Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Управление клиентами Microsoft Entra в настоящее время находится в предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.
Отношение управления формирует директивное подключение между двумя клиентами Microsoft Entra. Один клиент ( управляющий клиент) управляет другим клиентом ( управляемым клиентом ). Эти отношения позволяют организациям безопасно управлять несколькими арендаторами в масштабе от центрального узла.
Связи управления позволяют реализовать четыре ключевых сценария:
| Сценарий | Описание |
|---|---|
| Делегированное администрирование между арендаторами | Используйте связи управления, чтобы централизировать наименее привилегированный административный доступ в нескольких клиентах Microsoft Entra. Администраторы входят с помощью учетных записей из управляющего арендатора. Такой подход устраняет необходимость создания локальных учетных записей администраторов или учетных записей администраторов B2B в каждом управляемом клиенте. |
| Управление мультитенантными приложениями | Управление пользовательскими мультитенантными приложениями из управляющего клиента. Администраторы могут отслеживать и поддерживать доступ к приложениям с минимальными привилегиями между управляемыми клиентами без входа в каждый клиент по отдельности. Такой подход снижает операционные издержки и смещение конфигурации. |
| Управление конфигурацией арендатора | Если вы настроили делегированное администрирование между клиентами в отношениях управления, используйте этот административный доступ, чтобы гарантировать, что клиент соответствует целям безопасности и соответствия требованиям вашей организации на постоянной основе. |
| Безопасное создание клиента | При создании нового добавочного клиента из существующего клиента, система управления клиентами автоматически устанавливает управленческие отношения между родительским и новым клиентом с использованием шаблона политики управления по умолчанию. На этом этапе вступают в действие меры по централизованному администрированию и управлению только что созданными арендаторами, что снижает риск наличия неуправляемых или некорректно настроенных арендаторов. |
Подтверждение связи
Любые два тенанта Microsoft Entra могут создать новые отношения управления с помощью трехэтапного рукопожатия. Чтобы создать новую связь управления или обновить существующую, администраторы обоих клиентов должны настроить и согласиться с ролями и разрешениями, которые у управляющего клиента есть над управляемым клиентом.
Будущий управляемый клиент отправляет будущему управляющему клиенту приглашение на управление.
Получив приглашение на управление, будущий управляющий тенант отправляет будущему подчиненному тенанту запрос на установление управления (с выбранным шаблоном политики управления).
После того как будущие управляемые арендаторы проверяют и принимают запрос, арендаторы устанавливают управленческие отношения.
Клиенты, удовлетворяющие этим критериям, могут пропустить шаг приглашения:
Будущий управляющий арендатор идентифицирует будущего управляемого арендатора как связанного арендатора через обнаружение арендаторов с общей учетной записью выставления счетов.
Арендаторы в активном управленческом взаимодействии могут пропустить шаг приглашения, чтобы обновить свою связь или создать новую.
Жизненный цикл отношений
Управленческое взаимодействие проходит через несколько этапов от создания до завершения. В следующих разделах описываются состояния как для запросов, так и для установленных связей.
Статусы запроса
Запросы управления проходят через следующие состояния:
| Государство | Описание |
|---|---|
| В ожидании | Управляющий клиент отправил запрос и ожидает ответа от управляемого клиента. |
| Акцептировано | Управляемый арендатор принял запрос, создав отношения управления. |
| Отклонено | Управляемый клиент отклонил запрос. |
Состояния отношений
Управленческие связи развиваются через следующие состояния:
| Государство | Описание |
|---|---|
| Активный | Связь установлена и функционирует. |
| Запрошено завершение работы | Управляющий арендатор попросил завершить отношения. |
| Terminated | Оба клиента завершили связь, а управление клиентами удалило все связанные ресурсы. |
Модели управления
При настройке связей управления между парой клиентов обратите внимание на эти поддерживаемые модели.
| Поддерживается? | Тип модели | Описание |
|---|---|---|
| ✅ | Один ко многим | Один арендатор может управлять несколькими арендаторами. |
| ✅ | Многие к одному | Несколько арендаторов могут управлять арендатором. |
| ❌ | Многоуровневый | Арендатор не может быть одновременно управляющим и управляемым арендатором. Например, если Contoso управляет Fabrikam, Fabrikam не может запрашивать управление другим клиентом. |