多租用戶使用者管理案例
本文是一系列文章中的第二篇,提供在 Microsoft Entra 多租用戶環境中設定及提供使用者生命週期管理的指導。 系列中的下列文章提供所述的詳細資訊。
- 多租用戶使用者管理簡介是一系列文章中的第一篇,提供在 Microsoft Entra 多租用戶環境中設定及提供使用者生命週期管理的指導。
- 多租用戶使用者管理的常見考量提供下列考慮的指導:跨租用戶同步處理、目錄物件、Microsoft Entra 條件式存取、其他存取控制和 Office 365。
- 當單一租用戶不適用於您的案例時,多租用戶使用者管理的常見解決方案,本文提供這些挑戰的指導:跨租用戶自動使用者生命週期管理和資源配置、跨租用戶共用內部部署應用程式。
本指南可協助您達成一致的使用者生命週期管理狀態。 生命週期管理包括使用可用 Azure 工具,跨租用戶佈建、管理和取消佈建使用者,這些工具包括 Microsoft Entra B2B 共同作業 (B2B) 和跨租用戶同步處理。
本文說明您可以使用多租用戶管理功能的三種案例。
- 已由使用者起始
- 具講稿
- 自動化
終端使用者起始的案例
在終端使用者起始的案例中,資源租用戶系統管理員會對租用戶中的使用者,委派特定功能。 系統管理員可讓終端使用者能邀請外部使用者加入租用戶、應用程式或資源。 您可以從主租用戶邀請使用者,或他們可以個別註冊。
例如,全球專業服務公司會與轉包商就專案進行共同作業。 轉包商 (外部使用者) 需要存取該公司的應用程式與文件。 公司的系統管理員可以委派其終端使用者,使其能夠邀請轉包商或為轉包商設定自助式資源存取。
佈建帳戶
以下是邀請終端使用者存取租用戶資源的最廣泛使用方式。
- 依應用程式區分的邀請。Microsoft應用程式 (例如 Teams 和 SharePoint) 可以啟用外部使用者邀請。 在 Microsoft Entra B2B 和相關應用程式中設定 B2B 邀請設定。
- MyApps。使用者可以使用 MyApps 邀請外部使用者並將其指派給應用程式。 使用者帳戶必須具有應用程式自助式註冊核准者權限。 群組擁有者可以邀請外部使用者加入其群組。
- 權利管理。讓系統管理員或資源擁有者能夠使用資源、允許的外部組織、外部使用者到期和存取原則來建立存取套件。 發佈存取套件,以啟用外部使用者自助式註冊進行資源存取。
- Azure 入口網站。具有來賓邀請者角色的終端使用者可以登入 Azure 入口網站,並從 Microsoft Entra ID 中的 [使用者] 功能表邀請外部使用者。
- 程序設計 (PowerShell、圖形 API)。具有來賓邀請者角色的終端使用者可以使用 PowerShell 或圖形 API 來邀請外部使用者。
兌換邀請
當您佈建帳戶以存取資源時,電子郵件邀請會移至受邀使用者的電子郵件位址。
當受邀的使用者收到邀請時,他們可以遵循電子郵件中包含的連結前往兌換 URL。 這樣做時,受邀的使用者可以核准或拒絕邀請,並視需要建立外部使用者帳戶。
如果下列任一案例成立,則已邀請的使用者也可以嘗試直接存取資源,稱為 Just-In-Time (JIT) 兌換。
- 受邀的使用者已經有 Microsoft Entra ID 或 Microsoft 帳戶,或
- 系統管理員已啟用電子郵件一次性密碼。
在 JIT 兌換期間,可能適用於下列考量事項。
如需詳細資訊,請參閱 Microsoft Entra B2B 共同作業邀請兌換。
啟用一次性密碼驗證
在允許臨機操作 B2B 的案例中,啟用電子郵件一次性密碼驗證。 當您無法透過其他方式驗證外部使用者時,此功能會驗證外部使用者,例如:
- Microsoft Entra ID.
- Microsoft 帳戶。
- 透過 Google 同盟的 Gmail 帳戶。
- 透過直接同盟來自安全性聲明標記語言 (SAML)/WS-Fed IDP 的帳戶。
使用單次密碼驗證時,不需要建立 Microsoft 帳戶。 當外部使用者兌換邀請或存取共用資源時,他們會在其電子郵件地址收到臨時代碼。 然後他們可以輸入代碼以繼續登入。
管理客戶
在使用者起始的案例中,資源租用戶系統管理員會管理資源租用戶中的外部使用者帳戶 (不會根據主租用戶中的更新值更新)。 收到的可見屬性僅包括電子郵件地址與顯示名稱。
您可以在外部使用者物件上設定更多屬性,以協助處理不同的案例 (例如權利案例)。 您可以包含將連絡人詳細資料填入通訊錄。 例如,請考慮下列屬性。
- HiddenFromAddressListsEnabled [ShowInAddressList]
- FirstName [GivenName]
- LastName [SurName]
- 職稱
- 部門
- TelephoneNumber
您可以設定這些屬性,將外部使用者新增至全域通訊清單 (GAL) 和人員搜尋 (例如 SharePoint 人員選擇器)。 其他案例可能需要不同的屬性 (例如為存取套件、動態群組成員資格和 SAML 宣告設定權利與權限)。
根據預設,GAL 會隱藏受邀的外部使用者。 將外部使用者屬性設定為未隱藏,以將它們包含在整合的 GAL 中。 多租用戶管理常見考量事項的「Microsoft Exchange Online」一節說明如何藉由建立外部成員使用者而非外部來賓使用者來降低限制。
取消佈建帳戶
終端使用者起始的案例會分散存取決策,這可能會產生決定何時移除外部使用者及其相關聯存取權的挑戰。 權利管理和存取權檢閱可讓您檢閱及移除現有的外部使用者及其資源存取權。
當您邀請權利管理以外的使用者時,必須建立個別的程序來檢閱和管理其存取權。 例如,如果您在 Microsoft 365 中透過 SharePoint 直接邀請外部使用者,則它不在您的權利管理程序中。
編寫指令碼的案例
在編寫指令碼的案例中,資源租用戶系統管理員會部署已編寫指令碼的提取處理序,自動探索及外部使用者佈建。
例如,公司收購競爭對手。 每個公司都有單一 Microsoft Entra 租用戶。 這些公司想要在無須使用者執行任何邀請或兌換步驟的情況下,執行下列「第一天」案例。 所有使用者都必須能夠:
- 對所有佈建的資源使用單一登入。
- 在整合的 GAL 中尋找彼此和資源。
- 判斷彼此的存在並起始聊天。
- 根據組動態成員資格群組來存取應用程式。
在此案例中,每個組織的租用戶都是其現有員工的主租用戶,也是其他組織員工的資源租用戶。
佈建帳戶
租用戶系統管理員可以使用差異查詢,部署編寫指令碼的提取處理序,自動探索及身分識別佈建,支援資源存取。 此程序會檢查主租用戶是否有新使用者。 它會使用 B2B 圖形 API,將新使用者佈建為資源租用戶中的外部使用者,如下列多租用戶拓撲圖表所示。
- 租用戶系統管理員會預先排列認證,並同意允許每個租用戶讀取。
- 租用戶系統管理員會對資源租用戶,自動列舉及提取範圍內的使用者。
- 使用有同意權限的 Microsoft 圖形 API,透過邀請 API 讀取及佈建使用者。
- 初始佈建可以讀取來源屬性,並將其套用至目標使用者物件。
管理客戶
資源組織可增強設定檔資料,以藉由更新資源租用戶內的使用者中繼資料屬性,支援共用案例。 但若需要不間斷的同步處理,則採用同步處理解決方案可能是較佳的選擇。
取消佈建帳戶
差異查詢可在需要取消佈建外部使用者時,發出訊號。 權利管理與存取權檢閱也可提供一種方法,來檢閱及移除現有外部使用者及其資源存取權。
如果您邀請權利管理以外的使用者,請建立個別的程序來檢閱和管理外部使用者存取權。 例如,如果您在 Microsoft 365 中透過 SharePoint 直接邀請外部使用者,則它不在您的權利管理程序中。
自動化案例
跨租用戶同步共用是本文所述的模式中最複雜的模式。 此模式相對於終端使用者起始或編寫指令碼的情況,能提供更多自動化管理與取消佈建選項。
在自動化案例中,資源租用戶系統管理員會使用身分識別佈建系統,自動進行佈建與取消佈建處理序。 在 Microsoft 商業雲端執行個體內的案例中,我們有跨租用戶同步處理。 在跨越 Microsoft 主權雲端執行個體的案例中,您需要其他方法,因為跨租用戶同步處理尚不支援跨雲端。
例如,在 Microsoft 商業雲端執行個體內,跨國/區域集團有多個子公司,具有下列需求。
- 每個都有自己的 Microsoft Entra 租用戶,且需要一起運作。
- 除了在租用戶之間同步處理新使用者之外,還會自動同步處理屬性更新,並自動取消佈建。
- 如果員工已不在子公司,則會在下一次同步處理期間,從所有其他租用戶中移除其帳戶。
在擴充的跨雲端案例中,國防工業基地 (DIB) 承包商擁有一個以國防和商業為基礎的子公司。 這兩者有競爭法規要求:
- 美國國防業務位於美國主權雲端租用戶中,例如 Microsoft 365 美國政府 GCC High 和 Azure Government。
- 商業企業位於商業中的個別 Microsoft Entra 租用戶中,例如在全域 Azure 雲端上執行的 Microsoft Entra 環境。
若要以像是單一公司的方式,部署到跨雲端架構,則所有使用者都要同步處理至這兩個租用戶。 此方法可讓這兩個租用戶都能使用整合的 GAL 可用性,且可以確保使用者會自動同步處理至這兩個租用戶,包括應用程式和內容的權利和限制。 範例需求包括:
- 美國員工可能擁有兩個租用戶的通用存取權。
- 非美國員工會顯示在兩個租用戶的整合 GAL 中,但無法存取 GCC High 租用戶中受保護的內容。
此案例需要自動進行同步處理與身分識別管理,以設定兩個租用戶中的使用者,同時建立這些租用戶與適當權利及資料保護原則之間的關聯。
跨雲端 B2B 需要您為想要在遠端雲端執行個體中共同作業的每個組織設定跨租用戶存取設定。
佈建帳戶
本節說明自動化案例中自動化帳戶佈建的三種技術。
技術 1:使用 Microsoft Entra ID 中的內建跨租用戶同步處理功能
只有在您需要同步處理的所有租用戶都位於相同的雲端執行個體 (例如商業到商業) 時,此方法才能運作。
技術 2:使用 Microsoft Identity Manager 佈建帳戶
使用外部身分識別和存取權管理 (IAM) 解決方案,例如 Microsoft Identity Manager (MIM) 作為同步處理引擎。
此進階部署會使用 MIM 作為同步處理引擎。 MIM 會呼叫 Microsoft 圖形 API 與 Exchange Online PowerShell。 另一種實作方式是可以包括從 Microsoft 產業解決方案裝載 Active Directory 同步處理服務 (ADSS) 受控服務供應項目的雲端。 您可以使用其他 IAM 供應項目 (例如 SailPoint、Omada 和 OKTA) 從頭開始建立非 Microsoft 供應項目。
您可以執行身分識別的雲端到雲端同步處理,從一個租用戶到另一個租用戶,如下圖所示。
本文範圍以外的考量事項包括整合內部部署應用程式。
技術 3:使用 Microsoft Entra Connect 佈建帳戶
這項技術僅適用於管理傳統 Windows Server 型 Active Directory Domain Services (AD DS) 中所有身分識別的複雜組織。 此方法使用 Microsoft Entra Connect 作為同步處理引擎,如下圖所示。
不同於 MIM 技術,所有身分識別來源 (使用者、連絡人和群組) 都來自傳統 Windows Server 型 Active Directory Domain Services (AD DS)。 AD DS 目錄通常是管理多個租用戶身分識別之複雜組織的內部部署。 僅限雲端身分識別不在這項技術的範圍內。 所有身分識別都必須在AD DS中,才能將它們包含在同步處理的範圍內。
就概念上而言,這項技術會將使用者同步處理到主租用戶作為內部成員使用者 (預設行為)。 或者,它可能會將使用者同步處理為外部使用者的資源租用戶 (自訂行為)。
Microsoft 支援這種雙重同步使用者技術,並仔細考慮 Microsoft Entra Connect 設定中發生的修改。 例如,如果您修改精靈驅動的安裝設定,則必須在支援事件期間重建設定時記錄變更。
立即可用的 Microsoft Entra Connect 無法同步處理外部使用者。 您必須使用外部程序來進行增強 (例如 PowerShell 指令碼),才能將使用者從內部轉換為外部帳戶。
這項技術的優點包括 Microsoft Entra Connect 同步處理身分識別與 AD DS 中儲存的屬性。 同步處理可能包含通訊錄屬性、管理員屬性、群組成員資格,以及其他混合式身分識別屬性到範圍內的所有租用戶。 它會取消佈建身分識別以符合 AD DS。 它不需要更複雜的 IAM 解決方案來管理此特定工作的雲端身分識別。
每個租用戶都有一對一 Microsoft Entra Connect 的關聯性。 每個租用戶都有自己的 Microsoft Entra Connect 設定,您可以個別變更以支援成員或外部使用者帳戶同步處理。
選擇正確的拓撲
大部分的客戶會使用自動化案例中下列拓撲的其中之一。
- 運用網格拓撲可以共用所有租用戶內的所有資源。 您可以將每個資源租用戶中其他租用戶的使用者建立為外部使用者。
- 單一資源租用戶拓撲會使用單一租用戶 (資源租用戶),而其他租用戶的使用者則是外部使用者。
當您設計解決方案時,請將下表參考為決策樹。 下表的圖表說明這兩個拓撲,以協助您判斷哪一個適合您的組織。
比較網格與單一資源租用戶拓撲
考量 | 網狀拓撲 | 單一資源租用戶 |
---|---|---|
每個公司都有個別的 Microsoft Entra 租用戶與使用者和資源 | Yes | Yes |
資源位置與共同作業 | ||
共用的應用程式與其他資源,仍會保留在其目前的主租用戶中 | Yes | 否。 您只能共用資源租用戶中的應用程式和其他資源。 您無法共用其他租用戶中的應用程式和其他資源。 |
在個別公司的 GAL (整合 GAL) 中均可檢視 | 是 | No |
資源存取與系統管理 | ||
您可以在所有公司之間共用連線到 Microsoft Entra ID 的「所有」應用程式。 | Yes | 否。 只有資源租用戶中的應用程式會進行共用。 您無法共用其他租用戶中剩餘的應用程式。 |
全域資源系統管理 | 從租用戶層級繼續。 | 合併在資源租用戶中。 |
授權:Microsoft 365 中的 Office 365 SharePoint、整合 GAL、Teams 可存取所有支援來賓;不過,其他 Exchange Online 案例則無法。 | 從租用戶層級繼續。 | 從租用戶層級繼續。 |
授權:Microsoft Entra ID (進階版) | 每個租用戶的前 5 萬個每月活躍使用者免費。 | 前 5 萬個每月活躍使用者免費。 |
授權:軟體即服務 (SaaS) 應用程式 | 保留在個別租用戶中,每個租用戶的每位使用者都需要授權 | 所有共用資源都位於單一資源租用戶中。 適當情況下,可以調查單一租用戶的合併授權。 |
網狀拓撲
下列圖表說明網格拓撲。
在網格拓撲中,會將每個主租用戶中的每位使用者,都同步到其他每個租用戶中,成為資源租用戶。
- 您可以與外部使用者共用租用戶內的任何資源。
- 每個組織都可以看到集團中的所有使用者。 在上圖中,有四個整合 GAL,每個都包含主使用者與來自其他三個租用戶的外部使用者。
多租用戶管理的常見考量事項可提供在此案例中佈建、管理及取消佈建使用者的相關資訊。
跨雲端的網格拓撲
您可以可以在最少兩個租用戶中使用網格拓撲,例如跨主權雲端解決方案的 DIB 國防承包商案例。 就和網格拓撲一樣,每個主租用戶中的每位使用者,都會同步處理到其他租用戶,這樣能成為資源租用戶。 在技術 3 區段圖表中,公用商業租用戶內部使用者會同步處理至美國主權 GCC High 租用戶作為外部使用者帳戶。 同時,GCC High 內部使用者會以外部使用者帳戶同步處理至商業。
此圖表也會說明資料儲存位置。 資料分類與合規性不在本文的範圍內,但示範了您可以在應用程式與內容中包括的權利與限制。 內容可能包含內部使用者擁有資料所在的位置 (例如儲存在 Exchange Online 信箱或 OneDrive 中的資料)。 內容可能會在其主租用戶中,而不在資源租用戶中。 共用資料可能位於任一租用戶中。 您可以透過存取控制與條件式存取原則,限制對內容的存取。
單一資源租用戶拓撲
下圖說明單一資源租用戶拓撲。
在單一資源租用戶拓撲中,使用者與其屬性會同步至資源租用戶 (上圖中的公司 A)。
- 成員組織之間所共用的所有資源,都必須位於單一資源租用戶中。 若有多個子公司對相同的 SaaS 應用程式皆有訂閱,則為合併這些訂閱的機會。
- 只有資源租用戶中的 GAL,才會顯示所有公司的使用者。
管理客戶
此解決方案會偵測來源租用戶使用者的屬性變更,並將其同步至資源租用戶外部使用者。 您可以使用這些屬性來做出授權決策 (例如,當您使用組動態成員資格群組時)。
取消佈建帳戶
自動化會偵測來源環境中的物件刪除作業,並在目標環境中刪除相關聯的外部使用者物件。
多租用戶管理的常見考量事項可提供在此案例中佈建、管理及取消佈建使用者的額外相關資訊。
下一步
- 多租用戶使用者管理簡介是一系列文章中的第一篇,提供在 Microsoft Entra 多租用戶環境中設定及提供使用者生命週期管理的指導。
- 多租用戶使用者管理的常見考量提供下列考慮的指導:跨租用戶同步處理、目錄物件、Microsoft Entra 條件式存取、其他存取控制和 Office 365。
- 當單一租用戶不適用於您的案例時,多租用戶使用者管理的常見解決方案,本文提供這些挑戰的指導:跨租用戶自動使用者生命週期管理和資源配置、跨租用戶共用內部部署應用程式。