Funktioner för flera klientorganisationer i Microsoft Entra-ID

Den här artikeln innehåller en översikt över scenariot med flera klientorganisationer och relaterade funktioner i Microsoft Entra-ID.

Vad är scenariot med flera klientorganisationer?

Scenariot med flera klientorganisationer inträffar när en organisation har fler än en klientinstans av Microsoft Entra-ID. Här är de främsta orsakerna till varför en organisation kan ha flera klienter:

• Konglomerat: Organisationer med flera dotterbolag eller affärsenheter som arbetar oberoende av varandra.
• Fusioner och förvärv: Organisationer som slår samman eller förvärvar företag.
• Avyttringsaktivitet: I en avyttring delar en organisation upp en del av sin verksamhet för att bilda en ny organisation eller sälja den till en befintlig organisation.
• Flera moln: Organisationer som har efterlevnad eller regelkrav måste finnas i flera molnmiljöer.
• Flera geografiska gränser: Organisationer som arbetar på flera geografiska platser med olika regler för hemvist.
• Testa eller mellanlagringsklientorganisationer: Organisationer som behöver flera klientorganisationer för testning eller mellanlagring innan de distribueras bredare till primära klienter.
• Avdelnings- eller medarbetarskapade klienter: Organisationer där avdelningar eller anställda har skapat klienter för utveckling, testning eller separat kontroll.

Vad är en Microsoft Entra-klientorganisation?

En klientorganisation är en instans av Microsoft Entra-ID där information om en enskild organisation finns, inklusive organisationsobjekt som användare, grupper och enheter samt programregistreringar, till exempel Microsoft 365- och tredjepartsprogram. En klientorganisation innehåller också åtkomst- och efterlevnadsprinciper för resurser, till exempel program som är registrerade i katalogen. De primära funktionerna som hanteras av en klientorganisation omfattar identitetsautentisering samt resursåtkomsthantering.

Ur ett Microsoft Entra-perspektiv utgör en klientorganisation ett omfång för identitets- och åtkomsthantering. En klientadministratör gör till exempel ett program tillgängligt för vissa eller alla användare i klientorganisationen och tillämpar åtkomstprinciper för programmet för användare i den klientorganisationen. Dessutom innehåller en klientorganisation organisationsanpassningsdata som driver slutanvändarupplevelser, till exempel organisationens e-postdomäner och SharePoint-URL:er som används av anställda i organisationen. Från ett Microsoft 365-perspektiv utgör en klientorganisation standardgränsen för samarbete och licensiering. Användare i Microsoft Teams eller Microsoft Outlook kan till exempel enkelt hitta och samarbeta med andra användare i klientorganisationen, men de kan inte hitta eller se användare i andra klientorganisationer.

Klientorganisationer innehåller privilegierade organisationsdata och är säkert isolerade från andra klienter. Dessutom kan klientorganisationer konfigureras så att data bevaras och bearbetas i en viss region eller ett visst moln, vilket gör det möjligt för organisationer att använda klienter som en mekanism för att uppfylla kraven på datahemvist och hantering av efterlevnad.

Utmaningar för flera klientorganisationer

Din organisation kan nyligen ha förvärvat ett nytt företag, slagits samman med ett annat företag eller omstrukturerats baserat på nybildade affärsenheter. Om du har olika identitetshanteringssystem kan det vara svårt för användare i olika klienter att komma åt resurser och samarbeta.

Följande diagram visar hur användare i andra klienter kanske inte kan komma åt program mellan klientorganisationer i din organisation.

I takt med att din organisation utvecklas måste IT-teamet anpassa sig efter de föränderliga behoven. Detta omfattar ofta integrering med en befintlig klientorganisation eller att skapa en ny. Oavsett hur identitetsinfrastrukturen hanteras är det viktigt att användarna får en smidig upplevelse av att komma åt resurser och samarbeta. I dag kanske du använder anpassade skript eller lokala lösningar för att sammanföra klientorganisationer för att ge en sömlös upplevelse mellan klientorganisationer.

Funktioner för flera klientorganisationer

Organisationer med flera klienter i Microsoft Entra ID erbjuder en portfölj med funktioner för flera klienter som du kan använda för att på ett säkert sätt interagera med användare i hela organisationen för flera klienter och för att automatiskt etablera och hantera dessa användare i dina klientorganisationer.

Flera av dessa funktioner för flera klientorganisationer delar en gemensam teknikstack med Microsoft Entra Externt ID för företagsgäster och appetablering i Microsoft Entra-ID, så du kan ofta hitta korsreferenser till dessa andra områden. Microsoft 365 för Enterprise använder funktioner för flera klienter för att aktivera eller underlätta sömlösa samarbetsupplevelser för flera klienter i Microsoft Teams och i Microsoft 365-program.

Följande uppsättning funktioner för flera klientorganisationer stöder behoven hos organisationer med flera klientorganisationer:

• Inställningar för åtkomst mellan klientorganisationer – Hanterar hur din klientorganisation tillåter eller nekar åtkomst till din klientorganisation från andra klientorganisationer i din organisation eller vice versa. De styr B2B-samarbete, B2B-direktanslutning, synkronisering mellan klientorganisationer och anger om en annan klientorganisation i din organisation är känd för att vara en del av din organisation med flera klienter.

• B2B-direktanslutning – Upprättar ett ömsesidigt dubbelriktat förtroende med en annan Microsoft Entra-klientorganisation för sömlöst samarbete. B2B-direktanslutningsanvändare visas inte i din katalog, men de visas i Teams för samarbete i delade Teams-kanaler.

• B2B-samarbete – Ger programåtkomst för och samarbete med externa användare. B2B-samarbetsanvändare visas i din katalog. De är tillgängliga i Microsoft Teams för samarbete om de är aktiverade. De är också tillgängliga i Microsoft 365-program.

• Synkronisering mellan klientorganisationer – Tillhandahåller en synkroniseringstjänst som automatiserar skapande, uppdatering och borttagning av B2B-samarbetsanvändare i organisationen för flera klienter. Tjänsten kan användas för att begränsa sökningen mellan Microsoft 365-personer i målklientorganisationer. Tjänsten styrs av synkroniseringsinställningar mellan klientorganisationer under inställningar för åtkomst mellan klientorganisationer.

• Microsoft 365 multitenant people search – Samarbete med B2B-samarbetsanvändare. Om det visas i adresslistan är B2B-samarbetsanvändare tillgängliga som kontakter i Outlook. Om det är upphöjt till medlem av användartyp är B2B-samarbetsmedlemsanvändare tillgängliga i de flesta Microsoft 365-program.

• Multitenantorganisation – Definierar en gräns runt De Microsoft Entra-klienter som din organisation äger, vilket underlättas av ett flöde för att bjuda in och acceptera. I samband med etablering av B2B-medlemmar möjliggör sömlösa samarbetsupplevelser i Microsoft Teams och Microsoft 365-program som Microsoft Viva Engage. Åtkomstinställningar mellan klientorganisationer ger en flagga för dina klientorganisationer för flera klientorganisationer.

• Administrationscenter för Microsoft 365 för samarbete med flera klientorganisationer – Ger en intuitiv administratörsportalupplevelse för att skapa en organisation med flera klientorganisationer. För mindre organisationer med flera klienter ger det också en förenklad upplevelse att synkronisera användare till klientorganisationer med flera klientorganisationer som ett alternativ till att använda administrationscentret för Microsoft Entra.

I följande avsnitt beskrivs var och en av dessa funktioner mer detaljerat.

Åtkomstinställningar mellan klientorganisationer

Microsoft Entra-klientadministratörer som har kontroll över sina klientomfattande resurser är en vägledande princip, även inom din organisation för flera klienter. Därför krävs åtkomstinställningar mellan klientorganisationer för varje klient-till-klientrelation, och klientadministratörer konfigurerar uttryckligen varje åtkomstrelation mellan klientorganisationer efter behov.

Följande diagram visar de grundläggande funktionerna för inkommande och utgående åtkomst mellan klientorganisationer.

Mer information finns i Översikt över åtkomst mellan klientorganisationer.

B2B-direktanslutning

Om du vill göra det möjligt för användare mellan klienter att samarbeta i delade Teams Connect-kanaler kan du använda Microsoft Entra B2B direct connect. B2B-direktanslutning är en funktion i externt ID som gör att du kan konfigurera en ömsesidig förtroenderelation med en annan Microsoft Entra-klient för sömlöst samarbete i Teams. När förtroendet har upprättats har B2B Direct Connect-användaren enkel inloggningsåtkomst med autentiseringsuppgifter från sin hemklientorganisation.

Här är den primära begränsningen med att använda B2B-direktanslutning mellan flera klienter:

• För närvarande fungerar B2B-direktanslutning endast med delade Teams Connect-kanaler.

Mer information finns i översikten över B2B-direktanslutning.

B2B-samarbete

Om du vill att användare mellan klienter ska kunna samarbeta kan du använda Microsoft Entra B2B-samarbete. B2B-samarbete är en funktion i externt ID som gör att du kan bjuda in gästanvändare att samarbeta med din organisation. När den externa användaren har löst in sin inbjudan eller slutfört registreringen representeras de i din klientorganisation som ett användarobjekt. Med B2B-samarbete kan du på ett säkert sätt dela klientorganisationens program och tjänster med externa användare, samtidigt som du behåller kontrollen över klientorganisationens data.

Här är de primära begränsningarna med att använda B2B-samarbete mellan flera klienter:

• Administratörer måste bjuda in användare med B2B-inbjudan eller skapa en registreringsupplevelse med hjälp av B2B-samarbetsinbjudan.
• Administratörer kan behöva synkronisera användare med hjälp av anpassade skript.
• Beroende på inställningar för automatisk inlösning kan användarna behöva godkänna en medgivandeprompt och följa en inlösningsprocess i varje klientorganisation.

Mer information finns i översikten över B2B-samarbete.

Synkronisering mellan klienter

Om du vill att användarna ska ha en smidigare samarbetsupplevelse mellan klienter kan du använda synkronisering mellan klientorganisationer i Microsoft Entra-ID. Synkronisering mellan klientorganisationer är en enkelriktad synkroniseringstjänst i Microsoft Entra-ID som automatiserar skapande, uppdatering och borttagning av B2B-samarbetsanvändare mellan klientorganisationer i en organisation. Synkronisering mellan klientorganisationer bygger på B2B-samarbetsfunktionerna och använder befintliga B2B-åtkomstinställningar för flera klientorganisationer. Användare representeras i målklientorganisationen som ett B2B-samarbetsanvändarobjekt.

Här är de främsta fördelarna med att använda synkronisering mellan klientorganisationer:

• Skapa automatiskt B2B-samarbetsanvändare i din organisation och ge dem åtkomst till de program de behöver, utan att skapa och underhålla anpassade skript.
• Förbättra användarupplevelsen och se till att användarna kan komma åt resurser, utan att få en e-postinbjudan och måste acceptera en medgivandeprompt i varje klientorganisation.
• Uppdatera användare automatiskt och ta bort dem när de lämnar organisationen.

Här är de primära begränsningarna med att använda synkronisering mellan klientorganisationer mellan flera klienter:

• Synkroniserade användare kommer att ha samma Teams- och Microsoft 365-upplevelser mellan klienterna som alla andra B2B-samarbetsanvändare.
• Synkroniserar inte grupper, enheter eller kontakter.

Mer information finns i Vad är synkronisering mellan klientorganisationer?.

Sökning efter flera klientorganisationer i Microsoft 365

B2B-samarbetsanvändare kan nu aktiveras för samarbete i Microsoft 365, utöver den välkända gästanvändarupplevelsen för B2B-samarbete.

Personsökning i flera klientorganisationer är en samarbetsfunktion som möjliggör sökning och identifiering av personer i flera klientorganisationer. Om det visas i adresslistan är B2B-samarbetsanvändare tillgängliga som kontakter i Outlook. Förutom att visas i adresslistan är B2B-samarbetsmedlemsanvändare tillgängliga i de flesta Microsoft 365-program om de utökas ytterligare till medlem av användartyp.

Här är de främsta fördelarna med att använda Microsoft 365-personer som söker i flera klienter:

• B2B-samarbetsanvändare kan göras tillgängliga för samarbete i Outlook. Detta kan aktiveras med egenskapen showInAddressList inställd på true för Exchange Online-e-postanvändare i värdklientorganisationen eller med synkronisering mellan klientorganisationer från källklientorganisationen.
• B2B-samarbetsanvändare som redan visas i adresslistor kan göras tillgängliga för samarbete i de flesta Microsoft 365-program med egenskapen userType inställd på Medlem, hanterad i Microsoft Entra-administrationscentret för värdklientorganisationen eller med synkronisering mellan klientorganisationer från källklientorganisationen.

Här är de primära begränsningarna för att använda Microsoft 365-personer som söker i flera klienter:

• För samarbete i de flesta Microsoft 365-program bör en B2B-samarbetsanvändare visas i adresslistor samt vara inställd på medlem av användartyp.
• Ytterligare adresslistebegränsningar finns i Begränsningar för global adresslista i organisationer med flera klientorganisationer.

Mer information finns i Sök efter flera klientorganisationer i Microsoft 365.

Organisation för flera klientorganisationer

Multitenant organisation är en funktion i Microsoft Entra ID och Microsoft 365 som gör att du kan definiera en gräns runt Microsoft Entra-klientorganisationer som din organisation äger. I katalogen har den formen av en klientgrupp som representerar din organisation. Varje par klienter i gruppen styrs av åtkomstinställningar mellan klientorganisationer som du kan använda för att konfigurera B2B-samarbete.

Här är de främsta fördelarna med en organisation med flera klientorganisationer:

• Särskilja externa användare i organisationen och utanför organisationen
• Förbättrad samarbetsupplevelse i nya Microsoft Teams
• Förbättrad samarbetsupplevelse i Viva Engage

Här är de primära begränsningarna med att använda en organisation med flera klientorganisationer:

• Om du redan har B2B-samarbetsmedlemsanvändare i klientorganisationer som ingår i organisationen för flera klienter, blir dessa användare omedelbart medlemmar i flera klientorganisationer när flertenantorganisationen skapas. Därför identifierar program med flera klientorganisationer befintliga användare av B2B-samarbetsmedlemmar som användare av flera klientorganisationer.
• Förbättrat Microsoft Teams-samarbete bygger på ömsesidig etablering av B2B-samarbetsmedlemsanvändare.
• Förbättrat Viva Engage-samarbete bygger på centraliserad etablering av B2B-samarbetsmedlemmar.
• Ytterligare begränsningar finns i Begränsningar i organisationer med flera klientorganisationer.

Mer information finns i Vad är en organisation med flera klientorganisationer i Microsoft Entra-ID?.

Administrationscenter för Microsoft 365 för samarbete med flera klientorganisationer

Administrationscenter för Microsoft 365 för samarbete med flera klientorganisationer ger en intuitiv administratörsportalupplevelse för att skapa en organisation med flera klientorganisationer.

• Skapa en organisation med flera klientorganisationer i Administrationscenter för Microsoft 365.

Efter skapandet av en organisation med flera klienter erbjuder Microsoft två metoder för att etablera anställda i närliggande klientorganisationer för flera klientorganisationer i stor skala.

• För företagsorganisationer med komplexa identitetstopologier rekommenderar vi att du använder synkronisering mellan klientorganisationer i Microsoft Entra-ID. Synkronisering mellan klientorganisationer är mycket konfigurerbar och möjliggör etablering av alla identitetstopologier med flera hubbar med flera nav.
• För mindre organisationer med flera klienter där anställda ska etableras i alla klienter rekommenderar vi att du stannar kvar i Administrationscenter för Microsoft 365 för att samtidigt synkronisera användare till flera klientorganisationer i din organisation med flera klienter.

Om du redan har en egen motor för användaretablering i stor skala kan du dra nytta av de nya fördelarna med flera klientorganisationer samtidigt som du fortsätter att använda din egen motor för att hantera de anställdas livscykel.

Här är de främsta fördelarna med att använda Administrationscenter för Microsoft 365 för att skapa din organisation för flera klientorganisationer och etablera anställda.

• Administrationscenter för Microsoft 365 ger en grafisk användarupplevelse för att skapa organisationen med flera klientorganisationer.
• Administrationscenter för Microsoft 365 förkonfigurerar dina klienter för automatisk inlösen av B2B-samarbetsinbjudningar.
• Administrationscenter för Microsoft 365 förkonfigurerar dina klienter för inkommande användarsynkronisering, även om användningen av synkronisering mellan klientorganisationer fortfarande är valfri.
• Administrationscenter för Microsoft 365 gör det enkelt att etablera anställda i flera klientorganisationer i din organisation med flera klienter.

Här är de primära begränsningarna med att använda Administrationscenter för Microsoft 365 för att skapa en organisation med flera klientorganisationer eller etableringsanställda:

• Administrationscenter för Microsoft 365 förkonfigurerar men startar inte synkroniseringsjobb mellan klientorganisationer, även om du tänker använda synkronisering mellan klientorganisationer i administrationscentret för Microsoft Entra.
• Komplexa identitetstopologier, till exempel system med flera hubbar och flera ekrar, etableras bättre med synkronisering mellan klientorganisationer i Microsoft Entra-administratörsportalen.

Mer information finns i Microsoft 365-samarbete för flera klientorganisationer.

Jämföra funktioner för flera klientorganisationer

Beroende på organisationens behov kan du använda valfri kombination av B2B-direktanslutning, B2B-samarbete, synkronisering mellan klientorganisationer och funktioner för flera klientorganisationer. B2B-direktanslutning och B2B-samarbete är oberoende funktioner, medan synkronisering mellan klientorganisationer och funktioner för flera klientorganisationer är oberoende av varandra, även om båda förlitar sig på underliggande B2B-samarbete.

I följande tabell jämförs funktionerna i varje funktion. Mer information om olika externa identitetsscenarier finns i Jämföra externa ID-funktionsuppsättningar.

	B2B-direktanslutning (Org-to-org externt eller internt)	B2B-samarbete (Org-to-org externt eller internt)	Synkronisering mellan klienter (Internt i organisationen)	Organisation för flera klientorganisationer (Internt i organisationen)
Syfte	Användare kan komma åt delade Teams Connect-kanaler som finns i externa klientorganisationer.	Användare kan komma åt appar/resurser som finns i externa klientorganisationer, vanligtvis med begränsade gästbehörigheter. Beroende på inställningar för automatisk inlösning kan användarna behöva godkänna en medgivandeprompt i varje klientorganisation.	Användare kan sömlöst komma åt appar/resurser i samma organisation, även om de finns i olika klientorganisationer.	Användare kan samarbeta sömlöst i en organisation med flera klientorganisationer i nya Teams och Viva Engage.
Värde	Möjliggör endast externt samarbete i Teams Connect-delade kanaler. Enklare för administratörer eftersom de inte behöver hantera B2B-användare.	Möjliggör externt samarbete. Mer kontroll och övervakning för administratörer genom att hantera B2B-samarbetsanvändare. Administratörer kan begränsa åtkomsten som dessa externa användare har till sina appar/resurser.	Möjliggör samarbete mellan organisationens klientorganisationer. Administratörerna behöver inte bjuda in och synkronisera användare manuellt mellan klientorganisationerna för att säkerställa kontinuerlig åtkomst till appar/resurser i organisationen.	Möjliggör samarbete mellan organisationens klientorganisationer. Administratörer fortsätter att ha fullständig konfigurationsförmåga med åtkomstinställningar mellan klientorganisationer. Valfria åtkomstmallar mellan klientorganisationer tillåter förkonfiguration av åtkomstinställningar mellan klientorganisationer.
Arbetsflöde för primär administratör	Konfigurera åtkomst mellan klientorganisationer för att ge externa användare inkommande åtkomst till klientorganisationens autentiseringsuppgifter för sin hemklientorganisation.	Lägg till externa användare i resursklientorganisationen med hjälp av B2B-inbjudan eller skapa en egen introduktionsupplevelse med hjälp av B2B-samarbetsinbjudan.	Konfigurera synkroniseringsmotorn mellan klientorganisationer för att synkronisera användare mellan flera klienter som B2B-samarbetsanvändare.	Skapa en organisation med flera klienter, lägg till (bjud in) klienter, gå med i en organisation med flera klienter. Använd befintliga B2B-samarbetsanvändare eller använd synkronisering mellan klientorganisationer för att etablera B2B-samarbetsanvändare.
Förtroendenivå	Mitt förtroende. B2B-direktanslutningsanvändare är mindre lätta att spåra, vilket ger en viss förtroendenivå hos den externa organisationen.	Lågt till mitten förtroende. Användarobjekt kan spåras enkelt och hanteras med detaljerade kontroller.	Högt förtroende. Alla klienter är en del av samma organisation och användare beviljas vanligtvis medlemsåtkomst till alla appar/resurser.	Högt förtroende. Alla klienter är en del av samma organisation och användare beviljas vanligtvis medlemsåtkomst till alla appar/resurser.
Effekt på användare	Användare får åtkomst till resursklientorganisationen med hjälp av autentiseringsuppgifterna för sin hemklientorganisation. Användarobjekt skapas inte i resursklientorganisationen.	Externa användare läggs till i en klientorganisation som B2B-samarbetsanvändare.	Inom samma organisation synkroniseras användare från sin hemklientorganisation till resursklientorganisationen som B2B-samarbetsanvändare.	Inom samma organisation för flera klientorganisationer kan B2B-samarbetsanvändare, särskilt medlemsanvändare, dra nytta av förbättrat och sömlöst samarbete i Microsoft 365.
Användartyp	B2B-direktanslutningsanvändare - Ej tillämpligt	B2B-samarbetsanvändare - Extern medlem – Extern gäst (standard)	B2B-samarbetsanvändare – Extern medlem (standard) - Extern gäst	B2B-samarbetsanvändare – Extern medlem (standard) - Extern gäst

Följande diagram visar hur funktioner för B2B-direktanslutning, B2B-samarbete och synkronisering mellan klientorganisationer kan användas tillsammans.

Terminologi

För att bättre förstå multitenant-organisationsscenario relaterade Microsoft Entra-funktioner kan du gå tillbaka till följande lista med termer.

Period	Definition
klientorganisation	En instans av Microsoft Entra-ID.
organization	Den översta nivån i en affärshierarki.
organisation för flera klientorganisationer	En organisation som har mer än en instans av Microsoft Entra-ID, samt en möjlighet att gruppera dessa instanser i Microsoft Entra-ID.
skaparklient	Klientorganisationen som skapade organisationen för flera klienter.
ägarklientorganisation	En klientorganisation med rollen Ägare. Ursprungligen skaparens klientorganisation.
lade till klientorganisation	En klientorganisation som har lagts till av en ägarklientorganisation.
joiner-klientorganisation	En klientorganisation som ansluter till organisationen för flera klienter.
join-begäran	En anslutningsprogram eller en tillagd klient skickar en anslutningsbegäran för att ansluta till organisationen med flera klienter.
väntande klientorganisation	En klientorganisation som har lagts till av en ägare men som ännu inte har anslutits.
aktiv klientorganisation	En klientorganisation som har skapat eller anslutit till organisationen för flera klienter.
medlemsklientorganisation	En klientorganisation med medlemsrollen. De flesta anslutningsklientorganisationer börjar som medlemmar.
klientorganisation för flera klienter	En aktiv klientorganisation för organisationen med flera klienter som inte väntar.
synkronisering mellan klientorganisationer	En enkelriktad synkroniseringstjänst i Microsoft Entra-ID som automatiserar skapande, uppdatering och borttagning av B2B-samarbetsanvändare mellan klientorganisationer i en organisation.
Åtkomstinställningar för flera klientorganisationer	Inställningar för att hantera samarbete för specifika Microsoft Entra-organisationer.
Mall för inställningar för åtkomst mellan klientorganisationer	En valfri mall för att förkonfigurera åtkomstinställningar mellan klientorganisationer som tillämpas på alla partnerklientorganisationer som nyligen anslutit till organisationen för flera klientorganisationer.
organisationsinställningar	Åtkomstinställningar mellan klientorganisationer för specifika Microsoft Entra-organisationer.
konfiguration	Ett program och ett underliggande huvudnamn för tjänsten i Microsoft Entra-ID som innehåller de inställningar (till exempel målklientorganisation, användaromfång och attributmappningar) som behövs för synkronisering mellan klientorganisationer.
etablering	Processen att automatiskt skapa eller synkronisera objekt över en gräns.
automatisk inlösen	En B2B-inställning för att automatiskt lösa in inbjudningar så att nyskapade användare inte får ett e-postmeddelande med inbjudan eller måste acceptera en medgivandeprompt när de läggs till i en målklientorganisation.

Nästa steg

• Vad är en organisation med flera klientorganisationer i Microsoft Entra-ID?
• Vad är synkronisering mellan klientorganisationer?