Synchronisieren von Benutzern in mehrinstanzenfähigen Organisationen in Microsoft 365
Damit Benutzer in Ihrem Mandanten mit denen in anderen Mandanten zusammenarbeiten können, müssen Sie Ihre Benutzer mit den anderen Mandanten synchronisieren.
Es gibt zwei Möglichkeiten, die Benutzersynchronisierung einzurichten:
- Freigeben ihrer Benutzer für andere Mandanten in einem mehrinstanzenfähigen organization mithilfe der Microsoft 365 Admin Center (in diesem Artikel behandelt)
- Konfigurieren der Benutzersynchronisierung in Microsoft Entra ID
Beide Methoden verwenden die mandantenübergreifende Synchronisierung in Microsoft Entra ID.
Wenn Sie dieselben Benutzer mit allen anderen Mandanten in einem mehrinstanzenfähigen organization synchronisieren möchten, empfehlen wir, Benutzer im Microsoft 365 Admin Center freizugeben. Dadurch werden die erforderlichen Konfigurationen in Microsoft Entra ID für Sie erstellt.
Wenn Sie verschiedene Benutzer mit verschiedenen Mandanten synchronisieren oder Entra-Gruppen verwenden möchten, um zu bestimmen, welche Benutzer sich im Bereich der Bereitstellung befinden, müssen Sie die mandantenübergreifende Synchronisierung direkt in Microsoft Entra ID konfigurieren.
Sie können zwar mehrere mandantenübergreifende Synchronisierungskonfigurationen für einen einzelnen externen Mandanten erstellen, es wird jedoch empfohlen, nur eine zu verwenden, um die Verwaltung zu vereinfachen.
Wenn Sie bereits B2B-Mitgliedsbenutzer mit Mandanten synchronisiert haben, die Teil der MTO sind, werden diese Benutzer bei der MTO-Bildung sofort zu MTO-Mitgliedern.
Hinweis
Es kann bis zu 24 Stunden dauern, bis synchronisierte Benutzer in Microsoft 365-Diensten wie Teams und SharePoint verfügbar sind.
Weitere Informationen zur mandantenübergreifenden Synchronisierung finden Sie unter Was ist mandantenübergreifende Synchronisierung?.
Wenn Probleme mit der Benutzersynchronisierung auftreten, überprüfen Sie die Bereitstellungsprotokolle in Microsoft Entra ID.
Synchronisierung von Benutzereigenschaften
Wenn Sie die Benutzersynchronisierung mit einem anderen Mandanten in einem mehrinstanzenfähigen organization einrichten, werden die folgenden Benutzereigenschaften synchronisiert:
| Eigenschaft | Eigenschaft |
|---|---|
| accountEnabled | physicalDeliveryOfficeName |
| alternativeSecurityIds | postalCode |
| Ort | preferredLanguage |
| Land/Region | showInAddressList |
| department | state |
| displayName | streetAddress |
| employeeId | surname |
| givenName | telephoneNumber |
| IsSoftDeleted | userPrincipalName |
| jobTitle | UserType (Member) |
| mailNickname | manager |
Sie können die Eigenschaften ändern, die synchronisiert werden, nachdem die Synchronisierung konfiguriert wurde. Weitere Informationen finden Sie unter Konfigurieren der mandantenübergreifenden Synchronisierung.
Profilerstellung für Karte
Das Profil Karte ist ein Feature, mit dem Benutzer Informationen zu einem anderen Benutzer anzeigen können, z. B. E-Mail, Telefonnummer und Bürostandort. Es ist in den meisten Microsoft 365-Apps wie Teams, Outlook, SharePoint und Viva Engage verfügbar. Benutzer in mehrinstanzenfähigen Organisationen können Informationen zu Benutzern in anderen Mandanten anzeigen, die Teil der mehrinstanzenfähigen organization sind. Was Benutzer sehen können, hängt davon ab, welche Daten zwischen den Mandanten synchronisiert werden. (Beachten Sie, dass für einige Eigenschaften eine zusätzliche Konfiguration angezeigt werden muss.)
Der neue Teams-Desktopclient ruft einige Daten direkt von den anderen Mandanten im mehrinstanzenfähigen organization ab, um eine umfangreichere Erfahrung zu schaffen. Wenn ein Benutzer in einem mehrinstanzenfähigen organization das Profil Karte für einen Benutzer in einem anderen Mandanten in Teams betrachtet, sind der Name, die Kontaktinformationen und Die Auftragsinformationen in 1:1-Chats und freigegebenen Kanälen verfügbar, ohne dass die Eigenschaftensynchronisierung konfiguriert werden muss. (Diese Eigenschaften werden durch Microsoft Entra mandantenübergreifenden Zugriff und externen Microsoft Teams-Zugriff abgerufen.) Um diese Eigenschaften an anderer Stelle in Teams anzuzeigen, z. B. Kanäle, Gruppenchats und Chats mit Gastkonten, müssen Sie sie als Teil der Benutzersynchronisierung einschließen.
In einem mehrinstanzenfähigen organization ist das Profilbild immer verfügbar und wird vom Basismandanten des Benutzers abgerufen.
Beachten Sie folgendes, um die Karte Profilumgebung am konsistentsten zu gestalten:
- Ändern Sie eigenschaftswerte nicht, während sie synchronisiert werden, andernfalls sehen Benutzer unterschiedliche Werte in verschiedenen Mandanten.
- Die Konfigurationen von LinkedIn-Kontoverbindungen können mandantenübergreifend variieren.
Benutzer, die von anderen Mandanten mit Ihrem Mandanten synchronisiert werden
Benutzer, die von anderen Mandanten in Ihrem mehrinstanzenfähigen organization mit Ihrem Mandanten synchronisiert werden, werden als Microsoft Entra Mitglieder und nicht als Gäste synchronisiert.
Als Mitglieder verfügen Personen aus anderen Mandanten über eine nahtlose Zusammenarbeit. Dies schließt den Zugriff auf Dateien mithilfe von Personen in Ihren organization freigegebenen Links ein. (Erwägen Sie die Verwendung von Vertraulichkeitsbezeichnungen, wenn Sie einschränken müssen, wer auf eine Datei mit personen in Ihrem organization-Link zugreifen kann.)
Wenn einige Personen aus dem anderen Mandanten bereits Gastkonten in Ihrem Verzeichnis haben, ändert der Synchronisierungsprozess ihren Benutzertyp nicht standardmäßig in Mitglied. Sie können den Benutzertyp dieser Benutzer in Member ändern, indem Sie die Benutzereigenschaften in Microsoft Entra ID aktualisieren oder Ihre mandantenübergreifenden Synchronisierungskonfigurationszuordnungen in Microsoft Entra ID aktualisieren, um die Konvertierung von Gast zu Mitglied im großen Stil zu unterstützen.
Einrichten der ersten Benutzersynchronisierung für eine mehrinstanzenfähige organization
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
So synchronisieren Sie Identitäten mit anderen Mandanten in einem mehrinstanzenfähigen organization
- Melden Sie sich beim Microsoft 365 Admin Center als globaler Administrator an.
- Erweitern Sie Einstellungen , und wählen Sie Organisationseinstellungen aus.
- Wählen Sie auf der Registerkarte Organisationsprofil die Option Mehrinstanzenfähige Zusammenarbeit aus.
- Wählen Sie Benutzer freigeben aus.
- Wählen Sie Zu teilende Benutzer auswählen aus.
- Klicken Sie auf Speichern.
- Wählen Sie zum Bestätigen Ja aus.
Dadurch wird eine mandantenübergreifende Synchronisierungskonfiguration in Microsoft Entra ID für jeden Mandanten in Ihrem mehrinstanzenfähigen organization erstellt. Die Synchronisierungskonfigurationen werden MTO_Sync_<TenantID> benannt.
Einrichten der Benutzersynchronisierung mit neu hinzugefügten Mandanten
Wenn Sie Ihrem mehrinstanzenfähigen organization weitere Mandanten hinzufügen, müssen Sie die Benutzersynchronisierung mit diesen Mandanten einrichten.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
So richten Sie die Benutzersynchronisierung mit neu hinzugefügten Mandanten ein:
- Melden Sie sich beim Microsoft 365 Admin Center als globaler Administrator an.
- Erweitern Sie Einstellungen , und wählen Sie Organisationseinstellungen aus.
- Wählen Sie auf der Registerkarte Organisationsprofil die Option Mehrinstanzenfähige Zusammenarbeit aus.
- Wählen Sie Benutzer freigeben aus.
- Wählen Sie Aktuellen Benutzerbereich freigeben aus.
- Wählen Sie zum Bestätigen Ja aus.
Ändern, welche Benutzer mit anderen Mandanten synchronisiert werden
Sie können ändern, welche Benutzer in Ihrem mehrinstanzenfähigen organization mit anderen Mandanten synchronisiert werden.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
So ändern Sie, welche Benutzer mit anderen Mandanten synchronisiert werden:
- Melden Sie sich beim Microsoft 365 Admin Center als globaler Administrator an.
- Erweitern Sie Einstellungen , und wählen Sie Organisationseinstellungen aus.
- Wählen Sie auf der Registerkarte Organisationsprofil die Option Mehrinstanzenfähige Zusammenarbeit aus.
- Wählen Sie Benutzer freigeben aus.
- Wählen Sie Freigegebene Benutzer bearbeiten aus.
- Aktualisieren Sie die Benutzer, die Sie mit anderen Mandanten synchronisieren möchten, und wählen Sie dann Speichern aus.
- Wählen Sie zum Bestätigen Ja aus.
Mit diesem Verfahren werden die MTO_Sync_<TenantID-Synchronisierungskonfigurationen> in Microsoft Entra ID für jeden Mandanten in Ihrem mehrinstanzenfähigen organization aktualisiert.
Verwandte Themen
Tipps zur Problembehandlung für mehrinstanzenfähige Organisationen
Bekannte Probleme bei der Bereitstellung in Microsoft Entra ID
Planen von mehrinstanzenfähigen Organisationen in Microsoft 365
Einrichten einer mehrinstanzenfähigen Organisation in Microsoft 365
Beitreten oder Verlassen einer mehrinstanzenfähigen organization in Microsoft 365
Eingrenzende Benutzer oder Gruppen, die mit Bereichsfiltern bereitgestellt werden sollen