使用 PowerShell 或 Microsoft Graph API 配置多租户组织
本文介绍使用 Microsoft Graph PowerShell 或 Microsoft Graph API 配置多租户组织的关键步骤。 本文使用名为“开罗”的示例所有者租户和名为“柏林”和“雅典”的两个成员租户。
如果希望使用 Microsoft 365 管理中心来配置多租户组织,请参阅在 Microsoft 365 中设置多租户组织和在 Microsoft 365 中加入或离开多租户组织。 要了解如何为多租户组织配置 Microsoft Teams,请参阅 Microsoft Teams 桌面客户端。
先决条件
所有者租户
成员租户
步骤 1:登录到所有者租户
所有者租户
启动 PowerShell。
如有必要,请安装 Microsoft Graph PowerShell SDK。
获取所有者和成员租户的租户 ID 并初始化变量。
$OwnerTenantId = "<OwnerTenantId>" $MemberTenantIdB = "<MemberTenantIdB>" $MemberTenantIdA = "<MemberTenantIdA>"使用 Connect-MgGraph 命令登录到所有者租户并同意以下所需权限。
MultiTenantOrganization.ReadWrite.AllPolicy.Read.AllPolicy.ReadWrite.CrossTenantAccessApplication.ReadWrite.AllDirectory.ReadWrite.All
Connect-MgGraph -TenantId $OwnerTenantId -Scopes "MultiTenantOrganization.ReadWrite.All","Policy.Read.All","Policy.ReadWrite.CrossTenantAccess","Application.ReadWrite.All","Directory.ReadWrite.All"
步骤 2:创建多租户组织
所有者租户
在所有者租户中,使用 Update-MgBetaTenantRelationshipMultiTenantOrganization 命令创建多租户组织。 此操作可能需要几分钟时间。
Update-MgBetaTenantRelationshipMultiTenantOrganization -DisplayName "Cairo"使用 Get-MgBetaTenantRelationshipMultiTenantOrganization 命令检查操作是否已完成,然后再继续。
Get-MgBetaTenantRelationshipMultiTenantOrganization | Format-ListCreatedDateTime : 1/8/2024 7:47:45 PM Description : DisplayName : Cairo Id : <MtoIdC> JoinRequest : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationJoinRequestRecord State : active Tenants : AdditionalProperties : {[@odata.context, https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/$entity]}
步骤 3:添加租户
所有者租户
在所有者租户中,使用 New-MgBetaTenantRelationshipMultiTenantOrganizationTenant 命令将租户添加到多租户组织。
New-MgBetaTenantRelationshipMultiTenantOrganizationTenant -TenantID $MemberTenantIdB -DisplayName "Berlin" | Format-ListNew-MgBetaTenantRelationshipMultiTenantOrganizationTenant -TenantID $MemberTenantIdA -DisplayName "Athens" | Format-List使用 Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant 命令验证操作是否已完成,然后再继续。
Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant | Format-ListAddedByTenantId : <OwnerTenantId> AddedDateTime : 1/8/2024 7:47:45 PM DeletedDateTime : DisplayName : Cairo Id : <MtoIdC> JoinedDateTime : Role : owner State : active TenantId : <OwnerTenantId> TransitionDetails : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails AdditionalProperties : {[multiTenantOrgLabelType, none]} AddedByTenantId : <OwnerTenantId> AddedDateTime : 1/8/2024 8:05:25 PM DeletedDateTime : DisplayName : Berlin Id : <MtoIdB> JoinedDateTime : Role : member State : pending TenantId : <MemberTenantIdB> TransitionDetails : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails AdditionalProperties : {[multiTenantOrgLabelType, none]} AddedByTenantId : <OwnerTenantId> AddedDateTime : 1/8/2024 8:08:47 PM DeletedDateTime : DisplayName : Athens Id : <MtoIdA> JoinedDateTime : Role : member State : pending TenantId : <MemberTenantIdA> TransitionDetails : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails AdditionalProperties : {[multiTenantOrgLabelType, none]}
步骤 4:(可选)更改租户的角色
所有者租户
默认情况下,添加到多租户组织的租户是成员租户。 (可选)你可以将这些租户更改为所有者租户,从而允许他们向多租户组织添加其他租户。 你还可以将所有者租户更改为成员租户。
在所有者租户中,使用 Update-MgBetaTenantRelationshipMultiTenantOrganizationTenant 命令将成员租户更改为所有者租户。
Update-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId $MemberTenantIdB -Role "Owner" | Format-List使用 Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant 命令验证更改。
Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId $MemberTenantIdB | Format-ListAddedByTenantId : <OwnerTenantId> AddedDateTime : 1/8/2024 8:05:25 PM DeletedDateTime : DisplayName : Berlin Id : <MtoIdB> JoinedDateTime : Role : owner State : pending TenantId : <MemberTenantIdB> TransitionDetails : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails AdditionalProperties : {[@odata.context, https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/tenants/$entity], [multiTenantOrgLabelType, none]}
步骤 5:(可选)删除成员租户
所有者租户
可以删除任何成员租户,包括你自己的成员租户。 无法删除所有者租户。 此外,即使原始创建者租户已从所有者租户更改为成员租户,也无法删除该租户。
在所有者租户中,使用 Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant 命令删除任何成员租户。 此操作需要几分钟才能完成。
Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId <MemberTenantIdD>使用 Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant 命令验证更改。
Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId <MemberTenantIdD>完成移除命令后,输出应与以下内容类似。 这是预期的错误消息。 它表示租户已从多租户组织中删除。
Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant_Get: Unable to read the company information from the directory. Status: 404 (NotFound) ErrorCode: Directory_ObjectNotFound Date: 2024-01-08T20:35:11 ...
步骤 6:登录到成员租户
成员租户
开罗租户创建了一个多租户组织,并添加了柏林和雅典租户。 在这些步骤中,你将登录到柏林租户并加入开罗创建的多租户组织。
启动 PowerShell。
使用 Connect-MgGraph 命令登录到成员租户并同意以下所需权限。
MultiTenantOrganization.ReadWrite.AllPolicy.Read.AllPolicy.ReadWrite.CrossTenantAccessApplication.ReadWrite.AllDirectory.ReadWrite.All
Connect-MgGraph -TenantId $MemberTenantIdB -Scopes "MultiTenantOrganization.ReadWrite.All","Policy.Read.All","Policy.ReadWrite.CrossTenantAccess","Application.ReadWrite.All","Directory.ReadWrite.All"
步骤 7:加入多租户组织
成员租户
在成员租户中,使用 Update-MgBetaTenantRelationshipMultiTenantOrganizationJoinRequest 命令加入多租户组织。
Update-MgBetaTenantRelationshipMultiTenantOrganizationJoinRequest -AddedByTenantId $OwnerTenantId | Format-List使用 Get-MgBetaTenantRelationshipMultiTenantOrganizationJoinRequest 命令验证联接。
Get-MgBetaTenantRelationshipMultiTenantOrganizationJoinRequest | Format-ListAddedByTenantId : <OwnerTenantId> Id : <MtoJoinRequestIdB> MemberState : active Role : member TransitionDetails : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationJoinRequestTransitionDetails AdditionalProperties : {[@odata.context, https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/joinRequest/$entity]}使用 Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant 命令检查多租户组织本身。 它应反映加入操作。
Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant | Format-ListAddedByTenantId : <OwnerTenantId> AddedDateTime : 1/8/2024 8:05:25 PM DeletedDateTime : DisplayName : Berlin Id : <MtoJoinRequestIdB> JoinedDateTime : 1/8/2024 9:53:55 PM Role : member State : active TenantId : <MemberTenantIdB> TransitionDetails : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails AdditionalProperties : {[multiTenantOrgLabelType, none]} AddedByTenantId : <OwnerTenantId> AddedDateTime : 1/8/2024 7:47:45 PM DeletedDateTime : DisplayName : Cairo Id : <Id> JoinedDateTime : Role : owner State : active TenantId : <OwnerTenantId> TransitionDetails : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails AdditionalProperties : {[multiTenantOrgLabelType, none]}若要允许异步处理,请等待最多 2 小时,然后才能完成加入多租户组织。
步骤 8:(可选)离开多租户组织
成员租户
你可以离开已加入的多租户组织。 从多租户组织中删除你自己的租户的过程与从多租户组织中删除另一个租户的过程相同。
如果租户是唯一的多租户组织所有者,则必须将新租户指定为多租户组织所有者。 有关步骤,请参阅步骤 4:(可选)更改租户的角色。
在租户中,使用 Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant 命令删除租户。 此操作需要几分钟才能完成。
Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId <MemberTenantId>
步骤 9:(可选)删除多租户组织
所有者租户
可通过删除所有租户来删除多租户组织。 删除最终所有者租户的过程与删除所有其他成员租户的过程相同。
在最终所有者租户中,使用 Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant 命令删除租户。 此操作需要几分钟才能完成。
Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId $OwnerTenantId