什么是 Microsoft Entra ID 中的多租户组织?
多租户组织是 Microsoft Entra ID 和 Microsoft 365 中的一项功能,使你能够定义组织拥有的 Microsoft Entra 租户的边界。 在目录中,它采用代表组织的租户组形式。 组中的每对租户均由跨租户访问设置管理,你可以使用这些设置来配置 B2B 协作。
为何使用多租户组织?
以下是多租户组织的主要目标:
- 定义隶属于组织的租户的边界
- 在新 Microsoft Teams 中跨租户进行协作
- 在 Microsoft Viva Engage 中跨租户进行协作
适合对象。
拥有多个 Microsoft Entra 租户并希望在 Microsoft 365 中简化组织内跨租户协作的组织。
Microsoft Teams 中的多租户组织功能建立在以下假设的基础之上,即多租户组织各租户间互惠预配 B2B 协作成员用户。
Viva Engage 中的多租户组织功能基于以下假设,即 B2B 协作成员用户集中预配到中心租户。
因此,部署多租户组织功能的最佳方式是为 B2B 协作用户使用批量配置引擎,例如使用跨租户同步。
好处
以下是多租户组织的主要优势:
区分组织内和组织外外部用户
在 Microsoft Entra ID 中,可以将多租户组织之内与之外的外部用户区分开来。 这种区分有助于为组织内和组织外这两种外部用户应用不同的策略。
改进了 Microsoft Teams 中的协作体验
在新 Microsoft Team 中,多租户组织用户可在整个多租户组织内的所有互联租户中进行聊天、通话以及发送会议开始通知,从而获得更出色的跨租户协作体验。 租户切换更无缝、更快速。 有关详细信息,请参阅:
Viva Engage 中改进的协作体验
多租户组织的 Viva Engage 允许复杂分散的组织以统一网络的形式进行通信。 从多租户组织社区、活动和事件到分析,Viva Engage 为员工和领导开启了跨多租户组织连接、共享和衡量参与度的新方法。 有关详细信息,请参阅:
谁是多租户组织成员用户?
定义多租户组织时,外部用户(B2B 协作用户)根据 userType 属性按以下方式分段:
- 来自多租户组织内部的外部成员
- 来自多租户组织内部的外部来宾
- 来自组织外部的外部成员
- 来自组织外部的外部来宾
通过这种外部用户分段方法,你能够在多租户组织中更好地区分组织内的外部用户与组织外的外部用户。
来自多租户组织内部的外部成员有时称为“多租户组织成员用户”。
Microsoft 365 中的多租户协作功能可帮助改善与多租户组织成员用户的协作,提供打破租户边界的顺畅协作体验。
多租户组织的工作原理
借助多租户组织功能,你可以定义组织拥有的 Microsoft Entra 租户的边界,这是由租户管理员之间的邀请和接受流推动的。 以下列表描述了多租户组织的基本生命周期。
定义多租户组织
一个租户管理员以租户分组的形式定义多租户组织。 在每个列出的租户都采取行动加入多租户组织之前,租户分组并不是互惠的。 目标是在所有列出的租户之间达成互惠协议。
加入多租户组织
列出的租户的租户管理员采取行动加入多租户组织。 加入后,每个加入多租户组织的租户之间的多租户组织关系都是互惠的。
退出多租户组织
列出的租户的租户管理员随时可以退出多租户组织。 定义多租户组织的租户管理员虽然可以添加和移除列出的租户,但无法控制其他租户。
多租户组织是以平等协作为原则建立的。 每个租户管理员自行控制其租户及其在多租户组织中的成员身份。
多租户组织示例
下图显示了 A、B、C 三个租户,它们组成了一个多租户组织。
| 租户 | 说明 |
|---|---|
| A | 管理员看到由 A、B、C 组成的多租户组织。 此外,管理员还看到 B 和 C 的跨租户访问设置。 |
| B | 管理员看到由 A、B、C 组成的多租户组织。 此外,管理员还看到 A 和 C 的跨租户访问设置。 |
| C | 管理员看到由 A、B、C 组成的多租户组织。 此外,管理员还看到 A 和 B 的跨租户访问设置。 |
租户角色和状态
为便于管理多租户组织,任何给定的多租户组织租户都有一个关联角色和状态。
| 租户角色 | 说明 |
|---|---|
| 所有者 | 一个租户创建多租户组织。 创建多租户组织的租户将收到所有者角色。 所有者租户的权限包括将租户添加到待处理状态,以及从多租户组织中移除租户。 此外,所有者租户还可以更改多租户组织内其他租户的角色。 |
| 成员 | 在为多租户组织添加待处理租户后,待处理租户需要加入多租户组织才能将其状态从待处理转为活动状态。 加入后,租户一开始一般都是成员角色。 任何成员租户都有权退出多租户组织。 |
| 租户状态 | 说明 |
|---|---|
| 待定 | 待处理租户是尚未加入多租户组织的租户。 待处理租户虽然会在多租户组织的管理员视图中列出,但还不是多租户组织的成员,因此在多租户组织的最终用户视图中是隐藏的。 |
| 活动 | 在为多租户组织添加待处理租户后,待处理租户需要加入多租户组织才能将其状态从待处理转为活动状态。 加入后,租户一开始一般都是成员角色。 任何成员租户都有权退出多租户组织。 |
跨租户访问设置
由管理员控制其资源是多租户组织协作的指导原则。 每个租户到租户关系都需要跨租户访问设置。 租户管理员可根据需要明确配置以下策略:
跨租户访问合作伙伴配置
有关详细信息,请参阅为 B2B 协作配置跨租户访问设置和 crossTenantAccessPolicyConfigurationPartner 资源类型。
跨租户访问身份同步
有关详细信息,请参阅配置跨租户同步和 crossTenantIdentitySyncPolicyPartner 资源类型。
跨租户访问设置模板
为了简化应用于多租户组织中的合作伙伴租户的同质跨租户访问设置,多租户组织各租户的管理员可以配置专用于该多租户组织的可选跨租户访问设置模板。 这些模板可用于预配置跨租户访问设置,这些设置将会应用于新加入多租户组织的任何合作伙伴租户。
约束
在设计多租户组织功能时,进行了以下约束:
- 任何给定租户都只能创建或加入单个多租户组织。
- 租户处于 精细的委派管理员权限(GDAP) 关系中,无法创建或加入多租户组织。
- 任何多租户组织都必须有至少一个活动的所有者租户。
- 每个活动租户都必须具有跨租户访问设置。
- 任何活动租户均可通过从多租户组织中移除自己来退出多租户组织。
- 当唯一的剩余活动(所有者)租户退出时,系统将删除多租户组织。
限制
| 资源 | 限制 | 说明 |
|---|---|---|
| 活动租户的最大数量,包括所有者租户 | 100 | 所有者租户可以添加 100 个以上的挂起租户,但如果超出限制,他们将无法加入多租户组织。 此限制在挂起的租户加入多租户组织时应用。 此限制特定于多租户组织中的租户数量。 它本身不适用于跨租户同步。 若要提高此限制,请在 Microsoft Entra 或 Microsoft 365 管理中心提交支持请求。 |
开始使用
下面是开始使用多租户组织的基本步骤。
步骤 1:规划部署
有关详细信息,请参阅 Microsoft 365 中的多租户组织计划和多租户组织中的限制。
步骤 2:创建多租户组织
使用 Microsoft 365 管理中心、Microsoft Graph PowerShell 或 Microsoft Graph API 创建多租户组织:
- 第一个租户(即将成为所有者的租户)创建多租户组织。
- 所有者租户添加一个或多个加入者租户。
有关使用 Microsoft 365 管理中心创建多租户组织的详细信息,请参阅使用 Microsoft 365 管理中心创建或加入多租户组织。
步骤 3:加入多租户组织
使用 Microsoft 365 管理中心、Microsoft Graph PowerShell 或 Microsoft Graph API 加入多租户组织:
- 加入者租户提交加入请求以加入所有者租户的多租户组织。
- 若要允许异步处理,请等待最多 2 小时。
多租户组织现已形成。 因此,来自多租户组织内的任何现有外部成员用户现在将被识别为多租户组织成员,以改进跨多租户组织的活动租户之间的无缝协作。
有关使用 Microsoft 365 管理中心加入多租户组织的详细信息,请参阅使用 Microsoft 365 管理中心创建或加入多租户组织。
步骤 4:预配外部成员用户
Microsoft 365 中的多租户组织协作依赖于 B2B 协作成员用户的预配。 根据用例,你可能希望使用以下一种或多种方法来预配用户:
- 在 Microsoft 365 中同步多租户组织中的用户
- 在 Microsoft Entra 管理中心配置跨租户同步
- 使用预先存在的批量预配引擎预配外部成员用户
- 使用 Microsoft Entra 管理中心预配单个外部成员用户
有关预配外部成员用户的详细信息,请参阅用于预配外部成员用户的选项。
步骤 5:完成 Microsoft 365 应用程序要求
以下多租户组织协作应用程序可能有其他要求:
完成 Microsoft 365 应用程序要求后,你的员工将能够跨多个租户的组织无缝协作。
许可要求
多租户组织功能需要 Microsoft Entra ID P1 许可证。 每个多租户组织的每位员工只需一个 Microsoft Entra ID P1 许可证。 此外,每个租户必须至少有一个 Microsoft Entra ID P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能。