Condividi tramite


Che cos'è un'organizzazione multi-tenant in Microsoft Entra ID?

L'organizzazione multi-tenant è una funzionalità di Microsoft Entra ID e Microsoft 365 che consente di definire un limite per i tenant di Microsoft Entra di proprietà dell'organizzazione. Nella directory assume la forma di un gruppo di tenant che rappresenta l'organizzazione. Ogni coppia di tenant nel gruppo è governata dalle impostazioni di accesso tra tenant che è possibile usare per configurare collaborazione B2B.

Perché usare l'organizzazione multi-tenant?

Ecco gli obiettivi principali dell'organizzazione multi-tenant:

  • Definire un limite per i tenant appartenenti all'organizzazione
  • Collaborare tra i tenant in nuovi Microsoft Teams
  • Collaborare tra i tenant in Microsoft Viva Engage

Chi dovrebbe usarlo?

Organizzazioni che possiedono più tenant di Microsoft Entra e vogliono semplificare la collaborazione tra tenant all'interno dell'organizzazione in Microsoft 365.

La funzionalità dell'organizzazione multi-tenant in Microsoft Teams si basa sul presupposto del provisioning reciproco degli utenti dei membri di collaborazione B2B nei tenant dell'organizzazione multi-tenant.

La funzionalità dell'organizzazione multi-tenant in Viva Engage si basa sul presupposto del provisioning centralizzato degli utenti membri di Collaborazione B2B in un tenant hub.

Di conseguenza, la funzionalità dell'organizzazione multi-tenant è la migliore distribuzione con l'uso di un motore di provisioning bulk per gli utenti di Collaborazione B2B, ad esempio con la sincronizzazione tra tenant.

Vantaggi

Ecco i principali vantaggi di un'organizzazione multi-tenant:

Chi sono gli utenti membri dell'organizzazione multi-tenant?

Quando si definisce un'organizzazione multi-tenant, gli utenti esterni (utenti di Collaborazione B2B) vengono segmentati nei modi seguenti in base alla proprietà userType:

  • Membri esterni originati dall'interno di un'organizzazione multi-tenant
  • Guest esterni che provengono dall'interno di un'organizzazione multi-tenant
  • Membri esterni che provengono dall'esterno dell'organizzazione
  • Guest esterni che provengono dall'esterno dell'organizzazione

Questa segmentazione di utenti esterni consente di distinguere meglio l'organizzazione dagli utenti esterni all'organizzazione in un'organizzazione multi-tenant.

I membri esterni che provengono dall'interno di un'organizzazione multi-tenant sono talvolta denominati utenti membri dell'organizzazione multi-tenant.

Le funzionalità di collaborazione multi-tenant in Microsoft 365 consentono di offrire un'esperienza di collaborazione trasparente attraverso i limiti del tenant quando si collabora con gli utenti membri dell'organizzazione multi-tenant.

Come funziona un'organizzazione multi-tenant?

La funzionalità dell'organizzazione multi-tenant consente di definire un limite per i tenant di Microsoft Entra di proprietà dell'organizzazione, facilitati da un flusso di invito e accettazione tra gli amministratori tenant. L'elenco seguente descrive il ciclo di vita di base di un'organizzazione multi-tenant.

  • Definire un'organizzazione multi-tenant

    Un amministratore tenant definisce un'organizzazione multi-tenant come raggruppamento di tenant. Il raggruppamento dei tenant non è reciproco finché ogni tenant elencato non interviene per partecipare all'organizzazione multi-tenant. L'obiettivo è un accordo reciproco tra tutti i tenant elencati.

  • Partecipare a un'organizzazione multi-tenant

    Gli amministratori tenant dei tenant elencati eseguano un'azione per partecipare all'organizzazione multi-tenant. Dopo l'aggiunta, la relazione tra organizzazioni multi-tenant è reciproca tra ogni tenant e ogni tenant che è stato aggiunto all'organizzazione multi-tenant.

  • Lasciare un'organizzazione multi-tenant

    Gli amministratori tenant dei tenant elencati possono lasciare un'organizzazione multi-tenant in qualsiasi momento. Anche se un amministratore tenant che ha definito l'organizzazione multi-tenant può aggiungere e rimuovere tenant elencati che non controllano gli altri tenant.

Un'organizzazione multi-tenant viene stabilita come collaborazione di uguale. Ogni amministratore tenant rimane in controllo del tenant e la relativa appartenenza all'organizzazione multi-tenant.

Esempio di organizzazione multi-tenant

Il diagramma seguente illustra tre tenant A, B e C che formano un'organizzazione multi-tenant.

Diagramma che mostra una topologia dell'organizzazione multi-tenant e le impostazioni di accesso tra tenant.

Tenant Descrizione
A Gli amministratori vedono un'organizzazione multi-tenant costituita da A, B, C.
Vengono visualizzate anche le impostazioni di accesso tra tenant per B e C.
G Gli amministratori vedono un'organizzazione multi-tenant costituita da A, B, C.
Vengono visualizzate anche le impostazioni di accesso tra tenant per A e C.
A Gli amministratori vedono un'organizzazione multi-tenant costituita da A, B, C.
Vengono inoltre visualizzate le impostazioni di accesso tra tenant per A e B.

Ruolo e stato del tenant

Per facilitare la gestione di un'organizzazione multi-tenant, qualsiasi tenant dell'organizzazione multi-tenant ha un ruolo e uno stato associati.

Ruolo tenant Descrizione
Proprietario Un tenant crea l'organizzazione multi-tenant. L'organizzazione multi-tenant che crea il tenant riceve il ruolo di proprietario. Il privilegio del tenant proprietario consiste nell'aggiungere tenant in uno stato in sospeso, nonché per rimuovere i tenant dall'organizzazione multi-tenant. Inoltre, un tenant proprietario può modificare il ruolo di altri tenant dell'organizzazione multi-tenant.
Membro Dopo l'aggiunta di tenant in sospeso all'organizzazione multi-tenant, i tenant in sospeso devono unirsi all'organizzazione multi-tenant per passare dallo stato in sospeso ad attivo. I tenant aggiunti iniziano in genere nel ruolo membro. Qualsiasi tenant membro ha il privilegio di lasciare l'organizzazione multi-tenant.
Stato del tenant Descrizione
In sospeso Un tenant in sospeso deve ancora partecipare a un'organizzazione multi-tenant. Anche se elencato nella visualizzazione di un amministratore dell'organizzazione multi-tenant, un tenant in sospeso non fa ancora parte dell'organizzazione multi-tenant e, di conseguenza, è nascosto dalla visualizzazione di un utente finale di un'organizzazione multi-tenant.
Attive Dopo l'aggiunta di tenant in sospeso all'organizzazione multi-tenant, i tenant in sospeso devono unirsi all'organizzazione multi-tenant per passare dallo stato in sospeso ad attivo. I tenant aggiunti iniziano in genere nel ruolo membro. Qualsiasi tenant membro ha il privilegio di lasciare l'organizzazione multi-tenant.

Impostazioni di accesso tra tenant

Gli amministratori che mantengono il controllo delle risorse sono un principio guida per la collaborazione tra organizzazioni multi-tenant. Le impostazioni di accesso tra tenant sono necessarie per ogni relazione tra tenant e tenant. Gli amministratori tenant configurano in modo esplicito, in base alle esigenze, i criteri seguenti:

Modelli per le impostazioni di accesso tra tenant

Per semplificare la configurazione delle impostazioni di accesso tra tenant omogenee applicate ai tenant partner nell'organizzazione multi-tenant, l'amministratore di ogni tenant dell'organizzazione multi-tenant può configurare modelli facoltativi di impostazioni di accesso tra tenant dedicati all'organizzazione multi-tenant. Questi modelli possono essere usati per preconfigurare le impostazioni di accesso tra tenant applicate a qualsiasi tenant partner appena aggiunto all'organizzazione multi-tenant.

Vincoli

La funzionalità dell'organizzazione multi-tenant è stata progettata con i vincoli seguenti:

  • Qualsiasi tenant specificato può creare o partecipare a una singola organizzazione multi-tenant.
  • I tenant che si trovano in una relazione granulare con privilegi di amministratore delegato (GDAP) non possono creare o partecipare a un'organizzazione multi-tenant.
  • Qualsiasi organizzazione multi-tenant deve avere almeno un tenant proprietario attivo.
  • Ogni tenant attivo deve avere impostazioni di accesso tra tenant per tutti i tenant attivi.
  • Qualsiasi tenant attivo può lasciare un'organizzazione multi-tenant rimuovendosi da essa.
  • Un'organizzazione multi-tenant viene eliminata quando l'unico tenant attivo rimanente (proprietario) lascia.

Limiti

Conto risorse Limite Note
Numero massimo di tenant attivi, incluso il tenant proprietario 100 Il tenant proprietario può aggiungere più di 100 tenant in sospeso, ma non sarà in grado di partecipare all'organizzazione multi-tenant se viene superato il limite. Questo limite viene applicato al momento in cui un tenant in sospeso viene aggiunto a un'organizzazione multi-tenant. Questo limite è specifico per il numero di tenant in un'organizzazione multi-tenant. Ciò non si applica alla sincronizzazione tra tenant da sola. Per aumentare questo limite, inviare una richiesta di supporto in Microsoft Entra o interfaccia di amministrazione di Microsoft 365.

Operazioni preliminari

Ecco i passaggi di base per iniziare a usare l'organizzazione multi-tenant.

Passaggio 1: Pianificare la distribuzione

Per altre informazioni, vedere Pianificare organizzazioni multi-tenant in Microsoft 365 e limitazioni nelle organizzazioni multi-tenant.

Passaggio 2: Creare l'organizzazione multi-tenant

Creare l'organizzazione multi-tenant usando interfaccia di amministrazione di Microsoft 365, Microsoft Graph PowerShell o l'API Microsoft Graph:

  • Il primo tenant, presto proprietario, crea un'organizzazione multi-tenant.
  • Il tenant proprietario aggiunge uno o più tenant di join.

Per altre informazioni sull'uso di interfaccia di amministrazione di Microsoft 365 per creare un'organizzazione multi-tenant, vedere Creare o partecipare a un'organizzazione multi-tenant usando il interfaccia di amministrazione di Microsoft 365.

Passaggio 3: Partecipare a un'organizzazione multi-tenant

Partecipare a un'organizzazione multi-tenant usando interfaccia di amministrazione di Microsoft 365 o Microsoft Graph PowerShell o l'API Microsoft Graph:

  • I tenant del join inviano una richiesta di aggiunta per partecipare all'organizzazione multi-tenant del tenant proprietario.
  • Per consentire l'elaborazione asincrona, attendere fino a 2 ore.

L'organizzazione multi-tenant è ora formata. Di conseguenza, tutti gli utenti membri esterni esistenti all'interno dell'organizzazione multi-tenant verranno ora riconosciuti come membri dell'organizzazione multi-tenant per una migliore collaborazione trasparente nei tenant attivi dell'organizzazione multi-tenant.

Per altre informazioni sull'uso di interfaccia di amministrazione di Microsoft 365 per partecipare all'organizzazione multi-tenant, vedere Creare o partecipare a un'organizzazione multi-tenant usando il interfaccia di amministrazione di Microsoft 365.

Passaggio 4: Effettuare il provisioning di utenti membri esterni

La collaborazione tra organizzazioni multi-tenant in Microsoft 365 si basa sul provisioning degli utenti membri di Collaborazione B2B. A seconda del caso d'uso, è possibile effettuare il provisioning degli utenti usando uno o più dei metodi seguenti:

Per altre informazioni sul provisioning di utenti membri esterni, vedere Opzioni per effettuare il provisioning degli utenti membri esterni.

Passaggio 5: Completare i requisiti delle applicazioni di Microsoft 365

Le seguenti applicazioni di collaborazione dell'organizzazione multi-tenant possono avere requisiti aggiuntivi:

Una volta completati i requisiti dell'applicazione Microsoft 365, i dipendenti potranno collaborare senza problemi all'interno dell'organizzazione di più tenant.

Requisiti di licenza

La funzionalità dell'organizzazione multi-tenant richiede licenze Microsoft Entra ID P1. Per ogni dipendente per ogni organizzazione multi-tenant è necessaria una sola licenza P1 di Microsoft Entra ID P1. Inoltre, è necessario avere almeno una licenza P1 dell'ID Entra Microsoft per tenant. Per trovare la licenza corretta per le proprie esigenze, consultare Confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.

Passaggi successivi