Microsoft Entra 識別碼中的多租用戶組織功能
本文提供多租用戶組織案例的概觀,以及 Microsoft Entra ID 中的相關功能。
什麼是租使用者?
租 使用者 是 Microsoft Entra 識別符的實例,其中單一組織的相關信息包括組織物件,例如使用者、群組和裝置,以及應用程式註冊,例如 Microsoft 365 和第三方應用程式。 租用戶也包含資源的存取和合規性原則,例如在目錄中註冊的應用程式。 租使用者提供的主要功能包括身分識別驗證,以及資源存取管理。
從 Microsoft Entra 的觀點來看,租使用者會形成身分識別和存取管理範圍。 例如,租用戶系統管理員可讓租使用者中的部分或所有使用者使用應用程式,併為該租使用者中的使用者強制執行該應用程式的存取原則。 此外,租使用者包含組織商標數據,可驅動用戶體驗,例如組織電子郵件網域和該組織員工所使用的SharePointURL。 從 Microsoft 365 的觀點來看,租使用者會形成預設的共同作業和授權界限。 例如,Microsoft Teams 或 Microsoft Outlook 中的使用者可以輕鬆地尋找並與其租使用者中的其他使用者共同作業,但無法尋找或查看其他租使用者中的使用者。
租使用者包含具特殊許可權的組織數據,且會安全地與其他租用戶隔離。 此外,租使用者也可以設定為在特定區域或雲端中保存和處理數據,讓組織能夠使用租用戶作為符合數據落地和處理合規性需求的機制。
什麼是多租用戶組織?
多租用戶組織是具有多個 Microsoft Entra 識別符實例的組織。 以下是組織可能有多個租使用者的主要原因:
- 企業集團: 具有多個獨立運作的子公司或業務單位的組織。
- 合併和收購: 合併或收購公司的組織。
- 潛水活動: 在分拆中,一個組織會將其部分業務分割成新組織,或將其銷售給現有組織。
- 多個雲端: 具有合規性或法規的組織必須存在於多個雲端環境中。
- 多個地理界限: 使用各種落地法規在多個地理位置運作的組織。
- 測試或預備租使用者: 在部署至主要租使用者之前,需要多個租用戶進行測試或預備用途的組織。
- 部門或員工建立的租用戶: 部門或員工已建立租使用者以供開發、測試或個別控制的組織。
多租用戶挑戰
您的組織最近可能已取得新公司、與另一家公司合併,或根據新成立的業務單位進行重組。 如果您有不同的身分識別管理系統,則不同租使用者中的使用者存取資源和共同作業可能會很困難。
下圖顯示其他租使用者中的使用者可能無法跨組織中的租使用者存取應用程式的方式。
隨著組織的發展,您的IT小組必須適應不斷變化的需求。 這通常包括與現有的租使用者整合,或形成新的租使用者。 無論身分識別基礎結構如何管理,用戶都必須有順暢的體驗來存取資源和共同作業。 目前,您可能會使用自定義腳本或內部部署解決方案,將租使用者整合在一起,以跨租使用者提供順暢的體驗。
B2B 直接連接
若要讓跨租使用者的使用者在 Teams 連線 共用頻道中共同作業,您可以使用 Microsoft Entra B2B 直接連線。 B2B 直接連線是外部身分識別的一項功能,可讓您與另一個 Microsoft Entra 組織設定相互信任關係,以在 Teams 中順暢地共同作業。 建立信任時,B2B 直接連線使用者會使用來自其主租用戶的認證進行單一登錄存取。
以下是在多個租用戶之間使用 B2B 直接連線的主要條件約束:
- 目前,B2B 直接連線僅適用於 Teams 連線 共用頻道。
如需詳細資訊,請參閱 B2B 直接連線概觀。
B2B 共同作業
若要讓使用者跨租使用者共同作業,您可以使用 Microsoft Entra B2B 共同作業。 B2B 共同作業是外部身分識別中的一項功能,可讓您邀請來賓使用者與組織共同作業。 一旦外部用戶兌換其邀請或完成註冊,他們就會以用戶物件的形式在租使用者中表示。 透過 B2B 共同作業,您可以與外部使用者安全地共用公司的應用程式與服務,同時持續控制您公司的資料。
以下是跨多個租使用者使用 B2B 共同作業的主要條件約束:
- 管理員 istrators 必須使用 B2B 邀請程式邀請使用者,或使用 來建置上線體驗B2B 共同作業邀請管理員。
- 管理員 istrators 可能必須使用自定義腳本來同步處理使用者。
- 視自動兌換設定而定,使用者可能需要接受同意提示,並遵循每個租使用者中的兌換程式。
- 根據預設,使用者類型為外部來賓,其許可權與外部成員不同,且可能不是所需的用戶體驗。
如需詳細資訊,請參閱 B2B 共同作業概觀。
跨租用戶同步處理
如果您希望使用者跨租用戶擁有更順暢的共同作業體驗,您可以使用 跨租使用者同步處理。 跨租使用者同步處理是 Microsoft Entra 識別碼中的單向同步處理服務,可自動化跨組織中的租使用者建立、更新和刪除 B2B 共同作業使用者。 跨租使用者同步處理建置在 B2B 共同作業功能上,並利用現有的 B2B 跨租使用者存取設定。 使用者會在目標租使用者中表示為 B2B 共同作業用戶物件。
以下是使用跨租使用者同步處理的主要優點:
- 在組織內自動建立 B2B 共同作業使用者,並提供他們存取所需的應用程式,而不需要建立和維護自定義腳本。
- 改善用戶體驗,並確保使用者可以存取資源,而不需要收到邀請電子郵件,而且必須接受每個租使用者中的同意提示。
- 自動更新使用者,並在他們離開組織時將其移除。
以下是跨多個租使用者使用跨租使用者同步處理的主要條件約束:
- 不會增強目前的Teams或 Microsoft 365 體驗。 已同步處理的使用者將會有和任何其他 B2B 共同作業使用者相同的跨租用戶 Teams 和 Microsoft 365 體驗。
- 不會同步群組、裝置或聯繫人。
如需詳細資訊,請參閱 什麼是跨租使用者同步處理?。
多租用戶組織
多租用戶組織 是 Microsoft Entra ID 和 Microsoft 365 中的一項功能,可讓您在組織內形成租使用者群組。 群組中的每個租使用者配對都會受到您可以用來設定 B2B 或跨租使用者同步處理的跨租使用者存取設定所控管。
以下是多租用戶組織的主要優點:
- 區分組織內部和組織外外部使用者
- 改善新 Microsoft Teams 中的共同作業體驗
- 改善租用戶之間的人員搜尋體驗
如需詳細資訊,請參閱 什麼是 Microsoft Entra ID 中的多租用戶組織?。
比較多租使用者功能
根據您的組織需求,您可以使用 B2B 直接連線、B2B 共同作業、跨租使用者同步處理和多租用戶組織功能的任何組合。 B2B 直接連線和 B2B 共同作業是獨立的功能,而跨租使用者同步處理和多租用戶組織功能彼此獨立,但兩者都依賴基礎 B2B 共同作業。
下表比較每項功能的功能。 如需不同外部身分識別案例的詳細資訊,請參閱 比較外部身分識別功能集。
B2B 直接連接 (組織對組織外部或內部) |
B2B 共同作業 (組織對組織外部或內部) |
跨租用戶同步處理 (組織內部) |
多租用戶組織 (組織內部) |
|
---|---|---|---|---|
用途 | 用戶可以存取裝載於外部租使用者的Teams 連線 共用頻道。 | 用戶可以存取裝載於外部租使用者的應用程式/資源,通常具有有限的來賓許可權。 視自動兌換設定而定,使用者可能需要在每個租使用者中接受同意提示。 | 用戶可以順暢地存取相同組織的應用程式/資源,即使它們裝載在不同的租使用者中也一樣。 | 用戶可以在新 Teams 和人員搜尋中,跨多租用戶組織更順暢地共同作業。 |
值 | 僅啟用Teams中的外部共同作業 連線 共用頻道。 更方便系統管理員,因為他們不需要管理 B2B 使用者。 | 啟用外部共同作業。 藉由管理 B2B 共同作業使用者,為系統管理員進行更多控制和監視。 管理員 istrators 可以限制這些外部使用者對其應用程式/資源的存取。 | 啟用跨組織租使用者的共同作業。 管理員 istrators 不需要手動邀請和同步租使用者之間的使用者,以確保持續存取組織內的應用程式/資源。 | 啟用跨組織租使用者的共同作業。 管理員 istrators 會透過跨租使用者存取設定繼續具備完整設定功能。 選擇性的跨租使用者存取範本允許預先設定跨租使用者存取設定。 |
主要系統管理員工作流程 | 設定跨租使用者存取,為外部使用者提供其主租用戶的認證輸入存取權。 | 使用 B2B 邀請程式將外部使用者新增至資源租使用者,或使用 B2B 共同作業邀請管理員建置您自己的上線體驗。 | 設定跨租使用者同步處理引擎,以將多個租使用者之間的使用者同步處理為 B2B 共同作業使用者。 | 建立多租用戶組織、新增(邀請)租使用者、加入多租用戶組織。 利用現有的 B2B 共同作業使用者,或使用跨租使用者同步處理來布建 B2B 共同作業使用者。 |
信任層級 | 中層信任。 B2B 直接連線使用者較不容易追蹤,需要與外部組織進行某種程度的信任。 | 低到中度信任。 用戶物件可以使用細微的控件輕鬆追蹤及管理。 | 高度信任。 所有租使用者都是相同組織的一部分,而且使用者通常會獲得所有應用程式/資源的成員存取權。 | 高度信任。 所有租使用者都是相同組織的一部分,而且使用者通常會獲得所有應用程式/資源的成員存取權。 |
對用戶的影響 | 使用者使用其主租用戶的認證來存取資源租使用者。 不會在資源租使用者中建立用戶物件。 | 外部使用者會新增至租用戶作為 B2B 共同作業使用者。 | 在同一個組織中,使用者會從其主租使用者同步處理到資源租用戶,作為 B2B 共同作業使用者。 | 在同一個多租用戶組織中,B2B 共同作業使用者,尤其是成員使用者,受益於 Microsoft 365 之間增強且順暢的共同作業。 |
使用者類型 | B2B 直接連線使用者 - N/A |
B2B 共同作業使用者 - 外部成員 - 外部來賓 (預設值) |
B2B 共同作業使用者 - 外部成員(預設值) - 外部來賓 |
B2B 共同作業使用者 - 外部成員(預設值) - 外部來賓 |
下圖顯示 B2B 直接連線、B2B 共同作業和跨租使用者同步處理功能如何一起使用。
詞彙
若要進一步瞭解與 Microsoft Entra 功能相關的多租用戶組織案例,您可以回到下列詞彙清單。
詞彙 | 定義 |
---|---|
tenant | Microsoft Entra ID 的實例。 |
組織 | 商務階層的最上層。 |
多租用戶組織 | 具有多個 Microsoft Entra 識別符實例的組織,以及將這些實例分組在 Microsoft Entra ID 中的功能。 |
建立者租使用者 | 建立多租用戶組織的租使用者。 |
擁有者租使用者 | 具有擁有者角色的租使用者。 一開始,建立者租使用者。 |
已新增租使用者 | 由擁有者租使用者新增的租使用者。 |
joiner tenant | 加入多租用戶組織的租使用者。 |
聯結要求 | 加入者或新增的租使用者會提交加入要求以加入多租用戶組織。 |
暫止租使用者 | 由擁有者新增但尚未加入的租使用者。 |
作用中租使用者 | 建立或加入多租用戶組織的租使用者。 |
成員租使用者 | 具有成員角色的租使用者。 大部分的聯結者租用戶都會以成員身分啟動。 |
多租用戶組織租使用者 | 多租用戶組織的使用中租使用者,而非擱置中。 |
跨租使用者同步處理 | Microsoft Entra 識別碼中的單向同步處理服務,可自動化跨組織中的租使用者建立、更新和刪除 B2B 共同作業使用者。 |
跨租使用者存取設定 | 設定 管理特定 Microsoft Entra 組織的共同作業。 |
跨租使用者存取設定範本 | 選擇性範本,可預先設定跨租使用者存取設定,這些設定會套用至任何新加入多租用戶組織的合作夥伴租使用者。 |
組織設定 | 特定 Microsoft Entra 組織的跨租使用者存取設定。 |
組態 | Microsoft Entra 識別碼中的應用程式和基礎服務主體,其中包含跨租使用者同步處理所需的設定(例如目標租使用者、使用者範圍和屬性對應)。 |
佈建 | 自動跨界限建立或同步處理物件的程式。 |
自動兌換 | B2B 設定可自動兌換邀請,因此新建立的使用者不會收到邀請電子郵件,或必須接受新增至目標租使用者的同意提示。 |