了解多个 Microsoft Entra 租户组织如何交互

在属于 Microsoft Entra 的 Microsoft Entra ID 中,每个 Microsoft Entra 组织都是完全独立的:也就是说,对等租户与你管理的其他 Microsoft Entra 组织在逻辑上相互独立。 组织之间的这种独立性包括资源独立性、管理独立性和同步独立性。 组织之间不存在父子关系。

资源独立性

  • 如果在一个组织中创建或删除了 Microsoft Entra 资源,这不影响另一个组织中的任何资源,但对于外部用户来说,情况并非完全如此。
  • 如果向一个组织注册了某个域名,则不能对任何其他组织使用该域名。

管理独立性

如果组织“Contoso”的某个非管理用户创建了测试组织“Test”,那么:

  • 默认情况下,会将创建组织的用户作为外部用户添加到该新组织中,并为其分配全局管理员角色。
  • 组织“Contoso”的管理员对组织“Test”没有直接管理特权,除非“Test”的管理员专门向其授予了这些特权。
  • 如果为一个组织中的用户添加或删除 Microsoft Entra 角色,则更改不会影响其他角色。 例如,用户在任何其他 Microsoft Entra 组织中分配的角色。

同步独立性

可以使用 Microsoft Entra Connect 工具独立配置每个 Microsoft Entra 组织,以从不同的 AD 林同步数据。 请参阅 Microsoft Entra Connect 的拓扑,详细了解当有多个 Microsoft Entra 租户时受支持的拓扑。

添加 Microsoft Entra 组织

  1. 至少以租户创建者身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“概述”。
  3. 选择“管理租户”。
  4. 选择“创建”。
  5. 选择“工作人员”并提供请求的信息。 Microsoft Entra ID 创建新的组织,显示在组织列表中。

注意

与其他 Azure 资源不同,你的 Microsoft Entra 组织不是 Azure 订阅的子资源。 如果 Azure 订阅已取消或已过期,你仍可以使用 Azure PowerShell、Microsoft Graph API 或 Microsoft 365 管理中心来访问你的 Microsoft Entra 组织的数据。 还可以将其他订阅与组织相关联

注意

自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模块已弃用。 若要了解详细信息,请阅读有关弃用的更新。 在此日期之后,对这些模块的支持仅限于到 Microsoft Graph PowerShell SDK 的迁移帮助和安全性修复。 弃用的模块将持续运行至 2025 年 3 月 30 日。

我们建议迁移到 Microsoft Graph PowerShell,以便与 Microsoft Entra ID(以前称为 Azure AD)进行交互。 有关常见迁移问题,请参阅迁移常见问题解答注意:2024 年 6 月 30 日之后,MSOnline 版本 1.0.x 可能会遇到中断。

后续步骤

有关 Microsoft Entra ID 许可注意事项和最佳做法,请参阅什么是 Microsoft Entra ID 许可?