我希望将来自多个 Azure AD 实例的用户“同步”(可能不是最好的术语)到一个实例中。
背后的原因如下:我们公司与其他几家公司同属一个“集团”。每家公司都自给自足,因为他们有自己的管理部门、租户(有些公司使用 Google 而不是 Azure)等等。
现在,对于一些事情来说,将所有公司员工合并到一个 AD 实例会很方便。例如,我们目前正在研究的是一家提供对我们办公楼进行物理访问的提供商。他们提供了链接到 Azure AD 的功能,但一次只能为一个租户提供服务。所以我只能将它用于一家公司,这在我们的案例中不是很有用。
我研究了 B2B 选项,起初我认为这是解决此问题的方法。我创建了一个新的 AD 租户。现在,虽然完全可以“邀请”其他租户的用户,但这是一个手动过程,需要为每个新用户重复此过程。我希望有一种方法可以“链接”这两个 AD 并设置授权,例如“租户 X 的所有用户都是组 Y 的成员”,以便能够将这些组用于提到的访问解决方案。
令人恼火的是,当我搜索“同步”时,我发现的内容大多与使用 AD Connect 同步本地用户有关。所以也许我搜索错了地方。有人能详细说明这种情况是否以某种方式得到支持吗?
答案1
我希望有一种方法可以“链接”这两个 AD 并设置授权,例如“来自租户 X 的所有用户都是组 Y 的成员”,以便能够使用这些组来实现所提到的访问解决方案。
嗯,它不完全是一个“邀请此租户的所有用户”的按钮,但你有一个选项叫做“Azure AD B2B 批量邀请“,这将省去您逐个邀请用户的麻烦,只需在 excel 文件中收集所需的所有数据即可,您可以轻松地从您想要邀请用户的租户生成此 excel 文件:https://docs.microsoft.com/en-us/azure/active-directory/external-identities/tutorial-bulk-invite
一旦发送了邀请,您就可以管理如何兑换,一旦发送了启动,您就真的不需要用户接受该电子邮件。新邀请的来宾用户只需登录到公共端点或租户中存在的应用程序即可:https://docs.microsoft.com/en-us/azure/active-directory/external-identities/redemption-experience
如果你正在开发自己的 SAML 应用或只是从 AAD 库添加应用,并且希望其他租户的用户登录这些应用,则可以创建用户流以收集应用登录期间的用户声明并创建来宾帐户对他们来说也是如此:https://docs.microsoft.com/en-us/azure/active-directory/external-identities/self-service-sign-up-user-flow
如果你认为上述选择会引起麻烦,人们会开始随机出现在你的租户中,那么你可以配置 B2B 选项以限制来宾帐户在租户中可以执行的操作:https://docs.microsoft.com/en-us/azure/active-directory/external-identities/delegate-invitations#configure-b2b-external-collaboration-settings
如果您想将管理租户中的 B2B 来宾帐户的所有麻烦委托给某人,那么有一个名为“嘉宾邀请人“ 角色:https://docs.microsoft.com/en-us/azure/active-directory/external-identities/delegate-invitations#assign-the-guest-inviter-role-to-a-user
向租户添加来宾用户不会产生任何效果,除非他们被授予访问应用的权限。您的租户用户可以邀请这些来宾帐户访问同一租户中的应用,并且您可以将应用程序访问管理委托给应用程序“所有者”,他们也可以审查和批准来自来宾帐户的应用程序访问请求:https://docs.microsoft.com/en-us/azure/active-directory/external-identities/add-users-information-worker#invite-someone-to-join-a-group-that-has-access-to-the-app
我为冗长的文字道歉:)