多租使用者管理案例
本文是一系列文章中的第二篇文章,提供在 Microsoft Entra 多租用戶環境中設定及提供使用者生命週期管理的指引。 本系列中的下列文章提供詳細資訊,如所述。
- 多租使用者管理簡介 是一系列文章中的第一個,提供在 Microsoft Entra 多租用戶環境中設定及提供使用者生命週期管理的指引。
- 多租使用者管理的 常見考慮提供下列考慮的指引:跨租使用者同步處理、目錄物件、Microsoft Entra 條件式存取、其他訪問控制和 Office 365。
- 在單一租使用者不適用於您的案例時,多租用戶使用者管理的 常見解決方案,本文提供這些挑戰的指引:跨租使用者自動使用者生命週期管理和資源配置、跨租使用者共用內部部署應用程式。
本指南可協助您達到使用者生命週期管理的一致狀態。 生命週期管理包括使用 Microsoft Entra B2B 共同作業 (B2B) 和跨租使用者同步處理的可用 Azure 工具,布建、管理和取消布建使用者。
本文說明三種案例,您可以使用多租使用者管理功能。
- 使用者起始
- 腳本
- 已自動化
使用者起始的案例
在使用者起始的案例中,資源租用戶系統管理員會將特定能力委派給租使用者中的使用者。 管理員 istrators 可讓使用者邀請外部使用者加入租使用者、應用程式或資源。 您可以從主租用戶邀請使用者,或他們可以個別註冊。
例如,全球專業服務公司會與分包商就專案進行共同作業。 轉包商(外部使用者)需要存取公司的應用程式和檔。 公司管理員可以委派給終端使用者邀請轉包商或設定轉包商資源的自助存取能力。
布建帳戶
以下是邀請終端使用者存取租用戶資源的最廣泛使用方式。
- 以應用程式為基礎的邀請。 Microsoft 應用程式(例如 Teams 和 SharePoint)可以啟用外部用戶邀請。 在 Microsoft Entra B2B 和相關應用程式中設定 B2B 邀請設定。
- MyApps。 用戶可以使用 MyApps 邀請外部使用者並將其指派給應用程式。 用戶帳戶必須具有 應用程式自助式註冊 核准者許可權。 群組擁有者可以邀請外部使用者加入其群組。
- 權利管理。 讓系統管理員或資源擁有者能夠使用資源、允許的外部組織、外部使用者到期和存取原則來建立存取套件。 發佈存取套件,以啟用外部使用者自助式註冊資源存取。
- Azure 入口網站。具有來賓邀請者角色的終端使用者可以登入 Azure 入口網站,並從 Microsoft Entra ID 中的 [使用者] 功能表邀請外部使用者。
- 程序設計(PowerShell、圖形 API)。具有來賓邀請者角色的終端使用者可以使用PowerShell或圖形 API 來邀請外部使用者。
兌換邀請
當您布建帳戶以存取資源時,電子郵件邀請會移至受邀使用者的電子郵件位址。
當受邀的使用者收到邀請時,他們可以遵循電子郵件中包含的連結至兌換 URL。 這樣做時,受邀的使用者可以核准或拒絕邀請,並視需要建立外部用戶帳戶。
如果下列任一案例成立,受邀的使用者也可以嘗試直接存取資源,稱為 Just-In-Time (JIT) 兌換。
- 受邀的用戶已經有 Microsoft Entra ID 或 Microsoft 帳戶,或
- 管理員 已啟用電子郵件一次性密碼。
在 JIT 兌換期間,可能會套用下列考慮。
- 如果系統管理員尚未 隱藏同意提示,用戶必須先同意,才能存取資源。
- 您可以使用允許清單或封鎖清單,允許或封鎖來自特定組織的外部用戶邀請。
如需詳細資訊,請參閱 Microsoft Entra B2B 共同作業邀請兌換。
啟用單次密碼驗證
在允許臨機操作 B2B 的案例中,啟用 電子郵件一次性密碼驗證。 當您無法透過其他方式驗證外部使用者時,此功能會驗證外部使用者,例如:
- Microsoft Entra ID.
- Microsoft 帳戶。
- Gmail 帳戶透過Google同盟。
- 透過直接同盟從安全性判斷提示標記語言 (SAML)/WS-Fed IDP 的帳戶。
使用單次密碼驗證時,不需要建立 Microsoft 帳戶。 當外部使用者兌換邀請或存取共用資源時,他們會收到電子郵件地址的暫時代碼。 然後輸入程式代碼以繼續登入。
管理客戶
在使用者起始的案例中,資源租用戶系統管理員會管理資源租使用者中的外部用戶帳戶(不會根據主租使用者中的更新值更新)。 唯一收到的可見屬性包括電子郵件地址和顯示名稱。
您可以在外部用戶對象上設定更多屬性,以促進不同的案例(例如權利案例)。 您可以包含將通訊簿填入聯繫人詳細數據。 例如,請考慮下列屬性。
- HiddenFromAddressListsEnabled [ShowInAddressList]
- FirstName [GivenName]
- LastName [SurName ]
- 職稱
- 部門
- TelephoneNumber
您可以設定這些屬性,將外部使用者新增至全域通訊清單(GAL)和人員搜尋(例如 SharePoint 人員 Picker)。 其他案例可能需要不同的屬性(例如設定存取套件、動態群組成員資格和 SAML 宣告的權利和許可權)。
根據預設,GAL 會隱藏受邀的外部使用者。 將外部使用者屬性設定為未隱藏,以將它們包含在統一 GAL 中。 多租使用者管理常見考慮的 Microsoft Exchange Online 一節說明如何藉由建立外部成員使用者而非外部來賓使用者來降低限制。
取消布建帳戶
終端使用者起始的案例會分散存取決策,這可建立決定何時移除外部使用者及其相關聯存取權的挑戰。 權利管理和存取權檢閱可讓您檢閱及移除現有的外部使用者及其資源存取權。
當您邀請權利管理以外的使用者時,您必須建立個別的程式來檢閱和管理其存取權。 例如,如果您透過 Microsoft 365 中的 SharePoint 直接邀請外部使用者,則它不在您的權利管理程式中。
腳本案例
在腳本案例中,資源租用戶系統管理員會部署腳本提取程式,以自動化探索和外部使用者布建。
例如,公司收購競爭對手。 每個公司都有一個 Microsoft Entra 租使用者。 他們希望第二天 One 案例能夠運作,而不需要使用者執行任何邀請或兌換步驟。 所有使用者都必須能夠:
- 對所有布建的資源使用單一登錄。
- 在統一 GAL 中尋找彼此和資源。
- 判斷彼此的存在並起始聊天。
- 根據動態群組成員資格存取應用程式。
在此案例中,每個組織的租使用者都是現有員工的主租使用者,而是其他組織員工的資源租使用者。
布建帳戶
使用 差異查詢,租用戶系統管理員可以部署腳本提取程式,以自動化探索和身分識別布建,以支援資源存取。 此程式會檢查主租使用者是否有新使用者。 它會使用 B2B Graph API,將新使用者布建為資源租使用者中的外部使用者,如下列多租使用者拓撲圖所示。
- 租用戶系統管理員會預先排列認證,並同意允許每個租用戶讀取。
- 租用戶系統管理員會將列舉和提取範圍使用者自動化至資源租使用者。
- 使用具有同意許可權的 Microsoft Graph API,以邀請 API 讀取和布建使用者。
- 初始布建可以讀取來源屬性,並將其套用至目標用戶物件。
管理客戶
資源組織可藉由更新資源租使用者中的元數據屬性,來增強配置檔數據以支持共用案例。 不過,如果需要進行中的同步處理,則同步處理的解決方案可能是較佳的選項。
取消布建帳戶
差異查詢 可以在外部使用者需要取消布建時發出訊號。 權利管理和存取權檢閱可以提供檢閱和移除現有外部使用者及其資源存取權的方式。
如果您邀請權利管理以外的使用者,請建立個別的程式來檢閱和管理外部使用者存取權。 例如,如果您直接透過 Microsoft 365 中的 SharePoint 邀請外部使用者,則它不在您的權利管理程式中。
自動化案例
跨租使用者同步共用是本文所述的模式中最複雜的模式。 此模式可啟用比使用者起始或編寫腳本更多的自動化管理和取消布建選項。
在自動化案例中,資源租用戶系統管理員會使用身分識別布建系統,將布建和取消布建程序自動化。 在 Microsoft 商業雲端實例內的案例中,我們有 跨租使用者同步處理。 在跨越 Microsoft 主權雲端實例的案例中,您需要其他方法,因為跨租使用者同步處理尚不支援跨雲端。
例如,在 Microsoft Commercial Cloud 實例內,跨國/區域集團有多個子公司,具有下列需求。
- 每個租使用者都有自己的 Microsoft Entra 租使用者,而且需要共同作業。
- 除了在租用戶之間同步處理新使用者之外,還會自動同步處理屬性更新,並自動取消布建。
- 如果員工已不在子公司,請在下一次同步處理期間,從所有其他租使用者中移除其帳戶。
在擴充的跨雲端案例中,國防工業基地(DIB)承包商擁有一個以國防為基礎的和商業型子公司。 這些具有競爭性法規需求:
- 美國國防業務位於美國主權雲端租使用者中,例如 Microsoft 365 美國政府 GCC High 和 Azure Government。
- 商業業務位於商業中的個別 Microsoft Entra 租使用者,例如在全域 Azure 雲端上執行的 Microsoft Entra 環境。
若要像部署到跨雲端架構的單一公司一樣運作,所有用戶都會同步處理至這兩個租使用者。 此方法可讓這兩個租使用者都能使用統一的 GAL 可用性,並確保用戶會自動同步處理至這兩個租使用者,包括應用程式和內容的權利和限制。 範例需求包括:
- 美國員工可能無處不在地存取這兩個租使用者。
- 非美國員工會在這兩個租用戶的統一 GAL 中顯示,但無法存取 GCC High 租使用者中受保護的內容。
此案例需要自動同步處理和身分識別管理,才能在兩個租用戶中設定使用者,同時將它們與適當的權利和數據保護原則產生關聯。
跨雲端 B2B 需要針對您想要在遠端雲端實例中共同作業的每個組織設定跨租使用者存取 設定。
布建帳戶
本節說明自動化案例中自動化帳戶布建的三種技術。
技術 1:在 Microsoft Entra ID 中使用 內建的跨租使用者同步處理功能
只有在您需要同步處理的所有租用戶都位於相同的雲端實例(例如 Commercial to Commercial)時,此方法才能運作。
技術 2:使用 Microsoft Identity Manager 布建帳戶
使用外部身分識別和存取管理 (IAM) 解決方案,例如 Microsoft Identity Manager (MIM) 作為同步處理引擎。
此進階部署會使用 MIM 作為同步處理引擎。 MIM 會 呼叫 Microsoft Graph API 和 Exchange Online PowerShell。 替代實作可以包含來自 Microsoft 產業解決方案的雲端裝載 Active Directory 同步處理服務 (ADSS) 受控服務供應專案。 您可以使用其他 IAM 供應專案從頭建立的非 Microsoft 供應專案(例如 SailPoint、Omada 和 OKTA)。
您可以執行身分識別的雲端到雲端同步處理,從一個租使用者到另一個租使用者,如下圖所示。
本文範圍以外的考慮包括整合內部部署應用程式。
技術 3:使用 Microsoft Entra 連線 布建帳戶
這項技術僅適用於管理傳統 Windows Server 型 Active Directory 網域服務 (AD DS) 中所有身分識別的複雜組織。 此方法使用 Microsoft Entra 連線 做為同步處理引擎,如下圖所示。
不同於 MIM 技術,所有身分識別來源(使用者、聯繫人和群組)都來自傳統的 Windows Server 型 Active Directory 網域服務(AD DS)。 AD DS 目錄通常是管理多個租使用者身分識別的複雜組織的內部部署部署。 僅限雲端身分識別不在這項技術的範圍內。 所有身分識別都必須在AD DS中,才能將它們包含在同步處理的範圍內。
就概念上講,這項技術會將使用者同步處理到家庭租使用者作為內部成員使用者(預設行為)。 或者,它可能會將使用者同步處理為外部使用者的資源租使用者(自定義行為)。
Microsoft 支援這種雙重同步處理用戶技術,並仔細考慮 Microsoft Entra 連線 設定中發生的修改。 例如,如果您修改精靈驅動的安裝組態,則必須在支援事件期間重建設定時記錄變更。
現為現用的 Microsoft Entra 連線 無法同步處理外部使用者。 您必須使用外部程式來擴充它(例如 PowerShell 腳本),才能將使用者從內部轉換為外部帳戶。
這項技術的優點包括 Microsoft Entra 連線 同步處理身分識別與儲存在 AD DS 中的屬性。 同步處理可能包含通訊簿屬性、管理員屬性、群組成員資格和其他混合式身分識別屬性到範圍內的所有租使用者。 它會取消布建與 AD DS 的身分識別。 它不需要更複雜的 IAM 解決方案來管理此特定工作的雲端身分識別。
每個租使用者都有一對一的 Microsoft Entra 關聯性 連線。 每個租使用者都有自己的 Microsoft Entra 連線 設定,您可以個別變更以支援成員或外部使用者帳戶同步處理。
選擇正確的拓撲
大部分的客戶都會在自動化案例中使用下列其中一個拓撲。
- 網格拓撲可讓您共用所有租使用者中的所有資源。 您可以將每個資源租使用者中的其他租使用者建立為外部使用者。
- 單一資源租使用者拓撲會使用單一租使用者(資源租使用者),其中來自其他租用戶的使用者是外部使用者。
當您設計解決方案時,請將下表參考為判定樹。 下表說明這兩個拓撲,以協助您判斷哪一個適合您的組織。
網格與單一資源租使用者拓撲的比較
| 考量事項 | 網狀拓撲 | 單一資源租使用者 |
|---|---|---|
| 每個公司都有個別的 Microsoft Entra 租用戶與用戶和資源 | Yes | Yes |
| 資源位置和共同作業 | ||
| 共用應用程式和其他資源會保留在其目前的主租使用者中 | Yes | 否。 您只能分享資源租使用者中的應用程式和其他資源。 您無法分享其他租使用者中的應用程式和其他資源。 |
| 在個別公司的 GALS 中所有可檢視 (Unified GAL) | 是 | No |
| 資源存取和管理 | ||
| 您可以在所有公司之間共享連線到 Microsoft Entra ID 的所有應用程式。 | Yes | 否。 只有資源租使用者中的應用程式會共用。 您無法分享其他租用戶中剩餘的應用程式。 |
| 全域資源管理 | 在租用戶層級繼續進行。 | 合併在資源租使用者中。 |
| 授權:Microsoft 365 中的 Office 365 SharePoint、統一 GAL、Teams 存取所有支持來賓;不過,其他 Exchange Online 案例則不會。 | 在租用戶層級繼續進行。 | 在租用戶層級繼續進行。 |
| 授權: Microsoft Entra ID (進階版) | 前 50 K 個每月作用中用戶是免費的(每個租使用者)。 | 前 50 K 個每月作用中用戶是免費的。 |
| 授權:軟體即服務 (SaaS) 應用程式 | 保留在個別租使用者中,可能需要每位租用戶的授權。 | 所有共享資源都位於單一資源租使用者中。 如有需要,您可以調查將授權合併至單一租使用者。 |
網狀拓撲
下圖說明網格拓撲。
在網狀拓撲中,每個主租使用者中的每個用戶都會同步處理至其他租使用者,這會成為資源租使用者。
- 您可以與外部用戶共用租使用者內的任何資源。
- 每個組織都可以在集團中看到所有使用者。 在上圖中,有四個統一的 GAL,每個 URL 都包含來自其他三個租使用者的主使用者和外部使用者。
多租使用者管理 的常見考慮會提供此案例中布建、管理及取消布建使用者的相關信息。
跨雲端的網格拓撲
您可以在最少兩個租使用者中使用網格拓撲,例如在 DIB 防禦承包商跨越跨主權雲端解決方案的案例中。 如同網格拓撲,每個家庭租使用者中的每個用戶都會同步至另一個租使用者,這會成為資源租使用者。 在技術 3 區段圖中,公用商業租用戶內部使用者會同步處理至美國主權 GCC High 租使用者作為外部用戶帳戶。 同時,GCC High 內部使用者會以外部用戶帳戶同步處理至 Commercial。
此圖表也會說明資料儲存位置。 數據分類和合規性不在本文的範圍之外,但您可以包含應用程式和內容的權利和限制。 內容可能包含內部使用者擁有數據所在的位置(例如儲存在 Exchange Online 信箱或 商務用 OneDrive 中的數據)。 內容可能位於其主租使用者中,而不是在資源租使用者中。 共用數據可能位於任一租使用者中。 您可以透過訪問控制和條件式存取原則來限制對內容的存取。
單一資源租用戶拓撲
下圖說明單一資源租使用者拓撲。
在單一資源租使用者拓撲中,使用者及其屬性會同步處理至資源租使用者(上圖中的公司 A)。
- 成員組織之間共用的所有資源都必須位於單一資源租使用者中。 如果多個子公司擁有相同 SaaS 應用程式的訂用帳戶,就有機會合併這些訂用帳戶。
- 只有資源租使用者中的 GAL 會顯示來自所有公司的使用者。
管理客戶
此解決方案會偵測並同步來源租使用者使用者與資源租使用者外部使用者的屬性變更。 您可以使用這些屬性來做出授權決策(例如,當您使用動態群組時)。
取消布建帳戶
自動化會在來源環境中偵測物件刪除,並在目標環境中刪除相關聯的外部用戶物件。
多租使用者管理 的常見考慮會提供此案例中布建、管理及取消布建使用者的其他資訊。
下一步
- 多租使用者管理簡介 是一系列文章中的第一個,提供在 Microsoft Entra 多租用戶環境中設定及提供使用者生命週期管理的指引。
- 多租使用者管理的 常見考慮提供下列考慮的指引:跨租使用者同步處理、目錄物件、Microsoft Entra 條件式存取、其他訪問控制和 Office 365。
- 在單一租使用者不適用於您的案例時,多租用戶使用者管理的 常見解決方案,本文提供這些挑戰的指引:跨租使用者自動使用者生命週期管理和資源配置、跨租使用者共用內部部署應用程式。