使用 Azure AD 中的跨租户同步体验无缝协作

协作和沟通是当前商业环境中组织生存的关键组成部分。需要协作的背后有一百万个理由；例如，如果两个组织成为合作伙伴，那么两个组织之间就需要进行用户、资源和数据的协作。当然，成为授权或合法合作伙伴后，您不能拒绝这样的合作！因此，为了消除通过 B2B 协作的本机方法与多个租户协作的麻烦，Microsoft 在 Azure AD 中引入了跨租户同步。

顾名思义，跨租户同步是 Azure AD 中的一个选项，可以灵活地同步多个租户！ 此功能具有先进的自动化功能，克服了 B2B 协作中旧的邀请和赎回方法。跨租户同步最初于 2023 年 1 月在公共预览阶段引入（Microsoft 路线图 ID 109568），现已达到2023 年 6 月的全面可用性阶段。因此，不要浪费时间，让我们更深入地了解跨租户同步及其特性博客。

什么是 Azure AD 中的跨租户同步？

不幸的是，Azure AD B2B 协作中频繁的同意提示和兑换过程严重影响了最终用户在尝试访问公司资源时的体验。这些过程可能非常耗时，并且可能会破坏访问的目的，从而使用户感到沮丧。

跨租户同步，新的协作预览方式通过自动化基本上超越了传统的邀请和赎回方式。

Azure AD 中的跨租户同步是一种有助于跨组织中多个租户自动创建、修改和删除 Azure AD B2B 协作用户的机制。其主要目标是确保租户之间的无缝协作，同时简化多租户环境中 B2B 用户帐户的管理。

通过自动化，跨租户同步可以降低因多租户管理而可能出现的安全威胁和管理错误的可能性。因此，它允许用户轻松地访问跨租户的内容和资源，而不影响他们的个人功能或发展。

微软跨租户同步结构

跨租户同步可以通过以下四种方式进行广泛配置。但对于两个 Azure AD 租户之间的每个跨租户同步，只能以单向方式进行同步。

• 一对一同步 - 跨租户同步的最简单配置，其中单个目标租户协作并访问源租户的应用程序。
• 单个源具有多个目标 - 此处，Office 365 的多个目标租户共同访问来自单个源租户的资源。
• 单个目标的多个源 -单个目标 Azure AD 租户使用来自多个源租户的资源。
• 网状点对点 - 多个方向的复杂配置是通过 Microsoft 跨租户同步的网状点对点配置实现的。

使用 Azure AD 跨租户同步的亮点

除了避免耗时的同意提示之外，在 Microsoft 365 中使用此跨租户同步功能还有更多好处。让我们在博客的这一部分中详细讨论它们。

• 通过自动化无缝协作 - 跨租户同步的主要好处是支持多个租户之间的顺畅协作 。只有通过完全自动化的流程简化 B2B 协作用户的整个生命周期才能使其顺利进行。因此，不再需要使用自定义脚本手动创建用户，因为它会自动管理和优化 B2B 帐户同步。
• 无限制访问，无需同意提示 - 无需同意提示，此功能允许用户无缝访问 Microsoft 应用程序，例如 Teams 和 SharePoint、以及 Adobe 等非 Microsoft 应用程序，即使与 Office 365 集成也是如此。这通过消除了对邀请电子邮件、通知和同意提示的需要，显着改善了用户体验。
• 安全性不会受到影响 - 凭借跨租户同步的所有这些优势，此预览功能中的安全性不会受到影响。管理员可以通过利用 Azure AD 条件访问和跨租户访问设置来进一步增强安全措施。这些功能允许根据特定条件授予访问权限或仅限于组织内的特定用户组，从而确保最佳安全性。

跨租户同步的特点

现在我们已经清楚了跨租户同步配置的类型，让我们在本节中深入研究它们的属性。

• 最终，跨租户同步是来自源租户的推送过程，并且不是由目标租户拉取。因此，它仅从源租户推送内部成员，不支持从源租户拉取外部成员。
  
• 供应和属性映射的范围在源租户中执行。另外，请注意跨租户同步支持扩展属性。扩展属性是一种存储有关用户对象、组、租户详细信息和服务主体的附加信息的方法。这些目录扩展属性始终与应用程序关联。
  

• 只有目标租户管理员有权在任何情况下停止同步。

• 此外，跨租户同步还可以为其他租户的用户授予访问您的应用程序的权限。

• 创建一个统一的全局地址列表，在此跨租户同步功能下列出多个租户的所有用户

• 以前，当邀请租户时，他们的 userType 属性默认设置为“Guest”。现在，当这些租户通过跨租户同步进行同步时，其 userType 属性 将默认设置为 “Member”。

• 除此之外，它还为组织中的其他租户用户启用协作。
  

启用跨租户同步的先决条件

以下是在各自租户中查看和配置跨租户同步的先决条件。

1. 要以源租户身份访问跨租户同步，您需要拥有 Azure AD Premium P1 或 P2 许可证，并被分配以下角色之一。

• • 安全管理员 - 用于配置跨租户访问设置
• 混合身份管理员 - 启用跨租户同步
• 云应用程序管理员或应用程序管理员 - 用于将用户分配给特定配置和删除特定配置。

2. 现在，作为目标租户访问跨租户同步需要组织中的安全管理员角色以及外部身份计费模型的许可。

如何在 Azure AD 中配置跨租户同步？

通过配置跨租户同步，体验多个租户的无缝高级协作以及 B2B 协作。现在请按照以下详细说明的步骤配置它们。

1. 在目标租户中启用跨租户同步
2. 在源租户和目标租户中配置信任设置
3. 在源租户中启用跨租户同步
4. 使用测试连接选项检查与目标租户的连接
5. 设置要配置的用户或组的范围
6. 在源租户中定义属性映射
7. 在 Azure Active Directory 中启动配置作业
8. 监视 Azure AD 中的配置和审核日志
9. 在 Azure AD 中测试按需配置

在目标租户中启用跨租户同步

1. 首先，确定最适合您组织内同步的配置。从上面讨论的四种类型的配置中选择您想要构建跨租户同步的方式。
2. 接下来，按照以下路径添加所需的租户。

Microsoft Entra 管理中心 ?外部身份?跨租户访问设置?组织设置?添加组织

3.输入源租户的租户 ID 或域名，然后选择添加。

4. 然后，按照以下路径在目标租户中配置跨租户同步设置。

Microsoft Entra 管理中心nter ?外部身份?交叉租户访问设置?入站访问（已添加组织）?跨租户同步

5. 此外，跨租户同步是一种仅适用于入站访问的设置，从而允许源租户将对象同步到目标租户。因此，只需勾选并保存“允许用户同步到此租户”复选框即可启用此设置。

总体而言，目标租户中启用的跨租户同步不会对手动或通过 Azure AD 权利管理创建的 B2B 协作产生任何影响。

在源租户和目标租户中配置信任设置

为了在组织中配置跨租户同步，必须启用入站和出站访问的信任设置。因此，您可以按照以下路径来启用它们。

Microsoft Entra 管理中心r ?外部身份?跨租户访问设置?入站访问或出站访问?信任设置

• 基本上，此信任设置也称为自动兑换设置，它会自动兑换邀请，这样就不会提示用户接受请求。管理员可以通过选中复选框来启用此功能，“当其他租户的用户访问我的租户中的应用和资源时，禁止显示同意提示”。

重要提示：仅当源租户（出站访问）和目标租户（入站访问）已启用时才会抑制此同意提示这个设置。否则，任何其他配置都不会抑制同意提示。

在源租户中启用跨租户同步

1.输入租户 ID 或域名后，使用以下路径在源租户中添加组织，就像我们为目标租户所做的那样。

Microsoft Entra 管理中心 ?外部身份?跨租户访问设置?组织设置?添加组织

2.之后，在 Azure AD 的外部身份中选择跨租户同步，以在源租户中添加“新配置”。

3. 然后为配置命名并选择创建。可能需要 15 秒的持续时间才能将该名称添加到配置列表中。您可以在此处定义应同步的用户、必须包含的属性以及要执行的有关同步的任何类型的转换。

检查“使用测试连接进行跨租户同步”选项

Microsoft 允许您测试来自源租户的连接，以在分配用户之前检查同步是否已正确配置。

1. 转到“跨租户同步”页面并选择“配置”。现在，只需从配置列表中选择您的配置即可。
2. 然后单击开始按钮并将配置模式更改为自动。
3. 之后，将身份验证方法切换为管理员凭据下的跨租户同步策略。
4. 现在，输入目标租户的租户 ID，然后选择测试连接。

如果目标租户已正确连接到源租户，结果将成功，并显示一条消息：“提供的凭据已被授权启用配置”。

5. 选择保存，然后将出现“映射和设置”。

设置要配置的用户或组的范围

通过下面提供的简单步骤，根据配置分配或 Azure AD 中用户的属性设置预配范围。

跨租户同步 ? 配置 ? 选择您的配置 ?管理 ? 配置 ? 设置 ? 范围

1. 要提高系统性能并与更少的用户同步，请在范围中选择“仅同步分配的用户和组”。或者选择与所有用户和组同步并保存更改。

注意：此外，您可以通过选中复选框并定义收件人来通过电子邮件发送失败通知 。此外，为了防止意外删除，在配置模式下启用意外删除。

2.现在，您可以按照以下路径添加和分配用户或组。

配置?选择您的配置?管理?用户和组?添加用户/组?用户和组 - 未选择?选择用户?分配

3.为了在您设置的范围内限制用户访问，根据属性创建范围过滤器。

在源租户中定义属性映射

定义属性映射可帮助管理员构建源租户和目标租户之间的数据流。 为了防止在租户中创建重复的用户帐户，会选择某些称为“匹配属性”的属性来识别和匹配现有用户帐户。因此，这有助于确保两个租户之间的数据流顺畅且准确。因此，要查看属性映射，请使用以下路径登录属性映射页面。

配置 ?映射?配置Azure Active Directory用户?属性映射

查看 Azure AD 中的属性映射

作为定义属性映射的示例参考，我们来讨论如何查看和编辑诸如 Member(userType) 和 showlnAddressList 之类的属性。

• 首先，导航到属性映射页面并选择 Member(userType) 属性。在目标租户中，查看常量值设置，该设置定义了 userType。默认情况下，B2B 协作中 userType 值为 Guest，但跨租户同步时默认设置为 Member。
• 如果需要，您可以编辑常量值设置，以确保在目标租户中应用所需的属性映射。这样，您可以自定义属性映射以满足您的特定需求，并跨多个租户无缝协作。

• 导航到属性映射部分并选择 showInAddressList。将映射类型更改为常量，并将常量值设置为 True。这会将同步的用户添加到目标租户的全局地址列表中。
• 通过将用户添加到全局地址列表，管理员可以更轻松地搜索特定用户并管理其帐户。
• 此自定义选项使跨租户同步更加强大，可简化多个租户之间的协作。

此外，如果要在属性映射中执行任何转换，请选择特定属性并将映射类型设置为该属性的表达式。然后在表达式框中定义属性映射的转换表达式。例如，可以使用此类表达式函数来完成用逗号分隔显示名称或在显示名称末尾添加域名。

在 Azure Active Directory 中启动配置作业

1. 要初始化同步周期，请在跨租户同步配置的概述页面下选择开始配置来启动配置。

   

监视 Azure AD 中的配置和审核日志

要监视 Azure AD 租户的运行状况，定期监视预配日志和审核日志非常重要。这些日志提供了有关已隔离的不健康供应的宝贵信息，可以快速排除任何问题等。因此，为了随时了解您的配置和同步活动的状态，管理员可以在配置的“活动”部分下访问和监控这些日志。

• 配置日志 - 有意监控配置日志以识别已配置的用户，并且这些日志根据服务主体 ID 进行彻底过滤默认情况下的配置。
• 源租户中的审核日志 - 要监视 Azure AD 中记录的所有事件，管理员可以检查“”下的审核日志源租户中的活动'。这些日志提供有关添加配置配置、删除配置配置、导入、导出等活动的信息，以及日期和时间、状态、状态原因、服务、类别和目标等详细信息。这有助于跟踪源租户中发生的配置和同步活动。
• 目标租户中的审核日志 - 为了确保目标租户中安全高效的用户管理，定期查看审核日志非常重要。通过导航到 Microsoft Entra 管理中心?用户?审核日志，管理员可以轻松监控更新用户配置文件、兑换外部用户邀请等活动其他重要行动。

在 Azure AD 中测试按需配置

为了确保成功地按需配置用户或组，彻底分析配置问题、验证定义的表达式并测试已部署的范围筛选器非常重要。现在，配置完成后，管理员可以利用按需配置选项来测试按需配置。

跨租户同步?配置?按需配置?选择用户/组?配置

现在，您将看到执行操作页面，其中包含该特定用户的已修改属性。然后返回按需配置页面，查看配置详细信息的放大视图，其中简要说明了导入的用户、已验证的范围条件、匹配的属性以及在目标应用程序中执行的操作。此外，您还会发现一个重试选项来再次运行该配置。

最后，验证测试用户是否已在目标租户中配置，如果发现成功，则继续在配置中分配用户。

总体而言，跨租户同步为 B2B 协作提供了简化的解决方案，并且通过消除邀请电子邮件、通知电子邮件和用户同意的需要而提供了很大帮助。尽管这确保了所有相关方的顺利和无缝协作，但它不会限制或影响租户之间的应用程序同意提示。

具有跨租户同步功能的 Microsoft 365 中的用户体验

通过跨租户同步同步的用户与通过B2B协作集成的用户具有相似的体验。

• 对于各种 Microsoft 365 服务，最终用户体验根据 UserType 属性（例如来宾或成员）并没有不同。但微软表示，最终用户体验将根据 UserType 属性随着时间的推移而改变。
• 过去，B2B 协作用于跨租户访问 Microsoft 资源，B2B 直接连接仅用于 MS Teams 共享通道。现在，与Teams 共享通道的 B2B 直接连接相关，跨租户同步只能在 Office 365 环境中共存多种功能，例如访问团队共享渠道以及 Microsoft 365 的各种服务。

跨租户同步的局限性

尽管跨租户同步是协作方面的巨大突破，但它也有其自身的局限性，如下所示。

1. 目前，不支持跨组织边界的 Microsoft 跨租户同步。 此外，Azure 政府和 Azure 中国的云内未实现跨租户同步。
2. Office 365 环境中目前不支持不同云租户之间的同步（跨云）。
3. 跨租户同步不同步组、设备和联系人的对象类型以及属性，包括经理、照片、自定义安全属性和用户属性。
4. 现有的B2B协作用户将根据用户的匹配情况进行更新。但在此过程中，userType 默认情况下不会更新。

尽管考虑到其局限性，但明智地利用组织中的跨租户同步功能来增强协作。

轻松同步：跨租户同步！

即将结束，暂停一下 B2B 协作的原始功能，继续新的跨租户同步。使用我们的综合指南仔细配置跨租户同步，以享受所有自动化和广泛的功能。节省您所有的手动工作，享受 B2B 协作用户的自动创建、删除和修改。现在所有资源都触手可及，舒适地工作！

我希望这篇博客能让您熟悉跨租户同步的概念及其好处。在评论部分分享您的经验和想法。