Поделиться через


Настройка мультитенантной организации с помощью POWERShell или API Microsoft Graph

В этой статье описаны основные шаги по настройке мультитенантной организации с помощью Microsoft Graph PowerShell или API Microsoft Graph. В этой статье используется пример арендатора-владельца по имени Каир и двух арендаторов-членов по именам Берлин и Афины.

Если вы вместо этого хотите использовать Центр администрирования Microsoft 365 для настройки мультитенантной организации, см. статью "Настройка мультитенантной организации в Microsoft 365" и "Присоединение к мультитенантной организации или выход из нее в Microsoft 365". Сведения о настройке Microsoft Teams для мультитенантной организации см. в настольном клиенте Microsoft Teams.

Схема, показывающая мультитенантную организацию с одним владельцем и двумя арендаторами-участниками.

Предварительные условия

Значок для владельца арендатора.
Арендатор-владелец

Значок для клиента-члена.
Арендатор-член

  • Сведения о лицензии см. в разделе "Требования к лицензии".
  • Роль администратора безопасности для настройки параметров и шаблонов доступа между клиентами для мультитенантной организации.
  • роль администратора привилегированных ролей для предоставления согласия на необходимые разрешения.

Шаг 1: Вход в арендованный аккаунт владельца

Значок для арендодателя.
Арендатор-собственник

  1. Запустите PowerShell.

  2. При необходимости установите пакет SDK Для Microsoft Graph PowerShell.

  3. Получите идентификатор арендатора владельца и арендатора-члена и инициализируйте переменные.

    $OwnerTenantId = "<OwnerTenantId>"
    $MemberTenantIdB = "<MemberTenantIdB>"
    $MemberTenantIdA = "<MemberTenantIdA>"
    
  4. Используйте команду Connect-MgGraph, чтобы войти в клиент владельца и предоставить согласие на следующие необходимые разрешения.

    • MultiTenantOrganization.ReadWrite.All
    • Policy.Read.All
    • Policy.ReadWrite.CrossTenantAccess
    • Application.ReadWrite.All
    • Directory.ReadWrite.All
    Connect-MgGraph -TenantId $OwnerTenantId -Scopes "MultiTenantOrganization.ReadWrite.All","Policy.Read.All","Policy.ReadWrite.CrossTenantAccess","Application.ReadWrite.All","Directory.ReadWrite.All"
    

Шаг 2. Создание мультитенантной организации

Значок для владельца-квартиросъёмщика.
Собственник-арендатор

  1. В клиенте владельца используйте команду Update-MgBetaTenantRelationshipMultiTenantOrganization для создания мультитенантной организации. Эта операция может занять несколько минут.

    Update-MgBetaTenantRelationshipMultiTenantOrganization -DisplayName "Cairo"
    
  2. Используйте команду Get-MgBetaTenantRelationshipMultiTenantOrganization, чтобы перед продолжением убедиться, что операция завершена.

    Get-MgBetaTenantRelationshipMultiTenantOrganization | Format-List
    
    CreatedDateTime      : 1/8/2024 7:47:45 PM
    Description          :
    DisplayName          : Cairo
    Id                   : <MtoIdC>
    JoinRequest          : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationJoinRequestRecord
    State                : active
    Tenants              :
    AdditionalProperties : {[@odata.context, https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/$entity]}
    

Шаг 3. Добавление клиентов

Значок владельца-арендатора.
Арендатор-владелец

  1. В клиенте владельца используйте команду New-MgBetaTenantRelationshipMultiTenantOrganizationTenant для добавления арендаторов в мультитенантную организацию.

    New-MgBetaTenantRelationshipMultiTenantOrganizationTenant -TenantID $MemberTenantIdB -DisplayName "Berlin" | Format-List
    
    New-MgBetaTenantRelationshipMultiTenantOrganizationTenant -TenantID $MemberTenantIdA -DisplayName "Athens" | Format-List
    
  2. Используйте команду Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant, чтобы убедиться, что операция завершена перед продолжением.

    Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant | Format-List
    
    AddedByTenantId      : <OwnerTenantId>
    AddedDateTime        : 1/8/2024 7:47:45 PM
    DeletedDateTime      :
    DisplayName          : Cairo
    Id                   : <MtoIdC>
    JoinedDateTime       :
    Role                 : owner
    State                : active
    TenantId             : <OwnerTenantId>
    TransitionDetails    : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails
    AdditionalProperties : {[multiTenantOrgLabelType, none]}
    
    AddedByTenantId      : <OwnerTenantId>
    AddedDateTime        : 1/8/2024 8:05:25 PM
    DeletedDateTime      :
    DisplayName          : Berlin
    Id                   : <MtoIdB>
    JoinedDateTime       :
    Role                 : member
    State                : pending
    TenantId             : <MemberTenantIdB>
    TransitionDetails    : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails
    AdditionalProperties : {[multiTenantOrgLabelType, none]}
    
    AddedByTenantId      : <OwnerTenantId>
    AddedDateTime        : 1/8/2024 8:08:47 PM
    DeletedDateTime      :
    DisplayName          : Athens
    Id                   : <MtoIdA>
    JoinedDateTime       :
    Role                 : member
    State                : pending
    TenantId             : <MemberTenantIdA>
    TransitionDetails    : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails
    AdditionalProperties : {[multiTenantOrgLabelType, none]}
    

Шаг 4. Изменение роли клиента (необязательно)

Значок для арендатора-владельца.
Владелец-арендатор

По умолчанию клиенты, добавленные в мультитенантную организацию, являются клиентами-членами. При необходимости их можно изменить на арендаторов владельца, что позволяет добавлять других клиентов в мультитенантную организацию. Вы также можете изменить главного арендатора на арендатора-члена.

  1. В арендаторе владельца используйте команду Update-MgBetaTenantRelationshipMultiTenantOrganizationTenant, чтобы изменить арендатора-участника на арендатора владельца.

    Update-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId $MemberTenantIdB -Role "Owner" | Format-List
    
  2. Чтобы проверить это изменение, используйте команду Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant.

    Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId $MemberTenantIdB | Format-List
    
    AddedByTenantId      : <OwnerTenantId>
    AddedDateTime        : 1/8/2024 8:05:25 PM
    DeletedDateTime      :
    DisplayName          : Berlin
    Id                   : <MtoIdB>
    JoinedDateTime       :
    Role                 : owner
    State                : pending
    TenantId             : <MemberTenantIdB>
    TransitionDetails    : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails
    AdditionalProperties : {[@odata.context, https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/tenants/$entity],
                           [multiTenantOrgLabelType, none]}
    

Шаг 5. Удаление клиента-члена (необязательно)

Значок для арендатора-владельца.
владелец-квартиросъёмщик

Вы можете удалить любого участника-арендатора, включая своего собственного. Вы не можете удалить собственных арендаторов. Кроме того, вы не можете удалить исходного арендатора создателя, даже если его роль была изменена с владельца на участника.

  1. В арендаторе-владельце используйте команду Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant, чтобы удалить любой арендатор-член. Эта операция занимает несколько минут.

    Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId <MemberTenantIdD>
    
  2. Чтобы проверить это изменение, используйте команду Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant.

    Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId <MemberTenantIdD>
    

    После завершения команды удаления выходные данные аналогичны приведенным ниже. Это ожидаемое сообщение об ошибке. Это указывает на то, что арендатор был удален из многопользовательской организации.

    Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant_Get: Unable to read the company information from the directory.
    
    Status: 404 (NotFound)
    ErrorCode: Directory_ObjectNotFound
    Date: 2024-01-08T20:35:11
    
    ...
    

Шаг 6. Вход в клиент участника

Значок для клиента-члена.
Арендатор-член

Арендатор из Каира создал многопользовательскую организацию и добавил арендаторов из Берлина и Афин. В этих действиях войдите в систему арендатора Берлина и присоединитесь к мультитенантной организации, созданной в Каире.

  1. Запустите PowerShell.

  2. Используйте команду Connect-MgGraph, чтобы войти в клиент-член и предоставить согласие на следующие необходимые разрешения.

    • MultiTenantOrganization.ReadWrite.All
    • Policy.Read.All
    • Policy.ReadWrite.CrossTenantAccess
    • Application.ReadWrite.All
    • Directory.ReadWrite.All
    Connect-MgGraph -TenantId $MemberTenantIdB -Scopes "MultiTenantOrganization.ReadWrite.All","Policy.Read.All","Policy.ReadWrite.CrossTenantAccess","Application.ReadWrite.All","Directory.ReadWrite.All"
    

Шаг 7. Присоединение к мультитенантной организации

Значок для клиента-члена.
Арендатор-член

  1. В клиенте-члене используйте команду Update-MgBetaTenantRelationshipMultiTenantOrganizationJoinRequest для присоединения к мультитенантной организации.

    Update-MgBetaTenantRelationshipMultiTenantOrganizationJoinRequest -AddedByTenantId $OwnerTenantId | Format-List
    
  2. Чтобы проверить соединение, используйте команду Get-MgBetaTenantRelationshipMultiTenantOrganizationJoinRequest.

    Get-MgBetaTenantRelationshipMultiTenantOrganizationJoinRequest | Format-List
    
    AddedByTenantId      : <OwnerTenantId>
    Id                   : <MtoJoinRequestIdB>
    MemberState          : active
    Role                 : member
    TransitionDetails    : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationJoinRequestTransitionDetails
    AdditionalProperties : {[@odata.context, https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/joinRequest/$entity]}
    
  3. Используйте команду Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant, чтобы проверить саму мультитенантную организацию. Он должен отражать операцию соединения.

    Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant | Format-List
    
    AddedByTenantId      : <OwnerTenantId>
    AddedDateTime        : 1/8/2024 8:05:25 PM
    DeletedDateTime      :
    DisplayName          : Berlin
    Id                   : <MtoJoinRequestIdB>
    JoinedDateTime       : 1/8/2024 9:53:55 PM
    Role                 : member
    State                : active
    TenantId             : <MemberTenantIdB>
    TransitionDetails    : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails
    AdditionalProperties : {[multiTenantOrgLabelType, none]}
    
    AddedByTenantId      : <OwnerTenantId>
    AddedDateTime        : 1/8/2024 7:47:45 PM
    DeletedDateTime      :
    DisplayName          : Cairo
    Id                   : <Id>
    JoinedDateTime       :
    Role                 : owner
    State                : active
    TenantId             : <OwnerTenantId>
    TransitionDetails    : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails
    AdditionalProperties : {[multiTenantOrgLabelType, none]}
    
  4. Чтобы разрешить асинхронную обработку, подождите до 2 часов, пока завершится присоединение к мультитенантной организации.

Шаг 8. (Необязательно) Покиньте мультитенантную организацию

Значок для клиента-члена.
Арендатор-член

Вы можете выйти из мультитенантной организации, к которой вы присоединились. Процесс удаления собственного клиента из мультитенантной организации совпадает с процессом удаления другого клиента из мультитенантной организации.

Если ваш арендатор является единственным владельцем мультитенантной организации, необходимо назначить нового арендатора владельцем этой организации. Инструкции см. в шаге 4. Изменение роли клиента (необязательно).

  • В арендаторе используйте команду Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant для удаления арендатора. Эта операция занимает несколько минут.

    Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId <MemberTenantId>
    

Шаг 9. Удаление мультитенантной организации (необязательно)

Значок для владельца-арендатора.
Арендатор-владелец

Удаление мультитенантной организации путем удаления всех арендаторов. Процесс удаления последнего арендатора-владельца совпадает с процессом удаления всех остальных арендаторов-участников.

Следующие шаги