什么是跨租户同步?
跨租户同步可以在组织的各个租户中自动创建、更新和删除Microsoft Entra B2B 协作用户。 它使用户能够访问应用程序并跨租户协作,同时仍允许组织不断发展。
下面是跨租户同步的主要目标:
- 多租户组织的无缝协作
- 自动化多租户组织中 B2B 协作用户的生命周期管理
- 当用户离开组织时自动删除 B2B 帐户
为何要使用跨租户同步?
跨租户同步可自动创建、更新和删除 B2B 协作用户。 使用跨租户同步创建的用户能够访问 Microsoft 应用程序(例如 Teams 和 SharePoint)和非 Microsoft 应用程序(例如 ServiceNow、Adobe 等),无论应用与哪个租户集成。 这些用户仍可受益于Microsoft Entra ID 中的安全功能(例如Microsoft Entra 条件访问和跨租户访问设置),并且可以通过Microsoft Entra 权利管理等功能对其进行管理。
下图显示了如何使用跨租户同步来使用户能够跨组织中的租户访问应用程序。
适合对象
- 拥有多个 Microsoft Entra 租户并希望简化组织内跨租户应用程序访问的组织。
- 目前不适合跨组织边界使用跨租户同步。
好处
使用跨租户同步可实现以下目的:
- 在组织内自动创建 B2B 协作用户并为其提供对所需应用程序的访问权限,而无需创建和维护自定义脚本。
- 改进用户体验,并确保用户可以访问资源,而无需在每个租户中收到邀请电子邮件并接受同意提示。
- 自动更新用户并在他们离开组织时将其删除。
Teams 和 Microsoft 365
跨租户同步创建的用户在访问 Microsoft Teams 和其他 Microsoft 365 服务时获得的体验与通过手动邀请创建的 B2B 协作用户相同。 如果组织使用共享频道,请参阅已知问题文档了解更多详细信息。 随着时间的推移,各种 Microsoft 365 服务将使用 member
userType 来为多租户组织中的用户提供差异化最终用户体验。
属性
配置跨租户同步时,需要定义源租户与目标租户之间的信任关系。 跨租户同步具有以下属性:
- 基于 Microsoft Entra 预配引擎。
- 是从源租户运行的推送过程,而不是从目标租户运行的拉取过程。
- 支持仅推送源租户中的内部成员。 不支持从源租户同步外部用户。
- 在源租户中配置同步范围内的用户。
- 在源租户中配置属性映射。
- 支持扩展属性。
- 目标租户管理员可以随时停止同步。
下表显示了跨租户同步的组成部分以及为它们配置的租户。
租户 | 跨租户 访问设置 |
自动兑换 | “同步设置” 配置 |
范围内的用户 |
---|---|---|---|---|
源租户 |
✔️ | ✔️ | ✔️ | |
目标租户 |
✔️ | ✔️ |
跨租户同步设置
跨租户同步设置是仅限入站的组织设置,可让源租户的管理员将用户同步到目标租户。 此设置是一个复选框,其名称为“允许用户同步此租户”,在目标租户中指定。 此设置不会影响通过手动邀请或 Microsoft Entra 权利管理等其他过程创建的 B2B 邀请。
若要使用 Microsoft Graph 配置此设置,请参阅更新 crossTenantIdentitySyncPolicyPartner API。 有关详细信息,请参阅配置跨租户同步。
自动兑换设置
自动兑换设置是一种入站和出站组织信任设置,用于自动兑换邀请,因此用户无需在首次访问资源/目标租户时接受同意提示。 此设置是具有以下名称的复选框:
- 自动兑换租户 <租户> 邀请
比较不同方案的设置
在以下情况下,自动兑换设置适用于跨租户同步、B2B 协作和 B2B 直连:
- 使用跨租户同步在目标租户中创建用户时。
- 使用 B2B 协作将用户添加到资源租户时。
- 用户使用 B2B 直连访问资源租户中的资源时。
下表显示了在这些情况下启用此设置时的比较情况:
项 | 跨租户同步 | B2B 协作 | B2B 直连 |
---|---|---|---|
自动兑换设置 | 必需 | 可选 | 可选 |
用户收到 B2B 协作邀请电子邮件 | 否 | 否 | 空值 |
用户必须接受同意提示 | 否 | No | 否 |
用户收到 B2B 协作通知电子邮件 | 否 | 是 | 空值 |
此设置不会影响应用程序同意体验。 有关详细信息,请参阅 Microsoft Entra ID 中应用程序的同意体验。 跨不同 Microsoft 云环境(例如 Azure 商业和 Azure 政府)的组织不支持此设置。
何时会抑制同意提示?
仅当主/源租户(出站)和资源/目标租户(入站)检查自动兑换设置时,自动兑换设置才会抑制同意提示和邀请电子邮件。
下表显示了检查不同跨租户访问设置组合的自动兑换设置时,源租户用户的同意提示行为。
主/源租户 | 资源/目标租户 | 同意提示行为 对于源租户用户 |
---|---|---|
Outbound | 入站 | |
已抑制 | ||
未抑制 | ||
未抑制 | ||
未抑制 | ||
入站 | Outbound | |
未抑制 | ||
未抑制 | ||
未抑制 | ||
未抑制 |
若要使用 Microsoft Graph 配置此设置,请参阅更新 crossTenantAccessPolicyConfigurationPartner API。 有关详细信息,请参阅配置跨租户同步。
用户如何知道他们属于哪些租户?
对于跨租户同步,用户不会收到电子邮件,也不一定非要接受同意提示。 如果用户想要知道他们属于哪些租户,可以打开“我的帐户”页并选择“组织”。 在 Microsoft Entra 管理中心,用户可以打开其 门户设置,查看“目录 + 订阅”,然后切换目录。
有关详细信息(包括隐私信息),请参阅以外部用户的身份离开组织。
入门
下面是开始使用跨租户同步的基本步骤。
步骤 1:定义如何在组织中构建租户
跨租户同步提供了灵活的解决方案来实现协作,但每个组织是不同的。 例如,你可能有中心租户、附属租户或某种类型的租户网格。 跨租户同步支持这些拓扑中的任何一种。 有关详细信息,请参阅跨租户同步的拓扑。
步骤 2:在目标租户中启用跨租户同步
在创建用户的目标租户中,导航到“跨租户访问设置”页。 在此处,可以通过选中相应的复选框来启用跨租户同步和 B2B 自动兑换设置。 有关详细信息,请参阅配置跨租户同步。
步骤 3:在源租户中启用跨租户同步
在任一源租户中,导航到“跨租户访问设置”页并启用 B2B 自动兑换功能。 接下来,使用“跨租户同步”页设置跨租户同步作业并指定:
- 要同步哪些用户
- 要包含哪些属性
- 任何转换
已使用 Microsoft Entra ID 将标识预配到 SaaS 应用程序中的任何人都很熟悉此体验。 配置同步后,可以开始对少量用户进行测试,并确保为他们创建所需的所有属性。 测试完成后,可以快速添加更多用户,以在整个组织中同步和推广。 有关详细信息,请参阅配置跨租户同步。
许可要求
在源租户中:使用此功能需要 Microsoft Entra ID Premium P1 许可证。 使用跨租户同步功能同步的每个用户必须在其主/源租户中拥有 P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能。
在目标租户中:跨租户同步依赖于 Microsoft Entra 外部 ID 计费模型。 要了解外部标识许可模型,请参阅Microsoft Entra 外部 ID 的 MAU 计费模型。 还需要目标租户中至少一个 Microsoft Entra ID Premium P1 许可证才能启用自动兑换。
常见问题
云
可以在哪些云中使用跨租户同步?
- 商业云和Azure 政府支持跨租户同步。
- 由世纪互联运营的 Microsoft Azure 云不支持跨租户同步。
- 仅支持在同一云中的两个租户之间同步。
- 目前不支持跨云同步(例如从公有云同步到 Azure 政府云)。
现有 B2B 用户
跨租户同步是否会管理现有 B2B 用户?
- 是的。 跨租户同步使用名为 alternativeSecurityIdentifier 的内部属性将源租户中的内部用户与目标租户中的外部 /B2B 用户唯一匹配。 跨租户同步可以更新现有 B2B 用户,确保每个用户只有一个帐户。
- 跨租户同步无法将源租户中的内部用户与目标租户中的内部用户匹配(类型成员和类型来宾)。
同步频率
跨租户同步多久运行一次?
- 目前固定为以 40 分钟为间隔开始同步。 同步持续时间因范围内的用户数量而异。 初始同步周期所需的时间可能比后续的增量同步周期更长。
范围
如何控制同步到目标租户的内容?
- 在源租户中,可以使用配置或基于属性的筛选器来控制要预配哪些用户。 还可以控制要同步用户对象上的哪些属性。 有关详细信息,请参阅使用范围筛选器确定要预配的用户或组的范围。
如果在源租户中从同步范围内删除某个用户,跨租户同步是否会在目标中将其软删除?
- 是的。 如果在源租户中从同步范围内删除某个用户,跨租户同步会在目标租户中将其软删除。
对象类型
可以同步哪些对象类型?
- 可以在租户之间同步 Microsoft Entra 用户。 (目前不支持组、设备和联系人。)
可以同步哪些用户类型?
- 可以从源租户同步内部成员。 无法从源租户同步内部来宾。
- 可将用户作为外部成员(默认)或外部来宾同步到目标租户。
- 有关 UserType 定义的详细信息,请参阅Microsoft Entra B2B 协作用户的属性。
我有现有的 B2B 协作用户。 他们会受到怎样的影响?
- 跨租户同步将匹配用户并对用户进行任何所需的更新,例如更新显示名称。 默认情况下,UserType 不会从来宾更新为成员,但你可以在属性映射中配置这种更新。
属性
可以同步哪些用户属性?
- 跨租户同步将同步 Microsoft Entra ID 中用户对象上的常用属性,包括(但不限于)displayName、userPrincipalName 和目录扩展属性。
- 跨租户同步支持预配商业云中的管理员属性。 美国政府云尚不支持管理员同步。 用户及其管理员都必须在跨租户同步的范围内,才能预配管理员属性。
- 对于使用默认的架构/属性映射在 2024 年 1 月之后创建的跨租户同步配置:
- 管理员属性将自动添加到属性映射中。
- 管理员更新将应用于正在进行更改的用户的增量周期(例如:管理员更改)。 同步引擎不会自动更新以前预配的所有现有用户。
- 若要为预配范围中的现有用户更新管理员,可以针对特定用户使用按需预配,或者重启来预配所有用户的管理员。
- 对于使用自定义架构/属性映射在 2024 年 1 月之前创建的跨租户同步配置(例如,已将属性添加到映射或更改了默认映射):
- 需要将管理员属性添加到属性映射。 这将触发重启并更新在预配范围内的所有用户。 这应该是源租户中的管理员属性与目标租户中的管理员的直接映射。
- 如果在源租户中删除了用户的管理员,而且在源租户中未分配任何新管理员,则不会在目标租户中更新管理员属性。
- 对于使用默认的架构/属性映射在 2024 年 1 月之后创建的跨租户同步配置:
无法同步哪些属性?
- 跨租户同步无法同步的属性包括(但不限于)照片、自定义安全属性和目录外部的用户属性。
是否可以控制用户属性的来源/管理位置?
- 跨租户同步不提供对授权来源的直接控制。 用户及其属性在源租户中被视为有权威性。 存在并行的授权来源工作流程,它们会将用户的授权来源控制权向下演进到属性级别,源中的用户对象最终可以反映多个基础源。 对于租户到租户的过程,这仍被视为源租户的值对同步到目标租户的过程具有权威性(即使片段实际上源自于其他位置)。 目前不支持反转同步过程的授权来源。
- 跨租户同步仅支持对象级别的授权来源。 这意味着用户的所有属性(包括凭据)必须来自同一个源。 无法反转已同步对象的授权来源或联合方向。
如果在目标租户中更改已同步用户的属性,会发生什么情况?
- 跨租户同步不会查询目标中的更改。 如果未对源租户中的已同步用户进行任何更改,则在目标租户中所做的用户属性更改将会保留。 但是,如果对源租户中的用户进行了更改,则在下一个同步周期,目标租户中的用户将会更新以匹配源租户中的用户。
目标租户是否可以手动阻止已同步的特定主/源租户用户的登录?
- 如果未对源租户中的已同步用户进行任何更改,则目标租户中的阻止登录设置将会保留。 如果检测到源租户中的用户发生更改,跨租户同步将在目标租户中重新允许被阻止的用户登录。
结构
是否可以在多个租户之间同步网格?
- 跨租户同步配置为单向点对等同步,即,同步是在一个源租户和一个目标租户之间配置的。 可将跨租户同步的多个实例配置为从单个源同步到多个目标,以及从多个源同步到单个目标。 但是,源与目标之间只能存在一个同步实例。
- 跨租户同步仅同步主/源租户内部的用户,确保不会陷入一种将用户写回同一租户的循环。
- 支持多个拓扑。 有关详细信息,请参阅跨租户同步的拓扑。
是否可以跨组织(在多租户组织外部)使用跨租户同步?
- 出于隐私原因,跨租户同步仅限在组织内部使用。 我们建议使用权利管理跨组织邀请 B2B 协作用户。
是否可以使用跨租户同步将用户从一个租户迁移到另一个租户?
- 否。 跨租户同步并非迁移工具,因为已同步的用户需要通过源租户进行身份验证。 此外,租户迁移需要迁移用户数据,例如 SharePoint 和 OneDrive。
B2B 协作
跨租户同步是否解决了任何当前 B2B 协作限制?
由于跨租户同步建立在现有的 B2B 协作技术之上,因此存在一些限制。 示例包括(但不限于):
应用或服务 限制 Power BI - Power BI 中对 UserType 成员的支持目前为预览版。 有关详细信息,请参阅使用 Microsoft Entra B2B 将 Power BI 内容分发给外部来宾用户。 Azure 虚拟桌面 - Azure 虚拟桌面不支持外部成员和外部来宾。
B2B 直连
跨租户同步与 B2B 直连有何关系?
- B2B 直连是 Teams Connect 共享通道所需的基础标识技术。
- 建议对所有其他跨租户应用程序访问方案(包括 Microsoft 和非 Microsoft 应用程序)使用 B2B 协作。
- B2B 直连和跨租户同步可以共存,你可以同时启用两者以涵盖广泛的跨租户方案。
我们正在尝试确定需要在多租户组织中利用跨租户同步的程度。 你们是否计划将 B2B 直连支持扩展到 Teams Connect 之外?
- 我们并未计划将 B2B 直连支持扩展到 Teams Connect 共享通道之外。
Microsoft 365
跨租户同步是否增强了任何跨租户 Microsoft 365 应用访问用户体验?
- 跨租户同步利用一项功能,通过抑制每个租户中的首次 B2B 同意提示和兑换过程来改善用户体验。
- 已同步用户所获得的跨租户 Microsoft 365 体验与任何其他 B2B 协作用户可用的体验相同。
跨租户同步能否在 Microsoft 365 中启用人员搜索方案?
- 是的,您可在 Microsoft 365 中启用人员搜索方案。 确保目标租户中的用户将 showInAddressList 属性设置为 True 。 在跨租户同步属性映射中,showInAddressList 属性默认设置为 true。
- 跨租户同步会创建 B2B 协作用户,但不创建联系人。
团队
跨租户同步是否增强了任何当前的 Teams 体验?
- 已同步用户所获得的跨租户 Microsoft 365 体验与任何其他 B2B 协作用户可用的体验相同。
集成
支持目标租户中的用户使用哪些联合选项同步回到源租户?
- 对于源租户中的每个内部用户,跨租户同步会在目标中创建一个联合外部用户(通常在 B2B 中使用)。 它支持同步内部用户。 这包括使用域联合身份验证(例如 Active Directory 联合身份验证服务)联合到其他标识系统的内部用户。 它不支持同步外部用户。
跨租户同步是否使用跨域标识管理系统 (SCIM)?
- 不是。 目前,Microsoft Entra ID 支持 SCIM 客户端,但不支持 SCIM 服务器。 有关详细信息,请参阅在 Microsoft Entra ID 中进行 SCIM 同步。
取消设置
跨租户同步是否支持取消预配用户?
是的,当源租户中发生以下操作时,将在目标租户中软删除用户。
- 删除源租户中的用户
- 从跨租户同步配置中取消分配用户
- 从分配给跨租户同步配置的组中删除用户
- 用户的属性会更改,使其不再满足跨租户同步配置上定义的范围筛选器条件
如果用户在源租户中登录时遭到阻止 (accountEnabled = false),他们在目标中登录时也会遭到阻止。 这不是删除,而是更新到 accountEnabled 属性。
在此应用场景中,不会将用户从目标租户软删除:
- 将用户添加到组,然后将其分配给源租户中的跨租户同步配置。
- 按需预配用户或通过增量周期来预配用户。
- 对于源租户中的用户,将“已启用帐户”状态更新为 false。
- 按需预配用户或通过增量周期来预配用户。 在目标租户中,将“已启用帐户”状态更改为 false。
- 从源租户中的组中移除用户。
跨租户同步是否支持还原用户?
- 如果源租户中的用户已还原,重新分配到应用,并且在软删除后的 30 天内再次满足范围条件,则该用户会在目标租户中还原。
- IT 管理员还可以直接在目标租户中手动还原用户。
如何取消预配当前处于跨租户同步范围内的所有用户?
- 从跨租户同步配置中取消分配所有用户或组。 这将触发在后续同步周期中 (直接或通过组成员身份) 取消预配所有未分配的用户。 请注意,目标租户需要保持启用同步的入站策略,直到完成取消预配。 如果范围设置为“同步所有用户和组”,则还需要将其更改为“仅同步已分配的用户和组”。 跨租户同步会自动软删除用户。 用户将在 30 天后自动硬删除,你也可以选择直接从目标租户中硬删除该用户。 你可以选择直接在目标租户中硬删除用户,或等待 30 天,让用户自动硬删除用户。
如果断开同步关系,是否会在目标租户中删除先前由跨租户同步管理的外部用户?
- 否。 如果断开关系(例如,如果删除跨租户同步策略),将不会对先前由跨租户同步管理的外部用户进行任何更改。