Omezení ve víceklientských organizacích
Tento článek popisuje omezení, která je potřeba vědět, když pracujete s funkcemi víceklientských organizací v rámci Microsoft Entra ID a Microsoftu 365. Pokud chcete poskytnout zpětnou vazbu k funkcím víceklientských organizací na UserVoice, přečtěte si téma Microsoft Entra UserVoice. Pozorně sledujeme UserVoice, abychom mohli službu vylepšit.
Obor
Omezení popsaná v tomto článku mají následující rozsah.
| Scope | Popis |
|---|---|
| V oboru | – Omezení správce Microsoft Entra týkající se víceklientských organizací pro podporu bezproblémové spolupráce v novém Microsoft Teams s recipročními zřízenými členy B2B – Omezení správce Microsoft Entra týkající se víceklientských organizací pro podporu bezproblémové spolupráce v Microsoft Viva Engage s centrálně zřízenými členy B2B |
| Související obor | – Centrum pro správu Microsoftu 365 omezení týkající se víceklientských organizací – Vyhledávání uživatelů ve víceklientských organizacích Microsoftu 365 – Omezení synchronizace mezi tenanty související s Microsoftem 365 |
| Mimo rozsah | – Synchronizace mezi tenanty nesouvisející s Microsoftem 365 – Prostředí koncového uživatele v nových Teams – Prostředí koncového uživatele v aplikaci Viva Engage – Migrace nebo konsolidace tenanta |
| Nepodporované scénáře | – Víceklientských organizací napříč tenanty pro vzdělávací organizace zahrnující scénáře studentů – Organizace s více tenanty v Microsoftu 365 Government – Bezproblémové prostředí pro spolupráci napříč víceklientských organizací v klasických Teams – Samoobslužná služba pro víceklientských organizací větších než 100 tenantů – Organizace s více tenanty ve službě Azure Government nebo Microsoft Azure provozované společností 21Vianet – Víceklientských organizací napříč cloudy |
Vytvoření víceklientové organizace nebo připojení k ní pomocí Centrum pro správu Microsoftu 365
Po vytvoření víceklientské organizace v Centrum pro správu Microsoftu 365 uvidíte centrum pro správu Microsoftu vytvořené konfigurace synchronizace mezi tenanty s názvy
MTO_Sync_<TenantID>. Pokud chcete, aby Centrum pro správu Microsoftu 365 rozpoznat konfigurace vytvořené a spravované Centrum pro správu Microsoftu 365, nemusíte upravovat nebo měnit název.Úlohy synchronizace vytvořené s ID Microsoft Entra se v Centrum pro správu Microsoftu 365 nezobrazí. Centrum pro správu Microsoftu 365 označí Stav odchozí synchronizace není nakonfigurovaný. Toto chování je očekávané. Neexistuje žádný podporovaný způsob, jak Centrum pro správu Microsoftu 365 převzít kontrolu nad úlohami synchronizace mezi tenanty vytvořenými v Centru pro správu Microsoft Entra.
Nastavení přístupu mezi tenanty
Synchronizace mezi tenanty v Microsoft Entra ID nepodporuje vytvoření konfigurace synchronizace mezi tenanty dříve, než daný tenant umožňuje příchozí synchronizaci v nastavení přístupu mezi tenanty pro synchronizaci identit.
Proto se před vytvořením víceklientských organizací doporučuje použití šablony nastavení přístupu mezi tenanty pro synchronizaci identit s nastavenou
userSyncInboundna hodnotu True.Podobně se před vytvořením víceklientských organizací doporučuje
automaticUserConsentSettings.inboundAllowedpoužití šablony nastavení přístupu mezi tenanty pro konfigurace partnerů aautomaticUserConsentSettings.outboundAllowednastavit na hodnotu true.
Žádosti o připojení
Žádost o připojení může selhat z několika důvodů. Pokud Centrum pro správu Microsoftu 365 nezoznačuje, proč žádost o připojení není úspěšná, zkuste prozkoumat odpověď na žádost o připojení pomocí rozhraní Microsoft Graph API nebo Microsoft Graph Exploreru.
Pokud jste postupovali podle správného pořadí a vytvořili víceklientskou organizaci a přidali tenanta do víceklientské organizace a žádost o připojení přidaného tenanta selhává, odešlete žádost o podporu v Microsoft Entra nebo Centrum pro správu Microsoftu 365.
Možnosti zřízení externích uživatelů členů
- Pokud už používáte synchronizaci Microsoft Entra mezi tenanty, u různých topologií s více rozbočovači s více paprsky nemusíte používat funkce Centrum pro správu Microsoftu 365 sdílet uživatele. Místo toho můžete chtít pokračovat v používání stávajících synchronizačních úloh Microsoft Entra mezi tenanty.
- Pokud jste dříve nepoužívali synchronizaci Microsoft Entra mezi tenanty a máte v úmyslu vytvořit topologii sady uživatelů, ve které je stejná sada uživatelů sdílená se všemi tenanty organizace s více tenanty, můžete použít funkci Centrum pro správu Microsoftu 365 sdílet uživatele.
- Pokud už máte vlastní modul zřizování uživatelů ve velkém měřítku, můžete využít nové výhody víceklientských organizací a zároveň nadále používat vlastní modul ke správě životního cyklu zaměstnanců.
- Pokud potřebujete vytvořit jednotlivé externí uživatele v hostitelském tenantovi, nemusíte je vytvářet prostřednictvím zřizovacího modulu ze zdrojového tenanta, přečtěte si, jak vytvářet, zvát a odstraňovat uživatele.
Synchronizace mezi tenanty v Centru pro správu Microsoft Entra
Pro podnikové organizace se složitými konfiguracemi identit doporučujeme používat synchronizaci mezi tenanty v Centru pro správu Microsoft Entra.
Ve výchozím nastavení jsou noví uživatelé B2B zřízeni jako členové B2B, zatímco stávající hosté B2B zůstávají hosty B2B. Můžete se rozhodnout převést hosty B2B na členy B2B nastavením Použít toto mapování na always.
Ve výchozím nastavení
showInAddressListse synchronizuje do cílového tenanta jako true. Toto mapování atributů můžete upravit tak, aby odpovídalo potřebám vaší organizace.Zřizování uživatelů B2B ve velkém měřítku může kolidovat s kontaktními objekty. Zpracování nebo převod objektů kontaktu se v současné době nepodporuje.
Použití synchronizace mezi tenanty k cílení hybridních identit, které byly převedeny na uživatele B2B, se v současné době nepodporuje.
Synchronizace uživatelů v Centrum pro správu Microsoftu 365
U menších organizací s více tenanty doporučujeme použít Centrum pro správu Microsoftu 365 k synchronizaci uživatelů do více tenantů vaší organizace s více tenanty.
Pokud chcete sdílet uživatele, Centrum pro správu Microsoftu 365 vytvoří více úloh synchronizace mezi tenanty, jeden pro cílového tenanta a zachová stejný rozsah uživatele pro všechny úlohy.
Centrum pro správu Microsoftu 365 Po vytvoření úloh synchronizace mezi tenanty můžete upravit mapování atributů v Centru pro správu Microsoft Entra tak, aby odpovídaly potřebám vaší organizace.
Hosté B2B nebo členové B2B spravovaní v tenantovi hostitele
Povýšení hostů B2B na členy B2B představuje strategické rozhodnutí víceklientských organizací, které považují členy B2B za důvěryhodné uživatele organizace. Zkontrolujte výchozí oprávnění pro členy B2B.
Vzhledem k tomu, že vaše organizace zavede funkce víceklientských organizací, včetně zřizování uživatelů B2B napříč tenanty víceklientských organizací, můžete některé uživatele zřídit jako hosty B2B a současně zřizovat ostatní uživatele jako členy B2B.
Pokud chcete zvýšit úroveň hostů B2B na členy B2B, může správce hostitelského tenanta změnit typ userType za předpokladu, že vlastnost není opakovaně synchronizována.
Hosté B2B nebo členové B2B spravovaní pomocí synchronizace mezi tenanty
Pokud se synchronizace mezi tenanty používá k opakované synchronizaci vlastnosti userType , může správce zdrojového tenanta změnit mapování atributů.
Můžete chtít vytvořit dvě konfigurace synchronizace mezi tenanty Microsoft Entra ve zdrojovém tenantovi, jednu s mapováním atributů userType nakonfigurovanými na hosta B2B a druhou s mapováním atributů userType nakonfigurovanými na člena B2B, z nichž každá má toto mapování nastavenou na always.
Přesunutím uživatele z oboru jedné konfigurace na druhou můžete snadno určit, kdo bude host B2B nebo člen B2B v cílovém tenantovi. Pomocí tohoto přístupu můžete také zakázat akce cílového objektu pro odstranění.
Globální adresář spravovaný v tenantovi hostitele
Vlastnost showInAddressList uživatele B2B lze aktualizovat pomocí oprávnění správce uživatele v Graph Exploreru nebo v Microsoft Graph PowerShellu.
Aktualizace vlastnosti showInAddressList objektu uživatele také aktualizuje skrytí příjemců z nastavení seznamů adres v systému Microsoft Exchange Online.
Skrytí příjemců ze seznamu adres nastavení, pokud je nakonfigurováno, aby se liší od showInAddressList vlastnost, má přednost při určování viditelnosti seznamu adres.
Pokud nastavení skrýt příjemce není konfigurovatelné v Centru pro správu Exchange kvůli typu host, můžete ho nakonfigurovat v PowerShellu pomocí vlastnosti HiddenFromAddressListsEnabled.
Další informace najdete v tématu Přidání hostů do globálního adresáře.
Globální adresář spravovaný pomocí synchronizace mezi tenanty
- Pokud se synchronizace mezi tenanty používá k synchronizaci vlastnosti, showInAddressList ve zdrojovém tenantovi lze použít k řízení viditelnosti seznamu adres v cílovém tenantovi.
- Na druhou stranu skrytí příjemce ze seznamů adres ve zdrojovém tenantovi nelze použít k ovlivnění viditelnosti seznamu adres v cílovém tenantovi.
Aplikace Microsoftu
V uživatelských rozhraních SharePointu OneDrivu při sdílení souboru s lidmi ve společnosti Fabrikam můžou být aktuální uživatelská rozhraní neintuitivní, protože členové B2B ve společnosti Fabrikam ze společnosti Contoso se započítávají do skupiny Lidé ve společnosti Fabrikam.
V aplikacích Centrum pro správu Microsoftu 365, Microsoft Forms, Microsoft OneNote a Microsoft Planner nemusí být podporováni uživatelé členů B2B.
V Microsoft Power BI je podpora členů B2B aktuálně ve verzi Preview. Uživatelé typu host B2B můžou dál přistupovat k řídicím panelům Power BI.
V Microsoft Power Apps, Microsoft Dynamics 365 a souvisejících úlohách můžou mít členové B2B omezené funkce. Další informace najdete v tématu Pozvání uživatelů pomocí spolupráce Microsoft Entra B2B.
V Microsoft Purview se možnosti víceklientských organizací zatím nepodporují. Přečtěte si další informace o existujících funkcích pro externí uživatele a o obsahu označeném popiskem a o externí spolupráci pomocí popisků citlivosti.
V Microsoft Intune se možnosti víceklientských organizací zatím nepodporují. Přečtěte si další informace o existujících funkcích, které důvěřují deklaracím zařízení vyhovujícím předpisům od externích organizací.
Uživatelé B2B nebo členové B2B
V rámci víceklientských organizací je v současné době zakázané resetování uplatnění již uplatněného uživatele B2B.
Zřizování uživatelů B2B ve velkém měřítku může kolidovat s kontaktními objekty. Zpracování nebo převod objektů kontaktu se v současné době nepodporuje.
Použití synchronizace mezi tenanty k cílení na hybridní identity, které byly převedeny na uživatele B2B, nebylo testováno ve zdroji konfliktů autority a není podporováno.
Přihlášení uživatelé můžou číst základní atributy víceklientských organizací a víceklientských tenantů členů organizace bez přiřazení rolí, jako je čtenář zabezpečení nebo globální čtenář.
Zrušení zřízení synchronizace mezi tenanty
Ve výchozím nastavení platí, že když je obor zřizování v době, kdy je úloha synchronizace spuštěná, uživatelé přejdou z oboru a odstraní se, pokud nejsou zakázané akce cílového objektu pro odstranění . Další informace najdete v tématu Zrušení zřízení a definování, kdo je v oboru zřizování.
V současné době skipOutOfScopeDeletions funguje pro úlohy zřizování aplikací, ale ne pro synchronizaci mezi tenanty. Pokud se chcete vyhnout obnovitelnému odstranění uživatelů odebraných mimo rozsah synchronizace mezi tenanty, nastavte akce cílového objektu pro odstranění , aby se zakázaly.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro