多租使用者管理簡介
本文是一系列文章中的第一篇文章,提供在 Microsoft Entra 多租用戶環境中設定及提供使用者生命週期管理的指引。 本系列中的下列文章提供詳細資訊,如所述。
- 多租使用者管理案例 描述三種案例,您可以使用多租用戶使用者管理功能:使用者起始、編寫腳本和自動化。
- 多租使用者管理的 常見考慮提供下列考慮的指引:跨租使用者同步處理、目錄物件、Microsoft Entra 條件式存取、其他訪問控制和 Office 365。
- 在單一租使用者不適用於您的案例時,多租用戶使用者管理的 常見解決方案,本文提供這些挑戰的指引:跨租使用者自動使用者生命週期管理和資源配置、跨租使用者共用內部部署應用程式。
本指南可協助您達到使用者生命週期管理的一致狀態。 生命週期管理包括使用 Microsoft Entra B2B 共同作業 (B2B) 和跨租使用者同步處理的可用 Azure 工具,布建、管理和取消布建使用者。
將使用者布建到單一 Microsoft Entra 租使用者中,可提供資源的統一檢視,以及一組原則和控件。 此方法可啟用一致的使用者生命週期管理。
Microsoft 建議盡可能使用單一租使用者。 擁有多個租使用者可能會導致唯一的跨租使用者共同作業和管理需求。 無法合併到單一 Microsoft Entra 租使用者時,多租用戶組織可能會因為下列原因而跨越兩個以上的 Microsoft Entra 租使用者。
- 合併
- 收購
- 剝離
- 跨公用、主權和區域雲端共同作業
- 禁止合併至單一 Microsoft Entra 租使用者的政治或組織結構
Microsoft Entra B2B 共同作業
Microsoft Entra B2B 共同作業 (B2B) 可讓您安全地與外部用戶共用公司的應用程式和服務。 當使用者可以來自任何組織時,B2B 可協助您控制IT環境和資料的存取權。
您可以使用 B2B 共同作業,為組織的使用者提供外部存取權,以存取您管理的多個租使用者。 傳統上,B2B 外部使用者存取權可以授權存取您自己組織未管理的使用者。 不過,外部使用者存取權可以管理您組織管理之多個租使用者的存取權。
與 Microsoft Entra B2B 共同作業混淆的區域圍繞 B2B 來賓用戶的屬性。 內部與外部用戶帳戶和成員與來賓用戶類型之間的差異會導致混淆。 一開始,所有內部使用者都是UserType屬性設定為Member (成員使用者) 的成員使用者。 內部使用者在您的 Microsoft Entra 識別碼中有一個帳戶,該帳戶是授權的,且會向使用者所在的租用戶進行驗證。 成員使用者是租使用者中具有預設 成員層級許可權 的授權使用者。 將成員用戶視為您組織的員工。
您可以將一個租使用者的內部使用者邀請到另一個租用戶作為外部使用者。 外部使用者使用外部 Microsoft Entra 帳戶、社交身分識別或其他外部身分識別提供者登入。 外部使用者會在您邀請外部使用者的租使用者外部進行驗證。 在 B2B 第一版中,所有外部使用者都是 UserType來賓 (來賓使用者)。 來賓使用者在租使用者中具有 限制的許可權 。 例如,來賓用戶無法列舉租用戶目錄中所有使用者和群組的清單。
針對使用者上的UserType屬性,B2B 支援將位從內部翻轉到外部,反之亦然,這會導致混淆。
您可以將內部使用者從成員使用者變更為來賓使用者。 例如,您可以擁有租使用者中具有來賓層級許可權的未授權內部來賓使用者,這在您將使用者帳戶和認證提供給非組織員工的人員時很有用。
您可以將外部使用者從來賓用戶變更為成員使用者,並將成員層級許可權授與外部使用者。 當您管理組織的多個租使用者,且需要為所有租用戶的使用者提供成員層級許可權時,進行這項變更會很有用。 不論使用者是任何指定租使用者中的內部或外部,都可能發生此需求。 成員使用者可能需要更多 授權。
B2B 的大部分檔將外部用戶稱為「來賓使用者」。 它會以假設所有來賓使用者為外部的方式,將UserType屬性混為一體。 當檔呼叫來賓使用者時,它會假設它是外部來賓使用者。 本文特別且刻意參考外部與內部和成員使用者與來賓使用者。
跨租用戶同步處理
跨租使用者同步 處理可讓多租用戶組織使用現有的 B2B 外部共同作業功能,為終端使用者提供順暢的存取和共同作業體驗。 此功能不允許跨 Microsoft 主權雲端進行跨租使用者同步處理(例如 Microsoft 365 美國政府 GCC High、DOD 或 Office 365 在中國)。 如需自動化和自定義跨租使用者同步處理案例的協助,請參閱 多租用戶使用者管理的 常見考慮。
觀看 Arvind Harinder 討論 Microsoft Entra ID 中的跨租使用者同步處理功能(內嵌於下方)。
下列概念和操作說明文章提供 Microsoft Entra B2B 共同作業和跨租使用者同步處理的相關信息。
概念性文章
- B2B 最佳做法 功能建議,為用戶和系統管理員提供最順暢的體驗。
- B2B 和 Office 365 外部共用 說明透過 B2B、Office 365 和 SharePoint/OneDrive 共用資源之間的差異。
- Microsoft Entra B2B 共同作業用戶 的屬性描述 Microsoft Entra ID 中外部使用者對象的屬性和狀態。 描述提供邀請兌換前後的詳細數據。
- B2B 使用者令牌提供外部使用者的 B2B 持有人令牌 範例。
- B2B 的條件式存取描述條件式存取和多重要素驗證對外部用戶的運作方式。
- 跨租使用者存取設定 可讓您更精細地控制外部 Microsoft Entra 組織與您共同作業的方式(輸入存取),以及使用者如何與外部 Microsoft Entra 組織共同作業(輸出存取)。
- 跨租使用者同步處理概觀 說明如何在組織中跨租用戶自動建立、更新和刪除 Microsoft Entra B2B 共同作業使用者。
操作說明文章
- 使用 PowerShell 大量邀請 Microsoft Entra B2B 共同作業使用者 說明如何使用 PowerShell 將大量邀請傳送給外部使用者。
- 為 B2B 來賓使用者 強制執行多重要素驗證說明如何使用條件式存取和多重要素驗證原則來強制執行租使用者、應用程式或個別外部使用者驗證層級。
- 電子郵件單次密碼驗證 說明電子郵件一次性密碼功能如何透過 Microsoft Entra ID、Microsoft 帳戶或 Google 同盟等其他方式驗證外部使用者。
詞彙
Microsoft 內容中的下列詞彙是指 Microsoft Entra 識別碼中的多租使用者共同作業。
- 資源租使用者: Microsoft Entra 租使用者,其中包含使用者想要與其他使用者共用的資源。
- 首頁租使用者: Microsoft Entra 租使用者,其中包含需要存取資源租用戶中資源的使用者。
- 內部使用者: 內部使用者具有授權的帳戶,且會向使用者所在的租用戶進行驗證。
- 外部使用者: 外部使用者具有外部 Microsoft Entra 帳戶、社交身分識別或其他外部身分識別提供者來登入。 外部使用者會在您邀請外部使用者的租使用者外部進行驗證。
- 成員使用者: 內部或外部成員使用者是租使用者中具有預設成員層級許可權的授權使用者。 將成員用戶視為您組織的員工。
- 來賓用戶: 內部或外部來賓使用者在租使用者中具有限制的許可權。 來賓使用者不是您組織的員工(例如合作夥伴的使用者)。 大部分 B2B 檔是指 B2B 來賓,主要是指外部來賓用戶帳戶。
- 使用者生命週期管理: 布建、管理及取消布建用戶資源存取的程式。
- Unified GAL: 每個租使用者中的每個使用者都可以在其全域通訊清單 (GAL) 中看到來自每個組織的使用者。
決定如何符合您的需求
貴組織的獨特需求會影響管理跨租使用者之使用者的策略。 若要建立有效的策略,請考慮下列需求。
- 租用戶數目
- 組織類型
- 目前的拓撲
- 特定使用者同步處理需求
常見需求
組織一開始會專注於他們想要就地進行立即共同作業的需求。 有時稱為 Day One 需求,他們會專注於讓用戶順暢地合併,而不會中斷產生價值的能力。 當您定義 Day One 和系統管理需求時,請考慮包含下列需求和需求。
通訊需求
- 統一的全域通訊清單: 每個使用者都可以在其主租使用者中看到 GAL 中的所有其他使用者。
- 空閒/忙碌資訊: 讓用戶能夠探索彼此的可用性。 您可以在 Exchange Online 中使用組織關係來執行此動作。
- 聊天和顯示狀態: 讓用戶判斷其他人的存在並起始立即訊息。 透過 Microsoft Teams 中的外部存取進行設定。
- 書籍資源,例如會議室: 讓使用者可以預訂整個組織的會議室或其他資源。 Exchange Online 目前無法使用跨租用戶會議室預約。
- 單一電子郵件網域:讓所有使用者都能從單一電子郵件網域傳送和接收郵件(例如 ,
users@contoso.com
傳送需要電子郵件位址重寫解決方案。
存取需求
- 檔存取: 讓使用者從 SharePoint、OneDrive 和 Teams 共用檔。
- 管理員 istration:允許系統管理員管理跨多個租使用者部署的訂用帳戶和服務組態。
- 應用程式存取: 允許使用者存取整個組織的應用程式。
- 單一登入:讓使用者存取整個組織的資源,而不需要輸入更多認證。
建立帳戶的模式
建立和管理外部用戶帳戶生命週期的 Microsoft 機制遵循三種常見模式。 您可以使用這些模式來協助定義及實作您的需求。 選擇最符合您案例的模式,然後將焦點放在模式詳細數據上。
機制 | 描述 | 最佳時機 |
---|---|---|
使用者起始 | 資源租用戶系統管理員會將邀請外部使用者加入租使用者、應用程式或資源的能力,委派給資源租使用者內的使用者。 您可以從主租用戶邀請使用者,或他們可以個別註冊。 | 第一天不需要統一的全域通訊清單。 |
腳本 | 資源租用戶系統管理員會部署腳本提取程式,以自動化探索和布建外部使用者以支持共用案例。 | 少數租使用者(例如兩個)。 |
已自動化 | 資源租用戶系統管理員會使用身分識別布建系統,將布建和取消布建程式自動化。 | 您需要跨租用戶的統一全域通訊清單。 |
下一步
- 多租使用者管理案例 描述三種案例,您可以使用多租用戶使用者管理功能:使用者起始、編寫腳本和自動化。
- 多租使用者管理的 常見考慮提供下列考慮的指引:跨租使用者同步處理、目錄物件、Microsoft Entra 條件式存取、其他訪問控制和 Office 365。
- 在單一租使用者不適用於您的案例時,多租用戶使用者管理的 常見解決方案,本文提供這些挑戰的指引:跨租使用者自動使用者生命週期管理和資源配置、跨租使用者共用內部部署應用程式。
- Active Directory 的多租使用者同步處理說明使用 Microsoft Entra 連線 Sync 作為主要整合解決方案的各種內部部署和 Microsoft Entra 拓撲。