什麼是跨租用戶同步處理?
跨租用戶同步處理會在組織中跨租用戶自動建立、更新和刪除 Microsoft Entra B2B 共同作業使用者。 它讓使用者能夠存取應用程式和跨租用戶共同作業,同時允許讓組織不斷發展。
以下是跨租用戶同步處理的主要目標:
- 多租用戶組織的無縫共同作業
- 自動化多租用戶組織中 B2B 共同作業使用者的生命週期管理
- 當使用者離開組織時,自動移除 B2B 帳戶
為什麼要使用跨租用戶同步處理?
跨租戶同步處理,可將建立、更新和刪除 B2B 共同作業使用者自動化。 使用跨租用戶同步處理建立的使用者能夠存取 Microsoft 應用程式 (例如 Teams 和 SharePoint) 和非 Microsoft應用程式(例如 ServiceNow、Adobe等等),不論應用程式是與哪個租用戶整合。 這些使用者會繼續受益於 Microsoft Entra ID 中的安全性功能,例如 Microsoft Entra 條件式存取和跨租用戶存取設定,而且可以透過 Microsoft Entra 權利管理等功能來管理。
下圖顯示如何使用跨租用戶同步處理,讓使用者能夠存取組織中租用戶之間的應用程式。
適合對象?
- 擁有多個 Microsoft Entra 租用戶,且想要在應用程式存取中簡化組織內部跨租用戶共同作業的組織。
- 跨租用戶同步處理目前不適合跨組織界線使用。
福利
使用跨租用戶同步處理,您可以執行下列動作:
- 在組織內自動建立 B2B 共同作業使用者,並提供他們所需的應用程式存取權,而不需要建立和維護自訂指令碼。
- 改善使用者體驗,並確保使用者可以存取資源,不需要接收邀請電子郵件,而且必須接受每個租用戶中的同意提示。
- 自動更新使用者,並在他們離開組織時將其移除。
Teams 和 Microsoft 365
跨租用戶同步處理所建立的使用者在存取 Microsoft Teams 和其他 Microsoft 365 服務時,能夠擁有相同的體驗,因為 B2B 共同作業使用者是透過手動邀請建立的。 如果您的組織使用共用通道,請參閱已知問題文件以取得其他詳細資料。 經過一段時間, member userType 將由各種Microsoft 365 服務使用,為多租用戶組織中的使用者提供不同的使用者體驗。
屬性
當您設定跨租用戶同步處理時,您會定義來源租用戶與目標租用戶之間的信任關係。 跨租用戶同步處理具有下列署性:
- 以 Microsoft Entra 佈建為基礎的引擎。
- 這是來自來源租用戶的推送程式,而不是來自目標租用戶的提取程式。
- 僅支援從來源租用戶推送內部成員。 不支援從來源租用戶同步處理外部使用者。
- 在來源租用戶中設定同步處理範圍中的使用者。
- 屬性對應是在來源租用戶中設定。
- 延伸模組支援巢狀屬性。
- 目標租用戶管理員可以隨時停止同步處理。
下表顯示跨租用戶同步處理的各個部分,以及其設定的租用戶。
| 租用戶 | 跨租用戶 存取設定 |
自動兌換 | 同步設定 組態 |
範圍中的使用者 |
|---|---|---|---|---|
來源租用戶 |
✔️ | ✔️ | ✔️ | |
目標租用戶 |
✔️ | ✔️ |
跨租用戶同步處理設定
跨租用戶同步處理設定是僅限輸入的組織設定,可讓來源租用戶的系統管理員將使用者同步至目標租用戶。 此設定是一個核取方塊,其名稱為目標租用戶中指定的 [允許使用者同步至此租用戶]。 此設定不會影響透過其他流程建立的 B2B 邀請,例如手動邀請或 Microsoft Entra 權利管理。
![螢幕擷取畫面:顯示 [跨租用戶同步處理] 索引標籤,其中包含 [允許使用者同步至此租用戶] 核取方塊。](../../media/external-identities/access-settings-users-sync.png#lightbox)
若要使用 Microsoft Graph 配置此設定,請參閱更新 crossTenantIdentitySyncPolicyPartner API。 如需詳細資訊,請參閱設定跨租用戶同步處理。
自動兌換設定
自動兌換設定是輸入和輸出組織信任設定,可自動兌換邀請,因此使用者不需要在第一次存取資源/目標租用戶時接受同意提示。 這個設定是具有下列名稱的核取方塊:
- [使用租用戶自動兌換邀請]<[租用戶]>
比較不同案例的設定
自動兌換設定適用於下列情況中的跨租用戶同步處理、B2B 共同作業和 B2B 直接連接:
- 使用跨租用戶同步處理,在目標租用戶中建立使用者時。
- 使用 B2B 共同作業,將使用者新增至資源租用戶時。
- 當使用者透過 B2B 直接連接,存取資源租用戶中的資源時。
下表顯示此設定針對這些案例啟用時的比較:
| 項目 | 跨租用戶同步處理 | B2B 共同作業 | B2B 直接連接 |
|---|---|---|---|
| 自動兌換設定 | 必要 | 選擇性 | 選擇性 |
| 使用者會收到 B2B 共同作業的邀請電子郵件 | No | No | N/A |
| 使用者必須接受同意提示 | No | No | No |
| 使用者會收到 B2B 共同作業的通知電子郵件 | No | .是 | N/A |
此設定不會影響應用程式同意體驗。 如需詳細資訊,請參閱 Microsoft Entra ID 中的應用程式同意體驗。 不同 Microsoft 雲端環境的組織不支援此設定,例如 Azure 商業和 Azure Government。
什麼時候同意提示不會顯示?
如果主租用戶/來源租用戶 (輸出) 和資源/目標租用戶 (輸入) 都會檢查此設定,則自動兌換設定只會隱藏同意提示和邀請電子郵件。
下表顯示已針對不同的跨租用戶存取設定組合勾選自動兌換設定時,來源租用戶使用者的同意提示行為。
| 主租用戶/來源租用戶 | 資源/目標租用戶 | 同意提示行為 適用於來源租用戶使用者 |
|---|---|---|
| 輸出 | 連入 | |
|
|
已隱藏 |
|
|
|
未隱藏 |
|
|
|
未隱藏 |
|
|
|
未隱藏 |
| 連入 | 輸出 | |
|
|
|
未隱藏 |
|
|
|
未隱藏 |
|
|
|
未隱藏 |
|
|
|
未隱藏 |
若要使用 Microsoft Graph 配置此設定,請參閱更新 crossTenantAccessPolicyConfigurationPartner API。 如需詳細資訊,請參閱設定跨租用戶同步處理。
使用者如何知道他們所屬的租用戶?
針對跨租用戶同步處理,使用者不會收到電子郵件或必須接受同意提示。 如果使用者想要查看其所屬的租用戶,他們可以開啟其 [我的帳戶] 頁面,然後選取 [組織]。 在 Microsoft Entra 系統管理中心,使用者可以開啟其 [入口網站設定]、檢視其 [目錄 + 訂用帳戶],以及切換目錄。
如需詳細資訊,包括隱私權原則,請參閱將組織保留為外部使用者。
開始使用
以下是開始使用跨租用戶同步處理的基本步驟。
步驟 1:定義您要如何在組織中構建租用戶
跨租用戶同步處理提供彈性的解決方案來啟用共同作業,但每個組織都不同。 例如,您可能會有中央租用戶、附屬租用戶,或租用戶網格的排序。 跨租用戶同步處理支援上述任何拓撲。 如需詳細資訊,請參閱跨租用戶同步處理拓樸。
步驟 2:在目標租用戶中啟用跨租用戶同步處理
在建立使用者的目標租用戶中,流覽至 跨租使用者存取設定頁面。 在這裡,您可以選取個別核取方塊來啟用跨租用戶同步處理和 B2B 自動兌換設定。 如需詳細資訊,請參閱設定跨租用戶同步處理。
步驟 3:在來源租用戶中啟用跨租用戶同步處理
在任何來源租用戶中,流覽至跨租用戶存取設定頁面,並啟用 B2B 自動兌換功能。 接下來,您可以使用 [跨租用戶同步處理] 頁面來設定跨租用戶同步處理作業,並指定:
- 您想要同步處理的使用者
- 您想要包含的屬性
- 任何轉換
對於已使用 Microsoft Entra ID 將身分識別佈建到 SaaS 應用程式的人而言,此體驗將會很熟悉。 設定同步處理之後,您就可以開始測試一些使用者,並確定他們已重新建立並包含您所需的所有屬性。 測試完成後,您可以快速新增其他使用者,以同步處理並項整個組織推廣。 如需詳細資訊,請參閱設定跨租用戶同步處理。
授權需求
在來源租用戶中:使用此功能需要 Microsoft Entra ID P1 授權。 與跨租用戶同步處理同步處理的每位用戶都必須在其主/來源租用戶中擁有 P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能。
在目標租用戶中:跨租用戶同步會依賴 Microsoft Entra External ID 計費模型。 若要了解外部身分識別授權模型,請參閱 Microsoft Entra 外部 ID MAU 計費模型。 您也需要目標租用戶中至少一個 Microsoft Entra ID P1 授權,才能啟用自動刪除。
常見問題集
雲端
哪些雲端可以跨租用戶同步處理?
- 商業雲端和 Azure Government 支援跨租使用者同步處理。
- 跨租用戶同步處理不支援世紀互聯雲端所營運的 Microsoft Azure。
- 僅支援在同一 Azure 雲端中的兩個租用戶之間進行同步。 如需 Azure 雲端環境與 Microsoft 365 之間關聯性的相關信息(GCC、GCCH),請參閱 Microsoft 365 整合。 支援商業版與 GCC 之間的同步。
- 目前不支援跨雲端 (例如:公用雲端至 Azure Government)。
現有的 B2B 使用者
跨租用戶同步處理是否會管理現有的 B2B 使用者?
- 是。 跨租用戶同步處理會使用名為 alternativeSecurityIdentifier 的內部屬性,唯一比對來源租用戶中的內部使用者與目標租用戶中的外部 /B2B 使用者。 跨租用戶同步處理可以更新現有的 B2B 使用者,確保每個使用者只有一個帳戶。
- 跨租用戶同步處理無法比對來源租用戶中的內部使用者與目標租用戶中的內部使用者 (類型成員和類型來賓)。
同步處理頻率
跨租用戶同步處理多久執行一次?
- 同步間隔目前已修正為 40 分鐘間隔。 同步持續時間會根據範圍內的使用者數目而有所不同。 初始同步處理週期可能需要比下列累加同步週期長得多。
範圍
如何控制哪些同步處理至目標租用戶?
- 在來源租用戶中,您可以控制哪些使用者以組態或屬性為基礎的篩選來佈建。 您也可以控制使用者物件上哪些屬性進行同步處理。 如需更多資訊,請參閱使用範圍篩選條件設定要佈建的使用者或群組範圍。
如果使用者從來源租用戶的同步範圍中移除,跨租用戶同步處理是否會在目標中虛刪除?
- 是。 如果使用者從來源租用戶的同步範圍中移除,跨租用戶同步處理是否會在目標租用戶中虛刪除。
物件類型
可以同步處理哪些物件類型?
- Microsoft Entra 使用者可以在租用戶之間同步處理。 (目前不支援群組、裝置和聯繫人。)
可以同步處理哪些使用者類型?
- 內部成員可以從來源租用戶進行同步處理。 內部來賓不能從來源租用戶進行同步處理。
- 使用者可以將使用者同步處理為外部成員(預設) 或外部來賓的目標租用戶。
- 如需 UserType 定義的詳細資訊,請參閱 Microsoft Entra B2B 共同作業使用者的屬性。
我擁有現有的 B2B 共同作業使用者。 他們會發生什麼事?
- 跨租用戶同步處理會比對使用者,並對使用者進行任何必要的更新,例如更新顯示名稱。 根據預設,UserType 不會從來賓更新為成員,但您可以在屬性對應中設定。
屬性
可以同步處理哪些使用者屬性?
- 跨租用戶同步處理會同步處理 Microsoft Entra ID 中使用者物件的常用屬性,包括 (但不限於) displayName、userPrincipalName 和目錄擴充屬性。
- 跨租用戶同步處理支援在商業雲端中佈建管理員屬性 (公開預覽)。 美國政府雲端尚不支援管理員同步處理。 使用者及其管理員都必須在跨租用戶同步處理的範圍內,才能佈建管理員屬性。
- 針對在 2024 年 1 月之後建立且具有預設架構/屬性對應的跨租用戶同步處理設定:
- 管理員屬性會自動新增至屬性對應。
- 管理員更新將會套用在累加循環中,以供進行變更的使用者使用 (例如:管理員變更)。 同步處理引擎不會自動更新先前佈建的所有現有使用者。
- 若要更新佈建範圍中現有使用者的管理員,您可以使用特定使用者的隨選佈建,或重新啟動為所有使用者佈建管理員。
- 針對使用自訂架構/屬性對應在 2024 年 1 月之前建立的跨租使用者同步處理組態(例如:您已將屬性新增至對應或變更預設對應):
- 您必須將管理員屬性新增至屬性對應。 這會觸發重新啟動並更新佈建範圍內的所有使用者。 這應該是來源租用戶中管理員屬性與目標租用戶中管理員的直接對應。
- 如果在來源租用戶中移除使用者管理員,而且來源租用戶中未指派任何新管理員,則目標租用戶中將不會更新管理員屬性。
- 針對在 2024 年 1 月之後建立且具有預設架構/屬性對應的跨租用戶同步處理設定:
可以同步處理哪些屬性?
- 包括 (但不限於) 相片、自訂安全性屬性和目錄外部使用者屬性的屬性,無法透過跨租用戶同步處理來同步處理。
我是否可以控制來源/受控使用者屬性的位置?
- 跨租用戶同步處理不提供對授權來源的直接控制。 使用者及其屬性在來源租用戶上被視為權威。 授權單位工作流程有平行來源,可讓使用者向下發展到屬性層級的授權來源控制,而來源的使用者物件最終可能會反映多個基礎來源。 對於租用戶對租用戶的流程,這仍被視為來源租用戶中對同步處理程序的授權值 (即使片段實際上源自其他位置) 進入目標租用戶。 目前,不支援撤銷同步處理程序的授權來源。
- 跨租用戶同步處理僅支援物件層級的授權單位來源。 這表示使用者的所有屬性都必須來自相同的來源,包括認證。 無法撤銷同步物件的許可權來源或同盟方向。
如果同步處理使用者的屬性在目標租用戶中變更,會發生什麼事?
- 跨租用戶同步處理不會查詢目標中的變更。 如果來源租用戶中同步處理的使用者沒有任何變更,則目標租用戶中所做的使用者屬性變更將會保存。 不過,如果對來源租用戶中的使用者進行變更,則在下一個同步處理週期期間,目標租用戶中的使用者將會更新,以符合來源租用戶中的使用者。
目標租用戶是否可以針對同步處理的特定常用/來源租用戶使用者手動封鎖登入?
- 如果來源租用戶中同步處理的使用者沒有任何變更,則目標租用戶中的封鎖設定將會保存。 如果偵測到來源租用戶中使用者的變更,跨租用戶同步處理將會重新啟用在目標租用戶遭封鎖而無法登入的使用者。
結構
我是否可以在多個租用戶之間同步網格?
- 跨租用戶同步處理設定為單向對等同步處理,這表示同步會在一個來源和一個目標租用戶之間設定。 您可以將多個跨租用戶同步處理的執行個體設定為從單一來源同步至多個目標,以及從多個來源同步到單一目標。 但來源與目標之間只能有一個同步執行個體。
- 跨租用戶同步處理只會同步處理位於常用/來源租用戶內部的使用者,以確保您無法最終得到使用者回寫至相同租用戶的迴圈。
- 支援多個拓撲。 如需詳細資訊,請參閱跨租用戶同步處理拓樸。
我是否可以跨組織使用跨租用戶同步處理 (在我得多租用戶組織以外)?
- 出於隱私權的原因,跨租用戶同步處理只能在單一組織內使用。 我們建議使用權利管理來邀請整個組織的 B2B 共同作業使用者。
跨租用戶同步處理是否可以用來將使用者從一個資用戶移轉至另一個租用戶?
- 否。 跨租用戶同步處理不是移轉工具,因為同步處理的使用者需要來源租用戶才能進行驗證。 此外,租用戶移轉需要移轉使用者資料,例如 SharePoint 和 OneDrive。
B2B 共同作業
跨租用戶同步處理是否解決任何目前 B2B 共同作業的限制?
由於跨租用戶同步處理是以現有的 B2B 共同作業技術建置而成,存在套用限制。 範例包含 (但不限於):
應用程式或服務 限制 Power BI - Power BI 中 UserType 成員的支援目前為預覽狀態。 如需詳細資訊,請參閱使用 Microsoft Entra B2B 將 Power BI 內容散發給外部來賓使用者 (部分機器翻譯)。 Azure 虛擬桌面 - Azure 虛擬桌面不支援外部成員和外部來賓。
B2B 直接連接
跨租用戶同步處理與 B2B 直接連線有何關聯?
- B2B 直接連線是 Teams Connect 共用通道所需的基礎身分識別技術。
- 我們建議針對所有其他跨租用戶應用程式存取案例進行 B2B 共同作業,包括 Microsoft 和非 Microsoft 應用程式。
- B2B 直接連線和跨租用戶同步處理的設計目的是共同存在,而且您可以針對跨租用戶案例的廣泛涵蓋範圍啟用兩者。
我們正嘗試判斷在多租用戶組織中利用跨租用戶同步處理的程度。 您是否打算延伸對 B2B 直接連線的支援,超越 Teams Connect?
- 沒有計畫延伸對 B2B 直接連線的支援,超越 Teams Connect。
Microsoft 365
跨租用戶同步處理是否可增強任何跨租用戶 Microsoft 365 應用程式存取使用者體驗?
- 跨租用戶同步處理所用的功能會藉由隱藏每個租用戶中的第一次 B2B 同意提示和兌換程序來改善使用者體驗。
- 已同步處理的使用者將會有和任何其他 B2B 共同作業使用者相同的跨租用戶 Microsoft 365 體驗。
跨租用戶同步處理可以在 Microsoft 365 中啟用人員搜尋案例嗎?
- 可以,跨租用戶同步處理可以在 M365 中啟用人員搜尋案例嗎。 確保目標租使用者中使用者上的 showInAddressList 屬性設定為 True。 showInAddressList 屬性預設會在跨租用戶同步處理屬性對應中設定為 true。
- 跨租用戶同步處理會建立 B2B 共同作業使用者,而且不會建立連絡人。
Teams
跨租用戶同步處理是否增強任何目前的 Teams 體驗?
- 已同步處理的使用者將會有和任何其他 B2B 共同作業使用者相同的跨租用戶 Microsoft 365 體驗。
整合
目標租用戶中的使用者支援哪些同盟選項回到來源租用戶?
- 針對來源租用戶中的每個內部使用者,跨租用戶同步處理會建立目標中的同盟外部使用者 (通常用於 B2B)。 它支援同步處理內部使用者。 這包括使用網域同盟與其他身分識別系統同盟的內部使用者 (例如 Active Directory 同盟服務)。 不支援步處理外部使用者。
跨租用戶同步處理是否會使用跨網域身分識別管理系統 (SCIM)?
- 否。 目前,Microsoft Entra ID 支援 SCIM 用戶端,但不支援 SCIM 伺服器。 如需更多資訊,請參閱使用 Microsoft Entra ID 進行 SCIM 同步。
解除佈建
跨租用戶同步處理是否支援取消佈建使用者?
是,當來源租用戶中發生下列動作時,使用者將會在目標租用戶中虛刪除。
- 刪除來源租用戶中的使用者
- 從跨租用戶同步處理設定取消指派使用者
- 從指派給跨租用戶同步處理設定的群組中移除使用者
- 使用者上的屬性會變更,使其不再符合跨租用戶同步處理設定上定義的範圍篩選條件
如果使用者遭到封鎖而無法登入來源租用戶 (accountEnabled = false),則會封鎖他們無法登入目標。 這不是刪除,而是更新為 accountEnabled 屬性。
在此案例中,使用者不會從目標租用戶虛刪除:
- 將使用者新增至群組,並將它指派給來源租用戶中的跨租用戶同步處理設定。
- 視需要或透過累加週期佈建使用者。
- 將來源租用戶中使用者的帳戶啟用狀態更新為 False。
- 視需要或透過累加週期佈建使用者。 啟用帳戶的狀態在目標租用戶中會變更為 False。
- 從來源租用戶中的群組中移除使用者。
跨租用戶同步處理是否支援還原使用者?
- 如果來源租用戶中的使用者已還原、重新指派給應用程式,在虛刪除 30 天內再次符合範圍條件,則會在目標租用戶中還原。
- IT 系統管理員也可以手動還原目標租用戶中的使用者。
如何取消佈建目前在跨租用戶同步處理範圍內的所有使用者?
- 從跨租用戶同步處理設定取消指派所有使用者或群組。 這會觸發所有直接或透過群組成員資格取消指派的使用者,以在後續的同步處理週期中取消佈建。 請注意,目標租用戶必須保留啟用同步處理的輸入原則,直到取消佈建完成為止。 如果範圍設定為 [同步所有使用者和群組],您也必須將它變更為 [只同步指派的使用者和群組]。 跨租用戶同步處理會自動將使用者虛刪除。 使用者會在 30 天后自動進行實刪除,或者您可以選擇直接從目標租用戶刪除使用者。 您可以選擇直接在目標租用戶中刪除使用者,或等候 30 天,讓使用者自動進行硬刪除。
如果同步關係已中斷,外部使用者先前是否由目標租用戶中刪除的跨租用戶同步處理所管理?
- 否。 如果中斷關係,則不會對先前由跨租用戶同步處理管理的外部使用者進行變更 (例如,如果刪除跨租用戶同步處理原則)。