Ograniczenia w organizacjach wielonajemnych
W tym artykule opisano ograniczenia, które należy wziąć pod uwagę podczas pracy z funkcjonalnościami organizacji wielodostępnej w ramach Microsoft Entra ID i Microsoft 365. Aby przekazać opinię na temat funkcjonalności organizacji wielodostępnej w usłudze UserVoice, zobacz Microsoft Entra UserVoice. Uważnie obserwujemy usługę UserVoice, abyśmy mogli ulepszyć usługę.
Scope
Ograniczenia opisane w tym artykule mają następujący zakres.
| Scope | opis |
|---|---|
| W zakresie | — Ograniczenia administratora firmy Microsoft Entra związane z organizacjami wielodostępnymi w celu zapewnienia bezproblemowej współpracy w nowym Microsoft Teams przy wzajemnym przydziale członków B2B — Ograniczenia administratora Microsoft Entra związane z organizacjami wielodostępnymi w celu zapewnienia płynnych środowisk współpracy w aplikacji Microsoft Viva Engage z centralnie aprowizowanymi członkami B2B. |
| Zakres pokrewny | - Ograniczenia centrum administracyjnego platformy Microsoft 365 dotyczące organizacji wielodostępowych Doświadczenia z wyszukiwania osób w organizacji wielozasobowej Microsoft 365 — Ograniczenia synchronizacji między dzierżawami związane z platformą Microsoft 365 |
| Poza zakresem | — Synchronizacja między dzierżawami niezwiązana z Microsoft 365 Doświadczenia użytkownika końcowego w nowych Teams — Doświadczenia użytkownika końcowego w aplikacji Viva Engage — Migracja najemcy lub konsolidacja |
| Nieobsługiwane scenariusze | - Wielodzierżawne organizacje w dzierżawcach edukacyjnych obejmujących scenariusze związane z uczniami — Wielodostępność organizacji w usłudze Microsoft 365 dla administracji publicznej — Bezproblemowe środowisko współpracy w organizacjach wielodostępnych w klasycznej usłudze Teams — Samoobsługa dla organizacji wielotenantowych mających więcej niż 100 najemców — Organizacja w trybie multi-tenant na platformie Azure Government lub Microsoft Azure obsługiwanym przez firmę 21Vianet — Wielodostępne organizacje wielochmurowe |
Tworzenie lub dołączanie do organizacji wielodziedzinowej za pomocą centrum administracyjnego Microsoft 365
Po utworzeniu organizacji wielodostępnej w Centrum administracyjne platformy Microsoft 365 zobaczysz konfiguracje synchronizacji między dzierżawcami utworzone przez Centrum administracyjne platformy Microsoft 365 z nazwami
MTO_Sync_<TenantID>. Powstrzymaj się od edytowania lub zmieniania nazwy, jeśli chcesz Centrum administracyjne platformy Microsoft 365 rozpoznać konfiguracje utworzone i zarządzane przez Centrum administracyjne platformy Microsoft 365.Zadania synchronizacji utworzone za pomocą identyfikatora Entra firmy Microsoft nie będą wyświetlane w Centrum administracyjne platformy Microsoft 365. Centrum administracyjne Microsoft 365 będzie wskazywać Stan synchronizacji ruchu wychodzącego jako nieskonfigurowany. Jest to oczekiwane zachowanie. Nie ma obsługiwanego wzorca w centrum administracyjnym Microsoft 365, który umożliwiałby przejęcie kontroli nad zadaniami synchronizacji między dzierżawami, utworzonymi w centrum administracyjnym Microsoft Entra.
Ustawienia dostępu między dzierżawami
Synchronizacja między dzierżawami w identyfikatorze Entra firmy Microsoft nie obsługuje ustanawiania konfiguracji synchronizacji między dzierżawami przed zezwoleniem na synchronizację ruchu przychodzącego w ustawieniach dostępu między dzierżawami na potrzeby synchronizacji tożsamości.
W związku z tym przed utworzeniem organizacji multi-tenant zaleca się użycie szablonu ustawień dostępu między dzierżawami dla synchronizacji tożsamości, z ustawieniem
userSyncInboundna true.Podobnie, przed utworzeniem organizacji wielodostępnej, zaleca się użycie szablonu ustawień dostępu między dzierżawami dla konfiguracji partnerów, z
automaticUserConsentSettings.inboundAllowediautomaticUserConsentSettings.outboundAllowedustawionymi na wartość true.
Żądania dołączenia
Istnieje wiele powodów, dla których żądanie dołączenia może zakończyć się niepowodzeniem. Jeśli Centrum administracyjne platformy Microsoft 365 nie wskazuje, dlaczego żądanie dołączenia nie powiedzie się, spróbuj zbadać odpowiedź na żądanie dołączenia przy użyciu interfejsów API programu Microsoft Graph lub Eksploratora programu Microsoft Graph.
Jeśli wykonano prawidłową sekwencję, aby utworzyć organizację wielonajemcową i dodać dzierżawcę do organizacji wielonajemcowej, a żądania dołączenia do dodanej dzierżawy nadal kończą się niepowodzeniem, prześlij żądanie wsparcia technicznego w witrynie Microsoft Entra lub Centrum administracyjne platformy Microsoft 365.
Opcje aprowizowania użytkowników będących członkami zewnętrznymi
- Jeśli korzystasz już z synchronizacji między dzierżawami Microsoft Entra w przypadku różnych topologii wielohubowych i wieloszprychowych, nie musisz używać funkcjonalności udostępniania użytkowników w centrum administracyjnym Microsoft 365. Zamiast tego możesz kontynuować korzystanie z istniejących zadań synchronizacji między dzierżawami Microsoft Entra.
- Jeśli wcześniej nie korzystałeś z synchronizacji między dzierżawami Microsoft Entra i zamierzasz ustanowić topologię zestawu użytkowników, w której ten sam zestaw użytkowników jest współdzielony ze wszystkimi dzierżawami organizacji wielotenanckich, możesz skorzystać z funkcjonalności udostępniania użytkowników w centrum administracyjnym platformy Microsoft 365.
- Jeśli masz już własny system aprowizacji użytkowników na dużą skalę, możesz skorzystać z nowych korzyści wielotenancyjnych organizacji, kontynuując korzystanie z własnego systemu do zarządzania cyklem życia pracowników.
- Jeśli musisz utworzyć poszczególnych użytkowników zewnętrznych w dzierżawie hosta zamiast tworzyć je za pomocą aparatu aprowizacji z dzierżawy źródłowej, zobacz Jak tworzyć, zapraszać i usuwać użytkowników.
Synchronizacja między dzierżawami w centrum administracyjnym firmy Microsoft Entra
W przypadku przedsiębiorstw ze złożonymi konfiguracjami tożsamości zalecamy użycie synchronizacji między dzierżawcami w centrum administracyjnym Microsoft Entra.
Domyślnie nowi użytkownicy B2B są aprowizowani jako członkowie B2B, podczas gdy istniejący goście B2B pozostają gośćmi B2B. Możesz zdecydować się na konwersję gości B2B na członków B2B, ustawiając ustawienie Zastosuj to mapowanie na Zawsze.
Domyślnie
showInAddressListjest synchronizowana z dzierżawą docelową jako true. To mapowanie atrybutów może być dostosowane do potrzeb organizacji.Udostępnianie na dużą skalę użytkowników B2B może kolidować z obiektami kontaktowymi. Obsługa lub konwersja obiektów kontaktowych nie jest obecnie możliwa.
Używanie synchronizacji między dzierżawami do docelowych tożsamości hybrydowych, które zostały przekonwertowane na użytkowników B2B, nie jest obecnie obsługiwane.
Synchronizowanie użytkowników w Centrum administracyjne platformy Microsoft 365
W przypadku mniejszych organizacji wielodostępnych zalecamy używanie Centrum administracyjnego platformy Microsoft 365 do synchronizowania użytkowników z wieloma dzierżawcami organizacji wielodostępnej.
Aby udostępnić użytkowników, Centrum administracyjne Microsoft 365 tworzy wiele transzowych zadań synchronizacji, po jednym na każdego dzierżawcę docelowego, zachowując ten sam zakres użytkownika dla wszystkich zadań.
Po utworzeniu zadań synchronizacji między dzierżawami w centrum administracyjnym platformy Microsoft 365, możesz dostosować mapowania atrybutów w centrum administracyjnym Microsoft Entra, aby odpowiadały potrzebom Twojej organizacji.
Goście B2B lub członkowie B2B zarządzani przez najemcę hosta
Promocja gości B2B do członków B2B jest strategiczną decyzją organizacji multi-tenant, aby uznać członków B2B za zaufanych użytkowników organizacji. Przejrzyj uprawnienia domyślne dla członków B2B.
W miarę wdrażania funkcji organizacji wielodostępnej, w tym konfigurowania użytkowników B2B w dzierżawach organizacji wielodostępnej, możesz skonfigurować niektórych użytkowników jako gości B2B, a jednocześnie innych użytkowników jako członków B2B.
W celu awansowania gości B2B do członków B2B, administrator w dzierżawie hosta może zmienić typ użytkownika, w przypadku że właściwość nie jest cyklicznie synchronizowana.
Goście B2B lub członkowie B2B zarządzani przy użyciu synchronizacji między dzierżawami
Jeśli używana jest synchronizacja między dzierżawami do cyklicznego synchronizowania właściwości userType, administrator dzierżawy źródłowej może zmienić mapowania atrybutów.
Możesz chcieć ustanowić dwie konfiguracje synchronizacji między dzierżawami Microsoft Entra w dzierżawie źródłowej: jedną z mapowaniami atrybutów userType skonfigurowanymi dla gościa B2B, a drugą z mapowaniami atrybutów userType skonfigurowanymi dla członka B2B, przy czym w każdej z nich ustawienie Zastosuj to mapowanie jest zawsze aktywne.
Przenosząc użytkownika z zakresu jednej konfiguracji do drugiego, można łatwo kontrolować, kto będzie gościem B2B lub członkiem B2B w dzierżawie docelowej. Korzystając z tego podejścia, możesz także wyłączyć akcje obiektów docelowych dotyczące usuwania.
Globalna lista adresowa zarządzana w dzierżawie hosta
Właściwość showInAddressList użytkownika B2B można zaktualizować przy użyciu uprawnień administratora użytkowników w Eksploratorze programu Microsoft Graph lub programie Microsoft Graph PowerShell.
Zaktualizowanie właściwości showInAddressList w obiekcie użytkownika spowoduje również zaktualizowanie ustawienia ukryj adresatów z list adresowych w usłudze Microsoft Exchange Online.
Ustawienie ukryj adresatów z list adresowych , jeśli jest skonfigurowane tak, aby różniło się od właściwości showInAddressList , ma pierwszeństwo przed określeniem widoczności listy adresów.
Jeśli ustawienie ukryj adresatów nie jest konfigurowalne w centrum administracyjnym programu Exchange ze względu na typ użytkownika Gość, można go skonfigurować w programie PowerShell przy użyciu właściwości HiddenFromAddressListsEnabled.
Aby uzyskać więcej informacji, zobacz Dodawanie gości do globalnej listy adresów.
Globalna lista adresów zarządzana przy użyciu synchronizacji między dzierżawcami
- Jeśli synchronizacja między dzierżawami jest używana do synchronizowania właściwości, właściwość showInAddressList w dzierżawie źródłowej może służyć do kontrolowania widoczności listy adresów w dzierżawie docelowej.
- Z drugiej strony, nie można ukryć adresata z list adresowych w dzierżawie źródłowej, aby wpłynąć na widoczność list adresowych w dzierżawie docelowej.
Aplikacje firmy Microsoft
W interfejsach użytkownika usługi OneDrive programu SharePoint podczas udostępniania pliku osobom w firmie Fabrikam bieżące interfejsy użytkownika mogą być sprzeczne, ponieważ członkowie B2B w firmie Fabrikam z firmy Contoso wliczają się do osób w firmie Fabrikam.
W centrum administracyjnym platformy Microsoft 365 członkowie B2B mogą nie być obsługiwani w aplikacjach Microsoft Forms, Microsoft OneNote i Microsoft Planner.
W usłudze Microsoft Power BI obsługa członków B2B jest obecnie dostępna w wersji zapoznawczej. Użytkownicy-goście B2B mogą nadal uzyskiwać dostęp do pulpitów nawigacyjnych usługi Power BI.
W usługach Microsoft Power Apps, Microsoft Dynamics 365 i powiązanych obciążeniach użytkownicy będący członkami B2B mogą mieć ograniczone funkcje. Aby uzyskać więcej informacji, zobacz Invite users with Microsoft Entra B2B collaboration (Zapraszanie użytkowników za pomocą usługi Microsoft Entra B2B collaboration).
W usłudze Microsoft Purview możliwości organizacji wielodostępnej nie są jeszcze obsługiwane. Dowiedz się więcej o istniejących funkcjach dla użytkowników zewnętrznych i zawartości oznaczonej etykietami oraz o współpracy zewnętrznej przy użyciu etykiet poufności.
W usłudze Microsoft Intune funkcje organizacji wielotenantowych nie są jeszcze obsługiwane. Dowiedz się więcej o istniejących funkcjach umożliwiających zaufanie oświadczeniom zgodności urządzeń pochodzących z zewnętrznych organizacji.
Użytkownicy B2B lub członkowie B2B
W ramach organizacji wielolokatorskiej resetowanie realizacji dla użytkownika B2B, który już dokonał realizacji jest obecnie wyłączone.
Przydzielanie na dużą skalę użytkowników B2B może konfliktować z obiektami kontaktowymi. Obsługa lub konwersja obiektów kontaktowych nie jest obecnie wspierana.
Używanie synchronizacji między dzierżawami do synchronizacji tożsamości hybrydowych przekształconych na użytkowników B2B nie zostało przetestowane w przypadku konfliktów dotyczących źródła autorytetu i nie jest obsługiwane.
Zalogowani użytkownicy mogą odczytywać podstawowe atrybuty organizacji multitenantowej oraz dzierżawców organizacji multitenantowej bez przypisywania ról, takich jak Czytelnik Zabezpieczeń lub Czytelnik Globalny.
Dezaktywacja synchronizacji między dzierżawcami
Domyślnie, w przypadku zmniejszenia zakresu udostępniania podczas uruchamiania zadania synchronizacji, użytkownicy wypadają z zakresu i są miękko usuwani, chyba że akcje usuwania obiektów docelowych są wyłączone. Aby uzyskać więcej informacji, zobacz Anulowanie aprowizacji i Definiowanie, kto znajduje się w zakresie aprowizacji.
Obecnie funkcja SkipOutOfScopeDeletions działa w przypadku zadań udostępniania aplikacji, ale nie w przypadku synchronizacji między dzierżawami. Aby uniknąć miękkiego usuwania użytkowników wyłączonych z zakresu synchronizacji między dzierżawami, ustaw opcję Akcje obiektów docelowych dla usuwania na wyłączoną.