Настройка мультитенантной организации с помощью POWERShell или API Microsoft Graph
В этой статье описаны основные шаги по настройке мультитенантной организации с помощью Microsoft Graph PowerShell или API Microsoft Graph. В этой статье используется пример арендатора-владельца по имени Каир и двух арендаторов-членов по именам Берлин и Афины.
Если вы вместо этого хотите использовать Центр администрирования Microsoft 365 для настройки мультитенантной организации, см. статью "Настройка мультитенантной организации в Microsoft 365" и "Присоединение к мультитенантной организации или выход из нее в Microsoft 365". Сведения о настройке Microsoft Teams для мультитенантной организации см. в настольном клиенте Microsoft Teams.
Предварительные условия
Арендатор-владелец
- Сведения о лицензии см. в разделе "Требования к лицензии".
- Роль администратора безопасности для настройки параметров и шаблонов доступа между клиентами для мультитенантной организации.
- роль администратора привилегированных ролей для предоставления согласия на необходимые разрешения.
Арендатор-член
- Сведения о лицензии см. в разделе "Требования к лицензии".
- Роль администратора безопасности для настройки параметров и шаблонов доступа между клиентами для мультитенантной организации.
- роль администратора привилегированных ролей для предоставления согласия на необходимые разрешения.
Шаг 1: Вход в арендованный аккаунт владельца
Арендатор-собственник
Запустите PowerShell.
При необходимости установите пакет SDK Для Microsoft Graph PowerShell.
Получите идентификатор арендатора владельца и арендатора-члена и инициализируйте переменные.
$OwnerTenantId = "<OwnerTenantId>" $MemberTenantIdB = "<MemberTenantIdB>" $MemberTenantIdA = "<MemberTenantIdA>"Используйте команду Connect-MgGraph, чтобы войти в клиент владельца и предоставить согласие на следующие необходимые разрешения.
MultiTenantOrganization.ReadWrite.AllPolicy.Read.AllPolicy.ReadWrite.CrossTenantAccessApplication.ReadWrite.AllDirectory.ReadWrite.All
Connect-MgGraph -TenantId $OwnerTenantId -Scopes "MultiTenantOrganization.ReadWrite.All","Policy.Read.All","Policy.ReadWrite.CrossTenantAccess","Application.ReadWrite.All","Directory.ReadWrite.All"
Шаг 2. Создание мультитенантной организации
Собственник-арендатор
В клиенте владельца используйте команду Update-MgBetaTenantRelationshipMultiTenantOrganization для создания мультитенантной организации. Эта операция может занять несколько минут.
Update-MgBetaTenantRelationshipMultiTenantOrganization -DisplayName "Cairo"Используйте команду Get-MgBetaTenantRelationshipMultiTenantOrganization, чтобы перед продолжением убедиться, что операция завершена.
Get-MgBetaTenantRelationshipMultiTenantOrganization | Format-ListCreatedDateTime : 1/8/2024 7:47:45 PM Description : DisplayName : Cairo Id : <MtoIdC> JoinRequest : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationJoinRequestRecord State : active Tenants : AdditionalProperties : {[@odata.context, https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/$entity]}
Шаг 3. Добавление клиентов
Арендатор-владелец
В клиенте владельца используйте команду New-MgBetaTenantRelationshipMultiTenantOrganizationTenant для добавления арендаторов в мультитенантную организацию.
New-MgBetaTenantRelationshipMultiTenantOrganizationTenant -TenantID $MemberTenantIdB -DisplayName "Berlin" | Format-ListNew-MgBetaTenantRelationshipMultiTenantOrganizationTenant -TenantID $MemberTenantIdA -DisplayName "Athens" | Format-ListИспользуйте команду Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant, чтобы убедиться, что операция завершена перед продолжением.
Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant | Format-ListAddedByTenantId : <OwnerTenantId> AddedDateTime : 1/8/2024 7:47:45 PM DeletedDateTime : DisplayName : Cairo Id : <MtoIdC> JoinedDateTime : Role : owner State : active TenantId : <OwnerTenantId> TransitionDetails : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails AdditionalProperties : {[multiTenantOrgLabelType, none]} AddedByTenantId : <OwnerTenantId> AddedDateTime : 1/8/2024 8:05:25 PM DeletedDateTime : DisplayName : Berlin Id : <MtoIdB> JoinedDateTime : Role : member State : pending TenantId : <MemberTenantIdB> TransitionDetails : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails AdditionalProperties : {[multiTenantOrgLabelType, none]} AddedByTenantId : <OwnerTenantId> AddedDateTime : 1/8/2024 8:08:47 PM DeletedDateTime : DisplayName : Athens Id : <MtoIdA> JoinedDateTime : Role : member State : pending TenantId : <MemberTenantIdA> TransitionDetails : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails AdditionalProperties : {[multiTenantOrgLabelType, none]}
Шаг 4. Изменение роли клиента (необязательно)
Владелец-арендатор
По умолчанию клиенты, добавленные в мультитенантную организацию, являются клиентами-членами. При необходимости их можно изменить на арендаторов владельца, что позволяет добавлять других клиентов в мультитенантную организацию. Вы также можете изменить главного арендатора на арендатора-члена.
В арендаторе владельца используйте команду Update-MgBetaTenantRelationshipMultiTenantOrganizationTenant, чтобы изменить арендатора-участника на арендатора владельца.
Update-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId $MemberTenantIdB -Role "Owner" | Format-List-
Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId $MemberTenantIdB | Format-ListAddedByTenantId : <OwnerTenantId> AddedDateTime : 1/8/2024 8:05:25 PM DeletedDateTime : DisplayName : Berlin Id : <MtoIdB> JoinedDateTime : Role : owner State : pending TenantId : <MemberTenantIdB> TransitionDetails : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails AdditionalProperties : {[@odata.context, https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/tenants/$entity], [multiTenantOrgLabelType, none]}
Шаг 5. Удаление клиента-члена (необязательно)
владелец-квартиросъёмщик
Вы можете удалить любого участника-арендатора, включая своего собственного. Вы не можете удалить собственных арендаторов. Кроме того, вы не можете удалить исходного арендатора создателя, даже если его роль была изменена с владельца на участника.
В арендаторе-владельце используйте команду Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant, чтобы удалить любой арендатор-член. Эта операция занимает несколько минут.
Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId <MemberTenantIdD>-
Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId <MemberTenantIdD>После завершения команды удаления выходные данные аналогичны приведенным ниже. Это ожидаемое сообщение об ошибке. Это указывает на то, что арендатор был удален из многопользовательской организации.
Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant_Get: Unable to read the company information from the directory. Status: 404 (NotFound) ErrorCode: Directory_ObjectNotFound Date: 2024-01-08T20:35:11 ...
Шаг 6. Вход в клиент участника
Арендатор-член
Арендатор из Каира создал многопользовательскую организацию и добавил арендаторов из Берлина и Афин. В этих действиях войдите в систему арендатора Берлина и присоединитесь к мультитенантной организации, созданной в Каире.
Запустите PowerShell.
Используйте команду Connect-MgGraph, чтобы войти в клиент-член и предоставить согласие на следующие необходимые разрешения.
MultiTenantOrganization.ReadWrite.AllPolicy.Read.AllPolicy.ReadWrite.CrossTenantAccessApplication.ReadWrite.AllDirectory.ReadWrite.All
Connect-MgGraph -TenantId $MemberTenantIdB -Scopes "MultiTenantOrganization.ReadWrite.All","Policy.Read.All","Policy.ReadWrite.CrossTenantAccess","Application.ReadWrite.All","Directory.ReadWrite.All"
Шаг 7. Присоединение к мультитенантной организации
Арендатор-член
В клиенте-члене используйте команду Update-MgBetaTenantRelationshipMultiTenantOrganizationJoinRequest для присоединения к мультитенантной организации.
Update-MgBetaTenantRelationshipMultiTenantOrganizationJoinRequest -AddedByTenantId $OwnerTenantId | Format-List-
Get-MgBetaTenantRelationshipMultiTenantOrganizationJoinRequest | Format-ListAddedByTenantId : <OwnerTenantId> Id : <MtoJoinRequestIdB> MemberState : active Role : member TransitionDetails : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationJoinRequestTransitionDetails AdditionalProperties : {[@odata.context, https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/joinRequest/$entity]} Используйте команду Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant, чтобы проверить саму мультитенантную организацию. Он должен отражать операцию соединения.
Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant | Format-ListAddedByTenantId : <OwnerTenantId> AddedDateTime : 1/8/2024 8:05:25 PM DeletedDateTime : DisplayName : Berlin Id : <MtoJoinRequestIdB> JoinedDateTime : 1/8/2024 9:53:55 PM Role : member State : active TenantId : <MemberTenantIdB> TransitionDetails : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails AdditionalProperties : {[multiTenantOrgLabelType, none]} AddedByTenantId : <OwnerTenantId> AddedDateTime : 1/8/2024 7:47:45 PM DeletedDateTime : DisplayName : Cairo Id : <Id> JoinedDateTime : Role : owner State : active TenantId : <OwnerTenantId> TransitionDetails : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails AdditionalProperties : {[multiTenantOrgLabelType, none]}Чтобы разрешить асинхронную обработку, подождите до 2 часов, пока завершится присоединение к мультитенантной организации.
Шаг 8. (Необязательно) Покиньте мультитенантную организацию
Арендатор-член
Вы можете выйти из мультитенантной организации, к которой вы присоединились. Процесс удаления собственного клиента из мультитенантной организации совпадает с процессом удаления другого клиента из мультитенантной организации.
Если ваш арендатор является единственным владельцем мультитенантной организации, необходимо назначить нового арендатора владельцем этой организации. Инструкции см. в шаге 4. Изменение роли клиента (необязательно).
В арендаторе используйте команду Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant для удаления арендатора. Эта операция занимает несколько минут.
Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId <MemberTenantId>
Шаг 9. Удаление мультитенантной организации (необязательно)
Арендатор-владелец
Удаление мультитенантной организации путем удаления всех арендаторов. Процесс удаления последнего арендатора-владельца совпадает с процессом удаления всех остальных арендаторов-участников.
В конечном арендаторе используйте команду Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant для удаления арендатора. Эта операция занимает несколько минут.
Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId $OwnerTenantId