通过

治理和跨租户同步

  • 项目

跨租户同步是一种灵活且随时可用的解决方案,可用于预配帐户,并促进组织中租户之间的无缝协作。 跨租户同步可跨租户自动管理用户标识生命周期。 它能够在同步范围内从源租户预配、同步和取消预配用户。

本文介绍了 Microsoft Entra ID 治理客户如何使用跨租户同步来管理跨多租户组织的标识和访问生命周期。

部署示例

在此示例中,Contoso 是一家具有三个生产性 Microsoft Entra 租户的多租户组织。 Contoso 正在部署跨租户同步和 Microsoft Entra ID 治理功能,以解决以下方案:

  • 跨多个租户管理员工标识生命周期
  • 使用工作流自动执行源自其他租户的员工的生命周期流程
  • 自动为源自其他租户的员工分配资源访问权限
  • 允许员工请求访问多个租户中的资源
  • 审查已同步用户的访问权限

从跨租户同步的角度来看,Contoso 欧洲、中东和非洲 (Contoso EMEA) 以及 Contoso 美国 (Contoso US) 是源租户,Contoso 是目标租户。 下图演示了拓扑结构。

跨租户同步拓扑的关系图。

这一支持的跨租户同步拓扑是 Microsoft Entra ID 中许多拓扑之一。 租户可以是源租户、目标租户,也可以是两者。 在以下部分中,了解跨租户同步和 Microsoft Entra ID 治理功能如何解决多个方案。

跨租户管理员工生命周期

Microsoft Entra ID 中的跨租户同步可自动创建、更新和删除 B2B 协作用户。

当组织在租户中创建或预配 B2B 协作用户时,用户的访问权限部分取决于组织如何预配它们:来宾还是成员用户类型。 选择用户类型时,请考虑 Microsoft Entra B2B 协作用户的各种属性。 如果用户是大型多租户组织的一部分,并且需要组织租户中的资源的成员级访问权限,则成员用户类型是合适的。 Microsoft Teams 要求在多租户组织中具有“成员”用户类型。

默认情况下,跨租户同步包含 Microsoft Entra ID 中用户对象的常用特性。 下图演示了此方案。

与常用特性同步的关系图。

组织使用这些属性来帮助在源租户和目标租户中创建动态成员资格组和访问包。 某些 Microsoft Entra ID 功能具有要面向的用户特性,例如生命周期工作流用户范围限定。

若要移除或取消预配,租户中的 B2B 协作用户会自动停止对该租户中的资源的访问权限。 当员工离开组织时,这种配置就会发挥作用。

使用工作流自动执行生命周期流程

Microsoft Entra ID 生命周期工作流是用于管理 Microsoft Entra 用户的标识治理功能。 组织可以自动化入职、流动和离职流程。

通过跨租户同步,多租户组织可以将生命周期工作流配置为自动为它管理的 B2B 协作用户运行。 例如,配置由 createdDateTime 事件用户特性触发的用户入职工作流,为新的 B2B 协作用户请求访问包分配。 使用特性(例如 userTypeuserPrincipalName)为组织拥有的其他租户中的用户限定生命周期工作流的范围。

使用访问包治理同步的用户访问权限

多租户组织可以确保 B2B 协作用户有权访问目标租户中的共享资源。 用户可以根据需要请求访问权限。 在以下方案中,请了解标识治理功能权利管理访问包如何治理资源访问权限。

将目标租户中的访问权限自动分配给源租户中的员工

术语“出生权分配”是指根据一个或多个用户属性自动授予资源访问权限。 若要配置出生权分配,请在权利管理中创建访问包的自动分配策略,并配置资源角色以授予共享资源访问权限。

组织负责管理源租户中的跨租户同步配置。 因此,组织可以将同步的 B2B 协作用户的资源访问管理委托给其他源租户管理员:

  • 在源租户中,管理员为需要跨租户资源访问的用户配置跨租户同步特性映射
  • 在目标租户中,管理员使用自动分配策略中的特性来确定同步的 B2B 协作用户的访问包成员身份

若要在目标租户中驱动自动分配策略,请同步源租户中的默认特性映射,例如部门或映射目录扩展。

使源租户员工能够请求访问目标租户共享资源

借助标识治理访问包策略,多租户组织可以让跨租户同步创建的 B2B 协作用户请求访问目标租户中的共享资源。 如果员工需要对另一个租户拥有的资源进行实时 (JIT) 访问,此过程会很有用。

审查同步的用户的访问权限

Microsoft Entra ID 中的访问评审使组织能够管理组成员身份、对企业应用程序的访问权限,以及角色分配。 定期审查用户访问权限,以确保访问权限由适当的人员掌握。

如果资源访问配置不自动分配访问权限(例如使用动态成员资格组或访问包),请配置访问评审以在完成后将结果应用于资源。 以下部分介绍了多租户组织如何为源租户和目标租户中租户之间的用户配置访问评审。

审查源租户用户访问权限

多租户组织可以在访问评审中加入内部用户。 此操作可在同步用户的源租户中实现访问重新认证。 使用此方法定期审查分配给跨租户同步的安全组。 因此,对其他租户的持续 B2B 协作访问在用户主租户中获得了批准。

使用对源租户中用户的访问评审,以避免跨租户同步与在完成后会移除被拒绝的用户的访问评审之间可能存在的冲突。

审查目标租户用户访问权限

组织可以在访问评审中加入 B2B 协作用户,包括目标租户中由跨租户同步预配的用户。 此选项可对目标租户中的资源实现访问重新认证。 尽管组织可以在访问评审中面向所有用户,但如有必要,可以显式面向来宾用户。

对于同步 B2B 协作用户的组织,Microsoft 通常不建议通过访问评审自动移除被拒绝的来宾用户。 如果用户在同步范围内,则跨租户同步会重新预配他们。

后续步骤