Ograniczenia w organizacjach wielodostępnych
W tym artykule opisano ograniczenia, które należy wziąć pod uwagę podczas pracy z wielodostępnymi funkcjami organizacji w ramach identyfikatora Microsoft Entra ID i platformy Microsoft 365. Aby przekazać opinię na temat funkcji organizacji wielodostępnych w usłudze UserVoice, zobacz Microsoft Entra UserVoice. Uważnie obserwujemy usługę UserVoice, abyśmy mogli ulepszyć usługę.
Scope
Ograniczenia opisane w tym artykule mają następujący zakres.
| Scope | opis |
|---|---|
| W zakresie | — Ograniczenia administratora firmy Microsoft Entra związane z organizacjami wielodostępnymi w celu zapewnienia bezproblemowej współpracy w nowych aplikacjach Microsoft Teams z wzajemnej aprowizacji członków B2B — Ograniczenia administratora firmy Microsoft Entra związane z organizacjami wielodostępnymi w celu obsługi bezproblemowych środowisk współpracy w aplikacji Microsoft Viva Engage z centralnie aprowizowaną członkami B2B |
| Zakres pokrewny | - Centrum administracyjne platformy Microsoft 365 ograniczenia związane z wielodostępnych organizacji — Środowiska wyszukiwania osób w organizacji wielodostępnej platformy Microsoft 365 — Ograniczenia synchronizacji między dzierżawami związane z platformą Microsoft 365 |
| Poza zakresem | — Synchronizacja między dzierżawami niezwiązana z platformą Microsoft 365 — Środowiska użytkownika końcowego w nowej aplikacji Teams — Środowiska użytkownika końcowego w aplikacji Viva Engage — Migracja dzierżawy lub konsolidacja |
| Nieobsługiwane scenariusze | - Wielodostępne organizacje w dzierżawach edukacyjnych obejmujących scenariusze uczniów — Wielodostępne organizacje w usłudze Microsoft 365 Government — Bezproblemowe środowisko współpracy w organizacjach wielodostępnych w klasycznej usłudze Teams — Samoobsługa dla organizacji wielodostępnych większych niż 100 dzierżaw — Wielodostępne organizacje na platformie Azure Government lub Microsoft Azure obsługiwane przez firmę 21Vianet — Wielodostępne organizacje obejmujące wiele chmur |
Tworzenie lub dołączanie organizacji wielodostępnej przy użyciu Centrum administracyjne platformy Microsoft 365
Po utworzeniu organizacji wielodostępnej w Centrum administracyjne platformy Microsoft 365 zobaczysz konfiguracje synchronizacji między dzierżawami utworzone przez centrum administracyjne firmy Microsoft z nazwami
MTO_Sync_<TenantID>. Powstrzymaj się od edytowania lub zmieniania nazwy, jeśli chcesz Centrum administracyjne platformy Microsoft 365 rozpoznać konfiguracje utworzone i zarządzane przez Centrum administracyjne platformy Microsoft 365.Zadania synchronizacji utworzone za pomocą identyfikatora Entra firmy Microsoft nie będą wyświetlane w Centrum administracyjne platformy Microsoft 365. Centrum administracyjne platformy Microsoft 365 będzie wskazywać Stan synchronizacji ruchu wychodzącego nieskonfigurowane. Jest to oczekiwane zachowanie. Nie ma obsługiwanego wzorca dla Centrum administracyjne platformy Microsoft 365 przejęcia kontroli nad zadaniami synchronizacji między dzierżawami utworzonymi w centrum administracyjnym firmy Microsoft Entra.
Ustawienia dostępu między dzierżawami
Synchronizacja między dzierżawami w identyfikatorze Entra firmy Microsoft nie obsługuje ustanawiania konfiguracji synchronizacji między dzierżawami przed zezwoleniem na synchronizację ruchu przychodzącego w ustawieniach dostępu między dzierżawami na potrzeby synchronizacji tożsamości.
W związku z tym przed utworzeniem wielodostępnej organizacji zaleca się użycie szablonu ustawień dostępu między dzierżawami na potrzeby synchronizacji tożsamości z ustawioną wartością
userSyncInboundtrue.Podobnie przed utworzeniem wielodostępnej organizacji użycie szablonu ustawień dostępu między dzierżawami dla konfiguracji partnerów jest zalecane
automaticUserConsentSettings.inboundAllowediautomaticUserConsentSettings.outboundAllowedustawione na wartość true.
Żądania dołączenia
Istnieje wiele powodów, dla których żądanie dołączenia może zakończyć się niepowodzeniem. Jeśli Centrum administracyjne platformy Microsoft 365 nie wskazuje, dlaczego żądanie dołączenia nie powiedzie się, spróbuj zbadać odpowiedź na żądanie dołączenia przy użyciu interfejsów API programu Microsoft Graph lub Eksploratora programu Microsoft Graph.
Jeśli wykonano prawidłową sekwencję, aby utworzyć organizację wielodostępną i dodać dzierżawę do organizacji wielodostępnej, a żądanie dołączenia do dodanej dzierżawy nadal kończy się niepowodzeniem, prześlij wniosek o pomoc techniczną w witrynie Microsoft Entra lub Centrum administracyjne platformy Microsoft 365.
Opcje aprowizowania użytkowników będących członkami zewnętrznymi
- Jeśli korzystasz już z synchronizacji między dzierżawami firmy Microsoft, w przypadku różnych topologii wieloznakowych z wieloma szprychami nie musisz używać Centrum administracyjne platformy Microsoft 365 udostępniać użytkownikom funkcji. Zamiast tego możesz kontynuować korzystanie z istniejących zadań synchronizacji między dzierżawami firmy Microsoft.
- Jeśli wcześniej nie użyto synchronizacji między dzierżawami firmy Microsoft i zamierzasz ustanowić topologię zestawu użytkowników, w której ten sam zestaw użytkowników jest współużytkowany dla wszystkich dzierżaw organizacji wielodostępnych, możesz chcieć użyć Centrum administracyjne platformy Microsoft 365 udostępniać użytkownikom funkcji.
- Jeśli masz już własny aparat aprowizacji użytkowników na dużą skalę, możesz skorzystać z nowych korzyści wielodostępnych organizacji, kontynuując korzystanie z własnego aparatu do zarządzania cyklem życia pracowników.
- Jeśli musisz utworzyć poszczególnych użytkowników zewnętrznych w dzierżawie hosta zamiast tworzyć je za pomocą aparatu aprowizacji z dzierżawy źródłowej, zobacz Jak tworzyć, zapraszać i usuwać użytkowników.
Synchronizacja między dzierżawami w centrum administracyjnym firmy Microsoft Entra
W przypadku organizacji korporacyjnych ze złożonymi konfiguracjami tożsamości zalecamy użycie synchronizacji między dzierżawami w centrum administracyjnym firmy Microsoft Entra.
Domyślnie nowi użytkownicy B2B są aprowizowani jako członkowie B2B, podczas gdy istniejący goście B2B pozostają gośćmi B2B. Możesz zdecydować się na konwersję gości B2B na członków B2B, ustawiając ustawienie Zastosuj to mapowanie na Zawsze.
Domyślnie
showInAddressListjest synchronizowana z dzierżawą docelową jako true. To mapowanie atrybutów może być dostosowane do potrzeb organizacji.Aprowizacja na dużą skalę użytkowników B2B może zderzać się z obiektami kontaktowymi. Obsługa lub konwersja obiektów kontaktowych nie jest obecnie obsługiwana.
Używanie synchronizacji między dzierżawami do docelowych tożsamości hybrydowych, które zostały przekonwertowane na użytkowników B2B, nie jest obecnie obsługiwane.
Synchronizowanie użytkowników w Centrum administracyjne platformy Microsoft 365
W przypadku mniejszych organizacji wielodostępnych zalecamy używanie Centrum administracyjne platformy Microsoft 365 do synchronizowania użytkowników z wieloma dzierżawami organizacji wielodostępnej.
Aby udostępnić użytkowników, Centrum administracyjne platformy Microsoft 365 tworzy wiele zadań synchronizacji między dzierżawami, jeden na dzierżawę docelową, zachowując ten sam zakres użytkownika dla wszystkich zadań.
Po utworzeniu zadań synchronizacji między dzierżawami Centrum administracyjne platformy Microsoft 365 można dostosować mapowania atrybutów w centrum administracyjnym firmy Microsoft Entra, aby dopasować je do potrzeb organizacji.
Goście B2B lub członkowie B2B zarządzani w dzierżawie hosta
Promocja gości B2B do członków B2B reprezentuje strategiczną decyzję wielodostępnych organizacji, aby rozważyć członków B2B jako zaufanych użytkowników organizacji. Przejrzyj uprawnienia domyślne dla członków B2B.
W miarę wdrażania funkcji organizacji wielodostępnej, w tym aprowizacji użytkowników B2B w wielodostępnych dzierżawach organizacji, możesz aprowizować niektórych użytkowników jako gości B2B, a jednocześnie aprowizować innych użytkowników jako członków B2B.
Aby podwyższyć poziom gości B2B do członków B2B, administrator dzierżawy hosta może zmienić typ użytkownika, zakładając, że właściwość nie jest cyklicznie synchronizowana.
Goście B2B lub członkowie B2B zarządzani przy użyciu synchronizacji między dzierżawami
Jeśli synchronizacja między dzierżawami jest używana do cyklicznego synchronizowania właściwości userType , administrator dzierżawy źródłowej może zmienić mapowania atrybutów.
Możesz chcieć ustanowić dwie konfiguracje synchronizacji między dzierżawami firmy Microsoft w dzierżawie źródłowej, jedną z mapowaniami atrybutów userType skonfigurowanymi dla gościa B2B, a drugą z mapowaniami atrybutów userType skonfigurowanymi dla elementu członkowskiego B2B, z których każdy z ustawieniem Zastosuj to mapowanie jest zawsze ustawiony.
Przenosząc użytkownika z zakresu jednej konfiguracji do drugiego, można łatwo kontrolować, kto będzie gościem B2B lub członkiem B2B w dzierżawie docelowej. Korzystając z tego podejścia, można również wyłączyć akcje obiektów docelowych dla opcji Usuń.
Globalna lista adresów zarządzana w dzierżawie hosta
Właściwość showInAddressList użytkownika B2B można zaktualizować przy użyciu uprawnień administratora użytkowników w Eksploratorze programu Microsoft Graph lub programie Microsoft Graph PowerShell.
Zaktualizowanie właściwości showInAddressList w obiekcie użytkownika spowoduje również zaktualizowanie ustawienia ukryj adresatów z list adresowych w usłudze Microsoft Exchange Online.
Ustawienie ukryj adresatów z list adresowych , jeśli jest skonfigurowane tak, aby różniło się od właściwości showInAddressList , ma pierwszeństwo przed określeniem widoczności listy adresów.
Jeśli ustawienie ukryj adresatów nie jest konfigurowalne w centrum administracyjnym programu Exchange ze względu na typ użytkownika Gość, można go skonfigurować w programie PowerShell przy użyciu właściwości HiddenFromAddressListsEnabled.
Aby uzyskać więcej informacji, zobacz Dodawanie gości do globalnej listy adresów.
Globalna lista adresów zarządzana przy użyciu synchronizacji między dzierżawami
- Jeśli synchronizacja między dzierżawami jest używana do synchronizowania właściwości, właściwość showInAddressList w dzierżawie źródłowej może służyć do kontrolowania widoczności listy adresów w dzierżawie docelowej.
- Z drugiej strony nie można ukryć adresata z list adresów w dzierżawie źródłowej, aby wpłynąć na widoczność listy adresów w dzierżawie docelowej.
Aplikacje firmy Microsoft
W interfejsach użytkownika usługi OneDrive programu SharePoint podczas udostępniania pliku osobom w firmie Fabrikam bieżące interfejsy użytkownika mogą być sprzeczne, ponieważ członkowie B2B w firmie Fabrikam z firmy Contoso wliczają się do osób w firmie Fabrikam.
W Centrum administracyjne platformy Microsoft 365 użytkownicy będący członkami B2B mogą nie być obsługiwani w programach Microsoft Forms, Microsoft OneNote i Microsoft Planner.
W usłudze Microsoft Power BI obsługa członków B2B jest obecnie dostępna w wersji zapoznawczej. Użytkownicy-goście B2B mogą nadal uzyskiwać dostęp do pulpitów nawigacyjnych usługi Power BI.
W usługach Microsoft Power Apps, Microsoft Dynamics 365 i powiązanych obciążeniach użytkownicy będący członkami B2B mogą mieć ograniczone funkcje. Aby uzyskać więcej informacji, zobacz Invite users with Microsoft Entra B2B collaboration (Zapraszanie użytkowników za pomocą usługi Microsoft Entra B2B collaboration).
W usłudze Microsoft Purview możliwości organizacji wielodostępnej nie są jeszcze obsługiwane. Dowiedz się więcej o istniejących funkcjach dla użytkowników zewnętrznych i zawartości oznaczonej etykietami oraz o współpracy zewnętrznej przy użyciu etykiet poufności.
W usłudze Microsoft Intune możliwości organizacji wielodostępnych nie są jeszcze obsługiwane. Dowiedz się więcej o istniejących funkcjach zaufania oświadczeń zgodnych urządzeń z organizacji zewnętrznych.
Użytkownicy B2B lub członkowie B2B
W ramach organizacji wielodostępnej resetowanie realizacji dla już zrealizowanego użytkownika B2B jest obecnie wyłączone.
Aprowizacja na dużą skalę użytkowników B2B może zderzać się z obiektami kontaktowymi. Obsługa lub konwersja obiektów kontaktowych nie jest obecnie obsługiwana.
Używanie synchronizacji między dzierżawami do docelowych tożsamości hybrydowych, które zostały przekonwertowane na użytkowników B2B, nie zostało przetestowane w źródle konfliktów urzędu i nie jest obsługiwane.
Zalogowani użytkownicy mogą odczytywać podstawowe atrybuty organizacji wielodostępnej i wielodostępnych dzierżawców należących do organizacji bez przypisywanych ról, takich jak Czytelnik zabezpieczeń lub Czytelnik globalny.
Anulowanie aprowizacji synchronizacji między dzierżawami
Domyślnie w przypadku zmniejszenia zakresu aprowizacji podczas uruchamiania zadania synchronizacji użytkownicy wykraczają poza zakres i są usuwani nietrwale, chyba że akcje obiektu docelowego dla usunięcia są wyłączone. Aby uzyskać więcej informacji, zobacz Anulowanie aprowizacji i Definiowanie, kto znajduje się w zakresie aprowizacji.
Obecnie funkcja SkipOutOfScopeDeletions działa w przypadku zadań aprowizacji aplikacji, ale nie w przypadku synchronizacji między dzierżawami. Aby uniknąć usuwania nietrwałego użytkowników wyjętej z zakresu synchronizacji między dzierżawami, ustaw opcję Akcje obiektów docelowych na wartość Usuń , aby wyłączyć.