在 Microsoft 365 中同步多租户组织中的用户
若要使租户中的用户能够与其他租户中的用户协作,必须将用户同步到其他租户。
可通过两种方式设置用户同步:
- 使用本文介绍的 Microsoft 365 管理中心 (与多租户组织中的其他租户共享用户)
- 在 Entra ID Microsoft中配置用户同步
这两种方法在 entra ID Microsoft中使用跨租户同步。
如果要将同一用户与多租户组织中的所有其他租户同步,我们建议在 Microsoft 365 管理中心中共享用户。 这会在 Microsoft Entra ID 中创建必要的配置。
如果要将不同的用户同步到不同的租户或同步 Entra 组,则必须直接在 Entra ID Microsoft配置跨租户同步。
虽然可以为单个外部租户创建多个跨租户同步配置,但我们建议只使用一个,以便于管理。
如果已将 B2B 成员用户与属于 MTO 的租户同步,这些用户将在 MTO 形成时立即成为 MTO 成员。
注意
同步用户最多可能需要 24 小时才能在 teams 和 SharePoint 等 Microsoft 365 服务中使用。
有关跨租户同步的详细信息,请参阅 什么是跨租户同步?。
如果遇到用户同步问题,请检查 Entra ID Microsoft中的预配日志。
用户属性同步
设置与多租户组织中的另一个租户的用户同步时,将同步以下用户属性:
| 属性 | 属性 |
|---|---|
| accountEnabled | physicalDeliveryOfficeName |
| alternativeSecurityIds | postalCode |
| 城市 | preferredLanguage |
| country | showInAddressList |
| department | state |
| displayName | streetAddress |
| employeeId | surname |
| givenName | telephoneNumber |
| IsSoftDeleted | userPrincipalName |
| jobTitle | UserType (成员) |
| mailNickname | manager |
可以更改配置同步后同步的属性。 有关详细信息,请参阅 配置跨租户同步。
个人资料卡体验
个人资料卡是一项功能,允许用户查看有关其他用户的信息,例如电子邮件、电话号码和办公室位置。 它适用于大多数 Microsoft 365 个应用,例如 Teams、Outlook、SharePoint 和 Viva Engage。 多租户组织中的用户可以看到有关属于多租户组织的其他租户中的用户的信息。 用户可以看到的内容取决于租户之间正在同步的数据。 (请注意,某些属性 需要显示其他配置 。)
新的 Teams 桌面客户端直接从多租户组织中的其他租户提取一些数据,以创建更丰富的体验。 在多租户组织中,当用户在 Teams 中查看另一租户中某个用户的个人资料卡时,名称、联系信息和作业信息可在 1:1 聊天和共享频道中使用,而无需配置属性同步。 (这些属性由 Microsoft Entra 跨租户访问和 Teams 外部访问检索。) 若要在 Teams 中的其他位置查看这些属性(如频道、群组聊天和与来宾帐户的聊天),需要将它们包含在用户同步过程中。
在多租户组织中,个人资料图片始终可用,并从用户的主租户中检索。
为了获得最一致的个人资料卡体验,请记住以下几点:
- 同步时不要更改属性值,否则用户会看到不同租户中的不同值。
- LinkedIn帐户连接 配置可能因租户而异。
从其他租户同步到租户的用户
从多租户组织中的其他租户同步到租户的用户将同步为 Microsoft Entra 成员,而不是来宾。
作为成员,来自其他租户的人员拥有更无缝的协作体验。 这包括使用 组织中的人员 可共享链接访问文件。 (如果需要限制谁可以与组织中的人员一起访问文件 link,请考虑使用敏感度标签。)
如果其他租户中的某些人在目录中已有来宾帐户,则默认情况下,同步过程不会将其用户类型更改为成员。 可以通过 更新 Microsoft Entra ID 中的用户属性或更新 Entra ID 中的 跨租户同步配置映射 ,Microsoft Entra ID 支持大规模从来宾转换为成员,可以将这些用户类型更改为成员。
为多租户组织设置初始用户同步
重要
Microsoft 建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
若要将标识同步到多租户组织中的其他租户,请执行以下操作:
- 以全局管理员身份登录到 Microsoft 365 管理中心 。
- 展开 “设置” ,然后选择“ 组织设置”。
- 在“ 组织配置文件 ”选项卡上,选择“ 多租户协作”。
- 选择 “共享用户”。
- 选择 “选择要共享的用户”。
- 选择“保存”。
- 选择“是”进行确认。
这会在 Microsoft Entra ID 中为多租户组织中的每个租户创建跨租户同步配置。 同步配置名为 MTO_Sync_<TenantID>。
设置与新添加的租户的用户同步
如果将其他租户添加到多租户组织,则需要设置与这些租户的用户同步。
重要
Microsoft 建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
若要设置与新添加的租户的用户同步,请执行以下操作:
- 以全局管理员身份登录到 Microsoft 365 管理中心 。
- 展开 “设置” ,然后选择“ 组织设置”。
- 在“ 组织配置文件 ”选项卡上,选择“ 多租户协作”。
- 选择 “共享用户”。
- 选择 “共享当前用户范围”。
- 选择“是”进行确认。
更改与其他租户同步的用户
可以更改哪些用户同步到多租户组织中的其他租户。
重要
Microsoft 建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
若要更改同步到其他租户的用户,请执行以下操作:
- 以全局管理员身份登录到 Microsoft 365 管理中心 。
- 展开 “设置” ,然后选择“ 组织设置”。
- 在“ 组织配置文件 ”选项卡上,选择“ 多租户协作”。
- 选择 “共享用户”。
- 选择 “编辑共享用户”。
- 更新要同步到其他租户的用户,然后选择“ 保存”。
- 选择“是”进行确认。
此过程更新多租户组织中每个租户Microsoft Entra ID 中的 MTO_Sync_<TenantID> 同步配置。
在 MTO 中为租户设置日历共享
日历共享允许每个多租户组织中的用户 (MTO) 租户查看忙/闲 (时间) 日历可用性信息。
注意
目前,Microsoft 365 GCC、GCC High、DoD 或由世纪互联) 运营的 Microsoft 365 中国 (目前不提供通过多租户协作门户进行日历共享。
重要
Microsoft 建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
若要管理 MTO 中租户的忙/闲日历共享,请执行以下操作:
- 以全局管理员身份登录到 Microsoft 365 管理中心 。
- 展开 “设置” ,然后选择“ 组织设置”。
- 在“ 组织配置文件 ”选项卡上,选择“ 多租户协作”。
- 选择“ 管理设置”。
- 选择“日历”下的“编辑日历设置”。
- 选择租户以启用忙/闲日历共享。
- 选择“保存更改”。
MTO 的日历共享功能利用 Exchange Online 中的组织关系。 组织关系将共享所有用户日历可用性,并且还必须由 MTO 中的其他租户设置,以便共享忙/闲信息。
在 Teams 中为 MTO 中的租户设置 MTO 用户标签
MTO 组管理员现在可以为每个租户配置可选标签,该标签将在 Teams 中与 MTO 同步用户的显示名称一起显示。 这使 MTO 同步的用户可以在 Teams 交互中的 MTO 中区分。
图 1:Teams 人员卡片显示 MTO 用户标签“US”
图 2:Teams 搜索体验显示 MTO 用户标签“US”
只有 MTO 所有者可以管理 MTO 用户标签。 标签更改可能需要一些时间才能处理,并且仅适用于活动租户。
重要
Microsoft 建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
若要管理 MTO 中租户的 MTO 用户标签,请执行以下操作:
以全局管理员身份登录到 Microsoft 365 管理中心 。
展开 “设置” ,然后选择“ 组织设置”。
在“ 组织配置文件 ”选项卡上,选择“ 多租户协作”。
选择“ 管理设置”。
选择“租户标签”下的“编辑”。
选择以下任一选项:
无标签。
对所有租户使用多租户组织名称。
自定义 (为每个租户分配一个标签,) 不能为空。
选择“保存更改”。