Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
本文是一系列文章中的第二篇文章,提供在Microsoft Entra多租户环境中配置和提供用户生命周期管理的指导。 本系列中的以下文章提供了所述的详细信息。
- 多租户用户管理简介是系列文章中的第一篇,旨在为在 Microsoft Entra 多租户环境中配置和管理用户生命周期提供指导。
- 多租户用户管理的常见注意事项提供了以下方面的指导:跨租户同步、目录对象、Microsoft Entra 条件访问、额外访问控制和 Office 365。
- 当单租户不适合你的场景时多租户用户管理的常见解决方案,这篇文章介绍应对以下挑战的指导:跨租户的自动化用户生命周期管理和资源分配、跨租户共享本地应用。
本指导可帮助你实现一致的用户生命周期管理状态。 生命周期管理包括通过可用的Azure工具(包括Microsoft Entra B2B协作)进行跨租户的用户预配、管理和取消预配(B2B)。
本文介绍可以使用多租户用户管理功能的三种场景。
- 最终用户发起
- 已编写脚本
- 自动
最终用户发起的方案
在最终用户发起的方案中,资源租户管理员向租户中的用户委派某些能力。 管理员允许最终用户邀请外部用户加入租户、应用或资源。 可以从主租户邀请用户,也可以让用户各自注册。
例如,一家全球专业服务公司与分包商合作项目。 分包商(外部用户)需要访问公司的应用程序和文档。 公司的管理员可以向公司最终用户委派邀请分包商或配置分包商资源访问自助服务的能力。
预配帐户
以下是邀请最终用户访问租户资源的最常用方式。
- 基于应用的邀请.Microsoft应用程序(如 Teams 和SharePoint)可以启用外部用户邀请。 在Microsoft Entra B2B 和相关应用程序中配置 B2B 邀请设置。
- MyApps。用户可以使用 MyApps 邀请外部用户并将其分配到应用程序。 用户帐户必须具有应用程序自助注册审批者权限。 组所有者可以邀请外部用户加入组。
- 权利管理:使管理员或资源所有者能够创建包含资源、允许的外部组织、外部用户有效期限和访问策略的访问包。 可以发布访问包,为资源访问启用外部用户自助注册。
Azure portal. - Programmatic (PowerShell, Graph API具有 Guest Inviter 角色的最终用户可以使用 PowerShell 或Graph API邀请外部用户。
兑换邀请
预配帐户以访问资源时,电子邮件邀请将转到受邀用户的电子邮件地址。
受邀用户收到邀请后,可以通过电子邮件中的链接访问兑换 URL。 通过执行此操作,受邀用户可以批准或拒绝邀请,并在必要时创建外部用户帐户。
如果以下任一情况为真,受邀用户也可以尝试直接访问资源(称为即时 (JIT) 赎回)。
- 受邀用户已有Microsoft Entra ID或Microsoft帐户
在 JIT 兑换期间,可能需要考虑以下事项。
有关详细信息,请参阅 Microsoft Entra B2B 协作邀请兑换。
管理帐户
在最终用户发起的方案中,资源租户管理员管理资源租户中的外部用户帐户(不会根据主租户中的更新值进行更新)。 收到的唯一可见属性包括电子邮件地址和显示名称。
可以在外部用户对象上配置更多属性,以简化不同方案(如权利方案)。 可以将联系人的详细信息添加到地址簿中。 例如,考虑以下属性。
- 是否从地址列表中隐藏启用 [在地址列表中显示]
- FirstName [GivenName]
- LastName [SurName]
- 标题
- 部门
- 电话号码
可以将这些属性设置为将外部用户添加到全局地址列表(GAL)和人员搜索(如SharePoint人员选取器)。 其他场景可能需要不同的属性(例如,用于设置访问包、动态组成员资格和 SAML 声明等的权利和权限的属性)。
默认情况下,GAL 会隐藏受邀的外部用户。 将外部用户属性设置为取消隐藏,可将其包含在统一 GAL 中。 多租户用户管理的常见注意事项中的 Microsoft Exchange Online 部分介绍了如何通过创建外部成员用户而不是外部来宾用户来降低限制。
撤销配销账户
最终用户发起的方案分散访问决策,这可能会产生决定何时删除外部用户及其关联访问权限的挑战。 通过权利管理和访问评审,可以查看和删除现有外部用户及其资源访问权限。
如果用户是在权利管理之外被邀请的,则必须创建单独的过程来查看和管理他们的访问权限。 例如,如果你通过Microsoft 365中的SharePoint直接邀请外部用户,则它不在权利管理过程中。
脚本情境
在脚本方案中,资源租户管理员部署脚本拉取过程来自动发现和预配外部用户。
例如,某公司收购竞争对手公司。 每个公司都有一个Microsoft Entra租户。 他们希望以下“首日情景”能够实现,用户无需执行任何邀请或兑换步骤。 所有用户必须能够:
- 对所有已预配的资源使用单一登录。
- 在统一 GAL 中查找彼此并查找资源。
- 确定彼此的状态并发起聊天。
- 访问基于动态成员组的应用程序。
在这种方案中,每个组织的租户是其现有员工的主租户,以及另一个组织的员工的资源租户。
预配帐户
借助增量查询,租户管理员可以部署脚本拉取过程来自动发现和预配标识以支持资源访问。 此过程检查主租户中是否有新用户。 它使用 B2B Graph API 将新用户预配为资源租户中的外部用户,如以下多租户拓扑图所示。
- 租户管理员预先准备凭据并获取同意,以允许每个租户读取。
- 租户管理员通过自动化过程来枚举并将特定范围内的用户拉入资源租户。
- 使用获得用户同意的权限的 Microsoft Graph API,通过邀请 API 读取和预配用户。
- 初始预配可以读取源属性,并将其应用于目标用户对象。
管理帐户
资源管理组织可以通过在资源租户中更新用户的元数据属性来增加个人资料数据,用于支持共享场景。 但是,如果需要进行持续同步,则同步解决方案可能是更好的选择。
撤销配销账户
当需要取消预配外部用户时,增量查询可以发出信号。 权利管理和访问评审可以提供一种查看和删除现有外部用户及其对资源的访问权限的方法。
如果用户是在权利管理之外被邀请的,则创建单独的过程来查看和管理外部用户的访问权限。 例如,如果直接通过Microsoft 365中的SharePoint邀请外部用户,则它不在权利管理过程中。
自动方案
跨租户同步共享是本文中最复杂的模式。 此模式提供了比终端用户发起或脚本方案更多的自动化管理和撤销服务配置选项。
在自动方案中,资源租户管理员使用标识预配系统自动执行预配和取消预配过程。 在 Microsoft 商业云实例的场景中,我们具有跨租户同步。 在涉及 Microsoft 主权云实例的场景中,需要采取其他方法,因为跨租户同步目前尚未支持跨云。
例如,在 Microsoft 商业云实例中,跨国/地区集团拥有多个子公司,它们符合以下要求。
- 每个 Microsoft Entra 租户都独立存在,但需要协同工作。
- 除了在租户之间同步新用户外,还自动同步属性更新并自动取消预配。
- 如果某位员工不再在子公司工作,则在下次同步期间将其帐户从所有其他租户中删除。
在扩展的跨云方案中,美国国防工业基地 (DIB) 承包商拥有基于国防和商业的子公司。 它们具有竞争的法规要求:
- 美国国防业务驻留在美国主权云租户中,例如Azure Government。
- 商业业务位于商业版的单独Microsoft Entra租户中,例如在全球Azure云上运行的Microsoft Entra环境。
为像一个跨云体系结构中部署的单一公司一样运作,所有用户都需要与两个租户同步。 此方法可跨两个租户实现统一 GAL 可用性,并确保自动同步到两个租户的用户可以将权利和限制包括到应用程序和内容中。 示例要求包括:
- 美国员工可能可随意访问两个租户。
- 非美国员工在两个租户的统一 GAL 中显示,但无权访问 GCC High 租户中的受保护内容。
此方案要求执行自动同步和标识管理来配置两个租户中的用户,同时将其与适当的权利和数据保护策略关联。
跨云 B2B 要求您为需要在远程云实例中进行合作的每个组织配置跨租户访问设置。
预配帐户
本部分介绍在自动方案中自动预配帐户的三种方法。
技术 1:使用Microsoft Entra ID中的内置跨租户同步功能
仅当需要同步的所有租户位于同一云实例(例如商业到商业)时,此方法才适用。
技术 2:使用Microsoft Identity Manager预配帐户
使用外部标识和访问管理(IAM)解决方案,例如 Microsoft Identity Manager (MIM) 作为同步引擎。
此高级部署使用 MIM 作为同步引擎。 MIM 调用 Microsoft Graph API 和 Exchange Online PowerShell。 替代实现可能包括云托管的 Active Directory Synchronization Service (ADSS) 托管服务产品/ 服务。 可以使用其他 IAM 产品/服务(例如 SailPoint、Omada 和 OKTA)从头开始创建非 Microsoft 产品/服务。
从一个租户到另一个租户执行云到云标识同步(用户、联系人和组),如下图所示。
本文讨论范围之外的注意事项包括本地应用程序的集成。
技术 3:使用 Microsoft Entra Connect 配置帐户
此方法仅适用于管理传统基于Windows Server Active Directory Domain Services(AD DS)中的所有标识的复杂组织。 此方法使用 Microsoft Entra Connect 作为同步引擎,如下图所示。
与 MIM 技术不同,所有标识源(用户、联系人和组)都来自基于Windows Server的传统Active Directory Domain Services(AD DS)。 AD DS 目录通常是管理多个租户标识的复杂组织的本地部署。 仅云端身份验证不在此技术的范围内。 所有标识都必须位于 AD DS 中,才能将其包含在同步范围内。
从概念上讲,此方法将用户以内部成员用户的身份同步到主租户(默认行为)。 或者,它可能将用户以外部用户的身份同步到资源租户中(自定义行为)。
Microsoft 支持这一双重同步用户技术,谨慎考虑 Microsoft Entra Connect 配置中发生的更改。 例如,对向导驱动的安装配置进行修改时,如果必须在支持事件期间重新生成配置,则需要记录更改。
开箱即用,Microsoft Entra Connect 无法同步外部用户。 必须使用外部进程(例如 PowerShell 脚本)来增强 Azure AD Connect,以便将用户从内部帐户转换为外部帐户。
此方法的优点包括Microsoft Entra Connect 将标识与存储在 AD DS 中的属性同步。 同步可能包括通讯簿属性、经理属性、组成员资格,以及范围内所有租户的其他混合身份属性。 它在对齐 AD DS 的过程中,取消预配身份。 它不需要更复杂的 IAM 解决方案来管理此特定任务的云标识。
每个租户Microsoft Entra连接存在一对一关系。 每个租户都有自己的 Microsoft Entra Connect 配置,你可以单独更改以支持成员或外部用户帐户同步。
选择正确的拓扑
大多数客户在自动方案中使用以下拓扑。
- 网格拓扑允许共享所有租户中的所有资源。 你在每个资源租户中,将其他租户的用户创建为外部用户。
- 单个资源租户拓扑使用单个租户(资源租户),其中其他租户的用户是外部用户。
设计解决方案时,请引用下表作为决策树。 下表中两种拓扑的图示可帮助你确定哪种拓扑更适合你的组织。
网格拓扑与单个资源租户拓扑的比较
| 注意事项 | 网格拓扑 | 单个资源租户 |
|---|---|---|
| 每个公司都有单独的Microsoft Entra租户,其中包含用户和资源 | 是 | 是 |
| 资源位置和协作 | ||
| 共享应用和其他资源保留在其所在主租户中 | 是 | 否。 应用和其他资源只能在资源租户中共享。 不能共享其他租户中剩余的应用和其他资源。 |
| 全部可在单个公司的 GAL(统一 GAL)中查看 | 是 | 否 |
| 资源访问和管理 | ||
| 可以在所有公司之间共享连接到Microsoft Entra ID的所有应用程序。 | 是 | 否。 只能共享资源租户中的应用程序。 不能共享其他租户中剩余的应用程序。 |
| 全局资源管理 | 在租户级别上继续。 | 在资源租户中合并。 |
| 许可: 在 Microsoft 365 中的 Office 365 SharePoint、统一地址列表 (GAL) 和 Teams 都支持来宾访问;然而,其他 Exchange Online 方案则不支持。 | 继续在租户级别进行。 | 继续在租户级别进行。 |
| 许可:Microsoft Entra ID(高级版) | 前 50 千月度活跃用户免费(每个租户)。 | 前 50000 个月度活跃用户免费。 |
| 许可:服务型软件 (SaaS) 应用 | 保留在单独的租户中,每个租户中的每个用户都可能需要许可证。 | 所有共享资源都位于单个资源租户中。 如果需要,可以调查是否将许可证合并到单个租户。 |
网格拓扑
下图演示了网格拓扑。
在网格拓扑中,每个家庭租户中的每位用户都会与每个其他租户同步,而这些租户则成为资源租户。
- 可以与外部用户共享租户中的任何资源。
- 每个组织都可以查看集团中的所有用户。 在上图中,有四个统一 GAL,其中每个都包含来自其他三个租户的主用户和外部用户。
多租户用户管理的常见注意事项提供了有关在此场景中预配、管理和取消预配用户的信息。
跨云的网格拓扑
网格拓扑可以用于至少两个租户,例如在 DIB 国防承包商跨主权云解决方案的情境中。 与网格拓扑一样,每个家庭租户中的每个用户都将同步到其他租户,这些租户会成为资源租户。 在技术 3 部分的图示中,公共商业租户的内部用户会作为外部用户帐户同步到美国主权 GCC High 租户。 同时,GCC High 内部用户会作为外部用户帐户同步到 Commercial 系统。
此图还演示了数据存储位置。 数据分类和合规性不属于本文的介绍范围,但你可以将权利和限制包括到应用程序和内容中。 内容可能包括内部用户拥有数据所在的位置(例如存储在Exchange Online邮箱或OneDrive中的数据)。 内容可能位于其主租户中,而不是资源租户中。 共享数据可能位于任一租户中。 可以通过访问控制和条件访问策略限制对内容的访问。
单一资源租户拓扑
下图演示了单资源租户拓扑。
在单个资源租户拓扑中,用户及其属性将同步到资源租户(上图中的公司 A)中。
- 在成员组织之间共享的所有资源都必须位于单个资源租户中。 如果多个子公司具有相同的 SaaS 应用订阅,则这可能是合并这些订阅的机会。
- 只有资源租户中的 GAL 显示所有公司的用户。
管理帐户
此解决方案检测及同步从源租户的用户到资源租户的外部用户的属性的更改。 可以使用这些属性做出授权决策(例如使用动态成员资格组时)。
撤销配销账户
自动化在源环境中检测对象的删除,并在目标环境中删除关联的外部用户对象。
多租户用户管理的常见注意事项提供了有关在此场景中预配、管理和取消预配用户的其他信息。
后续步骤
- 多租户用户管理简介是系列文章中的第一篇,旨在为在 Microsoft Entra 多租户环境中配置和管理用户生命周期提供指导。
- 多租户用户管理的常见注意事项提供了以下方面的指导:跨租户同步、目录对象、Microsoft Entra 条件访问、额外访问控制和 Office 365。
- 当单租户不适合你的场景时多租户用户管理的常见解决方案,这篇文章介绍应对以下挑战的指导:跨租户的自动化用户生命周期管理和资源分配、跨租户共享本地应用。