如何在 Microsoft 365 中设置多租户组织

Microsoft 365 中的多租户组织使您能够在两个或多个租户之间创建信任，以便为不同租户成员的用户之间的内部通信创造更好的体验。

其背后的想法是，每个租户都由组织拥有和信任，使您能够提供无缝的体验，而无需进行侵入性的迁移工作。

在本教程中，我将向您展示如何在 Microsoft 365 中逐步设置多租户组织，同时演示最终用户体验并教您幕后发生的事情。

Microsoft 365 中的多租户组织是什么？

Microsoft 365 中的多租户组织功能使您能够在组织内形成信任的租户组。当您创建新的多租户组织时。对于添加的每个租户，都会形成信任关系，并且租户之间的任何信息传输均由 Microsoft Entra 中配置的跨租户访问设置控制。

下图展示了多租户组织的基本拓扑：

当您创建多租户组织时，您在创建多租户组织时登录的租户将成为组织所有者。该组织的任何其他租户都被归类为成员租户。无论哪种方式，都可以根据您配置的设置从任何租户执行出站同步和接受入站同步。从最终用户的角度来看，哪个租户是多租户组织的所有者并不重要。

使用多租户组织的用例

配置多租户组织无疑是现代企业的现代解决方案。传统上，例如，在公司合并的情况下，当集团内的组织之间需要协作时，首选解决方案是租户到租户的迁移，将所有资源整合到一个租户中。

根据租户的规模，租户到租户的迁移通常会带来很大的压力、金钱和服务中断。然而，从长远来看，简化关键数据的持续控制、治理、合规性和信任往往会遇到困难。

如今，特别是由于多租户组织功能，所有这些事情仍然可以轻松维护，同时每个公司租户保持独立。这不仅减少了咨询成本和服务中断，而且由于物理分离还简化了成本控制和资源管理。

在多租户组织的几乎所有用例中，多个租户都是（并且应该）由公司拥有。这是因为同步用户被视为组织的成员，而不是被视为外部来宾成员。

您可以使用同步用户的 ID 运行以下命令来验证这一点：

Get-MgBetaUser -UserId %userid% | Select UserPrincipalName, UserType

您的结果应如下所示：

先决条件

要完成本指南中的步骤并建立您自己的多租户组织，您需要确保满足业主（主）租户和任何成员租户的以下要求。

• 至少获得 Microsoft Entra ID P1（以前称为 Azure Active Directory P1）许可
• 用于配置跨租户访问设置的安全管理员角色
• 用于同意权限的全局管理员角色

如何设置多租户组织

继续按照以下步骤配置您自己的多租户组织。

步骤 1：创建新的多租户组织

首先以全局管理员身份登录所有者租户。该租户将成为您的主要租户，也是拥有多租户组织关系的租户。

登录后，请按照以下步骤操作：

1. 在 admin.microsoft.com 中，展开设置，然后选择组织设置 > 组织配置文件 > 多租户协作 。

2. 点击开始并选择创建新的多租户组织，然后点击下一步。

3. 在组织详细信息页面上，输入您的多租户组织的名称以及您想要加入的任何成员租户的TenantID多租户组织。

4. 在“同步设置”页面上，启用这两个选项，然后单击下一步。

通过允许用户从其他租户同步到此租户，您只需确保启用后，能够在此租户中创建用户，启用这些设置时不会自动启动同步。如果您不希望在此租户中创建用户，也可以保留此设置。

另外，请确保选中复选框以禁止同意提示，这将确保当成员尝试访问资源时，已授予成员用户同意。这将确保租户的成员用户获得良好的用户体验。

5. 检查最后一页上的设置，然后单击创建多租户组织。

步骤 2：加入多租户组织

将成员租户添加到主（或所有者）租户后，您将需要从成员租户加入现有的多租户组织。请按照以下步骤加入多租户组织。

1. 在 admin.microsoft.com 中，展开设置并选择组织设置 > 组织资料 > 多租户协作 。

2. 单击开始，然后选择加入现有多租户组织。输入主（所有者）租户 ID 并选中两个复选框以允许用户同步并禁止同意提示。

选择加入多租户组织后，您将在多租户协作设置页面上看到以下页面：

这可能会显示一两分钟，然后当您刷新时，您将看到以下页面：

无法加入多租户组织？

由于任何原因，您无法通过 Microsoft 365 管理中心加入多租户组织，例如，如果您收到一般错误消息，则应改用 Microsoft Graph PowerShell 加入。

首先使用以下建议的权限范围连接到 Microsoft Graph PowerShell：（确保连接到成员租户）

Connect-MgGraph -scopes MultiTenantOrganization.ReadWrite.All, `
Policy.Read.All, `
Policy.ReadWrite.CrossTenantAccess, `
Application.ReadWrite.All, `
Directory.ReadWrite.All

使用以下脚本加入多租户组织：（确保将所有者租户 ID 替换为主租户的 ID）

$uri = "https://graph.microsoft.com/beta/tenantRelationships/multiTenantOrganization/joinRequest"

$body = @'
{
    "addedByTenantId": "Owner tenant ID"
}
'@

Invoke-MgGraphRequest -uri $uri -body $body -Method PATCH -ContentType "application/json"

您可以使用以下命令检查这是否有效：

$uri = "https://graph.microsoft.com/beta/tenantRelationships/multiTenantOrganization/joinRequest"
Invoke-MgGraphRequest -uri $uri -Method GET

如果您的成员租户已成功加入多租户组织，您应该会收到以下响应：

步骤 3：同步多租户组织中的用户

建立多租户组织关系后，您将需要配置租户之间的用户同步。以这种方式在租户之间同步的用户将被同步为成员用户而不是访客用户。作为相关租户的成员，他们将拥有更好的协作体验，因为他们将代表您组织内的用户。

请按照以下步骤启用用户同步：

1. 在 admin.microsoft.com 中，展开设置并选择组织设置 > 组织资料 > 多租户协作 。

2. 在多租户协作页面上，选择共享用户。

3. 在文本框中，输入您希望从当前登录的租户同步到合作伙伴租户的用户或组的名称，然后单击保存。

请务必通过上述方法（Microsoft 365 组织设置）添加共享用户和组，因为同步将自动启用。如果您手动修改跨租户同步设置，用户同步将不会自动发生。

现在同步已启用，您可以通过单击多租户协作页面中的目标租户并查看目录同步状态（如下突出显示）来确认初始同步已成功完成。

在目标租户中，同步的用户现在将在您的用户列表中可见：

多租户组织的最终用户体验

用户与您的租户同步后（反之亦然），您将能够通过 Microsoft Teams 搜索他们，并且他们将显示为您组织的标准成员。

例如，下面我以所有者（主要租户）的成员身份登录，用户 John Smith 的身份正在同步到该所有者（来自成员租户）。当我通过 Teams 搜索用户 John Smith 时，他们显示为标准 Internet 用户。

当我在 Microsoft Teams 中打开 John Smith 的联系人卡片时，他们的联系地址证明他们是外部用户，因为它与所有者租户的接受域之一不匹配。

另一方面，如果我以用户 John Smith 身份登录，则可以通过右上角的个人资料图标（下面以橙色突出显示）快速切换我在 Microsoft Teams 中查看的组织。

我还可以单独更改我同步到的每个租户中的状态，如下图紫色突出显示。

此外，如果 John Smith 需要同时与每个租户进行通信，他可以在主租户中弹出一个聊天窗口，然后切换到成员租户并继续同时在两个租户中进行通信。

通过 Microsoft Entra 查看多租户组织设置

通过 Microsoft 365 管理中心配置多租户组织时，跨租户同步设置将通过 Microsoft Entra 管理中心自动配置。跨租户同步设置有助于 MTO 的每个成员租户之间的用户同步，跨租户访问设置还定义了 MTO 成员之间的信任设置。

每个跨租户同步设置还有一个与要同步的成员租户相匹配的相关服务主体。让我们看看每一个设置……

跨租户同步

当您从 Microsoft 365 管理中心创建多租户组织时，会自动创建跨租户同步设置。您可以通过登录 Microsoft Entra 并选择身份 > 外部身份 > 跨租户同步 > 配置。

单击进入 MTO 配置后，您可以查看之前分配的用户和组。作为通过 Microsoft 365 管理中心分配用户的替代方法，您还可以从此处添加和删除同步的用户或组。

还会在 Microsoft Entra 中自动创建与跨租户同步配置的名称相匹配的相关服务主体。分配给您的配置的用户（如上面的屏幕截图）也将被分配给服务主体。您可以通过 Microsoft Entra 管理中心展开应用程序并选择企业应用程序来查看此内容。然后单击进入具有匹配名称的应用程序。

重要的是，您的跨租户同步配置将包含与同步目录之间的用户帐户同步、创建和修改相关的规定日志。

跨租户访问设置

自动配置多租户配置后，还会自动配置跨租户访问设置以支持租户之间的协作。您可以通过登录 Microsoft Entra 并选择身份 > 外部身份 > 跨租户访问设置来查看这些设置> 跨租户访问设置。

从下图中，您可以看到已为合作伙伴组织配置了入站和出站访问设置。

从这里，您应该检查该组织的入站信任设置。在入站访问下选择已配置，然后选择信任设置。

默认情况下，将选择默认设置，如果此处未进行任何更改，则该租户将不接受您的成员租户在条件访问中的声明。我建议您自定义这些设置并选中哪些框适用于您。

上面以绿色突出显示的框应该已被选中，但如果没有选中，请确保选中使用租户“租户名称”自动兑换邀请框。