Что такое мультитенантная организация в идентификаторе Microsoft Entra?
Мультитенантная организация — это функция в Microsoft Entra ID и Microsoft 365, которая позволяет определить контур вокруг арендаторов Microsoft Entra, принадлежащих вашей организации. В каталоге она принимает форму группы клиентов, представляющей вашу организацию. Каждая пара арендаторов в группе управляется межарендаторскими настройками доступа, которые можно использовать для настройки совместной работы B2B.
Зачем использовать мультитенантную организацию?
Ниже приведены основные цели мультитенантной организации:
- Определите границу вокруг арендаторов, принадлежащих вашей организации
- Совместная работа между арендаторами в новых Microsoft Teams
- Взаимодействие между арендаторами в Microsoft Viva Engage
Кто должен его использовать?
Организации, владеющие несколькими клиентами Microsoft Entra и желающие упростить совместную работу между клиентами внутри организации в Microsoft 365.
Функционал мультитенантной организации в Microsoft Teams основан на предположении взаимного предоставления пользователей для B2B совместной работы между арендаторами мультитенантной организации.
Многопользовательская организация в Viva Engage подразумевает централизованное предоставление доступа пользователям службы совместной работы B2B в хабе арендатора.
Таким образом, возможность мультитенантной организации лучше всего развертывается с использованием подсистемы массовой подготовки для пользователей совместной работы B2B, например с синхронизацией между клиентами.
Льготы
Ниже приведены основные преимущества мультитенантной организации:
Дифференцировать внешних пользователей в организации и вне организации
В идентификаторе Microsoft Entra внешние пользователи, исходящие из мультитенантной организации, могут отличаться от внешних пользователей, исходящих извне мультитенантной организации. Это различие упрощает применение различных политик для внешних пользователей в организации и вне организации.
Улучшенный интерфейс совместной работы в Microsoft Teams
В новых приложениях Microsoft Teams пользователи мультитенантной организации могут ожидать улучшенный интерфейс совместной работы между клиентами с помощью чата, звонков и уведомлений о запуске собраний от всех подключенных клиентов в мультитенантной организации. Переключение арендаторов проходит проще и быстрее. Дополнительные сведения см. в разделе:
Улучшенный интерфейс совместной работы в Viva Engage
Viva Engage для мультитенантных организаций позволяет сложным и распределенным организациям обмениваться данными в виде единой сети. От сообществ многопользовательской организации, кампаний и событий до аналитики, Viva Engage предоставляет новые возможности для взаимодействия, обмена и оценки участия в их многопользовательской организации. Дополнительные сведения см. в разделе:
Кто такие пользователи, являющиеся участниками мультитенантной организации?
При определении мультитенантной организации внешние пользователи (пользователи службы совместной работы B2B) сегментируются следующим образом на основе свойства userType:
- Внешние члены, исходящие из мультитенантной организации
- Внешние гости, исходящие из мультитенантной организации
- Внешние члены, исходящие извне вашей организации
- Внешние гости, исходящие извне вашей организации
Это сегментирование внешних пользователей позволяет лучше различать внеорганизационных внешних пользователей в мультитенантной организации.
Внешние члены, исходящие из мультитенантной организации, иногда называются пользователями - членами многотенантной организации.
Возможности многотенантной совместной работы в Microsoft 365 помогают обеспечить простой интерфейс совместной работы по границам клиента при совместной работе с пользователями многотенантной организации.
Как работает мультитенантная организация?
Возможность мультитенантной организации позволяет определить границу между клиентами Microsoft Entra, принадлежащими вашей организации, с помощью потока приглашения и принятия между администраторами клиентов. В следующем списке описывается базовый жизненный цикл мультитенантной организации.
Определение мультитенантной организации
Один администратор арендаторов определяет мультитенантную организацию как группирование арендаторов. Группировка арендаторов не является взаимной, пока каждый указанный арендатор не предпримет действия для присоединения к мультитенантной организации. Цель — это взаимное соглашение между всеми перечисленными клиентами.
Присоединение к мультитенантной организации
Администраторы арендаторов из списка предпринимают меры для присоединения к мультиарендной организации. После присоединения отношения внутри мультитенантной организации становятся взаимными между всеми арендаторами, присоединившимися к организации.
Покиньте организацию с множеством пользователей
Администраторы перечисленных арендаторов могут в любое время выйти из мультиарендной организации. Хотя администратор арендаторов, который определил мультитенантную организацию, может добавлять и удалять указанных арендаторов, он не управляет другими арендаторами.
Мультитенантная организация создаётся как объединение равноправных участников. Каждый администратор арендатора сохраняет контроль над своим арендатором и управляет своим членством в мультитенантной организации.
Пример многопользовательской организации
На следующей схеме показаны три клиента A, B и C, которые образуют мультитенантную организацию.
| Арендатор | Описание |
|---|---|
| А | Администраторы видят многопользовательскую организацию, состоящую из A, B, C. Они также видят настройки доступа между арендаторами для B и C. |
| Б | Администраторы видят многопользовательскую организацию, состоящую из A, B, C. Они также видят настройки доступа между клиентами для A и C. |
| C | Администраторы видят многопользовательскую организацию, состоящую из A, B, C. Они также видят параметры доступа между клиентами для A и B. |
Роль арендатора и состояние
Чтобы упростить управление мультитенантной организацией, любой арендатор мультитенантной организации имеет связанную роль и статус.
| Роль арендатора | Описание |
|---|---|
| Владелец | Один арендатор создает мультитенантную организацию. Организация, создающая многопользовательскую среду, получает роль владельца. Привилегия владельца арендатора заключается в добавлении арендаторов в ожидающий статус, а также в удалении арендаторов из многопользовательской организации. Кроме того, арендатор-владелец может изменить роль других арендаторов мультиарендной организации. |
| Участник | После добавления ожидающих клиентов в мультитенантную организацию они должны присоединиться к ней, чтобы их состояние изменилось из ожидающего в активное. Присоединившиеся арендаторы обычно начинают в роли участника. Любой клиент-член имеет право оставить мультитенантную организацию. |
| Состояние арендатора | Описание |
|---|---|
| Ожидает | Клиент в ожидании еще не присоединился к многопользовательской организации. Хотя ожидающий клиент отображается в представлении администратора мультитенантной организации, он еще не является частью этой организации и, таким образом, скрыт от обзора конечных пользователей. |
| Активно | После добавления ожидающих клиентов в мультитенантную организацию они должны присоединиться к ней, чтобы их состояние изменилось из ожидающего в активное. Присоединившиеся арендаторы обычно начинают в роли участника. Любой клиент-член имеет право выйти из многопользовательской организации. |
Параметры доступа между клиентами
Администраторы, сохраняющие контроль над своими ресурсами, это руководящий принцип в сотрудничестве с мультитенантными организациями. Параметры доступа для кросс-арендаторских взаимосвязей требуются для каждой взаимоотношения между арендаторами. Администраторы клиента по мере необходимости явно настраивают следующие политики:
Конфигурации межтенантного доступа для партнёров
Дополнительные сведения см. в разделе «Настройка параметров доступа между клиентами для B2B-совместной работы» и ресурсе типа crossTenantAccessPolicyConfigurationPartner.
Синхронизация удостоверений доступа между клиентами
Дополнительные сведения см. в разделе "Настройка межтенантной синхронизации " и типа ресурса crossTenantIdentitySyncPolicyPartner.
Шаблоны для параметров доступа между клиентами
Чтобы упростить настройку однородных параметров доступа между клиентами, применяемыми к клиентам партнеров в мультитенантной организации, администратор каждого мультитенантного клиента может настроить необязательные шаблоны параметров доступа между клиентами, предназначенные для мультитенантной организации. Эти шаблоны можно использовать для предварительной настройки параметров доступа между клиентами, которые применяются к любому клиенту партнера, недавно присоединенному к мультитенантной организации.
Ограничения
Возможности мультитенантной организации разработаны со следующими ограничениями:
- Любой клиент может создавать или присоединяться только к одной мультитенантной организации.
- Создание организации с несколькими арендаторами не допускается между поставщиком облачных решений (CSP) и их клиентами.
- Любая мультитенантная организация должна иметь по крайней мере одного активного арендатора-владельца.
- Каждый активный арендатор должен иметь настройки доступа между арендаторами для всех активных арендаторов.
- Любой активный арендатор может покинуть мультитенантную организацию, удалив себя из неё.
- Мультитенантная организация удаляется, когда единственный оставшийся активный арендодатель покидает её.
Ограничения
| Ресурс | Ограничение | Примечания. |
|---|---|---|
| Максимальное число активных арендаторов, включая тенанта-владельца | 100 | Арендатор - владелец может добавить свыше 100 ожидающих арендаторов, но они не смогут присоединиться к мультитенантной организации, если будет превышен лимит. Это ограничение применяется, когда ожидающий арендатор присоединяется к мультитенантной организации. Это ограничение зависит от количества клиентов в мультитенантной организации. Это не относится к синхронизации между арендаторами как таковой. Чтобы увеличить это ограничение, отправьте запрос на поддержку в Microsoft Entra или Центр администрирования Microsoft 365. |
Начало работы
Ниже приведены основные шаги по началу работы с мультитенантной организацией.
Шаг 1. Планирование развертывания
Дополнительные сведения см. в разделе "Планирование мультитенантных организаций" в Microsoft 365 и ограничениях в мультитенантных организациях.
Шаг 2. Создание мультитенантной организации
Создайте мультитенантную организацию с помощью Центр администрирования Microsoft 365, Microsoft Graph PowerShell или API Microsoft Graph:
- Первый арендатор, который скоро станет владельцем-арендатором, создает многопользовательскую организацию.
- Арендодатель добавляет одного или нескольких арендаторов-присоединяющихся.
Дополнительные сведения об использовании Центр администрирования Microsoft 365 для создания мультитенантной организации см. в статье "Создание или присоединение мультитенантной организации с помощью Центр администрирования Microsoft 365".
Шаг 3. Присоединение к мультитенантной организации
Присоединяйтесь к мультитенантной организации с помощью центра администрирования Microsoft 365, Microsoft Graph PowerShell или API Microsoft Graph:
- Арендаторы, стремящиеся присоединиться, подают запрос на присоединение к мультитенантной организации арендатора-владельца.
- Чтобы разрешить асинхронную обработку, подождите до 2 часов.
Теперь ваша мультитенантная организация сформирована. В результате все существующие внешние пользователи из мультитенантной организации теперь будут признаны участниками этой организации для улучшения эффективной совместной работы в активных арендаторах мультитенантной организации.
Дополнительные сведения об использовании Центр администрирования Microsoft 365 для присоединения к мультитенантной организации см. в статье "Создание или присоединение мультитенантной организации с помощью Центр администрирования Microsoft 365".
Шаг 4. Подготовка внешних пользователей-участников
Многотенантное сотрудничество организаций в Microsoft 365 зависит от предоставления пользователей для совместной работы B2B. В зависимости от варианта использования может потребоваться подготовить пользователей с помощью одного или нескольких следующих методов:
- Синхронизация пользователей в мультитенантных организациях в Microsoft 365
- Настройка синхронизации между клиентами в Центре администрирования Microsoft Entra
- Предоставление доступа внешним пользователям-участникам с помощью существующего движка для массового предоставления доступа.
- Создание отдельного внешнего пользователя с помощью Центра администрирования Microsoft Entra
Дополнительные сведения о подготовке внешних пользователей-участников см. в разделе "Параметры подготовки пользователей внешних участников".
Шаг 5. Выполнение требований к приложению Microsoft 365
Следующие мультитенантные приложения для совместной работы организации могут иметь дополнительные требования:
- Требование Microsoft Teams для мультитенантных организаций
- Настройка Viva Engage для многопользовательских организаций
После завершения требований к приложению Microsoft 365 сотрудники смогут легко работать в организации нескольких клиентов.
Требования к лицензиям
Для возможности мультитенантной организации требуются лицензии Microsoft Entra ID P1. Требуется только одна лицензия Microsoft Entra ID P1 для каждого сотрудника на мультитенантную организацию. Кроме того, у вас должна быть по крайней мере одна лицензия Microsoft Entra ID P1 для каждого клиента. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.