Condividi tramite


Che cos'è la sincronizzazione tra tenant?

La sincronizzazione tra tenant automatizza la creazione, l'aggiornamento e l'eliminazione di utenti della collaborazione B2B di Microsoft Entra tra tenant in un'organizzazione. Consente agli utenti di accedere alle applicazioni e collaborare tra tenant, consentendo comunque all'organizzazione di evolversi.

Ecco gli obiettivi principali della sincronizzazione tra tenant:

  • Collaborazione facile per un'organizzazione multi-tenant
  • Automatizzare la gestione del ciclo di vita degli utenti della collaborazione B2B in un'organizzazione multi-tenant
  • Rimuovere automaticamente gli account B2B quando un utente lascia l'organizzazione

Perché usare la sincronizzazione tra tenant?

La sincronizzazione tra tenant automatizza la creazione, l'aggiornamento e l'eliminazione di utenti della collaborazione B2B. Gli utenti creati con la sincronizzazione tra tenant sono in grado di accedere alle applicazioni Microsoft (ad esempio Teams e SharePoint) e alle applicazioni non Microsoft (ad esempio ServiceNow, Adobe e molte altre), indipendentemente dal tenant con cui le app sono integrate. Questi utenti continuano a trarre vantaggio dalle funzionalità di sicurezza in Microsoft Entra ID, ad esempio l’accesso condizionale di Microsoft Entra e le impostazioni di accesso tra tenant e possono essere gestiti tramite funzionalità come la gestione entitlement di Microsoft Entra.

L’immagine seguente mostra come usare la sincronizzazione tra tenant per abilitare l’accesso degli utenti alle applicazioni tra tenant nell'organizzazione.

Immagine che mostra la sincronizzazione di utenti per più tenant.

Chi dovrebbe usarla?

  • Organizzazioni che possiedono più tenant di Microsoft Entra e vogliono semplificare l'accesso alle applicazioni tra enant all'interno dell'organizzazione.
  • Attualmente, la sincronizzazione tra tenant non è adatta per l'uso attraverso i limiti dell'organizzazione.

Vantaggi

Con la sincronizzazione tra tenant, puoi fare quanto segue:

  • Creare automaticamente gli utenti della collaborazione B2B all'interno dell'organizzazione e fornire loro l'accesso alle applicazioni necessarie, senza creare e gestire script personalizzati.
  • Migliorare l'esperienza utente e garantire che gli utenti possano accedere alle risorse, senza ricevere un'email di invito e dover accettare una richiesta di consenso in ogni tenant.
  • Aggiornare automaticamente gli utenti e rimuoverli quando lasciano l'organizzazione.

Teams e Microsoft 365

Gli utenti creati dalla sincronizzazione tra tenant avranno la stessa esperienza durante l'accesso a Microsoft Teams e ad altri servizi di Microsoft 365 creati dagli utenti della collaborazione B2B tramite un invito manuale. Se l'organizzazione usa canali condivisi, consulta il documenti sui problemi noti per altri dettagli. Nel corso del tempo, userType member verrà usato dai vari servizi di Microsoft 365 per offrire esperienze utente finali differenziate per gli utenti di un'organizzazione multi-tenant.

Proprietà

Quando configuri la sincronizzazione tra tenant, definisci una relazione di trust tra un tenant di origine e un tenant di destinazione. Ecco le proprietà della sincronizzazione tra tenant:

  • Si basa sul modulo di provisioning di Microsoft Entra.
  • Si tratta di un processo di invio dal tenant di origine, non di un processo di ritiro dal tenant di destinazione.
  • Supporta il push solo dei membri interni dal tenant di origine. Non supporta la sincronizzazione di utenti esterni dal tenant di origine.
  • Gli utenti nell'ambito per la sincronizzazione vengono configurati nel tenant di origine.
  • Il mapping degli attributi viene configurato nel tenant di origine.
  • Gli attributi di estensione sono supportati.
  • Gli amministratori tenant di destinazione possono arrestare una sincronizzazione in qualsiasi momento.

La tabella seguente illustra le parti della sincronizzazione tra tenant e il tenant in cui sono configurate.

Tenant Impostazioni di accesso
tra tenant
Riscatto automatico Configurazione
delle impostazioni di sincronizzazione
Utenti nell'ambito
Icona per il tenant di origine.
Tenant di origine
✔️ ✔️ ✔️
Icona per il tenant di destinazione.
Tenant di destinazione
✔️ ✔️

Impostazione della sincronizzazione tra tenant

L'impostazione di sincronizzazione tra tenant è un'impostazione dell'organizzazione solo in ingresso che consente all'amministratore di un tenant di origine di sincronizzare gli utenti in un tenant di destinazione. Questa impostazione è una casella di controllo con il nome Consenti sincronizzazione utenti in questo tenant specificato nel tenant di destinazione. Questa impostazione non influisce sugli inviti B2B creati tramite altri processi, quali invito manuale o Gestione entitlement di Microsoft Entra.

Screenshot che mostra la scheda Sincronizzazione tra tenant con la casella di controllo Consenti sincronizzazione utenti in questo tenant.

Per configurare questa impostazione usando Microsoft Graph, consultare l'API Aggiornare crossTenantIdentitySyncPolicyPartner. Per altre informazioni, consulta Configurare la sincronizzazione tra tenant.

Impostazione del riscatto automatico

L'impostazione di riscatto automatico è un'impostazione di attendibilità organizzativa in ingresso e in uscita per riscattare automaticamente gli inviti, in modo che gli utenti non devono accettare la richiesta di consenso la prima volta che accedono al tenant di risorsa/destinazione. Questa impostazione è una casella di controllo con il nome seguente:

  • Inviti di riscatto automatico con il tenant<tenant>

Screenshot che mostra la casella di controllo Riscatto automatico in ingresso.

Confrontare l'impostazione per scenari diversi

L'impostazione di riscatto automatico si applica alla sincronizzazione tra tenant, collaborazione B2B e connessione diretta B2B nelle situazioni seguenti:

  • Quando gli utenti vengono creati in un tenant di destinazione con la sincronizzazione tra tenant.
  • Quando gli utenti vengono aggiunti a un tenant di risorse con la collaborazione B2B.
  • Quando gli utenti accedono alle risorse in un tenant di risorse con la connessione diretta B2B.

La tabella seguente illustra il confronto di questa impostazione quando è abilitata per questi scenari:

Elemento Sincronizzazione tra tenant Collaborazione B2B Connessione diretta B2B
Impostazione del riscatto automatico Richiesta Facoltativa Facoltativa
Gli utenti ricevono un messaggio di posta elettronica di invito alla collaborazione B2B No No N/D
Gli utenti devono accettare una richiesta di consenso No No No
Gli utenti ricevono un messaggio di posta elettronica di notifica di collaborazione B2B No N/D

Questa impostazione non influisce sulle esperienze di consenso dell'applicazione. Per altre informazioni, consultare Esperienza di consenso per applicazioni in Microsoft Entra ID. Questa impostazione non è supportata per le organizzazioni in diversi ambienti Microsoft Cloud, ad esempio Azure commerciale e Azure per enti pubblici.

L'impostazione di riscatto automatico elimina la richiesta di consenso e il messaggio di posta elettronica di invito solo se sia il tenant principale/di origine (in uscita) che il tenant di risorsa/destinazione (in ingresso) controllano questa impostazione.

Diagramma che mostra l'impostazione di riscatto automatico sia per la modalità in uscita che in ingresso.

La tabella seguente illustra il comportamento della richiesta di consenso per gli utenti del tenant di origine, quando l'impostazione di riscatto automatico viene verificata per diverse combinazioni di impostazioni di accesso tra tenant.

Tenant principale/di origine Tenant di risorsa/destinazione Comportamento della richiesta di consenso
per gli utenti tenant di origine
In uscita In entrata
Icona per il segno di spunta. Icona per il segno di spunta. Soppresso
Icona per il segno di spunta. Icona per deselezionare il segno di spunta. Non soppresso
Icona per deselezionare il segno di spunta. Icona per il segno di spunta. Non soppresso
Icona per deselezionare il segno di spunta. Icona per deselezionare il segno di spunta. Non soppresso
In entrata In uscita
Icona per il segno di spunta. Icona per il segno di spunta. Non soppresso
Icona per il segno di spunta. Icona per deselezionare il segno di spunta. Non soppresso
Icona per deselezionare il segno di spunta. Icona per il segno di spunta. Non soppresso
Icona per deselezionare il segno di spunta. Icona per deselezionare il segno di spunta. Non soppresso

Per configurare questa impostazione usando Microsoft Graph, consulta l'API Aggiorna crossTenantAccessPolicyConfigurationPartner. Per ulteriori informazioni, consultare Configurare la sincronizzazione tra tenant.

In che modo gli utenti sanno a quale tenant appartengono?

Per la sincronizzazione tra tenant, gli utenti non ricevono un’email, né devono accettare una richiesta di consenso. Se gli utenti vogliono visualizzare i tenant a cui appartengono, possono aprire la pagina Account e selezionare Organizzazioni. Nell'interfaccia di amministrazione di Microsoft Entra, gli utenti possono aprire Impostazioni portale, visualizzare Elenchi e sottoscrizioni e passare da un elenco all’altro.

Per altre informazioni, tra cui quelle sulla privacy, consulta Lasciare un'organizzazione come utente esterno.

Attività iniziali

Ecco i passaggi di base per iniziare a usare la sincronizzazione tra tenant.

Passaggio 1: definire come si vuole strutturare i tenant nell'organizzazione.

La sincronizzazione tra tenant offre una soluzione flessibile per abilitare la collaborazione, ma ogni organizzazione è diversa. Ad esempio, si potrebbe avere un tenant centrale, tenant satellite o una sorta di mesh di tenant. La sincronizzazione tra tenant supporta una di queste topologie. Per altre informazioni, consulta Topologie della sincronizzazione tra tenant.

Immagine che mostra diverse topologie di tenant.

Passaggio 2: abilitare la sincronizzazione tra tenant nei tenant di destinazione

Nel tenant di destinazione in cui vengono creati gli utenti, vai alla pagina Impostazioni di accesso tra tenant. Qui si abilita la sincronizzazione tra tenant e le impostazioni di riscatto automatico B2B selezionando le rispettive caselle di controllo. Per ulteriori informazioni, consultare Configurare la sincronizzazione tra tenant.

Immagine che mostra la sincronizzazione tra tenant abilitata in quello di destinazione.

Passaggio 3: abilitare la sincronizzazione tra tenant nei tenant di origine

In qualsiasi tenant di origine, vai alla pagina Impostazioni di accesso tra tenant e abilita la funzionalità di riscatto automatico B2B. Successivamente, usa la pagina Sincronizzazione tra tenant per configurare un processo di sincronizzazione tra tenant e specifica:

  • Quali utenti vuoi sincronizzare
  • Quali attributi vuoi includere
  • Eventuali trasformazioni

Questa esperienza sarà familiare a chiunque abbia usato Microsoft Entra ID per effettuare il provisioning delle identità in un'applicazione SaaS. Dopo aver configurato la sincronizzazione, puoi avviare il test con alcuni utenti e assicurarti che vengano creati con tutti gli attributi necessari. Al termine dei test, puoi aggiungere rapidamente altri utenti per sincronizzare ed eseguire il roll out per l'intera organizzazione. Per ulteriori informazioni, consultare Configurare la sincronizzazione tra tenant.

Immagine che mostra un processo di sincronizzazione tra tenant configurato nel tenant di origine.

Requisiti di licenza

Nel tenant di origine: l'uso di questa funzionalità richiede le licenze di Microsoft Entra ID P1. Ogni utente sincronizzato con la sincronizzazione tra tenant deve avere una licenza P1 nel tenant principale/di origine. Per trovare la licenza corretta per le proprie esigenze, consultare Confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.

Nel tenant di destinazione: la sincronizzazione tra tenant si basa sul modello di fatturazione Microsoft Entra per ID esterno. Per informazioni sul modello di licenza delle identità esterne, consulta Modello di fatturazione degli utenti attivi mensili per Microsoft Entra per ID esterno. Per abilitare il riscatto automatico, ti servirà anche almeno una licenza Microsoft Entra ID P1 nel tenant di destinazione.

Domande frequenti

Cloud

In quali cloud è possibile usare la sincronizzazione tra tenant?

  • La sincronizzazione tra tenant è supportata all'interno del cloud commerciale e di Azure per enti pubblici.
  • La sincronizzazione tra tenant non è supportata all'interno del cloud 21Vianet gestito da Microsoft Azure.
  • La sincronizzazione è supportata solo tra due tenant nello stesso cloud.
  • Attualmente, l’opzione tra cloud (ad esempio il cloud pubblico per Azure per enti pubblici) non è supportata.

Utenti B2B esistenti

La sincronizzazione tra tenant gestirà gli utenti B2B esistenti?

  • Sì. La sincronizzazione tra tenant usa un attributo interno denominato alternativeSecurityIdentifier per abbinare in modo univoco un utente interno nel tenant di origine a un utente esterno/B2B nel tenant di destinazione. La sincronizzazione tra tenant può aggiornare gli utenti B2B esistenti, assicurandosi che ogni utente disponga di un solo account.
  • La sincronizzazione tra tenant non può abbinare un utente interno nel tenant di origine a un utente interno nel tenant di destinazione (sia tipo di membro sia tipo di guest).

Frequenza di sincronizzazione

Con quale frequenza viene eseguita la sincronizzazione tra tenant?

  • L'intervallo di sincronizzazione è attualmente fisso e inizia a intervalli di 40 minuti. La durata della sincronizzazione varia in base al numero di utenti nell'ambito. È probabile che il ciclo di sincronizzazione iniziale richieda molto più tempo rispetto ai cicli di sincronizzazione incrementale seguenti.

Ambito

Come si può controllare cosa viene sincronizzato nel tenant di destinazione?

Se un utente viene rimosso dall'ambito di sincronizzazione in un tenant di origine, la sincronizzazione tra tenant li eliminerà temporaneamente nella destinazione?

  • Sì. Se un utente viene rimosso dall'ambito di sincronizzazione in un tenant di origine, la sincronizzazione tra tenant li eliminerà temporaneamente nel tenant di destinazione.

Tipi di oggetti

Quali tipi di oggetto possono essere sincronizzati?

  • Gli utenti di Microsoft Entra possono essere sincronizzati tra i tenant (i gruppi, i dispositivi e i contatti non sono attualmente supportati).

Quali tipi di utente possono essere sincronizzati?

  • I membri interni possono essere sincronizzati dai tenant di origine. I guest interni non possono essere sincronizzati dai tenant di origine.
  • Gli utenti possono essere sincronizzati nei tenant di destinazione come membri esterni (impostazione predefinita) o guest esterni.
  • Per altre informazioni sulle definizione UserType, consulta Proprietà di un utente di collaborazione B2B di Microsoft Entra.

Dispongo già utenti della collaborazione B2B: cosa succederà?

  • La sincronizzazione tra tenant abbinerà l'utente ed effettuerà eventuali aggiornamenti necessari all'utente, ad esempio aggiornare il nome visualizzato. Per impostazione predefinita, UserType non verrà aggiornato dal guest al membro, puoi configurarlo nei mapping attributi.

Attributi

Quali attributi utente possono essere sincronizzati?

  • La sincronizzazione tra tenant sincronizzerà gli attributi comunemente usati nell'oggetto utente in Microsoft Entra ID, inclusi (ma non solo) gli attributi displayName, userPrincipalName le estensione della directory.
  • La sincronizzazione tra tenant supporta il provisioning dell'attributo manager nel cloud commerciale. La sincronizzazione manager non è ancora supportata nel cloud degli enti pubblici degli Stati Uniti. Sia l'utente sia il manager devono essere inclusi nell'ambito per la sincronizzazione tra tenant, per il provisioning dell'attributo manager.
    • Per le configurazioni di sincronizzazione tra tenant create dopo gennaio 2024 con i mapping attributi/schemi predefiniti:
      • L'attributo manager verrà aggiunto automaticamente ai mapping attributi.
      • Gli aggiornamenti ai manager verranno applicati al ciclo incrementale per gli utenti in fase di modifica (ad esempio, modifica del manager). Il motore di sincronizzazione non aggiorna automaticamente tutti gli utenti esistenti di cui è stato effettuato il provisioning in precedenza.
      • Per aggiornare il manager per gli utenti esistenti che rientrano nell'ambito del provisioning, puoi usare il provisioning su richiesta per utenti specifici o eseguire un riavvio per effettuare il provisioning del manager per tutti gli utenti.
    • Per le configurazioni di sincronizzazione tra tenant create prima di gennaio 2024 con uno schema personalizzato/mapping attributi (ad esempio, hai aggiunto un attributo ai mapping o sono stati modificati i mapping predefiniti):
      • È necessario aggiungere l'attributo manager ai mapping attributi. Ciò attiverà un riavvio e verranno aggiornati tutti gli utenti nell'ambito del provisioning. Deve trattarsi di un mapping diretto dell'attributo manager nel tenant di origine al manager nel tenant di destinazione.
    • Se il manager di un utente viene rimosso nel tenant di origine e non viene assegnato alcun nuovo manager nel tenant di origine, l'attributo manager non verrà aggiornato nel tenant di destinazione.

Quali attributi non possono essere sincronizzati?

  • La sincronizzazione tra tenant non può sincronizzare attributi che includono (ma non solo) foto, attributi di sicurezza personalizzati e attributi utente al di fuori dell’elenco.

È possibile controllare dove vengono originati/gestiti gli attributi utente?

  • La sincronizzazione tra tenant non offre il controllo diretto sull'origine dell'autorità. L'utente e i relativi attributi vengono considerati autorevoli nel tenant di origine. Esistono sequenze di lavoro paralleli dell’origine dell’autorità che evolveranno i controlli dell’origine dell’autorità per gli utenti fino al livello di attributo; in ultima analisi, un oggetto utente all'origine potrebbe riflettere più origini sottostanti. Per il processo da tenant a tenant, questo viene comunque trattato come valori autorevoli del tenant di origine per il processo di sincronizzazione (anche se le parti hanno origine altrove) nel tenant di destinazione. Attualmente, non è disponibile alcun supporto per invertire l'origine dell'autorità del processo di sincronizzazione.
  • La sincronizzazione tra tenant supporta solo l'origine dell'autorità a livello di oggetto. Ciò significa che tutti gli attributi di un utente devono provenire dalla stessa origine, incluse le credenziali. Non è possibile invertire l'origine dell'autorità o la direzione della federazione di un oggetto sincronizzato.

Cosa accade se gli attributi per un utente sincronizzato vengono modificati nel tenant di destinazione?

  • La sincronizzazione tra tenant non esegue query per le modifiche nella destinazione. Se non vengono apportate modifiche all'utente sincronizzato nel tenant di origine, le modifiche apportate all'attributo utente nel tenant di destinazione verranno mantenute. Tuttavia, se vengono apportate modifiche all'utente nel tenant di origine, durante il ciclo di sincronizzazione successivo, l'utente nel tenant di destinazione verrà aggiornato in modo che venga abbinato all'utente nel tenant di origine.

Il tenant di destinazione può bloccare manualmente l'accesso per un utente tenant principale/di origine specifico sincronizzato?

  • Se non vengono apportate modifiche all'utente sincronizzato nel tenant di origine, l'impostazione di blocco dell’accesso al tenant di destinazione verrà mantenuta. Se viene rilevata una modifica per l'utente nel tenant di origine, la sincronizzazione tra tenant riabilita l'utente bloccato per l'accesso al tenant di destinazione.

Struttura

È possibile sincronizzare una mesh tra più tenant?

  • La sincronizzazione tra tenant è configurata come sincronizzazione peer-to-peer a singola direzione: ciò significa che la sincronizzazione è configurata tra un tenant di origine e uno di destinazione. È possibile configurare più istanze della sincronizzazione tra tenant per la sincronizzazione da una singola origine a più destinazioni e da più origini in una singola destinazione. Tuttavia, può esistere una sola istanza di sincronizzazione tra un'origine e una destinazione.
  • La sincronizzazione tra tenant sincronizza solo gli utenti interni al tenant principale/di origine, garantendo che non sia possibile finire con un ciclo in cui un utente viene riscritto nello stesso tenant.
  • Sono supportate più topologie. Per altre informazioni, consulta Topologie della sincronizzazione tra tenant.

È possibile usare la sincronizzazione tra tenant tra organizzazioni (all'esterno dell'organizzazione multi-tenant)?

  • Per motivi di privacy, la sincronizzazione tra tenant è destinata all'uso all'interno di un'organizzazione. È consigliabile usare la gestione entitlement per invitare gli utenti della collaborazione B2B in tutte le organizzazioni.

È possibile usare la sincronizzazione tra tenant per eseguire la migrazione degli utenti da un tenant a un altro tenant?

  • No. La sincronizzazione tra tenant non è uno strumento di migrazione perché il tenant di origine è necessario per l'autenticazione degli utenti sincronizzati. Inoltre, le migrazioni dei tenant richiederebbero la migrazione dei dati utente, ad esempio SharePoint e OneDrive.

Collaborazione B2B

La sincronizzazione tra tenant risolve eventuali limitazioni attuali di collaborazione B2B?

  • Poiché la sincronizzazione tra tenant è basata sulla tecnologia di collaborazione B2B esistente, si applicano le limitazioni esistenti. Gli esempi includono, ma non sono limitati a:

    App o servizio Limiti
    Power BI - Il supporto per il membro UserType in Power BI è attualmente in anteprima. Per altre informazioni, vedere Distribuire il contenuto di Power BI agli utenti guest esterni con Microsoft Entra B2B.
    Desktop virtuale Azure - Il membro esterno e il guest esterno non sono supportati nel Desktop virtuale Azure.

Connessione diretta B2B

In che modo la sincronizzazione tra tenant è correlata alla connessione diretta B2B?

  • La connessione diretta B2B è la tecnologia di gestione delle identità sottostante necessaria per i canali condivisi di Teams Connect.
  • La collaborazione B2B è consigliabile per tutti gli altri scenari di accesso alle applicazioni tra tenant, incluse le applicazioni Microsoft e non Microsoft.
  • La connessione diretta B2B e la sincronizzazione tra tenant sono progettate per coesistere e puoi abilitarle entrambe per un'ampia copertura degli scenari tra tenant.

Stiamo tentando di stabilire la misura in cui è necessario usare la sincronizzazione tra tenant nell'organizzazione multi-tenant. Si prevede di estendere il supporto per la connessione diretta B2B oltre Teams Connect?

  • Non è prevista l'estensione del supporto per la connessione diretta B2B oltre i canali condivisi di Teams Connect.

Microsoft 365

La sincronizzazione tra tenant migliora le esperienze utente tra tenant di accesso alle app di Microsoft 365?

  • La sincronizzazione tra tenant utilizza una funzionalità che migliora l'esperienza utente eliminando la prima richiesta di consenso B2B e il processo di riscatto in ogni tenant.
  • Gli utenti sincronizzati avranno a disposizione le stesse esperienze di Microsoft 365 tra tenant come qualsiasi altro utente della collaborazione B2B.

La sincronizzazione tra tenant può abilitare gli scenari di ricerca degli utenti in Microsoft 365?

  • Sì, la sincronizzazione tra tenant può consentire la ricerca di utenti in M365. Assicurarsi che l'attributo showInAddressList sia impostato su True per gli utenti nel tenant di destinazione. L'attributo showInAddressList è impostato su true per impostazione predefinita nei mapping degli attributi di sincronizzazione tra tenant.
  • La sincronizzazione tra tenant crea utenti di collaborazione B2B e non crea contatti.

Teams

La sincronizzazione tra tenant migliora le esperienze correnti di Teams?

  • Gli utenti sincronizzati avranno a disposizione le stesse esperienze di Microsoft 365 tra tenant come qualsiasi altro utente della collaborazione B2B.

Integrazione

Quali opzioni di federazione sono supportate per gli utenti nel tenant di destinazione che tornano al tenant di origine?

  • Per ogni utente interno nel tenant di origine, la sincronizzazione tra tenant crea un utente esterno federato (usato di solito in B2B) nella destinazione. Supporta la sincronizzazione degli utenti interni. Sono inclusi gli utenti interni federati ad altri sistemi di identità che usano la federazione del dominio, ad esempio Active Directory Federation Services. Non supporta la sincronizzazione degli utenti esterni.

La sincronizzazione tra tenant usa System for Cross-domain Identity Management (SCIM)?

Deprovisioning

La sincronizzazione tra tenant supporta il deprovisioning degli utenti?

  • Sì, quando si verificano le azioni seguenti nel tenant di origine, l'utente verrà eliminato temporaneamente nel tenant di destinazione.

    • Eliminare l'utente nel tenant di origine
    • Annullare l'assegnazione dell'utente dalla configurazione della sincronizzazione tra tenant
    • Rimuovere l'utente da un gruppo assegnato alla configurazione della sincronizzazione tra tenant
    • Un attributo per l'utente cambia, così non soddisfa più le condizioni di filtro di ambito definite nella configurazione della sincronizzazione tra tenant
  • Se l'accesso dell’utente al tenant di origine è bloccato (accountEnabled = false), verrà bloccato il suo accesso alla destinazione. Non si tratta di un'eliminazione, ma di un aggiornamento alla proprietà accountEnabled.

  • Gli utenti non vengono eliminati temporaneamente dal tenant di destinazione in questi scenari:

    1. Aggiungere un utente a un gruppo e assegnarlo alla configurazione della sincronizzazione tra tenant nel tenant di origine.
    2. Effettuare il provisioning dell'utente su richiesta o tramite il ciclo incrementale.
    3. Aggiornare lo stato dell'account abilitato su false per l'utente nel tenant di origine.
    4. Effettuare il provisioning dell'utente su richiesta o tramite il ciclo incrementale. Lo stato dell'account abilitato viene modificato in false nel tenant di destinazione.
    5. Rimuovere l'utente dal gruppo nel tenant di origine.

La sincronizzazione tra tenant supporta il ripristino degli utenti?

  • Se l'utente nel tenant di origine viene ripristinato, riassegnato all'app, soddisfa nuovamente la condizione di ambito entro 30 giorni dall'eliminazione temporanea, verrà ripristinato nel tenant di destinazione.
  • Gli amministratori IT possono anche ripristinare manualmente l'utente direttamente nel tenant di destinazione.

Come è possibile effettuare il deprovisioning di tutti gli utenti attualmente inclusi nell'ambito della sincronizzazione tra tenant?

  • Annulla l'assegnazione di tutti gli utenti o gruppi dalla configurazione della sincronizzazione tra tenant. In questo modo, nei cicli di sincronizzazione successivi verrà eseguito il deprovisioning di tutti gli utenti non assegnati, direttamente o tramite l’appartenenza a gruppi. Si noti che il tenant di destinazione dovrà mantenere i criteri in ingresso per la sincronizzazione abilitati fino al completamento del deprovisioning. Se l'ambito è impostato su Sincronizza tutti gli utenti e i gruppi, dovrai anche modificarlo in Sincronizza solo utenti e gruppi assegnati. Gli utenti verranno eliminati temporaneamente in modo automatico dalla sincronizzazione tra tenant. Gli utenti verranno eliminati definitivamente in modo automatico dopo 30 giorni, oppure puoi scegliere di eliminare definitivamente gli utenti direttamente dal tenant di destinazione. Puoi scegliere di eliminare definitivamente gli utenti direttamente nel tenant di destinazione o attendere 30 giorni affinché gli utenti vengano eliminati definitivamente in modo automatico.

Se la relazione di sincronizzazione viene interrotta, gli utenti esterni vengono gestiti in precedenza dalla sincronizzazione tra tenant eliminata nel tenant di destinazione?

  • No. Non vengono apportate modifiche agli utenti esterni gestiti in precedenza dalla sincronizzazione tra tenant se la relazione viene interrotta (ad esempio se i criteri di sincronizzazione tra tenant vengono eliminati).

Passaggi successivi