多租户用户管理场景
本文是一部教程系列中的第二篇文章,该教程提供有关在 Microsoft Entra 多租户环境中配置和提供用户生命周期管理的指导。 本系列中的以下文章提供了所述的详细信息。
- 多租户用户管理简介是一系列文章中的第一篇文章,这些文章提供在 Microsoft Entra 多租户环境中配置和提供用户生命周期管理的指导。
- 多租户用户管理的常见注意事项为以下注意事项提供了指导:跨租户同步、目录对象、Microsoft Entra 条件访问、其他访问控制和 Office 365。
- 当单租户不适合你的场景时多租户用户管理的常见解决方案,这篇文章介绍应对以下挑战的指导:跨租户的自动化用户生命周期管理和资源分配、跨租户共享本地应用。
本指导可帮助你实现一致的用户生命周期管理状态。 生命周期管理包括使用可用的 Azure 工具跨租户预配、管理和取消预配用户,这些工具包括 Microsoft Entra B2B 协作 (B2B) 和跨租户同步。
本文介绍可以使用多租户用户管理功能的三种场景。
- 最终用户发起
- 已编写脚本
- 自动
最终用户发起的方案
在最终用户发起的方案中,资源租户管理员向租户中的用户委派某些能力。 管理员允许最终用户邀请外部用户加入租户、应用或资源。 可以从主租户邀请用户,也可以让用户各自注册。
例如,一家全球专业服务公司与分包商合作项目。 分包商(外部用户)需要访问公司的应用程序和文档。 公司的管理员可以向公司最终用户委派邀请分包商或配置分包商资源访问自助服务的能力。
预配帐户
以下是邀请最终用户访问租户资源的最常用方式。
- 基于应用程序的邀请。Microsoft 应用程序(如 Teams 和 SharePoint)可以启用外部用户邀请。 在 Microsoft Entra B2B 和相关应用程序中配置 B2B 邀请设置。
- MyApps。用户可以使用 MyApps 邀请外部用户并将其分配到应用程序。 用户帐户必须具有应用程序自助注册审批者权限。 组所有者可以邀请外部用户加入组。
- 权利管理:使管理员或资源所有者能够创建包含资源、允许的外部组织、外部用户有效期限和访问策略的访问包。 可以发布访问包,为资源访问启用外部用户自助注册。
- Azure 门户。具有“来宾邀请者”角色的最终用户可以登录到 Azure 门户并在 Microsoft Entra ID 中邀请“用户”菜单中的外部用户。
- 以编程方式(PowerShell、Graph API)。具有“来宾邀请者”角色的最终用户可以使用 PowerShell 或 Graph API 邀请外部用户。
兑换邀请
预配帐户以访问资源时,电子邮件邀请将转到受邀用户的电子邮件地址。
受邀用户收到邀请后,可以通过电子邮件中的链接访问兑换 URL。 通过执行此操作,受邀用户可以批准或拒绝邀请,并在必要时创建外部用户帐户。
如果发生以下任一情况,受邀用户还可以尝试直接访问资源(称为实时 (JIT) 兑换)。
- 受邀用户已有 Microsoft Entra ID 或 Microsoft 帐户,或者
- 管理员已启用电子邮件一次性密码。
在 JIT 兑换期间,可能需要考虑以下事项。
有关详细信息,请参阅 Microsoft Entra B2B 协作邀请兑换。
启用一次性密码身份验证
在允许临时 B2B 的情况下,启用电子邮件一次性密码身份验证。 当无法通过以下方式对外部用户进行身份验证时,可以使用此功能对外部用户进行身份验证:
- Microsoft Entra ID。
- Microsoft 帐户。
- 通过 Google 联合身份验证的 Gmail 帐户。
- 通过直接联合身份验证来自安全断言标记语言 (SAML)/WS-Fed IDP 的帐户。
使用一次性密码身份验证时,无需创建 Microsoft 帐户。 当外部用户兑换邀请或访问共享资源时,他们的电子邮件地址会收到临时代码。 他们输入此代码后,可以继续登录。
管理帐户
在最终用户发起的方案中,资源租户管理员管理资源租户中的外部用户帐户(不会根据主租户中的更新值进行更新)。 收到的唯一可见属性包括电子邮件地址和显示名称。
可以在外部用户对象上配置更多属性,以简化不同方案(如权利方案)。 可以使用联系人详细信息填充通讯簿。 例如,考虑以下属性。
- HiddenFromAddressListsEnabled [ShowInAddressList]
- FirstName [GivenName]
- LastName [SurName]
- 标题
- 部门
- TelephoneNumber
可以设置上述属性,将外部用户添加到全局地址列表 (GAL) 和用户搜索(例如 SharePoint 人员选取器)。 其他场景可能需要不同的属性(例如,用于设置访问包、动态组成员资格和 SAML 声明等的权利和权限的属性)。
默认情况下,GAL 会隐藏受邀的外部用户。 将外部用户属性设置为取消隐藏,可将其包含在统一 GAL 中。 多租户用户管理的常见注意事项的 Microsoft Exchange Online 部分介绍了如何通过创建外部成员用户代替外部来宾用户来减少限制。
取消预配帐户
最终用户发起的方案分散访问决策,这可能会产生决定何时删除外部用户及其关联访问权限的挑战。 通过权利管理和访问评审,可以查看和删除现有外部用户及其资源访问权限。
如果用户是在权利管理之外被邀请的,则必须创建单独的过程来查看和管理他们的访问权限。 例如,如果外部用户是直接通过 Microsoft 365 中的 SharePoint 被邀请的,则该用户不在权利管理过程中。
脚本方案
在脚本方案中,资源租户管理员部署脚本拉取过程来自动发现和预配外部用户。
例如,某公司收购竞争对手公司。 每家公司都有一个 Microsoft Entra 租户。 他们希望实施以下“一日”方案,用户无需执行任何邀请或兑换步骤。 所有用户必须能够:
- 对所有已预配的资源使用单一登录。
- 在统一 GAL 中查找彼此并查找资源。
- 确定彼此的状态并发起聊天。
- 基于动态成员资格组访问应用程序。
在这种方案中,每个组织的租户是其现有员工的主租户,以及另一个组织的员工的资源租户。
预配帐户
借助增量查询,租户管理员可以部署脚本拉取过程来自动发现和预配标识以支持资源访问。 此过程检查主租户中是否有新用户。 它使用 B2B Graph API 将新用户预配为资源租户中的外部用户,如以下多租户拓扑图所示。
- 租户管理员预先安排凭据和同意,以允许每个租户读取。
- 租户管理员自动枚举并将范围内用户拉取到资源租户。
- 使用具有许可的权限的 Microsoft Graph API 通过邀请 API 读取和预配用户。
- 初始预配可以读取源属性,并将其应用于目标用户对象。
管理帐户
资源组织可以增加配置文件数据以支持共享方案,方法是在资源租户中更新用户的元数据属性。 但是,如果需要进行持续同步,则同步解决方案可能是更好的选择。
取消预配帐户
当需要取消预配外部用户时,增量查询可以发出信号。 权利管理和访问评审可以提供一种查看和删除现有外部用户及其对资源的访问权限的方法。
如果用户是在权利管理之外被邀请的,则创建单独的过程来查看和管理外部用户的访问权限。 例如,如果外部用户是直接通过 Microsoft 365 中的 SharePoint 被邀请的,则它不包含在权利管理过程中。
自动方案
跨租户同步共享是本文中最复杂的模式。 此模式实现了比最终用户发起的方案或脚本方案更佳的自动管理和取消预配方案。
在自动方案中,资源租户管理员使用标识预配系统自动执行预配和取消预配过程。 在 Microsoft 商业云实例的方案中,具有跨租户同步。 在跨 Microsoft 主权云实例的方案中,需要其他方法,因为跨租户同步尚不支持跨云。
例如,在 Microsoft 商业云实例中,跨国/地区集团拥有多个子公司,它们符合以下要求。
- 每个都有其自己的 Microsoft Entra 租户,并需要一起工作。
- 除了在租户之间同步新用户外,还自动同步属性更新并自动取消预配。
- 如果某位员工不再在子公司工作,则在下次同步期间将其帐户从所有其他租户中删除。
在扩展的跨云方案中,美国国防工业基地 (DIB) 承包商拥有基于国防和商业的子公司。 它们具有竞争的法规要求:
- 美国国防业务驻留在美国主权云租户中,例如 Microsoft 365 美国政府 GCC High 和 Azure 政府。
- 商业业务驻留在商业中的单独 Microsoft Entra 租户中,例如在全球 Azure 云上运行的 Microsoft Entra 环境。
若要充当部署到跨云体系结构的单个公司,所有用户都将同步到两个租户中。 此方法可跨两个租户实现统一 GAL 可用性,并确保自动同步到两个租户的用户可以将权利和限制包括到应用程序和内容中。 示例要求包括:
- 美国员工可能可随意访问两个租户。
- 非美国员工在两个租户的统一 GAL 中显示,但无权访问 GCC High 租户中的受保护内容。
此方案要求执行自动同步和标识管理来配置两个租户中的用户,同时将其与适当的权利和数据保护策略关联。
跨云 B2B 要求为要在远程云实例中合作的每个组织配置跨租户访问设置。
预配帐户
本部分介绍在自动方案中自动预配帐户的三种方法。
方法 1:使用 Microsoft Entra ID 中内置的跨租户同步功能
仅当需要同步的所有租户位于同一云实例(例如商业到商业)时,此方法才适用。
方法 2:使用 Microsoft Identity Manager 预配帐户
使用外部标识和访问管理 (IAM) 解决方案(例如 Microsoft Identity Manager (MIM))作为同步引擎。
此高级部署使用 MIM 作为同步引擎。 MIM 调用 Microsoft Graph API 和 Exchange Online PowerShell。 替代实现可以包括托管 Microsoft 行业解决方案中的 Active Directory 同步服务 (ADSS) 托管服务产品的云。 可以使用其他 IAM 产品/服务(例如 SailPoint、Omada 和 OKTA)从头开始创建非 Microsoft 产品/服务。
从一个租户到另一个租户执行云到云标识同步(用户、联系人和组),如下图所示。
本文讨论范围之外的注意事项包括本地应用程序的集成。
方法 3:使用 Microsoft Entra Connect 预配帐户
此方法仅适用于在传统的基于 Windows Server 的 Active Directory 域服务 (AD DS) 中管理所有标识的复杂组织。 此方法使用 Microsoft Entra Connect 作为同步引擎,如下图所示。
与 MIM 方法不同,所有标识源(用户、联系人和组)均来自传统的基于 Windows Server 的 Active Directory 域服务 (AD DS)。 AD DS 目录通常是管理多个租户标识的复杂组织的本地部署。 仅限云的标识不在此方法的范围内。 所有标识都必须位于 AD DS 中,才能将其包含在同步范围内。
从概念上讲,此方法将用户以内部成员用户的身份同步到主租户(默认行为)。 或者,它可能将用户以外部用户的身份同步到资源租户中(自定义行为)。
Microsoft 支持这种双同步用户方法,并仔细考虑 Microsoft Entra Connect 配置中发生的修改。 例如,对向导驱动的安装配置进行修改时,如果必须在支持事件期间重新生成配置,则需要记录更改。
Microsoft Entra Connect 本身无法同步外部用户。 必须使用外部进程(例如 PowerShell 脚本)来增强 Azure AD Connect,以便将用户从内部帐户转换为外部帐户。
此方法的优点包括 Microsoft Entra Connect 将标识与 AD DS 中存储的属性同步。 同步可能包括通讯簿属性、管理员属性、组成员资格和范围内的所有租户的其他混合标识属性。 它根据 AD DS 取消预配标识。 它不需要更复杂的 IAM 解决方案来管理此特定任务的云标识。
每个租户都有一对一的 Microsoft Entra Connect 关系。 每个租户都有自己的 Microsoft Entra Connect 配置,你可以单独更改这些配置以支持成员或外部用户帐户同步。
选择正确的拓扑
大多数客户在自动方案中使用以下拓扑。
- 网格拓扑允许共享所有租户中的所有资源。 从每个资源租户中的其他租户创建用户作为外部用户。
- 单个资源租户拓扑使用单个租户(资源租户),其中其他租户的用户是外部用户。
设计解决方案时,请引用下表作为决策树。 下表中两种拓扑的图示可帮助你确定哪种拓扑更适合你的组织。
网格拓扑与单个资源租户拓扑的比较
| 注意事项 | 网格拓扑 | 单个资源租户 |
|---|---|---|
| 每家公司都有包含用户和资源的单独的 Microsoft Entra 租户 | 是 | 是 |
| 资源位置和协作 | ||
| 共享应用和其他资源保留在其当前的主租户中 | 是 | 否。 应用和其他资源只能在资源租户中共享。 不能共享其他租户中剩余的应用和其他资源。 |
| 全部可在单个公司的 GAL(统一 GAL)中查看 | 是 | 否 |
| 资源访问和管理 | ||
| 所有连接到 Microsoft Entra ID 的应用程序都可以在所有公司间共享。 | 是 | 否。 只能共享资源租户中的应用程序。 不能共享其他租户中剩余的应用程序。 |
| 全局资源管理 | 在租户级别继续。 | 在资源租户中合并。 |
| 许可:Microsoft 365 中的 Office 365 SharePoint、统一 GAL、Teams 访问所有支持来宾;但是,其他 Exchange Online 场景不这样。 | 在租户级别继续。 | 在租户级别继续。 |
| 许可:Microsoft Entra ID(高级) | 前 50000 个月度活跃用户免费(每个租户)。 | 前 50000 个月度活跃用户免费。 |
| 许可:服务型软件 (SaaS) 应用 | 保留在单独的租户中,每个租户中的每个用户都可能需要许可证。 | 所有共享资源都位于单个资源租户中。 如果需要,可以调查是否将许可证合并到单个租户。 |
网格拓扑
下图演示了网格拓扑。
在网格拓扑中,每个主租户中的每个用户都同步到每个其他租户,这些租户将成为资源租户。
- 可以与外部用户共享租户中的任何资源。
- 每个组织都可以查看集团中的所有用户。 在上图中,有四个统一 GAL,其中每个都包含来自其他三个租户的主用户和外部用户。
多租户用户管理的常见注意事项提供了有关在此场景中预配、管理和取消预配用户的信息。
跨云的网格拓扑
网格拓扑可以用于这两个租户,例如在 DIB 国防承包商执行主权云解决方案的方案中。 与网格拓扑一样,每个主租户中的每个用户都将同步到另一个租户,该租户成为资源租户。 在“方法 3”部分的图示中,公共商业租户内部用户以外部用户帐户的身份同步到美国主权 GCC High 租户。 同时,GCC High 内部用户以外部用户帐户的身份同步到商业。
此图还演示了数据存储位置。 数据分类和合规性不属于本文的介绍范围,但你可以将权利和限制包括到应用程序和内容中。 内容可能包括内部用户的用户自有数据所在的位置(例如 Exchange Online 邮箱或 OneDrive 中存储的数据)。 内容可能位于其主租户中,而不是资源租户中。 共享数据可能位于任一租户中。 可以通过访问控制和条件访问策略限制对内容的访问。
单个资源租户拓扑
下图演示了单资源租户拓扑。
在单个资源租户拓扑中,用户及其属性将同步到资源租户(上图中的公司 A)中。
- 在成员组织之间共享的所有资源都必须位于单个资源租户中。 如果多个子公司具有相同的 SaaS 应用订阅,则这可能是合并这些订阅的机会。
- 只有资源租户中的 GAL 显示所有公司的用户。
管理帐户
此解决方案检测并同步从源租户用户到资源租户外部用户的属性更改。 可以使用这些属性做出授权决策(例如使用动态成员资格组时)。
取消预配帐户
自动化在源环境中检测对象的删除,并在目标环境中删除关联的外部用户对象。
多租户用户管理的常见注意事项提供了有关在此场景中预配、管理和取消预配用户的其他信息。
后续步骤
- 多租户用户管理简介是一系列文章中的第一篇文章,这些文章提供在 Microsoft Entra 多租户环境中配置和提供用户生命周期管理的指导。
- 多租户用户管理的常见注意事项为以下注意事项提供了指导:跨租户同步、目录对象、Microsoft Entra 条件访问、其他访问控制和 Office 365。
- 当单租户不适合你的场景时多租户用户管理的常见解决方案,这篇文章介绍应对以下挑战的指导:跨租户的自动化用户生命周期管理和资源分配、跨租户共享本地应用。