Wat is synchronisatie tussen tenants?
Synchronisatie tussen tenants automatiseert het maken, bijwerken en verwijderen van gebruikers van Microsoft Entra B2B-samenwerking tussen tenants in een organisatie. Hiermee kunnen gebruikers toegang krijgen tot toepassingen en samenwerken tussen tenants, terwijl de organisatie zich nog steeds kan ontwikkelen.
Dit zijn de belangrijkste doelen van synchronisatie tussen tenants:
- Naadloze samenwerking voor een multitenant-organisatie
- Levenscyclusbeheer van B2B-samenwerkingsgebruikers in een multitenant-organisatie automatiseren
- B2B-accounts automatisch verwijderen wanneer een gebruiker de organisatie verlaat
Waarom zou u synchronisatie tussen tenants gebruiken?
Synchronisatie tussen tenants automatiseert het maken, bijwerken en verwijderen van gebruikers van B2B-samenwerking. Gebruikers die zijn gemaakt met synchronisatie tussen tenants, hebben toegang tot zowel Microsoft-toepassingen (zoals Teams en SharePoint) als niet-Microsoft-toepassingen (zoals ServiceNow, Adobe en nog veel meer), ongeacht met welke tenant de apps zijn geïntegreerd. Deze gebruikers blijven profiteren van de beveiligingsmogelijkheden in Microsoft Entra ID, zoals voorwaardelijke toegang van Microsoft Entra en instellingen voor toegang tussen tenants, en kunnen worden beheerd via functies zoals Microsoft Entra-rechtenbeheer.
In het volgende diagram ziet u hoe u synchronisatie tussen tenants kunt gebruiken om gebruikers toegang te geven tot toepassingen tussen tenants in uw organisatie.
Wie moet er gebruiken?
- Organisaties die eigenaar zijn van meerdere Microsoft Entra-tenants en die de toegang tot meerdere tenants binnen de organisatie willen stroomlijnen.
- Synchronisatie tussen tenants is momenteel niet geschikt voor gebruik binnen organisatiegrenzen.
Vergoedingen
Met synchronisatie tussen tenants kunt u het volgende doen:
- Maak automatisch B2B-samenwerkingsgebruikers binnen uw organisatie en geef ze toegang tot de toepassingen die ze nodig hebben, zonder aangepaste scripts te maken en te onderhouden.
- Verbeter de gebruikerservaring en zorg ervoor dat gebruikers toegang hebben tot resources, zonder een uitnodigingsmail te ontvangen en een toestemmingsprompt in elke tenant te moeten accepteren.
- Gebruikers automatisch bijwerken en verwijderen wanneer ze de organisatie verlaten.
Teams en Microsoft 365
Gebruikers die zijn gemaakt door synchronisatie tussen tenants, hebben dezelfde ervaring bij het openen van Microsoft Teams en andere Microsoft 365-services als gebruikers van B2B-samenwerking die zijn gemaakt via een handmatige uitnodiging. Als uw organisatie gebruikmaakt van gedeelde kanalen, raadpleegt u het document met bekende problemen voor meer informatie. Na verloop van tijd wordt het member
userType gebruikt door de verschillende Microsoft 365-services om gedifferentieerde eindgebruikerservaringen te bieden voor gebruikers in een multitenant-organisatie.
Eigenschappen
Wanneer u synchronisatie tussen tenants configureert, definieert u een vertrouwensrelatie tussen een brontenant en een doeltenant. Synchronisatie tussen tenants heeft de volgende eigenschappen:
- Op basis van de Microsoft Entra-inrichtingsengine.
- Is een pushproces van de brontenant, niet een pull-proces van de doeltenant.
- Ondersteunt het pushen van alleen interne leden van de brontenant. Het biedt geen ondersteuning voor het synchroniseren van externe gebruikers vanuit de brontenant.
- Gebruikers binnen het bereik voor synchronisatie worden geconfigureerd in de brontenant.
- Kenmerktoewijzing wordt geconfigureerd in de brontenant.
- Extensiekenmerken worden ondersteund.
- Doeltenantbeheerders kunnen op elk gewenst moment een synchronisatie stoppen.
In de volgende tabel ziet u de onderdelen van synchronisatie tussen tenants en welke tenant ze zijn geconfigureerd.
Tenant | Meerdere tenants toegangsinstellingen |
Automatische inwisseling | Synchronisatie-instellingen configuratie |
Gebruikers binnen het bereik |
---|---|---|---|---|
Brontenant |
✔️ | ✔️ | ✔️ | |
Doeltenant |
✔️ | ✔️ |
Synchronisatie-instelling voor meerdere tenants
De synchronisatie-instelling voor meerdere tenants is een binnenkomende organisatie-instelling waarmee de beheerder van een brontenant gebruikers kan synchroniseren met een doeltenant. Deze instelling is een selectievakje met de naam Toestaan dat gebruikers worden gesynchroniseerd met deze tenant die is opgegeven in de doeltenant. Deze instelling heeft geen invloed op B2B-uitnodigingen die zijn gemaakt via andere processen, zoals handmatige uitnodiging of Microsoft Entra-rechtenbeheer.
Zie de Update crossTenantIdentitySyncPolicyPartner-API om deze instelling te configureren met Behulp van Microsoft Graph. Zie Synchronisatie tussen tenants configureren voor meer informatie.
Instelling voor automatisch inwisselen
De instelling voor automatisch inwisselen is een instelling voor binnenkomende en uitgaande organisatorische vertrouwensrelaties om uitnodigingen automatisch in te wisselen, zodat gebruikers de toestemmingsprompt niet hoeven te accepteren wanneer ze de eerste keer dat ze toegang hebben tot de resource/doeltenant. Deze instelling is een selectievakje met de volgende naam:
- Uitnodigingen automatisch inwisselen met de tenanttenant<>
Instelling voor verschillende scenario's vergelijken
De instelling voor automatische inwisseling is van toepassing op synchronisatie tussen tenants, B2B-samenwerking en B2B directe verbinding in de volgende situaties:
- Wanneer gebruikers worden gemaakt in een doeltenant met behulp van synchronisatie tussen tenants.
- Wanneer gebruikers worden toegevoegd aan een resourcetenant met B2B-samenwerking.
- Wanneer gebruikers toegang hebben tot resources in een resourcetenant met B2B direct connect.
In de volgende tabel ziet u hoe deze instelling zich verhoudt wanneer deze optie is ingeschakeld voor deze scenario's:
Artikel | Synchronisatie tussen tenants | B2B-samenwerking | B2B direct verbinden |
---|---|---|---|
Instelling voor automatisch inwisselen | Vereist | Optioneel | Optioneel |
Gebruikers ontvangen een uitnodigingsmail voor B2B-samenwerking | Nee | Nee | N.v.t. |
Gebruikers moeten een toestemmingsprompt accepteren | Nee | Nee | Nr. |
Gebruikers ontvangen een e-mailmelding voor B2B-samenwerking | Nr. | Ja | N.v.t. |
Deze instelling heeft geen invloed op ervaringen met toepassingstoestemming. Zie Toestemmingservaring voor toepassingen in Microsoft Entra ID voor meer informatie. Deze instelling wordt niet ondersteund voor organisaties in verschillende Microsoft-cloudomgevingen, zoals commerciële Azure-omgevingen en Azure Government.
Wanneer wordt toestemmingsprompt onderdrukt?
De instelling voor automatisch inwisselen onderdrukt alleen de toestemmingsprompt en uitnodigings-e-mail als zowel de basis-/brontenant (uitgaand) als de resource/doeltenant (inkomend) deze instelling controleert.
In de volgende tabel ziet u het gedrag van de toestemmingsprompt voor brontenantgebruikers wanneer de instelling voor automatische inwisseling wordt gecontroleerd op verschillende combinaties van toegangsinstellingen voor meerdere tenants.
Tenant voor thuisgebruik/bron | Resource/doeltenant | Gedrag van toestemmingsprompt voor gebruikers van brontenant |
---|---|---|
Uitgaand | Inkomend | |
Onderdrukt | ||
Niet onderdrukt | ||
Niet onderdrukt | ||
Niet onderdrukt | ||
Inkomend | Uitgaand | |
Niet onderdrukt | ||
Niet onderdrukt | ||
Niet onderdrukt | ||
Niet onderdrukt |
Zie de API CrossTenantAccessPolicyConfigurationPartner bijwerken om deze instelling te configureren met Behulp van Microsoft Graph. Zie Synchronisatie tussen tenants configureren voor meer informatie.
Hoe weten gebruikers tot welke tenants ze behoren?
Voor synchronisatie tussen tenants ontvangen gebruikers geen e-mail of moeten ze een toestemmingsprompt accepteren. Als gebruikers willen zien tot welke tenants ze behoren, kunnen ze hun pagina Mijn account openen en Organisaties selecteren. In het Microsoft Entra-beheercentrum kunnen gebruikers hun portalinstellingen openen, hun mappen en abonnementen bekijken en schakelen tussen mappen.
Zie Een organisatie verlaten als externe gebruiker voor meer informatie, inclusief privacyinformatie.
Aan de slag
Hier volgen de basisstappen om aan de slag te gaan met synchronisatie tussen tenants.
Stap 1: Definiëren hoe u de tenants in uw organisatie structuren
Synchronisatie tussen tenants biedt een flexibele oplossing om samenwerking mogelijk te maken, maar elke organisatie is anders. U hebt bijvoorbeeld een centrale tenant, satelliettenant of een soort mesh van tenants. Synchronisatie tussen tenants ondersteunt een van deze topologieën. Zie Topologieën voor synchronisatie tussen tenants voor meer informatie.
Stap 2: Synchronisatie tussen tenants inschakelen in de doeltenants
Ga in de doeltenant waar gebruikers worden gemaakt naar de pagina toegangsinstellingen voor meerdere tenants. Hier schakelt u synchronisatie tussen tenants en de instellingen voor automatische inwisseling van B2B in door de respectieve selectievakjes in te schakelen. Zie Synchronisatie tussen tenants configureren voor meer informatie.
Stap 3: Synchronisatie tussen tenants inschakelen in de brontenants
Ga in een brontenant naar de pagina toegangsinstellingen voor meerdere tenants en schakel de functie voor automatische inwisseling van B2B in. Vervolgens gebruikt u de synchronisatiepagina voor meerdere tenants om een synchronisatietaak voor meerdere tenants in te stellen en op te geven:
- Welke gebruikers u wilt synchroniseren
- Welke kenmerken u wilt opnemen
- Transformaties
Voor iedereen die Microsoft Entra ID heeft gebruikt om identiteiten in te richten in een SaaS-toepassing, is deze ervaring bekend. Zodra u synchronisatie hebt geconfigureerd, kunt u beginnen met testen met een paar gebruikers en ervoor zorgen dat ze worden gemaakt met alle kenmerken die u nodig hebt. Wanneer het testen is voltooid, kunt u snel extra gebruikers toevoegen om uw organisatie te synchroniseren en uit te rollen. Zie Synchronisatie tussen tenants configureren voor meer informatie.
Licentievereisten
In de brontenant: Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Elke gebruiker die wordt gesynchroniseerd met synchronisatie tussen tenants, moet een P1-licentie hebben in hun thuis-/brontenant. Zie Algemeen beschikbare functies van Microsoft Entra ID vergelijken als u een licentie zoekt die bij uw vereisten past.
In de doeltenant: synchronisatie tussen tenants is afhankelijk van het Microsoft Entra Externe ID factureringsmodel. Zie MAU-factureringsmodel voor Microsoft Entra Externe ID voor meer informatie over het licentiemodel voor externe identiteiten. U hebt ook ten minste één Microsoft Entra ID P1-licentie in de doeltenant nodig om automatisch inwisselen in te schakelen.
Veelgestelde vragen
Clouds
In welke clouds kan synchronisatie tussen tenants worden gebruikt?
- Synchronisatie tussen tenants wordt ondersteund in de commerciële cloud en Azure Government.
- Synchronisatie tussen tenants wordt niet ondersteund in de Microsoft Azure-cloud die wordt beheerd door de 21Vianet-cloud.
- Synchronisatie wordt alleen ondersteund tussen twee tenants in dezelfde cloud.
- Cross-cloud (zoals openbare cloud naar Azure Government) wordt momenteel niet ondersteund.
Bestaande B2B-gebruikers
Beheert synchronisatie tussen tenants bestaande B2B-gebruikers?
- Ja. Synchronisatie tussen tenants maakt gebruik van een intern kenmerk met de naam alternativeSecurityIdentifier om een interne gebruiker in de brontenant uniek te vinden met een externe/B2B-gebruiker in de doeltenant. Synchronisatie tussen tenants kan bestaande B2B-gebruikers bijwerken, zodat elke gebruiker slechts één account heeft.
- Synchronisatie tussen tenants kan niet overeenkomen met een interne gebruiker in de brontenant met een interne gebruiker in de doeltenant (zowel type lid als gast).
Synchronisatiefrequentie
Hoe vaak wordt synchronisatie tussen tenants uitgevoerd?
- Het synchronisatie-interval is momenteel vast om te beginnen met intervallen van 40 minuten. De synchronisatieduur varieert op basis van het aantal gebruikers binnen het bereik. De eerste synchronisatiecyclus duurt waarschijnlijk aanzienlijk langer dan de volgende incrementele synchronisatiecycli.
Bereik
Hoe kan ik bepalen wat er in de doeltenant wordt gesynchroniseerd?
- In de brontenant kunt u bepalen welke gebruikers worden ingericht met de configuratie- of kenmerkfilters. U kunt ook bepalen welke kenmerken van het gebruikersobject worden gesynchroniseerd. Zie Bereikgebruikers of groepen die moeten worden ingericht met bereikfilters voor meer informatie.
Als een gebruiker wordt verwijderd uit het synchronisatiebereik in een brontenant, worden deze door meerdere tenants voorlopig verwijderd in het doel?
- Ja. Als een gebruiker wordt verwijderd uit het synchronisatiebereik in een brontenant, worden deze door synchronisatie tussen tenants voorlopig verwijderd in de doeltenant.
Objecttypen
Welke objecttypen kunnen worden gesynchroniseerd?
- Microsoft Entra-gebruikers kunnen worden gesynchroniseerd tussen tenants. (Groepen, apparaten en contactpersonen worden momenteel niet ondersteund.)
Welke gebruikerstypen kunnen worden gesynchroniseerd?
- Interne leden kunnen worden gesynchroniseerd vanuit brontenants. Interne gasten kunnen niet worden gesynchroniseerd vanuit brontenants.
- Gebruikers kunnen worden gesynchroniseerd met doeltenants als externe leden (standaard) of externe gasten.
- Zie Eigenschappen van een Microsoft Entra B2B-samenwerkingsgebruiker voor meer informatie over de UserType-definities.
Ik heb bestaande B2B-samenwerkingsgebruikers. Wat gebeurt er met hen?
- Synchronisatie tussen tenants komt overeen met de gebruiker en brengt eventuele benodigde updates aan de gebruiker aan, zoals het bijwerken van de weergavenaam. Het UserType wordt standaard niet bijgewerkt van gast naar lid, maar u kunt dit configureren in de kenmerktoewijzingen.
Kenmerken
Welke gebruikerskenmerken kunnen worden gesynchroniseerd?
- Synchronisatie tussen tenants synchroniseert veelgebruikte kenmerken van het gebruikersobject in Microsoft Entra ID, waaronder (maar niet beperkt tot) displayName, userPrincipalName en kenmerken van directory-extensies.
- Synchronisatie tussen tenants ondersteunt het inrichten van het managerkenmerk in de commerciële cloud. Synchronisatie van manager wordt nog niet ondersteund in de Cloud van de Amerikaanse overheid. Zowel de gebruiker als de manager moet binnen het bereik van synchronisatie tussen tenants vallen om het managerkenmerk in te richten.
- Voor synchronisatieconfiguraties tussen tenants die na januari 2024 zijn gemaakt met het standaardschema/kenmerktoewijzingen:
- Het kenmerk Manager wordt automatisch toegevoegd aan de kenmerktoewijzingen.
- Managerupdates zijn van toepassing op de incrementele cyclus voor gebruikers die wijzigingen ondergaan (bijvoorbeeld wijziging van manager). De synchronisatie-engine werkt niet automatisch alle bestaande gebruikers bij die eerder zijn ingericht.
- Als u de manager wilt bijwerken voor bestaande gebruikers die binnen het bereik van inrichting vallen, kunt u inrichting op aanvraag gebruiken voor specifieke gebruikers of opnieuw opstarten om de manager in te richten voor alle gebruikers.
- Voor synchronisatieconfiguraties tussen tenants die vóór januari 2024 zijn gemaakt met een aangepast schema/kenmerktoewijzing (bijvoorbeeld: u hebt een kenmerk toegevoegd aan de toewijzingen of de standaardtoewijzingen gewijzigd):
- U moet het managerkenmerk toevoegen aan uw kenmerktoewijzingen. Hierdoor worden alle gebruikers die binnen het bereik voor inrichting vallen, opnieuw opgestart en bijgewerkt. Dit moet een directe toewijzing zijn van het kenmerk Manager in de brontenant aan de manager in de doeltenant.
- Als de manager van een gebruiker wordt verwijderd in de brontenant en er geen nieuwe manager wordt toegewezen in de brontenant, wordt het kenmerk Manager niet bijgewerkt in de doeltenant.
- Voor synchronisatieconfiguraties tussen tenants die na januari 2024 zijn gemaakt met het standaardschema/kenmerktoewijzingen:
Welke kenmerken kunnen niet worden gesynchroniseerd?
- Kenmerken, waaronder (maar niet beperkt tot) foto's, aangepaste beveiligingskenmerken en gebruikerskenmerken buiten de directory, kunnen niet worden gesynchroniseerd door synchronisatie tussen tenants.
Kan ik bepalen waar gebruikerskenmerken worden opgehaald/beheerd?
- Synchronisatie tussen tenants biedt geen directe controle over de bron van autoriteit. De gebruiker en de bijbehorende kenmerken worden als gezaghebbend beschouwd bij de brontenant. Er zijn parallelle bronnen van autoriteitswerkstromen die de bron van besturingselementen voor autoriteit ontwikkelen voor gebruikers tot het kenmerkniveau en een gebruikersobject op de bron kan uiteindelijk meerdere onderliggende bronnen weerspiegelen. Voor het tenant-naar-tenantproces wordt dit nog steeds behandeld als de waarden van de brontenant gezaghebbend zijn voor het synchronisatieproces (zelfs als stukken daadwerkelijk elders afkomstig zijn) in de doeltenant. Op dit moment is er geen ondersteuning voor het omkeren van de bron van het synchronisatieproces.
- Synchronisatie tussen tenants ondersteunt alleen de instantiebron op objectniveau. Dat betekent dat alle kenmerken van een gebruiker afkomstig moeten zijn van dezelfde bron, inclusief referenties. Het is niet mogelijk om de bron van autoriteit of federatierichting van een gesynchroniseerd object om te draaien.
Wat gebeurt er als kenmerken voor een gesynchroniseerde gebruiker worden gewijzigd in de doeltenant?
- Bij synchronisatie tussen tenants wordt geen query uitgevoerd op wijzigingen in het doel. Als er geen wijzigingen worden aangebracht aan de gesynchroniseerde gebruiker in de brontenant, blijven wijzigingen in het gebruikerskenmerk in de doeltenant behouden. Als er echter wijzigingen worden aangebracht aan de gebruiker in de brontenant, wordt tijdens de volgende synchronisatiecyclus de gebruiker in de doeltenant bijgewerkt zodat deze overeenkomt met de gebruiker in de brontenant.
Kan de doeltenant aanmelding handmatig blokkeren voor een specifieke gebruiker van een thuis-/brontenant die wordt gesynchroniseerd?
- Als er geen wijzigingen worden aangebracht aan de gesynchroniseerde gebruiker in de brontenant, blijft de instelling voor het blokkeren van aanmelding in de doeltenant behouden. Als er een wijziging wordt gedetecteerd voor de gebruiker in de brontenant, kan synchronisatie tussen tenants opnieuw worden uitgevoerd die gebruiker heeft geblokkeerd om zich aan te melden bij de doeltenant.
Structuur
Kan ik een mesh synchroniseren tussen meerdere tenants?
- Synchronisatie tussen tenants wordt geconfigureerd als een peer-to-peersynchronisatie in één richting, wat betekent dat synchronisatie wordt geconfigureerd tussen één bron en één doeltenant. Meerdere exemplaren van synchronisatie tussen tenants kunnen worden geconfigureerd om te synchroniseren van één bron naar meerdere doelen en van meerdere bronnen in één doel. Er kan echter slechts één synchronisatie-exemplaar bestaan tussen een bron en een doel.
- Synchronisatie tussen tenants synchroniseert alleen gebruikers die intern zijn met de basis-/brontenant, zodat u niet kunt eindigen met een lus waarin een gebruiker wordt teruggeschreven naar dezelfde tenant.
- Er worden meerdere topologieën ondersteund. Zie Topologieën voor synchronisatie tussen tenants voor meer informatie.
Kan ik synchronisatie tussen tenants gebruiken voor organisaties (buiten mijn multitenant-organisatie)?
- Om privacyredenen is synchronisatie tussen tenants bedoeld voor gebruik binnen een organisatie. We raden u aan rechtenbeheer te gebruiken voor het uitnodigen van B2B-samenwerkingsgebruikers in organisaties.
Kan synchronisatie tussen tenants worden gebruikt om gebruikers van de ene tenant naar een andere tenant te migreren?
- Nee Synchronisatie tussen tenants is geen hulpprogramma voor migratie, omdat de brontenant is vereist voor gesynchroniseerde gebruikers om te verifiëren. Bovendien moeten tenantmigraties gebruikersgegevens, zoals SharePoint en OneDrive, migreren.
B2B-samenwerking
Lost synchronisatie tussen tenants eventuele huidige B2B-samenwerkingsbeperkingen op?
Aangezien synchronisatie tussen tenants is gebaseerd op bestaande B2B-samenwerkingstechnologie, zijn bestaande beperkingen van toepassing. Voorbeelden zijn onder andere (maar zijn niet beperkt tot):
App of service Beperkingen Power BI - Ondersteuning voor UserType Member in Power BI is momenteel in preview. Zie Power BI-inhoud distribueren naar externe gastgebruikers met Microsoft Entra B2B voor meer informatie. Azure Virtual Desktop - Extern lid en externe gast worden niet ondersteund in Azure Virtual Desktop.
B2B direct verbinden
Hoe verhoudt synchronisatie tussen tenants zich tot B2B direct connect?
- B2B direct connect is de onderliggende identiteitstechnologie die vereist is voor gedeelde Teams Connect-kanalen.
- We raden B2B-samenwerking aan voor alle andere scenario's voor toegang tot toepassingen tussen tenants, waaronder zowel Microsoft- als niet-Microsoft-toepassingen.
- B2B directe verbinding en synchronisatie tussen tenants zijn ontworpen om samen te bestaan en u kunt ze beide inschakelen voor een brede dekking van scenario's voor meerdere tenants.
We proberen te bepalen in hoeverre we synchronisatie tussen tenants in onze multitenant-organisatie moeten gebruiken. Wilt u de ondersteuning voor B2B direct connect uitbreiden buiten Teams Connect?
- Er is geen plan om ondersteuning voor B2B direct connect uit te breiden buiten gedeelde Teams Connect-kanalen.
Microsoft 365
Verbetert synchronisatie tussen tenants alle gebruikerservaringen voor meerdere tenants voor Microsoft 365-apps?
- Synchronisatie tussen tenants maakt gebruik van een functie die de gebruikerservaring verbetert door het eerste B2B-toestemmingsprompt en het inwisselingsproces in elke tenant te onderdrukken.
- Gesynchroniseerde gebruikers hebben dezelfde Microsoft 365-ervaringen voor meerdere tenants die beschikbaar zijn voor elke andere B2B-samenwerkingsgebruiker.
Kan synchronisatie tussen tenants personen zoekscenario's inSchakelen in Microsoft 365?
- Ja, synchronisatie tussen tenants kan personen zoeken in M365 inschakelen. Zorg ervoor dat het kenmerk showInAddressList is ingesteld op True voor gebruikers in de doeltenant. Het kenmerk showInAddressList is standaard ingesteld op true in de kenmerktoewijzingen voor kruistenantsynchronisatie.
- Synchronisatie tussen tenants maakt B2B-samenwerkingsgebruikers en maakt geen contactpersonen.
Teams
Verbetert synchronisatie tussen tenants alle huidige Teams-ervaringen?
- Gesynchroniseerde gebruikers hebben dezelfde Microsoft 365-ervaringen voor meerdere tenants die beschikbaar zijn voor elke andere B2B-samenwerkingsgebruiker.
Integratie
Welke federatieopties worden ondersteund voor gebruikers in de doeltenant terug naar de brontenant?
- Voor elke interne gebruiker in de brontenant maakt synchronisatie tussen tenants een federatieve externe gebruiker (meestal gebruikt in B2B) in het doel. Het ondersteunt het synchroniseren van interne gebruikers. Dit omvat interne gebruikers die zijn gefedereerd aan andere identiteitssystemen met behulp van domeinfederatie (zoals Active Directory Federation Services). Het biedt geen ondersteuning voor het synchroniseren van externe gebruikers.
Maakt synchronisatie tussen tenants gebruik van System for Cross-domain Identity Management (SCIM)?
- Nee Momenteel ondersteunt Microsoft Entra ID een SCIM-client, maar geen SCIM-server. Zie SCIM-synchronisatie met Microsoft Entra ID voor meer informatie.
Inrichting ongedaan maken
Biedt synchronisatie tussen tenants ondersteuning voor het ongedaan maken van de inrichting van gebruikers?
Ja, wanneer de onderstaande acties plaatsvinden in de brontenant, wordt de gebruiker voorlopig verwijderd in de doeltenant.
- De gebruiker in de brontenant verwijderen
- De gebruiker intrekken uit de configuratie voor synchronisatie tussen tenants
- De gebruiker verwijderen uit een groep die is toegewezen aan de synchronisatieconfiguratie voor meerdere tenants
- Een kenmerk van de gebruiker verandert zodanig dat deze niet meer voldoet aan de bereikfiltervoorwaarden die zijn gedefinieerd in de configuratie voor synchronisatie tussen tenants
Als de gebruiker is geblokkeerd om zich aan te melden bij de brontenant (accountEnabled = false), kunnen ze zich niet aanmelden bij het doel. Dit is geen verwijdering, maar een bijgewerkte eigenschap accountEnabled.
Gebruikers worden in dit scenario niet voorlopig verwijderd uit de doeltenant:
- Voeg een gebruiker toe aan een groep en wijs deze toe aan de synchronisatieconfiguratie voor meerdere tenants in de brontenant.
- Richt de gebruiker op aanvraag of via de incrementele cyclus in.
- Werk de status ingeschakeld van het account bij naar onwaar voor de gebruiker in de brontenant.
- Richt de gebruiker op aanvraag of via de incrementele cyclus in. De status van het ingeschakelde account wordt gewijzigd in false in de doeltenant.
- Verwijder de gebruiker uit de groep in de brontenant.
Biedt synchronisatie tussen tenants ondersteuning voor het herstellen van gebruikers?
- Als de gebruiker in de brontenant wordt hersteld, opnieuw wordt toegewezen aan de app, voldoet aan de bereikvoorwaarde binnen 30 dagen na voorlopig verwijderen, wordt deze hersteld in de doeltenant.
- IT-beheerders kunnen de gebruiker ook handmatig herstellen in de doeltenant.
Hoe kan ik de inrichting van alle gebruikers die momenteel binnen het bereik van synchronisatie tussen tenants vallen ongedaan maken?
- Alle gebruikers of groepen intrekken uit de configuratie voor synchronisatie tussen tenants. Hiermee worden alle gebruikers geactiveerd die niet zijn toegewezen, hetzij rechtstreeks of via groepslidmaatschap, om de inrichting in volgende synchronisatiecycli ongedaan te maken. Houd er rekening mee dat de doeltenant het binnenkomende beleid voor synchronisatie moet ingeschakeld houden totdat de inrichting is voltooid. Als het bereik is ingesteld op Alle gebruikers en groepen synchroniseren, moet u het ook wijzigen in Alleen toegewezen gebruikers en groepen synchroniseren. De gebruikers worden automatisch voorlopig verwijderd door synchronisatie tussen tenants. De gebruikers worden na 30 dagen automatisch verwijderd of u kunt ervoor kiezen om de gebruikers rechtstreeks uit de doeltenant te verwijderen. U kunt ervoor kiezen om de gebruikers rechtstreeks in de doeltenant te verwijderen of 30 dagen te wachten totdat de gebruikers automatisch worden verwijderd.
Als de synchronisatierelatie is verbroken, worden externe gebruikers die eerder worden beheerd door synchronisatie tussen tenants, verwijderd in de doeltenant?
- Nee Er worden geen wijzigingen aangebracht aan de externe gebruikers die eerder worden beheerd door synchronisatie tussen tenants als de relatie wordt verbroken (bijvoorbeeld als het synchronisatiebeleid voor meerdere tenants wordt verwijderd).