Общие рекомендации по управлению мультитенантными пользователями

Эта статья является третьей в серии статей, которые предоставляют рекомендации по настройке и управлению жизненным циклом пользователей в мультитенантных средах Microsoft Entra. В следующих статьях серии приведены дополнительные сведения, как описано ниже.

• Введение в многотенантное управление пользователями является первым в серии статей, которые предоставляют рекомендации по настройке и управлению жизненным циклом пользователей в мультитенантных средах Microsoft Entra.
• Многотенантные сценарии управления пользователями описывают три сценария, для которых можно использовать мультитенантные функции управления пользователями: инициированные пользователем, скрипты и автоматизированные.
• Распространенные решения для многопользовательского управления пользователями в случаях, когда единый клиент не подходит для вашего сценария, в этой статье даются рекомендации по решению таких задач, как автоматическое управление жизненным циклом пользователей и распределение ресурсов между арендаторами, а также совместное использование локальных приложений между арендаторами.

Это руководство помогает обеспечить согласованное состояние управления жизненным циклом пользователей. Управление жизненным циклом включает предоставление, управление и удаление доступа пользователей в разных арендаторах с помощью доступных средств Azure, включая B2B взаимодействие Microsoft Entra и синхронизацию между арендаторами.

Требования к синхронизации уникальны для конкретных потребностей вашей организации. При разработке решения для удовлетворения требований вашей организации в этой статье описаны следующие рекомендации, которые помогут вам определить оптимальные варианты.

• Синхронизация клиентов
• Объект каталога
• Условный доступ Microsoft Entra
• Дополнительное управление доступом
• Office 365

Синхронизация клиентов

Синхронизация между арендаторами может решать проблемы совместной работы и доступа многопользовательских организаций. В следующей таблице показаны распространенные варианты использования синхронизации. Синхронизацию между арендаторами и разработку для клиентов можно использовать для удовлетворения вариантов использования, когда соображения относятся к нескольким шаблонам совместной работы.

Вариант использования	Синхронизация между клиентами	Настраиваемая разработка
Управление жизненным циклом пользователей
Доступ к файлам и доступ к приложениям
Поддержка синхронизации с и из национальных облаков
Управление синхронизацией из клиента ресурсов
Объекты группы синхронизации
Ссылки диспетчера синхронизации
Источник полномочий уровня атрибутов
Синхронизация изменений Microsoft Entra с Microsoft Windows Server Active Directory

Рекомендации по работе с объектом каталога

Приглашение внешнего пользователя с использованием UPN или SMTP-адреса.

Microsoft Entra B2B ожидает, что имя пользователя UserPrincipalName (UPN) является основным адресом протокола SMTP (EMAIL) для отправки приглашений. Если UPN пользователя совпадает с его основным SMTP-адресом, B2B работает как ожидалось. Однако, если UPN отличается от основного SMTP-адреса внешнего пользователя, это может привести к проблемам с разрешением, когда пользователь принимает приглашение. Эта проблема может стать сложной задачей, если вы не знаете настоящего идентификатора пользователя UPN. При отправке приглашений для B2B необходимо определить и использовать UPN.

В разделе Microsoft Exchange Online этой статьи объясняется, как изменить основной SMTP по умолчанию для внешних пользователей. Этот метод полезен, если вы хотите, чтобы все сообщения электронной почты и уведомления для внешнего пользователя поступали на реальный основной SMTP-адрес, а не учетную запись пользователя (UPN). Это может быть обязательным, если UPN не может быть маршрутизировано для потока почты.

Преобразование пользовательского типа внешнего пользователя

При использовании консоли для создания приглашения для внешней учетной записи пользователя создается объект пользователя с типом гостевого пользователя. Используя другие методы создания приглашений, вы можете задать тип пользователя, отличный от внешней гостевой учетной записи. Например, при использовании API можно настроить, является ли учетная запись внешним участником или внешней гостевой учетной записью.

• Некоторые ограничения на гостевые функции можно удалить.
• Вы можете преобразовать гостевые учетные записи в тип пользователя-участника.

При преобразовании внешнего гостевого пользователя в учетную запись внешнего участника могут возникнуть проблемы с тем, как Exchange Online обрабатывает учетные записи B2B. Вы не можете активировать функцию электронной почты для аккаунтов, приглашенных в качестве внешних пользователей. Чтобы включить возможность отправки почты для учетной записи внешнего пользователя, используйте следующий оптимальный подход.

• Пригласите пользователей из других организаций в качестве гостевых учетных записей.
• Отобразите учетные записи в глобальном списке адресов.
• Задайте для типа пользователя значение "Член".

При использовании этого подхода учетные записи отображаются как объекты MailUser в Exchange Online и в Office 365. Кроме того, обратите внимание, что существует проблема с временем. Убедитесь, что пользователь отображается в GAL, проверяя, чтобы свойство пользователя Microsoft Entra ShowInAddressList соответствовало противоположному свойству Exchange Online PowerShell HiddenFromAddressListsEnabled. В разделе Microsoft Exchange Online этой статьи содержатся дополнительные сведения об изменении видимости.

Можно преобразовать пользователя-участника в гостевого пользователя, который полезен для внутренних пользователей, которые необходимо ограничить разрешениями на гостевой уровень. Внутренние гостевые пользователи — это пользователи, которые не являются сотрудниками вашей организации, но для которых вы управляете своими пользователями и учетными данными. Это может позволить избежать лицензирования внутреннего гостевого пользователя.

Проблемы с использованием объектов почтового контакта вместо внешних пользователей или членов

Вы можете представлять пользователей из другой организации, используя традиционную синхронизацию глобального списка адресов. Если вместо использования совместной работы Microsoft Entra B2B вы выполняете синхронизацию GAL, это создает объект почтового контакта.

• Объект контакта с почтой и внешний участник с поддержкой почты или гостевой пользователь не могут сосуществовать в одном клиенте с тем же адресом электронной почты одновременно.
• Если объект почтового контакта существует для того же адреса почты, что и приглашенный внешний пользователь, он создает внешнего пользователя, но не поддерживает почту.
• Если внешний пользователь с почтовой поддержкой существует с тем же электронным адресом, попытка создать объект почтового контакта приводит к исключению при создании.

Внимание

Для использования почтовых контактов требуется служба Active Directory (AD DS) или Exchange Online PowerShell. Microsoft Graph не предоставляет вызов API для управления контактами.

В следующей таблице отображаются результаты объектов контактов почты и внешних состояний пользователей.

Существующее состояние	Сценарий подготовки	Фактический результат
нет	Пригласите участника B2B	Пользователь без поддержки электронной почты. См. важные заметки.
нет	Пригласить гостя B2B	Активировать почту для внешнего пользователя.
Объект контакта почты существует	Пригласите участника B2B	Ошибка. Конфликт адресов прокси-сервера.
Объект контакта почты существует	Пригласить гостя B2B	Внешний пользователь: почтовый контакт и без поддержки почты. См. важное примечание.
Внешний гостевой пользователь с поддержкой почты	Создание объекта контакта электронной почты	Ошибка
Внешний пользователь с поддержкой почты существует	Создание почтового контакта	Ошибка

Корпорация Майкрософт рекомендует использовать совместную работу Microsoft Entra B2B (вместо традиционной синхронизации GAL) для создания:

• Внешние пользователи, которых вы разрешаете отображать в GAL.
• Внешние пользователи-члены, которые отображаются в GAL по умолчанию, но не имеют почтовой поддержки.

Вы можете использовать объект контакта электронной почты для отображения пользователей в gal. Этот подход интегрирует GAL без предоставления других разрешений, так как почтовые контакты не являются субъектами безопасности.

Выполните этот рекомендуемый подход для достижения цели:

• Пригласите гостевых пользователей.
• Сделайте их видимыми в GAL.
• Отключите их, заблокировав вход.

Объект контакта почты не может преобразоваться в объект пользователя. Поэтому свойства, связанные с объектом почтового контакта, не могут передаваться (например, членство в группах и доступ к другим ресурсам). Использование объекта почтового контакта для представления пользователя сопряжено со следующими проблемами.

• Группы Office 365. Политики поддержки групп Office 365, определяющие типы пользователей, которым разрешено быть членами групп и взаимодействовать с содержимым, связанным с группами. Например, группа может не разрешить гостевым пользователям присоединиться. Эти политики не могут управлять объектами контактов почты.
• Управление группами самообслуживания Microsoft Entra (SSGM). Объекты контактных данных электронной почты не могут быть членами групп, использующих функцию SSGM. Вам может потребоваться больше средств для управления группами с получателями, представленными как контакты вместо объектов пользователей.
• Управление идентификацией Microsoft Entra, проверки доступа. Вы можете использовать функцию проверки доступа для проверки и проверки членства в группе Office 365. Проверки доступа основаны на объектах пользователей. Члены, представляемые объектами контактов почты, не рассматриваются в рамках проверок доступа.
• Управление идентификацией Microsoft Entra, управление правами (EM). При использовании EM для включения запросов на самостоятельный доступ для внешних пользователей на портале EM компании он создает объект пользователя во время запроса. Он не поддерживает объекты почтового контакта.

Рекомендации по условному доступу Microsoft Entra

Состояние пользователя, устройства или сети в домашнем клиенте пользователя не передается клиенту ресурсов. Поэтому внешний пользователь может не удовлетворять политикам условного доступа, которые используют следующие элементы управления.

Если разрешено, это поведение можно переопределить с помощью настроек доступа между клиентами (CTAS), которые поддерживают многофакторную аутентификацию и соответствие устройств требованиям домашнего клиента.

• Требовать многофакторную проверку подлинности. Без настройки CTAS внешний пользователь должен зарегистрировать и ответить на многофакторную проверку подлинности в клиенте ресурса (даже если многофакторная проверка подлинности была удовлетворена в домашнем клиенте). Этот сценарий приводит к нескольким проблемам многофакторной проверки подлинности. Если им нужно сбросить свои настройки многофакторной аутентификации, они могут не знать о регистрации множества доказательств многофакторной аутентификации в разных арендаторах. При недостаточной осведомленности пользователю нужно будет связаться с администратором домашнего арендатора или арендатора ресурсов (или же с двумя администраторами).
• Требовать, чтобы устройство было отмечено как соответствующее. Без настройки CTAS удостоверение устройства не зарегистрировано в клиенте ресурсов, поэтому внешний пользователь не может получить доступ к ресурсам, которым требуется этот элемент управления.
• Требовать устройство с гибридным присоединением к Microsoft Entra. Без настроенной CTAS удостоверение устройства не будет зарегистрировано в клиенте ресурсов (или в случае подключения локальной службы Active Directory к клиенту ресурсов). Поэтому внешний пользователь не может получить доступ к ресурсам, которым требуется этот элемент управления.
• Требовать утвержденное клиентское приложение или требовать политику защиты приложений. Без настройки CTAS внешние пользователи не могут применить политику управления мобильными приложениями Intune (MAM), так как для нее также требуется регистрация устройства. Политика условного доступа клиента ресурсов с помощью этого элемента управления не позволяет домашнему клиенту MAM защититься от политики. Исключите внешних пользователей из каждой политики условного доступа на основе MAM.

Кроме того, при использовании следующих условий условного доступа следует учитывать возможные последствия.

• Риск при входе и риск пользователей. Поведение пользователя в домашней организации частично определяет риск входа и риск пользователя. Жилищный арендатор хранит данные и оценку уровня риска. Если политики клиента ресурсов блокируют внешнего пользователя, администратор клиента ресурсов может не включить доступ. Защита идентификационных данных Microsoft Entra и пользователи B2B объясняет, как Защита идентификационных данных Microsoft Entra обнаруживает скомпрометированные учетные данные пользователей Microsoft Entra.
• Местоположения. Определения именованных расположений в ресурсном арендаторе определяют сферу действия политики. Политика не охватывает оценку доверенных расположений, управляемых в основном арендаторе. Если ваша организация хочет предоставить общий доступ к доверенным расположениям между клиентами, определите расположения в каждом клиенте, где определяются ресурсы и политики условного доступа.

Защита мультитенантной среды

Защита мультитенантной среды начинается с того, что каждый арендатор соблюдает лучшие практики безопасности. Ознакомьтесь с контрольным списком безопасности и рекомендациями по защите клиента. Убедитесь, что эти рекомендации соблюдаются и обсуждаются с любыми арендаторами, с которыми вы тесно взаимодействуете.

Защита учетных записей администраторов и обеспечение наименьших привилегий

• Поиск и устранение пробелов в покрытии сильной аутентификации для ваших администраторов
• Повышение безопасности с помощью принципа наименьшей привилегии для пользователей и приложений. Просмотрите роли с наименьшими привилегиями по задачам в Microsoft Entra ID.
• Свести к минимуму постоянный доступ администратора, включив управление привилегированными пользователями.

Контролируйте свою мультитенантную среду

• Отслеживайте изменения политик доступа между клиентами с помощью пользовательского интерфейса журналов аудита, API или интеграции Azure Monitor (для упреждающих оповещений). События аудита используют категории "CrossTenantAccessSettings" и "CrossTenantIdentitySyncSettings". Отслеживая события аудита, связанные с этими категориями, вы можете выявлять любые изменения политики доступа между арендаторами в вашем арендаторе и предпринимать соответствующие действия. При создании оповещений в Azure Monitor можно создать запрос, например следующий, чтобы определить любые изменения политики доступа между клиентами.

AuditLogs
| where Category contains "CrossTenant"

• Мониторинг всех новых партнеров, добавленных в параметры доступа между клиентами.

AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId

• Отслеживайте изменения политик доступа между клиентами, разрешая или не допуская синхронизацию.

AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"

• Используйте панель мониторинга действий доступа между клиентами для контроля доступа к приложениям в вашем клиенте. Мониторинг позволяет узнать, кто обращается к ресурсам в вашем арендаторе и откуда приходят эти пользователи.

Запрет по умолчанию

• Требовать назначение пользователей для приложений. Если у приложения свойство Назначение пользователя требуется? стоит No, внешние пользователи могут получить доступ к приложению. Ограничить приложение Microsoft Entra набором пользователей в клиенте Microsoft Entra объясняет, как зарегистрированные приложения в клиенте Microsoft Entra по умолчанию доступны всем пользователям клиента, который успешно прошел проверку подлинности.
• Обновите параметры внешней совместной работы, чтобы только пользователи-члены и пользователи, назначенные на определенные роли администратора, могли приглашать гостевых пользователей, включая гостей с разрешениями участника. Это предотвращает возможность гостям клиента приглашать других пользователей.
• Включайте синхронизацию между арендаторами или политики доступа для кросс-арендаторов, доверяя многофакторной аутентификации, только для тех арендаторов, которым вы очень доверяете.
• Создайте политику исходящей блокировки по умолчанию и разрешайте пользователям входить только в качестве гостей к утверждённым арендаторам с использованием их корпоративной учетной записи. Это обеспечит изоляцию клиентов и перекрестный поток информации между клиентами.
• Ограничение доступа внешних пользователей на предварительно определенный список арендаторов с помощью ограничений арендаторов .
• Убедитесь, что ограничение гостевого доступа не настроено как «Гостевые пользователи имеют доступ на уровне членов (наиболее включительно)».
• Проверьте, отключена ли функция "Включить самостоятельную регистрацию гостей через потоки пользователей". Автоматизированный процесс самостоятельной регистрации позволяет создавать гостевые учетные записи в системе арендатора без участия внутренних пользователей.

Углубленная защита

условный доступ.

• Определите политики управления доступом для управления доступом к ресурсам.
• Разработка политик условного доступа с учетом внешних пользователей.
• Проверьте, применяется ли политика условного доступа с частотой входа ко всем входам гостей. Частота входа должна быть ограничена максимум 24 часами. Токены гостей, входящих в систему с неуправляемых устройств, подвергаются более высокому риску кражи токенов и атак повторного воспроизведения токенов. Ограничение времени существования маркера снижает воздействие этого риска. Это гарантирует, что даже если токен утечёт, у злоумышленника будет ограниченное окно для его использования.
• Создайте выделенные политики условного доступа для внешних учетных записей. Если ваша организация использует условие динамического членства для всех пользователей в существующей политике условного доступа, эта политика влияет на внешних пользователей, так как они находятся в области действия всех пользователей.

управление доступом между клиентами

• Управляйте межарендаторским доступом с помощью управления правами доступа, проверок доступа и рабочих процессов жизненного цикла.

Единицы управления с ограниченным доступом

При использовании групп безопасности для контроля того, кто находится в рамках синхронизации между арендаторами, ограничьте тех, кто может вносить изменения в группу безопасности. Свести к минимуму количество владельцев групп безопасности, назначенных заданию синхронизации между клиентами, и включить группы в ограниченное подразделение управления. Это ограничит количество людей, которые могут добавлять или удалять участников группы и управлять учетными записями в арендаторах.

Другие рекомендации по управлению доступом

Условия

Условия использования Microsoft Entra предоставляют простой метод, который организации могут использовать для предоставления информации конечным пользователям. Вы можете использовать условия использования, чтобы требовать от внешних пользователей утверждения условий использования перед доступом к ресурсам.

Рекомендации по лицензированию гостевых пользователей с помощью функций Microsoft Entra ID P1 или P2

Цены на Microsoft Entra External ID определяются количеством ежемесячных активных пользователей (MAU). Количество активных пользователей — это количество уникальных пользователей с действием проверки подлинности в течение календарного месяца. Модель выставления счетов для внешней идентификации Microsoft Entra описывает, как цены основаны на такой единице, как MAU.

Рекомендации по Office 365

Следующая информация относится к Office 365 в контексте сценариев этого документа. Подробные сведения доступны в Microsoft 365 межтенантная совместная работа. В этой статье описываются параметры, которые включают использование центрального расположения для файлов и бесед, совместного использования календарей, использования мгновенных сообщений, аудио-видеозвонков для обмена данными и защиты доступа к ресурсам и приложениям.

Microsoft Exchange Online

Exchange Online ограничивает определенные функциональные возможности внешних пользователей. Вы можете уменьшить ограничения, создавая внешних пользователей-участников вместо внешних гостевых пользователей. Поддержка внешних пользователей имеет следующие ограничения.

• Вы можете назначить лицензию Exchange Online внешнему пользователю. Однако вы не можете выдавать токен для Exchange Online. Результаты — это то, что они не могут получить доступ к ресурсу.
  • Внешние пользователи не могут использовать общие или делегированные почтовые ящики Exchange Online в клиенте ресурсов.
  • Можно назначить внешнего пользователя на общий почтовый ящик, но он не сможет получить к нему доступ.
• Чтобы включить внешних пользователей в GAL, необходимо сделать их видимыми. По умолчанию они скрыты.
  • Скрытые внешние пользователи создаются во время приглашения. Создание не зависит от того, активировал ли пользователь приглашение. Итак, если все внешние пользователи не скрыты, список включает объекты внешних пользователей, которые не активировали приглашение. В зависимости от вашего сценария, вы можете захотеть или не захотеть перечисленные объекты.
  • Внешние пользователи могут быть сделаны видимыми с помощью Exchange Online PowerShell. Можно выполнить командлет Set-MailUser PowerShell, чтобы установить для свойства HiddenFromAddressListsEnabled значение $false.

Например:

Set-MailUser [ExternalUserUPN] -HiddenFromAddressListsEnabled:\$false\

Где ExternalUserUPN — вычисляемый UserPrincipalName.

Например:

Set-MailUser externaluser1_contoso.com#EXT#@fabrikam.onmicrosoft.com\ -HiddenFromAddressListsEnabled:\$false

Внешние пользователи могут стать видимыми в Центре администрирования Microsoft 365.

• Обновления можно задать только для свойств Exchange (например, PrimarySmtpAddress, ExternalEmailAddress, EmailAddresses и MailTip) с помощью Exchange Online PowerShell. Центр администрирования Exchange Online не позволяет изменять атрибуты с помощью графического пользовательского интерфейса (GUI).

Как показано в примере, можно использовать командлет Set-MailUser PowerShell для свойств, относящихся к электронной почте. Существуют свойства пользователя, которые можно изменить с помощью командлета Set-User PowerShell. Большинство свойств можно изменить с помощью API Microsoft Graph.

Одним из наиболее полезных функций Set-MailUser является возможность управления свойством EmailAddresses . Этот многозначный атрибут может содержать несколько прокси-адресов для внешнего пользователя (например, SMTP, X500, протокола SIP). Внешний пользователь по умолчанию получает первичный SMTP-адрес, соответствующий UserPrincipalName (UPN). Если вы хотите изменить основной SMTP-адрес или добавить SMTP-адреса, можно задать это свойство. Вы не можете использовать Центр администрирования Exchange; Необходимо использовать Exchange Online PowerShell. Добавление или удаление адресов электронной почты для почтового ящика в Exchange Online показывает различные способы изменения многозначного свойства, например EmailAddresses.

Microsoft SharePoint в Microsoft 365

SharePoint в Microsoft 365 имеет собственные разрешения для конкретной службы в зависимости от того, является ли пользователь (внутренний или внешний) членом или гостем в клиенте Microsoft Entra. Внешний общий доступ Microsoft 365 и совместная работа Microsoft Entra B2B описывают, как включить интеграцию с SharePoint и OneDrive для совместного использования файлов, папок, элементов списка, библиотек документов и сайтов с людьми за пределами вашей организации. Microsoft 365 делает это при использовании Azure B2B для проверки подлинности и управления.

После включения внешнего общего доступа в SharePoint в Microsoft 365 возможность поиска гостевых пользователей в средство выбора пользователей SharePoint в Microsoft 365 по умолчанию отключена. Этот параметр запрещает обнаружение гостевых пользователей, если они скрыты в глобальном списке адресов Exchange Online. Вы можете сделать гостевых пользователей видимыми двумя способами (не взаимоисключающими):

• Вы можете включить возможность поиска гостевых пользователей следующим образом:
  • Измените параметр ShowPeoplePickerSuggestionsForGuestUsers на уровне клиента и коллекции сайтов.
  • Настройте функциональность с помощью командлетов Set-SPOTenant и Set-SPOSite в SharePoint для Microsoft 365 PowerShell.
• Гостевые пользователи, видимые в глобальном списке адресов (GAL) Exchange Online, также отображаются в SharePoint в средстве выбора пользователей Microsoft 365. Учетные записи видны независимо от параметра ShowPeoplePickerSuggestionsForGuestUsers.

Microsoft Teams

В Microsoft Teams есть функции для ограничения доступа и функции, зависящие от типа пользователя. Изменения типа пользователя могут повлиять на доступ к содержимому и доступные функции. Microsoft Teams требует, чтобы пользователи изменили контекст с помощью механизма переключения арендаторов в клиенте Teams при работе в Teams за пределами своего домашнего арендатора.

При использовании механизма переключения арендаторов для Microsoft Teams пользователям, возможно, придется вручную переключать контекст своего клиента Teams при работе в Teams за пределами домашнего арендатора.

Вы можете разрешить пользователям Teams из другого внешнего домена выполнять поиск, делать звонки, общаться в чате и настраивать собрания с вашими пользователями с помощью федерации Teams. Управление собраниями и чатами с людьми и организациями, использующими удостоверения Майкрософт описывает, как пользователи в вашей организации могут общаться в чате и встречаться с людьми за пределами организации, использующими удостоверения Майкрософт в качестве поставщика удостоверений.

Рекомендации по лицензированию для гостевых пользователей в Teams

При использовании Azure B2B с рабочими нагрузками Office 365 ключевые аспекты включают случаи, когда гостевые пользователи (внутренние или внешние) не получают такого же опыта, как пользователи-члены.

• Группы Microsoft 365.Добавление гостей в группы Microsoft 365 описывает, как гостевой доступ в Группы Microsoft 365 позволяет вам и вашей команде сотрудничать с людьми за пределами организации, предоставляя им доступ к групповым беседам, файлам, приглашениям календаря и записной книжке группы.
• Microsoft Teams.Владелец группы, член и гостевые возможности в Teams описывают возможности гостевой учетной записи в Microsoft Teams . Вы можете включить полноценный опыт использования в Teams, используя внешних пользователей.
  • Для нескольких клиентов в нашем коммерческом облаке пользователи, лицензированные в своем домашнем клиенте, могут получить доступ к ресурсам в другом клиенте в пределах одного юридического лица. Вы можете предоставить доступ с помощью параметра внешних участников без дополнительных сборов за лицензирование. Этот параметр применяется для SharePoint и OneDrive для Teams и групп.
  • Для нескольких клиентов в других облаках Майкрософт и для нескольких клиентов в разных облаках проверка лицензии участника B2B пока недоступна. Использование функции участника B2B в Teams требует дополнительной лицензии для каждого участника B2B. Это требование также может повлиять на другие рабочие нагрузки, такие как Power BI.
  • Использование участника B2B для тенантов, не являющихся частью одной и той же юридической организации, подразумевает дополнительные лицензионные требования.
• Функции управления удостоверениями. Для управления правами и проверки доступа могут потребоваться другие лицензии для внешних пользователей.
• Другие продукты. Для таких продуктов, как управление отношениями с клиентами Dynamics (CRM), может потребоваться лицензирование в каждом клиенте, в котором представлен пользователь.

Следующие шаги

• Введение в многотенантное управление пользователями является первым в серии статей, которые предоставляют рекомендации по настройке и управлению жизненным циклом пользователей в мультитенантных средах Microsoft Entra.
• Многотенантные сценарии управления пользователями описывают три сценария, для которых можно использовать мультитенантные функции управления пользователями: инициированные пользователем, скрипты и автоматизированные.
• Распространенные решения для управления пользователями в мультитенантной среде когда единый режим работы с клиентами не подходит для вашего случая, в этой статье приводятся рекомендации по следующим проблемам: автоматическое управление жизненным циклом пользователей и распределение ресурсов между клиентами, совместное использование локальных приложений между разными клиентами.
• Microsoft Collaboration Framework для оборонно-промышленной базы США описывает эталонные архитектуры идентификации для поддержки мультитенантных организаций (MTO). Этот сценарий применяется специально к тем MTOs, которые имеют развертывание в национальном облаке США с Microsoft 365 для государственных организаций США (GCC High) и Azure для государственных организаций. Он также затрагивает внешнее сотрудничество в строго регулируемых средах, включая организации, которые размещаются в коммерческом или суверенном облаке США.