Поделиться через


Что такое синхронизация между клиентами?

Синхронизация между клиентами автоматизирует создание, обновление и удаление пользователей совместной работы Microsoft Entra B2B в организации. Он позволяет пользователям получать доступ к приложениям и совместно работать между клиентами, позволяя организации развиваться.

Ниже приведены основные цели межтенантной синхронизации:

  • Простая совместная работа для мультитенантной организации
  • Автоматизация управления жизненным циклом пользователей совместной работы B2B в мультитенантной организации
  • Автоматическое удаление учетных записей B2B при выходе пользователя из организации

Зачем использовать синхронизацию между клиентами?

Синхронизация между клиентами автоматизирует создание, обновление и удаление пользователей совместной работы B2B. Пользователи, созданные с помощью синхронизации между клиентами, могут получать доступ к приложениям Майкрософт (например, Teams и SharePoint) и приложениям, отличным от Майкрософт (например, ServiceNow, Adobe и многим другим), независимо от того, с каким клиентом интегрированы приложения. Эти пользователи по-прежнему получают преимущества от возможностей безопасности в идентификаторе Microsoft Entra, таких как условный доступ Microsoft Entra и параметры доступа между клиентами, и могут управляться с помощью таких функций, как управление правами Microsoft Entra.

На следующей схеме показано, как использовать синхронизацию между клиентами, чтобы пользователи могли получать доступ к приложениям между клиентами в вашей организации.

Схема, демонстрирующая синхронизацию пользователей для нескольких клиентов.

Кто должен использовать?

  • Организации, владеющие несколькими клиентами Microsoft Entra и желающие упростить доступ между клиентами между клиентами внутри организации.
  • Синхронизация между клиентами в настоящее время не подходит для использования через границы организации.

Преимущества

С помощью синхронизации между клиентами можно выполнить следующие действия:

  • Автоматически создавайте пользователей совместной работы B2B в организации и предоставляйте им доступ к приложениям, которые им нужны, без создания и поддержания пользовательских скриптов.
  • Улучшайте взаимодействие с пользователем и убедитесь, что пользователи могут получать доступ к ресурсам, не получая электронное письмо с приглашением и принимая запрос на согласие в каждом клиенте.
  • Автоматически обновите пользователей и удалите их при выходе из организации.

Teams и Microsoft 365

При доступе к Microsoft Teams и другим службам Microsoft 365, созданным с помощью межтенантной синхронизации, пользователям совместной работы B2B, созданным с помощью приглашения вручную. Если ваша организация использует общие каналы, ознакомьтесь с документом о известных проблемах для получения дополнительных сведений. С течением времени member userType будет использоваться различными службами Microsoft 365 для предоставления различных интерфейсов конечных пользователей для пользователей в мультитенантной организации.

Свойства

При настройке синхронизации между клиентами определяется отношение доверия между исходным клиентом и целевым клиентом. Синхронизация между клиентами имеет следующие свойства:

  • На основе подсистемы подготовки Microsoft Entra.
  • Является процессом отправки из исходного клиента, а не процесса извлечения из целевого клиента.
  • Поддерживает отправку только внутренних элементов из исходного клиента. Он не поддерживает синхронизацию внешних пользователей из исходного клиента.
  • Пользователи в области синхронизации настраиваются в исходном клиенте.
  • Сопоставление атрибутов настраивается в исходном клиенте.
  • Поддерживаются атрибуты расширения.
  • Администраторы целевых клиентов могут в любое время остановить синхронизацию.

В следующей таблице показаны части синхронизации между клиентами и настроенный клиент.

Съёмщик Перекрестный клиент
Параметры доступа
Автоматическое активация Параметры синхронизации
конфигурация
Пользователи в области
Значок исходного клиента.
Исходный клиент
✔️ ✔️ ✔️
Значок целевого клиента.
Целевой клиент
✔️ ✔️

Параметр синхронизации между клиентами

Параметр синхронизации между клиентами — это только входящий параметр организации, позволяющий администратору исходного клиента синхронизировать пользователей с целевым клиентом. Этот параметр — это флажок с именем Allow users sync in this tenant , который указан в целевом клиенте. Этот параметр не влияет на приглашения B2B, созданные с помощью других процессов, таких как ручное приглашение или управление правами Microsoft Entra.

Снимок экрана: вкладка синхронизации между клиентами с флажок

Сведения о настройке этого параметра с помощью Microsoft Graph см. в API Update crossTenantIdentitySyncPolicyPartner . Дополнительные сведения см. в разделе "Настройка синхронизации между клиентами".

Параметр автоматического активации

Параметр автоматического активации — это параметр входящего и исходящего доверия организации для автоматического активации приглашений, поэтому пользователям не нужно принимать запрос согласия при первом доступе к ресурсу или целевому клиенту. Этот параметр является флажоком со следующим именем:

  • Автоматическое активация приглашений с помощью клиента<>

Снимок экрана: флажок автоматического активации для входящего трафика.

Сравнение параметров для различных сценариев

Параметр автоматического активации применяется к синхронизации между клиентами, совместной работе B2B и прямому подключению B2B в следующих ситуациях:

  • Когда пользователи создаются в целевом клиенте с помощью межтенантной синхронизации.
  • При добавлении пользователей в клиент ресурсов с помощью совместной работы B2B.
  • Когда пользователи получают доступ к ресурсам в клиенте ресурсов с помощью прямого подключения B2B.

В следующей таблице показано, как этот параметр сравнивается при включении этих сценариев:

Пункт Синхронизация между клиентами Совместная работа B2B Прямое подключение B2B
Параметр автоматического активации Обязательно Необязательный Необязательный
Пользователи получают сообщение электронной почты о приглашении на совместную работу B2B Нет Нет N/A
Пользователи должны принять запрос согласия Нет Нет Нет
Пользователи получают уведомление о совместной работе B2B Нет Да N/A

Этот параметр не влияет на взаимодействие с согласием приложения. Дополнительные сведения см. в разделе "Согласие" для приложений в идентификаторе Microsoft Entra ID. Этот параметр не поддерживается для организаций в разных облачных средах Майкрософт, таких как коммерческая и Azure для государственных организаций Azure.

Параметр автоматического активации будет отключать только запрос согласия и сообщение электронной почты приглашения, если этот параметр проверяет этот параметр как домашний, так и исходный клиент (исходящий) и целевой клиент (входящий).

Схема, показывающая параметр автоматического активации для исходящего и входящего трафика.

В следующей таблице показано поведение запроса согласия для пользователей исходного клиента при проверке параметра автоматического активации для различных сочетаний параметров доступа между клиентами.

Клиент home/source Клиент resource/target Поведение запроса на согласие
для пользователей исходного клиента
Отправляемый за границу Прибывающий
Значок флажка. Значок флажка. Подавлены
Значок флажка. Значок для очистки флажка. Не подавляется
Значок для очистки флажка. Значок флажка. Не подавляется
Значок для очистки флажка. Значок для очистки флажка. Не подавляется
Прибывающий Отправляемый за границу
Значок флажка. Значок флажка. Не подавляется
Значок флажка. Значок для очистки флажка. Не подавляется
Значок для очистки флажка. Значок флажка. Не подавляется
Значок для очистки флажка. Значок для очистки флажка. Не подавляется

Сведения о настройке этого параметра с помощью Microsoft Graph см. в API Update crossTenantAccessPolicyConfigurationPartner . Дополнительные сведения см. в разделе "Настройка синхронизации между клиентами".

Как пользователи знают, к каким клиентам они относятся?

Для синхронизации между клиентами пользователи не получают сообщение электронной почты или должны принимать запрос на согласие. Если пользователи хотят узнать, к каким клиентам они принадлежат, они могут открыть страницу "Моя учетная запись " и выбрать "Организации". В Центре администрирования Microsoft Entra пользователи могут открывать параметры портала, просматривать их каталоги и подписки и переключать каталоги.

Дополнительные сведения, включая сведения о конфиденциальности, см. в статье "Оставьте организацию внешним пользователем".

Начало работы

Ниже приведены основные шаги по началу работы с синхронизацией между клиентами.

Шаг 1. Определение структуры клиентов в организации

Синхронизация между клиентами предоставляет гибкое решение для обеспечения совместной работы, но каждая организация отличается. Например, у вас может быть центральный клиент, вспомогательные клиенты или сетка клиентов. Синхронизация между клиентами поддерживает любую из этих топологий. Дополнительные сведения см. в разделе "Топологии" для синхронизации между клиентами.

Схема, показывающая различные топологии клиентов.

Шаг 2. Включение синхронизации между клиентами в целевых клиентах

В целевом клиенте, где создаются пользователи, перейдите на страницу параметров доступа между клиентами . Здесь можно включить синхронизацию между клиентами и параметры автоматического активации B2B, выбрав соответствующие флажки. Дополнительные сведения см. в разделе "Настройка синхронизации между клиентами".

Схема, показывающая синхронизацию между клиентами, включенную в целевом клиенте.

Шаг 3. Включение синхронизации между клиентами в исходных клиентах

В любом исходном клиенте перейдите на страницу параметров доступа между клиентами и включите функцию автоматического активации B2B. Затем вы используете страницу синхронизации между клиентами, чтобы настроить задание синхронизации между клиентами и указать следующее:

  • Какие пользователи хотите синхронизировать
  • Какие атрибуты необходимо включить
  • Любые преобразования

Для всех, кто использовал идентификатор Microsoft Entra для подготовки удостоверений в приложении SaaS, этот интерфейс будет знаком. После настройки синхронизации можно начать тестирование с несколькими пользователями и убедиться, что они созданы со всеми нужными атрибутами. После завершения тестирования можно быстро добавить дополнительных пользователей для синхронизации и развертывания в организации. Дополнительные сведения см. в разделе "Настройка синхронизации между клиентами".

Схема, показывающая задание синхронизации между клиентами, настроенное в исходном клиенте.

Требования к лицензии

В исходном клиенте: для использования этой функции требуются лицензии Microsoft Entra ID P1. Каждый пользователь, синхронизированный с синхронизацией между клиентами, должен иметь лицензию P1 в своем домашнем или исходном клиенте. Чтобы найти нужную лицензию для ваших требований, ознакомьтесь с общими доступными функциями идентификатора Microsoft Entra.

В целевом клиенте синхронизация между клиентами зависит от модели выставления счетов Внешняя идентификация Microsoft Entra. Чтобы понять модель лицензирования внешних удостоверений, ознакомьтесь с моделью выставления счетов MAU для Внешняя идентификация Microsoft Entra. Для включения автоматического активации также потребуется по крайней мере одна лицензия Microsoft Entra ID P1 в целевом клиенте.

Часто задаваемые вопросы

Облака

В каких облаках можно использовать синхронизацию между клиентами?

  • Синхронизация между клиентами поддерживается в коммерческом облаке и Azure для государственных организаций.
  • Синхронизация между клиентами не поддерживается в Microsoft Azure, работающей в облаке 21Vianet.
  • Синхронизация поддерживается только между двумя клиентами в одном облаке.
  • В настоящее время кросс-облако (например, общедоступное облако для Azure для государственных организаций) не поддерживается.

Существующие пользователи B2B

Будет ли синхронизация между клиентами управлять существующими пользователями B2B?

  • Да. Синхронизация между клиентами использует внутренний атрибут, называемый альтернативойSecurityIdentifier, для уникального сопоставления внутреннего пользователя в исходном клиенте с внешним или B2B-пользователем в целевом клиенте. Синхронизация между клиентами может обновлять существующих пользователей B2B, гарантируя, что у каждого пользователя есть только одна учетная запись.
  • Синхронизация между клиентами не может соответствовать внутреннему пользователю в исходном клиенте с внутренним пользователем в целевом клиенте (как участник типа, так и гостевой тип).

Частота синхронизации

Как часто выполняется синхронизация между клиентами?

  • Интервал синхронизации в настоящее время фиксируется для запуска с 40-минутных интервалов. Длительность синхронизации зависит от количества пользователей в области. Начальный цикл синхронизации, скорее всего, занимает значительно больше времени, чем следующие добавочные циклы синхронизации.

Размах

Разделы справки управлять синхронизацией с целевым клиентом?

  • В исходном клиенте можно управлять подготовкой пользователей с помощью фильтров на основе конфигурации или атрибутов. Вы также можете контролировать, какие атрибуты в объекте пользователя синхронизируются. Дополнительные сведения см. в статье о подготовке пользователей или групп области с фильтрами области.

Если пользователь удаляется из области синхронизации в исходном клиенте, будет ли обратимое удаление синхронизации между клиентами в целевом объекте?

  • Да. Если пользователь удаляется из области синхронизации в исходном клиенте, синхронизация между клиентами будет обратимо удалять их в целевом клиенте.

Типы объектов

Какие типы объектов можно синхронизировать?

  • Пользователи Microsoft Entra могут синхронизироваться между клиентами. (В настоящее время группы, устройства и контакты не поддерживаются.)

Какие типы пользователей можно синхронизировать?

  • Внутренние члены можно синхронизировать из исходных клиентов. Внутренние гости не могут быть синхронизированы из исходных клиентов.
  • Пользователи могут быть синхронизированы с целевыми клиентами как внешние члены (по умолчанию) или внешние гости.
  • Дополнительные сведения об определениях UserType см. в разделе "Свойства пользователя совместной работы Microsoft Entra B2B".

У меня есть пользователи совместной работы B2B. Что произойдет с ними?

  • Синхронизация между клиентами будет соответствовать пользователю и вносить необходимые обновления для пользователя, например обновить отображаемое имя. По умолчанию UserType не будет обновляться от гостя к члену, но его можно настроить в сопоставлениях атрибутов.

Атрибуты

Какие атрибуты пользователя можно синхронизировать?

  • Синхронизация между клиентами синхронизирует часто используемые атрибуты в объекте пользователя в идентификаторе Microsoft Entra, включая (но не ограничено) displayName, userPrincipalName и атрибуты расширения каталога.
  • Синхронизация между клиентами поддерживает подготовку атрибута диспетчера в коммерческом облаке. Синхронизация диспетчера пока не поддерживается в облаке для государственных организаций США. Для подготовки атрибута диспетчера пользователь и его менеджер должны находиться в области синхронизации между клиентами.
    • Для конфигураций синхронизации между клиентами, созданных после января 2024 г. с сопоставлением схем и атрибутов по умолчанию:
      • Атрибут диспетчера будет автоматически добавлен в сопоставления атрибутов.
      • Обновления диспетчера будут применяться к добавочному циклу для пользователей, которые проходят изменения (например, изменение диспетчера). Модуль синхронизации не обновляет все существующие пользователи, подготовленные ранее.
      • Чтобы обновить диспетчер для существующих пользователей, которые находятся в области подготовки, можно использовать подготовку по запросу для конкретных пользователей или перезапустить для подготовки диспетчера для всех пользователей.
    • Для конфигураций синхронизации между клиентами, созданных до января 2024 года с настраиваемыми сопоставлениями схем и атрибутов (например, вы добавили атрибут в сопоставления или изменили сопоставления по умолчанию):
      • Необходимо добавить атрибут диспетчера в сопоставления атрибутов. Это приведет к перезапуску и обновлению всех пользователей, которые находятся в области подготовки. Это должно быть прямое сопоставление атрибута диспетчера в исходном клиенте с диспетчером в целевом клиенте.
    • Если диспетчер пользователя удален в исходном клиенте и новый диспетчер не назначен в исходном клиенте, атрибут диспетчера не будет обновлен в целевом клиенте.

Какие атрибуты нельзя синхронизировать?

  • Атрибуты, включая (но не ограниченные) фотографии, настраиваемые атрибуты безопасности и атрибуты пользователя за пределами каталога, не могут быть синхронизированы с помощью синхронизации между клиентами.

Можно ли управлять источником и управлением атрибутами пользователей?

  • Синхронизация между клиентами не обеспечивает прямой контроль над источником полномочий. Пользователь и его атрибуты считаются заслуживающими доверия в исходном клиенте. Существуют параллельные источники рабочих потоков центра, которые будут развивать источник элементов управления центром для пользователей до уровня атрибута, а объект пользователя в источнике может в конечном итоге отражать несколько базовых источников. Для процесса "клиент — клиент" это по-прежнему рассматривается как значения исходного клиента, заслуживающие доверия для процесса синхронизации (даже если фрагменты на самом деле берутся в другом месте) в целевой клиент. В настоящее время нет поддержки для отмены источника центра синхронизации.
  • Синхронизация между клиентами поддерживает только источник центра на уровне объекта. Это означает, что все атрибуты пользователя должны поступать из одного источника, включая учетные данные. Невозможно изменить источник центра или направления федерации синхронизированного объекта.

Что происходит, если атрибуты для синхронизированного пользователя изменяются в целевом клиенте?

  • Синхронизация между клиентами не запрашивает изменения в целевом объекте. Если изменения в синхронизированном пользователе в исходном клиенте не вносятся, изменения атрибутов пользователя, внесенные в целевой клиент, будут сохраняться. Однако если изменения вносятся пользователю в исходном клиенте, то во время следующего цикла синхронизации пользователь в целевом клиенте будет обновлен, чтобы он соответствовал пользователю в исходном клиенте.

Может ли целевой клиент вручную заблокировать вход для определенного пользователя домашнего или исходного клиента, синхронизированного?

  • Если изменения в синхронизированном пользователе в исходном клиенте не вносятся, параметр блокировки входа в целевой клиент будет сохранен. Если обнаружено изменение для пользователя в исходном клиенте, синхронизация между клиентами будет повторно добавлена, что пользователь заблокировал вход в целевой клиент.

Структура

Можно ли синхронизировать сетку между несколькими клиентами?

  • Синхронизация между клиентами настраивается как однонаправленная синхронизация одноранговой синхронизации, то есть синхронизация настраивается между одним источником и одним целевым клиентом. Несколько экземпляров межтенантной синхронизации можно настроить для синхронизации из одного источника с несколькими целевыми объектами и из нескольких источников в один целевой объект. Но между источником и целевым объектом может существовать только один экземпляр синхронизации.
  • Синхронизация между клиентами синхронизирует только пользователей, которые являются внутренними для домашнего или исходного клиента, гарантируя, что вы не сможете в конечном итоге получить цикл, в котором пользователь записывается обратно в тот же клиент.
  • Поддерживаются несколько топологий. Дополнительные сведения см. в разделе "Топологии" для синхронизации между клиентами.

Можно ли использовать синхронизацию между клиентами между организациями (за пределами мультитенантной организации)?

  • По соображениям конфиденциальности синхронизация между клиентами предназначена для использования в организации. Мы рекомендуем использовать управление правами для приглашения пользователей совместной работы B2B в организациях.

Можно ли использовать синхронизацию между клиентами для переноса пользователей из одного клиента в другой?

  • Нет. Синхронизация между клиентами не является средством миграции, так как исходный клиент необходим для проверки подлинности синхронизированных пользователей. Кроме того, для миграции клиентов потребуется перенос данных пользователей, таких как SharePoint и OneDrive.

Совместная работа B2B

Разрешает ли синхронизация между клиентами любые текущие ограничения совместной работы B2B?

  • Так как синхронизация между клиентами основана на существующей технологии совместной работы B2B, существующие ограничения применяются. Примеры включают (но не ограничиваются):

    Приложение или служба Ограничения
    Power BI — Поддержка члена UserType в Power BI в настоящее время доступна в предварительной версии. Дополнительные сведения см. в статье Распространение содержимого Power BI внешним гостевым пользователям с помощью Microsoft Entra B2B.
    Виртуальный рабочий стол Azure — Внешний член и внешний гость не поддерживаются в Виртуальном рабочем столе Azure.

Прямое подключение B2B

Как синхронизация между клиентами связана с прямым подключением B2B?

  • Прямой подключение B2B — это базовая технология удостоверений, необходимая для Teams Связи общих каналов.
  • Рекомендуется совместное использование B2B для всех других сценариев доступа к приложениям между клиентами, включая приложения Майкрософт и другие приложения, отличные от Майкрософт.
  • Прямая синхронизация B2B и межтенантная синхронизация предназначены для совместного использования, и их можно включить как для широкого охвата сценариев между клиентами.

Мы пытаемся определить степень, в которой необходимо использовать синхронизацию между клиентами в мультитенантной организации. Вы планируете расширить поддержку прямого подключения B2B за пределами Teams Связи?

  • Нет плана расширения поддержки прямого подключения B2B за пределами Teams Связи общих каналов.

Microsoft 365

Улучшает ли синхронизация между клиентами любые возможности доступа к приложениям Microsoft 365 между клиентами?

  • Синхронизация между клиентами использует функцию, которая улучшает взаимодействие с пользователем, подавляя первый запрос на согласие B2B и процесс активации в каждом клиенте.
  • Синхронизированные пользователи будут иметь те же кросстенантные возможности Microsoft 365, доступные любому другому пользователю совместной работы B2B.

Может ли синхронизация между клиентами включать сценарии поиска людей в Microsoft 365?

  • Да, синхронизация между клиентами может включать поиск людей в M365. Убедитесь, что атрибут showInAddressList имеет значение True для пользователей в целевом клиенте. Атрибут showInAddressList имеет значение true по умолчанию в сопоставлениях атрибутов синхронизации между клиентами.
  • Синхронизация между клиентами создает пользователей совместной работы B2B и не создает контакты.

Команды

Улучшает ли синхронизация между клиентами текущие возможности Teams?

  • Синхронизированные пользователи будут иметь те же кросстенантные возможности Microsoft 365, доступные любому другому пользователю совместной работы B2B.

Интеграция

Какие параметры федерации поддерживаются для пользователей в целевом клиенте обратно в исходный клиент?

  • Для каждого внутреннего пользователя в исходном клиенте синхронизация между клиентами создает федеративного внешнего пользователя (обычно используемого в B2B) в целевом объекте. Он поддерживает синхронизацию внутренних пользователей. Это включает внутренних пользователей, федеративных с другими системами удостоверений с помощью федерации домена (например, службы федерации Active Directory (AD FS)). Она не поддерживает синхронизацию внешних пользователей.

Использует ли синхронизация между клиентами систему для управления удостоверениями между доменами (SCIM)?

Отмена подготовки

Поддерживает ли синхронизация между клиентами отмену подготовки пользователей?

  • Да, если приведенные ниже действия выполняются в исходном клиенте, пользователь будет обратимо удален в целевом клиенте.

    • Удаление пользователя в исходном клиенте
    • Отмена назначения пользователя из конфигурации синхронизации между клиентами
    • Удаление пользователя из группы, назначенной конфигурации синхронизации между клиентами
    • Атрибут для пользователя изменяется таким образом, чтобы они больше не соответствовали условиям фильтра области, определенным в конфигурации синхронизации между клиентами.
  • Если пользователь заблокирован для входа в исходный клиент (accountEnabled = false), он будет заблокирован для входа в целевой объект. Это не удаление, а обновление свойства accountEnabled.

  • Пользователи не удаляются из целевого клиента в этом сценарии:

    1. Добавьте пользователя в группу и назначьте его конфигурации синхронизации между клиентами в исходном клиенте.
    2. Подготовьте пользователя по запросу или с помощью добавочного цикла.
    3. Обновите состояние учетной записи с включенным значением false для пользователя в исходном клиенте.
    4. Подготовьте пользователя по запросу или с помощью добавочного цикла. Состояние включенной учетной записи изменяется на false в целевом клиенте.
    5. Удалите пользователя из группы в исходном клиенте.

Поддерживает ли синхронизация между клиентами восстановление пользователей?

  • Если пользователь в исходном клиенте восстановлен, переназначен в приложение, снова соответствует условию области в течение 30 дней после обратимого удаления, он будет восстановлен в целевом клиенте.
  • ИТ-администраторы также могут вручную восстановить пользователя непосредственно в целевом клиенте.

Как отменить подготовку всех пользователей, которые в настоящее время находятся в области межтенантной синхронизации?

  • Отмена назначения всех пользователей или групп из конфигурации синхронизации между клиентами. Это приведет к отключению всех пользователей, которые были неназначенные напрямую или через членство в группах, которые будут отменены в последующих циклах синхронизации. Обратите внимание, что целевой клиент должен сохранить политику входящего трафика для синхронизации до завершения отмены подготовки. Если для области задано значение "Синхронизация всех пользователей и групп", необходимо также изменить ее на "Синхронизация только назначенных пользователей и групп". Пользователи автоматически удаляются с помощью синхронизации между клиентами. Пользователи будут автоматически удалены через 30 дней или вы можете удалить пользователей непосредственно из целевого клиента. Вы можете удалить пользователей непосредственно в целевом клиенте или ждать 30 дней, чтобы пользователи были автоматически удалены.

Если связь синхронизации удалена, внешние пользователи, ранее управляемые межтенантной синхронизацией, удалены в целевом клиенте?

  • Нет. Изменения внешних пользователей, ранее управляемых межтенантной синхронизацией, не вносятся, если связь разорвана (например, если политика синхронизации между клиентами удалена).

Дальнейшие действия