Microsoft 365 的多租户组织标识预配
多租户组织功能是为拥有多个 Microsoft Entra 租户并希望在 Microsoft 365 中简化组织内跨租户协作的组织设计的。 它建立在跨多租户组织租户相互预配 B2B 成员用户的基础上。
Microsoft 365 人员搜索
排除了 Teams 外部访问和 Teams 共享频道,Microsoft 365 人员搜索的范围通常限定在本地租户边界内。 在对跨租户同事协作需求增加的多租户组织中,建议将用户从其主租户相互预配到协作同事的资源租户中。
新的 Microsoft Teams
新的 Microsoft Teams 体验改进了 Microsoft 365 人员搜索和 Teams 外部访问,实现了统一的无缝协作体验。 为使这种改进的体验更轻松,需要 Microsoft Entra ID 中的多租户组织表示,并且协作用户应预配为 B2B 成员。 有关详细信息,请参阅宣布在 Microsoft Teams 中为多租户组织提供更多无缝协作支持。
协作用户集
Microsoft 365 中的协作建立在跨多租户组织租户相互预配 B2B 标识的基础上。
例如,假设租户 A 中的 Annie、租户 B 中的 Bob 和 Barbara 以及租户 C 中的 Charlie 想要协作。 从概念上讲,这四个用户表示跨三个租户的四个内部标识的协作用户集。
若要使人员搜索成功,在范围为本地租户边界的情况下,整个协作用户集必须在每个多租户组织租户 A、B 和 C 的范围内以内部或 B2B 标识的形式表示。
根据组织的需求,协作用户集可能包含协作员工的子集,或者最终包含所有员工。
共享用户
在每个多租户组织租户中实现协作用户集的一种更简单的方法是,每个租户管理员定义他们的用户贡献并将其同步出站。 接收端的租户管理员应接受入站共享用户。
- 管理员 A 贡献或共享 Annie
- 管理员 B 贡献或共享 Bob 和 Barbara
- 管理员 C 贡献或共享 Charles
Microsoft 365 管理中心有助于跨多租户组织租户协调此类协作用户集。 有关详细信息,请参阅在 Microsoft 365 中同步多租户组织中的用户。
或者,入站和出站跨租户同步的成对配置可用于跨多租户组织租户协调此类整理用户集。 有关详细信息,请参阅什么是跨租户同步。
B2B 成员用户
为了确保在新 Microsoft Teams 中跨多租户组织实现无缝协作体验,B2B 标识预配为 userType 为“成员”的 B2B 用户。
| 用户同步方法 | 默认 userType 属性 |
|---|---|
| 在 Microsoft 365 中同步多租户组织中的用户 | 成员 如果 B2B 标识已作为来宾存在,则仍为来宾 |
| Microsoft Entra ID 中的跨租户同步 | 成员 如果 B2B 标识已作为来宾存在,则仍为来宾 |
从安全角度来看,应查看授予 B2B 成员用户的默认权限。 有关详细信息,请参阅比较成员和来宾默认权限。
若要将 userType 从“来宾”更改为“成员”(或反之),源租户管理员可以修改属性映射,或者如果属性未定期同步,目标租户管理员可以更改 userType。
取消共享用户
若要取消共享用户,请使用 Microsoft Entra 跨租户同步中提供的用户取消预配功能来取消预配用户。 默认情况下,如果在同步作业运行期间减少了设置范围,则用户将脱离范围并被软删除,除非禁用了“删除的目标对象操作”。 有关详细信息,请参阅取消预配和定义预配范围内的人员。