共用方式為

多租用戶使用者管理簡介

  • 發行項

本文是一系列文章中的第一篇,提供在 Microsoft Entra 多租用戶環境中設定及提供使用者生命週期管理的指導。 該系列中的下列文章提供如下所述的更多資訊。

本指南可協助您達成一致的使用者生命週期管理狀態。 生命週期管理包括使用可用 Azure 工具,跨租用戶佈建、管理和取消佈建使用者,這些工具包括 Microsoft Entra B2B 共同作業 (B2B) 和跨租用戶同步處理

將使用者佈建至單一 Microsoft Entra 租用戶會提供資源的整合檢視,以及一組單一的原則和控制項。 這種方法可提供一致的使用者生命週期管理。

Microsoft 建議盡可能使用單一租用戶。 具有多個租用戶可能會導致獨特的跨租用戶共同作業和管理需求。 無法合併到單一Microsoft Entra 租用戶時,多租用戶組織可能會因為下列原因,而跨越兩個以上的 Microsoft Entra 租用戶。

  • 合併
  • 下載數
  • 分割
  • 在公用、主權和區域雲端之間共同作業
  • 政治或組織結構禁止彙總至單一 Microsoft Entra 租用戶

Microsoft Entra B2B 共同作業

Microsoft Entra B2B 共同作業 (B2B) 可讓您安全地與外部使用者共用貴公司的應用程式和服務。 當使用者可能是來自任何組織時,B2B 可協助您維持對 IT 環境和資料的存取控制。

您可以使用 B2B 共同作業,為組織的使用者提供外部存取權,以存取您管理的多個租用戶。 傳統上,B2B 外部使用者存取權可針對不受您組織管理的使用者授權存取權。 不過,外部使用者存取權可管理您組織所管理多個租用戶之間的存取權。

Microsoft Entra B2B 共同作業的混淆區域圍繞 B2B 來賓使用者的屬性。 內部與外部用戶帳戶和成員與來賓使用者類型之間的差異會導致混淆。 一開始,所有內部使用者都是成員使用者,UserType 屬性設定為 Member (成員使用者)。 內部使用者具有您 Microsoft Entra ID 中的帳戶,其中經過授權,且會向使用者所在的租用戶進行驗證。 成員使用者是租用戶中具有預設成員層級權限的授權使用者。 將成員使用者視為您組織的員工。

您可以將一個租用戶的內部使用者邀請到另一個租用戶作為外部使用者。 外部使用者使用外部 Microsoft Entra 帳戶、社交身分識別或其他外部身分識別提供者登入。 外部使用者會在您邀請外部使用者的租用戶外部進行驗證。 在 B2B 第一版中,所有外部使用者都是 UserType Guest (來賓使用者)。 來賓使用者在租用戶中具備有限目錄權限。 例如,來賓使用者無法在租用戶目錄列舉所有使用者,以及群組的清單。

針對使用者的 UserType 屬性,B2B 支援將位從內部翻轉到外部,反之亦然,這會導致混淆。

您可以將內部使用者從成員使用者變更為來賓使用者。 例如,您可以擁有租用戶中具有來賓層級權限的未授權內部來賓使用者,這在您將使用者帳戶和認證提供給非組織員工的人員時很有用。

您可以將外部使用者從來賓使用者變更為成員使用者,並將成員層級權限授與外部使用者。 當您管理組織的多個租用戶,且需要為所有租用戶的使用者提供成員層級權限時,進行這項變更會很有用。 不論使用者是任何指定租用戶中的內部或外部,都可能發生此需求。 成員使用者可能需要更多的授權

B2B 的大部分文件將外部使用者稱為「來賓使用者」。 這會將合併 UserType 屬性,以假設所有來賓使用者都是外部的方式。 當文件呼叫來賓使用者時,會假設是外部來賓使用者。 本文特別且刻意提及外部與內部和成員使用者與來賓使用者。

跨租用戶同步處理

跨租用戶同步處理可讓多租用戶組織使用現有的 B2B 外部共同作業功能,為終端使用者提供順暢的存取和共同作業體驗。 此功能不允許跨 Microsoft 主權雲端進行跨租用戶同步處理 (例如 Microsoft 365 美國政府 GCC High、DOD 或 Office 365 中國)。 如需自動化和自定義跨租用戶同步處理案例的說明,請參閱多租用戶管理的一般考量

觀看 Arvind Harinder 討論 Microsoft Entra ID 中的跨租用戶同步處理功能 (內嵌於下方)。

下列概念和操作說明文章提供 Microsoft Entra B2B 共同作業和跨租用戶同步處理的相關資訊。

概念文章

操作說明文章

詞彙

下列 Microsoft 內容中的詞彙是指 Microsoft Entra ID 中的多租用戶共同作業。

  • 資源租用戶:Microsoft Entra 租用戶,包含使用者想要與其他人共用的資源。
  • 主租用戶:Microsoft Entra 租用戶,包含需要存取資源租用戶中資源的使用者。
  • 內部使用者:內部使用者的帳戶經過授權,且會向使用者所在的租用戶進行驗證。
  • 外部使用者:外部使用者具有外部 Microsoft Entra 帳戶、社交身分識別或其他外部身分識別提供者,以進行登入。 外部使用者會在租用戶外部進行驗證,且是您邀請外部使用者的租用戶。
  • 成員使用者:內部或外部成員使用者是租用戶中具有預設成員層級權限的授權使用者。 將成員使用者視為您組織的員工。
  • 來賓使用者:內部或外部來賓使用者在租用戶中具有限制的權限。 來賓使用者不是您組織的員工 (例如合作夥伴的使用者)。 大部分 B2B 文件是指 B2B 來賓,主要是指外部來賓使用者帳戶。
  • 使用者生命週期管理:佈建、管理和取消佈建使用者資源存取權的流程。
  • 整合 GAL:每個租用戶中的每位使用者都可以看到其全域通訊清單 (GAL) 中每個組織的使用者。

決定如何滿足您的需求

組織的獨特需求將影響跨租用戶管理使用者的策略。 若要建立有效的策略,請考慮下列需求。

  • 租用戶的數目
  • 組織的類型。
  • 目前的拓撲
  • 特定使用者同步處理需求

一般需求

組織一開始都會專注於想要立即共同作業的需求。 有時也稱為第一天需求,著重在讓使用者能夠順暢地合併,而不會中斷產生價值的能力。 當您定義「第一天」和系統管理需求時,請考慮納入下列要求和需求。

通訊需求

  • 統一全域通訊清單:每位使用者都可以在其主租用戶內看到 GAL 中的所有其他使用者。
  • 空閒/忙碌狀態:讓使用者可以探索彼此的顯示狀態。 您可以使用 Exchange Online 中的組織關係來進行這項作業。
  • 聊天和狀態資訊:讓使用者判斷其他人的顯示狀態並起始立即傳訊。 透過Microsoft Teams 中的外部存取來設定。
  • 預定會議室等資源:讓使用者在組織之間預約會議室或其他資源。 Exchange Online 目前無法使用跨租用戶會議室預約。
  • 單一電子郵件網域:讓所有使用者都能從單一電子郵件網域 (例如 users@contoso.com) 傳送和接收郵件。 傳送需要有電子郵件地址修正解決方案。

存取需求

  • 文件存取:讓使用者可以共用 SharePoint、OneDrive 和 Teams 的文件。
  • 系統管理:允許系統管理員管理跨多個租用戶所部署訂用帳戶和服務的設定。
  • 應用程式存取:允許使用者存取整個組織的應用程式。
  • 單一登入:讓使用者可以存取整個組織的資源,而不需要輸入更多認證。

帳戶建立模式

Microsoft 建立和管理外部使用者帳戶生命週期的機制遵循三種常見模式。 您可以使用這些模式來協助定義和實作您的需求。 選擇最符合您案例的模式,然後將焦點放在該模式詳細資料。

機制 描述 最佳時機
已由使用者啟動 資源租用戶管理員會將邀請外部使用者的能力,委派給資源租用戶內的使用者、應用程式或資源。 您可以從主租用戶邀請使用者,或他們可以個別註冊。 第一天不需要統一全域通訊清單。
已撰寫指令碼 資源租用戶系統管理員會部署已編寫指令碼的提取處理序,以自動探索及佈建外部使用者來支援共用案例。 少數租用戶 (例如兩個)。
自動化 資源租用戶管理員會使用身分識別佈建系統,將佈建與取消佈建處理序自動化。 您需要跨租用戶的統一全域通訊清單。

下一步