Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Управление клиентами Microsoft Entra в настоящее время находится в предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.
Связи управления обеспечивают централизованное, межтенантное администрирование и мультитенантное управление приложениями. Связь управления — это направление отношений между двумя клиентами: один клиент выступает в качестве управляющего клиента, а другой выступает в качестве управляемого клиента.
Установите управленческое взаимодействие между любыми двумя клиентами Microsoft Entra с помощью трехэтапного процесса рукопожатия или двухэтапного процесса рукопожатия, если клиенты соответствуют определенным критериям. Возможные варианты описаны в этой статье.
Необходимые условия
Вам нужна роль администратора управления клиентами .
Просмотрите требования к лицензии для отправки запросов на управление в лицензировании Microsoft Entra.
Прежде чем инициировать процесс подтверждения, необходимо создать шаблон политики управления в управляющем арендаторе.
Если вы используете трехшаговое рукопожатие, необходимо включить управленческие приглашения в управляющем арендаторе.
Создание шаблона политики управления
Прежде чем настроить связь управления, необходимо создать шаблон политики управления в управляющем клиенте. Шаблон политики определяет тип отношения и уровень доступа, которым располагает управляющий клиент по отношению к управляемому клиенту. Повторное использование шаблонов между различными связями.
Войдите в Центр администрирования Microsoft Entra в качестве как минимум Администратора управления арендатором в управляющем арендаторе.
Перейдите к шаблонам управления клиентами>.
Создайте шаблон политики и настройте эти параметры при необходимости:
Делегированное администрирование: выберите одну или несколько встроенных ролей Microsoft Entra и назначьте их группе безопасности с возможностью назначения ролей в управляющем клиенте. Члены этой группы могут использовать свои учетные данные управляющего арендатора для входа в управляемый арендатор, не нуждаясь в наличии учетной записи в управляемом арендаторе. Каждая группа может иметь несколько назначений ролей, и каждый шаблон политики может иметь несколько групп.
Управление мультитенантными приложениями: выберите настраиваемое мультитенантное приложение. Управляемый клиент создает субъект-службу с теми же разрешениями при установке связи.
Настройте структуру управления с помощью трехэтапного подтверждения
Используйте трехэтапное рукопожатие, если между двумя арендаторами нет предварительного сигнала выставления счетов или активной связи.
Включение приглашений на управление в управляющем клиенте
Прежде чем начать рукопожатие, включите приглашения управления в управляющем арендаторе для получения приглашений от других арендаторов. По умолчанию этот параметр отключен.
Войдите в Центр администрирования Microsoft Entra как минимум в качестве Администратора управления арендатором в управляющем арендаторе.
Перейдите к параметрам управления>клиентами.
Включите параметр приглашений, чтобы разрешить приглашения для управления. Отключите этот параметр после получения приглашения.
Шаг 1. Отправка приглашения на управление от управляемого арендатора
Войдите в Центр администрирования Microsoft Entra как минимум администратор управления клиентами в будущем управляемом клиенте.
Перейдите к управление арендаторами>управление арендаторами>отправленные приглашения.
Отправьте приглашение на управление будущему управляющему арендатору. Будущий главный арендатор получает уведомление по электронной почте о приглашении.
Замечание
Приглашения для управления действительны в течение 30 дней.
Шаг 2. Отправка запроса на управление от управляющего клиента
Войдите в Центр администрирования Microsoft Entra как минимум в роли Администратора управления арендатором в управляющем арендаторе.
Перейдите к Управление клиентами>Управляемые клиенты>Полученные приглашения.
Просмотрите полученное приглашение о соблюдении норм.
Отправьте запрос на управление в управляемый клиент, выбрав соответствующий шаблон политики управления. Будущий управляемый клиент получает уведомление по электронной почте о том, что запрос ожидается.
Замечание
Запросы на управление действительны в течение 14 дней.
Шаг 3. Принятие запроса на управление в управляемом клиенте
Войдите в Центр администрирования Microsoft Entra как минимум администратор управления клиентами в управляемом клиенте.
Перейдите к Управление арендаторами>Управляющие арендаторы>Полученные запросы.
Выберите идентификатор запроса, чтобы просмотреть запрос на управление.
Примите запрос на управление, чтобы создать отношение управления. Управляющий клиент получает уведомление по электронной почте, которое вы приняли запрос и создали связь.
Настройте управление взаимоотношениями с помощью двухэтапного рукопожатия
Используйте двухэтапное рукопожатие при выполнении любого из этих условий:
Сигнал выставления счетов определяет целевого арендатора как связанного арендатора.
Существует активная управленческая взаимосвязь между двумя клиентами, и вы пытаетесь установить другую взаимосвязь между ними.
Шаг 1. Отправка запроса на управление от управляющего клиента
Войдите в Центр администрирования Microsoft Entra в качестве по крайней мере Администратора управления арендаторами в управляющем клиенте.
Перейдите к управлению арендой>управляемые арендаторы>отправить запрос на управление.
Отправьте запрос на управление в управляемый клиент, выбрав соответствующий шаблон политики управления.
Замечание
Запросы на управление действительны в течение 14 дней.
Шаг 2. Принятие запроса на управление в управляемом клиенте
Войдите в Центр администрирования Microsoft Entra как минимум администратор управления клиентами в управляемом клиенте.
Перейдите к Управление арендаторами>Управление арендаторами>Полученные запросы.
Просмотрите запрос на обеспечение надлежащего управления.
Примите запрос на управление, чтобы установить взаимоотношения управления.
Проверка управленческих отношений
При успешном создании связи в рамках управления арендатором Governance подготавливает следующие ресурсы:
Объект связи управления как в управляющих, так и управляемых клиентах.
В управляемом арендаторе:
Если вы настроили делегированное администрирование, Tenant Governance обновляет партнёрскую конфигурацию для доступа между арендаторами и создаёт межарендные назначения ролей.
Если вы настроили мультитенантное управление приложениями, управление арендаторами создает соответствующий основной объект службы и его разрешения.