什麼是跨租使用者同步處理?

  • 發行項

跨租使用者同步處理 會自動建立、更新和刪除 組織中的租用戶之間的 Microsoft Entra B2B 共同 作業使用者。 它可讓使用者存取應用程式和跨租使用者共同作業,同時仍可讓組織發展。

以下是跨租使用者同步處理的主要目標:

  • 多租用戶組織的無縫共同作業
  • 自動化多租用戶組織中 B2B 共同作業使用者的生命週期管理
  • 當使用者離開組織時自動移除 B2B 帳戶

為什麼要使用跨租使用者同步處理?

跨租使用者同步處理會自動建立、更新和刪除 B2B 共同作業使用者。 使用跨租使用者同步處理建立的用戶能夠存取 Microsoft 應用程式(例如 Teams 和 SharePoint)和非 Microsoft 應用程式(例如 ServiceNowAdobe 等等),不論應用程式與哪個租使用者整合。 這些用戶會繼續受益於 Microsoft Entra 識別碼中的安全性功能,例如 Microsoft Entra 條件式存取跨租使用者存取設定,並可透過 Microsoft Entra 權利管理功能來管理。

下圖顯示如何使用跨租使用者同步處理,讓用戶能夠存取組織中租使用者之間的應用程式。

Diagram that shows synchronization of users for multiple tenants.

神秘 應該使用嗎?

  • 擁有多個 Microsoft Entra 租使用者且想要簡化組織內部跨租使用者應用程式存取的組織。
  • 跨租使用者同步 處理目前不適合 跨組織界限使用。

福利

使用跨租使用者同步處理,您可以執行下列動作:

  • 在組織內自動建立 B2B 共同作業使用者,並提供他們存取所需的應用程式,而不需要建立和維護自定義腳本。
  • 改善用戶體驗,並確保使用者可以存取資源,而不需要收到邀請電子郵件,而且必須接受每個租使用者中的同意提示。
  • 自動更新使用者,並在他們離開組織時將其移除。

Teams 和 Microsoft 365

跨租使用者同步處理所建立的使用者在存取 Microsoft Teams 和其他 Microsoft 365 服務時會有相同的體驗,因為 B2B 共同作業用戶是透過手動邀請建立的。 如果您的組織使用共用通道,請參閱 已知問題 檔以取得其他詳細數據。 一段時間后, member 各種 Microsoft 365 服務會使用 userType,為多租用戶組織中的使用者提供不同的用戶體驗。

屬性

當您設定跨租使用者同步處理時,您會定義來源租用戶與目標租使用者之間的信任關係。 跨租使用者同步處理具有下列屬性:

  • 根據 Microsoft Entra 布建引擎。
  • 這是來自來源租使用者的推送程式,而不是來自目標租使用者的提取程式。
  • 僅支援從來源租使用者推送內部成員。 它不支援從來源租使用者同步處理外部使用者。
  • 在來源租用戶中設定同步處理範圍中的使用者。
  • 屬性對應是在來源租用戶中設定的。
  • 支援擴充屬性。
  • 目標租使用者管理員可以隨時停止同步處理。

下表顯示跨租使用者同步處理的各個部分,以及其設定的租使用者。

租用戶 跨租使用者
存取設定		 自動兌換 同步設定
組態		 範圍中的使用者
Icon for the source tenant.
來源租使用者		 ✔️ ✔️ ✔️
Icon for the target tenant.
目標租使用者		 ✔️ ✔️

跨租使用者同步處理設定

跨租使用者同步處理設定是僅限輸入的組織設定,可讓來源租用戶的系統管理員將使用者同步至目標租使用者。 此設定是一個複選框,其名稱 為 [允許使用者同步處理至目標租使用者中指定的此租 使用者]。 此設定不會影響透過其他程式建立的 B2B 邀請,例如 手動邀請Microsoft Entra 權利管理

Screenshot that shows the Cross-tenant sync tab with the Allow users sync into this tenant check box.

若要使用 Microsoft Graph 設定此設定,請參閱 Update crossTenantIdentitySyncPolicyPartner API。 如需詳細資訊,請參閱 設定跨租使用者同步處理

自動兌換設定

自動兌換設定是輸入和輸出組織信任設定,可自動兌換邀請,因此使用者不需要在第一次存取資源/目標租使用者時接受同意提示。 這個設定是具有下列名稱的複選框:

  • 使用租使用者租<用戶自動兌換邀請>

Screenshot that shows the inbound Automatic redemption check box.

比較不同案例的設定

自動兌換設定適用於下列情況中的跨租使用者同步處理、B2B 共同作業和 B2B 直接連線:

  • 使用跨租使用者同步處理在目標租使用者中建立用戶時。
  • 當使用者使用 B2B 共同作業新增至資源租用戶時。
  • 當使用者使用 B2B 直接連線存取資源租使用者中的資源時。

下表顯示此設定針對這些案例啟用時的比較方式:

項目 跨租用戶同步處理 B2B 共同作業 B2B 直接連接
自動兌換設定 必要 選擇性 選擇性
使用者會收到 B2B 共同作業邀請電子郵件 No N/A
用戶必須接受 同意提示 No No
使用者會收到 B2B 共同作業通知電子郵件 No .是 N/A

此設定不會影響應用程式同意體驗。 如需詳細資訊,請參閱 Microsoft Entra ID 中應用程式的同意體驗。 不同 Microsoft 雲端環境的組織不支援此設定,例如 Azure 商業和 Azure Government。

如果主租使用者/來源租使用者(輸出)和資源/目標租使用者(輸入)都會檢查此設定,則自動兌換設定只會隱藏同意提示和邀請電子郵件。

Diagram that shows automatic redemption setting for both outbound and inbound.

下表顯示檢查自動兌換設定以取得不同跨租使用者存取設定組合時,來源租用戶使用者的同意提示行為。

首頁/來源租使用者 資源/目標租使用者 同意提示行為
適用於來源租用戶使用者
輸出 連入
Icon for check mark. Icon for check mark. 抑制
Icon for check mark. Icon for clear check mark. 未隱藏
Icon for clear check mark. Icon for check mark. 未隱藏
Icon for clear check mark. Icon for clear check mark. 未隱藏
連入 輸出
Icon for check mark. Icon for check mark. 未隱藏
Icon for check mark. Icon for clear check mark. 未隱藏
Icon for clear check mark. Icon for check mark. 未隱藏
Icon for clear check mark. Icon for clear check mark. 未隱藏

若要使用 Microsoft Graph 設定此設定,請參閱 Update crossTenantAccessPolicyConfigurationPartner API。 如需詳細資訊,請參閱 設定跨租使用者同步處理

使用者如何知道他們所屬的租使用者?

針對跨租使用者同步處理,使用者不會收到電子郵件或必須接受同意提示。 如果使用者想要查看他們所屬的租用戶,他們可以開啟 [ 我的帳戶 ] 頁面,然後選取 [ 組織]。 在 Microsoft Entra 系統管理中心,用戶可以開啟其入口網站設定、檢視其目錄 + 訂用帳戶,以及切換目錄。

如需詳細資訊,包括隱私權資訊,請參閱 將組織保留為外部使用者

開始使用

以下是開始使用跨租使用者同步處理的基本步驟。

步驟 1:定義如何在組織中建構租使用者

跨租使用者同步處理提供彈性的解決方案來啟用共同作業,但每個組織都不同。 例如,您可能會有中央租使用者、附屬租使用者,或租使用者網格的排序。 跨租使用者同步處理支援上述任何拓撲。 如需詳細資訊,請參閱 跨租使用者同步處理的拓撲。

Diagram that shows different tenant topologies.

步驟 2:在目標租用戶中啟用跨租使用者同步處理

在建立用戶的目標租使用者中,流覽至 [跨租使用者存取設定 ] 頁面。 在這裡,您可以選取個別複選框來啟用跨租使用者同步處理和 B2B 自動兌換設定。 如需詳細資訊,請參閱 設定跨租使用者同步處理

Diagram that shows cross-tenant synchronization enabled in the target tenant.

步驟 3:在來源租用戶中啟用跨租使用者同步處理

在任何來源租使用者中,流覽至 [跨租使用者存取設定 ] 頁面,並啟用 B2B 自動兌換功能。 接下來,您可以使用 [跨租使用者同步 處理] 頁面來設定跨租使用者同步處理作業,並指定:

  • 您想要同步處理的使用者
  • 您要包含哪些屬性
  • 任何轉換

對於已使用 Microsoft Entra ID 將 身分識別布建到 SaaS 應用程式的任何人員,此體驗將會很熟悉。 設定同步處理之後,您就可以開始測試一些使用者,並確定他們已使用您需要的所有屬性來建立。 測試完成時,您可以快速新增其他使用者,以同步處理並推出整個組織。 如需詳細資訊,請參閱 設定跨租使用者同步處理

Diagram that shows a cross-tenant synchronization job configured in the source tenant.

授權需求

在來源租使用者中:使用此功能需要 Microsoft Entra ID P1 授權。 與跨租使用者同步處理同步處理的每位用戶都必須在其主/來源租用戶中擁有 P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能

在目標租使用者中:跨租使用者同步會依賴 Microsoft Entra 外部 ID 計費模型。 若要瞭解外部身分識別授權模型,請參閱 Microsoft Entra 外部 ID 的MAU計費模型。 您也必須在目標租使用者中至少需要一個 Microsoft Entra ID P1 授權,才能啟用自動兌換。

常見問題集

雲端

哪些雲端可以跨租使用者同步處理?

  • 商業雲端和 Azure Government 支援跨租使用者同步處理。
  • 21Vianet 雲端所操作的 Microsoft Azure 不支援跨租使用者同步處理。
  • 只有在相同雲端中的兩個租用戶之間才支援同步處理。
  • 目前不支援跨雲端(例如公用雲端至 Azure Government)。

現有的 B2B 使用者

跨租使用者同步處理是否會管理現有的 B2B 使用者?

  • 是。 跨租使用者同步處理會使用名為alternativeSecurityIdentifier的內部屬性,唯一比對來源租使用者中的內部使用者與目標租使用者中的外部 /B2B 使用者。 跨租使用者同步處理可以更新現有的 B2B 使用者,確保每個使用者只有一個帳戶。
  • 跨租使用者同步處理無法比對來源租使用者中的內部使用者與目標租使用者中的內部使用者(類型成員和類型來賓)。

同步處理頻率

跨租使用者同步處理執行的頻率為何?

  • 同步間隔目前已修正為從 40 分鐘間隔開始。 同步持續時間會根據範圍內的用戶數目而有所不同。 初始同步處理週期可能需要比下列累加同步週期長得多。

範圍

如何? 控制哪些同步處理至目標租使用者?

  • 在來源租使用者中,您可以控制哪些使用者是以組態或屬性為基礎的篩選來布建。 您也可以控制用戶物件上哪些屬性已同步處理。 如需詳細資訊,請參閱 以範圍篩選條件布建的使用者或群組。

如果使用者從來源租使用者中的同步範圍中移除,跨租使用者同步處理是否會在目標中虛刪除它們?

  • 是。 如果使用者從來源租使用者中的同步範圍中移除,跨租使用者同步處理將會虛刪除目標租使用者中的使用者。

物件類型

可以同步處理哪些物件類型?

  • 您可以在租使用者之間同步處理 Microsoft Entra 使用者。 (目前不支援群組、裝置和聯繫人。

可以同步處理哪些用戶類型?

  • 內部成員可以從來源租用戶進行同步處理。 無法從來源租使用者同步處理內部來賓。
  • 用戶可以將使用者同步處理為外部成員(預設)或外部來賓的目標租使用者。
  • 如需 UserType 定義的詳細資訊,請參閱 Microsoft Entra B2B 共同作業用戶的屬性。

我有現有的 B2B 共同作業使用者。 他們會發生什麼事?

  • 跨租使用者同步處理會比對使用者,並對用戶進行任何必要的更新,例如更新顯示名稱。 根據預設,UserType 不會從來賓更新為成員,但您可以在屬性對應中設定此專案。

屬性

可以同步處理哪些用戶屬性?

  • 跨租使用者同步處理會同步處理 Microsoft Entra 識別符中用戶物件上常用的屬性,包括 (但不限於) displayName、userPrincipalName 和目錄擴充屬性。
  • 跨租使用者同步處理支援在商業雲端中布建管理員屬性(公開預覽)。 美國政府雲端尚不支援管理員同步處理。 使用者及其管理員都必須在跨租使用者同步處理的範圍內,才能布建管理員屬性。
    • 針對在 2024 年 1 月之前建立且具有預設架構/ 屬性對應的跨租使用者同步處理組態:
      • 管理員屬性會自動新增至屬性對應。
      • 管理員更新將會套用在累加循環中,以供進行變更的使用者使用(例如:管理員變更)。 同步處理引擎不會自動更新先前布建的所有現有使用者。
      • 若要更新布建範圍中現有使用者的管理員,您可以使用特定使用者的隨選布建,或重新啟動為所有使用者布建管理員。
    • 針對使用自定義架構/屬性對應在 2024 年 1 月之前建立的跨租使用者同步處理組態(例如:您已將屬性新增至對應或變更預設對應):
      • 您必須將管理員屬性新增至屬性對應。 這會觸發重新啟動並更新布建範圍內的所有使用者。 這應該是來源租使用者中管理員屬性與目標租使用者中管理員的直接對應。
    • 如果在來源租使用者中移除使用者管理員,而且來源租使用者中未指派任何新管理員,則目標租使用者中將不會更新管理員屬性。

無法同步處理哪些屬性?

  • 包括(但不限於)相片、自定義安全性屬性和目錄外部使用者屬性的屬性,無法透過跨租使用者同步處理來同步處理。

我可以控制來源/管理用戶屬性的位置嗎?

  • 跨租使用者同步處理不提供對授權來源的直接控制。 使用者及其屬性在來源租用戶上被視為權威。 授權單位工作流程有平行來源,可讓使用者向下發展到屬性層級的授權來源控制,而來源的用戶對象最終可能會反映多個基礎來源。 對於租使用者對租用戶程式,這仍被視為來源租使用者對同步處理程序的授權值(即使片段實際上源自其他位置)進入目標租使用者。 目前不支援撤銷同步處理程序的授權來源。
  • 跨租使用者同步處理僅支持物件層級的授權來源。 這表示使用者的所有屬性都必須來自相同的來源,包括認證。 無法反轉同步對象的許可權來源或同盟方向。

如果同步處理使用者的屬性在目標租用戶中變更,會發生什麼事?

  • 跨租使用者同步處理不會查詢目標中的變更。 如果來源租使用者中同步處理的使用者沒有任何變更,則目標租使用者中所做的使用者屬性變更將會保存。 不過,如果對來源租使用者中的用戶進行變更,則在下一個同步處理週期期間,目標租使用者中的使用者將會更新,以符合來源租使用者中的使用者。

目標租使用者是否可以針對同步處理的特定家用/來源租使用者使用者手動封鎖登入?

  • 如果未對來源租使用者中的同步用戶進行任何變更,則目標租使用者中的區塊登入設定將會保存。 如果偵測到來源租用戶中用戶的變更,跨租使用者同步處理將會重新啟用該使用者封鎖而無法登入目標租使用者。

結構

我可以在多個租用戶之間同步網格嗎?

  • 跨租使用者同步處理設定為單向對等同步處理,這表示同步會在一個來源和一個目標租用戶之間設定。 您可以將多個跨租使用者同步處理的實例設定為從單一來源同步至多個目標,以及從多個來源同步到單一目標。 但來源與目標之間只能有一個同步實例。
  • 跨租使用者同步處理只會同步處理位於主/來源租用戶內部的使用者,以確保您無法最終得到使用者回寫至相同租用戶的迴圈。
  • 支援多個拓撲。 如需詳細資訊,請參閱 跨租使用者同步處理的拓撲。

我是否可以跨組織使用跨租使用者同步處理(在多租用戶組織外部)?

  • 基於隱私權考慮,跨租使用者同步處理適用於組織內。 我們建議使用 權利管理 來邀請組織之間的 B2B 共同作業使用者。

跨租使用者同步處理是否可以用來將使用者從一個租使用者移轉至另一個租使用者?

  • 否。 跨租使用者同步處理不是移轉工具,因為同步處理的使用者需要來源租使用者才能進行驗證。 此外,租使用者移轉需要移轉用戶數據,例如 SharePoint 和 OneDrive。

B2B 共同作業

跨租使用者同步處理是否解決任何目前的 B2B 共同作業 限制?

  • 由於跨租使用者同步處理是以現有的 B2B 共同作業技術為基礎所建置,因此適用現有的限制。 範例包括(但不限於):

    應用程式或服務 限制
    Power BI - Power BI 中 UserType 成員的支援目前為預覽狀態。 如需詳細資訊,請參閱 使用 Microsoft Entra B2B 將 Power BI 內容散發給外部來賓使用者。
    Azure 虛擬桌面 - Azure 虛擬桌面不支援外部成員和外部來賓。

B2B 直接連接

跨租使用者同步處理與 B2B 直接連線有何關聯

  • B2B 直接連線是 Teams 連線 共用頻道所需的基礎身分識別技術。
  • 我們建議針對所有其他跨租使用者應用程式存取案例進行 B2B 共同作業,包括 Microsoft 和非 Microsoft 應用程式。
  • B2B 直接連線和跨租使用者同步處理的設計目的是共同存在,而且您可以針對跨租使用者案例的廣泛涵蓋範圍啟用兩者。

我們正嘗試判斷在多租用戶組織中利用跨租使用者同步處理的程度。 您是否計劃延伸對 B2B 直接連線的支援,超越 Teams 連線?

  • 沒有計劃將 B2B 直接連線的支援延伸至 Teams 連線 共用頻道。

Microsoft 365

跨租使用者同步處理是否可增強任何跨租使用者 Microsoft 365 應用程式存取用戶體驗?

  • 跨租使用者同步處理會利用一項功能,藉由隱藏每個租使用者中的第一次 B2B 同意提示和兌換程式來改善用戶體驗。
  • 同步處理的使用者將會有其他 B2B 共同作業使用者可用的相同跨租使用者 Microsoft 365 體驗。

跨租使用者同步處理可讓同步處理的使用者出現在目標租使用者的全域地址清單中的人搜尋案例嗎?

  • 是,但您必須將已同步使用者 showInAddressList 屬性的值設定為 True,預設不會設定此值。 如果您想要建立統一的通訊清單,您必須設定 網格對等拓撲。 如需詳細資訊,請參閱 步驟 9:檢閱屬性對應
  • 跨租使用者同步處理會建立 B2B 共同作業使用者,而且不會建立聯繫人。

Teams

跨租使用者同步處理是否增強任何目前的 Teams 體驗?

  • 同步處理的使用者將會有其他 B2B 共同作業使用者可用的相同跨租使用者 Microsoft 365 體驗。

整合

目標租使用者中的用戶支援哪些同盟選項回到來源租使用者?

  • 針對來源租使用者中的每個內部使用者,跨租使用者同步處理會建立目標中的同盟外部使用者(通常用於 B2B)。 它支援同步處理內部使用者。 這包括使用網域同盟與其他身分識別系統同盟的內部使用者(例如 Active Directory 同盟服務)。 它不支援同步處理外部使用者。

跨租使用者同步處理是否使用系統進行跨網域身分識別管理 (SCIM)?

取消布建

跨租使用者同步處理是否支援取消布建使用者?

  • 是,當來源租用戶中發生下列動作時,將會在目標租用戶中虛刪除使用者

    • 刪除來源租使用者中的使用者
    • 從跨租使用者同步處理組態取消指派使用者
    • 從指派給跨租使用者同步處理組態的群組中移除使用者
    • 使用者上的屬性會變更,使其不再符合跨租使用者同步處理組態上定義的範圍篩選條件

  • 如果使用者遭到封鎖而無法登入來源租使用者 (accountEnabled = false),則會封鎖他們無法登入目標。 這不是刪除,而是已更新為 accountEnabled 屬性。

  • 在此案例中,使用者不會從目標租使用者虛刪除:

    1. 將使用者新增至群組,並將它指派給來源租使用者中的跨租使用者同步處理組態。
    2. 視需要或透過累加迴圈布建使用者。
    3. 將來源租用戶中用戶的帳戶啟用狀態更新為 false。
    4. 視需要或透過累加迴圈布建使用者。 啟用帳戶的狀態在目標租用戶中會變更為 false。
    5. 從來源租使用者中的群組中移除使用者。

跨租使用者同步處理是否支援還原使用者?

  • 如果來源租使用者中的使用者已還原、重新指派給應用程式,在虛刪除 30 天內再次符合範圍條件,則會在目標租使用者中還原。
  • IT 系統管理員也可以直接 在目標租使用者中手動還原 使用者。

如何取消布建目前在跨租使用者同步處理範圍內的所有使用者?

  • 從跨租使用者同步處理組態取消指派所有使用者和/或群組。 這會觸發所有直接或透過群組成員資格取消指派的使用者,以在後續的同步處理週期中取消布建。 請注意,目標租用戶必須保留啟用同步處理的輸入原則,直到取消布建完成為止。 如果範圍設定為 [同步所有使用者和群組],您也必須將它變更為 [僅同步指派的使用者和群組]。 跨租使用者同步處理會自動將使用者虛刪除。 使用者會在 30 天后自動進行硬式刪除,或者您可以選擇直接從目標租使用者刪除使用者。 您可以選擇直接在目標租用戶中刪除使用者,或等候 30 天,讓使用者自動進行硬式刪除。

如果同步關係已中斷,外部使用者先前是否由目標租用戶中刪除的跨租使用者同步處理所管理?

  • 否。 如果中斷關聯性,則不會對先前由跨租使用者同步處理管理的外部用戶進行變更(例如,如果刪除跨租使用者同步處理原則)。

下一步