Condividi tramite


Limitazioni nelle organizzazioni multi-tenant

Questo articolo descrive le limitazioni da tenere presenti quando si usa le funzionalità di un'organizzazione multi-tenant in Microsoft Entra ID e Microsoft 365. Per fornire commenti e suggerimenti sulle funzionalità dell'organizzazione multi-tenant in UserVoice, vedere Microsoft Entra UserVoice. È possibile osservare UserVoice da vicino in modo da poter contribuire al miglioramento del servizio.

Ambito

Di seguito è definito l'ambito delle limitazioni descritte in questo articolo.

Ambito Descrizione
Nell'ambito - Limitazioni dell'amministratore di Microsoft Entra correlate alle organizzazioni multi-tenant per supportare esperienze di collaborazione ottimali nel nuovo Microsoft Teams, con membri B2B con provisioning reciproco
- Limitazioni dell'amministratore di Microsoft Entra correlate alle organizzazioni multi-tenant per supportare esperienze di collaborazione ottimali in Microsoft Viva Engage, con membri B2B con provisioning centrale
Ambito correlato - Limitazioni dell'interfaccia di amministrazione di Microsoft 365 correlate alle organizzazioni multi-tenant
- Esperienze di ricerca utenti in un'organizzazione multi-tenant di Microsoft 365
- Limitazioni della sincronizzazione tra tenant correlate a Microsoft 365
Fuori ambito - Limitazioni della sincronizzazione tra tenant non correlate a Microsoft 365
- Esperienze degli utenti finali nel nuovo Team
- Esperienze degli utenti finali in Viva Engage
- Migrazione o consolidamento dei tenant
Scenari non supportati - Organizzazioni multi-tenant tra tenant didattici che coinvolgono scenari di studenti
- Organizzazioni multi-tenant in Microsoft 365 Government
- Esperienza di collaborazione ottimale tra organizzazioni multi-tenant in Teams classico
- Funzionalità self-service per le organizzazioni multi-tenant con più di 100 tenant
- Organizzazioni multi-tenant in Azure per enti pubblici o Microsoft Azure gestite da 21Vianet
- Organizzazioni multi-tenant tra cloud

Creare o partecipare a un'organizzazione multi-tenant usando l'interfaccia di amministrazione di Microsoft 365

  • Dopo aver creato un'organizzazione multi-tenant nell'interfaccia di amministrazione di Microsoft 365, verrà visualizzata l'interfaccia di amministrazione Microsoft creata con configurazioni di sincronizzazione tra tenant con i nomi MTO_Sync_<TenantID>. Evitare di modificare o cambiare i nomi se si vuole che l'interfaccia di amministrazione di Microsoft 365 riconosca le configurazioni create e gestite dall'interfaccia di amministrazione di Microsoft 365.

  • I processi di sincronizzazione creati con Microsoft Entra ID non verranno visualizzati nell'interfaccia di amministrazione di Microsoft 365. Nell'interfaccia di amministrazione di Microsoft 365, lo Stato di sincronizzazione in uscita sarà impostato su Non configurato. Si tratta di un comportamento previsto. Non esiste alcun modello supportato dall'interfaccia di amministrazione di Microsoft 365 per assumere il controllo dei processi di sincronizzazione tra tenant creati nell'interfaccia di amministrazione di Microsoft Entra.

Impostazioni di accesso tra tenant

  • La sincronizzazione tra tenant in Microsoft Entra ID non supporta la definizione di una configurazione di sincronizzazione tra tenant prima che il tenant in questione consenta la sincronizzazione in ingresso nelle impostazioni di accesso tra tenant per la sincronizzazione delle identità.

  • Pertanto, prima della creazione di un'organizzazione multi-tenant, è consigliabile usare il modello di impostazioni di accesso tra tenant per la sincronizzazione delle identità, con userSyncInbound impostato su true.

  • Analogamente, prima della creazione di un'organizzazione multi-tenant, l'utilizzo del modello di impostazioni di accesso tra tenant per le configurazioni dei partner è consigliato con automaticUserConsentSettings.inboundAllowed e con automaticUserConsentSettings.outboundAllowed impostato su true.

Richieste di partecipazione

  • Esistono diversi motivi per cui una richiesta di partecipazione può avere esito negativo. Se l'interfaccia di amministrazione di Microsoft 365 non indica perché una richiesta di partecipazione ha esito negativo, provare a esaminare la risposta alla richiesta usando le API Microsoft Graph o Microsoft Graph Explorer.

  • Se è stata seguita la sequenza corretta per creare un'organizzazione multi-tenant e aggiungere un tenant all'organizzazione multi-tenant e la richiesta di partecipazione del tenant continua ad avere esito negativo, inviare una richiesta di supporto nell'interfaccia di amministrazione di Microsoft Entra o Microsoft 365.

Opzioni per effettuare il provisioning di utenti membri esterni

  • Se si usa già la sincronizzazione tra tenant di Microsoft Entra per varie topologie multi-hub multi-spoke, non è necessario usare la funzionalità di condivisione utenti dell'interfaccia di amministrazione di Microsoft 365. È invece possibile continuare a usare i processi di sincronizzazione tra tenant esistenti di Microsoft Entra.
  • Se in precedenza non è stata usata la sincronizzazione tra tenant di Microsoft Entra e si intende stabilire una topologia di set di utenti che collabora in cui lo stesso set di utenti viene condiviso a tutti i tenant dell'organizzazione multi-tenant, è possibile usare la funzionalità di condivisione utenti dell'interfaccia di amministrazione di Microsoft 365.
  • Se si dispone già di un motore di provisioning utenti su larga scala, è possibile usare i vantaggi della nuova organizzazione multi-tenant continuando a usare il proprio motore per gestire il ciclo di vita dei dipendenti.
  • Se è necessario creare singoli utenti membri esterni in un tenant host anziché crearli tramite un motore di provisioning da un tenant di origine, vedere Come creare, invitare ed eliminare utenti.

Sincronizzazione tra tenant nell'interfaccia di amministrazione di Microsoft Entra

  • Per le organizzazioni aziendali con configurazioni di identità complesse, è consigliabile usare la sincronizzazione tra tenant nell'interfaccia di amministrazione di Microsoft Entra.

  • Per impostazione predefinita, viene effettuato il provisioning dei nuovi utenti B2B come membri B2B, mentre gli utenti guest B2B esistenti rimangono tali. È possibile scegliere di convertire gli utenti guest B2B in membri B2B impostando Applica questo mapping su Sempre.

  • Per impostazione predefinita, showInAddressList viene sincronizzato in un tenant di destinazione come true. È possibile modificare il mapping di questo attributo in base alle esigenze dell'organizzazione.

  • Il provisioning su larga scala degli utenti B2B potrebbe entrare in conflitto con gli oggetti Contatto. La gestione o la conversione di oggetti Contatto non è attualmente supportata.

  • L'uso della sincronizzazione tra tenant per identità ibride convertite in utenti B2B non è attualmente supportato.

Sincronizzare utenti nell'interfaccia di amministrazione di Microsoft 365

  • Nelle organizzazioni multi-tenant più piccole dimensioni, è consigliabile usare l'interfaccia di amministrazione di Microsoft 365 per sincronizzare gli utenti in più tenant dell'organizzazione multi-tenant.

  • Per condividere gli utenti, l'interfaccia di amministrazione di Microsoft 365 crea più processi di sincronizzazione tra tenant, uno per ogni tenant di destinazione, mantenendo lo stesso ambito utente in tutti i processi.

  • Dopo che l'interfaccia di amministrazione di Microsoft 365 ha creato i processi di sincronizzazione tra tenant, è possibile modificare i mapping degli attributi nell'interfaccia di amministrazione di Microsoft Entra in base alle esigenze delle organizzazioni.

Guest B2B o membri B2B gestiti nel tenant host

  • La promozione di utenti guest B2B a membri B2B rappresenta una decisione strategica da parte delle organizzazioni multi-tenant per considerare i membri B2B come utenti attendibili dell'organizzazione. Esaminare le autorizzazioni predefinite per i membri B2B.

  • Quando l'organizzazione implementa le funzionalità delle organizzazioni multi-tenant, come il provisioning di utenti B2B nei tenant dell'organizzazione multi-tenant, potrebbe essere necessario effettuare il provisioning di alcuni utenti come guest B2B e di altri come membri B2B.

  • Per promuovere utenti guest B2B a membri B2B, un amministratore del tenant host può modificare il parametro userType, presupponendo che la proprietà non venga sincronizzata in modo ricorrente.

Guest B2B o membri B2B gestiti tramite la sincronizzazione tra tenant

  • Se la sincronizzazione tra tenant viene usata per sincronizzare periodicamente la proprietà userType, un amministratore tenant di origine può modificare i mapping degli attributi.

  • È possibile stabilire due configurazioni di sincronizzazione tra tenant di Microsoft Entra nel tenant di origine, una con mapping di attributi userType configurati per il guest B2B e un'altra con mapping di attributi userType configurati per il membro B2B e in ognuna di esse l'opzione Applica questo mapping deve essere impostata su Sempre.

  • Spostando un utente da un ambito della configurazione a un altro, è possibile controllare facilmente chi sarà un guest B2B o un membro B2B nel tenant di destinazione. Usando questo approccio, è anche possibile disabilitare azioni oggetto di destinazione per l'eliminazione.

Elenco indirizzi globale gestito nel tenant host

Elenco indirizzi globale gestito tramite la sincronizzazione tra tenant

  • Se la sincronizzazione tra tenant viene usata per sincronizzare la proprietà, è possibile usare showInAddressList in un tenant di origine per controllare la visibilità dell'elenco di indirizzi in un tenant di destinazione.
  • D'altra parte, non è possibile usare l'impostazione per nascondere il destinatario dagli elenchi di indirizzi nel tenant di origine per modificare la visibilità dell'elenco indirizzi in un tenant di destinazione.

Le app di Microsoft

Utenti B2B o membri B2B

  • Nell'ambito di un'organizzazione multi-tenant, non è possibile reimpostare lo stato di riscatto per un utente B2B già riscattato.

  • Il provisioning su larga scala degli utenti B2B potrebbe entrare in conflitto con gli oggetti Contatto. La gestione o la conversione di oggetti Contatto non è attualmente supportata.

  • L'uso della sincronizzazione tra tenant per identità ibride convertite in utenti B2B non è stato ancora testato nei conflitti di origine dell'autorità e non è supportato.

  • Gli utenti connessi sono in grado di leggere gli attributi di base di un'organizzazione multi-tenant e dei tenant membri dell'organizzazione multi-tenant, senza essere assegnati ruoli, ad esempio Ruolo con autorizzazioni di lettura per la sicurezza o con autorizzazioni di lettura globali.

Deprovisioning della sincronizzazione tra tenant

Passaggi successivi