Beperkingen in multitenant-organisaties
In dit artikel worden beperkingen beschreven waarmee u rekening moet houden wanneer u met multitenant-organisatiefunctionaliteit werkt in Microsoft Entra ID en Microsoft 365. Zie Microsoft Entra UserVoice voor meer informatie over hoe u feedback kunt geven over de functionaliteit van de multitenant-organisatie in UserVoice. We houden UserVoice nauwlettend in de gaten, zodat we de service kunnen verbeteren.
Bereik
De beperkingen die in dit artikel worden beschreven, hebben het volgende bereik.
| Omvang | Beschrijving |
|---|---|
| Binnen de scope | - Beperkingen voor Microsoft Entra-beheerders met betrekking tot multitenant-organisaties om vloeiende samenwerkingservaringen in nieuwe Microsoft Teams te ondersteunen, met wederzijds uitgeruste B2B-leden. - Beperkingen voor Microsoft Entra-beheerders met betrekking tot multitenant-organisaties ter ondersteuning van naadloze samenwerkingservaringen in Microsoft Viva Engage, met centraal beheerde B2B-leden. |
| Gerelateerde reikwijdte | - Microsoft 365-beheercentrum beperkingen met betrekking tot multitenant-organisaties - Zoekervaringen voor mensen in een Microsoft 365 multitenant-organisatie - Synchronisatiebeperkingen voor meerdere tenants met betrekking tot Microsoft 365 |
| Buiten bereik | - Synchronisatie tussen tenants die niet gerelateerd zijn aan Microsoft 365 - Eindgebruikerservaringen in nieuwe Teams - Eindgebruikerservaringen in Viva Engage - Huurdermigratie of huurderconsolidatie |
| Niet-ondersteunde scenario's | - Multitenant-organisaties in onderwijstenants met betrekking tot studentscenario's - Multitenant-organisaties in Microsoft 365 Government - Naadloze samenwerkingservaring in multitenant organisaties binnen klassieke Teams - Selfservice voor organisaties met meerdere tenants die groter zijn dan 100 tenants - Multitenant-organisaties in Azure Government of Microsoft Azure beheerd door 21Vianet - Multitenant-organisaties voor meerdere clouds |
Een multitenant-organisatie maken of eraan deelnemen met behulp van de Microsoft 365-beheercentrum
Nadat u een multitenant-organisatie in Microsoft 365-beheercentrum hebt gemaakt, ziet u dat in het Microsoft-beheercentrum configuraties voor synchronisatie tussen tenants zijn gemaakt met de namen
MTO_Sync_<TenantID>. Bewerk of wijzig de naam niet als u wilt dat Microsoft 365-beheercentrum de configuraties herkent als gemaakt en beheerd door Microsoft 365-beheercentrum.Synchronisatietaken die zijn gemaakt met Microsoft Entra-id, worden niet weergegeven in Microsoft 365-beheercentrum. Microsoft 365-beheercentrum geeft een Status van uitgaande synchronisatie van Niet geconfigureerd. Dit is normaal. Er is geen ondersteund patroon voor Microsoft 365-beheercentrum om controle te krijgen over synchronisatietaken tussen tenants die zijn gemaakt in het Microsoft Entra-beheercentrum.
Instellingen voor toegang tussen tenants
Synchronisatie tussen tenants in Microsoft Entra ID biedt geen ondersteuning voor het tot stand brengen van een configuratie voor synchronisatie tussen tenants voordat de betreffende tenant binnenkomende synchronisatie toestaat in hun instellingen voor identiteitssynchronisatie tussen tenants.
Het gebruik van de sjabloon voor cross-tenant toegang voor identiteitssynchronisatie wordt aangemoedigd voordat er meerdere tenants worden aangemaakt, waarbij
userSyncInboundis ingesteld op true.Op dezelfde manier wordt, voorafgaand aan het maken van een multitenant-organisatie, het gebruik van de sjabloon voor cross-tenant-toegangsinstellingen voor partnerconfiguraties aangemoedigd, waarbij
automaticUserConsentSettings.inboundAllowedenautomaticUserConsentSettings.outboundAllowedzijn ingesteld op "waar".
Verzoeken om lid te worden
Er zijn meerdere redenen waarom een joinaanvraag kan mislukken. Als de Microsoft 365-beheercentrum niet aangeeft waarom een joinaanvraag niet slaagt, controleert u het antwoord van de joinaanvraag met behulp van de Microsoft Graph API's of Microsoft Graph Explorer.
Als u de juiste volgorde hebt gevolgd om een multitenant-organisatie te maken en een tenant toe te voegen aan de multitenant-organisatie en de deelnameaanvraag van de toegevoegde tenant mislukt, dient u een ondersteuningsaanvraag in de Microsoft Entra of Microsoft 365-beheercentrum in.
Opties voor het inrichten van uw externe lidgebruikers
- Als u al Microsoft Entra-synchronisatie tussen tenants gebruikt voor verschillende multi-hub multi-spoke-topologieën, hoeft u de functionaliteit voor het delen van gebruikers in het Microsoft 365-beheercentrum niet te gebruiken. In plaats daarvan kan het gewenst zijn om door te gaan met het gebruik van uw bestaande cross-tenant synchronisatietaken van Microsoft Entra.
- Als u Microsoft Entra-synchronisatie tussen tenants nog niet eerder hebt gebruikt en u van plan bent een samenwerkende gebruikerssettopologie in te stellen waarbij dezelfde set gebruikers wordt gedeeld met alle tenants in de multitenant-organisatie, kunt u de functie 'gebruikers delen' in het Microsoft 365-beheercentrum gebruiken.
- Als u al uw eigen systeem voor het op grote schaal inrichten van gebruikers hebt, kunt u profiteren van de voordelen van een nieuwe multitenant-omgeving terwijl u uw eigen systeem blijft gebruiken om de levenscyclus van uw werknemers te beheren.
- Als u in een hosttenant afzonderlijke externe leden moet maken in plaats van ze te maken via een inrichtingsengine van een brontenant, raadpleeg dan de sectie Gebruikers maken, uitnodigen en verwijderen.
Synchronisatie tussen tenants in het Microsoft Entra-beheercentrum
Voor zakelijke organisaties met complexe identiteitsconfiguraties raden we u aan synchronisatie tussen tenants te gebruiken in het Microsoft Entra-beheercentrum.
Standaard worden nieuwe B2B-gebruikers ingericht als B2B-leden, terwijl bestaande B2B-gasten B2B-gasten blijven. U kunt ervoor kiezen om B2B-gasten om te zetten in B2B-leden door deze toewijzing in te stellen op Altijd.
showInAddressListStandaard wordt deze gesynchroniseerd in een doeltenant als waar. U kunt deze kenmerktoewijzing aanpassen aan de behoeften van uw organisatie.De voorziening van B2B-gebruikers op schaal kan botsen met contactobjecten. De verwerking of conversie van contactobjecten wordt momenteel niet ondersteund.
Het gebruik van synchronisatie tussen tenants om hybride identiteiten te targeten die zijn geconverteerd naar B2B-gebruikers, wordt momenteel niet ondersteund.
Gebruikers synchroniseren in Microsoft 365-beheercentrum
Voor kleinere organisaties met meerdere tenants raden we u aan om Microsoft 365-beheercentrum te gebruiken om gebruikers te synchroniseren met meerdere tenants van uw multitenant-organisatie.
Als u gebruikers wilt delen, Microsoft 365-beheercentrum meerdere synchronisatietaken voor meerdere tenants maakt, één per doeltenant, zodat hetzelfde gebruikersbereik voor alle taken wordt behouden.
Nadat het Microsoft 365-beheercentrum de synchronisatietaken voor meerdere tenants heeft gemaakt, kunt u kenmerktoewijzingen in het Microsoft Entra-beheercentrum aanpassen aan de behoeften van uw organisatie.
B2B-gasten of B2B-leden die worden beheerd in de host-tenant
De promotie van B2B-gasten aan B2B-leden vertegenwoordigt een strategische beslissing van multitenant-organisaties om B2B-leden als vertrouwde gebruikers van de organisatie te beschouwen. Controleer de standaardmachtigingen voor B2B-leden.
Naarmate uw organisatie de functionaliteit van meerdere tenants uitrolt, inclusief het inrichten van B2B-gebruikers in tenants van meerdere tenants van de organisatie, kunt u sommige gebruikers inrichten als B2B-gasten, terwijl u andere gebruikers als B2B-leden inricht.
Als u B2B-gasten wilt promoveren naar B2B-leden, kan een hosttenantbeheerder het userType wijzigen, ervan uitgaande dat de eigenschap niet herhaaldelijk wordt gesynchroniseerd.
B2B-gasten of B2B-leden die worden beheerd met behulp van synchronisatie tussen tenants
Als synchronisatie tussen tenants wordt gebruikt om de eigenschap userType herhaaldelijk te synchroniseren, kan een brontenantbeheerder de kenmerktoewijzingen wijzigen.
Mogelijk wilt u in de brontenant twee Microsoft Entra cross-tenant synchronisatieconfiguraties instellen: één met gebruikerstypekenmerktoewijzingen geconfigureerd als B2B-gast en een andere met gebruikerstypekenmerktoewijzingen geconfigureerd als B2B-lid, waarbij beide configuraties deze toewijzing hebben ingesteld op Altijd.
Door een gebruiker te verplaatsen van het bereik van de ene configuratie naar de andere, kunt u eenvoudig bepalen wie een B2B-gast of een B2B-lid in de doeltenant is. Als u deze methode gebruikt, wilt u mogelijk ook de doelobjectacties voor verwijderen uitschakelen.
Algemene adreslijst die wordt beheerd in de hosttenant
De eigenschap showInAddressList van een B2B-gebruiker kan worden bijgewerkt met gebruikersbeheerdersbevoegdheden in Microsoft Graph Explorer of Microsoft Graph PowerShell.
Als u de eigenschap showInAddressList op het gebruikersobject bijwerkt, wordt ook de instelling voor het verbergen van geadresseerden in adreslijsten in Microsoft Exchange Online bijgewerkt.
De instelling geadresseerden verbergen voor adreslijsten als deze anders is geconfigureerd dan de eigenschap showInAddressList, heeft voorrang bij het bepalen van de zichtbaarheid van de adreslijst.
Als de instelling 'geadresseerden verbergen' niet kan worden geconfigureerd in het Exchange-beheercentrum vanwege het gebruikerstype Gast, kan deze worden geconfigureerd in PowerShell met behulp van de eigenschap 'HiddenFromAddressListsEnabled'.
Zie Gasten toevoegen aan de algemene adreslijst voor meer informatie.
Globale adreslijst beheerd met behulp van synchronisatie tussen tenants
- Als synchronisatie tussen tenants wordt gebruikt om de eigenschap te synchroniseren, kan showInAddressList in een brontenant worden gebruikt om de zichtbaarheid van adressenlijsten in een doeltenant te beheren.
- Aan de andere kant, verberg de geadresseerde van adreslijsten in de brontenant niet om de zichtbaarheid van de adreslijst in een doeltenant te beïnvloeden.
Microsoft-apps
Wanneer u in SharePoint OneDrive-gebruikersinterfaces een bestand deelt met Personen in Fabrikam, zijn de huidige gebruikersinterfaces mogelijk contra-intuïtief, omdat B2B-leden in Fabrikam van Contoso tellen mee voor personen in Fabrikam.
In Microsoft 365-beheercentrum, Microsoft Forms, Microsoft OneNote en Microsoft Planner worden gebruikers van B2B-leden mogelijk niet ondersteund.
In Microsoft Power BI is ondersteuning voor B2B-leden momenteel beschikbaar als preview-versie. B2B-gastgebruikers kunnen toegang blijven krijgen tot Power BI-dashboards.
In Microsoft Power Apps, Microsoft Dynamics 365 en gerelateerde workloads hebben B2B-lidgebruikers mogelijk beperkte functionaliteit. Zie Gebruikers uitnodigen met Microsoft Entra B2B-samenwerking voor meer informatie.
In Microsoft Purview worden multitenant organisatie-mogelijkheden nog niet ondersteund. Meer informatie over bestaande functies voor externe gebruikers en gelabelde inhoud en over externe samenwerking met behulp van vertrouwelijkheidslabels.
In Microsoft Intune worden multitenantorganisatiemogelijkheden nog niet ondersteund. Meer informatie over bestaande functionaliteiten voor het vertrouwen in claims van externe organisaties over compatibele apparaten.
B2B-gebruikers of B2B-leden
Als onderdeel van een multitenant-organisatie is het opnieuw instellen van de inwisseling voor een al ingewisselde B2B-gebruiker momenteel uitgeschakeld.
Het provisioneren van B2B-gebruikers op grote schaal kan botsen met contactobjecten. De verwerking of conversie van contactobjecten wordt momenteel niet ondersteund.
Het gebruik van cross-tenant synchronisatie om hybride identiteiten te targeten die zijn geconverteerd naar B2B-gebruikers, is niet getest bij conflicten betreffende de bron van autoriteit en wordt niet ondersteund.
Ingelogde gebruikers kunnen basiskenmerken van een multitenant-organisatie en van de tenants van deze organisatie lezen, zonder dat ze rollen toegewezen hebben gekregen, zoals Security Reader of Global Reader.
Inrichting van synchronisatie tussen tenants ongedaan maken
Standaard, wanneer het inrichtingsbereik wordt beperkt terwijl een synchronisatietaak wordt uitgevoerd, vallen gebruikers buiten het bereik en worden ze voorlopig verwijderd, tenzij Doelobjectacties voor verwijderen is uitgeschakeld. Zie Deprovisioning en Definieer wie binnen het bereik voor provisioning valt voor meer informatie.
SkipOutOfScopeDeletions werkt momenteel voor toepassingsinrichtingstaken, maar niet voor synchronisatie tussen tenants. Als u wilt voorkomen dat gebruikers die buiten het bereik van synchronisatie tussen tenants vallen, zacht worden verwijderd, stelt u Acties voor doelobjecten bij verwijderen in op uitgeschakeld.