什麼是跨租戶同步處理?
跨租用戶同步處理會在組織中跨租用戶自動建立、更新和刪除 Microsoft Entra B2B 共同作業使用者。 它讓使用者能夠存取應用程式和跨租用戶共同作業,同時允許讓組織不斷發展。
以下是跨租用戶同步處理的主要目標:
- 多租戶組織的順暢協作
- 自動化多租用戶組織中 B2B 共同作業使用者的生命週期管理
- 當使用者離開組織時,自動移除 B2B 帳戶
為什麼要使用跨租用戶同步?
跨租戶同步處理,可將建立、更新和刪除 B2B 共同作業使用者自動化。 使用跨租用戶同步處理建立的使用者能夠存取 Microsoft 應用程式 (例如 Teams 和 SharePoint) 和非 Microsoft應用程式(例如 ServiceNow、Adobe等等),不論應用程式是與哪個租用戶整合。 這些使用者會繼續受益於 Microsoft Entra ID 中的安全性功能,例如 Microsoft Entra 條件式存取和跨租用戶存取設定,而且可以透過 Microsoft Entra 權利管理等功能來管理。
下圖顯示如何使用跨租用戶同步處理,讓使用者能夠存取組織中租用戶之間的應用程式。
適合對象?
- 擁有多個 Microsoft Entra 租用戶,且想要簡化組織內部跨租用戶應用程式存取的組織。
- 跨租用戶同步處理目前不適合跨組織界線使用。
福利
使用跨租戶同步,您可以執行下列動作:
- 在組織內自動建立 B2B 共同作業使用者,並提供他們所需的應用程式存取權,而不需要建立和維護自訂指令碼。
- 改善使用者體驗,並確保使用者可以在不需要接收邀請電子郵件和接受每個租戶中的同意提示的情況下存取資源。
- 自動更新使用者,並在他們離開組織時將其移除。
Teams 和 Microsoft 365
跨租用戶同步處理建立的使用者在存取 Microsoft Teams 和其他 Microsoft 365 服務時,將擁有與透過手動邀請建立的 B2B 協作使用者相同的體驗。 如果您的組織使用共用通道,請參閱已知問題文件以取得其他詳細資料。 經過一段時間, member userType 將由各種Microsoft 365 服務使用,為多租用戶組織中的使用者提供不同的使用者體驗。
屬性
當您設定跨租用戶同步處理時,您會定義來源租用戶與目標租用戶之間的信任關係。 跨租戶同步具有下列屬性:
- 基於 Microsoft Entra 佈建引擎。
- 這是一種來自來源租用戶的推送方式,而不是來自目標租用戶的提取方式。
- 僅支援將內部成員從原始租用戶推出。 不支援從來源租戶同步外部使用者。
- 在來源租用戶中,已設定同步處理範圍內的使用者。
- 屬性對應是在源承租者中設定。
- 延伸屬性受到支援。
- 目標租用戶管理員可以隨時停止同步處理。
下表顯示跨租用戶同步處理的各個部分,以及其設定的租用戶。
| 租戶 | 跨租用戶 存取設定 |
自動兌換 | 同步設定 組態 |
範圍中的使用者 |
|---|---|---|---|---|
原始租用戶 |
✔️ | ✔️ | ✔️ | |
目標租客 |
✔️ | ✔️ |
跨租用戶同步設定
跨租用戶同步處理設定是一個僅限內部的組織設定,允許來源租用戶的系統管理員將使用者同步到目標租用戶。 此設定是一個核取方塊,位於目標租用戶中,名稱為 [允許使用者同步至此租用戶]。 此設定不會影響透過其他流程建立的 B2B 邀請,例如手動邀請或 Microsoft Entra 權利管理。
![螢幕擷取畫面:顯示 [跨租戶同步] 索引標籤,其中包含 [允許使用者同步至此租戶] 勾選框。](../../media/external-identities/access-settings-users-sync.png#lightbox)
若要使用 Microsoft Graph 配置此設定,請參閱更新 crossTenantIdentitySyncPolicyPartner API。 如需詳細資訊,請參閱設定跨租用戶同步處理。
自動兌換設定
自動兌換設定是輸入和輸出組織信任設定,可自動兌換邀請,因此使用者不需要在第一次存取資源/目標租用戶時接受同意提示。 這個設定是一個具有下列名稱的核取方塊:
- [使用租戶自動兌換邀請]<[租戶]>
比較不同情境的設定
自動兌換設定適用於下列情況中的跨租用戶同步處理、B2B 共同作業和 B2B 直接連接:
- 在使用跨租用戶同步處理時,會在目標租用戶中建立使用者。
- 使用 B2B 協作時,將使用者新增至資源租用戶。
- 當使用者透過 B2B 直接連接,存取資源租用戶中的資源時。
下表顯示此設定針對這些案例啟用時的比較:
| 項目 | 跨租戶同步 | B2B 共同作業 | B2B 直接連接 |
|---|---|---|---|
| 自動兌換設定 | 必要 | 選擇性 | 選擇性 |
| 使用者會收到 B2B 共同作業的邀請電子郵件 | 不 | 不 | N/A |
| 使用者必須接受同意提示 | 不 | 不 | 不 |
| 使用者會收到 B2B 共同作業的通知電子郵件 | 不 | .是 | N/A |
此設定不會影響應用程式同意體驗。 如需詳細資訊,請參閱 Microsoft Entra ID 中的應用程式同意體驗。 不同 Microsoft 雲端環境的組織不支援此設定,例如 Azure 商業和 Azure Government。
什麼時候同意提示不會顯示?
如果主租用戶/來源租用戶 (輸出) 和資源/目標租用戶 (輸入) 都會檢查此設定,則自動兌換設定只會隱藏同意提示和邀請電子郵件。
下表顯示已針對不同的跨租用戶存取設定組合勾選自動兌換設定時,來源租用戶使用者的同意提示行為。
| 主租用戶/來源租用戶 | 資源/目標租戶 | 同意提示行為 適用於來源租用戶使用者 |
|---|---|---|
| 輸出 | 入站 | |
|
|
已隱藏 |
|
|
|
未隱藏 |
|
|
|
未隱藏 |
|
|
|
未壓制 |
| 入站 | 外寄 | |
|
|
|
未隱藏 |
|
|
|
未隱藏 |
|
|
|
未被抑制 |
|
|
|
未壓制 |
若要使用 Microsoft Graph 配置此設定,請參閱更新 crossTenantAccessPolicyConfigurationPartner API。 如需詳細資訊,請參閱設定跨租用戶同步處理。
使用者如何知道自己所屬的租戶?
對於跨租戶同步,使用者不會收到電子郵件,也不需要接受同意提示。 如果使用者想要查看其所屬的租用戶,他們可以開啟其 [我的帳戶] 頁面,然後選取 [組織]。 在 Microsoft Entra 系統管理中心,使用者可以開啟其 [入口網站設定]、檢視其 [目錄 + 訂用帳戶],以及切換目錄。
如需更多資訊,包括隱私權資訊,請參閱以外部使用者身份退出組織。
開始使用
以下是開始使用租戶間同步的基本步驟。
步驟 1:定義您要如何在組織中結構化租用戶
跨租戶同步提供彈性的解決方案來促進協作,但每個組織都不同。 例如,您可能會有中央租賃、附屬租賃或租賃網状結構。 跨租用戶同步處理支援上述任何拓撲。 如需詳細資訊,請參閱跨租用戶同步處理架構。
步驟 2:在目標租用戶中啟用跨租用戶同步處理
在建立使用者的目標租用戶中,流覽至 跨租使用者存取設定頁面。 在這裡,您可以選取個別核取方塊來啟用跨租用戶同步處理和 B2B 自動兌換設定。 如需詳細資訊,請參閱設定跨租戶同步處理。
步驟 3:在來源承租戶中啟用跨租用戶同步處理
在任何來源租用戶中,瀏覽至跨租用戶存取設定頁面,並啟用 B2B 自動兌換功能。 接下來,您可以使用 [跨租用戶同步處理] 頁面來設定跨租用戶同步處理作業,並指定:
- 您想要同步處理的使用者
- 您想要包含的屬性
- 任何轉換
對於已使用 Microsoft Entra ID 將身分識別佈建到 SaaS 應用程式的人而言,此體驗將會很熟悉。 設定同步處理之後,您就可以開始以一些使用者進行測試,並確定他們已被建立並包含您所需的所有屬性。 測試完成後,您可以快速新增其他使用者,以同步處理並項整個組織推廣。 如需更多資訊,請參閱設定跨租用戶同步。
授權需求
在來源租戶中:使用此功能需要 Microsoft Entra ID P1 授權。 與跨租用戶同步的每位用戶都必須在其所屬/來源的租用戶中擁有 P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能。
在目標租用戶中:跨租用戶同步會依賴 Microsoft Entra External ID 計費模型。 若要了解外部身分識別授權模型,請參閱 Microsoft Entra 外部 ID MAU 計費模型。 您也需要在目標租用戶中至少擁有一個 Microsoft Entra ID P1 授權,才能啟用自動兌換。
常見問題集
雲
哪些雲可以進行跨租用戶同步?
- 商業雲端和 Azure 政府雲支援跨租戶同步。
- 跨租用戶同步處理不支援世紀互聯雲端所營運的 Microsoft Azure。
- 僅支援在同一 Azure 雲端中的兩個租用戶之間進行同步。 如需 Azure 雲端環境與 Microsoft 365 之間關聯性的相關信息(GCC、GCCH),請參閱 Microsoft 365 整合。 支援商業版與 GCC 之間的同步。
- 目前不支援跨雲端(例如:公共雲端到 Azure 政府云)。
現有的 B2B 使用者
跨租用戶同步是否會管理現有的 B2B 使用者?
- 是。 跨租戶同步處理使用名為 alternativeSecurityIdentifier 的內部屬性,來唯一配對來源租戶中的內部使用者與目標租戶中的外部或 B2B 使用者。 跨租用戶同步可以更新現有的 B2B 使用者,確保每個使用者只有一個帳戶。
- 跨租用戶同步無法將來源租用戶中的內部使用者與目標租用戶中的內部使用者相匹配(不論是成員類型還是來賓類型)。
同步處理頻率
跨租用戶同步作業多久運行一次?
- 同步間隔目前已修正為 40 分鐘間隔。 同步持續時間會根據範圍內的使用者數目而有所不同。 初始同步處理週期可能需要比下列累加同步週期長得多。
範圍
如何控制同步處理到目標租用戶的內容?
- 在來源租戶中,您可以控制使用者的佈建,這可以透過組態或屬性基礎的篩選來達成。 您也可以控制使用者物件上哪些屬性進行同步處理。 如需更多資訊,請參閱使用範圍篩選條件來指定要佈建的使用者或群組。
如果使用者從來源租用戶的同步範圍中移除,跨租用戶同步處理是否會在目標中軟刪除?
- 是。 如果使用者從來源租用戶的同步範圍中移除,跨租用戶同步處理會在目標租用戶中將其軟刪除。
物件類型
可以同步處理哪些物件類型?
- Microsoft Entra 使用者可以在租戶之間同步。 (目前不支援群組、裝置和聯繫人。)
可以同步處理哪些使用者類型?
- 內部成員可以從來源租戶同步。 內部訪客無法從來源租戶同步。
- 使用者可以同步到目標租用戶,作為外部成員(預設)或外部來賓。
- 如需 UserType 定義的詳細資訊,請參閱 Microsoft Entra B2B 共同作業使用者的屬性。
我擁有現有的 B2B 共同作業使用者。 他們會發生什麼事?
- 跨租用戶同步處理會比對使用者,並對使用者進行任何必要的更新,例如更新顯示名稱。 預設情況下,「UserType」不會從來賓更新為成員,但您可以在屬性對應設定中進行設定。
屬性
可以同步處理哪些使用者屬性?
- 跨租用戶同步將同步 Microsoft Entra ID 中使用者物件的常用屬性,包括(但不限於)顯示名稱 (displayName)、使用者主名稱 (userPrincipalName) 和目錄擴充屬性。
- 跨租用戶同步處理支援於商業雲端環境中佈建管理者屬性。 美國政府雲端尚不支援管理員同步處理。 使用者及其管理員都必須在跨租用戶同步處理的範圍內,才能佈建管理員屬性。
- 針對在 2024 年 1 月之後建立且具有預設架構/屬性對應的跨租用戶同步處理設定:
- 管理者屬性將會自動新增到屬性映射。
- 管理員更新將會套用在累加循環中,以供進行變更的使用者使用 (例如:管理員變更)。 同步處理引擎不會自動更新先前佈建的所有現有使用者。
- 若要更新佈建範圍中現有使用者的管理員,您可以使用特定使用者的隨選佈建,或重新啟動為所有使用者佈建管理員。
- 對於在 2024 年 1 月之前已建立的跨租戶同步處理設定,包含自訂架構或屬性對應(例如:您已將屬性添加到對應或變更預設對應):
- 您需要將管理者屬性新增到您的屬性對應中。 這會觸發重新啟動並更新佈建範圍內的所有使用者。 這應該是來源租用戶中管理員屬性與目標租用戶中管理員的直接對應。
- 如果在來源租用戶中移除使用者管理員,而且來源租用戶中未指派任何新管理員,則目標租用戶中將不會更新管理員屬性。
- 針對在 2024 年 1 月之後建立且具有預設架構/屬性對應的跨租用戶同步處理設定:
哪些屬性不能同步處理?
- 無法透過跨租用戶同步處理的屬性包括(但不限於)相片、自訂安全性屬性和目錄外部使用者屬性。
我是否可以控制來源/受控使用者屬性的位置?
- 跨租用戶同步處理不提供對授權來源的直接控制。 使用者及其屬性在來源租用戶中被視為權威。 權威來源流程有平行來源,可讓使用者逐漸發展到屬性層級的權威來源控制,而來源處的使用者物件最終可能反映多個基礎來源。 對於租戶間的流程,這仍然被視為來源租戶的數值在同步過程中具決定性地位(即使某些部分實際來源於其他地方),以將其轉入目標租戶。 目前,不支援撤銷同步處理程序的授權來源。
- 跨租用戶同步僅支援物件層級的權威來源。 這表示使用者的所有屬性都必須來自相同的來源,包括認證。 無法撤銷同步物件的許可權來源或同盟方向。
如果同步處理的使用者屬性在目標租戶中變更,會怎麼樣?
- 跨租戶同步處理不會查詢目標中的變更。 如果來源租用戶中同步處理的使用者沒有任何變更,則目標租用戶中所做的使用者屬性變更將會保存。 不過,如果對來源租用戶中的使用者進行變更,則在下一個同步處理週期期間,目標租用戶中的使用者將會更新,以符合來源租用戶中的使用者。
目標租用戶是否可以手動封鎖同步的特定來源租用戶使用者的登入?
- 如果在來源租用戶中,同步處理的使用者沒有任何變更,那麼目標租用戶中的封鎖登入設定將會持續存在。 如果偵測到來源租用戶中使用者的變更,跨租用戶同步處理將會重新啟用該在目標租用戶中被阻止登入的使用者。
結構
我是否可以在多個租用戶之間同步網格?
- 跨租戶同步配置為單向的點對點同步,這表示在一個來源租戶和一個目標租戶之間進行同步配置。 您可以將多次的跨租戶同步設定為從單一來源同步至多個目標,並可從多個來源同步至單一目標。 但來源與目標之間只能有一個同步執行個體。
- 跨租用戶同步只會同步來源租用戶內部的使用者,以確保不會發生使用者回寫至相同租用戶的迴圈。
- 支援多個拓撲。 如需詳細資訊,請參閱跨租戶同步拓樸。
我能否在其他組織(不屬於我的多租戶組織)間使用跨租戶同步?
- 出於隱私權的原因,跨租用戶同步處理只能在單一組織內使用。 我們建議使用權利管理來邀請整個組織的 B2B 共同作業使用者。
跨租用戶同步是否可以用來將使用者從一個租用戶移轉至另一個租用戶?
- 否。 跨租用戶同步處理不是移轉工具,因為同步處理的使用者需要來源租用戶才能進行驗證。 此外,租用戶移轉需要移轉使用者資料,例如 SharePoint 和 OneDrive。
B2B 共同作業
跨租用戶同步是否解決了目前現有的任何 B2B 共同作業限制?
由於跨租用戶同步處理是以現有的 B2B 共同作業技術建置而成,存在套用限制。 範例包含 (但不限於):
應用程式或服務 限制 Power BI - Power BI 中 UserType 成員的支援目前為預覽狀態。 如需詳細資訊,請參閱使用 Microsoft Entra B2B 將 Power BI 內容散佈給外部來賓使用者。 Azure 虛擬桌面 - Azure 虛擬桌面不支援外部成員和外部來賓。
B2B 直接連接
跨租用戶同步與B2B 直接連線有何關聯?
- B2B 直接連線是 Teams Connect 共用通道所需的基礎身分識別技術。
- 我們建議針對所有其他跨租用戶應用程式存取案例進行 B2B 共同作業,包括 Microsoft 和非 Microsoft 應用程式。
- B2B 直接連線和跨租用戶同步處理的設計目的是共存,而且您可以啟用兩者以便更廣泛地涵蓋跨租用戶情境。
我們正在嘗試確定在我們的多租戶環境中,需要使用跨租戶之間同步的程度。 您是否打算延伸對 B2B 直接連線的支援,超越 Teams Connect?
- 沒有計畫在 Teams Connect 共享頻道之外延伸對 B2B 直接連線的支援。
Microsoft 365
跨租用戶同步處理是否可增強任何跨租用戶 Microsoft 365 應用程式存取使用者體驗?
- 跨租戶同步處理利用一項功能,透過抑制每個租戶中的首次 B2B 同意提示和兌換流程來提升使用者體驗。
- 已同步處理的使用者將會擁有與其他 B2B 合作使用者相同的跨租用戶 Microsoft 365 體驗。
跨租用戶同步處理可以在 Microsoft 365 中啟用人員搜尋場景嗎?
- 可以,跨租用戶同步處理可以在 M365 中啟用人員搜尋。 確保目標租使用者的 showInAddressList 屬性設為 True。 showInAddressList 屬性在跨租用戶同步處理屬性對應中,預設會設定為 true。
- 跨租用戶同步處理會建立 B2B 共同作業使用者,而且不會建立連絡人。
團隊
跨租用戶同步處理是否增強任何目前的 Teams 體驗?
- 已同步的使用者將擁有和其他任何 B2B 協作使用者相同的跨租戶 Microsoft 365 使用體驗。
整合
目標租用戶中的使用者,哪些同盟選項支援返回來源租用戶?
- 針對來源租用戶中的每個內部使用者,跨租用戶同步處理會建立目標中的同盟外部使用者 (通常用於 B2B)。 它支援同步內部使用者。 這包括使用網域同盟與其他身分識別系統同盟的內部使用者 (例如 Active Directory 同盟服務)。 不支援同步外部使用者。
跨租用戶同步處理是否會使用跨網域身分識別管理系統 (SCIM)?
- 否。 目前,Microsoft Entra ID 支援 SCIM 用戶端,但不支援 SCIM 伺服器。 如需更多資訊,請參閱使用 Microsoft Entra ID 進行 SCIM 同步。
停用
跨租用戶同步處理是否支援取消佈建使用者?
是,當來源租用戶中發生下列動作時,使用者將會在目標租用戶中軟刪除。
- 刪除來源租戶中的使用者
- 從跨租用戶同步處理設定取消指派使用者
- 從指派給跨租用戶同步處理設定的群組中移除使用者
- 使用者的某項屬性變更,使其不再符合跨租用戶同步處理配置中定義的範圍篩選條件。
如果使用者在來源租用戶中被封鎖且無法登入 (accountEnabled = false),則他們也將無法登入目標租用戶。 這不是刪除,而是對 accountEnabled 屬性的更新。
在此案例中,使用者不會從目標租用戶虛刪除:
- 將使用者新增至群組,並將該群組指派給來源租用戶中的跨租用戶同步處理設定。
- 根據需求或透過逐步週期配置使用者。
- 將來源租用戶中使用者的帳戶啟用狀態更新為 False。
- 根據需求或透過增量週期配置使用者。 啟用帳戶的狀態在目標租用戶中會變更為false。
- 從來源租用戶中的群組中移除使用者。
跨租用戶同步功能是否支援復原使用者?
- 如果來源租用戶中的使用者已被還原並重新指派給應用程式,且在虛刪除 30 天內再次符合範圍條件,則會在目標租用戶中還原。
- IT 系統管理員也可以直接在目標租用戶中手動還原使用者。
如何解除目前在跨租同步範圍內的所有使用者的佈建?
- 從跨租戶同步設定取消指派所有使用者或群組。 這將觸發所有直接或透過群組成員資格取消指派的使用者,在後續的同步週期中被停用。 請注意,目標租用戶必須保留啟用同步處理的輸入原則,直到取消佈建完成為止。 如果範圍設定為 [同步所有使用者和群組],您也必須將它變更為 [只同步指派的使用者和群組]。 跨租戶同步會自動將使用者軟刪除。 使用者將在 30 天後自動被永久刪除,或者您可以選擇直接從目標租用戶永久刪除使用者。 您可以選擇直接在目標租用戶中進行硬刪除使用者,或等候 30 天後,讓使用者自動被硬刪除。
如果同步關係被切斷,先前透過跨租用戶同步管理的外部使用者會在目標租用戶中被刪除嗎?
- 否。 如果中斷關係,則不會對先前由跨租用戶同步處理管理的外部使用者進行變更 (例如,如果刪除跨租用戶同步處理原則)。