多租使用者管理的常見考慮
本文是一系列文章中的第三篇文章,提供在 Microsoft Entra 多租用戶環境中設定及提供使用者生命週期管理的指引。 本系列中的下列文章提供詳細資訊,如所述。
- 多租使用者管理簡介 是一系列文章中的第一個,提供在 Microsoft Entra 多租用戶環境中設定及提供使用者生命週期管理的指引。
- 多租使用者管理案例 描述三種案例,您可以使用多租用戶使用者管理功能:使用者起始、編寫腳本和自動化。
- 在單一租使用者不適用於您的案例時,多租用戶使用者管理的 常見解決方案,本文提供這些挑戰的指引:跨租使用者自動使用者生命週期管理和資源配置、跨租使用者共用內部部署應用程式。
本指南可協助您達到使用者生命週期管理的一致狀態。 生命週期管理包括使用 Microsoft Entra B2B 共同作業 (B2B) 和跨租使用者同步處理的可用 Azure 工具,布建、管理和取消布建使用者。
同步處理需求對組織的特定需求而言是唯一的。 當您設計解決方案以符合組織的需求時,本文中的下列考慮將協助您找出最佳選項。
- 跨租用戶同步處理
- Directory 物件
- Microsoft Entra 條件式存取
- 其他訪問控制
- Office 365
跨租用戶同步處理
跨租使用者同步 處理可以解決多租用戶組織的共同作業和存取挑戰。 下表顯示常見的同步處理使用案例。 當考慮與多個共同作業模式相關時,您可以使用跨租使用者同步處理和客戶開發來滿足使用案例。
| 使用案例 | 跨租使用者同步處理 | 自定義開發 |
|---|---|---|
| 使用者生命週期管理 |  |
|
| 檔案共用和應用程式存取 | |
|
| 支援從主權雲端同步處理 | |
|
| 從資源租使用者控制同步處理 | |
|
| 同步群組物件 | |
|
| 同步管理員連結 | |
|
| 授權單位的屬性層級來源 | |
|
| Microsoft Entra 回寫至 Microsoft Windows Server Active Directory | |
目錄物件考慮
邀請具有UPN與SMTP位址的外部使用者
Microsoft Entra B2B 預期使用者的 UserPrincipalName (UPN) 是傳送邀請的主要簡單郵件傳輸通訊協定 (SMTP) (Email) 位址。 當使用者的UPN與其主要SMTP位址相同時,B2B 會如預期般運作。 不過,如果 UPN 與外部使用者的主要 SMTP 位址不同,當使用者接受邀請時,它可能無法解決,如果您不知道使用者真正的 UPN,這可能是一項挑戰。 您必須在傳送 B2B 的邀請時探索並使用 UPN。
本文的 Microsoft Exchange Online 一節說明如何變更外部用戶的預設主要 SMTP。 如果您希望外部的所有電子郵件和通知都流向實際的主要 SMTP 位址,而不是 UPN,這項技術就很有用。 如果UPN無法路由傳送郵件流程,則可能是需求。
轉換外部使用者的UserType
當您使用主控台手動建立外部使用者帳戶的邀請時,它會使用來賓使用者類型建立用戶物件。 使用其他技術建立邀請可讓您將用戶類型設定為外部來賓帳戶以外的專案。 例如,使用 API 時,您可以設定帳戶是外部成員帳戶或外部來賓帳戶。
- 您可以移除來賓功能的一些限制。
- 您可以將 來賓帳戶轉換成成員用戶類型。
如果您從外部來賓用戶轉換成外部成員用戶帳戶,Exchange Online 處理 B2B 帳戶的方式可能會有問題。 您無法以外部成員使用者身分邀請的郵件啟用帳戶。 若要啟用外部成員帳戶的郵件功能,請使用下列最佳方法。
- 邀請跨組織使用者作為外部來賓用戶帳戶。
- 在 GAL 中顯示帳戶。
- 將 UserType 設定為 Member。
當您使用此方法時,帳戶會顯示為 Exchange Online 和 Office 365 中的 MailUser 物件。 此外,請注意有時間挑戰。 檢查兩個 Microsoft Entra 使用者 ShowInAddressList 屬性與 Exchange Online PowerShell HiddenFromAddressListsEnabled 属性(彼此相反)來確認用戶可見。 本文的 Microsoft Exchange Online 一節提供有關變更可見性的詳細資訊。
您可以將成員用戶轉換成來賓使用者,這對您想要限制為來賓層級許可權的內部使用者很有用。 內部來賓使用者是您組織員工,而是管理其使用者和認證的使用者。 它可能會允許您避免授權內部來賓使用者。
使用郵件聯繫人物件而非外部用戶或成員的問題
您可以使用傳統的 GAL 同步處理來代表來自另一個租用戶的使用者。 如果您執行 GAL 同步處理,而不是使用 Microsoft Entra B2B 共同作業,它會建立郵件聯繫人物件。
- 郵件聯繫人對象和啟用郵件的外部成員或來賓用戶無法同時與相同電子郵件位址共存於相同的租使用者中。
- 如果郵件聯繫人物件存在與受邀外部使用者相同的郵件位址,則會建立外部使用者,但未啟用郵件功能。
- 如果啟用郵件的外部使用者與相同的郵件存在,嘗試建立郵件聯繫人物件會在建立時擲回例外狀況。
注意
使用郵件聯繫人需要 Active Directory 服務 (AD DS) 或 Exchange Online PowerShell。 Microsoft Graph 不提供用於管理聯繫人的 API 呼叫。
下表顯示郵件聯繫人物件和外部用戶狀態的結果。
| 現有狀態 | 佈建案例 | 有效結果 |
|---|---|---|
| 無 | 邀請 B2B 成員 | 啟用郵件功能的成員使用者。 請參閱上面的重要注意事項。 |
| 無 | 邀請 B2B 來賓 | 啟用郵件功能的外部使用者。 |
| 郵件聯繫人物件存在 | 邀請 B2B 成員 | Error。 Proxy 位址的衝突。 |
| 郵件聯繫人物件存在 | 邀請 B2B 來賓 | 已啟用郵件聯繫人和非郵件的外部使用者。 請參閱上面的重要注意事項。 |
| 啟用郵件的外部來賓使用者 | 建立郵件聯繫人物件 | 錯誤 |
| 已啟用郵件的外部成員使用者存在 | 建立郵件連絡人 | 錯誤 |
Microsoft 建議使用 Microsoft Entra B2B 共同作業 (而不是傳統的 GAL 同步處理)來建立:
- 您啟用以 GAL 顯示的外部使用者。
- 默認會顯示在 GAL 中的外部成員使用者,但未啟用郵件功能。
您可以選擇使用郵件聯絡人物件在 GAL 中顯示使用者。 這種方法會整合 GAL,而不提供其他許可權,因為郵件聯繫人不是安全性主體。
請遵循這個建議的方法來達成目標:
- 邀請來賓使用者。
- 從 GAL 取消隱藏它們。
- 封鎖 他們登入來停用它們。
郵件連絡人對象無法轉換成用戶物件。 因此,與郵件聯繫人對象相關聯的屬性無法傳輸(例如群組成員資格和其他資源存取)。 使用郵件聯繫人物件來代表使用者隨附下列挑戰。
- Office 365 群組。 Office 365 群組支持原則,控制允許成為群組成員的用戶類型,以及與群組相關聯的內容互動。 例如,群組可能不允許來賓使用者加入。 這些原則無法控管郵件聯繫人物件。
- Microsoft Entra 自助群組管理(SSGM)。 郵件聯繫人物件不符合使用 SSGM 功能群組中的成員資格。 您可能需要更多工具來管理以聯繫人表示的收件者而非用戶物件群組。
- Microsoft Entra ID 控管 存取權檢閱。 您可以使用存取權檢閱功能來檢閱及證明 Office 365 群組的成員資格。 存取權檢閱是以用戶對象為基礎。 以郵件聯繫人物件表示的成員沒有存取權檢閱的範圍。
- Microsoft Entra ID 控管 權利管理(EM)。 當您使用 EM 來啟用公司 EM 入口網站中外部使用者的自助式存取要求時,它會建立用戶物件要求的時間。 它不支援郵件聯繫人物件。
Microsoft Entra 條件式存取考慮
使用者、裝置或使用者主租使用者中的網路狀態不會傳達給資源租使用者。 因此,外部使用者可能無法滿足使用下列控件的條件式存取原則。
如果允許,您可以使用接受來自主租使用者多重要素驗證和裝置合規性的跨租使用者存取 設定 (CTAS) 來覆寫此行為。
- 需要多重要素驗證。 若未設定 CTAS,外部用戶必須在資源租用戶中註冊/回應多重要素驗證(即使主租用戶中滿足多重要素驗證),這會導致多個多重要素驗證挑戰。 如果需要重設多重要素驗證證明,他們可能不知道跨租使用者的多個多重要素驗證證明註冊。 缺乏感知可能需要用戶連絡主租用戶、資源租使用者或兩者中的系統管理員。
- 裝置需要標記為符合規範。 若未設定 CTAS,裝置身分識別就不會在資源租用戶中註冊,因此外部使用者無法存取需要此控制的資源。
- 需要已加入 Microsoft Entra 混合式裝置。 若未設定 CTAS,裝置身分識別就不會在資源租用戶中註冊(或 內部部署的 Active Directory 連線到資源租使用者),因此外部使用者無法存取需要此控制的資源。
- 需要核准的用戶端應用程式或要求應用程式保護原則。 若未設定 CTAS,外部使用者就無法套用資源租使用者 Intune 行動應用程式管理 (MAM) 原則,因為它也需要裝置註冊。 使用此控件的資源租用戶條件式存取原則不允許家庭租使用者 MAM 保護滿足原則。 從每個以 MAM 為基礎的條件式存取原則中排除外部使用者。
此外,雖然您可以使用下列條件式存取條件,但請注意可能的後果。
- 登入風險和使用者風險。 其主租使用者中的用戶行為會決定登入風險和用戶風險。 主租用戶會儲存數據和風險分數。 如果資源租用戶原則封鎖外部使用者,資源租用戶系統管理員可能無法啟用存取。 Identity Protection 和 B2B 使用者 說明 Identity Protection 如何偵測 Microsoft Entra 使用者的遭入侵認證。
- 位置。 資源租使用者中的具名位置定義會決定原則的範圍。 原則的範圍不會評估主租使用者中管理的信任位置。 如果您的組織想要跨租用戶共用信任的位置,請在您定義資源和條件式存取原則的每個租用戶中定義位置。
保護您的多租用戶環境
檢閱 安全性檢查清單 和 最佳做法 ,以取得保護租使用者的指引。 請確定遵循這些最佳做法,並檢閱這些最佳做法與您密切合作的任何租使用者。
條件式存取
以下是設定訪問控制的考慮。
- 定義 訪問控制原則 ,以控制資源的存取。
- 以外部用戶為考慮設計條件式存取原則。
- 特別為外部使用者建立原則。
- 建立外部帳戶的專用條件式存取原則。
監視多租用戶環境
- 使用 稽核記錄 UI、 API 或 Azure 監視器整合 來監視跨租使用者存取原則的變更(適用於主動式警示)。 稽核事件會使用 「CrossTenantAccess 設定」 和 「CrossTenantIdentitySync 設定」 類別。藉由監視這些類別下的稽核事件,您可以識別租使用者中的任何跨租使用者存取原則變更,並採取動作。 在 Azure 監視器中建立警示時,您可以建立查詢,例如下列查詢,以識別任何跨租使用者存取原則變更。
AuditLogs
| where Category contains "CrossTenant"
- 使用 跨租使用者存取活動 儀錶板監視租使用者中的應用程式存取。 這可讓您查看誰正在存取租使用者中的資源,以及這些使用者的來源。
動態群組
如果您的組織使用現有條件式存取原則中的所有用戶動態群組條件,此原則會影響外部使用者,因為它們位於所有使用者的範圍內。
需要應用程式的使用者指派
如果應用程式具有 [需要使用者指派? ] 屬性設定為 [否],外部使用者可以存取應用程式。 應用程式管理員必須瞭解訪問控制的影響,特別是當應用程式包含敏感性資訊時。 將 Microsoft Entra 應用程式限製為 Microsoft Entra 租使用者中的一組使用者,說明 Microsoft Entra 租 使用者中已註冊的應用程式預設如何可供成功驗證的租使用者所有使用者使用。
Privileged Identity Management
啟用 Privileged Identity Management,將持續性系統管理員存取降至最低。
受限制的管理單位
當您使用安全組來控制跨租使用者同步處理範圍的人員時,您要限制誰可以變更安全組。 將指派給跨租使用者同步作業之安全組的擁有者數目降至最低,並將群組包含在受限制的管理單位中。 這會限制可以新增或移除群組成員並跨租使用者布建帳戶的人員數目。
其他訪問控制考慮
條款及條件
Microsoft Entra 使用 規定提供簡單的方法,組織可用來向使用者呈現資訊。 您可以使用使用規定來要求外部使用者先核准使用規定,再存取您的資源。
具有 Microsoft Entra ID P1 或 P2 功能的來賓用戶授權考慮
Microsoft Entra 外部 ID 定價是以每月作用中使用者 (MAU) 為基礎。 作用中用戶的數目是行事曆月份內具有驗證活動的唯一用戶計數。 Microsoft Entra 外部 ID 計費模型描述定價如何以每月作用中使用者 (MAU) 為基礎,這是行事曆月份內具有驗證活動的唯一用戶計數。
Office 365 考慮
下列資訊說明本文案例內容中的 Office 365。 Microsoft 365 Intertenant collaboration 365 Intertenant collaboration 提供詳細資訊,說明選項包括使用檔案和交談的中央位置、共用行事曆、使用 IM、音訊/視訊通話進行通訊,以及保護對資源和應用程式的存取。
Microsoft Exchange Online
Exchange Online 會限制外部使用者的特定功能。 您可以藉由建立外部成員使用者而非外部來賓用戶來減少限制。 支援外部使用者有下列限制。
- 您可以將 Exchange Online 授權指派給外部使用者。 不過,您無法為其發出 Exchange Online 的令牌。 結果是他們無法存取資源。
- 外部使用者無法在資源租使用者中使用共用或委派的 Exchange Online 信箱。
- 您可以將外部使用者指派給共用信箱,但無法存取該信箱。
- 您需要取消隱藏外部使用者,才能將它們包含在 GAL 中。 根據預設,它們會隱藏。
- 隱藏的外部使用者會在邀請時間建立。 建立與使用者是否已兌換其邀請無關。 因此,如果所有外部使用者未隱藏,清單就會包含尚未兌換邀請的外部用戶用戶物件。 根據您的案例,您可能或可能不想列出物件。
- 外部使用者可能未隱藏使用 Exchange Online PowerShell。 您可以執行 Set-MailUser PowerShell Cmdlet,將 HiddenFromAddressListsEnabled 屬性值設定為 $false。
例如:
Set-MailUser [ExternalUserUPN] -HiddenFromAddressListsEnabled:\$false\
其中 ExternalUserUPN 是導出 的 UserPrincipalName。
例如:
Set-MailUser externaluser1_contoso.com#EXT#@fabricam.onmicrosoft.com\ -HiddenFromAddressListsEnabled:\$false
外部使用者可能會在 Microsoft 365 系統管理中心 中取消隱藏。
- 您只能使用 Exchange Online PowerShell 設定 Exchange 特定屬性的更新(例如 PrimarySmtpAddress、ExternalEmailAddress、EmailAddresses 和 MailTip)。 Exchange Online 管理員 中心不允許您使用圖形使用者介面 (GUI) 來修改屬性。
如上所示,您可以針對郵件特定屬性使用 Set-MailUser PowerShell Cmdlet。 您可以使用 Set-User PowerShell Cmdlet 來修改使用者屬性。 您可以使用 Azure AD Graph API 修改大部分的屬性。
Set-MailUser 最有用的功能之一是能夠操作 EmailAddresses 屬性。 此多重值屬性可能包含外部使用者的多個 Proxy 位址(例如 SMTP、X500、會話初始通訊協定 (SIP))。 根據預設,外部使用者的主要 SMTP 位址戳記與 UserPrincipalName (UPN) 相互關聯。 如果您想要變更主要 SMTP 或新增 SMTP 位址,您可以設定此屬性。 您無法使用 Exchange 管理員 中心;您必須使用 Exchange Online PowerShell。 在 Exchange Online 中新增或移除信箱的電子郵件地址會顯示修改多值屬性的不同方式,例如 EmailAddresses。
Microsoft 365 中的 Microsoft SharePoint
Microsoft 365 中的 SharePoint 有自己的服務特定許可權,取決於使用者 (內部或外部) 是 Microsoft Entra 租使用者中的類型成員或來賓。 Office 365 外部共用和 Microsoft Entra B2B 共同 作業說明如何啟用與 SharePoint 和 OneDrive 的整合,以與組織外部人員共用檔案、資料夾、清單專案、文檔庫和網站,同時使用 Azure B2B 進行驗證和管理。
在 Microsoft 365 的 SharePoint 中啟用外部共享之後,Microsoft 365 中 SharePoint 人員選擇器中搜尋來賓使用者的能力預設為 OFF 。 此設定會禁止來賓使用者從 Exchange Online GAL 隱藏時進行探索。 您可以讓來賓使用者以兩種方式顯示(非互斥):
- 您可以透過下列方式啟用搜尋來賓使用者的能力:
- 修改租用戶和網站集合層級的 Show 人員 PickerSuggestionsForGuestUsers 設定。
- 使用 Microsoft 365 PowerShell Cmdlet 中的 Set-SPOTenant 和 Set-SPOSiteSharePoint 來設定功能。
- 在 Exchange Online GAL 中可見的來賓使用者,也會在 Microsoft 365 中的 SharePoint 人員選擇器中看到。 不論 Show 人員 PickerSuggestionsForGuestUsers 的設定為何,都會顯示這些帳戶。
Microsoft Teams
Microsoft Teams 具有限制存取和根據使用者類型的功能。 對使用者類型的變更可能會影響內容存取和可用的功能。 Microsoft Teams 會要求使用者在主租使用者外部的 Teams 工作時,使用 Teams 用戶端的租使用者切換機制來變更其內容。
Microsoft Teams 的租使用者切換機制可能需要使用者在主租使用者外部的 Teams 工作時,手動切換 Teams 用戶端的內容。
您可以讓來自另一個外部網域的Teams使用者,以使用Teams同盟來尋找、通話、聊天及設定與用戶的會議。 使用 Microsoft 身分 識別管理外部會議和與人員與組織聊天說明如何允許組織中的使用者聊天,並與使用 Microsoft 做為身分識別提供者的組織外部人員會面。
Teams 中來賓用戶的授權考慮
當您搭配 Office 365 工作負載使用 Azure B2B 時,主要考慮包括來賓使用者(內部或外部)與成員用戶沒有相同體驗的實例。
- Microsoft 群組。將來賓新增至 Office 365 群組說明來賓存取 Microsoft 365 群組 如何讓您和小組透過將群組交談、檔案、行事曆邀請和群組筆記本的存取權授與貴組織外部的人員共同作業。
- Microsoft Teams。Teams 中的小組擁有者、成員和來賓功能描述 Microsoft Teams 中的來賓帳戶體驗。 您可以使用外部成員使用者,在 Teams 中啟用完整逼真度體驗。
- 對於商業雲端中的多個租使用者,在其主租用戶中授權的使用者,可能會存取相同法律實體內另一個租使用者中的資源。 您可以使用外部成員設定來授與存取權,而不需要額外的授權費用。 此設定適用於 SharePoint、商務用 OneDrive、Teams 和群組。
- 對於其他 Microsoft 雲端中的多個租使用者,以及不同雲端中的多個租使用者,尚無法使用 B2B 成員授權檢查。 使用具有Teams的 B2B 成員需要每個 B2B 成員的額外授權。 這也可能會影響其他工作負載,例如Power BI。
- 非相同法律實體一部分的租使用者 B2B 成員使用量受限於其他授權需求。
- 身分識別治理功能。 權利管理和存取權檢閱可能需要外部使用者的其他授權。
- 其他產品。 Dynamics 客戶關係管理 (CRM) 等產品可能需要使用者代表之每個租使用者中的授權。
下一步
- 多租使用者管理簡介 是一系列文章中的第一個,提供在 Microsoft Entra 多租用戶環境中設定及提供使用者生命週期管理的指引。
- 多租使用者管理案例 描述三種案例,您可以使用多租用戶使用者管理功能:使用者起始、編寫腳本和自動化。
- 在單一租使用者不適用於您的案例時,多租用戶使用者管理的 常見解決方案,本文提供這些挑戰的指引:跨租使用者自動使用者生命週期管理和資源配置、跨租使用者共用內部部署應用程式。
- 適用於美國國防工業基地 的 Microsoft 共同作業架構描述身分識別的候選參考架構,以容納多租用戶組織(MTO),特別是那些在美國主權雲端中部署 Microsoft 365 美國政府 (GCC High) 和 Azure Government 的架構。 它也解決了高度管制環境中的外部共同作業,包括位於商業或美國主權雲端中的組織。