共用方式為

治理和跨租用戶同步處理的優點

  • 發行項

跨租用戶同步處理是隨時可用的彈性解決方案,可佈建帳戶,並協助組織中的租用戶順暢地共同作業。 跨租用戶同步處理會跨租用戶,自動管理使用者身分識別生命週期。 此功能可在來源租用戶的同步處理範圍內對使用者佈建、同步處理和取消佈建。

本文說明 Microsoft Entra ID Governance 客戶如何使用跨租用戶同步處理,跨多租用戶組織管理身分識別和存取生命週期。

部署範例

在此範例中,Contoso 是多租用戶組織,具有三個生產 Microsoft Entra 租用戶。 Contoso 正在部署跨租用戶同步處理和 Microsoft Entra ID Governance 功能,以解決下列案例:

  • 跨多個租用戶,管理員工身分識別生命週期
  • 使用工作流程,為源自其他租用戶的員工自動化生命週期流程
  • 將資源存取權自動指派給源自其他租用戶的員工
  • 允許員工要求存取多個租用戶中的資源
  • 檢閱同步處理使用者的存取權

從跨租租戶同步處理的觀點來看,Contoso 歐洲、中東和非洲 (即 Contoso EMEA) 和 Contoso 美國 (Contoso US) 都是來源租用戶,而 Contoso 是目標租用戶。 下圖可說明拓撲。

跨租用戶同步處理拓撲的圖表。

這個受支援的跨租用戶同步處理拓撲,是眾多 Microsoft Entra ID 的一種。 租用戶可以是來源租用戶、目標租用戶,或兩者都是。 了解跨租用戶同步處理和 Microsoft Entra ID Governance 功能如何解決下列案例。

跨租用戶管理員工生命週期

Microsoft Entra ID 中的跨租戶同步處理,可將建立、更新和刪除 B2B 共同作業使用者自動化。

組織在租用戶中建立或佈建 B2B 共同作業使用者時,使用者存取權有部分取決於組織如何佈建使用者:是訪客或是成員使用者類型。 選取使用者類型時,務必考慮各種 Microsoft Entra B2B 共同作業使用者的屬性。 如果使用者是大型多租用戶組織的一部分,且需要成員層級存取組織租用戶中的資源,則適合使用成員使用者類型。 Microsoft Teams 需要多租用戶組織中的成員使用者類型。

根據預設,跨租用戶同步處理會包含 Microsoft Entra ID 中使用者物件上常用的屬性。 下圖說明此案例。

與常用屬性同步處理的圖表。

組織會使用屬性,以協助在來源與目標租用戶中建立動態成員資格群組與存取套件。 部分 Microsoft Entra ID 功能可用使用者屬性進行目標設定,如生命週期工作流程使用者範圍。

若要移除或取消佈建,租用戶中的 B2B 共同作業使用者會自動停止存取該租用戶中的資源。 員工離開組織時,此設定便是相關的。

使用工作流程將生命週期程序自動化

Microsoft Entra ID 生命週期工作流程是身分識別管理功能,可管理 Microsoft Entra 使用者。 組織可以將加入者、移動者和離開者程序自動化。

透過跨租用戶同步處理,多租用戶組織可以設定生命週期工作流程,以針對其管理的 B2B 共同作業用戶自動執行。 例如,設定由 createdDateTime 事件使用者屬性所觸發的使用者上線工作流程,以要求新 B2B 共同作業使用者指派存取套件。 使用 userTypeuserPrincipalName 等屬性,為組織擁有的其他租用戶,設定生命週期工作流程的範圍。

使用存取套件,管理同步處理的使用者存取

多租用戶組織可以確保 B2B 共同作業使用者能存取目標租用戶中的共用資源。 使用者可以在需要時要求存取。 在下列案例中,請參閱身分識別治理功能,權利管理存取套件管理資源存取。

自動將目標租用戶的存取權,指派給來源租用戶的員工

出生權指派一詞是指根據一或多個使用者屬性,自動授與資源存取權。 若要設定出生權指派,請在權利管理中建立存取套件自動指派原則,並設定資源角色以授與共用資源存取權。

組織管理來源租用戶中的跨租用戶同步處理設定。 因此,組織可以將資源存取管理,委派給其他已同步處理 B2B 共同作業使用者的來源租用戶管理員:

  • 在來源租用戶中,系統管理員會針對需要跨租用戶資源存取的使用者,設定跨租用戶同步處理屬性對應
  • 在目標租用戶中,管理員會使用自動指派原則中的屬性,判斷同步處理 B2B 共同作業使用者的存取套件成員資格

若要在目標租用戶中推動自動指派原則,請在來源租用戶中同步處理預設屬性對應,例如部門或對應目錄延伸模組。

允許來源租用戶員工要求存取目標租用戶共享資源

透過身分識別管理存取套件原則,多租用戶組織可以允許跨租用戶同步處理已建立的 B2B 共同作業使用者,要求存取目標租使用者用戶中的共享資源。 如果員工需要對另一個租用戶擁有的資源進行 Just-In-Time (JIT) 存取,此程式會很有幫助。

檢閱同步使用者存取

Microsoft Entra ID 存取權檢閱可讓組織管理群組成員資格、對企業應用程式的存取,以及角色指派。 定期檢閱使用者存取權,確保人員能正確存取。

若資源存取設定不自動指派存取權,例如動態動態成員資格群組或存取套件,請設定存取權檢閱,以在完成時將結果套用至資源。 下列各節說明多租用戶組織如何針對來源和目標租用戶中的租用戶,設定存取權檢閱。

檢閱來源租用戶的使用者存取權

多租用戶組織可以在存取權檢閱中加入內部使用者。 此動作可在同步處理使用者的來源租用戶中,啟用存取重新認證。 使用此方法定期檢閱指派給跨租用戶同步處理的安全性群組。 因此,已在使用者主租用戶中,核准對其他租用戶進行中的 B2B 共同作業存取。

使用來源租用戶中使用者的存取權檢閱,以避免跨租租戶同步處理與存取權檢閱之間可能發生衝突,這些檢閱會在完成時,移除遭拒絕的使用者。

檢閱目標租用戶的使用者存取權

組織可以在存取權檢閱中加入 B2B 共同作業使用者,包括目標租用戶中跨租用戶同步處理所佈建的使用者。 此選項會針對目標租用戶中資源存取權,啟用重新認證。 雖然組織可以在存取權檢閱中以所有使用者為目標,但如有需要,也可以明確將訪客使用者設為目標。

對於同步處理 B2B 共同作業使用者的組織,Microsoft 通常不建議從存取權檢閱自動移除遭拒絕的訪客使用者。 跨租用戶同步處理會在同步處理範圍內,重新佈建使用者。

下一步