Limitaciones en organizaciones multiinquilino
En este artículo se describen las limitaciones que se deben tener en cuenta al trabajar con la funcionalidad de la organización multiinquilino en Microsoft Entra ID y Microsoft 365. Para proporcionar comentarios sobre la funcionalidad de la organización multiinquilino en UserVoice, consulte Microsoft Entra UserVoice. Supervisamos UserVoice muy de cerca para poder mejorar el servicio.
Ámbito
Las limitaciones descritas en este artículo tienen el ámbito siguiente.
| Ámbito | Descripción |
|---|---|
| En el ámbito | - Limitaciones del administrador de Microsoft Entra relacionadas con organizaciones multiinquilino para admitir experiencias de colaboración sin fisuras en los nuevos Microsoft Teams, con miembros B2B aprovisionados recíprocamente - Limitaciones del administrador de Microsoft Entra relacionadas con organizaciones multiinquilino para admitir experiencias de colaboración sin problemas en Microsoft Viva Engage, con miembros B2B aprovisionados de forma centralizada. |
| Ámbito relacionado | - Limitaciones del Centro de administración de Microsoft 365 relacionadas con organizaciones multiinquilino - Experiencias de búsqueda de personas de varias organizaciones multiinquilino de Microsoft 365 - Limitaciones de sincronización entre inquilinos relacionadas con Microsoft 365 |
| Fuera de ámbito | - Sincronización entre inquilinos no relacionada con Microsoft 365 - Experiencias del usuario final en equipos nuevos - Experiencias del usuario final en Viva Engage - Migración o consolidación de inquilinos |
| Escenarios no admitidos | - Organizaciones multiinquilino entre inquilinos educativos que implican escenarios de alumnos - Organizaciones multiinquilino en Microsoft 365 Government - Experiencia de colaboración sin problemas en organizaciones multiinquilino en Teams clásico - Autoservicio para organizaciones multiinquilino de más de 100 inquilinos - Organizaciones multiinquilino en Azure Government o Microsoft Azure operados por 21Vianet - Organizaciones multiinquilino entre nubes |
Crear o unirse a una organización multiinquilino mediante el Centro de administración de Microsoft 365
Después de crear una organización multiinquilino en el Centro de administración de Microsoft 365, verá que el Centro de administración de Microsoft creó configuraciones de sincronización entre inquilinos con los nombres
MTO_Sync_<TenantID>. Evite editar o cambiar el nombre si desea que el Centro de administración de Microsoft 365 reconozca la configuración como creada y administrada por el Centro de administración de Microsoft 365.Los trabajos de sincronización creados con Microsoft Entra ID no aparecerán en el Centro de administración de Microsoft 365. El Centro de administración de Microsoft 365 indicará un estado de sincronización saliente de No configurado. Este es el comportamiento esperado. No hay ningún patrón admitido para que el Centro de administración de Microsoft 365 tome el control de los trabajos de sincronización entre inquilinos creados en el Centro de administración de Microsoft Entra.
Configuración del acceso entre inquilinos
La sincronización entre inquilinos en Microsoft Entra ID no admite el establecimiento de una configuración de sincronización entre inquilinos antes de que el inquilino en cuestión permita la sincronización de entrada en su configuración de acceso entre inquilinos para la sincronización de identidades.
Por lo tanto, antes de la creación de la organización multiinquilino, se recomienda el uso de la plantilla de configuración de acceso entre inquilinos para la sincronización de identidades, con
userSyncInboundestablecido en true.Del mismo modo, antes de la creación de una organización multiinquilino, se recomienda usar la plantilla de configuración de acceso entre inquilinos para las configuraciones de asociados con
automaticUserConsentSettings.inboundAllowedyautomaticUserConsentSettings.outboundAllowedse establece en true.
Solicitudes de unión
Hay varias razones por las que se puede producir un error en una solicitud de unión. Si el centro de administración de Microsoft 365 no indica por qué una solicitud de combinación no se realiza correctamente, intente examinar la respuesta de solicitud de combinación mediante las API de Microsoft Graph o el Explorador de Microsoft Graph.
Si ha seguido la secuencia correcta de crear una organización multiinquilino, agregar un inquilino a la organización multiinquilino y la solicitud de unión del inquilino agregado sigue fallando, envíe una solicitud de soporte técnico en el centro de administración de Microsoft Entra o Microsoft 365.
Opciones para aprovisionar usuarios miembros externos
- Si ya usa la sincronización entre inquilinos de Microsoft Entra, para varios topologías de varios radios de varios concentradores, no es necesario usar la funcionalidad del Centro de administración de Microsoft 365 para compartir usuarios. En su lugar, podría seguir usando los trabajos de sincronización entre inquilinos de Microsoft Entra existentes.
- Si no ha usado previamente la sincronización entre inquilinos de Microsoft Entra y piensa establecer un conjunto de usuarios colaborador topología donde el mismo conjunto de usuarios se comparte con todos los inquilinos de la organización multiinquilino, es posible que desee usar la funcionalidad del Centro de administración de Microsoft 365 compartir usuarios.
- Si ya tiene su propio motor de aprovisionamiento de usuarios a escala, puede usar las nuevas ventajas de la organización multiinquilino mientras sigue usando su propio motor para administrar el ciclo de vida de los empleados.
- Si necesita crear usuarios miembros externos individuales en un inquilino host en lugar de crearlos a través de un motor de aprovisionamiento desde un inquilino de origen, consulte Creación, invitación y eliminación de usuarios.
Sincronización entre inquilinos en el Centro de administración de Microsoft Entra
En el caso de las organizaciones empresariales con configuraciones de identidad complejas, se recomienda usar la sincronización entre inquilinos en el Centro de administración de Microsoft Entra.
De forma predeterminada, los nuevos usuarios B2B se aprovisionan como miembros B2B, mientras que los invitados B2B existentes permanecen como invitados B2B. Puede optar por convertir a los invitados B2B en miembros B2B estableciendo Aplicar esta asignación en Siempre.
De forma predeterminada,
showInAddressListse sincroniza en un inquilino de destino como true. Puede ajustar esta asignación de atributos para que coincida con las necesidades de las organizaciones.El aprovisionamiento a escala de usuarios B2B podría colisionar con objetos de contacto. Actualmente no se admite el control o conversión de objetos de contacto.
Actualmente no se admite el uso de la sincronización entre inquilinos para las identidades híbridas que se han convertido a usuarios B2B.
Sincronizar usuarios en el Centro de administración de Microsoft 365
Para organizaciones multiinquilino más pequeñas, se recomienda usar el Centro de administración de Microsoft 365 para sincronizar usuarios en varios inquilinos de su organización multiinquilino.
Para compartir usuarios, el Centro de administración de Microsoft 365 crea varios trabajos de sincronización entre inquilinos, uno por inquilino de destino, manteniendo el mismo ámbito de usuario para todos los trabajos.
Después de que el Centro de administración de Microsoft 365 creó los trabajos de sincronización entre inquilinos, puede ajustar las asignaciones de atributos en el Centro de administración de Microsoft Entra para satisfacer las necesidades de las organizaciones.
Invitados B2B o miembros B2B administrados en el inquilino de host
La promoción de invitados B2B a miembros B2B representa una decisión estratégica por parte de las organizaciones multiinquilino para considerar a los miembros B2B como usuarios de confianza de la organización. Revise los permisos predeterminados para los miembros B2B.
A medida que su organización implementa la funcionalidad de la organización multiinquilino, incluido el aprovisionamiento de usuarios B2B en inquilinos de organización multiinquilino, es posible que quiera aprovisionar algunos usuarios como invitados B2B, al tiempo que aprovisiona otros usuarios como miembros B2B.
Para promover invitados B2B a miembros B2B, un administrador de inquilinos host puede cambiar el userType, suponiendo que la propiedad no se sincronice periódicamente.
Invitados B2B o miembros B2B administrados mediante la sincronización entre inquilinos
Si la sincronización entre inquilinos se usa para sincronizar periódicamente la propiedad userType, un administrador de inquilinos de origen puede modificar las asignaciones de atributos.
Es posible que desee establecer dos configuraciones de sincronización entre inquilinos de Microsoft Entra en el inquilino de origen, una con asignaciones de atributos userType configuradas para invitado B2B y otra con asignaciones de atributos userType configuradas para el miembro B2B, cada una con Aplicar esta asignación establecida en Always.
Al mover un usuario del ámbito de una configuración al otro, puede controlar fácilmente quién será un invitado B2B o un miembro B2B en el inquilino de destino. Con este enfoque, es posible que también desee deshabilitar Acciones de objeto de destino para Eliminar.
Lista de direcciones globales administrada en el inquilino de host
La propiedad showInAddressList de un usuario B2B se puede actualizar con privilegios de Administrador de usuarios en el Explorador de Graph de Microsoft o Microsoft Graph PowerShell.
Al actualizar la propiedad showInAddressList en el objeto de usuario, también se actualizarán los valores ocultar destinatarios de listas de direcciones en Microsoft Exchange Online.
El valor ocultar los destinatarios de las listas de direcciones, si está configurado para diferir de la propiedad showInAddressList, tiene prioridad para determinar la visibilidad de la lista de direcciones.
Si la configuración deocultar destinatariosno se puede configurar en Centro de administración de Exchange debido al tipo de usuario Invitado, se puede configurar en PowerShell mediante la propiedad HiddenFromAddressListsEnabled.
Para obtener más información, vea Agregar invitados a la lista global de direcciones.
Lista global de direcciones administrada mediante la sincronización entre inquilinos
- Si se usa la sincronización entre inquilinos para sincronizar la propiedad, showInAddressList en un inquilino de origen puede usarse para controlar la visibilidad de la lista de direcciones en un inquilino de destino.
- Por otro lado, ocultar el destinatario de las listas de direcciones en el inquilino de origen no se puede usar para afectar a la visibilidad de la lista de direcciones en un inquilino de destino.
Aplicaciones de Microsoft
En las interfaces de usuario de SharePoint OneDrive, al compartir un archivo con Personas en Fabrikam, las interfaces de usuario actuales podrían ser contraintuitivas, ya que los miembros B2B de Fabrikam de Contoso cuentan para Personas en Fabrikam.
En el Centro de administración de Microsoft 365, es posible que no se admita Microsoft Forms, Microsoft OneNote y Microsoft Planner, es posible que no se admita ningún usuario miembro B2B.
En Microsoft Power BI, la compatibilidad con miembros B2B se encuentra actualmente en versión preliminar. Los usuarios invitados B2B pueden seguir accediendo a los paneles de Power BI.
En Microsoft Power Apps, Microsoft Dynamics 365, y cargas de trabajo relacionadas, los usuarios miembros B2B podrían tener funcionalidad restringida. Para más información, consulte Invitar a usuarios con la colaboración B2B de Microsoft Entra.
En Microsoft Purview, aún no se admiten las funcionalidades de la organización multiinquilino. Obtenga más información sobre las funcionalidades existentes para usuarios externos y de contenido etiquetado y sobre colaboración externa mediante etiquetas de confidencialidad.
En Microsoft Intune, aún no se admiten las funcionalidades de la organización multiinquilino. Obtenga más información sobre las funcionalidades existentes para notificaciones de dispositivo compatibles con confianza de organizaciones externas.
Usuarios B2B o miembros B2B
Como parte de una organización multiinquilino, el canje de un usuario B2B ya canjeado está deshabilitado actualmente.
El aprovisionamiento a escala de usuarios B2B podría colisionar con objetos de contacto. Actualmente no se admite el control o conversión de objetos de contacto.
El uso de la sincronización entre inquilinos para las identidades híbridas que se han convertido a usuarios B2B no se ha probado en el origen de conflictos de autoridad y no se admite.
Los usuarios que han iniciado sesión pueden leer atributos básicos de una organización multiinquilino y de los inquilinos miembros de la organización multiinquilino, sin tener asignados roles, como Lector de seguridad o Lector global.
Desaprovisionamiento de sincronización entre inquilinos
De manera predeterminada, cuando se reduce el ámbito de aprovisionamiento mientras se ejecuta un trabajo de sincronización, los usuarios quedan fuera del ámbito y se eliminan temporalmente, a menos que las acciones de objeto de destino a eliminar estén deshabilitadas. Para obtener más información, consulte Desaprovisionamiento y Definición de quién está en el ámbito del aprovisionamiento.
Actualmente, SkipOutOfScopeDeletions funciona para los trabajos de aprovisionamiento de aplicaciones, pero no para la sincronización entre inquilinos. Para evitar la eliminación temporal de los usuarios fuera del ámbito de la sincronización entre inquilinos, establezca Acciones de objeto de destino a Eliminar en deshabilitada.