Microsoft Entra ID 中的多租用戶組織功能
本文提供多租用戶組織案例的概觀,以及其在 Microsoft Entra ID 中的相關功能。
什麼是多租戶組織情境?
當組織有多個 Microsoft Entra ID 租用戶執行個體時,就會出現多租戶組織情境。 以下是組織可能有多租用戶的主要原因:
- 集團:具有多個子公司或獨立運作的業務單位的組織。
- 合併和收購:合併或收購公司的組織。
- 分拆活動:分拆中,一個組織將部分業務分割成新的組織,或將其銷售給現有組織。
- 多個雲端:具有合規性或法規需求的組織,必須存在於多個雲端環境中。
- 多個地理邊界:在多個地理位置運作的組織,受到各種居留法規的影響。
- 測試或暫存租用戶:在廣泛部署到主要租用戶之前,需要多個租用戶進行測試或暫存的組織。
- 部門或員工創建的租用戶:由部門或員工創建的租用戶,用於開發、測試或個別控制的組織。
什麼是 Microsoft Entra 租戶?
租戶是 Microsoft Entra ID 的一個實例,其中記錄了關於單一組織的資訊,包括組織對象如使用者、群組和裝置,還有應用程式註冊如 Microsoft 365 和第三方應用程式。 租戶也包含資源的存取和合規性政策,例如在目錄中註冊的應用程式。 租用戶的主要功能包括身分識別驗證,以及資源存取管理。
從 Microsoft Entra 的觀點來看,租用戶在身分識別和存取管理中構成一個範疇。 例如,租用戶系統管理員可讓租用戶中的部分或所有使用者可用應用程式,並為該租用戶中的使用者強制執行該應用程式的存取原則。 此外,租戶包含組織品牌資訊,可影響終端使用者體驗,例如組織電子郵件網域和該組織員工所使用的 SharePoint URL。 從 Microsoft 365 的角度來看,租用戶構成了預設的協作和授權邊界。 例如,Microsoft Teams 或 Microsoft Outlook 中的使用者可以輕鬆地尋找並與其租用戶中的其他使用者共同作業,但無法尋找或查看其他租用戶中的使用者。
租用戶包含機密的組織資料,並安全地與其他租用戶隔離。 此外,租戶也可以設定為在特定區域或雲端保存和處理資料,使組織能夠使用租戶作為符合資料駐留和處理合規性需求的機制。
多租用戶的挑戰
您的組織最近可能已收購新公司、與另一家公司合併,或根據新成立的業務單位進行重組。 如果您有不同的身分識別管理系統,則不同租用戶中的使用者存取資源和共同作業可能會是個挑戰。
下圖顯示其他租用戶中的使用者,可能無法在您的組織內存取跨租用戶應用程式。
隨著組織的發展,您的 IT 小組必須適應不斷變化的需求。 這通常包括整合現有的租戶,或形成新的租戶。 無論身分識別基礎結構如何管理,重要的是使用者存取資源和共同作業都必須擁有順暢的體驗。 目前,您可以使用自訂指令碼或內部部署解決方案將租用戶整合在一起,為跨租用戶提供順暢的體驗。
多租用戶組織的多租用戶功能
Microsoft Entra ID 中的多租用戶組織提供一系列多租用戶功能,可讓您用來安全地與多個租用戶組織中的使用者互動,以及自動佈建和管理跨租用戶的使用者。
其中多個多租用戶功能會與商務來賓的 Microsoft Entra 外部 ID 共用一個通用技術堆疊,並在 Microsoft Entra ID 中佈建應用程式,因此您可能會經常找到這些其他區域的交叉參考。 Microsoft 365 企業版使用多租用戶功能,在 Microsoft Teams 和跨 Microsoft 365 應用程式之間啟用或輔助更順暢的多租用戶共同作業體驗。
下列多租用戶功能集合,支援多租用戶組織的需求:
跨租用戶存取設定 - 管理組織內的租用戶允許或不允許從其他租用戶存取您的租用戶,反之亦然。 它們負責管理 B2B 共同作業、B2B 直接連接、跨租用戶同步,以及指出您組織中另一個租用戶是否已知屬於您的多租用戶組織。
B2B 直接連接 - 建立與其他 Microsoft Entra 租用戶的相互雙向信任,以便順暢地共同作業。 B2B 直接連接使用者不會顯示在您的目錄中,但在 Teams 的共用頻道中可以看到,以便進行協作。
B2B 共同作業 – 提供應用程式存取權,並與外部使用者共同作業。 B2B 共同作業使用者顯示在您的目錄中。 他們在 Microsoft Teams 上可用於共同作業,如果已啟用。 此功能也可用於所有 Microsoft 365 應用程式。
跨租用戶同步處理 - 提供同步處理服務,可自動化跨多個租用戶組織建立、更新和刪除 B2B 共同作業使用者。 此服務可用來設定目標租用戶中 Microsoft 365 人員搜尋的範圍。 此服務由跨租用戶存取設定下的跨租用戶同步處理設定所控管。
Microsoft 365 多租戶人員搜索 - 與 B2B 合作使用者進行協作。 如果在地址清單中顯示,B2B 共同作業使用者可在 Outlook 中以連絡人的形式使用。 如果將使用者類型提升為 [成員],則大部分 Microsoft 365 應用程式中都可以使用 B2B 共同作業成員使用者。
多租用戶組織 - 定義貴組織擁有的 Microsoft Entra 租用戶的邊界,並透過邀請與接受流程加以實行。 搭配 B2B 成員佈建,可在 Microsoft Teams 和 Microsoft 365 應用程式,例如 Microsoft Viva Engage,提供順暢的共同作業體驗。 跨租用戶存取設定會為您的多租用戶組織租用戶加上旗標。
適用於多租用戶共同作業的 Microsoft 365 系統管理中心 - 提供直覺式的管理員入口網站體驗,以建立多租用戶組織。 對於較小的多租用戶組織,也提供簡化的使用體驗,將使用者同步至多租用戶組織的租戶,作為不使用 Microsoft Entra 系統管理中心的選擇。
下列各節會更詳細地說明每個功能。
跨租用戶存取設定
Microsoft Entra 租用戶系統管理員保持對其租用戶範疇的資源的控制是一項指導原則,即使在您的多租用戶組織中也是如此。 因此,每個租用戶之間的關係都需要跨租用戶存取設定,租用戶系統管理員會根據需要具體配置每個跨租用戶存取關係。
下圖顯示基本跨租用戶存取輸入和輸出設定功能。
如需詳細資訊,請參閱跨租用戶存取概觀。
B2B 直接連接
若要讓使用者在 Teams Connect 共用頻道內跨租用戶共同作業 ,您可以使用 Microsoft Entra B2B 直接連線。 B2B 直接連接是 External ID 的一項特性,允許您與另一個 Microsoft Entra 租用戶建立互信關係,以便在 Teams 中無縫共同作業。 建立信任後,B2B 直接連接使用者可以使用來自其主要租用戶的認證進行單一登入存取。
以下是在多個租用戶之間使用 B2B 直接連線的主要限制:
- 目前,B2B 直接連接僅能與 Teams Connect 共用通道搭配使用。
如需詳細資訊,請參閱 B2B 直接連線概觀。
B2B 共同作業
若要讓使用者跨租用戶共同作業,您可以使用 Microsoft Entra B2B 共同作業。 B2B 共同作業是外部身分識別中的一項功能,可讓您邀請來賓使用者與您的組織共同作業。 一旦外部使用者接受邀請或完成註冊之後,他們就會在您的租戶中以使用者物件表示。 透過 B2B 共同作業,您可以與外部使用者安全地共用租用戶的應用程式與服務,同時持續控制租用戶的資料。
以下是跨多個租用戶使用 B2B 共同作業的主要限制:
- 系統管理員必須使用 B2B 邀請程式邀請使用者,或使用 B2B 共同作業邀請管理員來建置上線體驗。
- 系統管理員可能需要使用自訂指令碼來同步使用者。
- 依據自動兌換設定,使用者可能需要接受同意提示,並遵循每個租用戶中的兌換流程。
如需詳細資訊,請參閱 B2B 共同作業概觀。
跨租戶同步
如果您想要讓使用者在租用戶之間擁有更順暢的共同作業體驗,您可以在 Microsoft Entra ID 中使用跨租用戶同步處理。 跨租用戶同步處理是 Microsoft Entra ID 中提供同步處理服務的一種方式,可自動化跨組織內的租用戶建立、更新和刪除 B2B 共同作業使用者。 跨租用戶同步處理建置在 B2B 共同作業功能上,並利用現有的 B2B 跨租用戶存取設定。 使用者會在目標租用戶中表示為 B2B 共同作業使用者物件。
以下是使用跨租用戶同步的主要優點:
- 在組織內自動建立 B2B 共同作業使用者,並提供他們所需的應用程式存取權,而不需要建立和維護自訂指令碼。
- 改善使用者體驗,並確保使用者能夠存取資源,無需接收邀請電子郵件,也無需在每個租用戶中接受同意提示。
- 自動更新使用者,並在他們離開組織時將其移除。
跨多個租用戶使用跨租用戶同步的主要限制如下:
- 已同步的使用者將與其他 B2B 合作使用者擁有相同的跨租用戶 Teams 和 Microsoft 365 可用體驗。
- 不會同步群組、裝置或連絡人。
如需詳細資訊,請參閱什麼是跨租用戶同步處理?。
Microsoft 365 多租用戶人員搜尋
B2B 協作使用者現在可以在 Microsoft 365 中啟用以進行協作,不僅限於眾所熟知的 B2B 共同作業來賓使用者 體驗。
多租戶組織人員搜尋是一項協作功能,使得可以跨多個租戶進行人員的搜尋和探索。 如果在地址清單中顯示,B2B 共同作業使用者可在 Outlook 中以連絡人的形式使用。 除了在地址清單中顯示以外,如果進一步將使用者類型提升為 [成員],則大部分 Microsoft 365 應用程式中都可以使用 B2B 共同作業成員使用者。
以下是跨多個租用戶使用 Microsoft 365 人員搜尋的主要優點:
- 可以將 B2B 協作使用者開放於 Outlook 中進行協作。 這可以透過將主體租用戶中的 Exchange Online 郵件使用者的 showInAddressList 屬性設為 true,或使用來源租用戶的 跨租用戶同步 來啟用。
- B2B 共同作業使用者已顯示在地址清單中,並可在大多數 Microsoft 365 應用程式中進行共同作業,只需將 userType 屬性設為「Member」。這些設定可在主機租用戶的 Microsoft Entra 系統管理中心中管理,或者可使用 跨租用戶同步處理從來源租用戶進行設定。
以下是跨多個租用戶使用 Microsoft 365 人員搜尋功能的主要限制:
- 對於大部分 Microsoft 365 應用程式的共同作業,B2B 共同作業使用者應該會在地址清單中顯示,並將使用者類型設定為「成員」。
- 如需其他地址清單條件約束,請參閱多租用戶組織中全域位址清單限制。
如需詳細資訊,請參閱 Microsoft 365 多租用戶人員搜尋。
多租戶組織
多租用戶組織是 Microsoft Entra ID 和 Microsoft 365 中的一項功能,可讓您定義組織擁有之 Microsoft Entra 租用戶之間的邊界。 在目錄中,它會採用代表您組織的租戶群組形式。 群組中的每個租用戶配對都會受到您用來設定 B2B 共同作業的跨租用戶存取設定所控管。
以下是多租用戶組織的主要優勢:
- 區分組織內部和組織外的外部使用者
- 改善新的 Microsoft Teams 中的共同作業體驗
- 改善 Viva Engage 中的共同作業體驗
以下是使用多租戶組織的主要限制:
- 如果您已在屬於多租用戶組織的租用戶中擁有 B2B 共同作業成員使用者,這些使用者會在建立多租用戶組織時立即成為多租用戶組織成員。 因此,具有多租用戶組織體驗的應用程式會將現有的 B2B 共同作業成員使用者辨識為多租用戶組織使用者。
- 要改善 Microsoft Teams 的協作,需要相互提供 B2B 協作成員用戶。
- 透過 B2B 共同作業成員的集中式佈建,可以改善 Viva Engage 的協作體驗。
- 如需其他條件約束,請參閱多租用戶組織中的限制。
如需詳細資訊,請參閱什麼是 Microsoft Entra ID 中的多租用戶組織?。
多租用戶共同作業的 Microsoft 365 系統管理中心
適用於多租用戶共同作業的 Microsoft 365 系統管理中心提供直覺式的管理員入口網站體驗,以建立您的多租用戶組織。
- 在 Microsoft 365 系統管理中心中建立多租用戶組織。
建立多租用戶組織之後,Microsoft 提供兩種方法,可以大規模地將員工部署到鄰近的多租用戶組織的租戶中。
- 針對具有複雜身分識別拓撲的企業組織,建議在 Microsoft Entra ID 中使用跨租用戶同步處理。 跨租戶同步具有高度的可配置性,並允許配置任何多中樞多輻射的身份拓撲。
- 對於小型的多租戶組織而言,若需將員工佈建到所有租戶,我們建議您繼續使用 Microsoft 365 系統管理中心,以便同時將使用者同步到您的多租戶組織中的所有租戶。
如果您已經有自己的大規模使用者佈建引擎,您可以享有新的多租用戶組織優勢,同時繼續使用自己的引擎來管理員工的生命週期。
以下是使用 Microsoft 365 系統管理中心建立多租用戶組織及/或佈建員工的主要優勢。
- Microsoft 365 系統管理中心提供圖形化使用者介面來建立多租用戶組織。
- Microsoft 365 系統管理中心會預先設定您的租用戶,自動接受 B2B 共同作業邀請。
- Microsoft 365 系統管理中心會預先設定您的租用戶以進行輸入使用者同步處理,不過跨租用戶同步處理的使用量仍為選用。
- Microsoft 365 系統管理中心可讓您輕鬆地將員工佈建到多租用戶組織中的多個租用戶。
使用 Microsoft 365 系統管理中心來建立多租用戶組織或佈建員工的主要限制如下:
- Microsoft 365 系統管理中心會預先設定,但不會啟動跨租用戶同步處理作業,即使您打算在 Microsoft Entra 系統管理中心中使用跨租用戶同步處理也一樣。
- 複雜的身分識別拓撲,例如多中樞、多輻線系統,可以更好地由 Microsoft Entra 管理入口使用跨租用戶同步來妥善佈建。
如需詳細資訊,請參閱 Microsoft 365 多租用戶共同作業。
比較多租用戶功能
根據您的組織需求,您可以使用 B2B 直接連線、B2B 共同作業、跨租用戶同步處理和多租用戶組織功能的任何組合。 B2B 直接連線和 B2B 共同作業是獨立的功能,而跨租用戶同步處理和多租用戶組織功能彼此獨立,但兩者都依賴 B2B 共同作業。
下表比較每個功能。 如需有關不同外部身分識別案例的詳細資訊,請參閱比較外部識別碼功能集。
| B2B 直接連線 (組織與組織之間的外部或內部交流) |
B2B 共同作業 (組織對組織外部或內部) |
跨租戶同步 (組織內部) |
多租戶組織 (組織內部) |
|
|---|---|---|---|---|
| 用途 | 使用者可以存取由外部租用戶託管的 Teams Connect 共用頻道。 | 使用者可以存取托管在外部租戶的應用程式或資源,通常只有有限的訪客權限。 依據自動兌換設定,使用者可能需要接受每個租用戶的同意提示。 | 使用者可以順暢存取相同組織的應用程式/資源,即使應用程式託管在不同的租用戶也一樣。 | 使用者可以在新的 Teams 和 Viva Engage 中跨多租用戶組織順暢地共同作業。 |
| 值 | 僅針對 Teams Connect 共用頻道啟用外部協作。 對於系統管理員來說更方便,因為他們不需要管理 B2B 使用者。 | 啟用外部共同作業。 藉由管理 B2B 共同作業使用者,為系統管理員提供更多控制和監視。 系統管理員可以限制這些外部使用者對其應用程式/資源的存取。 | 能夠在不同組織租戶之間進行協作。 管理員不必在不同租戶之間手動邀請和同步使用者,便能確保其可以持續存取組織內的應用程式和資源。 | 允許在不同組織的租用戶間進行協作。 系統管理員繼續擁有使用跨租用戶存取設定的完整設定能力。 選用的跨租用戶存取範本允許預先設定跨租用戶的存取設定。 |
| 主要系統管理員工作流程 | 設定跨租用戶存取配置,為外部使用者提供其主租用戶的憑證進入存取權。 | 使用 B2B 邀請流程將外部使用者新增至資源承租方,或利用 B2B 共同作業邀請管理員 建置您自己的上線體驗。 | 設定跨租用戶同步引擎,將多個租用戶之間的使用者同步為 B2B 協作使用者。 | 建立多租用戶組織、新增 (邀請) 租使用者、加入多租用戶組織。 使用現有的 B2B 協作使用者,或使用跨租用戶同步來配置 B2B 協作使用者。 |
| 信任層級 | 中等信任。 B2B 直接連結使用者較不容易追蹤,必須對外部組織建立某種程度的信任。 | 低到中等信任。 使用者物件可以輕鬆追蹤且以細緻的控制來管理。 | 高度信任。 所有租用戶都是相同組織的一部分,而且使用者通常會獲得所有應用程式/資源的成員存取權。 | 高度信任。 所有租用戶都是相同組織的一部分,而且使用者通常會獲得所有應用程式/資源的成員存取權。 |
| 對使用者的影響 | 使用者使用他們的主租用戶的憑證來存取資源租用戶。 不會在資源租戶中建立使用者對象。 | 外部使用者會新增至租用戶作為 B2B 共同作業使用者。 | 在同一個組織中,使用者會從其本地主租用戶被同步至資源租用戶,作為 B2B 合作使用者。 | 在同一個多租用戶組織中,B2B 共同作業的使用者,特別是成員使用者,能夠受益於 Microsoft 365 提供的增強且順暢的跨平台共同作業。 |
| 使用者類型 | B2B 直接連接使用者 - 不適用 |
B2B 共同作業使用者 - 外部成員 - 外部來賓 (預設) |
B2B 共同作業使用者 - 外部成員 (預設) - 外部來賓 |
B2B 共同作業使用者 - 外部成員 (預設) - 外部來賓 |
下圖顯示如何將 B2B 直接連線、B2B 協作與跨租用戶同步處理功能結合使用的方式。
詞彙
若要進一步了解多租用戶組織案例相關的Microsoft Entra 功能,您可以參考以下術語清單。
| 詞彙 | 定義 |
|---|---|
| 承租人 | Microsoft Entra ID 的執行個體。 |
| 組織 | 商務階層的最高等級。 |
| 多租戶組織 | 擁有多個 Microsoft Entra ID 執行個體的組織,也具備在 Microsoft Entra ID 中分組這些執行個體的功能。 |
| 創建者租戶 | 建立多租戶組織的租戶。 |
| 房東房客 | 具有擁有者角色的租用戶。 創建者租戶最初。 |
| 已新增租戶 | 被業主租戶新增的租戶。 |
| 聯合承租人 | 正在加入多租戶組織的租戶。 |
| 加入請求 | 加入者或已新增租用戶,會提交加入要求以加入多租用戶組織。 |
| 待定租客 | 由擁有者新增但尚未加入的租用戶。 |
| 活躍租戶 | 已創建或加入多租戶組織的租用戶。 |
| 會員租戶 | 具有成員角色的租用戶。 大部分的新加入承租人都是先成為成員的。 |
| 多租戶組織租戶 | 多租戶組織中的活躍租戶,而非待批准的租戶。 |
| 跨租用戶同步 | Microsoft Entra ID 中的一種單向同步服務,能自動化地在組織內跨租用戶創建、更新和刪除 B2B 合作使用者。 |
| 跨租戶存取設定 | 管理特定 Microsoft Entra 組織共同作業的設定。 |
| 跨租用戶存取設定範本 | 可選範本,用於預先設定跨租用戶存取設定,該設定將應用於任何新加入多租用戶組織的合作夥伴租用戶。 |
| 組織設定 | 特定 Microsoft Entra 組織的跨租用戶存取設定。 |
| 組態 | Microsoft Entra ID 中的應用程式和基礎服務主體,其中包含跨租用戶同步處理所需的設定(例如目標租用戶、使用者範圍和屬性對應)。 |
| 配置 | 自動跨邊界建立或同步處理物件的流程。 |
| 自動兌換 | B2B 設定可自動兌換邀請,因此新建立的使用者不會收到邀請電子郵件,或必須接受同意提示才能新增至目標租用戶。 |