Considérations courantes sur la gestion multilocataire des utilisateurs
Cet article est le premier d’une série d’articles fournissant de l’aide pour la configuration et la gestion du cycle de vie des utilisateurs dans les environnements multilocataires Microsoft Entra. Pour plus d’informations consultez les articles de la série répertoriés ci-dessous.
- L’article Présentation de la gestion multilocataire des utilisateurs est le premier d’une série d’articles d’aide à la configuration et à la gestion du cycle de vie des utilisateurs dans les environnements multilocataires Microsoft Entra.
- L’article Scénarios de gestion multilocataire des utilisateurs présente trois scénarios pour lesquels vous pouvez utiliser des fonctionnalités de gestion multilocataire des utilisateurs : scénario initié par un utilisateur final, scénario avec script et scénario automatisé.
- Solutions courantes de gestion multilocataire des utilisateurs, lorsque la location unique ne fonctionne pas pour votre scénario, cet article donne des conseils sur ces problématiques : gestion automatique du cycle de vie des utilisateurs et allocation des ressources entre les locataires, partage d’applications locales entre locataires.
Ces conseils vous aident à mettre en place une gestion cohérente du cycle de vie des utilisateurs. La gestion de cycle de vie comprend le provisionnement, la gestion et le déprovisionnement des utilisateurs entre les locataires à l’aide des outils Azure disponibles, par exemple Microsoft Entra B2B Collaboration (B2B) et la synchronisation interlocataire.
Les exigences de synchronisation sont propres aux besoins spécifiques de votre organisation. Lorsque vous concevez une solution pour répondre aux exigences de votre organisation, les considérations suivantes de cet article vous aident à identifier vos meilleures options.
- Synchronisation entre clients
- Objet annuaire
- Accès conditionnel Microsoft Entra
- Contrôle d’accès supplémentaire
- Office 365
Synchronisation entre clients
Synchronisation entre locataires peut résoudre les problématiques de la collaboration et de l’accès des organisations multilocataires. Le tableau suivant présente les cas d’usage courants de la synchronisation. Vous pouvez utiliser à la fois la synchronisation entre clients et le développement client pour répondre aux cas d’usage lorsque des considérations sont pertinentes pour plusieurs modèles de collaboration.
| Cas d’utilisation | Synchronisation entre clients | Développement personnalisé |
|---|---|---|
| Gestion du cycle de vie des utilisateurs |  |
|
| Partage de fichiers et accès aux applications | |
|
| Prise en charge de la synchronisation vers/depuis des clouds souverains | |
|
| Synchronisation de contrôle à partir d’un locataire de ressource | |
|
| Objets de groupe de synchronisation | |
|
| Liens du Centre de synchronisation | |
|
| Source d’autorité au niveau de l’attribut | |
|
| Écriture différée de Microsoft Entra dans Microsoft Windows Server Active Directory | |
Considérations relatives aux objets annuaire
Invitation d’un utilisateur externe avec UPN et adresse SMTP
Microsoft Entra B2B s’attend à ce que le UserPrincipalName (UPN) d’un utilisateur soit l’adresse SMTP (Simple Mail Transfer Protocol) principale (e-mail) pour l’envoi d’invitations. Lorsque l’UPN de l’utilisateur est identique à son adresse SMTP principale, B2B fonctionne comme prévu. Cependant, si l’UPN est différent de l’adresse SMTP principale de l’utilisateur externe, il peut ne pas être résolu quand un utilisateur accepte une invitation. Ce problème peut être un défi si vous ne connaissez pas l’UPN réel de l’utilisateur. Vous devez découvrir et utiliser l’UPN lors de l’envoi d’invitations pour B2B.
La section Microsoft Exchange Online de cet article explique comment modifier le SMTP principal par défaut sur les utilisateurs externes. Cette technique est utile si vous souhaitez que tous les e-mails et notifications d’un externe soient acheminés vers l’adresse SMTP principale réelle par opposition à l’UPN. Il peut s’agir d’une exigence si l’UPN n’est pas routable pour le flux de messagerie.
Conversion de l’UserType d’un utilisateur externe
Quand vous utilisez la console pour créer manuellement une invitation pour un compte d’utilisateur externe, elle crée l’objet utilisateur avec un type Utilisateur invité. L’utilisation d’autres techniques pour créer des invitations vous permet de définir le type d’utilisateur sur autre chose qu’un compte invité externe. Par exemple, lors de l’utilisation de l’API, vous pouvez configurer si le compte est un compte membre externe ou un compte invité externe.
- Quelques-unes des limites de la fonctionnalité Invité peuvent être levées.
- Vous pouvez convertir des comptes invités en type d’utilisateur membre.
Si vous convertissez un compte invité externe en compte d’utilisateur externe, il risque d’y avoir des problèmes liés à la façon dont Exchange Online gère les comptes B2B. Vous ne pouvez pas envoyer de comptes à extension messagerie que vous avez invités en tant qu’utilisateurs membres externes. Pour activer la messagerie d’un compte de membre externe, utilisez la meilleure approche suivante.
- Invitez les utilisateurs inter-organisations en tant que comptes d’utilisateur invité.
- Afficher les comptes dans la liste d’adresses globale (GAL).
- Définir UserType avec Membre.
Lorsque vous utilisez cette approche, les comptes s’affichent en tant qu’objets MailUser dans Exchange Online et dans Office 365. Notez également qu’il y a un défi en matière de timing. Vérifiez que l’utilisateur est visible dans la liste d’adresses réseau en vérifiant que la propriété ShowInAddressList de l’utilisateur Microsoft Entra s’aligne sur la propriété HiddenFromAddressListsEnabled Exchange Online PowerShell (qui sont inversées). La section Microsoft Exchange Online de cet article fournit plus d’informations sur la modification de la visibilité.
Il est possible de convertir un utilisateur membre en utilisateur invité, ce qui est utile pour les utilisateurs internes que vous voulez limiter à des autorisations de niveau invité. Les utilisateurs invités internes sont des utilisateurs qui ne sont pas des employés de votre organisation, mais dont vous gérez les utilisateurs et les informations d’identification. Cela peut vous permettre d’éviter d’accorder une licence à l’utilisateur invité interne.
Problèmes avec l’utilisation d’objets Contact de courrier au lieu d’utilisateurs ou de membres externes
Vous pouvez représenter les utilisateurs d’un autre locataire à l’aide d’une synchronisation de GAL traditionnelle. Si vous effectuez une synchronisation de liste d’adresses globale plutôt que d’utiliser Microsoft Entra B2B Collaboration, cela crée un objet Contact de courrier.
- Un objet Contact de courrier et un membre ou utilisateur invité externe à extension messagerie ne peuvent pas coexister dans le même locataire avec la même adresse e-mail.
- Si un objet Contact de courrier existe pour la même adresse e-mail que l’utilisateur externe invité, il crée l’utilisateur externe, mais n’est pas à extension messagerie.
- Si l’utilisateur externe à extension messagerie existe avec la même adresse e-mail, une tentative de création d’un objet Contact de courrier lève une exception au moment de la création.
Important
L’utilisation de contacts de courrier nécessite Active Directory Services (AD DS) ou Exchange Online PowerShell. Microsoft Graph ne fournit pas d’appel d’API pour la gestion des contacts.
Le tableau suivant affiche les résultats des objets Contact de courrier et les états des utilisateurs externes.
| État existant | Scénario de provisionnement | Résultat effectif |
|---|---|---|
| Aucun | Inviter un membre B2B | Utilisateur membre sans extension messagerie. Voir la remarque importante. |
| Aucun(e) | Inviter un invité B2B | Utilisateur externe à extension messagerie. |
| Un objet Contact de courrier existe | Inviter un membre B2B | Erreur. Conflit d’adresses proxy. |
| Un objet Contact de courrier existe | Inviter un invité B2B | Utilisateur externe avec et sans extension messagerie. Voir la remarque importante. |
| Utilisateur invité externe à extension messagerie | Créer un objet Contact de courrier | Erreur |
| Il existe un utilisateur membre externe à extension messagerie | Créer un contact de courrier | Erreur |
Microsoft recommande d’utiliser Microsoft Entra B2B Collaboration (au lieu de la synchronisation de liste d’adresses globale traditionnelle) pour créer :
- Des utilisateurs externes que vous activez pour qu’ils apparaissent dans la liste d’adresses globale.
- Des utilisateurs membres externes, qui apparaissent dans la liste d’adresses globale par défaut, mais qui ne sont pas à extension messagerie.
Vous pouvez choisir d’utiliser l’objet Contact de courrier pour afficher les utilisateurs dans la liste d’adresses globale. Cette approche intègre une liste d’adresses globale sans fournir d’autres autorisations, car les contacts de courrier ne sont pas des principaux de sécurité.
Suivez l’approche recommandée pour atteindre l’objectif :
- Invitez des utilisateurs invités.
- Affichez-les dans la liste d’adresses globale.
- Désactivez-les en les empêchant de se connecter.
Un objet Contact de courrier ne peut pas être converti en objet utilisateur. Par conséquent, les propriétés associées à un objet Contact de courrier ne peuvent pas être transférées (telles que les appartenances à un groupe et d’autres accès aux ressources). L’utilisation d’un objet Contact de courrier pour représenter un utilisateur présente les problèmes suivants.
- Groupes Office 365. Les groupes Office 365 prennent en charge des stratégies qui gouvernent les types d’utilisateurs autorisés à être membres de groupes et qui interagissent avec le contenu associé aux groupes. Par exemple, un groupe peut ne pas autoriser des utilisateurs invités à le rejoindre. Ces stratégies ne peuvent pas gouverner les objets Contact de courrier.
- Gestion des groupes en libre-service (SSGM) Microsoft Entra. Les objets Contact de courrier ne peuvent pas être membres de groupes qui utilisent la fonctionnalité SSGM. Des outils supplémentaires peuvent s’avérer nécessaires pour gérer les groupes avec des destinataires représentés comme contacts au lieu d’objets utilisateur.
- Gouvernance des ID, révisions d’accès Microsoft Entra. Vous pouvez utiliser la fonctionnalité de révisions d’accès pour vérifier et attester l’appartenance à un groupe Office 365. Les révisions d’accès sont basées sur des objets utilisateur. Les membres représentés par des objets Contact de courrier ne sont pas concernés par les révisions d’accès.
- Gouvernance des ID, gestion des droits d’utilisation (EM) Microsoft Entra. Lorsque vous utilisez EM pour activer les demandes d’accès en libre-service pour les utilisateurs externes dans le portail EM de l’entreprise, il crée un objet utilisateur au moment de la demande. Il ne prend pas en charge les objets Contact de courrier.
Considérations d’accès conditionnel Microsoft Entra
L’état de l’utilisateur, de l’appareil ou du réseau dans le locataire de base de l’utilisateur n’est pas transmis au locataire de ressources. Par conséquent, un utilisateur externe risque de ne pas respecter les stratégies d’accès conditionnel qui utilisent les contrôles suivants.
Quand c’est autorisé, vous pouvez remplacer ce comportement par des Paramètres d’accès interlocataire (CTAS) qui respectent l’authentification multifacteur et la conformité de l’appareil du locataire d’origine.
- Exiger l’authentification multifacteur. Quand CTAS n’est pas configuré, un utilisateur externe doit s’inscrire/répondre à l’authentification multifacteur dans le locataire de la ressource (même si l’authentification multifacteur a été satisfaite dans le locataire de base). Ce scénario entraîne plusieurs défis d’authentification multifacteur. S’ils ont besoin de réinitialiser leurs preuves d’authentification multifacteur, ils n’ont peut-être pas connaissance de l’existence de plusieurs enregistrements de preuves d’authentification multifacteur dans les locataires. Le manque de connaissance risque d’obliger l’utilisateur à contacter un administrateur dans le locataire d’accueil, le locataire de ressources, ou les deux.
- Exiger que l’appareil soit marqué comme conforme. Sans CTAS configuré, l’identité de l’appareil n’est pas inscrite dans le locataire de ressource, de sorte que l’utilisateur externe ne peut pas accéder aux ressources qui nécessitent ce contrôle.
- Exiger un appareil à jonction hybride Microsoft Entra. Quand CTAS n’est pas configuré, une identité d’appareil n’est pas inscrit dans le locataire de ressources (ni à l’Active Directory local connecté au locataire de ressources). Par conséquent, l’utilisateur externe ne peut pas accéder aux ressources qui nécessitent ce contrôle.
- Exigez une application cliente approuvée ou une stratégie de protection des applications. Quand CTAS n’est pas configuré, les utilisateurs externes ne peuvent pas appliquer la stratégie de gestion des applications mobiles (GAM) Intune du locataire des ressources, car elle nécessite également l’inscription des appareils. La stratégie d’accès conditionnel du locataire de ressources avec ce contrôle ne permet pas à la protection GAM (Gestion des applications mobiles) du locataire de base de respecter la stratégie. Excluez les utilisateurs externes de chaque stratégie d’autorité de certification basée sur la gestion des applications mobiles.
Par ailleurs, même si vous pouvez utiliser les conditions d’accès conditionnel suivantes, faites attention aux éventuelles conséquences.
- Risque de connexion et risque utilisateur. Le comportement de l’utilisateur dans son locataire de base détermine, en partie, le risque de connexion et le risque utilisateur. Le locataire de base stocke les données et le score de risque. Si les stratégies du locataire de ressources bloquent un utilisateur invité, l’administrateur de locataire de ressources risque de ne pas pouvoir activer l’accès. Protection des ID Microsoft Entra et utilisateurs B2B explique comment Protection des ID Microsoft Entra détecte les informations d’identification compromises pour les utilisateurs Microsoft Entra.
- Emplacements. Les définitions d’emplacement nommé créées dans le locataire de ressources déterminent l’étendue de la stratégie. L’étendue de la stratégie n’évalue pas les emplacements approuvés gérés dans le locataire de base. Si votre organisation souhaite partager des emplacements approuvés entre des locataires, définissez les emplacements dans chaque locataire où vous définissez les ressources et les stratégies d’accès conditionnel.
Sécurisation de votre environnement multilocataire
La sécurisation d’un environnement multilocataire commence en s’assurant que chaque locataire respecte les meilleures pratiques en matière de sécurité. Passez en revue la liste de contrôle de sécurité et les meilleures pratiques pour obtenir des conseils sur la sécurisation de votre locataire. Assurez-vous que ces meilleures pratiques sont suivies et passez-les en revue avec tous les locataires avec lesquels vous collaborez étroitement.
Protéger les comptes administrateur et garantir le privilège minimum
- Rechercher et résoudre les lacunes dans une couverture d’authentification forte pour vos administrateurs
- Améliorez la sécurité avec le principe du privilège minimum pour les utilisateurs et les applications. Passez en revue les rôles disposant des privilèges minimum par tâche dans Microsoft Entra ID.
- Réduisez au minimum l’accès administrateur permanent en activant Privileged Identity Management.
Surveiller votre environnement multilocataire
- Surveillez les modifications apportées aux stratégies d’accès interlocataires à l’aide de l’interface utilisateur des journaux d’audit, de l’API ou de l’intégration d’Azure Monitor (pour les alertes proactives). Les événements d’audit utilisent les catégories « CrossTenantAccessSettings » et « CrossTenantIdentitySyncSettings ». En surveillant les événements d’audit dans ces catégories, vous pouvez identifier les modifications apportées à la stratégie d’accès interlocataire dans votre locataire et prendre des mesures. Quand vous créez des alertes dans Azure Monitor, vous pouvez créer une requête comme celle de l’exemple ci-dessous pour identifier les modifications apportées à la stratégie d’accès interlocataire.
AuditLogs
| where Category contains "CrossTenant"
- Surveillez tout nouveau partenaire ajouté aux paramètres d’accès interlocataire.
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
- Surveillez les modifications apportées aux stratégies d’accès entre clients autorisant/révoquant la synchronisation.
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
- Surveillez l’accès aux applications dans votre locataire à l’aide du tableau de bord de l’activité d’accès interlocataire. La surveillance vous permet de voir qui accède aux ressources dans votre locataire et d’où viennent ces utilisateurs.
Groupes d’appartenance dynamique
Si votre organisation utilise la condition du groupe d’appartenance dynamique tous les utilisateurs dans votre stratégie d’accès conditionnel existante, cette stratégie affecte les utilisateurs externes, car ils sont dans l’étendue de tous les utilisateurs.
Refuser par défaut
- Exigez une affectation d’utilisateurs pour les applications. Si la propriété Affectation des utilisateurs exigée ? d’une application a la valeur Non, les utilisateurs invités peuvent accéder à l’application. Les administrateurs d’applications doivent comprendre les impacts sur le contrôle d’accès, en particulier si l’application contient des informations sensibles. Limiter votre application Microsoft Entra à un ensemble d’utilisateurs dans un locataire Microsoft Entra explique comment les applications inscrites dans un locataire Microsoft Entra sont disponibles pour tous les utilisateurs du locataire qui s’authentifient correctement. Ce paramètre est activé par défaut.
Défense en profondeur
Accès conditionnel.
- Définissez des stratégies de contrôle d’accès pour contrôler l’accès aux ressources.
- Concevez des stratégies d’accès conditionnel en pensant aux utilisateurs externes.
- Créez des stratégies spécialement pour les utilisateurs externes.
- Créez des stratégies d’accès conditionnel dédiées pour les comptes externes. Si votre organisation utilise la condition du groupe d’appartenance dynamique tous les utilisateurs dans votre stratégie d’accès conditionnel existante, cette stratégie affecte les utilisateurs externes, car ils sont dans l’étendue de tous les utilisateurs.
Unités de gestion restreintes
Lorsque vous utilisez des groupes de sécurité pour contrôler qui est dans l’étendue de la synchronisation entre clients, limitez les personnes pouvant apporter des modifications au groupe de sécurité. Réduisez le nombre de propriétaires des groupes de sécurité affectés au travail de synchronisation interlocataire et incluez les groupes dans une unité de gestion restreinte. Ce scénario limite le nombre de personnes pouvant ajouter ou supprimer des membres du groupe et approvisionner des comptes entre les locataires.
Autres considérations relatives au contrôle d’accès
Conditions générales
Les conditions d’utilisation de Microsoft Entra offrent aux organisations une méthode simple pour présenter des informations aux utilisateurs finaux. Vous pouvez utiliser les conditions d’utilisation pour demander aux utilisateurs externes d’approuver les conditions d’utilisation avant d’accéder à vos ressources.
Considérations relatives aux licences pour les utilisateurs invités dotés de fonctionnalités Microsoft Entra ID P1 ou P2
Les prix d’ID externe Microsoft Entra sont basés sur le nombre d’utilisateurs actifs mensuels (MAU). Le nombre d’utilisateurs actifs correspond au nombre d’utilisateurs uniques avec une activité d’authentification au cours d’un mois civil. Le modèle de facturation pour ID externe Microsoft Entra décrit la façon dont la tarification est basée sur MAU.
Considérations relatives à Office 365
Les informations suivantes concernent Office 365 dans le contexte des scénarios de ce document. Des informations détaillées sont disponibles dans Collaboration entre clients Microsoft 365. Cet article décrit des options incluant l’utilisation d’un emplacement central pour les fichiers et les conversations, le partage de calendriers, l’utilisation de la messagerie instantanée, les appels audio/vidéo pour la communication, et la sécurisation de l’accès aux ressources et aux applications.
Microsoft Exchange Online
Exchange Online limite certaines fonctionnalités pour les utilisateurs externes. Vous pouvez réduire les limites en créant des utilisateurs membres externes au lieu d’utilisateurs invités externes. La prise en charge des utilisateurs externes présente les limitations suivantes.
- Vous pouvez attribuer une licence Exchange Online à un utilisateur externe. Toutefois, vous ne pouvez pas leur émettre de jeton pour Exchange Online. Il en résulte qu’ils ne peuvent pas accéder à la ressource.
- Les utilisateurs externes ne peuvent pas utiliser de boîtes aux lettres partagées ou déléguées Exchange Online dans le locataire de ressources.
- Vous pouvez affecter un utilisateur externe à une boîte aux lettres partagée, mais il ne peut pas y accéder.
- Vous devez afficher des utilisateurs externes pour les inclure dans la liste d’adresses globale. Par défaut, ils sont masqués.
- Les utilisateurs externes masqués sont créés au moment de l’invitation. La création est indépendante du fait que l’utilisateur ait ou non accepté son invitation. Par conséquent, si tous les utilisateurs externes ne sont plus masqués, la liste comprend les objets utilisateur des utilisateurs externes qui n’ont pas accepté d’invitation. Selon votre scénario, vous voulez ou non que des objets soient listés.
- Les utilisateurs externes peuvent être rendus non masqués en utilisant Exchange Online PowerShell. Vous pouvez exécuter l’applet de commande PowerShell Set-MailUser pour affecter à la propriété HiddenFromAddressListsEnabled une valeur $false.
Par exemple :
Set-MailUser [ExternalUserUPN] -HiddenFromAddressListsEnabled:\$false\
Où ExternalUserUPN est le UserPrincipalName calculé.
Par exemple :
Set-MailUser externaluser1_contoso.com#EXT#@fabricam.onmicrosoft.com\ -HiddenFromAddressListsEnabled:\$false
Les utilisateurs externes peuvent être rendus non masqués dans le Centre d’administration Microsoft 365.
- Vous pouvez uniquement définir les mises à jour des propriétés spécifiques à Exchange (telles que PrimarySmtpAddress, ExternalEmailAddress, EmailAddresses et MailTip) à l’aide d’Exchange Online PowerShell. Le Centre d’administration Exchange Online ne vous permet pas de modifier les attributs en utilisant l’interface graphique utilisateur.
Comme indiqué dans l’exemple, vous pouvez utiliser l’applet de commande PowerShell Set-MailUser pour les propriétés spécifiques au courrier. Vous pouvez modifier des propriétés utilisateur à l’aide de la cmdlet PowerShell Set-User. Vous pouvez modifier la plupart des propriétés avec les API Microsoft Graph.
L’une des fonctionnalités les plus utiles de Set-MailUser est la possibilité de manipuler la propriété EmailAddresses. Cet attribut à valeurs multiples peut contenir plusieurs adresses de proxy pour l’utilisateur externe (par exemple SMTP, X500, SIP (Session Initiation Protocol)). Par défaut, l’adresse SMTP principale d’un utilisateur externe reçoit une balise en corrélation avec userPrincipalName (UPN). Si vous voulez modifier l’adresse SMTP principale et/ou ajouter des adresses SMTP, vous pouvez définir cette propriété. Vous ne pouvez pas utiliser le Centre Administration Exchange. Vous devez utiliser Exchange Online PowerShell. Ajouter ou supprimer des adresses e-mail pour une boîte aux lettres dans Exchange Online présente différentes façons de modifier une propriété à valeurs multiples, comme EmailAddresses.
Microsoft SharePoint dans Microsoft 365
SharePoint dans Microsoft 365 dispose de ses propres autorisations spécifiques au service, selon que l’utilisateur (interne ou externe) est de type membre ou invité dans le locataire Microsoft Entra. Partage externe dans Microsoft 365 et B2B Collaboration Microsoft Entra décrit comment vous pouvez activer l’intégration à SharePoint et OneDrive pour partager des fichiers, des dossiers, des éléments de liste, des bibliothèques de documents et des sites avec des personnes extérieures à votre organisation. Microsoft 365 effectue cette opération lors de l’utilisation d’Azure B2B pour l’authentification et la gestion.
Une fois le partage externe activé dans SharePoint in Microsoft 365, la possibilité de rechercher des utilisateurs invités dans le sélecteur de personnes de SharePoint dans Microsoft 365 est désactivée par défaut. Ce paramètre empêche les utilisateurs invités d’être découvrables lorsqu’ils sont masqués dans la GAL d’Exchange Online. Vous pouvez permettre aux utilisateurs invités de devenir visibles de deux manières (qui ne s’excluent pas mutuellement) :
- Vous pouvez activer la fonctionnalité de recherche d’utilisateurs invités des façons suivantes :
- Modifiez le paramètre « ShowPeoplePickerSuggestionsForGuestUsers » au niveau du locataire et de la collection de sites.
- Définissez la fonctionnalité en utilisant les cmdlets Set-SPOTenant et Set-SPOSite SharePoint dans Microsoft 365 PowerShell.
- Les utilisateurs invités qui sont visibles dans la liste d’adresses globale d’Exchange Online sont également visibles dans le sélecteur de personnes de SharePoint dans Microsoft 365. Les comptes sont visibles quel que soit le paramètre de « ShowPeoplePickerSuggestionsForGuestUsers ».
Microsoft Teams
Microsoft Teams présente des fonctionnalités qui limitent l’accès et qui sont basées sur le type d’utilisateur. Les changements de type d’utilisateur risquent d’affecter l’accès au contenu et les fonctionnalités disponibles. Microsoft Teams exige des utilisateurs qu’ils modifient leur contexte à l’aide du mécanisme de changement de locataire de leur client Teams lorsqu’ils travaillent dans Teams en dehors de leur locataire de base.
Le mécanisme de « changement de locataire » pour Microsoft Teams risque d’obliger les utilisateurs à changer manuellement le contexte de leur client Teams lorsqu’ils utilisent Teams en dehors de leur locataire de base.
Vous pouvez autoriser les utilisateurs Teams d’un tout autre domaine externe à rechercher, appeler, discuter et configurer des réunions avec vos utilisateurs en utilisant Teams Federation. Gérer des réunions externes et des conversations avec des personnes et des organisations à l’aide d’identités Microsoft explique comment permettre aux utilisateurs de votre organisation de discuter et de rencontrer des personnes extérieures à l’organisation qui utilisent Microsoft en tant que fournisseur d’identité.
Considérations relatives aux licences pour les utilisateurs invités dans Teams
Lorsque vous utilisez Azure B2B avec les charges de travail Office 365, les principales considérations incluent les instances dans lesquelles les utilisateurs invités (internes ou externes) n’ont pas la même expérience que les utilisateurs membres.
- Groupes Microsoft. Ajout d’invités aux Groupes Office 365 décrit comment l’accès invité dans les Groupes Microsoft 365 vous permet, à vous et à votre équipe, de collaborer avec des personnes extérieures à votre organisation en leur accordant l’accès aux conversations de groupe, aux fichiers, aux invitations de calendrier et au bloc-notes de groupe.
- Microsoft Teams. Possibilités du propriétaire de l’équipe, des membres et des invités dans Teams décrit l’expérience de compte invité dans Microsoft Teams. Vous pouvez obtenir une expérience de fidélité totale dans Teams à l’aide d’utilisateurs membres externes.
- Pour plusieurs tenants dans notre cloud commercial, les utilisateurs qui ont une licence dans leur locataire de base peuvent accéder aux ressources d’un autre locataire au sein de la même entité juridique. Vous pouvez accorder l’accès à l’aide du paramètre Membres externes sans frais de licence supplémentaires. Ce paramètre s’applique à SharePoint et OneDrive pour Teams et Groupes.
- Pour plusieurs locataires dans d’autres clouds Microsoft et pour plusieurs locataires dans divers clouds, les vérifications de licence de membre B2B ne sont pas encore disponibles. L’utilisation d’un membre B2B avec Teams nécessite une licence supplémentaire pour chaque membre B2B. Cette exigence peut également affecter d’autres charges de travail, comme Power BI.
- L’utilisation d’un membre B2B pour des tenants qui ne font pas partie de la même entité juridique est soumis à des exigences de licence supplémentaires.
- Fonctionnalités de gouvernance des identités. La gestion des droits d’utilisation et les révisions d’accès peuvent nécessiter d’autres licences pour les utilisateurs externes.
- Autres produits. Des produits comme Dynamics CRM peuvent nécessiter des licences dans chaque locataire où un utilisateur est représenté.
Étapes suivantes
- L’article Présentation de la gestion multilocataire des utilisateurs est le premier d’une série d’articles d’aide à la configuration et à la gestion du cycle de vie des utilisateurs dans les environnements multilocataires Microsoft Entra.
- L’article Scénarios de gestion multilocataire des utilisateurs présente trois scénarios pour lesquels vous pouvez utiliser des fonctionnalités de gestion multilocataire des utilisateurs : scénario initié par un utilisateur final, scénario avec script et scénario automatisé.
- Solutions courantes de gestion multilocataire des utilisateurs, lorsque la location unique ne fonctionne pas pour votre scénario, cet article donne des conseils sur ces problématiques : gestion automatique du cycle de vie des utilisateurs et allocation des ressources entre les locataires, partage d’applications locales entre locataires.
- Microsoft Collaboration Framework for the US Defense Industrial Base (Infrastructure de collaboration Microsoft pour la base industrielle de la défense des États-Unis) décrit les architectures de référence candidates pour l’identité afin de gérer des organisations multi-locataires. Ce scénario s’applique spécifiquement aux organisations multi-locataires qui ont un déploiement dans le cloud souverain américain avec Microsoft 365 US Government (GCC High) et Azure Government. Elle aborde également la collaboration externe dans des environnements hautement réglementés, comprenant des organisations qui sont hébergées dans le Cloud souverain des États-Unis ou commercial.