多租户用户管理简介
本文是一部教程系列中的第一篇文章,该教程提供有关在 Microsoft Entra 多租户环境中配置和提供用户生命周期管理的指导。 本系列中的以下文章提供了所述的详细信息。
- 多租户用户管理方案介绍了可以使用多租户用户管理功能的三种方案:最终用户启动、脚本化和自动化。
- 多租户用户管理的常见注意事项为以下注意事项提供了指导:跨租户同步、目录对象、Microsoft Entra 条件访问、其他访问控制和 Office 365。
- 当单租户不适合你的场景时多租户用户管理的常见解决方案,这篇文章介绍应对以下挑战的指导:跨租户的自动化用户生命周期管理和资源分配、跨租户共享本地应用。
本指导可帮助你实现一致的用户生命周期管理状态。 生命周期管理包括使用 Microsoft Entra B2B 协作 (B2B) 等可用的 Azure 工具在不同的租户中预配、管理和取消预配用户。
将用户预配到单个 Microsoft Entra 租户可提供统一的资源视图以及一套策略和控制。 此方法可实现一致的用户生命周期管理。
Microsoft 建议尽可能使用单个租户。 有多个租户可能会导致独特的跨租户协作和管理要求。 如果无法合并到单个 Microsoft Entra 租户,多租户组织可能会跨越两个或更多 Microsoft Entra 租户,原因如下。
- 合并
- 购置
- 分拆
- 跨公共云、主权云和区域云的协作
- 禁止合并为单个 Microsoft Entra 租户的政治或组织结构
Microsoft Entra B2B 协作
Microsoft Entra B2B 协作 (B2B) 使你能够与外部用户安全地共享公司的应用程序和服务。 当用户可能来自任何组织时,B2B 可帮助你控制对 IT 环境和数据的访问。
可以使用 B2B 协作为组织的用户提供外部访问权限,以访问你管理的多个租户。 传统上,B2B 外部用户访问可以向你自己的组织不管理的用户授予访问权限。 但是,外部用户访问可以跨你的组织管理的多个租户管理访问权限。
Microsoft Entra B2B 协作的一个混淆区域是 B2B 来宾用户的属性。 内部与外部用户帐户以及成员与来宾用户类型之间的差异会导致混淆。 最初,所有内部用户都是 UserType 属性设置为成员(成员用户)的成员用户。 内部用户在 Microsoft Entra ID 中具有权威性的帐户,该帐户对用户所在的租户进行身份验证。 成员用户是租户中具有默认成员级权限的许可用户。 将成员用户视为组织的员工。
可以邀请一个租户的内部用户作为外部用户加入另一个租户。 外部用户通过外部 Microsoft Entra 帐户、社交标识或其他外部标识提供者登录。 外部用户在你邀请他们加入的租户外部进行身份验证。 在 B2B 的首个版本中,所有外部用户的 UserType 都是 Guest(来宾用户)。 来宾用户在租户中具有受限的权限。 例如,来宾用户无法枚举租户目录中所有用户或组的列表。
对于用户的 UserType 属性,B2B 支持将位从内部翻转到外部,反之亦然,这会导致混淆。
可以将内部用户从成员用户更改为来宾用户。 例如,可以在租户中拥有具有来宾级权限的未经许可的内部来宾用户,这在向不是组织员工的人员提供用户帐户和凭据时非常有用。
可以将外部用户从来宾用户更改为成员用户,从而向外部用户授予成员级权限。 当你管理组织的多个租户,并且需要向跨所有租户的用户授予成员级权限时,进行此更改非常有用。 无论用户在任何给定租户中是内部还是外部用户,都可能会有此需求。 成员用户可能需要更多许可证。
B2B 的大多数文档将外部用户称为来宾用户。 它混淆了UserType 属性,假设所有的来宾用户都是外部用户。 当文档提到来宾用户时,它假定他们是外部来宾用户。 本文特意且具体区分外部用户与内部用户,成员用户与来宾用户。
概念性文章
- B2B 最佳做法包含为用户和管理员提供最流畅体验的建议。
- B2B 和 Office 365 外部共享解释了通过 B2B、Office 365 和 SharePoint/OneDrive 共享资源之间的异同。
- Microsoft Entra B2B 协作用户的属性描述了 Microsoft Entra ID 中外部用户对象的属性和状态。 介绍中提供了邀请兑换前后的详细信息。
- B2B 的条件访问介绍了条件访问和多重身份验证对外部用户的工作方式。
- 跨租户访问设置让你可以对外部 Microsoft Entra 组织与你协作的方式(入站访问)以及你的用户与外部 Microsoft Entra 组织的协作方式(出站访问)进行精细控制。
操作方法文章
- 使用 PowerShell 批量邀请 Microsoft Entra B2B 协作用户介绍了如何使用 PowerShell 向外部用户发送批量邀请。
- 为 B2B 来宾用户强制实施多重身份验证介绍了如何使用条件访问和多重身份验证策略在租户、应用或单个外部用户身份验证级别进行强制实施。
术语
Microsoft 内容中的以下术语是指 Microsoft Entra ID 中的多租户协作。
- 资源租户:包含用户想要与其他人共享的资源的 Microsoft Entra 租户。
- 主租户:Microsoft Entra 租户,其中包含要求访问资源租户中资源的用户。
- 内部用户:内部用户具有权威性的帐户,该帐户对用户所在的租户进行身份验证。
- 外部用户:外部用户通过外部 Microsoft Entra 帐户、社交标识或其他外部标识提供者登录。 外部用户在你邀请他们加入的租户之外的某个位置进行身份验证。
- 成员用户:内部或外部成员用户是租户中具有默认成员级权限的许可用户。 将成员用户视为组织的员工。
- 来宾用户:内部或外部来宾用户在租户中具有受限的权限。 来宾用户不是组织的员工,例如合作伙伴的用户。 大多数 B2B 文档都提到了 B2B 来宾,它主要指外部来宾用户帐户。
- 用户生命周期管理:预配、管理和取消预配用户对资源的访问权限的过程。
- 统一 GAL:每个租户中的每个用户都可以在其全局地址列表 (GAL) 中看到来自每个组织的用户。
确定如何满足要求
你的组织的独特要求会影响跨租户管理用户的策略。 若要创建有效的策略,请考虑以下要求。
- 租户数目
- 组织类型
- 当前拓扑
- 具体的用户同步需求
常见要求
组织最初会专注于他们希望落地以立即实现协作的要求。 有时也称为“首日”要求,这些要求的重点是使最终用户能够顺利合并,而不会中断其创造价值的能力。 定义首日要求和管理要求时,请考虑加入以下要求和需求。
通信要求
- 统一全局地址列表:每个用户都可以在其主租户中看到 GAL 中的所有其他用户。
- 忙/闲信息:使用户能够发现彼此的忙闲状态。 可以通过 Exchange Online 中的组织关系来完成此操作。
- 聊天和状态:使用户能够确定其他人的状态,并发起即时消息。 通过 Microsoft Teams 中的外部访问权限进行配置。
- 预订会议室等资源:使用户能够在整个组织中预订会议室或其他资源。 跨租户会议室预订目前在 Exchange Online 中不可用。
- 单一电子邮件域:使所有用户从单一电子邮件域发送和接收邮件,例如
users@contoso.com
。 若要发送,需要电子邮件地址重写解决方案。
访问要求
- 文档访问:使用户能够从 SharePoint、OneDrive 和 Teams 共享文档。
- 管理:允许管理员管理跨多个租户部署的订阅和服务的配置。
- 应用程序访问:允许最终用户访问整个组织的应用程序。
- 单一登录:使用户无需输入更多凭据即可访问整个组织的资源。
帐户创建模式
用于创建和管理外部用户帐户生命周期的 Microsoft 机制遵循三种常见模式。 可以使用这些模式来帮助定义和实现你的要求。 选择最符合你的方案的模式,然后专注于模式详细信息。
机制 | 说明 | 最佳使用时机 |
---|---|---|
最终用户发起的 | 资源租户管理员向资源租户中的用户委派邀请外部用户加入租户、应用或资源的能力。 可以从主租户邀请用户,他们也可以单独注册。 | 在首日不需要统一全局地址列表。 |
已编写脚本 | 资源租户管理员部署编写了脚本的“拉取”过程来自动发现和预配外部用户,从而支持共享方案。 | 少量租户(例如两个)。 |
自动 | 资源租户管理员使用标识预配系统将预配和取消预配过程自动化。 | 需要跨租户的统一全局地址列表。 |
后续步骤
- 多租户用户管理方案介绍了可以使用多租户用户管理功能的三种方案:最终用户启动、脚本化和自动化。
- 多租户用户管理的常见注意事项为以下注意事项提供了指导:跨租户同步、目录对象、Microsoft Entra 条件访问、其他访问控制和 Office 365。
- 当单租户不适合你的场景时多租户用户管理的常见解决方案,这篇文章介绍应对以下挑战的指导:跨租户的自动化用户生命周期管理和资源分配、跨租户共享本地应用。
- Active Directory 的多租户同步介绍使用 Microsoft Entra Connect 同步作为关键集成解决方案的各种本地拓扑和 Microsoft Entra 拓扑。