Microsoft 365 cross-tenant collaboration to zestaw mechanizmów w Microsoft Entra ID umożliwiających bezpieczną współpracę między użytkownikami z różnych dzierżaw (tenantów) Microsoft 365 — bez konieczności tworzenia oddzielnych kont w każdej z nich. Obejmuje trzy główne ścieżki: B2B Collaboration (goście w katalogu), B2B Direct Connect (bezpośrednie zaufanie między tenantami, obecnie dla Teams Shared Channels) oraz Cross-Tenant Synchronization (automatyczne synchronizowanie użytkowników między tenantami w ramach jednej organizacji wielotenantowej). Wybór odpowiedniego mechanizmu zależy od poziomu zaufania, skali współpracy i potrzeb w zakresie zarządzania tożsamościami.
W skrócie
- Trzy główne mechanizmy: B2B Collaboration (goście), B2B Direct Connect (Teams Shared Channels), Cross-Tenant Synchronization (synchronizacja użytkowników między tenantami)
- Multi-Tenant Organization (MTO) — funkcja grupująca tenanty jednej organizacji, dostępna w Microsoft Entra ID i centrum administracyjnym Microsoft 365
- Cross-Tenant Access Settings — szczegółowe reguły inbound/outbound dla każdej pary tenantów, wraz z zaufaniem do MFA i urządzeń
- Wymaga Microsoft Entra ID P1 w obu tenantach dla B2B Direct Connect i zaawansowanych ustawień zaufania
- Konfiguracja zawsze dwustronna — oba tenanty muszą wzajemnie zezwolić na dostęp
Pełna definicja
Cross-tenant collaboration (współpraca między dzierżawami) w ekosystemie Microsoft 365 to architektura tożsamości i dostępu, która umożliwia użytkownikom z różnych instancji Microsoft Entra ID (tenantów) dostęp do zasobów — aplikacji, kanałów Teams, plików SharePoint — bez opuszczania własnego środowiska tożsamości. Microsoft rozwinął tę koncepcję z prostego zapraszania gości (B2B Collaboration) do rozbudowanego ekosystemu wielotenantowego (Multi-Tenant Organization), który docelowo ma zapewnić ujednolicone doświadczenie współpracy we wszystkich aplikacjach Microsoft 365.
Kluczowym elementem architektury są Cross-Tenant Access Settings — zestaw reguł definiujących dla każdej pary tenantów, jaki ruch przychodzący (inbound) i wychodzący (outbound) jest dozwolony, dla których użytkowników, grup i aplikacji, oraz czy ufamy poświadczeniom MFA i zgodności urządzeń z tenantów zewnętrznych.
Trzy filary współpracy międzytenantowej
-
B2B Collaboration — klasyczny model gościa: użytkownik z zewnętrznego tenanta jest zapraszany, akceptuje zaproszenie i pojawia się jako obiekt użytkownika typu
Guestw katalogu tenanta docelowego. Ma dostęp do aplikacji, do których został zaproszony, ale z ograniczonymi uprawnieniami. Sprawdza się, gdy partner nie korzysta z Microsoft Entra ID lub chcemy zachować pełną kontrolę nad dostępem. -
B2B Direct Connect — mutualne, dwustronne zaufanie między dwoma tenantami Microsoft Entra. Użytkownicy nie są reprezentowani jako obiekty w katalogu partnera — zamiast tego logują się swoimi poświadczeniami z macierzystego tenanta i otrzymują token dostępowy ważny 1 godzinę. Obecnie jedynym wspieranym scenariuszem są Teams Shared Channels (kanały współdzielone). Użytkownik widzi i używa kanału w swoim natywnym kliencie Teams, bez przełączania tenantów.
-
Cross-Tenant Synchronization — jednokierunkowa usługa synchronizacji, która automatycznie tworzy, aktualizuje i usuwa użytkowników B2B Collaboration w tenantach docelowych. Użytkownicy są domyślnie tworzeni jako
External Member(nie Guest), co daje im pełniejsze doświadczenie w Microsoft 365. Idealne dla organizacji posiadających wiele tenantów (np. po fuzji lub akwizycji).
Multi-Tenant Organization (MTO) — organizacja wielotenantowa
Multi-Tenant Organization to stosunkowo nowa funkcja w Microsoft Entra ID i Microsoft 365 (dostępna od 2024, stale rozwijana w 2025–2026), która pozwala zgrupować wiele tenantów należących do tej samej organizacji w jedną logiczną całość. MTO definiuje granicę organizacyjną, wewnątrz której współpraca jest uproszczona w porównaniu do współpracy z tenantami spoza organizacji.
Co daje MTO
- Lepsze rozpoznawanie użytkowników wewnętrznych — aplikacje Microsoft 365 (nowy Teams, Viva Engage) odróżniają użytkowników z tenantów tej samej organizacji od zewnętrznych gości.
- Uproszczona konfiguracja — centrum administracyjne Microsoft 365 oferuje kreator graficzny do tworzenia MTO i wstępnej konfiguracji reguł cross-tenant access.
- Automatyczna synchronizacja — w połączeniu z Cross-Tenant Synchronization, MTO umożliwia automatyczne zasilanie wszystkich tenantów użytkownikami.
- Wyszukiwanie osób (People Search) — użytkownicy B2B Collaboration z innych tenantów MTO mogą być widoczni w globalnej liście adresowej (GAL), Outlooku i wyszukiwarce ludzi w Microsoft 365.
Jak stworzyć MTO — przepływ
| Krok | Akcja | Narzędzie |
|---|---|---|
| 1. Utworzenie MTO | Jeden tenant (creator) tworzy organizację wielotenantową | Microsoft 365 Admin Center lub Entra Admin Center |
| 2. Zaproszenie tenantów | Creator wysyła zaproszenia do pozostałych tenantów | Microsoft 365 Admin Center |
| 3. Akceptacja | Każdy tenant (joiner) akceptuje zaproszenie | Administrator tenanta docelowego |
| 4. Konfiguracja Cross-Tenant Access | Każda para tenantów ma skonfigurowane reguły inbound/outbound | Automatycznie szablon MTO lub ręcznie |
| 5. Synchronizacja użytkowników | Uruchomienie Cross-Tenant Synchronization lub ręczne provisioning | Entra Admin Center lub własne narzędzie |
Konfiguracja Cross-Tenant Access Settings — krok po kroku
Cross-Tenant Access Settings to centralny punkt kontroli. Znajdziesz je w Microsoft Entra Admin Center → External Identities → Cross-tenant access settings.
Ustawienia domyślne vs. organizacyjne
- Ustawienia domyślne (Default settings) stosują się do wszystkich tenantów zewnętrznych, dla których nie skonfigurowano reguł indywidualnych. Początkowo B2B Collaboration jest włączona, B2B Direct Connect — zablokowany.
- Ustawienia organizacyjne (Organizational settings) nadpisują domyślne dla konkretnego tenanta. Tutaj dodajesz tenant partnerski i definiujesz szczegółowe reguły.
Konfiguracja B2B Direct Connect dla Teams Shared Channels
- W obu tenantach: Microsoft Entra admin center → Cross-tenant access settings → Organizational settings → Dodaj tenanta partnerskiego.
- Inbound access: Zezwól na B2B Direct Connect dla wybranych użytkowników/grup (lub wszystkich) z tenanta partnerskiego. Wskaż, do których aplikacji wewnętrznych mają mieć dostęp.
- Outbound access: Zezwól swoim użytkownikom na B2B Direct Connect do tenanta partnerskiego, wskazując konkretne aplikacje zewnętrzne.
- Trust settings: Zaznacz, czy ufasz MFA, zgodnym urządzeniom i urządzeniom hybrydowym (Hybrid Azure AD Joined) z tenanta partnerskiego — kluczowe, jeśli stosujesz Conditional Access.
- Powtórz identycznie w drugą stronę — B2B Direct Connect działa tylko przy obustronnej konfiguracji.
Automatyczne realizowanie zaproszeń (Automatic Redemption)
Nowością w ustawieniach cross-tenant jest opcja Automatically redeem invitations. Gdy włączona po obu stronach (inbound i outbound), użytkownicy nie otrzymują e-maila z zaproszeniem ani nie muszą klikać zgody — są automatycznie provisionowani w targecie. To kluczowe dla Cross-Tenant Synchronization, ale działa też przy ręcznym B2B Collaboration.
Porównanie mechanizmów cross-tenant collaboration
| Cecha | B2B Collaboration | B2B Direct Connect | Cross-Tenant Synchronization |
|---|---|---|---|
| Obiekt użytkownika w targecie | ✅ Tak (Guest lub Member) | ❌ Nie | ✅ Tak (domyślnie Member) |
| Scenariusz | Gość w dowolnej aplikacji | Tylko Teams Shared Channels | Użytkownik wewnętrzny we wszystkich aplikacjach M365 |
| Wymagana licencja | Brak (podstawowe) / Entra ID P1 dla zaawansowanych | Entra ID P1 w obu tenantach | Entra ID P1 w targecie (dla synchronization) |
| Zaproszenie / zgoda użytkownika | Tak (chyba że auto-redemption) | Nie | Nie (przy auto-redemption) |
| SSO z home tenant | ❌ (logowanie jako gość) | ✅ Tak | ✅ Tak (przez home tenant) |
| Widoczny w GAL / People Search | Opcjonalnie | Nie dotyczy | Tak (przy konfiguracji) |
| Poziom zaufania | Niski/średni | Średni | Wysoki (ta sama organizacja) |
| Obsługa Conditional Access | ✅ Pełna | ✅ Z zaufaniem do MFA/urządzeń | ✅ Pełna |
| Dla kogo | Partnerzy zewnętrzni, klienci | Współpraca projektowa między firmami | Wewnętrzne działy po fuzji/akwizycji |
Scenariusze użycia — co wybrać
B2B Collaboration — kiedy ma sens
- Zapraszasz zewnętrznego konsultanta do współpracy nad dokumentem w SharePoint.
- Partner biznesowy nie korzysta z Microsoft 365 — zaprosisz go przez dowolny e-mail (Google, Yahoo).
- Chcesz zachować pełną kontrolę — obiekt gościa w Twoim katalogu podlega politykom Conditional Access, przeglądom dostępu (Access Reviews) i cyklowi życia.
B2B Direct Connect — kiedy ma sens
- Dwie niezależne firmy regularnie współpracują projektowo i potrzebują wspólnego kanału w Teams.
- Obie firmy mają Microsoft Entra ID i chcą uniknąć zarządzania gośćmi.
- Chcesz, aby użytkownicy pracowali w swoich natywnych klientach Teams bez przełączania tenantów.
Cross-Tenant Synchronization + MTO — kiedy ma sens
- Twoja organizacja ma wiele tenantów (np. po przejęciu firmy, oddziały w różnych krajach).
- Chcesz, aby użytkownicy z tenanta A widzieli i współpracowali z użytkownikami z tenanta B tak, jakby byli w jednym tenantcie.
- Potrzebujesz zautomatyzowanego lifecycle management — nowy pracownik pojawia się automatycznie we wszystkich tenantach organizacji.
Wymagania licencyjne i techniczne
| Wymaganie | Szczegóły |
|---|---|
| Microsoft Entra ID P1 | Wymagane w obu tenantach dla B2B Direct Connect. Wymagane do stosowania reguł do konkretnych użytkowników/grup/aplikacji. Wymagane do Trust Settings (MFA, device compliance). |
| Microsoft Entra ID P2 / Entra ID Governance | Dla Access Reviews, Entitlement Management (pakiety dostępu). |
| Microsoft 365 E3/E5 | Dla pełnego doświadczenia Microsoft 365 (Teams, SharePoint, Viva Engage). |
| Administrator | Rola Security Administrator lub Global Administrator w obu tenantach. |
| Koordynacja między tenantami | B2B Direct Connect i MTO wymagają działania administratorów obu stron — to nie jest konfiguracja jednostronna. |
| Ograniczenia | B2B Direct Connect działa wyłącznie z Teams Shared Channels. Cross-Tenant Sync nie synchronizuje urządzeń ani kontaktów. MTO nie zastępuje migracji tenantów — to warstwa współpracy, nie konsolidacji. |
Bezpieczeństwo i monitorowanie
Konfiguracja cross-tenant collaboration wprowadza nowe powierzchnie, które należy monitorować:
- Microsoft Entra Sign-in Logs — logowania B2B Direct Connect są oznaczone jako
cross-tenant access type: B2B direct connect. Widoczne zarówno w home tenant, jak i resource tenant. - Audit Logs — każda zmiana w Cross-Tenant Access Settings jest rejestrowana z kategorią
CrossTenantAccessSettings. - Teams Admin Center — raportowanie członków zewnętrznych w Shared Channels, z rozróżnieniem na in-tenant i cross-tenant.
- Access Reviews — przeglądy dostępu w Microsoft Entra ID Governance mogą teraz wykrywać użytkowników B2B Direct Connect w Shared Channels.
- Conditional Access — polityki MFA i dostępu warunkowego działają również dla użytkowników B2B Direct Connect, o ile skonfigurowano Trust Settings.
Częste pytania
Czym różni się B2B Collaboration od B2B Direct Connect?
B2B Collaboration tworzy obiekt użytkownika-gościa w Twoim katalogu — zapraszasz go, on akceptuje i loguje się jako gość. B2B Direct Connect nie tworzy żadnego obiektu — zamiast tego oba tenanty ustanawiają mutualne zaufanie, a użytkownik loguje się swoimi poświadczeniami z macierzystego tenanta. Direct Connect działa obecnie tylko z Teams Shared Channels; Collaboration — z dowolną aplikacją.
Czy B2B Direct Connect działa z SharePoint Online?
Nie — B2B Direct Connect jest obecnie ograniczony wyłącznie do Teams Shared Channels. Jeśli potrzebujesz współdzielić witryny SharePoint między tenantami, musisz skorzystać z B2B Collaboration (zaproszenie gościa) lub Cross-Tenant Synchronization (użytkownik Member w targecie). Microsoft nie ogłosił jeszcze rozszerzenia Direct Connect na SharePoint.
Jakie licencje są niezbędne do skonfigurowania Multi-Tenant Organization?
Do skorzystania z kreatora MTO w centrum administracyjnym Microsoft 365 nie ma dodatkowych wymagań licencyjnych poza standardową subskrypcją Microsoft 365. Natomiast zaawansowane funkcje — Cross-Tenant Synchronization, Trust Settings (MFA, device), stosowanie reguł do konkretnych użytkowników i grup — wymagają Microsoft Entra ID P1 w każdym tencie, którego dotyczą. W praktyce każdy tenant w MTO powinien mieć co najmniej Entra ID P1 (zawarty m.in. w Microsoft 365 E3/E5).
Co się stanie, gdy jeden z tenantów w B2B Direct Connect wyłączy dostęp?
B2B Direct Connect działa tylko przy obustronnym zezwoleniu. Jeśli którykolwiek z tenantów zmieni ustawienia — zablokuje inbound lub outbound dla partnera — dostęp do Shared Channel zostanie natychmiast przerwany. Użytkownicy stracą możliwość otwarcia kanału, a token dostępowy (ważny 1 godzinę) wygaśnie bez możliwości odnowienia. Dlatego tak ważna jest koordynacja między administratorami obu stron przed zmianami w Cross-Tenant Access Settings.
Czy Cross-Tenant Synchronization zastępuje migrację tenantów?
Nie. Cross-Tenant Synchronization tworzy użytkowników B2B w tenantach docelowych — są to obiekty zewnętrzne, nie natywne konta. Nie synchronizuje urządzeń, kontaktów ani ustawień Intune. Jeśli docelowo chcesz skonsolidować wiele tenantów w jeden, synchronizacja jest rozwiązaniem pomostowym, ale docelowo i tak potrzebujesz pełnej migracji (np. przez narzędzia third-party lub Microsoft FastTrack). Synchronizacja rozwiązuje problem współpracy — nie konsolidacji.
Jak sprawdzić, czy użytkownicy B2B Direct Connect przestrzegają polityk MFA?
W Cross-Tenant Access Settings włącz Trust settings → Trust multifactor authentication from Microsoft Entra tenants. Gdy to zrobisz, Twój Conditional Access zaakceptuje fakt, że użytkownik już przeszedł MFA w swoim home tenant. Jeśli nie włączysz tej opcji, użytkownik B2B Direct Connect zostanie poproszony o dodatkowe MFA przy pierwszym dostępie do Twojego zasobu — lub zostanie zablokowany, jeśli polityka CA tego wymaga, a MFA nie zostało wykonane.
Jak zautomatyzować dodawanie użytkowników do wszystkich tenantów MTO?
Użyj Cross-Tenant Synchronization w Microsoft Entra admin center. Konfigurujesz ją dla każdej pary tenantów (źródło → cel), definiując zakres użytkowników (np. wszyscy pracownicy, konkretna grupa), mapowanie atrybutów i częstotliwość synchronizacji. Alternatywnie, dla mniejszych organizacji, kreator w Microsoft 365 Admin Center umożliwia jednoczesną synchronizację użytkowników do wszystkich tenantów MTO. Po skonfigurowaniu każdy nowy użytkownik w źródle automatycznie pojawi się jako External Member w targecie.
Jeśli wdrażasz w swojej firmie Microsoft 365 i potrzebujesz legalnych, niedrogich licencji na Microsoft 365 Business Standard, Business Premium, Office 2024 czy Windows 11 — zarówno do tenanta głównego, jak i dodatkowych tenantów w ramach organizacji wielotenantowej — sprawdź ofertę Microsoft 365 w sklepie KluczeSoft.pl. Wszystkie klucze pochodzą z legalnego obrotu, z fakturą VAT i natychmiastową dostawą.