Ограничения в мультитенантных организациях
В этой статье описываются ограничения, которые следует учитывать при работе с мультитенантными функциями организации в идентификаторе Microsoft Entra и Microsoft 365. Чтобы предоставить отзывы о функциях многотенантной организации в UserVoice, см. статью Microsoft Entra UserVoice. Мы внимательно следим за отзывами на UserVoice, чтобы улучшить службу.
Область
Ограничения, описанные в этой статье, имеют следующую область.
Scope | Description |
---|---|
Область | — Ограничения администратора Microsoft Entra, связанные с мультитенантными организациями для поддержки простого взаимодействия в новых Microsoft Teams, с взаимно подготовленными участниками B2B — Ограничения администратора Microsoft Entra, связанные с мультитенантными организациями для поддержки простого взаимодействия в Microsoft Viva Engage, с централизованно подготовленными участниками B2B |
Связанная область | — ограничения Центр администрирования Microsoft 365, связанные с мультитенантными организациями — Многотенантные возможности поиска пользователей в организации Microsoft 365 — ограничения синхронизации между клиентами, связанные с Microsoft 365 |
Вне области | — синхронизация между клиентами, не связанная с Microsoft 365 — взаимодействие с конечными пользователями в новых Teams — взаимодействие с конечными пользователями в Viva Engage — миграция клиента или консолидация |
Неподдерживаемые сценарии | — Мультитенантные организации в клиентах для образовательных учреждений с участием сценариев учащихся — Мультитенантные организации в Microsoft 365 для государственных организаций — простой интерфейс совместной работы между мультитенантными организациями в классических Teams — самообслуживание для мультитенантных организаций, превышающих 100 клиентов — Мультитенантные организации в Azure для государственных организаций или Microsoft Azure, управляемые 21Vianet — межоблачные мультитенантные организации |
Создание или присоединение мультитенантной организации с помощью Центр администрирования Microsoft 365
После создания мультитенантной организации в Центр администрирования Microsoft 365 вы увидите, что Центр администрирования Майкрософт создал конфигурации синхронизации между клиентами с именами
MTO_Sync_<TenantID>
. Воздерживайтесь от редактирования или изменения имени, если вы хотите, чтобы Центр администрирования Microsoft 365 распознать конфигурации как созданные и управляемые Центр администрирования Microsoft 365.Задания синхронизации, созданные с идентификатором Microsoft Entra, не отображаются в Центр администрирования Microsoft 365. Центр администрирования Microsoft 365 будет указывать Состояние исходящей синхронизации не настроено. Это ожидаемое поведение. Не существует поддерживаемого шаблона для Центр администрирования Microsoft 365 управлять заданиями синхронизации между клиентами, созданными в Центре администрирования Microsoft Entra.
Параметры доступа между клиентами
Синхронизация между клиентами в идентификаторе Microsoft Entra не поддерживает установку конфигурации синхронизации между клиентами перед тем, как клиент под вопросом разрешает входящие синхронизации в параметрах доступа между клиентами для синхронизации удостоверений.
Поэтому до создания мультитенантной организации рекомендуется использовать шаблон параметров доступа между клиентами для синхронизации удостоверений с
userSyncInbound
заданным значением true.Аналогичным образом до создания мультитенантной организации рекомендуется
automaticUserConsentSettings.inboundAllowed
использовать шаблон параметров доступа между клиентами для конфигураций партнеров иautomaticUserConsentSettings.outboundAllowed
задать значение true.
Присоединение запросов
Существует несколько причин, по которым может завершиться сбой запроса на присоединение. Если Центр администрирования Microsoft 365 не указывает, почему запрос на присоединение не выполнен, попробуйте проверить ответ запроса на присоединение с помощью API Microsoft Graph или Microsoft Graph Explorer.
Если вы выполнили правильную последовательность для создания мультитенантной организации и добавления клиента в мультитенантную организацию, а запрос на присоединение к добавленным клиенту продолжает завершать сбой, отправьте запрос на поддержку в Microsoft Entra или Центр администрирования Microsoft 365.
Параметры подготовки внешних пользователей-участников
- Если вы уже используете синхронизацию Microsoft Entra с несколькими клиентами, для различных многоуровневых топологий, вам не нужно использовать Центр администрирования Microsoft 365 совместно использовать функциональные возможности пользователей. Вместо этого может потребоваться продолжить использование существующих заданий синхронизации Microsoft Entra между клиентами.
- Если вы ранее не использовали синхронизацию Microsoft Entra между клиентами и планируете установить топологию совместного набора пользователей, где один и тот же набор пользователей предоставляется всем клиентам мультитенантной организации, может потребоваться использовать функциональность Центр администрирования Microsoft 365 совместного использования пользователей.
- Если у вас уже есть собственный механизм подготовки пользователей в масштабе, вы можете использовать новые преимущества мультитенантной организации, продолжая использовать собственный механизм для управления жизненным циклом сотрудников.
- Если необходимо создать отдельных внешних пользователей-участников в клиенте узла, а не создавать их с помощью модуля подготовки из исходного клиента, см. статью "Создание, приглашение и удаление пользователей".
Синхронизация между клиентами в Центре администрирования Microsoft Entra
Для корпоративных организаций с сложными конфигурациями удостоверений рекомендуется использовать синхронизацию между клиентами в Центре администрирования Microsoft Entra.
По умолчанию новые пользователи B2B подготавливаются как члены B2B, а существующие гости B2B остаются гостями B2B. Вы можете преобразовать гостей B2B в члены B2B, задав для этого сопоставления значение Always.
По умолчанию
showInAddressList
синхронизируется с целевым клиентом как true. Вы можете изменить это сопоставление атрибутов в соответствии с потребностями вашей организации.Масштабируемая подготовка пользователей B2B может столкнуться с объектами контакта. Обработка или преобразование объектов контакта в настоящее время не поддерживается.
Использование межтенантной синхронизации для целевых гибридных удостоверений, преобразованных в пользователей B2B, в настоящее время не поддерживается.
Синхронизация пользователей в Центр администрирования Microsoft 365
Для небольших мультитенантных организаций рекомендуется использовать Центр администрирования Microsoft 365 для синхронизации пользователей с несколькими клиентами мультитенантной организации.
Чтобы совместно использовать пользователей, Центр администрирования Microsoft 365 создает несколько заданий синхронизации между клиентами, по одному на целевой клиент, сохраняя одинаковую область пользователя для всех заданий.
После создания заданий синхронизации между клиентами Центр администрирования Microsoft 365 можно настроить сопоставления атрибутов в Центре администрирования Microsoft Entra в соответствии с потребностями организаций.
Гости B2B или члены B2B, управляемые в клиенте узла
Продвижение гостей B2B участникам B2B представляет стратегическое решение мультитенантных организаций рассматривать участников B2B как доверенных пользователей организации. Просмотрите разрешения по умолчанию для участников B2B.
Так как ваша организация развертывает функции мультитенантной организации, включая подготовку пользователей B2B в клиентах мультитенантной организации, может потребоваться подготовить некоторых пользователей в качестве гостей B2B, подготовив других пользователей в качестве участников B2B.
Чтобы повысить уровень гостей B2B до участников B2B, администратор клиента узла может изменить пользовательский тип, если свойство не выполняется повторяющейся синхронизации.
Гости B2B или члены B2B, управляемые с помощью межтенантной синхронизации
Если синхронизация между клиентами используется для повторяющейся синхронизации свойства userType, администратор исходного клиента может изменить сопоставления атрибутов.
Может потребоваться установить две конфигурации синхронизации между клиентами Microsoft Entra в исходном клиенте, один с сопоставлениями атрибутов userType, настроенными для гостевого пользователя B2B, а другой с сопоставлениями атрибутов userType, настроенными для члена B2B, каждый из которых имеет значение Apply this mapping set to Always.
Переместив пользователя из одной области конфигурации в другую, вы можете легко контролировать, кто будет гостем B2B или членом B2B в целевом клиенте. С помощью этого подхода также может потребоваться отключить действия целевого объекта для удаления.
Глобальный список адресов, управляемый в клиенте узла
Свойство showInAddressList пользователя B2B можно обновить с правами администратора пользователя в Microsoft Graph Explorer или Microsoft Graph PowerShell.
Обновление свойства showInAddressList в объекте пользователя также обновит получателей из параметров списков адресов в Microsoft Exchange Online.
Параметр скрытия получателей из списков адресов, если настроено отличаться от свойства showInAddressList , имеет приоритет при определении видимости списка адресов.
Если параметр скрытия получателей не настраивается в Центре администрирования Exchange из-за типа пользователя Guest, его можно настроить в PowerShell с помощью свойства HiddenFromAddressListsEnabled.
Дополнительные сведения см. в разделе "Добавление гостей в глобальный список адресов".
Глобальный список адресов, управляемый с помощью синхронизации между клиентами
- Если синхронизация между клиентами используется для синхронизации свойства, showInAddressList в исходном клиенте можно использовать для управления видимостью списка адресов в целевом клиенте.
- С другой стороны, скрыть получателей из списков адресов в исходном клиенте нельзя использовать для влияния на видимость списка адресов в целевом клиенте.
Приложения Майкрософт
В пользовательских интерфейсах SharePoint OneDrive при совместном использовании файла с пользователями в Fabrikam текущие пользовательские интерфейсы могут быть контринтуитивными, так как члены B2B в Fabrikam от Contoso учитываются в отношении людей в Fabrikam.
В Центр администрирования Microsoft 365, Microsoft Forms, Microsoft OneNote и Планировщик (Майкрософт) пользователи-члены B2B могут не поддерживаться.
В Microsoft Power BI поддержка участников B2B в настоящее время находится в предварительной версии. Гостевые пользователи B2B могут продолжать получать доступ к панелям мониторинга Power BI.
В Microsoft Power Apps, Microsoft Dynamics 365 и связанных рабочих нагрузок пользователи-члены B2B могут иметь ограниченные функциональные возможности. Дополнительные сведения см. в статье "Пригласить пользователей с помощью Службы совместной работы Microsoft Entra B2B".
В Microsoft Purview возможности мультитенантной организации пока не поддерживаются. Узнайте больше о существующих функциональных возможностях для внешних пользователей и помеченного содержимого и о внешней совместной работе с помощью меток конфиденциальности.
В Microsoft Intune возможности мультитенантной организации пока не поддерживаются. Узнайте больше о существующих функциональных возможностях для доверия утверждений устройств, соответствующих требованиям, из внешних организаций.
Пользователи B2B или члены B2B
В рамках мультитенантной организации сброс активации для уже активированного пользователя B2B в настоящее время отключен.
Масштабируемая подготовка пользователей B2B может столкнуться с объектами контакта. Обработка или преобразование объектов контакта в настоящее время не поддерживается.
Использование синхронизации между клиентами для целевых гибридных удостоверений, преобразованных в пользователей B2B, не было проверено в источнике конфликтов центра и не поддерживается.
Пользователи, вошедшего в систему, могут читать базовые атрибуты мультитенантной организации и арендаторов участников мультитенантной организации без назначения ролей, таких как средство чтения безопасности или глобальное средство чтения.
Отмена подготовки межтенантной синхронизации
По умолчанию при снижении области подготовки во время выполнения задания синхронизации пользователи выходят из области и удаляются обратимо, если только не отключены действия целевого объекта для удаления . Дополнительные сведения см. в разделе "Отмена подготовки " и "Определение того, кто находится в области подготовки".
В настоящее время SkipOutOfScopeDeletions работает для заданий подготовки приложений, но не для синхронизации между клиентами. Чтобы избежать обратимого удаления пользователей, удаленных из области синхронизации между клиентами, задайте для удаления действие целевого объекта для удаления .