為大型機構設計多租用戶架構

  • 發行項

建議針對較小的機構使用單一租用戶架構。 不過,對於擁有超過 1 百萬個使用者的組織,我們建議使用多租使用者架構來減輕效能問題和租使用者限制,例如 Azure 訂用帳戶和配額,以及 Microsoft Entra 服務限制

設計原則

設計多租用戶架構時,請考慮下列設計原則來降低成本並提高效率和安全性:

  • 降低成本

    • 減少對內部部署基礎結構和多個身分識別提供者的依賴。

    • 讓使用者使用自助 (解除鎖定其帳戶或重設密碼,例如,Microsoft Entra 自助式密碼重設) 。

  • 提高效率

    • 將跨租使用者的架構、設定和程序標準化,以將系統管理問題降至最低。

    • 將使用者從一個租使用者移至另一個租使用者的需求降到最低

  • 提高安全性

    • 專注於確保學生數據安全。

    • 遵循最低許可權原則:只授與執行所需工作所需的許可權,並實作 Just in Time (JIT) 存取權。

    • 只允許外部使用者透過權利管理或 Microsoft Entra B2B 共同作業存取。

    • 將特定工作的管理委派給具有 Just Enough Access (JEA) 執行作業的特定使用者。

多個租用戶的常見原因

我們強烈建議使用者少於1百萬的組織建立單一租使用者,除非其他準則指出需要多個租使用者。 對於具有 1 百萬個或更多使用者對象的組織,我們建議使用區域方法的多個租使用者。

建立個別的租用戶會對您的EDU環境產生下列影響。

  • 系統管理區隔

    • 可能會限制影響重要資源的系統管理安全性或操作錯誤的影響。

    • 可能會限制遭入侵的系統管理員或用戶帳戶的影響。

    • 使用量報告和稽核記錄包含在租用戶內。

  • 資源分隔

    • 學生隱私權。 學生用戶物件只能在物件所在的租使用者內探索。

    • 資源隔離。 其他租使用者中的使用者和系統管理員無法探索或列舉個別租使用者中的資源。

    • 物件使用量。 透過 Microsoft Graph 或其他管理介面寫入 Microsoft Entra ID 和其他 Microsoft Online 服務的應用程式,只會影響本機租使用者中的資源。

    • 配額。 全租使用者 Azure 配額和限制的 使用量與其他租使用者的使用量分開。

  • 組態分隔

    • 提供一組個別的全租用戶設定,以容納具有不同設定需求的資源和信任應用程式。

    • 啟用一組新的 Microsoft Online 服務,例如 Office 365。

除了擁有超過 1 百萬個使用者之外,下列考慮可能會導致多個租使用者。

  • 系統管理考慮

    • 您在法規下運作時,會根據身分所在國家/地區、居住國家/地區或許可等級等準則來限制誰可以管理環境。

    • 您有合規性需求,例如需要您在特定區域建立身分識別的學生數據隱私權。

  • 資源考慮

    • 您有資源,或許是為了研究和開發,基於法規或業務關鍵原因,您必須防範現有系統管理員的探索、列舉或接管。

    • 自定義應用程式的開發週期,可以使用 MS Graph 或類似的 API 大規模變更使用者的數據 (例如授與 Directory.ReadWrite.All)

  • 設定考慮

    • 資源具有與現有全租使用者安全性或共同作業狀態衝突的需求,例如允許的驗證類型、裝置管理原則、自助功能,或外部身分識別的身分識別校訂。

判斷多租使用者方法

在本節中,我們假設有一個虛構的大學,名為「美工學校」,在 美國 的 100 間學校中有 2 百萬位學生。 在這些學校中,總共有130,000位教師和30,000名全職員工和教職員。

在部署多個租使用者時,建議使用區域方法,如下所示:

  1. 首先,將您的學生和授課者社群除以每個區域包含少於1百萬個使用者的地理區域。

  2. 為每個區域建立 Microsoft Entra 租使用者。

    多租使用者方法。

  3. 在其對應的區域中布建教職員、教師和學生,以優化共同作業體驗。

    在租使用者中布建。

為什麼要使用區域?

建議使用區域方法,將跨租用戶移動的用戶數目降至最低。 如果您為每個學校層級建立租使用者 (例如學校、中學和中學) 您必須在每個學年結束時移轉使用者。 如果使用者改為保留在相同的區域中,則您不需要在租用戶屬性變更時將它們移到租用戶之間。

區域方法的其他優點包括:

  • 每個區域內的最佳共同作業

  • 需要來自其他租用戶的來賓物件數目最少

當租用戶有超過 1 百萬個使用者時,管理體驗和工具通常會隨著時間而降低。 同樣地,某些用戶體驗,例如使用人員選擇器,將會變得繁瑣且不可靠。

選擇部署多個租使用者但不具吸引力理由的較小組織,會不必要地增加其管理額外負荷和使用者移轉數目。 這麼做也需要步驟來確保租用戶之間的共同作業體驗。

使用 Microsoft Entra B2B 共同作業跨租使用者共同作業

Microsoft Entra B2B 共同作業可讓使用者使用一組認證來登入多個租使用者。 針對教育機構,B2B 共同作業的優點包括:

  • 管理多個租使用者的集中式管理小組

  • 跨區域的教師共同作業

  • 使用自己的認證讓家長和守護者上線

  • 外部合作關係,例如約聘人員或研究人員

透過 B2B 共同作業,在一個租使用者中建立的使用者帳戶 (其主租使用者) 會受邀作為另一個租使用者的來賓使用者, (資源租使用者) ,而且使用者可以使用其主租用戶的認證登入。 系統管理員也可以使用 B2B 共同作業,藉由設定與身分識別提供者的同盟,例如 FacebookMicrosoft 帳戶Google企業識別提供者,讓外部用戶能夠使用其現有的社交或企業帳戶登入。

成員和來賓

Microsoft Entra 租使用者中的用戶是根據其UserType屬性的成員或來賓。 根據預設,成員使用者是租使用者的原生使用者。 默認會將 Microsoft Entra B2B 共同作業使用者新增為 UserType = Guest 的使用者。 來賓在目錄和應用程式中的許可權 有限 。 例如,來賓用戶無法瀏覽來自租用戶的資訊,超出他們自己的配置文件資訊。 不過,來賓使用者可以藉由提供用戶主體名稱 (UPN) 或 objectId 來擷取其他使用者的相關信息。 來賓使用者也可以讀取其所屬群組的屬性,包括群組成員資格,而不論 來賓用戶的許可權有限 設定為何。

在某些情況下,資源租使用者可能會想要將來自主租使用者的使用者視為成員,而不是來賓。 如果是,您可以使用 Microsoft Entra B2B 邀請管理員 API,將使用者從主租使用者新增或邀請至資源租用戶作為成員。 如需詳細資訊,請參閱 Microsoft Entra B2B 共同作業用戶的屬性

集中管理多個租使用者

使用 Microsoft Entra B2B 將外部身分識別上線。 接著可以將特殊許可權角色指派給外部身分識別,以集中式 IT 小組成員身分管理 Microsoft Entra 租使用者。 您也可以使用 Microsoft Entra B2B 為其他員工建立來賓帳戶,例如區域或區域層級的系統管理員。

不過,服務特定的角色,例如 Exchange 系統管理員或 SharePoint 系統管理員,需要其租使用者原生的本機帳戶。 ​

下列角色可以指派給 B2B 帳戶

  • 應用程式系統管理員

  • 應用程式開發人員

  • 驗證管理員

  • B2C IEF 金鑰集管理員

  • B2C IEF 原則管理員

  • 雲端應用程式 B2C IEF 原則管理員

  • 雲端裝置 B2C IEF 原則管理員

  • 條件式存取系統管理員

  • 裝置系統管理員

  • 裝置加入

  • 裝置使用者

  • 目錄讀取器

  • 目錄作者

  • 目錄同步處理帳戶

  • 外部標識碼使用者流程管理員

  • 外部標識碼使用者流程屬性管理員

  • 外部識別提供者

  • 群組系統管理員

  • 來賓邀請者

  • 服務台系統管理員

  • 混合式身分識別系統管理員

  • Intune 服務系統管理員

  • 授權系統管理員

  • 密碼管理員

  • 特殊許可權驗證系統管理員

  • 特殊權限角色管理員

  • 報告讀取者

  • 受限制的來賓使用者

  • 安全性系統管理員

  • 安全性讀取者

  • 用戶帳戶管理員

  • 工作場所裝置加入

Microsoft Entra ID 中的自定義系統管理員角色會呈現內建角色的基礎權限,讓您可以建立及組織自己的自定義角色。 這種方法可讓您在需要存取權時,以比內建角色更細微的方式授與存取權。

以下範例說明系統管理如何適用於可跨多個租使用者委派和使用的系統管理角色。

Susie 的原生帳戶位於區域 1 租使用者中,而 Microsoft Entra B2B 是用來將帳戶新增為區域 2 和區域 3 租使用者中中央 IT 小組的驗證系統管理員。

集中式管理。

跨多個租使用者使用應用程式

若要減輕在多租用戶環境中管理應用程式的相關問題,您應該考慮撰寫 多租用戶應用程式。 您也必須確認哪一個 SaaS 應用程式支援多個 IdP 連線。 支援多個 IDP 連線的 SaaS 應用程式應該在每個租用戶上設定個別連線。 不支援多個 IDP 連線的 SaaS 應用程式可能需要獨立的實例。 如需詳細資訊,請參閱如何:使用多租使用者應用程式模式登入任何 Microsoft Entra 使用者

注意:授權模型可能會因一個 SaaS 應用程式而有所不同。 請洽詢廠商,以判斷多租用戶環境中是否需要多個訂用帳戶。

每個租用戶的系統管理

服務特定的角色需要每個租用戶的系統管理。 屬於服務特定的角色需要具有租使用者原生的本機帳戶。 除了在每個租用戶中擁有集中式 IT 小組之外,您還需要在每個租使用者中有一個區域 IT 小組來管理 Exchange、SharePoint 和 Teams 等工作負載。

下列角色需要每個租使用者的原生帳戶

  • Azure DevOps 系統管理員

  • Azure 資訊保護 系統管理員

  • 計費管理員

  • CRM 服務管理員

  • 合規性系統管理員

  • 合規性資料系統管理員

  • 客戶加密箱存取核准者

  • 電腦分析系統管理員

  • Exchange 系統管理員

  • Insights 系統管理員

  • 深入解析商務領導者

  • Kaizala 系統管理員

  • Lync 服務管理員

  • 訊息中心隱私權讀取者

  • 訊息中心讀取器

  • 印表機系統管理員

  • 印表機技術人員

  • 搜尋系統管理員

  • 搜尋 編輯器

  • 安全性操作員

  • 服務支援系統管理員

  • Sharepoint 系統管理員

  • Teams 通訊系統管理員

  • Teams 通訊支援工程師

  • Teams 通訊支援專員

  • Teams 服務管理員

每個租使用者中的唯一系統管理員

如果您有每個區域的原生 IT 小組,您可以讓其中一個本機系統管理員管理 Teams 系統管理。 在下列範例中,Charles 位於區域 1 租使用者中,且具有 Teams 服務管理員的角色。 Alice 和並分別位在區域 2 和 3 中,並在其區域中保有相同角色。 每個本機系統管理員都有其區域原生的單一帳戶。

圖片 7.

跨租使用者 管理員 角色

如果您沒有每個區域的本機系統管理員集區,您可以只將 Teams 服務管理員角色指派給一位使用者。 在此案例中,如下所示,您可以讓中央 IT 小組的 Bob 在每個租使用者中為 Bob 建立本機帳戶,以在所有三個租用戶中擔任 Teams 服務管理員。

圖片 9。

在租用戶內委派系統管理員角色

系統管理單位 (AUS) 應該用來以邏輯方式將使用者和群組 Microsoft Entra 群組。 在由不同區域、區域或學校組成的教育組織中,使用管理單位限制系統管理範圍非常有用。

例如,虛構的美工學校分散在三個區域,每個區域都包含多個學校。 每個區域都有一個IT系統管理員小組,負責控制存取權、管理使用者,以及設定其各自學校的原則。

例如,IT 系統管理員可以:

  • 為區域 1 中的每個學校的使用者建立 AU,以管理該學校中的所有使用者。 (未顯示圖片)

  • 建立包含每間學校教師的 AU,以管理教師帳戶。

  • 建立個別的 AU,其中包含每間學校的學生,以管理學生帳戶。

  • 為學校的教師指派學生 AU 的密碼管理員角色,讓教師可以重設學生密碼,但無法重設其他用戶的密碼。

管理單位。

可限於管理單位的角色包括:

  • 驗證管理員

  • 群組系統管理員

  • 服務台系統管理員

  • 授權系統管理員

  • 密碼管理員

  • 用戶系統管理員

如需詳細資訊, 請參閱將限域角色指派給管理單位

跨租使用者管理

設定會在每個租用戶中個別設定。 請盡可能在租使用者建立過程中進行設定,以協助您盡可能避免重新流覽這些設定。 雖然某些常見的工作可以自動化,但沒有內建的跨租使用者管理入口網站。

大規模管理物件

Microsoft Graph (MS Graph) Microsoft Graph PowerShell 可讓您大規模管理目錄物件。 它們也可以用來管理租使用者中的大部分原則和設定。 不過,您應該瞭解下列效能考慮:

  • MS Graph 會將每個租使用者每小時的使用者、群組和成員資格變更限製為 72,000 個。

  • MS Graph 效能可能會受到使用者驅動動作的影響,例如租使用者內的讀取或寫入動作

  • MS Graph 效能可能會受到租使用者內其他競爭 IT 系統管理員工作的影響

  • PowerShell、SDS、Microsoft Entra Connect 和自定義布建解決方案會以不同速率透過 MS Graph 新增對象和成員資格

後續步驟

如果您尚未檢閱 Microsoft Entra 租用戶簡介,您可能想要這麼做。然後請參閱: