通过

在 Microsoft 365 中加入或离开多租户组织

  • 项目

若要加入多租户组织,所有者组织中的全局管理员必须先将组织添加到多租户组织。 完成此操作后,你可以加入多租户组织。 需要所有者组织的租户 ID 才能加入。

加入后,可以随时离开多租户组织。

加入现有多租户组织时,将在 Entra ID Microsoft配置以下设置:

  • 已添加名称 为 MTO_Sync_<TenantID> 的跨租户同步配置,但尚未创建同步作业。 (如果已有跨租户同步配置,它将保持不变。)
  • 基于跨 租户访问 和标识同步 的多租户组织模板 ,将组织关系添加到跨租户访问设置中。 (如果组织关系已存在,则使用现有关系。)
  • 标识同步的多租户组织模板设置为允许用户同步到此租户。
  • 跨租户访问的多租户组织模板将设置为自动兑换用户邀请(入站和出站)。

离开多租户组织时,Microsoft Entra ID 中的跨租户访问设置和跨租户同步配置不受影响。

加入现有多租户组织

重要

Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。

若要在 Microsoft 365 中加入现有多租户组织,请执行以下操作:

  1. 以全局管理员身份登录到 Microsoft 365 管理中心
  2. 展开 “设置” ,然后选择“ 组织设置”。
  3. 在“ 组织配置文件 ”选项卡上,选择“ 多租户协作”。
  4. 选择“让我们开始吧”。
  5. 选择“ 加入现有多租户组织”。
  6. 输入所有者组织的租户 ID。
  7. 选中“ 允许用户从此多租户组织中的其他租户同步到此租户 ”和 “禁止在用户访问我的租户中的应用和资源时显示来自其他租户的用户的同意提示 ”复选框。
  8. 选择“下一步”。
  9. 选择“完成”。

租户加入多租户组织最多可能需要 4 小时。

注意

如果在加入多租户组织时遇到错误,请在两小时后重试。 如果错误再次发生,请联系Microsoft支持人员。

加入多租户组织后,下一步是将用户与其他租户同步。 有关详细信息,请参阅 在 Microsoft 365 中同步多租户组织中的用户

离开多租户组织

只要租户不是多租户组织中的最后一个所有者租户,就可以离开多租户组织。 还可以删除其他成员租户。

重要

Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。

若要从 Microsoft 365 中的多租户组织中删除租户,请执行以下操作:

  1. 以全局管理员身份登录到 Microsoft 365 管理中心
  2. 展开 “设置” ,然后选择“ 组织设置”。
  3. 在“ 组织配置文件 ”选项卡上,选择“ 多租户协作”。
  4. 选中要删除的租户旁边的复选框。
  5. 选择 “删除租户”。
  6. 在侧面板中阅读有关删除租户的详细信息,然后选择“ 删除租户”。

删除租户不会更改 Entra ID Microsoft中的任何用户同步配置或跨租户访问设置。 建议在删除租户后查看这些设置并进行任何所需的更新。

从其他租户中删除同步的用户

从多租户组织中删除租户时,你可能希望停止在该租户与多租户组织中保留的租户之间同步用户。 为此,可以更新 entra ID Microsoft 中的跨租户同步配置,删除正在同步的安全组,然后重启零个用户的同步。

在 Microsoft 365 管理中心创建的多租户组织的跨租户同步配置在 Microsoft Entra 跨租户同步中命名为 MTO_Sync_<TenantID>

删除交叉同步的用户:

  • 对于离开多租户组织的租户,请更新多租户组织中要同步用户的每个剩余租户的同步配置。

  • 对于多租户组织中剩余的每个租户,请更新离开的租户的同步配置。

重要

Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。

若要从多租户组织中的其他租户中删除用户,请执行以下操作:

  1. 以全局管理员身份登录到 Microsoft Entra 管理中心
  2. 展开 “标识”,然后展开“ 外部标识”。
  3. 选择 “跨租户同步”。
  4. 选择 “配置”。
  5. 选择要更新的配置的链接。
  6. 选择 “用户和组”
  7. 选中要删除的安全组的复选框,然后选择“ 删除”。
  8. 选择“ 概述”。
  9. 选择 “重启预配”。

从其他租户的目录中删除用户后,可以停止为同步配置预配或删除它们。

停止用户同步和自动邀请兑换

从多租户组织中删除租户后,可能需要停止与多租户组织中的租户的用户同步和自动邀请兑换。

若要阻止用户同步和自动邀请兑换,请执行:

  • 对于离开多租户组织的租户,请更新多租户组织中剩余的每个租户的跨租户访问设置。

  • 对于多租户组织中剩余的每个租户,更新离开租户的跨租户访问设置。

重要

Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。

若要阻止用户同步和自动邀请兑换,请执行:

  1. 以全局管理员身份登录到 Microsoft Entra 管理中心
  2. 展开 “标识”,然后展开“ 外部标识”。
  3. 选择 “跨租户访问设置”。
  4. 在“ 组织设置 ”选项卡上,选择要更新的租户的 “入站访问 设置”链接。
    1. 在“信任设置”选项卡上,清除“自动兑换租户<组织的>邀请”复选框。
    2. “跨租户同步 ”选项卡上,清除 “允许用户同步到此租户 ”复选框。
    3. 选择“保存”
  5. 选择要更新的租户的 “出站访问 设置”链接。
    1. 在“信任设置”选项卡上,清除“自动兑换租户<组织的>邀请”复选框。
    2. 选择“保存”

有关跨租户访问设置的详细信息,请参阅 为 B2B 协作配置跨租户访问设置

配置跨租户同步

概述:使用 Microsoft Entra 外部 ID 进行跨租户访问

在 Microsoft 365 中规划多租户组织

在 Microsoft 365 中设置多租户组织

在 Microsoft 365 中同步多租户组织中的用户