在当今快速变化的商业环境中,企业往往需要跨多个 Microsoft 365 租户运营。这可能是由于并购、全球化运营或子公司各自独立管理造成的。传统上,在多个租户之间管理用户身份需要重复创建账户或手动共享资源,增加了管理的复杂性。
一. 跨租户同步是什么?
跨租户同步是 Microsoft Entra(前身为 Azure AD)中的一项功能,它允许组织在多个 Microsoft 365 租户之间同步用户、组和其他目录对象。通过这种方式,不同租户的用户可以无缝协作,访问资源,并且无需切换账户就可以像同一租户内的用户一样出现在通讯录中。
跨租户同步特别适用于管理多个租户的组织,尤其是在并购期间或那些具有复杂组织结构的企业。
二. 跨租户同步的重要性
-
改善协作
通过跨租户同步,不同租户的用户可以出现在全球地址列表中,参与团队协作,并访问共享资源,而无需使用访客账户或切换租户,大大提高了工作效率。 -
降低复杂性
在没有同步的情况下,管理多个租户的身份通常需要复杂的流程,比如创建影子账户或使用第三方工具。跨租户同步简化了身份管理,使 IT 管理员更容易管理和控制用户访问。 -
提升业务敏捷性
在并购的情况下,组织需要快速整合。跨租户同步允许员工在并购后立即开始协作,为完成完整的租户迁移提供了一个过渡方案。
三. 跨租户同步的使用场景
-
并购整合
在企业收购的情况下,跨租户同步可以让员工在租户完全迁移前即刻协作,有效缩短整合时间。 -
跨国公司
对于拥有多个地区办公室或子公司各自运营租户的大型企业来说,跨租户同步让不同地区的员工能够跨租户协作,而不受租户边界的限制。 -
混合和多租户场景
对于运行混合环境(如本地 Active Directory 与 Microsoft 365 租户并存)或管理多个租户的组织,跨租户同步可以确保身份管理的一致性。
四. 跨租户同步的工作原理
-
单向或双向同步
企业可以配置单向同步,将源租户的用户对象复制到目标租户。也可以配置双向同步,在两个租户之间共享身份。 -
用户和组同步
一旦配置完成,源租户中的用户和组将被同步到目标租户目录中,这些对象将出现在目标租户的全球地址列表中,员工可以像内部用户一样找到并与同步用户通信。 -
同步规则
管理员可以根据特定规则控制哪些用户和组被同步。这些规则可以基于用户属性,如部门、地点或角色。例如,你可以只同步高层管理团队或特定部门的员工,而不是整个用户库。 -
安全性与访问控制
同步用户必须获得适当的权限才能访问目标租户的资源。管理员可以使用条件访问策略来管理这些用户何时以及如何访问资源。此外,Microsoft Entra 的监控工具可以帮助跟踪跨租户活动,以确保合规性和安全性。 -
无自动许可证共享
尽管身份可以在租户之间同步,但许可证不会自动转移。这意味着每个租户都需要为同步的用户分配相应的许可证,以便他们在目标租户中访问 Microsoft 365 服务。
五. 跨租户同步的配置步骤
1. 准备环境
确保两个租户都在使用 Microsoft Entra ID(Azure AD),并且在源和目标租户中具有足够的管理员权限。启用跨租户同步。
2. 配置跨租户访问设置
在 Microsoft Entra 管理中心中,导航到“外部身份 > 跨租户访问设置”,配置跨租户同步的权限。两个租户需要在访问策略上达成一致。
2.1. 将第一个租户的租户 ID 复制并粘贴到另一个租户的组织设置中。
2.2. 检查两个租户的信任设置(入站和出站)。
2.3. 初始设置完成后,创建跨租户同步配置。
3. 选择同步的用户和组
定义要同步的用户或组,可以选择同步所有用户或通过过滤规则根据属性(如部门或职位)限制同步范围。
3.1. 选择自动配置目标租户 ID 并保存。
3.2. 在映射部分选择要同步的属性。
3.3. 在按需同步中,选择用户后,它将在目标租户中创建。
4. 测试与监控
测试同步,确保用户和组成功出现在目标租户中。定期监控和审核同步日志,以确保同步正常运行。
六. 结论
跨租户同步简化了多租户环境中的身份管理,使得组织能够高效协作并维持各自的安全策略。通过遵循上述步骤,企业可以快速设置并有效利用这项功能,特别是在并购、跨国运营和复杂组织结构中。