 和 Microsoft 365 中的一項功能,可讓您定義組織擁有之 Microsoft Entra 租用戶之間的邊界。 在目錄中,它會採用代表您組織的租用戶群組表單。 群組中的每個租用戶配對都會受到您用來設定 B2B 共同作業的跨租用戶存取設定所控管。
以下是多租用戶組織的主要優勢:
- 區分組織內部和組織外的外部使用者
- 改善新的 Microsoft Teams 中的共同作業體驗
- 改善 Viva Engage 中的共同作業體驗
以下是使用多租用戶組織的主要條件約束:
- 如果您已在屬於多租用戶組織的租用戶中擁有 B2B 共同作業成員使用者,這些使用者會在建立多租用戶組織時立即成為多租用戶組織成員。 因此,具有多租用戶組織體驗的應用程式會將現有的 B2B 共同作業成員使用者辨識為多租用戶組織使用者。
- 仰賴於 B2B 共同作業成員使用者的倒數佈建,可改善 Microsoft Teams 的共同作業。
- 仰賴於 B2B 共同作業成員的集中式佈建,可改善 Viva Engage 共同作業。
- 如需其他條件約束,請參閱多租用戶組織中的限制。
如需詳細資訊,請參閱什麼是 Microsoft Entra ID 中的多租用戶組織?。
多租用戶共同作業的 Microsoft 365 系統管理中心
適用於多租用戶共同作業的 Microsoft 365 系統管理中心提供直覺式的管理員入口網站體驗,以建立您的多租用戶組織。
- 在 Microsoft 365 系統管理中心中建立多租用戶組織。
建立多租用戶組織之後,Microsoft 提供兩種方法大規模將員工佈建到鄰近的多租用戶組織租用戶。
- 針對具有複雜身分識別拓撲的企業組織,建議在 Microsoft Entra ID 中使用跨租用戶同步處理。 跨租用戶同步處理設定程度高,並允許佈建任何多中樞輪輻身分識別拓撲。
- 對於較小型的多租用戶組織,其員工將佈建置所有租用戶,則建議您仍在 Microsoft 365 系統管理中心內,同時將使用者同步處理到多租用戶組織的多個租用戶。
如果您已經有自己的大規模使用者佈建引擎,您可以享有新的多租用戶組織優勢,同時繼續使用自己的引擎來管理員工的生命週期。
以下是使用 Microsoft 365 系統管理中心建立多租用戶組織及/或佈建員工的主要優勢。
- Microsoft 365 系統管理中心提供圖形化使用者介面來建立多租用戶組織。
- Microsoft 365 系統管理中心會預先設定您的租用戶,自動兌換 B2B 共同作業邀請。
- Microsoft 365 系統管理中心會預先設定您的租用戶以進行輸入使用者同步處理,不過跨租用戶同步處理的使用量仍為選用。
- Microsoft 365 系統管理中心可讓您輕鬆地將員工佈建到多租用戶組織中的多個租用戶。
以下是使用 Microsoft 365 系統管理中心建立多租用戶組織或佈建員工的主要條件約束:
- Microsoft 365 系統管理中心會預先設定,但不會啟動跨租用戶同步處理作業,即使您打算在 Microsoft Entra 系統管理中心中使用跨租用戶同步處理也一樣。
- 複雜的身分識別拓撲,例如多中樞、多輪輻系統,更建議從 Microsoft Entra 管理入口網站中使用跨租用戶同步處理來妥善佈建。
如需詳細資訊,請參閱 Microsoft 365 多租用戶共同作業。
比較多租用戶功能
根據您的組織需求,您可以使用 B2B 直接連線、B2B 共同作業、跨租用戶同步處理和多租用戶組織功能的任何組合。 B2B 直接連線和 B2B 共同作業是獨立的功能,而跨租用戶同步處理和多租用戶組織功能彼此獨立,但兩者都依賴 B2B 共同作業。
下表比較每個功能。 如需有關不同外部身分識別案例的詳細資訊,請參閱比較外部識別碼功能集。
| B2B 直接連接 (組織對組織外部或內部) |
B2B 共同作業 (組織對組織外部或內部) |
跨租用戶同步處理 (組織內部) |
多組織用戶組織 (組織內部) |
|
|---|---|---|---|---|
| 用途 | 使用者可以存取託管於外部租用戶的Teams Connect 共用頻道。 | 使用者可以存取託管於外部租用戶的應用程式/資源,通常使用有限的來賓許可權。 依據自動兌換設定,使用者可能需要接受每個租用戶的同意提示。 | 使用者可以順暢存取相同組織的應用程式/資源,即使應用程式託管在不同的租用戶也一樣。 | 使用者可以在新的 Teams 和 Viva Engage 中跨多租用戶組織順暢地共同作業。 |
| 值 | 僅啟用 Teams Connect 共用頻道內的外部共同作業。 對於系統管理員來說更方便,因為他們不需要管理 B2B 使用者。 | 啟用外部共同作業。 藉由管理 B2B 共同作業使用者,為系統管理員提供更多控制和監視。 系統管理員可以限制這些外部使用者對其應用程式/資源的存取。 | 能夠跨組織的租用戶進行共同作業。 管理員不必在不同租用戶之間手動邀請和同步處理使用者,便能確保其可以持續存取組織內的應用程式/資源。 | 能夠跨組織的租用戶進行共同作業。 系統管理員繼續使用跨租用戶存取設定的完整設定功能。 選用的跨租用戶存取範本允許預先設定跨租用戶的存取設定。 |
| 主要系統管理員工作流程 | 設定跨租用戶存取,為外部使用者提供其主租用戶的認證輸入存取權。 | 使用 B2B 共同作業邀請管理員,透過使用 B2B 邀請流程或建置上線體驗來將外部使用者新增至資源租用戶。 | 設定跨租用戶同步處理引擎,以將多個租用戶之間的使用者同步處理為 B2B 共同作業使用者。 | 建立多租用戶組織、新增 (邀請) 租使用者、加入多租用戶組織。 使用現有的 B2B 共同作業使用者,或使用跨租用戶同步處理來佈建 B2B 共同作業使用者。 |
| 信任層級 | 中等信任。 B2B 直接連線使用者較不容易追蹤,需要與外部組織執行某種程度上的信任。 | 低到中等信任。 使用者物件可以使用精細的控輕鬆追蹤及管理。 | 高度信任。 所有租用戶都是相同組織的一部分,而且使用者通常會獲得所有應用程式/資源的成員存取權。 | 高度信任。 所有租用戶都是相同組織的一部分,而且使用者通常會獲得所有應用程式/資源的成員存取權。 |
| 影響的使用者 | 使用者使用其主租用戶的認證來存取資源租用戶。 不會在資源租用戶中建立使用者物件。 | 外部使用者會新增至租用戶作為 B2B 共同作業使用者。 | 在同一個組織中,使用者會從其主租用戶同步處理到資源租用戶,作為 B2B 共同作業使用者。 | 在同一個多租用戶組織中,B2B 共同作業使用者,尤其是成員使用者,得益於跨 Microsoft 365 的增強、順暢的共同作業。 |
| 使用者類型 | B2B 直接連接使用者 - 不適用 |
B2B 共同作業使用者 - 外部成員 - 外部來賓 (預設) |
B2B 共同作業使用者 - 外部成員 (預設) - 外部來賓 |
B2B 共同作業使用者 - 外部成員 (預設) - 外部來賓 |
下圖顯示 B2B 直接連線、B2B 共同作業和跨租用戶同步處理功能一起使用的方式。
詞彙
若要進一步了解多租用戶組織案例相關的Microsoft Entra 功能,您可以參考以下術語清單。
| 詞彙 | 定義 |
|---|---|
| tenant | Microsoft Entra ID 的執行個體。 |
| 組織 | 商務階層的最高等級。 |
| 多組織用戶組織 | 具有多個 Microsoft Entra ID 執行個體的組織,以及將 Microsoft Entra ID 內執行個體分組的功能。 |
| 建立者租用戶 | 建立多租用戶組織的租用戶。 |
| 擁有者租用戶 | 具有擁有者角色的租用戶。 一開始,建立者租用戶。 |
| 已新增租用戶 | 由擁有者租用戶新增的租用戶。 |
| 加入者租用戶 | 加入多租用戶組織的租用戶。 |
| 加入要求 | 加入者或已新增租用戶,會提交加入要求以加入多租用戶組織。 |
| 待決租用戶 | 由擁有者新增但尚未加入的租用戶。 |
| 作用中租用戶 | 已建立或已加入多租用戶組織的租用戶。 |
| 成員租用戶 | 具有成員角色的租用戶。 大部分的加入者租用戶都會以成員身分開始。 |
| 多組織用戶組織租用戶 | 多租用戶組織的作用中租用戶,而非待決租用戶。 |
| 跨租用戶同步處理 | 是 Microsoft Entra ID 中提供同步處理服務的一種方式,可自動化跨組織內的租用戶建立、更新和刪除 B2B 共同作業使用者。 |
| 跨租用戶存取設定 | 管理特定 Microsoft Entra 組織共同作業的設定。 |
| 跨租用戶存取設定範本 | 選用範本以預先設定套用至任何新加入多租用戶組織的合作夥伴租用戶,用於跨租用戶存取設定。 |
| 組織設定 | 特定 Microsoft Entra 組織跨租用戶存取的設定。 |
| 組態 | Microsoft Entra ID 中的應用程式和基礎服務主體,其中包含跨租用戶同步處理所需的設定 (例如目標租用戶、使用者範圍和屬性對應)。 |
| 佈建 | 自動跨邊界建立或同步處理物件的流程。 |
| 自動兌換 | B2B 設定可自動兌換邀請,因此新建立的使用者不會收到邀請電子郵件,或必須接受同意提示才能新增至目標租用戶。 |