通过

多租户组织中的限制

  • 项目

本文介绍跨 Microsoft Entra ID 和 Microsoft 365 使用多租户组织功能时要注意的限制。 要对 UserVoice 上的多租户组织功能提供反馈,请参阅 Microsoft Entra UserVoice。 我们将密切关注 UserVoice,以便改进该服务。

范围

本文所述的限制的范围如下。

作用域 说明
范围内 - 与租户组织相关的 Microsoft Entra 管理员限制,用于支持新 Microsoft Teams 中的无缝协作体验,包含相互预配的 B2B 成员
- 与多租户组织相关的 Microsoft Entra 管理员限制,用于支持 Microsoft Viva Engage 中的无缝协作体验,包含集中预配的 B2B 成员
相关范围 - 与多租户组织相关的 Microsoft 365 管理中心限制
- Microsoft 365 多租户组织人员搜索体验
- 与 Microsoft 365 相关的跨租户同步限制
超出范围 - 与 Microsoft 365 无关的跨租户同步
- 新 Teams 中的最终用户体验
- Viva Engage 中的最终用户体验
- 租户迁移或合并
不支持的方案 - 涉及学生方案的跨教育租户的多租户组织
- Microsoft 365 政府版中的多租户组织
- 经典 Teams 中跨多租户组织无缝协作体验
- 适用于规模大于 100 个租户的多租户组织的自助服务
- Azure 政府或由世纪互联运营的 Microsoft Azure 中的多租户组织
- 跨云多租户组织

使用 Microsoft 365 管理中心创建或加入多租户组织

  • 在 Microsoft 365 管理中心创建多租户组织后,你将看到 Microsoft 管理中心使用名称 MTO_Sync_<TenantID> 创建了跨租户同步配置。 如果希望 Microsoft 365 管理中心识别由 Microsoft 365 管理中心创建和管理的配置,请不要编辑或更改名称。

  • 使用 Microsoft Entra ID 创建的同步作业不会出现在 Microsoft 365 管理中心。 Microsoft 365 管理中心将指示“出站同步状态”为“未配置”。 这是预期的行为。 Microsoft 365 管理中心没有受支持的模式来控制在 Microsoft Entra 管理中心创建的跨租户同步作业。

跨租户访问设置

  • 在相关租户允许在其跨租户访问设置中进行入站同步以进行身份同步之前,Microsoft Entra 中的跨租户同步不支持建立跨租户同步配置。

  • 因此,在创建多租户组织之前,鼓励使用跨租户访问设置模板进行标识同步,并将 userSyncInbound 设置为 true。

  • 同样,在创建多租户组织之前,鼓励使用跨租户访问设置模板进行合作伙伴配置,并将 automaticUserConsentSettings.inboundAllowedautomaticUserConsentSettings.outboundAllowed 设置为 true。

加入请求

  • 可能有多种原因导致联接请求可能失败。 如果 Microsoft 365 管理中心未指示联接请求不成功的原因,请尝试使用 Microsoft Graph API 或 Microsoft Graph 资源管理器检查联接请求响应。

  • 如果你遵循了创建多租户组织并将租户添加到多租户组织的正确顺序,但添加的租户的加入请求一直失败,则请在 Microsoft Entra 或 Microsoft 365 管理中心提交支持请求。

用于预配外部成员用户的选项

  • 如果已在使用 Microsoft Entra 跨租户同步,则对于各种多中心多分支型拓扑,无需使用 Microsoft 365 管理中心共享用户功能。 相反,你可能希望继续使用现有的 Microsoft Entra 跨租户同步作业。
  • 如果以前未使用过 Microsoft Entra 跨租户同步,并且打算建立协作用户集拓扑,其中同一组用户共享给所有多租户组织租户,则可能需要使用 Microsoft 365 管理中心共享用户功能。
  • 如果你已有自己的大规模用户预配引擎,则可以利用新的多租户组织优势,同时继续使用自己的引擎来管理员工的生命周期。
  • 如果需要在主机租户中创建单个外部成员用户,而不是通过源租户的预配引擎创建这些用户,请参阅如何创建、邀请和删除用户

Microsoft Entra 管理中心中的跨租户同步

  • 对于使用复杂标识配置的企业组织,我们建议使用 Microsoft Entra 管理中心中的跨租户同步。

  • 默认情况下,新的 B2B 用户预配为 B2B 成员,而现有 B2B 来宾仍为 B2B 来宾。 可以通过将应用此映射设置为始终,选择将 B2B 来宾转换为 B2B 成员。

  • 默认情况下,showInAddressList 作为 true 同步到目标租户。 可以调整此属性映射以满足组织的需求。

  • B2B 用户的大规模预配可能与联系人对象冲突。 目前不支持处理或转换联系人对象。

  • 目前不支持将跨租户同步用于已转换为 B2B 用户的混合标识。

在 Microsoft 365 管理中心同步用户

  • 对于较小的多租户组织,我们建议使用 Microsoft 365 管理中心将用户同步到多租户组织的多个租户

  • 为了共享用户,Microsoft 365 管理中心会创建多个跨租户同步作业,每个目标租户一个,以便为所有作业保留相同的用户范围。

  • 在 Microsoft 365 管理中心创建跨租户同步作业后,可以调整 Microsoft Entra 管理中心中的属性映射,以满足组织的需求。

在主机租户中管理的 B2B 来宾或 B2B 成员

  • 将 B2B 来宾提升为 B2B 成员表示多租户组织将 B2B 成员视为组织受信任用户的战略决策。 查看 B2B 成员的 默认权限

  • 随着你的组织推出多租户组织功能(包括跨多租户组织租户预配 B2B 用户),你可能希望将某些用户预配为 B2B 来宾,同时将其他用户预配为 B2B 成员。

  • 若要将 B2B 来宾提升为 B2B 成员,主机租户管理员可以更改 userType,前提是该属性不会定期同步。

使用跨租户同步管理的 B2B 来宾或 B2B 成员

  • 如果使用跨租户同步来定期同步 userType 属性,源租户管理员可以修改属性映射

  • 可能需要在源租户中建立两个 Microsoft Entra 跨租户同步配置,一个将配置 userType 属性映射为 B2B 来宾,另一个将配置 userType 属性映射配置为 B2B 成员,每个配置都将应用此映射”设置为“始终”

  • 通过将用户从一个配置的范围移到另一个配置范围,可以轻松控制谁将成为目标租户中的 B2B 来宾或 B2B 成员。 使用此方法,可能还需要禁用删除的目标对象操作

托管在主机租户中的全局地址列表

使用跨租户同步管理的全局地址列表

  • 如果使用跨租户同步来同步属性,则源租户中的 showInAddressList 可用于控制目标租户中显示的地址列表。
  • 另一方面,不能使用源租户中的隐藏地址列表中的收件人,以影响目标租户中显示的地址列表。

Microsoft 应用

B2B 用户或 B2B 成员

  • 作为多租户组织的一部分,已兑换的 B2B 用户的重置兑换目前处于禁用状态。

  • B2B 用户的大规模预配可能与联系人对象冲突。 目前不支持处理或转换联系人对象。

  • 使用跨租户同步来定位已转换为 B2B 用户的混合标识的功能尚未在颁发机构冲突源中进行测试,因此不受支持。

  • 已登录的用户能够读取多租户组织的基本特性以及多租户组织成员租户,而无需分配有安全读者全局读者等角色。

跨租户同步取消预配

后续步骤