Co to jest synchronizacja między dzierżawami?
Synchronizacja między dzierżawami automatyzuje tworzenie, aktualizowanie i usuwanie użytkowników współpracy firmy Microsoft Entra B2B między dzierżawami w organizacji. Umożliwia użytkownikom uzyskiwanie dostępu do aplikacji i współpracę między dzierżawami, a jednocześnie umożliwia rozwijanie organizacji.
Poniżej przedstawiono podstawowe cele synchronizacji między dzierżawami:
- Bezproblemowa współpraca w organizacji wielodostępnej
- Automatyzowanie zarządzania cyklem życia użytkowników współpracy B2B w organizacji wielodostępnej
- Automatyczne usuwanie kont B2B po opuszczeniu organizacji przez użytkownika
Dlaczego warto używać synchronizacji między dzierżawami?
Synchronizacja między dzierżawami automatyzuje tworzenie, aktualizowanie i usuwanie użytkowników współpracy B2B. Użytkownicy utworzoni za pomocą synchronizacji między dzierżawami mogą uzyskiwać dostęp do aplikacji firmy Microsoft (takich jak Teams i SharePoint) oraz aplikacji innych niż Microsoft (takich jak ServiceNow, Adobe i wiele innych), niezależnie od tego, z którą dzierżawą są zintegrowane aplikacje. Ci użytkownicy nadal korzystają z funkcji zabezpieczeń w usłudze Microsoft Entra ID, takich jak dostęp warunkowy firmy Microsoft Entra i ustawienia dostępu między dzierżawami, i mogą podlegać funkcjom, takim jak zarządzanie upoważnieniami firmy Microsoft Entra.
Na poniższym diagramie pokazano, jak można używać synchronizacji między dzierżawami, aby umożliwić użytkownikom dostęp do aplikacji w różnych dzierżawach w organizacji.
Kto powinien używać?
- Organizacje, które są właścicielami wielu dzierżaw firmy Microsoft Entra i chcą usprawnić dostęp między dzierżawami w organizacji.
- Synchronizacja między dzierżawami nie jest obecnie odpowiednia do użycia w granicach organizacji.
Świadczenia
Synchronizacja między dzierżawami umożliwia wykonanie następujących czynności:
- Automatycznie twórz użytkowników współpracy B2B w organizacji i udostępniaj im dostęp do potrzebnych aplikacji bez tworzenia i obsługi skryptów niestandardowych.
- Popraw środowisko użytkownika i upewnij się, że użytkownicy mogą uzyskiwać dostęp do zasobów bez otrzymywania wiadomości e-mail z zaproszeniem i konieczności zaakceptowania monitu o zgodę w każdej dzierżawie.
- Automatycznie aktualizuj użytkowników i usuwaj ich po opuszczeniu organizacji.
Teams i Microsoft 365
Użytkownicy utworzoni przez synchronizację między dzierżawami będą mieli takie samo środowisko podczas uzyskiwania dostępu do usługi Microsoft Teams i innych usług Platformy Microsoft 365, jak użytkownicy współpracy B2B utworzone za pośrednictwem ręcznego zaproszenia. Jeśli Organizacja korzysta z kanałów udostępnionych, zapoznaj się ze znanymi problemami , aby uzyskać dodatkowe informacje. W czasie member
typ użytkownika będzie używany przez różne usługi platformy Microsoft 365 w celu zapewnienia zróżnicowanych środowisk użytkownika końcowego dla użytkowników w organizacji wielodostępnej.
Właściwości
Podczas konfigurowania synchronizacji między dzierżawami należy zdefiniować relację zaufania między dzierżawą źródłową a dzierżawą docelową. Synchronizacja między dzierżawami ma następujące właściwości:
- Na podstawie aparatu aprowizacji firmy Microsoft.
- To proces wypychania z dzierżawy źródłowej, a nie proces ściągania z dzierżawy docelowej.
- Obsługuje wypychanie tylko członków wewnętrznych z dzierżawy źródłowej. Nie obsługuje synchronizowania użytkowników zewnętrznych z dzierżawy źródłowej.
- Użytkownicy w zakresie synchronizacji są skonfigurowani w dzierżawie źródłowej.
- Mapowanie atrybutów jest konfigurowane w dzierżawie źródłowej.
- Atrybuty rozszerzenia są obsługiwane.
- Administratorzy dzierżawy docelowej mogą w dowolnym momencie zatrzymać synchronizację.
W poniższej tabeli przedstawiono części synchronizacji między dzierżawami i dzierżawy, które zostały skonfigurowane.
Dzierżawa | Między dzierżawami ustawienia dostępu |
Automatyczne wykup | Ustawienia synchronizacji konfiguracja |
Użytkownicy w zakresie |
---|---|---|---|---|
Dzierżawa źródłowa |
✔️ | ✔️ | ✔️ | |
Dzierżawa docelowa |
✔️ | ✔️ |
Ustawienie synchronizacji między dzierżawami
Ustawienie synchronizacji między dzierżawami jest ustawieniem organizacyjnym tylko dla ruchu przychodzącego, aby umożliwić administratorowi dzierżawy źródłowej synchronizowanie użytkowników z dzierżawą docelową. To ustawienie jest polem wyboru o nazwie Zezwalaj użytkownikom na synchronizację z tą dzierżawą określoną w dzierżawie docelowej. To ustawienie nie ma wpływu na zaproszenia B2B utworzone za pośrednictwem innych procesów, takich jak ręczne zaproszenie lub zarządzanie upoważnieniami firmy Microsoft Entra.
Aby skonfigurować to ustawienie przy użyciu programu Microsoft Graph, zobacz interfejs API Update crossTenantIdentitySyncPolicyPartner . Aby uzyskać więcej informacji, zobacz Konfigurowanie synchronizacji między dzierżawami.
Ustawienie automatycznego wykupu
Ustawienie automatycznego realizacji jest ustawieniem zaufania organizacji dla ruchu przychodzącego i wychodzącego, aby automatycznie zrealizować zaproszenia, dzięki czemu użytkownicy nie muszą akceptować monitu o wyrażenie zgody przy pierwszym uzyskiwaniu dostępu do dzierżawy zasobu/celu. To ustawienie jest polem wyboru o następującej nazwie:
- Automatyczne realizowanie zaproszeń w dzierżawie dzierżawy<>
Porównanie ustawień dla różnych scenariuszy
Ustawienie automatycznego realizacji dotyczy synchronizacji między dzierżawami, współpracy B2B i bezpośredniego połączenia B2B w następujących sytuacjach:
- Po utworzeniu użytkowników w dzierżawie docelowej przy użyciu synchronizacji między dzierżawami.
- Gdy użytkownicy są dodawani do dzierżawy zasobów przy użyciu współpracy B2B.
- Gdy użytkownicy uzyskują dostęp do zasobów w dzierżawie zasobów przy użyciu bezpośredniego połączenia B2B.
W poniższej tabeli pokazano, jak to ustawienie jest porównywane w przypadku włączenia dla tych scenariuszy:
Towar | Synchronizacja między dzierżawami | Współpraca B2B | Bezpośrednie połączenie B2B |
---|---|---|---|
Ustawienie automatycznego wykupu | Wymagania | Opcjonalnie | Opcjonalnie |
Użytkownicy otrzymują wiadomość e-mail z zaproszeniem do współpracy B2B | Nie | Nie | Nie dotyczy |
Użytkownicy muszą zaakceptować monit o wyrażenie zgody | Nie | Nie | Nie |
Użytkownicy otrzymują wiadomość e-mail z powiadomieniem o współpracy B2B | Nie | Tak | Nie dotyczy |
To ustawienie nie ma wpływu na środowiska zgody aplikacji. Aby uzyskać więcej informacji, zobacz Środowisko wyrażania zgody dla aplikacji w usłudze Microsoft Entra ID. To ustawienie nie jest obsługiwane w przypadku organizacji w różnych środowiskach chmury firmy Microsoft, takich jak platforma Azure komercyjna i platforma Azure Government.
Kiedy monit o wyrażenie zgody jest pomijany?
Ustawienie automatycznego realizacji spowoduje pominięcie monitu o wyrażenie zgody i wiadomości e-mail z zaproszeniem, jeśli to ustawienie sprawdza zarówno dzierżawa domowa/źródłowa (wychodząca), jak i dzierżawa/docelowa (ruch przychodzący).
W poniższej tabeli przedstawiono zachowanie monitu o wyrażenie zgody dla użytkowników dzierżawy źródłowej, gdy ustawienie automatycznego realizacji jest sprawdzane pod kątem różnych kombinacji ustawień dostępu między dzierżawami.
Dzierżawa główna/źródłowa | Dzierżawa zasobów/docelowa | Zachowanie monitu o wyrażenie zgody dla użytkowników dzierżawy źródłowej |
---|---|---|
Wychodzące | Przychodzące | |
Pomijane | ||
Nie pominięto | ||
Nie pominięto | ||
Nie pominięto | ||
Przychodzące | Wychodzące | |
Nie pominięto | ||
Nie pominięto | ||
Nie pominięto | ||
Nie pominięto |
Aby skonfigurować to ustawienie przy użyciu programu Microsoft Graph, zobacz interfejs API Update crossTenantAccessPolicyConfigurationPartner . Aby uzyskać więcej informacji, zobacz Konfigurowanie synchronizacji między dzierżawami.
Jak użytkownicy wiedzą, do jakich dzierżaw należą?
W przypadku synchronizacji między dzierżawami użytkownicy nie otrzymują wiadomości e-mail ani nie muszą akceptować monitu o zgodę. Jeśli użytkownicy chcą zobaczyć, do jakich dzierżaw należą, mogą otworzyć stronę Moje konto i wybrać pozycję Organizacje. W centrum administracyjnym firmy Microsoft Entra użytkownicy mogą otwierać ustawienia portalu, wyświetlać katalogi i subskrypcje oraz przełączać katalogi.
Aby uzyskać więcej informacji, w tym informacje o ochronie prywatności, zobacz Leave an organization as an external user (Opuszczanie organizacji jako użytkownik zewnętrzny).
Rozpocznij
Poniżej przedstawiono podstawowe kroki umożliwiające rozpoczęcie korzystania z synchronizacji między dzierżawami.
Krok 1. Definiowanie struktury dzierżaw w organizacji
Synchronizacja między dzierżawami zapewnia elastyczne rozwiązanie umożliwiające współpracę, ale każda organizacja jest inna. Na przykład możesz mieć dzierżawę centralną, dzierżawę satelitarną lub rodzaj siatki dzierżaw. Synchronizacja między dzierżawami obsługuje dowolną z tych topologii. Aby uzyskać więcej informacji, zobacz Topologies for cross-tenant synchronization (Topologie synchronizacji między dzierżawami).
Krok 2. Włączanie synchronizacji między dzierżawami w dzierżawach docelowych
W dzierżawie docelowej, w której są utworzeni użytkownicy, przejdź do strony Ustawienia dostępu między dzierżawami. W tym miejscu włączysz synchronizację między dzierżawami i ustawienia automatycznego realizacji B2B, zaznaczając odpowiednie pola wyboru. Aby uzyskać więcej informacji, zobacz Konfigurowanie synchronizacji między dzierżawami.
Krok 3. Włączanie synchronizacji między dzierżawami w dzierżawach źródłowych
W dowolnej dzierżawie źródłowej przejdź do strony ustawień dostępu między dzierżawami i włącz funkcję automatycznego realizacji B2B. Następnie użyj strony synchronizacji między dzierżawami, aby skonfigurować zadanie synchronizacji między dzierżawami i określić:
- Którzy użytkownicy, których chcesz zsynchronizować
- Jakie atrybuty chcesz uwzględnić
- Wszelkie przekształcenia
Dla każdego, kto użył identyfikatora Entra firmy Microsoft do aprowizowania tożsamości w aplikacji SaaS, to środowisko będzie znane. Po skonfigurowaniu synchronizacji możesz rozpocząć testowanie z kilkoma użytkownikami i upewnić się, że są one tworzone przy użyciu wszystkich potrzebnych atrybutów. Po zakończeniu testowania możesz szybko dodać dodatkowych użytkowników, aby synchronizować i wdrażać w całej organizacji. Aby uzyskać więcej informacji, zobacz Konfigurowanie synchronizacji między dzierżawami.
Wymagania dotyczące licencji
W dzierżawie źródłowej: korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Każdy użytkownik, który jest synchronizowany z synchronizacją między dzierżawami, musi mieć licencję P1 w swojej dzierżawie macierzystej/źródłowej. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Microsoft Entra ID.
W dzierżawie docelowej: synchronizacja między dzierżawami opiera się na modelu rozliczeń Tożsamość zewnętrzna Microsoft Entra. Aby zrozumieć model licencjonowania tożsamości zewnętrznych, zobacz Model rozliczeń usługi MAU dla Tożsamość zewnętrzna Microsoft Entra. Do włączenia automatycznego realizacji potrzebna będzie również co najmniej jedna licencja microsoft Entra ID P1 w dzierżawie docelowej.
Często zadawane pytania
Chmury
W których chmurach można używać synchronizacji między dzierżawami?
- Synchronizacja między dzierżawami jest obsługiwana w chmurze komercyjnej i w usłudze Azure Government.
- Synchronizacja między dzierżawami nie jest obsługiwana w ramach platformy Microsoft Azure obsługiwanej przez chmurę 21Vianet.
- Synchronizacja jest obsługiwana tylko pomiędzy dwoma dzierżawcami w tej samej chmurze Azure. Aby uzyskać informacje na temat relacji między środowiskami chmury Azure a Microsoft 365 (GCC, GCCH), zobacz integrację z Microsoft 365. Synchronizacja między wersją komercyjną a GCC jest obsługiwana.
- Chmura między chmurami (takimi jak chmura publiczna do platformy Azure Government) nie jest obecnie obsługiwana.
Istniejący użytkownicy B2B
Czy synchronizacja między dzierżawami będzie zarządzać istniejącymi użytkownikami B2B?
- Tak. Synchronizacja między dzierżawami używa atrybutu wewnętrznego o nazwie alternativeSecurityIdentifier, aby jednoznacznie dopasować użytkownika wewnętrznego w dzierżawie źródłowej z użytkownikiem zewnętrznym /B2B w dzierżawie docelowej. Synchronizacja między dzierżawami może aktualizować istniejących użytkowników B2B, zapewniając, że każdy użytkownik ma tylko jedno konto.
- Synchronizacja między dzierżawami nie może być zgodna z użytkownikiem wewnętrznym w dzierżawie źródłowej z użytkownikiem wewnętrznym w dzierżawie docelowej (zarówno członek typu, jak i gość typu).
Częstotliwość synchronizacji
Jak często jest uruchamiana synchronizacja między dzierżawami?
- Interwał synchronizacji jest obecnie stały, aby rozpoczynać się od 40-minutowych interwałów. Czas trwania synchronizacji różni się w zależności od liczby użytkowników w zakresie. Początkowy cykl synchronizacji może trwać znacznie dłużej niż następujące cykle synchronizacji przyrostowej.
Scope
Jak mogę kontrolować, co jest synchronizowane z dzierżawą docelową?
- W dzierżawie źródłowej można kontrolować, którzy użytkownicy są aprowizowani za pomocą filtrów konfiguracji lub opartych na atrybutach. Można również kontrolować, jakie atrybuty obiektu użytkownika są synchronizowane. Aby uzyskać więcej informacji, zobacz Określanie zakresu użytkowników lub grup do aprowizacji przy użyciu filtrów określania zakresu.
Jeśli użytkownik zostanie usunięty z zakresu synchronizacji w dzierżawie źródłowej, czy synchronizacja między dzierżawami nietrwała zostanie usunięta w obiekcie docelowym?
- Tak. Jeśli użytkownik zostanie usunięty z zakresu synchronizacji w dzierżawie źródłowej, synchronizacja między dzierżawami nietrwała spowoduje usunięcie ich w dzierżawie docelowej.
Typy obiektów
Jakie typy obiektów można zsynchronizować?
- Użytkownicy firmy Microsoft Entra mogą być synchronizowani między dzierżawami. (Grupy, urządzenia i kontakty nie są obecnie obsługiwane).
Jakie typy użytkowników można synchronizować?
- Członkowie wewnętrzni mogą być synchronizowani z dzierżaw źródłowych. Goście wewnętrzni nie mogą być synchronizowani z dzierżaw źródłowych.
- Użytkownicy mogą być synchronizowani z dzierżawami docelowymi jako członkowie zewnętrzni (ustawienie domyślne) lub goście zewnętrzni.
- Aby uzyskać więcej informacji na temat definicji UserType, zobacz Właściwości użytkownika współpracy firmy Microsoft Entra B2B.
Mam istniejących użytkowników współpracy B2B. Co się z nimi stanie?
- Synchronizacja między dzierżawami będzie zgodna z użytkownikiem i wprowadzi wszelkie niezbędne aktualizacje dla użytkownika, takie jak aktualizacja nazwy wyświetlanej. Domyślnie typ użytkownika nie zostanie zaktualizowany z gościa do elementu członkowskiego, ale można go skonfigurować w mapowaniach atrybutów.
Atrybuty
Jakie atrybuty użytkownika można zsynchronizować?
- Synchronizacja między dzierżawami synchronizuje powszechnie używane atrybuty obiektu użytkownika w identyfikatorze Entra firmy Microsoft, w tym (ale nie tylko) displayName, userPrincipalName i atrybuty rozszerzenia katalogu.
- Synchronizacja między dzierżawami obsługuje aprowizowanie atrybutu menedżera w chmurze komercyjnej. Synchronizacja menedżera nie jest jeszcze obsługiwana w chmurze dla instytucji rządowych USA. Zarówno użytkownik, jak i menedżer muszą należeć do zakresu synchronizacji między dzierżawami, aby aprowizować atrybut menedżera.
- W przypadku konfiguracji synchronizacji między dzierżawami utworzonych po styczniu 2024 r. z domyślnym schematem/mapowaniami atrybutów:
- Atrybut menedżera zostanie automatycznie dodany do mapowań atrybutów.
- Aktualizacje menedżera będą stosowane w cyklu przyrostowym dla użytkowników, którzy przechodzą zmiany (np. zmiana menedżera). Aparat synchronizacji nie aktualizuje automatycznie wszystkich istniejących użytkowników, którzy zostali wcześniej zaaprowizowani.
- Aby zaktualizować menedżera dla istniejących użytkowników, którzy mają zakres aprowizacji, można użyć aprowizacji na żądanie dla określonych użytkowników lub wykonać ponowne uruchomienie, aby aprowizować menedżera dla wszystkich użytkowników.
- W przypadku konfiguracji synchronizacji między dzierżawami utworzonych przed styczniem 2024 r. za pomocą niestandardowych mapowań schematu/atrybutu (np. dodano atrybut do mapowań lub zmieniono domyślne mapowania):
- Należy dodać atrybut menedżera do mapowań atrybutów. Spowoduje to wyzwolenie ponownego uruchomienia i zaktualizowanie wszystkich użytkowników, którzy znajdują się w zakresie aprowizacji. Powinno to być bezpośrednie mapowanie atrybutu menedżera w dzierżawie źródłowej do menedżera w dzierżawie docelowej.
- Jeśli menedżer użytkownika zostanie usunięty w dzierżawie źródłowej i nie zostanie przypisany nowy menedżer w dzierżawie źródłowej, atrybut menedżera nie zostanie zaktualizowany w dzierżawie docelowej.
- W przypadku konfiguracji synchronizacji między dzierżawami utworzonych po styczniu 2024 r. z domyślnym schematem/mapowaniami atrybutów:
Jakich atrybutów nie można zsynchronizować?
- Atrybuty obejmujące (ale nie tylko) zdjęcia, niestandardowe atrybuty zabezpieczeń i atrybuty użytkownika poza katalogiem nie mogą być synchronizowane przez synchronizację między dzierżawami.
Czy mogę kontrolować, gdzie atrybuty użytkownika są źródłowe/zarządzane?
- Synchronizacja między dzierżawami nie zapewnia bezpośredniej kontroli nad źródłem urzędu. Użytkownik i jego atrybuty są uznawane za autorytatywne w dzierżawie źródłowej. Istnieją równoległe źródła strumieni roboczych urzędu, które ewoluują źródło kontroli urzędu dla użytkowników na poziomie atrybutu, a obiekt użytkownika w źródle może ostatecznie odzwierciedlać wiele źródłowych źródeł. W przypadku procesu dzierżawy do dzierżawy nadal jest to traktowane jako wartości dzierżawy źródłowej autorytatywne dla procesu synchronizacji (nawet jeśli elementy rzeczywiście pochodzą z innego miejsca) do dzierżawy docelowej. Obecnie nie ma obsługi odwrócenia źródła urzędu procesu synchronizacji.
- Synchronizacja między dzierżawami obsługuje tylko źródło urzędu na poziomie obiektu. Oznacza to, że wszystkie atrybuty użytkownika muszą pochodzić z tego samego źródła, w tym poświadczeń. Nie można odwrócić źródła urzędu ani kierunku federacji zsynchronizowanego obiektu.
Co się stanie, jeśli atrybuty zsynchronizowanego użytkownika zostaną zmienione w dzierżawie docelowej?
- Synchronizacja między dzierżawami nie wysyła zapytań dotyczących zmian w obiekcie docelowym. Jeśli nie zostaną wprowadzone żadne zmiany dla zsynchronizowanego użytkownika w dzierżawie źródłowej, zmiany atrybutu użytkownika wprowadzone w dzierżawie docelowej będą utrwalane. Jeśli jednak zmiany zostaną wprowadzone dla użytkownika w dzierżawie źródłowej, podczas następnego cyklu synchronizacji użytkownik w dzierżawie docelowej zostanie zaktualizowany tak, aby był zgodny z użytkownikiem w dzierżawie źródłowej.
Czy dzierżawa docelowa może ręcznie zablokować logowanie dla określonego użytkownika dzierżawy macierzystej/źródłowej, który jest synchronizowany?
- Jeśli nie zostaną wprowadzone żadne zmiany dla zsynchronizowanego użytkownika w dzierżawie źródłowej, ustawienie blokuj logowanie w dzierżawie docelowej będzie utrwalane. Jeśli zostanie wykryta zmiana dla użytkownika w dzierżawie źródłowej, synchronizacja między dzierżawami spowoduje ponowne włączenie tego użytkownika zablokowanego podczas logowania się w dzierżawie docelowej.
Struktura
Czy mogę zsynchronizować siatkę między wieloma dzierżawami?
- Synchronizacja między dzierżawami jest skonfigurowana jako synchronizacja równorzędna w jednym kierunku, co oznacza, że synchronizacja jest skonfigurowana między jednym źródłem a jedną dzierżawą docelową. Wiele wystąpień synchronizacji między dzierżawami można skonfigurować do synchronizacji z jednego źródła do wielu obiektów docelowych i z wielu źródeł do jednego miejsca docelowego. Jednak tylko jedno wystąpienie synchronizacji może istnieć między źródłem a obiektem docelowym.
- Synchronizacja między dzierżawami synchronizuje tylko użytkowników wewnętrznych z dzierżawą główną/źródłową, dzięki czemu nie można utworzyć pętli, w której użytkownik jest zapisywany z powrotem w tej samej dzierżawie.
- Obsługiwane są wiele topologii. Aby uzyskać więcej informacji, zobacz Topologies for cross-tenant synchronization (Topologie synchronizacji między dzierżawami).
Czy można używać synchronizacji między dzierżawami w organizacjach (poza moją organizacją wielodostępną)?
- Ze względu na prywatność synchronizacja między dzierżawami jest przeznaczona do użytku w organizacji. Zalecamy używanie zarządzania upoważnieniami do zapraszania użytkowników współpracy B2B w organizacjach.
Czy synchronizacja między dzierżawami może służyć do migrowania użytkowników z jednej dzierżawy do innej dzierżawy?
- L.p. Synchronizacja między dzierżawami nie jest narzędziem migracji, ponieważ dzierżawa źródłowa jest wymagana do uwierzytelniania zsynchronizowanych użytkowników. Ponadto migracje dzierżaw wymagałyby migrowania danych użytkowników, takich jak SharePoint i OneDrive.
Współpraca B2B
Czy synchronizacja między dzierżawami rozwiązuje wszelkie obecne ograniczenia współpracy B2B?
Ponieważ synchronizacja między dzierżawami jest oparta na istniejącej technologii współpracy B2B, obowiązują istniejące ograniczenia. Przykłady obejmują (ale nie są ograniczone do):
Aplikacja lub usługa Ograniczenia Power BI — Obsługa elementu członkowskiego UserType w usłudze Power BI jest obecnie dostępna w wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz Dystrybucja zawartości usługi Power BI do zewnętrznych użytkowników-gości za pomocą usługi Microsoft Entra B2B. Azure Virtual Desktop — Zewnętrzny członek i zewnętrzny gość nie są obsługiwane w usłudze Azure Virtual Desktop.
Bezpośrednie połączenie B2B
Jak synchronizacja między dzierżawami jest powiązana z bezpośrednim połączeniem B2B?
- Bezpośrednie połączenie B2B to podstawowa technologia tożsamości wymagana dla kanałów udostępnionych Komunikacja w Teams.
- Zalecamy współpracę B2B dla wszystkich innych scenariuszy dostępu do aplikacji między dzierżawami, w tym aplikacji firmy Microsoft i innych firm.
- Bezpośrednie łączenie B2B i synchronizacja między dzierżawami są przeznaczone do współistnienia i można je włączyć zarówno dla szerokiego zakresu scenariuszy między dzierżawami.
Staramy się określić zakres, w jakim będziemy musieli korzystać z synchronizacji między dzierżawami w naszej organizacji wielodostępnej. Czy planujesz rozszerzyć obsługę połączeń bezpośrednich B2B poza Komunikacja w Teams?
- Nie ma planu rozszerzenia obsługi połączeń bezpośrednich B2B poza Komunikacja w Teams udostępnionych kanałów.
Microsoft 365
Czy synchronizacja między dzierżawami zwiększa środowisko użytkownika dostępu do aplikacji platformy Microsoft 365 między dzierżawami?
- Synchronizacja między dzierżawami korzysta z funkcji poprawiającej środowisko użytkownika przez pomijanie pierwszego monitu o wyrażenie zgody B2B i procesu realizacji w każdej dzierżawie.
- Zsynchronizowani użytkownicy będą mieć te same środowiska między dzierżawami platformy Microsoft 365 dostępne dla dowolnego innego użytkownika współpracy B2B.
Czy synchronizacja między dzierżawami umożliwia scenariusze wyszukiwania osób na platformie Microsoft 365?
- Tak, synchronizacja między dzierżawami umożliwia wyszukiwanie osób w usłudze M365. Upewnij się, że atrybut showInAddressList ma wartość True dla użytkowników w dzierżawie docelowej. Atrybut showInAddressList jest domyślnie ustawiony na wartość true w mapowaniach atrybutów synchronizacji między dzierżawami.
- Synchronizacja między dzierżawami tworzy użytkowników współpracy B2B i nie tworzy kontaktów.
Teams
Czy synchronizacja między dzierżawami zwiększa bieżące środowiska usługi Teams?
- Zsynchronizowani użytkownicy będą mieć te same środowiska między dzierżawami platformy Microsoft 365 dostępne dla dowolnego innego użytkownika współpracy B2B.
Integracja
Jakie opcje federacji są obsługiwane dla użytkowników w dzierżawie docelowej z powrotem do dzierżawy źródłowej?
- Dla każdego użytkownika wewnętrznego w dzierżawie źródłowej synchronizacja między dzierżawami tworzy federacyjnego użytkownika zewnętrznego (często używanego w usłudze B2B) w obiekcie docelowym. Obsługuje synchronizowanie użytkowników wewnętrznych. Obejmuje to użytkowników wewnętrznych federacyjnych z innymi systemami tożsamości przy użyciu federacji domeny (takich jak Usługi federacyjne Active Directory). Nie obsługuje synchronizowania użytkowników zewnętrznych.
Czy synchronizacja między dzierżawami używa systemu do zarządzania tożsamościami między domenami (SCIM)?
- L.p. Obecnie identyfikator Entra firmy Microsoft obsługuje klienta SCIM, ale nie serwera SCIM. Aby uzyskać więcej informacji, zobacz Synchronizacja SCIM z identyfikatorem Entra firmy Microsoft.
Anulowanie aprowizacji
Czy synchronizacja między dzierżawami obsługuje anulowanie aprowizacji użytkowników?
Tak, gdy w dzierżawie źródłowej wystąpią poniższe akcje, użytkownik zostanie usunięty nietrwale w dzierżawie docelowej.
- Usuwanie użytkownika w dzierżawie źródłowej
- Anulowanie przypisania użytkownika z konfiguracji synchronizacji między dzierżawami
- Usuwanie użytkownika z grupy przypisanej do konfiguracji synchronizacji między dzierżawami
- Atrybut użytkownika zmienia się tak, że nie spełnia już warunków filtrowania określania zakresu zdefiniowanych w konfiguracji synchronizacji między dzierżawami
Jeśli użytkownik nie może zalogować się w dzierżawie źródłowej (accountEnabled = false), nie będzie mógł zalogować się w lokalizacji docelowej. Nie jest to usunięcie, ale zaktualizowana do właściwości accountEnabled.
Użytkownicy nie są nietrwale usuwani z dzierżawy docelowej w tym scenariuszu:
- Dodaj użytkownika do grupy i przypisz go do konfiguracji synchronizacji między dzierżawami w dzierżawie źródłowej.
- Aprowizuj użytkownika na żądanie lub za pomocą cyklu przyrostowego.
- Zaktualizuj stan włączonego konta na wartość false dla użytkownika w dzierżawie źródłowej.
- Aprowizuj użytkownika na żądanie lub za pomocą cyklu przyrostowego. Stan włączonego konta jest zmieniany na false w dzierżawie docelowej.
- Usuń użytkownika z grupy w dzierżawie źródłowej.
Czy synchronizacja między dzierżawami obsługuje przywracanie użytkowników?
- Jeśli użytkownik w dzierżawie źródłowej zostanie przywrócony, ponownie przydzielony do aplikacji, ponownie spełnia warunek określania zakresu w ciągu 30 dni od usunięcia nietrwałego, zostanie przywrócony w dzierżawie docelowej.
- Administratorzy IT mogą również ręcznie przywrócić użytkownika bezpośrednio w dzierżawie docelowej.
Jak można co zrobić, aby można było deprowizować wszystkich użytkowników, którzy są obecnie w zakresie synchronizacji między dzierżawami?
- Usuń przypisanie wszystkich użytkowników lub grup z konfiguracji synchronizacji między dzierżawami. Spowoduje to wyzwolenie wszystkich użytkowników, którzy nie zostali przypisani bezpośrednio lub za pośrednictwem członkostwa w grupie, aby anulować aprowizowanie w kolejnych cyklach synchronizacji. Należy pamiętać, że docelowa dzierżawa będzie musiała zachować zasady ruchu przychodzącego na potrzeby synchronizacji włączone do momentu zakończenia aprowizacji. Jeśli zakres jest ustawiony na Synchronizuj wszystkich użytkowników i grupy, należy również zmienić go na Synchronizuj tylko przypisanych użytkowników i grupy. Użytkownicy zostaną automatycznie usunięci nietrwale przez synchronizację między dzierżawami. Użytkownicy zostaną automatycznie usunięci automatycznie po upływie 30 dni lub możesz trwale usunąć użytkowników bezpośrednio z dzierżawy docelowej. Możesz trwale usunąć użytkowników bezpośrednio w dzierżawie docelowej lub poczekać 30 dni na automatyczne usunięcie użytkowników.
Jeśli relacja synchronizacji została zerwana, czy użytkownicy zewnętrzni są wcześniej zarządzani przez synchronizację między dzierżawami usuniętą w dzierżawie docelowej?
- L.p. W przypadku zerwania relacji nie są wprowadzane żadne zmiany dla użytkowników zewnętrznych zarządzanych wcześniej przez synchronizację między dzierżawami (na przykład w przypadku usunięcia zasad synchronizacji między dzierżawami).