O que é sincronização entre locatários?
A sincronização entre locatários automatiza a criação, atualização e exclusão de usuários de colaboração B2B do Microsoft Entra entre locatários em uma organização. Ele permite que os usuários acessem aplicativos e colaborem entre locatários, ao mesmo tempo em que permite que a organização evolua.
Aqui estão os principais objetivos da sincronização entre locatários:
- Colaboração perfeita para uma organização multilocatária
- Automatize o gerenciamento do ciclo de vida de usuários de colaboração B2B em uma organização multilocatária
- Remover automaticamente contas B2B quando um usuário sai da organização
Por que usar a sincronização entre locatários?
A sincronização entre locatários automatiza a criação, atualização e exclusão de usuários de colaboração B2B. Os usuários criados com sincronização entre locatários podem acessar aplicativos da Microsoft (como o Teams e o SharePoint) e aplicativos que não são da Microsoft (como ServiceNow, Adobe e muitos mais), independentemente do locatário com o qual os aplicativos estão integrados. Esses usuários continuam a se beneficiar dos recursos de segurança do Microsoft Entra ID, como o Acesso Condicional do Microsoft Entra e as configurações de acesso entre locatários, e podem ser governados por meio de recursos como o gerenciamento de direitos do Microsoft Entra.
O diagrama a seguir mostra como você pode usar a sincronização entre locatários para permitir que os usuários acessem aplicativos entre locatários em sua organização.
Quem deve usar?
- Organizações que possuem vários locatários do Microsoft Entra e desejam simplificar o acesso a aplicativos entre locatários dentro da organização.
- Atualmente, a sincronização entre locatários não é adequada para uso entre limites organizacionais.
Benefícios
Com a sincronização entre locatários, você pode fazer o seguinte:
- Crie automaticamente usuários de colaboração B2B em sua organização e forneça-lhes acesso aos aplicativos de que precisam, sem criar e manter scripts personalizados.
- Melhore a experiência do usuário e garanta que os usuários possam acessar recursos, sem receber um e-mail de convite e ter que aceitar um prompt de consentimento em cada locatário.
- Atualize automaticamente os usuários e remova-os quando saírem da organização.
Teams e Microsoft 365
Os usuários criados pela sincronização entre locatários terão a mesma experiência ao acessar o Microsoft Teams e outros serviços do Microsoft 365 que os usuários de colaboração B2B criados por meio de um convite manual. Se sua organização usa canais compartilhados, consulte o documento de problemas conhecidos para obter detalhes adicionais. Com o tempo, o member
userType será usado pelos vários serviços do Microsoft 365 para fornecer experiências de usuário final diferenciadas para usuários em uma organização multilocatário.
Propriedades
Ao configurar a sincronização entre locatários, você define uma relação de confiança entre um locatário de origem e um locatário de destino. A sincronização entre locatários tem as seguintes propriedades:
- Baseado no mecanismo de provisionamento do Microsoft Entra.
- É um processo de push do locatário de origem, não um processo de pull do locatário de destino.
- Suporta o envio apenas de membros internos do locatário de origem. Ele não suporta a sincronização de usuários externos do locatário de origem.
- Os usuários no escopo para sincronização são configurados no locatário de origem.
- O mapeamento de atributos é configurado no locatário de origem.
- Atributos de extensão são suportados.
- Os administradores de locatários de destino podem interromper uma sincronização a qualquer momento.
A tabela a seguir mostra as partes da sincronização entre locatários e qual locatário elas estão configuradas.
Inquilino | Inquilino cruzado Configurações de acesso |
Resgate automático | Configurações de sincronização configuração |
Utilizadores no âmbito |
---|---|---|---|---|
Locatário de origem |
✔️ | ✔️ | ✔️ | |
Locatário de destino |
✔️ | ✔️ |
Configuração de sincronização entre locatários
A configuração de sincronização entre locatários é uma configuração organizacional somente de entrada para permitir que o administrador de um locatário de origem sincronize usuários em um locatário de destino. Essa configuração é uma caixa de seleção com o nome Permitir que os usuários sincronizem com este locatário especificado no locatário de destino. Essa configuração não afeta os convites B2B criados por meio de outros processos, como convite manual ou gerenciamento de direitos do Microsoft Entra.
Para definir essa configuração usando o Microsoft Graph, consulte a API Update crossTenantIdentitySyncPolicyPartner . Para obter mais informações, consulte Configurar a sincronização entre locatários.
Configuração de resgate automático
A configuração de resgate automático é uma configuração de confiança organizacional de entrada e saída para resgatar automaticamente convites para que os usuários não precisem aceitar o prompt de consentimento na primeira vez que acessarem o recurso/locatário de destino. Essa configuração é uma caixa de seleção com o seguinte nome:
- Resgatar convites automaticamente com o locatário locatário<>
Comparar configurações para diferentes cenários
A configuração de resgate automático se aplica à sincronização entre locatários, colaboração B2B e conexão direta B2B nas seguintes situações:
- Quando os usuários são criados em um locatário de destino usando a sincronização entre locatários.
- Quando os usuários são adicionados a um locatário de recurso usando a colaboração B2B.
- Quando os usuários acessam recursos em um locatário de recursos usando a conexão direta B2B.
A tabela a seguir mostra como essa configuração se compara quando habilitada para esses cenários:
Número | Sincronização entre locatários | Colaboração B2B | Conexão direta B2B |
---|---|---|---|
Configuração de resgate automático | Necessário | Opcional | Opcional |
Os usuários recebem um e-mail de convite de colaboração B2B | Não | Não | N/A |
Os usuários devem aceitar um prompt de consentimento | Não | Não | Não |
Os usuários recebem um e-mail de notificação de colaboração B2B | Não | Sim | N/A |
Essa configuração não afeta as experiências de consentimento do aplicativo. Para obter mais informações, consulte Experiência de consentimento para aplicativos no Microsoft Entra ID. Essa configuração não é suportada para organizações em diferentes ambientes de nuvem da Microsoft, como o Azure comercial e o Azure Government.
Quando o prompt de consentimento é suprimido?
A configuração de resgate automático só suprimirá o prompt de consentimento e o e-mail de convite se o locatário de origem/origem (saída) e o locatário de recurso/destino (entrada) verificarem essa configuração.
A tabela a seguir mostra o comportamento do prompt de consentimento para usuários locatários de origem quando a configuração de resgate automático é verificada para diferentes combinações de configurações de acesso entre locatários.
Inquilino de origem/inquilino de origem | Locatário de recurso/destino | Comportamento de prompt de consentimento Para usuários locatários de origem |
---|---|---|
Saída | Entrada | |
Suprimido | ||
Não suprimido | ||
Não suprimido | ||
Não suprimido | ||
Entrada | Saída | |
Não suprimido | ||
Não suprimido | ||
Não suprimido | ||
Não suprimido |
Para definir essa configuração usando o Microsoft Graph, consulte a API Update crossTenantAccessPolicyConfigurationPartner . Para obter mais informações, consulte Configurar a sincronização entre locatários.
Como é que os utilizadores sabem a que inquilinos pertencem?
Para sincronização entre locatários, os usuários não recebem um e-mail ou precisam aceitar uma solicitação de consentimento. Se os utilizadores quiserem ver a que inquilinos pertencem, podem abrir a página A Minha Conta e selecionar Organizações. No centro de administração do Microsoft Entra, os usuários podem abrir as configurações do Portal, exibir seus diretórios + assinaturas e alternar diretórios.
Para obter mais informações, incluindo informações de privacidade, consulte Sair de uma organização como um usuário externo.
Começar
Aqui estão as etapas básicas para começar a usar a sincronização entre locatários.
Etapa 1: Definir como estruturar os locatários em sua organização
A sincronização entre locatários fornece uma solução flexível para permitir a colaboração, mas cada organização é diferente. Por exemplo, você pode ter um locatário central, locatários satélite ou uma espécie de malha de locatários. A sincronização entre locatários oferece suporte a qualquer uma dessas topologias. Para obter mais informações, consulte Topologias para sincronização entre locatários.
Etapa 2: Habilitar a sincronização entre locatários nos locatários de destino
No locatário de destino onde os usuários são criados, navegue até a página Configurações de acesso entre locatários. Aqui você habilita a sincronização entre locatários e as configurações de resgate automático B2B marcando as respetivas caixas de seleção. Para obter mais informações, consulte Configurar a sincronização entre locatários.
Etapa 3: Habilitar a sincronização entre locatários nos locatários de origem
Em qualquer locatário de origem, navegue até a página Configurações de acesso entre locatários e habilite o recurso de resgate automático B2B. Em seguida, use a página de sincronização entre locatários para configurar um trabalho de sincronização entre locatários e especifique:
- Quais usuários você deseja sincronizar
- Quais atributos você deseja incluir
- Quaisquer transformações
Para qualquer pessoa que tenha usado o Microsoft Entra ID para provisionar identidades em um aplicativo SaaS, essa experiência será familiar. Depois de configurar a sincronização, você pode começar a testar com alguns usuários e garantir que eles sejam recriados com todos os atributos necessários. Quando o teste estiver concluído, você poderá adicionar rapidamente outros usuários para sincronizar e implantar em toda a organização. Para obter mais informações, consulte Configurar a sincronização entre locatários.
Requisitos de licença
No locatário de origem: o uso desse recurso requer licenças do Microsoft Entra ID P1. Cada usuário sincronizado com a sincronização entre locatários deve ter uma licença P1 em seu locatário de origem/origem. Para encontrar a licença certa para seus requisitos, consulte Comparar recursos geralmente disponíveis do Microsoft Entra ID.
No locatário de destino: a sincronização entre locatários depende do modelo de cobrança de ID Externa do Microsoft Entra. Para entender o modelo de licenciamento de identidades externas, consulte Modelo de cobrança MAU para ID Externa do Microsoft Entra. Você também precisará de pelo menos uma licença do Microsoft Entra ID P1 no locatário de destino para habilitar o resgate automático.
Perguntas frequentes
Nuvens
Em quais nuvens a sincronização entre locatários pode ser usada?
- A sincronização entre locatários é suportada na nuvem comercial e no Azure Government.
- A sincronização entre locatários não é suportada no Microsoft Azure operado pela nuvem 21Vianet.
- A sincronização só é suportada entre dois inquilinos na mesma nuvem.
- Atualmente, não há suporte para a nuvem cruzada (como a nuvem pública para o Azure Government).
Utilizadores B2B existentes
A sincronização entre locatários gerenciará usuários B2B existentes?
- Sim. A sincronização entre locatários usa um atributo interno chamado alternativeSecurityIdentifier para fazer a correspondência exclusiva de um usuário interno no locatário de origem com um usuário externo/B2B no locatário de destino. A sincronização entre locatários pode atualizar usuários B2B existentes, garantindo que cada usuário tenha apenas uma conta.
- A sincronização entre locatários não pode corresponder um usuário interno no locatário de origem com um usuário interno no locatário de destino (tipo membro e tipo convidado).
Frequência de sincronização
Com que frequência a sincronização entre locatários é executada?
- Atualmente, o intervalo de sincronização está corrigido para iniciar em intervalos de 40 minutos. A duração da sincronização varia de acordo com o número de usuários no escopo. É provável que o ciclo de sincronização inicial demore significativamente mais do que os ciclos de sincronização incrementais seguintes.
Âmbito de aplicação
Como faço para controlar o que é sincronizado no locatário de destino?
- No locatário de origem, você pode controlar quais usuários são provisionados com a configuração ou filtros baseados em atributos. Você também pode controlar quais atributos no objeto de usuário são sincronizados. Para obter mais informações, consulte Escopo de usuários ou grupos a serem provisionados com filtros de escopo.
Se um usuário for removido do escopo de sincronização em um locatário de origem, a sincronização entre locatários o excluirá no destino?
- Sim. Se um usuário for removido do escopo de sincronização em um locatário de origem, a sincronização entre locatários o excluirá suavemente no locatário de destino.
Tipos de objeto
Que tipos de objeto podem ser sincronizados?
- Os usuários do Microsoft Entra podem ser sincronizados entre locatários. (Grupos, dispositivos e contatos não são suportados no momento.)
Que tipos de utilizador podem ser sincronizados?
- Os membros internos podem ser sincronizados a partir de locatários de origem. Os convidados internos não podem ser sincronizados a partir de locatários de origem.
- Os usuários podem ser sincronizados para locatários de destino como membros externos (padrão) ou convidados externos.
- Para obter mais informações sobre as definições de UserType, consulte Propriedades de um usuário de colaboração B2B do Microsoft Entra.
Eu tenho usuários de colaboração B2B existentes. O que lhes vai acontecer?
- A sincronização entre locatários corresponderá ao usuário e fará as atualizações necessárias para o usuário, como atualizar o nome para exibição. Por padrão, o UserType não será atualizado de convidado para membro, mas você pode configurar isso nos mapeamentos de atributo.
Atributos
Quais atributos de usuário podem ser sincronizados?
- A sincronização entre locatários sincronizará atributos comumente usados no objeto de usuário no ID do Microsoft Entra, incluindo (mas não limitado a) atributos displayName, userPrincipalName e extensão de diretório.
- A sincronização entre locatários oferece suporte ao provisionamento do atributo manager na nuvem comercial. A sincronização do Manager ainda não é suportada na nuvem do governo dos EUA. Tanto o usuário quanto seu gerente devem estar no escopo para sincronização entre locatários, a fim de provisionar o atributo manager.
- Para configurações de sincronização entre locatários criadas após janeiro de 2024 com os mapeamentos de esquema/atributo padrão:
- O atributo manager será adicionado automaticamente aos mapeamentos de atributos.
- As atualizações do gerente serão aplicadas no ciclo incremental para os usuários que estão passando por alterações (por exemplo, mudança de gerente). O mecanismo de sincronização não atualiza automaticamente todos os usuários existentes que foram provisionados anteriormente.
- Para atualizar o gerenciador para usuários existentes que estão no escopo para provisionamento, você pode usar o provisionamento sob demanda para usuários específicos ou fazer uma reinicialização para provisionar o gerenciador para todos os usuários.
- Para configurações de sincronização entre locatários criadas antes de janeiro de 2024 com mapeamentos de esquema/atributo personalizados (por exemplo, você adicionou um atributo aos mapeamentos ou alterou os mapeamentos padrão):
- Você precisa adicionar o atributo manager aos seus mapeamentos de atributos. Isso acionará uma reinicialização e atualizará todos os usuários que estão no escopo para provisionamento. Isso deve ser um mapeamento direto do atributo manager no locatário de origem para o gerente no locatário de destino.
- Se o gerente de um usuário for removido no locatário de origem e nenhum novo gerente for atribuído no locatário de origem, o atributo manager não será atualizado no locatário de destino.
- Para configurações de sincronização entre locatários criadas após janeiro de 2024 com os mapeamentos de esquema/atributo padrão:
Quais atributos não podem ser sincronizados?
- Os atributos, incluindo (mas não limitado a) fotos, atributos de segurança personalizados e atributos de usuário fora do diretório, não podem ser sincronizados pela sincronização entre locatários.
Posso controlar onde os atributos do usuário são originados/gerenciados?
- A sincronização entre locatários não oferece controle direto sobre a origem da autoridade. O usuário e seus atributos são considerados autorizados no locatário de origem. Existem fontes paralelas de fluxos de trabalho de autoridade que evoluirão os controles de origem de autoridade para usuários até o nível de atributo e um objeto de usuário na origem pode, em última análise, refletir várias fontes subjacentes. Para o processo de locatário para locatário, isso ainda é tratado como os valores do locatário de origem sendo autoritativos para o processo de sincronização (mesmo que as partes realmente se originem em outro lugar) no locatário de destino. Atualmente, não há suporte para reverter a fonte de autoridade do processo de sincronização.
- A sincronização entre locatários suporta apenas a origem da autoridade no nível do objeto. Isso significa que todos os atributos de um usuário devem vir da mesma fonte, incluindo credenciais. Não é possível reverter a origem da autoridade ou a direção da federação de um objeto sincronizado.
O que acontece se os atributos de um usuário sincronizado forem alterados no locatário de destino?
- A sincronização entre locatários não consulta alterações no destino. Se nenhuma alteração for feita no usuário sincronizado no locatário de origem, as alterações de atributo de usuário feitas no locatário de destino persistirão. No entanto, se forem feitas alterações no usuário no locatário de origem, durante o próximo ciclo de sincronização, o usuário no locatário de destino será atualizado para corresponder ao usuário no locatário de origem.
O locatário de destino pode bloquear manualmente a entrada de um usuário de locatário doméstico/de origem específico que está sincronizado?
- Se nenhuma alteração for feita no usuário sincronizado no locatário de origem, a configuração de entrada em bloco no locatário de destino persistirá. Se for detetada uma alteração para o usuário no locatário de origem, a sincronização entre locatários reativará o usuário bloqueado de entrar no locatário de destino.
Estrutura
Posso sincronizar uma malha entre vários inquilinos?
- A sincronização entre locatários é configurada como uma sincronização ponto a ponto de direção única, o que significa que a sincronização é configurada entre um locatário de origem e um locatário de destino. Várias instâncias de sincronização entre locatários podem ser configuradas para sincronizar de uma única fonte para vários destinos e de várias fontes para um único destino. Mas apenas uma instância de sincronização pode existir entre uma origem e um destino.
- A sincronização entre locatários sincroniza apenas os usuários que são internos ao locatário inicial/de origem, garantindo que você não acabe com um loop em que um usuário é gravado de volta para o mesmo locatário.
- Há suporte para várias topologias. Para obter mais informações, consulte Topologias para sincronização entre locatários.
Posso usar a sincronização entre locatários entre organizações (fora da minha organização multilocatário)?
- Por motivos de privacidade, a sincronização entre locatários destina-se ao uso dentro de uma organização. Recomendamos o uso do gerenciamento de direitos para convidar usuários de colaboração B2B entre organizações.
A sincronização entre locatários pode ser usada para migrar usuários de um locatário para outro?
- Não. A sincronização entre locatários não é uma ferramenta de migração porque o locatário de origem é necessário para que os usuários sincronizados se autentiquem. Além disso, as migrações de locatários exigiriam a migração de dados do usuário, como o SharePoint e o OneDrive.
Colaboração B2B
A sincronização entre locatários resolve alguma limitação de colaboração B2B atual?
Como a sincronização entre locatários é baseada na tecnologia de colaboração B2B existente, aplicam-se limitações existentes. Os exemplos incluem (mas não estão limitados a):
Aplicação ou serviço Limitações Power BI - O suporte para UserType Member no Power BI está atualmente em visualização. Para obter mais informações, consulte Distribuir conteúdo do Power BI para usuários convidados externos com o Microsoft Entra B2B. Área de Trabalho Virtual do Azure - Membro externo e convidado externo não são suportados na Área de Trabalho Virtual do Azure.
Conexão direta B2B
Como a sincronização entre locatários se relaciona com a conexão direta B2B?
- A conexão direta B2B é a tecnologia de identidade subjacente necessária para os canais compartilhados do Teams Connect.
- Recomendamos a colaboração B2B para todos os outros cenários de acesso a aplicativos entre locatários, incluindo aplicativos Microsoft e não Microsoft.
- A conexão direta B2B e a sincronização entre locatários foram projetadas para coexistir, e você pode habilitá-las para uma ampla cobertura de cenários entre locatário.
Estamos tentando determinar até que ponto precisaremos utilizar a sincronização entre locatários em nossa organização multilocatário. Você planeja estender o suporte para conexão direta B2B além do Teams Connect?
- Não há nenhum plano para estender o suporte para conexão direta B2B além dos canais compartilhados do Teams Connect.
O Microsoft 365
A sincronização entre locatários melhora qualquer experiência de usuário de acesso ao aplicativo Microsoft 365 entre locatários?
- A sincronização entre locatários utiliza um recurso que melhora a experiência do usuário, suprimindo o prompt de consentimento B2B pela primeira vez e o processo de resgate em cada locatário.
- Os usuários sincronizados terão as mesmas experiências entre locatários do Microsoft 365 disponíveis para qualquer outro usuário de colaboração B2B.
A sincronização entre locatários pode permitir cenários de pesquisa de pessoas no Microsoft 365?
- Sim, a sincronização entre locatários pode permitir a pesquisa de pessoas no M365. Verifique se o atributo showInAddressList está definido como True nos usuários do locatário de destino. O atributo showInAddressList é definido como true por padrão nos mapeamentos de atributos de sincronização entre locatários.
- A sincronização entre locatários cria usuários de colaboração B2B e não cria contatos.
Equipas
A sincronização entre locatários melhora as experiências atuais do Teams?
- Os usuários sincronizados terão as mesmas experiências entre locatários do Microsoft 365 disponíveis para qualquer outro usuário de colaboração B2B.
Integração
Quais opções de federação são suportadas para usuários no locatário de destino de volta ao locatário de origem?
- Para cada usuário interno no locatário de origem, a sincronização entre locatários cria um usuário externo federado (comumente usado em B2B) no destino. Ele suporta a sincronização de usuários internos. Isso inclui usuários internos federados a outros sistemas de identidade usando federação de domínio (como os Serviços de Federação do Ative Directory). Não suporta a sincronização de utilizadores externos.
A sincronização entre locatários usa o System for Cross-domain Identity Management (SCIM)?
- Não. Atualmente, o Microsoft Entra ID suporta um cliente SCIM, mas não um servidor SCIM. Para obter mais informações, consulte Sincronização SCIM com o Microsoft Entra ID.
Desprovisionamento
A sincronização entre locatários oferece suporte ao desprovisionamento de usuários?
Sim, quando as ações abaixo ocorrerem no locatário de origem, o usuário será excluído suavemente no locatário de destino.
- Excluir o usuário no locatário de origem
- Cancelar a atribuição do usuário da configuração de sincronização entre locatários
- Remover o usuário de um grupo atribuído à configuração de sincronização entre locatários
- Um atributo no usuário é alterado de tal forma que ele não atende mais às condições de filtro de escopo definidas na configuração de sincronização entre locatários
Se o usuário for impedido de entrar no locatário de origem (accountEnabled = false), ele será impedido de entrar no destino. Esta não é uma exclusão, mas uma atualização para a propriedade accountEnabled.
Os usuários não são excluídos suavemente do locatário de destino neste cenário:
- Adicione um usuário a um grupo e atribua-o à configuração de sincronização entre locatários no locatário de origem.
- Provisione o usuário sob demanda ou através do ciclo incremental.
- Atualize o status da conta habilitada para false no usuário no locatário de origem.
- Provisione o usuário sob demanda ou através do ciclo incremental. O status de conta habilitada é alterado para false no locatário de destino.
- Remova o usuário do grupo no locatário de origem.
A sincronização entre locatários suporta a restauração de usuários?
- Se o usuário no locatário de origem for restaurado, reatribuído ao aplicativo, atender à condição de escopo novamente dentro de 30 dias após a exclusão suave, ele será restaurado no locatário de destino.
- Os administradores de TI também podem restaurar manualmente o usuário diretamente no locatário de destino.
Como posso desprovisionar todos os usuários que estão atualmente no escopo da sincronização entre locatários?
- Cancele a atribuição de todos os usuários ou grupos da configuração de sincronização entre locatários. Isso acionará todos os usuários que não foram atribuídos, diretamente ou por meio da associação ao grupo, para serem desprovisionados em ciclos de sincronização subsequentes. Observe que o locatário de destino precisará manter a política de entrada para sincronização habilitada até que o desprovisionamento seja concluído. Se o escopo estiver definido como Sincronizar todos os usuários e grupos, você também precisará alterá-lo para Sincronizar apenas usuários e grupos atribuídos. Os usuários serão automaticamente excluídos suavemente pela sincronização entre locatários. Os usuários serão excluídos automaticamente após 30 dias ou você pode optar por excluir os usuários diretamente do locatário de destino. Você pode optar por excluir os usuários diretamente no locatário de destino ou aguardar 30 dias para que os usuários sejam excluídos automaticamente.
Se a relação de sincronização for cortada, os usuários externos gerenciados anteriormente pela sincronização entre locatários serão excluídos no locatário de destino?
- Não. Nenhuma alteração será feita nos usuários externos gerenciados anteriormente pela sincronização entre locatários se a relação for cortada (por exemplo, se a política de sincronização entre locatários for excluída).