將使用者從一個 Azure AD 實例同步到另一個
我希望將多個 Azure AD 實例中的使用者“同步”(也許不是最好的術語)到一個實例中。
這背後的原因如下:我們公司與其他幾家公司是一個“集團”的一部分。從某種意義上說,每家公司都是自給自足的,因為它們有自己的管理人員、租戶(有些使用Google而不是 Azure)等等。
現在,對於一些事情來說,擁有一個包含所有公司員工的 AD 實例會很方便。例如,我們目前正在研究的是一個物理訪問我們辦公樓的提供商。它們提供連結到 Azure AD 的能力,但一次僅適用於一個租戶。所以我只能在一家公司使用它,這在我們的案例中不是很有用。
我研究了 B2B 選項,起初我認為這是解決此問題的方法。我創建了一個新的 AD 租戶。現在雖然完全有可能從其他租戶“邀請”使用者,但這是一個手動過程,需要為每個新使用者重複。我希望有一種方法可以“連結”兩個 AD 並設置授權,例如“租戶 X 的所有使用者都是 Y 組的成員”,以便能夠將這些組用於上述訪問解決方案。
令人討厭的是,在搜尋“同步”時,我主要會找到與使用 AD Connect 同步本地使用者相關的內容。所以也許我在錯誤的地方搜尋。誰能詳細說明這種情況是否以某種方式得到支持?
我希望有一種方法可以“連結”兩個 AD 並設置授權,例如“租戶 X 的所有使用者都是 Y 組的成員”,以便能夠將這些組用於上述訪問解決方案。
好吧,它不完全是一個按鈕,上面寫著“邀請該租戶的所有使用者”,但您有一個名為“ Azure AD B2B Bulk Invite ”的選項,通過收集所有數據,您可以省去逐個邀請使用者的麻煩您需要在 excel 文件中,您可以從要邀請使用者的租戶輕鬆生成此 excel 文件:https ://docs.microsoft.com/en-us/azure/active-directory/external-identities/tutorial-批量邀請
發送邀請後,您可以管理兌換的完成方式,一旦發送啟動,您真的不需要使用者接受該電子郵件。所有新邀請的來賓使用者所要做的就是登錄到一個公共終結點,或者登錄到租戶中存在的應用程序:https ://docs.microsoft.com/en-us/azure/active-directory/external-身份/贖回體驗
如果您正在開發自己的 SAML 應用程序或只是從 AAD 庫添加應用程序,並且您希望其他租戶的使用者登錄到這些應用程序,您可以創建一個使用者流以在應用程序登錄期間收集使用者聲明並也為他們創建一個訪客帳戶: https ://docs.microsoft.com/en-us/azure/active-directory/external-identities/self-service-sign-up-user-flow
如果您認為上述選項會造成麻煩並且人們會開始隨機出現在您的租戶中,那麼您可以配置 B2B 選項以限制來賓帳戶可以在您的租戶中執行的操作:https ://docs.microsoft.com/ en-us/azure/active-directory/external-identities/delegate-invitations#configure-b2b-external-collaboration-settings
如果您想將管理租戶中 B2B 來賓帳戶的所有麻煩委託給某人,則有一個稱為“來賓邀請者”角色的 AAD 角色:https ://docs.microsoft.com/en-us/azure/active -directory/external-identities/delegate-invitations#assign-the-guest-inviter-role-to-a-user
除非授予他們對應用程序的訪問權限,否則將來賓使用者添加到您的租戶不會執行任何操作。您的租戶使用者可以邀請這些來賓帳戶訪問同一租戶中的應用程序,並且您可以將應用程序訪問管理委派給應用程序“所有者”,他們也可以審查和批准來自來賓帳戶的應用程序訪問請求:https://docs.microsoft。 com/en-us/azure/active-directory/external-identities/add-users-information-worker#invite-someone-to-join-a-group-that-has-access-to-the-app
我為文字牆道歉:)