Поделиться через

Возможности мультитенантной организации в Microsoft Entra ID

  • Статья

В этой статье представлен обзор сценария мультитенантной организации и связанных возможностей в системе идентификации Microsoft Entra ID.

Что такое мультитенантный сценарий организации?

Сценарий мультитенантной организации возникает, когда организация имеет несколько экземпляров клиента идентификатора Microsoft Entra. Ниже приведены основные причины, по которым у организации может быть несколько клиентов:

  • Конгломерат: организации с несколькими дочерними или бизнес-подразделениями, которые работают независимо.
  • Слияния и приобретения: организации, которые объединяют или получают компании.
  • Действия по дивеституре. В рамках дивеституры одна организация отделяет часть своего бизнеса, чтобы выделить новую организацию или продать ее существующей организации.
  • Несколько облаков: организации, имеющие соответствие требованиям или нормативные требования, должны существовать в нескольких облачных средах.
  • Несколько географических границ: организации, работающие в нескольких географических расположениях с различными правилами проживания.
  • Тестовые или промежуточные арендаторы: организации, которым требуется несколько арендаторов для тестирования или промежуточного развертывания, прежде чем более широко развернуть их на основных арендаторах.
  • Организации или отделы, создающие клиентские пространства: Организации, в которых отделы или сотрудники создали пространства для разработки, тестирования или отдельного управления.

Что такое клиент Microsoft Entra?

Тенант — это экземпляр Microsoft Entra ID, в котором находятся сведения об одной организации, включая такие объекты, как пользователи, группы и устройства, а также регистрации приложений, включая Microsoft 365 и сторонние приложения. Арендатор также содержит политики доступа и соответствия для ресурсов, например, приложений, зарегистрированных в каталоге. Основные функции арендатора включают аутентификацию личности и управление доступом к ресурсам.

С точки зрения Microsoft Entra клиент формирует область управления удостоверениями и доступом. Например, администратор клиента делает приложение доступным для некоторых или всех пользователей в клиенте и применяет политики доступа к этому приложению для пользователей в этом клиенте. Кроме того, клиент содержит данные фирменной символики организации, которые управляют взаимодействием с конечными пользователями, например домены электронной почты организаций и URL-адреса SharePoint, используемые сотрудниками в этой организации. С точки зрения Microsoft 365 клиент формирует границу совместной работы и лицензирования по умолчанию. Например, пользователи в Microsoft Teams или Microsoft Outlook могут легко находить и сотрудничать с другими пользователями в клиенте, но не имеют возможности находить или видеть пользователей в других клиентах.

Тенанты содержат привилегированные корпоративные данные и безопасно изолированы от других арендаторов. Кроме того, клиенты могут быть настроены на сохранение и обработку данных в определенном регионе или облаке, что позволяет организациям использовать арендаторы в качестве механизма для удовлетворения требований к месту расположения данных и обработки требований к соответствию.

Проблемы многопользовательских систем

Возможно, ваша организация недавно приобрела новую компанию, объединилась с другой компанией или реструктурировалась на основе недавно сформированных бизнес-подразделений. Если у вас есть разрозненные системы управления удостоверениями, пользователям в разных арендаторах может быть сложно получать доступ к ресурсам и работать совместно.

На следующей схеме показано, как пользователи в других арендаторах могут не иметь доступа к приложениям, принадлежащим арендаторам в вашей организации.

Схема, показывающая, что пользователи не могут получить доступ к приложениям между арендаторами.

По мере развития организации ИТ-отдел должен адаптироваться к изменяющимся потребностям. Это часто включает интеграцию с существующим клиентом или формирование новой. Независимо от того, как управляется инфраструктура удостоверений, важно, чтобы пользователи имели простой доступ к ресурсам и совместной работе. Сегодня вы можете использовать пользовательские скрипты или локальные решения для объединения клиентов, чтобы обеспечить простой интерфейс между клиентами.

Мультитенантные возможности для мультитенантных организаций

Мультитенантные организации в Идентификаторе Microsoft Entra предоставляют портфель мультитенантных возможностей, которые можно использовать для безопасного взаимодействия с пользователями в вашей организации с несколькими арендаторами, а также для автоматического предоставления и управления этими пользователями в арендаторах.

Некоторые из этих мультитенантных возможностей совместно используют общий стек технологий с Внешняя идентификация Microsoft Entra для бизнес-гостей и подготовки приложений в Microsoft Entra ID, поэтому часто можно найти перекрестные ссылки на эти другие части. Microsoft 365 for Enterprise использует мультитенантные возможности для обеспечения или упрощения простого мультитенантного взаимодействия в Microsoft Teams и в приложениях Microsoft 365.

Следующий набор мультитенантных возможностей поддерживает потребности мультитенантных организаций:

  • Параметры доступа между арендаторами — управляют тем, как ваш арендатор разрешает или запрещает доступ другим арендаторам в вашей организации или наоборот. Они управляют совместной работой B2B, прямым подключением B2B, синхронизацией между клиентами и указывают, является ли другой клиент вашей организации частью мультитенантной организации.

  • Прямое подключение B2B — устанавливает взаимное двустороннее доверие с другим клиентом Microsoft Entra для эффективной совместной работы. Пользователи B2B c прямым подключением не отображаются в адресной книге, но видны в Teams для совместной работы в общих каналах Teams.

  • Совместная работа B2B — предоставляет доступ к приложениям и возможность сотрудничества с внешними пользователями. Пользователи совместной работы B2B представлены в каталоге. Они доступны в Microsoft Teams для совместной работы, если они включены. Они также доступны в приложениях Microsoft 365.

  • Синхронизация между клиентами — предоставляет службу синхронизации , которая автоматизирует создание, обновление и удаление пользователей совместной работы B2B в организации нескольких клиентов. Служба может использоваться для настройки поиска пользователей Microsoft 365 в целевых арендаторах. Служба управляется параметрами синхронизации между клиентами в параметрах доступа между клиентами.

  • Мультитенантный поиск сотрудников Microsoft 365 — сотрудничество с пользователями B2B. Если отображаются в списке адресов, пользователи совместной работы B2B доступны в качестве контактов в Outlook. При повышении уровня "Член пользователя" пользователи участников совместной работы B2B доступны в большинстве приложений Microsoft 365.

  • Мультитенантная организация — определяет границу вокруг клиентов Microsoft Entra, принадлежащих вашей организации, с помощью потока приглашения и принятия. В совокупности с подготовкой участников B2B обеспечивает бесшовный опыт совместной работы в приложениях Microsoft Teams и Microsoft 365, таких как Microsoft Viva Engage. Параметры доступа между клиентами предоставляют флаг для клиентов мультитенантной организации.

  • Центр администрирования Microsoft 365 для мультитенантной совместной работы. Предоставляет интуитивно понятный интерфейс портала администрирования для создания мультитенантной организации. Для небольших мультитенантных организаций также предоставляет упрощенную возможность синхронизации пользователей с мультитенантными клиентами организации в качестве альтернативы использованию Центра администрирования Microsoft Entra.

В следующих разделах подробно описаны все эти возможности.

Параметры доступа между клиентами

Администраторы тенантов Microsoft Entra, сохраняющие контроль над своими ресурсами, остаются основным принципом, даже в вашей организации с несколькими тенантами. Таким образом, настройки доступа между арендаторами требуются для каждой связи между клиентами, и администраторы арендаторов явно настраивают каждую связь доступа между арендаторами по мере необходимости.

На следующей схеме показаны основные возможности межтенантного доступа к входящим и исходящим параметрам.

Обзорная схема параметров доступа между арендаторами.

Для получения дополнительной информации см. Обзор доступа между клиентами.

Прямое соединение B2B

Чтобы пользователи у разных арендаторов могли совместно работать в Teams Connect общих каналах, можно использовать прямое подключение Microsoft Entra B2B. Прямое подключение B2B — это функция внешнего идентификатора, которая позволяет настроить отношения взаимного доверия с другим клиентом Microsoft Entra для эффективного совместной работы в Teams. При установке доверия пользователь прямого подключения B2B имеет доступ к единому входу с использованием учетных данных из своего домашнего клиента.

Ниже приведено основное ограничение с использованием прямого подключения B2B между несколькими клиентами:

  • В настоящее время прямое подключение B2B работает только с общими каналами Teams Connect.

Схема с использованием прямого подключения B2B между клиентами.

Дополнительные сведения см. в обзоре прямого подключения B2B .

B2B сотрудничество

Для того чтобы пользователи из разных клиентов могли сотрудничать, можно использовать сотрудничество B2B Microsoft Entra. Совместная работа B2B — это функция в рамках External ID, которая позволяет приглашать гостевых пользователей для совместной работы с вашей организацией. После того как внешний пользователь активирует приглашение или завершит регистрацию, он будет представлен в вашей организации как объект пользователя. Благодаря совместной работе B2B вы можете безопасно обмениваться приложениями и службами клиента с внешними пользователями, сохраняя контроль над данными клиента.

Вот основные ограничения для совместной работы В2В в нескольких арендаторах:

  • Администраторы должны приглашать пользователей с помощью процесса приглашения B2B или создавать интерфейс подключения с помощью диспетчера приглашений для совместной работы B2B.
  • Администраторам может потребоваться синхронизировать пользователей с помощью пользовательских скриптов.
  • В зависимости от параметров автоматического погашения, пользователям, возможно, потребуется принять запрос на согласие и следовать процессу погашения в каждом клиенте.

Схема, показывающая использование совместной работы B2B между арендаторами.

Подробнее см. Обзор совместной работы B2B.

Синхронизация клиентов

Если вы хотите, чтобы пользователи могли работать более эффективно в разных клиентах, можно использовать синхронизацию между клиентами в идентификаторе Microsoft Entra. Синхронизация между арендаторами — это односторонняя служба синхронизации в Microsoft Entra ID, которая автоматизирует создание, обновление и удаление пользователей для сотрудничества B2B между арендаторами организации. Синхронизация между клиентами основана на функциональных возможностях совместной работы B2B и использует существующие параметры доступа между клиентами B2B. Пользователи представлены в целевом клиентском домене как объект B2B-сотрудничества пользователя.

Ниже приведены основные преимущества при использовании межтенантной синхронизации:

  • Автоматически создавайте пользователей совместной работы B2B в организации и предоставляйте им доступ к приложениям, которые им нужны, без создания и поддержания пользовательских скриптов.
  • Улучшайте взаимодействие с пользователем и убедитесь, что пользователи могут получать доступ к ресурсам, не получая электронное письмо с приглашением и принимая запрос на согласие в каждом клиенте.
  • Автоматически обновите пользователей и удалите их при выходе из организации.

Ниже приведены основные ограничения с использованием межтенантной синхронизации между несколькими клиентами:

  • После синхронизации для пользователей будут доступны те же интерфейсы Teams и Microsoft 365, что и для любого другого пользователя службы совместной работы B2B.
  • Не синхронизирует группы, устройства или контакты.

Схема, показывающая использование межтенантной синхронизации между арендаторами.

Дополнительные сведения см. в разделе "Что такое синхронизация между клиентами?".

Теперь пользователи совместной работы B2B могут быть включены для совместной работы в Microsoft 365 за пределами известного гостевого пользователя службы совместной работы B2B.

Поиск сотрудников в многотенантных организациях — это функция совместной работы, которая позволяет осуществлять поиск и обнаружение сотрудников в нескольких тенантах. Если они отображаются в списке адресов, пользователи B2B-сотрудничества доступны в Outlook как контакты. Помимо отображения в списке адресов, если пользователя повысить до уровня Участника, пользователи B2B-сотрудничества доступны в большинстве приложений Microsoft 365.

Ниже приведены основные преимущества использования поиска пользователей Microsoft 365 в нескольких клиентах:

  • Пользователи совместной работы B2B могут быть доступны для совместной работы в Outlook. Это можно включить, установив значение свойства showInAddressList в true для пользователей Exchange Online в арендаторе-хосте или с помощью межарендаторной синхронизации из исходного арендатора.
  • Пользователи службы совместной работы B2B, уже отображаемые в списках адресов, могут быть доступны для совместной работы в большинстве приложений Microsoft 365 с помощью свойства userType , заданного в качестве участника, управляемого в Центре администрирования Microsoft Entra узла или с помощью синхронизации между клиентами из исходного клиента.

Ниже приведены основные ограничения использования поиска пользователей Microsoft 365 в нескольких клиентах:

Дополнительные сведения см. в статье Microsoft 365 многотенантный поиск пользователей.

Мультитенантная организация

Мультитенантная организация — это функция в идентификаторе Microsoft Entra и Microsoft 365, которая позволяет определить границу вокруг клиентов Microsoft Entra, принадлежащих вашей организации. В каталоге она принимает форму группы клиентов, представляющей вашу организацию. Каждая пара тенантов в группе управляется настройками доступа между тенантами, которые можно использовать для настройки B2B-сотрудничества.

Ниже приведены основные преимущества мультитенантной организации:

  • Дифференцировать внешних пользователей в организации и вне организации
  • Улучшенный интерфейс совместной работы в новой версии Microsoft Teams
  • Улучшенный интерфейс совместной работы в Viva Engage

Ниже приведены основные ограничения с использованием мультитенантной организации:

  • Если у вас уже есть пользователи участников совместной работы B2B в клиентах, которые являются частью мультитенантной организации, эти пользователи сразу же станут участниками мультитенантной организации при создании мультитенантной организации. Таким образом, приложения с опытом работы в мультитенантной организации распознают текущих пользователей B2B-сотрудничества как пользователей мультитенантной организации.
  • Улучшенная совместная работа Microsoft Teams зависит от взаимной подготовки пользователей службы совместной работы B2B.
  • Улучшенная совместная работа Viva Engage зависит от централизованной подготовки участников совместной работы B2B.
  • Дополнительные ограничения см. в разделе "Ограничения" в мультитенантных организациях.

Схема с многотенантной топологией организации и параметрами доступа между клиентами.

Дополнительные сведения см. в разделе "Что такое мультитенантная организация в идентификаторе Microsoft Entra ID?".

Центр администрирования Microsoft 365 для мультитенантной совместной работы

Центр администрирования Microsoft 365 для мультитенантной совместной работы предоставляет интуитивно понятный интерфейс портала администрирования для создания мультитенантной организации.

После создания мультитенантной организации корпорация Майкрософт предлагает два метода предоставления сотрудников в соседние тенанты мультитенантной организации в большом масштабе.

  • Для корпоративных организаций со сложными топологиями удостоверений рекомендуется использовать синхронизацию между клиентами в Microsoft Entra ID. Синхронизация между арендаторами высококонфигурируема и позволяет обеспечивать любую топологию мульти-хаб мульти-спок для идентификаций.
  • Для небольших мультитенантных организаций, где сотрудники должны быть настроены во всех арендаторах, рекомендуется оставаться в центре администрирования Microsoft 365, чтобы одновременно синхронизировать пользователей с несколькими арендаторами мультитенантной организации.

Если у вас уже есть собственный движок управления учетными записями пользователей, вы можете воспользоваться новыми преимуществами мультитенантной организации, при этом продолжая использовать свой движок для управления жизненным циклом сотрудников.

Ниже приведены основные преимущества использования Центра администрирования Microsoft 365 для создания мультитенантной организации и обеспечения сотрудников всем необходимым.

  • Центр администрирования Microsoft 365 предоставляет графический интерфейс пользователя для создания мультитенантной организации.
  • Центр администрирования Microsoft 365 предварительно настроит ваши клиенты для автоматического активации приглашений на совместную работу B2B.
  • Центр администрирования Microsoft 365 предварительно настроит ваших арендаторов для входящей синхронизации пользователей, хотя использование синхронизации между арендаторами остается необязательным.
  • Центр администрирования Microsoft 365 позволяет легко размещать сотрудников в нескольких клиентах вашей мультитенантной организации.

Ниже приведены основные ограничения при использовании Центра администрирования Microsoft 365 для создания мультитенантной организации или подготовки сотрудников:

  • Центр администрирования Microsoft 365 предварительно настраивает, но не запускает задания синхронизации между клиентами, даже если вы планируете использовать синхронизацию между клиентами в Центре администрирования Microsoft Entra.
  • Сложные топологии удостоверений, такие как многоуровневые, многофакторные системы, лучше подготавливаются с помощью синхронизации между клиентами на портале администрирования Microsoft Entra.

Дополнительные сведения см. в статье о мультитенантной совместной работе Microsoft 365.

Сравнение мультитенантной функциональности

В зависимости от потребностей вашей организации можно использовать любое сочетание прямого подключения B2B, совместной работы B2B, синхронизации между клиентами и мультитенантной организации. Прямое подключение B2B и совместная работа B2B являются независимыми возможностями, а межтенантная синхронизация и мультитенантная организация не зависят друг от друга, хотя оба используют базовую совместную работу B2B.

В следующей таблице сравниваются возможности каждой функции. Дополнительные сведения о различных сценариях внешних удостоверений см. в разделе "Сравнение наборов функций внешнего идентификатора".

Прямое соединение B2B
(Межорганизационные внешние или внутренние связи)		 B2B сотрудничество
(внешний или внутренний обмен между организациями)		 Синхронизация клиентов
(внутреннее использование в организации)		 Мультитенантная организация
(внутренняя организация)
Целевые назначения Пользователи могут получить доступ к общим каналам Teams Connect, размещенным в инфраструктурах внешних арендаторов. Пользователи могут получать доступ к приложениям и ресурсам, размещенным во внешних клиентах, как правило, с ограниченными привилегиями гостя. В зависимости от параметров автоматического выкупа, пользователям может потребоваться подтвердить запрос согласия в каждом арендаторе. Пользователи могут легко получать доступ к приложениям и ресурсам в одной организации, даже если они размещаются в разных клиентах. Пользователи могут более легко сотрудничать в мультитенантной организации в новых Teams и Viva Engage.
Value Включает внешнюю совместную работу только в общих каналах Teams Connect. Удобнее для администраторов, так как им не нужно управлять пользователями B2B. Обеспечивает внешнюю совместную работу. Больше контроля и мониторинга для администраторов благодаря управлению пользователями совместной работы B2B. Администраторы могут ограничить доступ этих внешних пользователей к их приложениям или ресурсам. Обеспечивает возможность совместной работы между клиентами организации. Администраторам не нужно вручную приглашать пользователей и синхронизировать их между клиентами, чтобы обеспечить непрерывный доступ к приложениям и ресурсам в организации. Обеспечивает возможность совместной работы между клиентами организации. Администраторы по-прежнему имеют полную возможность настройки с помощью параметров доступа между клиентами. Необязательные шаблоны доступа между клиентами позволяют предварительно настроить параметры доступа между клиентами.
Рабочий процесс основного администратора Настройте межарендаторский доступ для предоставления внешним пользователям входящего доступа к учетным данным их домашнего клиента. Добавьте внешних пользователей в клиент ресурсов с помощью процесса приглашения B2B или создайте собственный интерфейс подключения с помощью диспетчера приглашений для совместной работы B2B. Настройте подсистему синхронизации между клиентами для синхронизации пользователей между несколькими клиентами в качестве пользователей совместной работы B2B. Создайте мультитенантную организацию, добавьте (пригласите) арендаторов, присоединитесь к мультитенантной организации. Используйте существующих пользователей совместной работы B2B или используйте синхронизацию между клиентами для подготовки пользователей совместной работы B2B.
Уровень доверия Среднее доверие. Пользователей прямых подключений B2B сложнее отслеживать, что требует определённого уровня доверия к внешней организации. Низкий-средний уровень доверия. Пользовательские объекты можно легко отслеживать и управлять с помощью детализированных элементов управления. Высокий уровень доверия. Все клиенты являются частью одной организации, и пользователи обычно получают доступ к всем приложениям и ресурсам. Высокий уровень доверия. Все клиенты являются частью одной организации, и пользователи обычно получают доступ к всем приложениям и ресурсам.
Влияние на пользователей Пользователи получают доступ к арендатору ресурсов, используя учетные данные для своего домашнего арендатора. Объекты пользователей не создаются в клиенте ресурсов. Внешние пользователи добавляются в клиент как пользователи совместной работы B2B. В той же организации пользователи синхронизируются из домашнего арендатора в арендатор ресурсов в качестве пользователей для совместной работы B2B. В той же мультитенантной организации пользователи совместной работы B2B, особенно пользователи-члены, получают преимущества от расширенной, простой совместной работы в Microsoft 365.
Тип пользователя Пользователь прямого подключения B2B
- N/A		 Пользователь совместной работы B2B
- Внешний член
— внешний гость (по умолчанию)		 Пользователь совместной работы B2B
— внешний участник (по умолчанию)
- Внешний гость		 Пользователь совместной работы B2B
— внешний участник (по умолчанию)
- Внешний гость

На следующей схеме показано, как можно использовать вместе возможности прямого подключения B2B, коллаборации B2B и межтенантной синхронизации.

Схема, показывающая различные мультитенантные возможности.

Терминология

Чтобы лучше понять сценарии многотенантной организации, связанные с возможностями Microsoft Entra, можно вернуться к следующему списку терминов.

Термин Определение
арендатор Экземпляр идентификатора Microsoft Entra.
организация Верхний уровень бизнес-иерархии.
мультитенантная организация Организация, у которой есть несколько экземпляров Microsoft Entra ID и возможность группировать эти экземпляры в Microsoft Entra ID.
учетная запись создателя Арендатор, который создал мультиарендаторскую организацию.
владелец-арендатор Арендатор с ролью владельца. Изначально клиент создателя.
добавлен арендатор Арендатор, добавленный арендатором-владельцем.
клиент соединения Арендатор, присоединяющийся к мультитенантной организации.
запрос на присоединение Пользователь, присоединяющийся, или уже добавленный пользователь отправляет запрос на присоединение к организации с несколькими арендаторами.
ожидающий арендатор Арендатор, добавленный владельцем, но еще не присоединился.
активный клиент Клиент, создавший или присоединившийся к многопользовательской организации.
арендатор-член Арендатор в роли участника. Большинство арендаторов начинают в качестве членов.
Клиент мультитенантной организации Активный клиент мультитенантной организации, не находящийся в ожидании.
синхронизация между клиентами Односторонняя служба синхронизации в идентификаторе Microsoft Entra, которая автоматизирует создание, обновление и удаление пользователей совместной работы B2B в организации.
параметры доступа между клиентами Параметры управления совместной работой для определенных организаций Microsoft Entra.
Шаблон параметров доступа между клиентами Необязательный шаблон для предварительной настройки параметров доступа между клиентами, применяемых к любому клиенту партнера, недавно присоединенному к мультитенантной организации.
Параметры организации Параметры доступа между клиентами для определенных организаций Microsoft Entra.
конфигурация Приложение и базовая учетная запись службы в Microsoft Entra ID, которое включает настройки (например, целевой арендатор, область пользователя и сопоставление атрибутов), необходимые для синхронизации между арендаторами.
Обеспечение ресурсами Процесс автоматического создания или синхронизации объектов через границу.
автоматическое погашение Настройка B2B для автоматического активации приглашений, чтобы только что созданные пользователи не получали приглашение по электронной почте и не должны были принимать запрос согласия при добавлении в целевого арендатора.

Следующие шаги