Begränsningar i organisationer med flera klientorganisationer
Den här artikeln beskriver begränsningar att vara medveten om när du arbetar med funktioner för flera klienter i organisationen i Microsoft Entra ID och Microsoft 365. Information om hur du ger feedback om funktioner för flera klientorganisationer på UserVoice finns i Microsoft Entra UserVoice. Vi tittar noga på UserVoice så att vi kan förbättra tjänsten.
Omfattning
De begränsningar som beskrivs i den här artikeln har följande omfång.
| Omfattning | beskrivning |
|---|---|
| I omfång | – Microsoft Entra-administrativa begränsningar relaterade till multitenant-organisationer för att stödja sömlösa samarbetsupplevelser i nya Microsoft Teams, med ömsesidigt provisionerade B2B-medlemmar – Microsoft Entra-administratörsbegränsningar relaterade till organisationer med flera klientorganisationer för att stödja sömlösa samarbetsupplevelser i Microsoft Viva Engage, med centralt etablerade B2B-medlemmar |
| Relaterat omfång | Begränsningar i administrationscentret för Microsoft 365 relaterade till multitenant-organisationer – Sökupplevelser för personer med flera klientorganisationer i Microsoft 365 – Synkroniseringsbegränsningar mellan klientorganisationer relaterade till Microsoft 365 |
| Omfattas ej | – Synkronisering mellan klientorganisationer som inte är relaterad till Microsoft 365 – Slutanvändarupplevelser i nya Teams – Slutanvändarupplevelser i Viva Engage – Klientmigrering eller konsolidering |
| Scenarier som inte stöds | – Organisationer med flera klienter i utbildningsmiljöer som involverar studentscenarier – Organisationer med flera klientorganisationer i Microsoft 365 Government – Sömlös samarbetsupplevelse mellan fleranvändarorganisationer i klassiska Teams – Självbetjäning för organisationer med flera klienter som är större än 100 klienter – Organisationer med flera klientorganisationer i Azure Government eller Microsoft Azure som drivs av 21Vianet – Cross-moln fleranvändarorganisationer |
Skapa eller ansluta till en organisation med flera klientorganisationer med hjälp av Administrationscenter för Microsoft 365
När du har skapat en organisation för flera klienter i administrationscenter för Microsoft 365, kommer du att se att Microsoft 365-administrationscentret har skapat konfigurationer för synkronisering mellan klientorganisationer med namnen
MTO_Sync_<TenantID>. Avstå från att redigera eller ändra namnet om du vill att Administrationscenter för Microsoft 365 ska känna igen konfigurationerna som skapade och hanterade av Administrationscenter för Microsoft 365.Synkroniseringsjobb som skapats med Microsoft Entra-ID visas inte i Administrationscenter för Microsoft 365. Administrationscenter för Microsoft 365 indikerar en Utgående synkroniseringsstatus för Inte konfigurerad. Det här beteendet är förväntat. Det finns inget stödt mönster för Microsoft 365-administrationscenter att ta kontroll över synkroniseringsjobb mellan kunder som skapats i Microsoft Entra-administrationscentret.
Åtkomstinställningar mellan klientorganisationer
Synkronisering mellan klientorganisationer i Microsoft Entra-ID stöder inte upprättandet av en synkroniseringskonfiguration mellan klientorganisationer innan klientorganisationen i fråga tillåter inkommande synkronisering i sina åtkomstinställningar mellan klientorganisationer för identitetssynkronisering.
Innan flera klientorganisationer skapas uppmuntras därför användningen av mallen för inställningar för åtkomst mellan klientorganisationer för identitetssynkronisering, med
userSyncInboundvärdet true.Innan flera klientorganisationer skapas uppmuntras på samma sätt att mallen för åtkomstinställningar mellan klientorganisationer för partnerkonfigurationer används, med värdena för
automaticUserConsentSettings.inboundAllowedochautomaticUserConsentSettings.outboundAllowedsätts till true.
Anslut begäranden
Det finns flera orsaker till varför en anslutningsbegäran kan misslyckas. Om Administrationscenter för Microsoft 365 inte anger varför en anslutningsbegäran inte lyckas kan du prova att undersöka svaret på anslutningsbegäran med hjälp av Microsoft Graph-API:erna eller Microsoft Graph Explorer.
Om du har följt rätt sekvens för att skapa en organisation med flera klienter och lägga till en klientorganisation i organisationen för flera klienter, och den tillagda klientorganisationens anslutningsbegäran fortsätter att misslyckas, skickar du en supportbegäran i Microsoft Entra eller Administrationscenter för Microsoft 365.
Alternativ för att konfigurera dina externa medlemsanvändare
- Om du redan använder Microsoft Entra-synkronisering mellan klientorganisationer för olika topologier för flera hubbar flera ekrar, behöver du inte använda funktionaliteten för att dela användare i administrationscentret för Microsoft 365. I stället kanske du vill fortsätta använda dina befintliga synkroniseringsjobb mellan klientorganisationer i Microsoft Entra.
- Om du inte tidigare har använt Microsoft Entra synkronisering mellan klientorganisationer och du tänker upprätta en samarbetsanvändaruppsättningstopologi där samma uppsättning användare delas till alla multitenant-klientorganisationer, kanske du vill använda funktionen för att dela användare i Microsoft 365-administrationscenter.
- Om du redan har en egen motor för användaretablering i stor skala kan du använda de nya fördelarna med flera klientorganisationer samtidigt som du fortsätter att använda din egen motor för att hantera de anställdas livscykel.
- Om du behöver skapa enskilda externa medlemsanvändare i en värdklientorganisation i stället för att skapa dem via en etableringsmotor från en källklient kan du läsa Skapa, bjuda in och ta bort användare.
Synkronisering mellan klientorganisationer i administrationscentret för Microsoft Entra
För företagsorganisationer med komplexa identitetskonfigurationer rekommenderar vi att du använder synkronisering mellan klientorganisationer i administrationscentret för Microsoft Entra.
Som standard etableras nya B2B-användare som B2B-medlemmar, medan befintliga B2B-gäster förblir B2B-gäster. Du kan välja att konvertera B2B-gäster till B2B-medlemmar genom att ange Tillämpa den här mappningen på Always.
Som standardinställning är
showInAddressListsynkroniserat till en målklientorganisation som sann. Du kan justera den här attributmappningen så att den matchar organisationens behov.Storskalig provisionering av B2B-användare kan komma i konflikt med kontaktobjekt. Hantering eller konvertering av kontaktobjekt stöds för närvarande inte.
Användning av synkronisering mellan klientorganisationer för hybrididentiteter som har konverterats till B2B-användare stöds för närvarande inte.
Synkronisera användare i Administrationscenter för Microsoft 365
För mindre organisationer med flera klienter rekommenderar vi att du använder Administrationscenter för Microsoft 365 för att synkronisera användare till flera klientorganisationer i din organisation med flera klienter.
För att dela användare skapar Microsoft 365 Administrationscenter flera klientövergripande synkroniseringsjobb, ett per målklient, och behåller samma användaromfång för alla jobb.
När Administrationscenter för Microsoft 365 har skapat synkroniseringsjobben mellan klientorganisationer kan du justera attributmappningar i administrationscentret för Microsoft Entra efter organisationens behov.
B2B-gäster eller B2B-medlemmar som hanteras i värdklientorganisationen
Befordran av B2B-gäster till B2B-medlemmar representerar ett strategiskt beslut av flera organisationer att betrakta B2B-medlemmar som betrodda användare i organisationen. Granska standardinställningarna för B2B-medlemmar.
När din organisation distribuerar funktioner för flera klientorganisationer, inklusive etablering av B2B-användare i flera klientorganisationer, kanske du vill etablera vissa användare som B2B-gäster, samtidigt som du etablerar andra användare som B2B-medlemmar.
Om du vill höja upp B2B-gäster till B2B-medlemmar kan en värdklientadministratör ändra userType, förutsatt att egenskapen inte synkroniseras återkommande.
B2B-gäster eller B2B-medlemmar som hanteras med synkronisering mellan klientorganisationer
Om synkronisering mellan klientorganisationer används för att återkommande synkronisera egenskapen userType kan en källklientadministratör ändra attributmappningarna.
Du kanske vill upprätta två Microsoft Entra-synkroniseringskonfigurationer i källklientorganisationen, en med userType-attributmappningar konfigurerade till B2B-gäst och en annan med userType-attributmappningar konfigurerade till B2B-medlem, var och en med Använd den här mappningen inställd på Always.
Genom att flytta en användare från den ena konfigurationens omfång till den andra kan du enkelt styra vem som ska vara B2B-gäst eller B2B-medlem i målklientorganisationen. Med den här metoden kanske du också vill inaktivera Målobjektåtgärder för borttagning.
Global adresslista som hanteras i värdklientorganisationen
Egenskapen showInAddressList för en B2B-användare kan uppdateras med användaradministratörsbehörigheter i Microsoft Graph Explorer eller Microsoft Graph PowerShell.
Om du uppdaterar egenskapen showInAddressList för användarobjektet uppdateras även inställningen dölj mottagare från adresslistor i Microsoft Exchange Online.
Inställningen dölj mottagare från adresslistor , om den är konfigurerad för att skilja sig från egenskapen showInAddressList , har företräde när det gäller att fastställa synligheten för adresslistan.
Om inställningen dölj mottagare inte kan konfigureras i administrationscentret för Exchange på grund av användartypen Gäst, kan den konfigureras i PowerShell med egenskapen HiddenFromAddressListsEnabled.
Mer information finns i Lägga till gäster i den globala adresslistan.
Global adresslista som hanteras med synkronisering mellan klientorganisationer
- Om synkronisering mellan klientorganisationer används för att synkronisera egenskapen kan showInAddressList i en källklientorganisation användas för att styra synligheten för adresslistan i en målklientorganisation.
- Å andra sidan kan inte dölja mottagare från adresslistor i källklientorganisationen användas för att påverka synligheten för adresslistan i en målklientorganisation.
Microsoft-appar
I SharePoint OneDrive-användargränssnitt kan de aktuella användargränssnitten vara kontraintuitiva när du delar en fil med Personer i Fabrikam, eftersom B2B-medlemmar i Fabrikam från Contoso räknar mot Personer i Fabrikam.
I Administrationscenter för Microsoft 365, Microsoft Forms, Microsoft OneNote och Microsoft Planner kanske B2B-medlemsanvändare inte stöds.
I Microsoft Power BI finns stöd för B2B-medlemmar för närvarande i förhandsversion. B2B-gästanvändare kan fortsätta att komma åt Power BI-instrumentpaneler.
I Microsoft Power Apps, Microsoft Dynamics 365 och relaterade arbetsbelastningar kan B2B-medlemsanvändare ha begränsade funktioner. Mer information finns i Bjud in användare med Microsoft Entra B2B-samarbete.
I Microsoft Purview stöds ännu inte funktioner för flera klientorganisationer. Läs mer om befintliga funktioner för externa användare och etiketterat innehåll och om externt samarbete med hjälp av känslighetsetiketter.
I Microsoft Intune stöds ännu inte funktioner för flera klientorganisationer. Läs mer om befintliga funktioner för att lita på kompatibla enhetsanspråk från externa organisationer.
B2B-användare eller B2B-medlemmar
Som en del av en organisation med flera klientorganisationer inaktiveras för närvarande återställning av inlösen för en redan inlöst B2B-användare .
Etablering i stor skala av B2B-användare kan kollidera med kontaktobjekt. Hantering eller konvertering av kontaktobjekt stöds för närvarande inte.
Användning av synkronisering mellan klientorganisationer för att rikta hybrididentiteter som har konverterats till B2B-användare har inte testats i auktoritetskällkonflikter och stöds inte.
Inloggade användare kan läsa grundläggande attribut för en multitenant-organisation och medlemsklienter i den multitenant-organisationen utan att tilldelas roller, till exempel Security Reader eller Global Reader.
Avetablering av synkronisering mellan klientorganisationer
När etableringsomfånget minskas när ett synkroniseringsjobb körs faller användarna som standard utanför omfånget och tas bort mjukt, såvida inte Målobjektåtgärder för borttagning har inaktiverats. Mer information finns i Avetablering och Definiera vem som är i omfånget för etablering.
För närvarande fungerar SkipOutOfScopeDeletions för programetableringsjobb, men inte för synkronisering mellan klientorganisationer. Om du vill undvika mjuk radering av användare som tas ur synkronisering mellan klientorganisationer, anger du Målobjektsåtgärder för radering till inaktiverat.