Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die mandantenübergreifende Synchronisierung automatisiert das Erstellen, Aktualisieren und Löschen von Microsoft Entra B2B-Zusammenarbeitsbenutzern über Mandanten in einer Organisation hinweg. Sie ermöglicht Benutzern den Zugriff auf Anwendungen und die mandantenübergreifende Zusammenarbeit, während die Organisation sich dennoch weiterentwickeln kann.
Hier sind die wichtigsten Ziele der mandantenübergreifenden Synchronisierung:
- Nahtlose Zusammenarbeit für eine Organisation mit mehreren Mandanten
- Automatisieren der Lebenszyklusverwaltung von B2B-Zusammenarbeitsbenutzern in einer Organisation mit mehreren Mandanten
- Automatisches Entfernen von B2B-Konten, wenn ein Benutzer die Organisation verlässt
Warum sollte die mandantenübergreifende Synchronisierung verwendet werden?
Bei der mandantenübergreifenden Synchronisierung wird das Erstellen, Aktualisieren und Löschen von B2B-Zusammenarbeitsbenutzern automatisiert. Benutzer, die per mandantenübergreifender Synchronisierung erstellt wurden, können sowohl auf Microsoft-Anwendungen (z. B. Teams und SharePoint) als auch auf Nicht-Microsoft-Anwendungen (z. B ServiceNow, Adobe und viele weitere) zugreifen, unabhängig davon, in welchen Mandanten die Apps integriert sind. Diese Benutzer profitieren weiterhin von den Sicherheitsfunktionen in Microsoft Entra ID, z. B dem bedingten Microsoft Entra-Zugriff und den mandantenübergreifenden Zugriffseinstellungen, und können über Features wie z. B. die Microsoft Entra-Berechtigungsverwaltung gesteuert werden.
Das folgende Diagramm zeigt, wie Sie die mandantenübergreifende Synchronisierung verwenden können, um Benutzern in Ihrer Organisation den mandantenübergreifenden Zugriff auf Anwendungen zu ermöglichen.
Wer sollte sie verwenden?
- Organisationen, die mehrere Microsoft Entra-Mandanten besitzen und den mandantenübergreifenden Anwendungszugriff innerhalb der Organisation optimieren möchten.
- Die mandantenübergreifende Synchronisierung kann zwischen Organisationen genutzt werden, was jedoch zusätzliche Compliance-Verantwortlichkeiten mit sich führen kann. Kunden sind dafür verantwortlich, sicherzustellen, dass ihre Nutzung den geltenden Datenschutz-, Sicherheits- und behördlichen Anforderungen entspricht – einschließlich der Datenschutz-Grundverordnung der Europäischen Union (DSGVO). Microsoft erleichtert die Erfassung der Benutzergenehmigung nicht über die mandantenübergreifende Synchronisierung. Kunden sollten bewerten, ob ihr Szenario die Zustimmung des Benutzers, die Datenminimierung oder andere Schutzmaßnahmen erfordert, und ihre Rechts- oder Complianceteams konsultieren, bevor sie die organisationsübergreifende Synchronisierung oder die mandantenübergreifende Synchronisierung in allen Organisationen aktivieren.
Vorteile
Mit der mandantenübergreifenden Synchronisierung können Sie Folgendes tun:
- B2B-Zusammenarbeitsbenutzer werden automatisch in Ihrer Organisation erstellt und erhalten Zugriff auf die benötigten Anwendungen, ohne dass Sie benutzerdefinierte Skripts erstellen und verwalten müssen.
- Sie verbessert die Benutzerfreundlichkeit und stellt sicher, dass Benutzer auf Ressourcen zugreifen können, ohne für jeden Mandanten eine Einladungs-E-Mail zu erhalten und eine Einwilligungsaufforderung akzeptieren zu müssen.
- Benutzer werden automatisch aktualisiert und bei Verlassen der Organisation entfernt.
Teams und Microsoft 365
Benutzer, die durch mandantenübergreifende Synchronisierung erstellt wurden, verfügen über die gleiche Erfahrung beim Zugriff auf Microsoft Teams und andere Microsoft 365-Dienste wie B2B-Zusammenarbeitsbenutzer, die über eine manuelle Einladung erstellt wurden. Wenn Ihre Organisation freigegebene Kanäle verwendet, lesen Sie das Dokument „bekannte Probleme“ für weitere Details. Im Laufe der Zeit wird der userType member von den verschiedenen Microsoft 365-Diensten verwendet, um Benutzern in einer Organisation mit mehreren Mandanten differenzierte Endbenutzererfahrungen zu bieten.
Eigenschaften
Wenn Sie die mandantenübergreifende Synchronisierung konfigurieren, definieren Sie ein Vertrauensverhältnis zwischen einem Quellmandanten und einem Zielmandanten. Die mandantenübergreifende Synchronisierung verfügt über die folgenden Eigenschaften:
- Basierend auf der Microsoft Entra-Bereitstellungs-Engine.
- Ist ein Pushprozess vom Quellmandanten, kein Pullprozess vom Zielmandanten.
- Unterstützt nur das Pushen interner Mitglieder aus dem Quellmandanten. Die Synchronisierung externer Benutzer aus dem Quellmandanten wird nicht unterstützt.
- Benutzer im Bereich für die Synchronisierung werden im Quellmandanten konfiguriert.
- Die Attributzuordnung wird im Quellmandanten konfiguriert.
- Erweiterungsattribute werden unterstützt.
- Zielmandantenadministratoren können eine Synchronisierung jederzeit beenden.
Die folgende Tabelle enthält die Teilbereiche der mandantenübergreifenden Synchronisierung und den konfigurierten Mandanten.
| Mieter | Mandantenübergreifend Zugriffseinstellungen |
Automatische Einlösung | Synchronisierungseinstellungen Konfiguration |
Benutzende im Bereich |
|---|---|---|---|---|
 Quellmandant |
✔️ | ✔️ | ✔️ | |
 Zielmandant |
✔️ | ✔️ |
Einstellung der mandantenübergreifenden Synchronisierung
Die Einstellung der mandantenübergreifenden Synchronisierung ist eine organisationsübergreifende Einstellung, die nur eingehende Nachrichten betrifft und mit der der Administrator eines Quellmandanten Benutzer mit einem Zielmandanten synchronisieren kann. Bei dieser Einstellung handelt es sich um ein Kontrollkästchen mit dem Namen Erlauben Sie Benutzende, sich mit diesem Mandanten zu synchronisieren im Zielmandanten. Diese Einstellung wirkt sich nicht auf B2B-Einladungen aus, die über andere Prozesse wie manuelle Einladungen oder die Microsoft Entra-Berechtigungsverwaltung erstellt wurden.
Informationen zum Konfigurieren dieser Einstellung mithilfe von Microsoft Graph finden Sie in der API Aktualisieren von crossTenantIdentitySyncPolicyPartner. Weitere Informationen finden Sie unter Konfigurieren von mandantenübergreifender Synchronisierung.
Einstellung für automatische Einlösung
Die Einstellung für die automatische Einlösung ist eine Einstellung für eingehende und ausgehende Organisationsvertrauensverhältnisse, mit der Einladungen automatisch eingelöst werden, sodass Benutzer beim ersten Zugriff auf den Ressourcen-/den Zielmandanten die Zustimmungsaufforderung nicht akzeptieren müssen. Diese Einstellung ist ein Kontrollkästchen mit dem folgenden Namen:
- Einladungen automatisch mit dem Mandanten<Mandanten> einlösen
Vergleichen der Einstellung für verschiedene Szenarien
Die Einstellung für die automatische Einlösung gilt für die mandantenübergreifende Synchronisierung, B2B-Zusammenarbeit und die direkte B2B-Verbindung in den folgenden Situationen:
- Wenn Benutzer mithilfe der mandantenübergreifenden Synchronisierung in einem Zielmandanten erstellt werden.
- Wenn Benutzer mithilfe der B2B-Zusammenarbeit einem Ressourcenmandanten hinzugefügt werden.
- Wenn Benutzende mithilfe der direkten B2B-Verbindung auf Ressourcen in einem Ressourcenmandanten zugreifen.
In der folgenden Tabelle wird die Wirkung der aktivierten Einstellung für folgende Szenarien verglichen:
| Item | Mandantenübergreifende Synchronisierung | B2B-Zusammenarbeit | Direkte B2B-Verbindung |
|---|---|---|---|
| Einstellung für automatische Einlösung | Erforderlich | Wahlfrei | Wahlfrei |
| Benutzer erhalten eine Einladung per E-Mail zur B2B-Zusammenarbeit. | Nein | Nein | N/V |
| Benutzer müssen eine Einwilligungsaufforderung akzeptieren. | Nein | Nein | Nein |
| Benutzer erhalten eine Benachrichtigung-E-Mail zur B2B-Zusammenarbeit. | Nein | Ja | N/V |
Diese Einstellung wirkt sich nicht auf die Anwendungseinwilligung aus. Weitere Informationen finden Sie unter Einwilligungserfahrung für Anwendungen in Microsoft Entra ID. Diese Einstellung wird für Organisationen in verschiedenen Microsoft-Cloudumgebungen unterstützt, z. B. Azure Commercial und Azure Government, befindet sich momentan jedoch in der Vorschauversion. Weitere Informationen finden Sie unter Konfigurieren von mandantenübergreifender Synchronisierung.
Wann wird die Einwilligungsaufforderung unterdrückt?
Die Einstellung für die automatische Einlösung unterdrückt die Einwilligungsaufforderung und die Einladungs-E-Mail nur, wenn sowohl der Basis-/Quellmandant (ausgehend) als auch der Ressourcen-/Zielmandant (eingehend) diese Einstellung überprüft.
Die folgende Tabelle zeigt das Einwilligungsaufforderungsverhalten für Quellmandantenbenutzer, wenn die Einstellung für die automatische Einlösung für verschiedene mandantenübergreifende Zugriffseinstellungskombinationen aktiviert wird.
| Basis-/Quellmandant | Ressourcen-/Zielmandant | Einwilligungsaufforderungsverhalten für Quellmandantenbenutzer |
|---|---|---|
| Ausgehend | Eingehend | |
 |
|
Unterdrückt |
|
 |
Nicht unterdrückt |
|
|
Nicht unterdrückt |
|
|
Nicht unterdrückt |
| Eingehend | Ausgehend | |
|
|
Nicht unterdrückt |
|
|
Nicht unterdrückt |
|
|
Nicht unterdrückt |
|
|
Nicht unterdrückt |
Informationen zum Konfigurieren dieser Einstellung mithilfe von Microsoft Graph finden Sie in der API crossTenantAccessPolicyConfigurationPartner aktualisieren. Weitere Informationen finden Sie unter Konfigurieren von mandantenübergreifender Synchronisierung.
Woher wissen Benutzende, zu welchen Mandanten sie gehören?
Bei der mandantenübergreifenden Synchronisierung erhalten Benutzer keine E-Mail oder müssen eine Einwilligungsaufforderung akzeptieren. Wenn Benutzer sehen möchten, zu welchen Mandanten sie gehören, können sie ihre Seite Mein Konto öffnen und Organisationen auswählen. Im Microsoft Entra Admin Center können Benutzer*innen ihre Portaleinstellungen öffnen, ihre Verzeichnisse + Abonnements anzeigen und in andere Verzeichnisse wechseln.
Weitere Informationen, einschließlich Datenschutzinformationen, finden Sie unter Verlassen einer Organisation als externer Benutzer.
Erste Schritte
Hier sind die grundlegenden Schritte, um mit der mandantenübergreifenden Synchronisierung zu beginnen.
Schritt 1: Definieren, wie die Mandanten in Ihrer Organisation strukturiert werden sollen
Die mandantenübergreifende Synchronisierung bietet eine flexible Lösung für die Zusammenarbeit, aber jede Organisation ist anders. Beispielsweise können Sie über einen zentralen Mandanten, Satellitenmandanten oder eine Art Mandantengitter verfügen. Die mandantenübergreifende Synchronisierung unterstützt jede dieser Topologien. Weitere Informationen finden Sie unter Topologien für die mandantenübergreifende Synchronisierung.
Schritt 2: Aktivieren der mandantenübergreifenden Synchronisierung in den Zielmandanten
Navigieren Sie im Zielmandanten, in dem Benutzer erstellt werden, zur Seite Mandantenübergreifende Zugriffseinstellungen. Hier aktivieren Sie die mandantenübergreifende Synchronisierung und die Einstellungen für die automatische B2B-Einlösung, indem Sie die entsprechenden Kontrollkästchen aktivieren. Weitere Informationen finden Sie unter Konfigurieren von mandantenübergreifender Synchronisierung.
Schritt 3: Aktivieren der mandantenübergreifenden Synchronisierung in den Quellmandanten
Navigieren Sie in einem beliebigen Quellmandanten zur Seite Mandantenübergreifende Zugriffseinstellungen, und aktivieren Sie die Funktion für die automatische B2B-Einlösung. Als Nächstes richten Sie auf der Seite Mandantenübergreifende Synchronisierung einen mandantenübergreifenden Synchronisierungsauftrag ein und geben Folgendes an:
- Welche Benutzer Sie synchronisieren möchten
- Welche Attribute Sie einschließen möchten
- Alle Transformationen
Allen Personen, die Microsoft Entra ID bereits zum Bereitstellen von Identitäten in einer SaaS-Anwendung verwendet haben, wird diese Funktion bekannt sein. Sobald Sie die Synchronisierung konfiguriert haben, können Sie mit einigen Benutzern testen und sicherstellen, dass sie mit allen benötigten Attributen erstellt werden. Wenn die Tests abgeschlossen sind, können Sie schnell weitere Benutzer hinzufügen, um sie in Ihrer Organisation zu synchronisieren und ein Rollout durchzuführen. Weitere Informationen finden Sie unter Konfigurieren von mandantenübergreifender Synchronisierung.
Lizenzanforderungen
In der folgenden Tabelle sind je nach Szenario die erforderlichen Lizenzen aufgeführt.
| Szenario | Quellmandant | Zielmandant |
|---|---|---|
| Mandantenübergreifende Synchronisierung (gleiche Cloud) | Microsoft Entra ID P1 Lizenzen | N/V |
| Cloudübergreifende Synchronisierung | Microsoft Entra ID Governance- oder Microsoft Entra Suite-Lizenzen | N/V |
Quellmandant: Jeder Benutzer, der mit mandantenübergreifender Synchronisierung synchronisiert wird, muss über eine Microsoft Entra ID P1-Lizenz in ihrem Heimat-/Quellmandanten verfügen. Jeder Benutzer, der mit einer cloudübergreifenden Synchronisierung synchronisiert wird, muss über eine Microsoft Entra ID Governance- oder Microsoft Entra Suite-Lizenz in ihrem Home/Source-Mandanten verfügen. Weitere Informationen finden Sie unter Microsoft Entra-Pläne und -Preise und Grundlagen der Microsoft Entra ID Governance-Lizenzierung.
Zielmandant: Lizenzen sind für die mandantenübergreifende Synchronisierung oder cloudübergreifende Synchronisierung im Zielmandanten nicht erforderlich. Je nach den Features, die Sie im Zielmandanten verwenden, benötigen Sie möglicherweise zusätzliche Lizenzierung für diese Features, die im Zielmandanten verwendet werden. Beispielsweise können Kunden, die die Externe ID-Abrechnung aktiviert haben und externe Gäste bereitstellen, gemäß dem Abrechnungsmodell für die externe Microsoft Entra-ID belastet werden.
Häufig gestellte Fragen
Wolken
Welche Clouds können in derselben Cloud mandantenübergreifende Synchronisierungen verwenden?
Die mandantenübergreifende Synchronisierung wird in der kommerziellen Cloud und Azure Government unterstützt.
Die mandantenübergreifende Synchronisierung wird in der Microsoft Azure operated by 21Vianet-Cloud nicht unterstützt.
Quelle Ziel Azure-Portallinkdomänen Azure Commercial Azure Commercial portal.azure.com-->portal.azure.comAzure für Behörden Azure für Behörden portal.azure.us-->portal.azure.us
Wird die cloudübergreifende Synchronisierung unterstützt?
- Die cloudübergreifende Synchronisierung (z. B. öffentliche Cloud mit Azure Government) befindet sich derzeit in der öffentlichen Vorschau.
- Informationen zur Beziehung zwischen den Azure Cloud-Umgebungen und Microsoft 365 (GCC, GCCH) finden Sie unter Microsoft 365-Integration.
Welche Cloudpaare werden für die cloudübergreifende Synchronisierung unterstützt?
Die cloudübergreifende Synchronisierung unterstützt diese Cloudpaare:
Quelle Ziel Azure-Portallinkdomänen Azure Commercial Azure für Behörden portal.azure.com-->portal.azure.usAzure für Behörden Azure Commercial portal.azure.us-->portal.azure.comAzure Commercial Azure, betrieben von 21Vianet
Azure in Chinaportal.azure.com-->portal.azure.cn
Was sind die Unterschiede zwischen mandantenübergreifender Synchronisierung und cloudübergreifender Synchronisierung?
- Mandantenübergreifende Synchronisierung und cloudübergreifende Synchronisierung werden mit den gleichen Technologien erstellt und sind grundsätzlich gleich. Der Hauptunterschied besteht darin, dass die Synchronisierung über Clouds statt innerhalb derselben Cloud erfolgt.
Gibt es Einschränkungen für die cloudübergreifende Synchronisierung?
- Die Synchronisierung des Manager-Attributs wird in der cloudübergreifenden Synchronisierung noch nicht unterstützt.
- Informationen zu den Einschränkungen von Multimandantenorganisationen finden Sie in den Multimandanten-Org-FAQ.
- Informationen zu Microsoft 365-Einschränkungen für externe Mitglieder finden Sie unter Zusammenarbeit mit Gästen aus anderen Microsoft 365-Cloudumgebungen.
Vorhandene B2B-Benutzer
Verwaltet die mandantenübergreifende Synchronisierung vorhandene B2B-Benutzenden?
- Ja. Die mandantenübergreifende Synchronisierung verwendet ein internes Attribut namens „alternativeSecurityIdentifier“, um einen internen Benutzer im Quellmandanten eindeutig mit einem externen bzw. B2B-Benutzer im Zielmandanten abzugleichen. Die mandantenübergreifende Synchronisierung kann vorhandene B2B-Benutzer aktualisieren, um sicherzustellen, dass jeder Benutzer nur über ein Konto verfügt.
- Die mandantenübergreifende Synchronisierung kann keinen internen Benutzer im Quellmandanten mit einem internen Benutzer im Zielmandanten abgleichen (sowohl Typ Mitglied als auch Typ Gast).
Synchronisierungsfrequenz
Wie oft wird die mandantenübergreifende Synchronisierung ausgeführt?
- Das Synchronisierungsintervall ist derzeit so festgelegt, dass es in Intervallen von 40 Minuten beginnt. Die Synchronisierungsdauer variiert je nach Anzahl der Benutzer im Bereich. Der anfängliche Synchronisierungszyklus dauert wahrscheinlich deutlich länger als die folgenden inkrementellen Synchronisierungszyklen.
Bereich
Wie steuere ich, was mit dem Zielmandanten synchronisiert wird?
- Im Quellmandanten können Sie steuern, welche Benutzer mit den Konfigurations- oder den attributbasierten Filtern bereitgestellt werden. Sie können auch steuern, welche Attribute in dem Benutzerobjekt synchronisiert werden. Weitere Informationen finden Sie unter Eingrenzen von Benutzern oder Gruppen für die Bereitstellung mit Bereichsfiltern.
Wird die mandantenübergreifende Synchronisierung im Ziel vorläufig gelöscht, wenn ein Benutzer aus dem Bereich der Synchronisierung in einem Quellmandanten entfernt wird?
- Ja. Die mandantenübergreifende Synchronisierung wird im Ziel vorläufig gelöscht, wenn eine benutzende Person aus dem Bereich der Synchronisierung in einem Quellmandanten entfernt wird.
Objekttypen
Welche Objekttypen können synchronisiert werden?
- Microsoft Entra-Benutzende können zwischen Mandanten synchronisiert werden. (Gruppen, Geräte und Kontakte werden derzeit nicht unterstützt.)
Welche Benutzertypen können synchronisiert werden?
- Interne Mitglieder können von Quellmandanten synchronisiert werden. Interne Gäste können nicht von Quellmandanten synchronisiert werden.
- Benutzende können als externe Mitglieder (Standard) oder externe Gäste zu Zielmandanten synchronisiert werden.
- Weitere Informationen zu UserType-Definitionen finden Sie unter Eigenschaften von Microsoft Entra B2B Collaboration-Benutzer*innen.
Ich habe bestehende B2B-Zusammenarbeitsbenutzer. Was geschieht mit ihnen?
- Die mandantenübergreifende Synchronisierung gleicht den Benutzer ab und führt alle erforderlichen Updates für den Benutzer durch, z. B. indem der Anzeigename aktualisiert wird. Standardmäßig wird der UserType nicht von Gast zu Mitglied aktualisiert. Sie können dies jedoch in den Attributzuordnungen konfigurieren.
Attribute
Welche Benutzerattribute können synchronisiert werden?
- Bei der mandantenübergreifenden Synchronisierung werden häufig verwendete Attribute für das Benutzerobjekt in Microsoft Entra ID synchronisiert, z. B. displayName, userPrincipalName und Verzeichniserweiterungsattribute.
- Die mandantenübergreifende Synchronisierung unterstützt die Bereitstellung des Manager-Attributs in der kommerziellen Azure-Cloud. Die Managersynchronisierung wird in der US Government-Cloud noch nicht unterstützt. Sowohl der Benutzer als auch sein Manager müssen für die mandantenübergreifende Synchronisierung berücksichtigt werden, um das Manager-Attribut bereitstellen zu können.
- Für Mandantenübergreifende Synchronisierungskonfigurationen, die nach Januar 2024 mit dem Standardschema/Attributzuordnungen erstellt wurden:
- Das Manager-Attribut wird automatisch den Attributzuordnungen hinzugefügt.
- Managerupdates gelten für den inkrementellen Zyklus für Benutzer, die Änderungen durchlaufen (z. B. Manageränderung). Die Synchronisierungs-Engine aktualisiert nicht automatisch alle vorhandenen Benutzer, die zuvor bereitgestellt wurden.
- Um den Manager für vorhandene Benutzer zu aktualisieren, die für die Bereitstellung vorgesehen sind, können Sie die On-Demand-Bereitstellung für bestimmte Benutzer verwenden oder einen Neustart durchführen, um den Manager für alle Benutzer bereitzustellen.
- Für mandantenübergreifende Synchronisierungskonfigurationen, die vor Januar 2024 mit einem benutzerdefinierten Schema / Attributzuordnungen erstellt wurden (z. B.: Sie haben ein Attribut zu den Zuordnungen hinzugefügt oder die Standardzuordnungen geändert):
- Sie müssen das Manager-Attribut zu Ihren Attributzuordnungen hinzufügen. Dadurch wird ein Neustart ausgelöst und alle Benutzer aktualisiert, die für die Bereitstellung vorgesehen sind. Dies sollte eine direkte Zuordnung des Manager-Attributs im Quellmandanten zum Manager im Zielmandanten sein.
- Wenn der Vorgesetzte eines Benutzers im Quellmandanten entfernt wird und im Quellmandanten kein neuer Manager zugewiesen wird, wird das Manager-Attribut nicht im Zielmandanten aktualisiert.
- Für Mandantenübergreifende Synchronisierungskonfigurationen, die nach Januar 2024 mit dem Standardschema/Attributzuordnungen erstellt wurden:
Welche Attribute können nicht synchronisiert werden?
- Attribute wie z. B. Fotos, benutzerdefinierte Sicherheitsattribute und Benutzerattribute außerhalb des Verzeichnisses können nicht durch mandantenübergreifende Synchronisierung synchronisiert werden.
Kann ich steuern, wo Benutzerattribute bezogen/verwaltet werden?
- Die mandantenübergreifende Synchronisierung bietet keine direkte Kontrolle über die Autoritätsquelle. Die benutzende Person und ihre Attribute werden beim Quellmandanten als autoritativ betrachtet. Es gibt parallele Quellen von Autoritäts-Workstreams, die die Steuerung der Autoritätsquellen für Benutzer bis auf die Attributebene weiterentwickeln, und ein Benutzerobjekt aus der Quelle könnte letztendlich mehrere zugrunde liegende Quellen widerspiegeln. Für den Mandanten-zu-Mandanten-Prozess wird dies weiterhin so behandelt, als wären die Werte des Quellmandanten für den Synchronisierungsprozess in den Zielmandanten maßgebend (auch wenn Teile tatsächlich von anderswoher stammen). Derzeit gibt es keine Unterstützung für das Umkehren der Autoritätsquelle des Synchronisierungsprozesses.
- Die mandantenübergreifende Synchronisierung unterstützt nur die Autoritätsquelle auf Objektebene. Das bedeutet, dass alle Attribute eines Benutzers aus derselben Quelle stammen müssen, einschließlich der Anmeldeinformationen. Es ist nicht möglich, die Autoritätsquelle oder die Verbundrichtung eines synchronisierten Objekts umzukehren.
Was geschieht, wenn Attribute für einen synchronisierten Benutzer im Zielmandanten geändert werden?
- Die mandantenübergreifende Synchronisierung fragt keine Änderungen im Ziel ab. Wenn keine Änderungen an dem synchronisierten Benutzer im Quellmandanten vorgenommen werden, werden die Änderungen des Benutzerattributes, die im Zielmandanten vorgenommen wurden, beibehalten. Wenn jedoch Änderungen am Benutzer im Quellmandanten vorgenommen werden, wird der Benutzer im Zielmandanten während des nächsten Synchronisierungszyklus so aktualisiert, dass er dem Benutzer im Quellmandanten entspricht.
Kann der Zielmandant die Anmeldung für eine bestimmte, synchronisierte benutzende Person vom Basis-/Quellmandanten manuell blockieren?
- Wenn keine Änderungen an dem synchronisierten Benutzer im Quellmandanten vorgenommen werden, wird die Anmelde-Sperreinstellung im Zielmandanten beibehalten. Wenn eine Änderung für den Benutzer im Quellmandanten erkannt wird, wird die mandantenübergreifende Synchronisierung diesen Benutzer, der im Zielmandanten von der Anmeldung ausgeschlossen wurde, wieder aktivieren.
Struktur
Kann ich ein Mesh zwischen mehreren Mandanten synchronisieren?
- Die mandantenübergreifende Synchronisierung wird als Peer-to-Peer-Synchronisierung in eine Richtung konfiguriert, was bedeutet, dass die Synchronisierung zwischen einer Quell- und einem Zielmandanten konfiguriert wird. Mehrere Instanzen der mandantenübergreifenden Synchronisierung können für die Synchronisierung von einer einzelnen Quelle zu mehreren Zielen und von mehreren Quellen zu einem einzelnen Ziel konfiguriert werden. Zwischen einer Quelle und einem Ziel kann es jedoch nur eine Synchronisierungsinstanz geben.
- Die mandantenübergreifende Synchronisierung synchronisiert nur Benutzende, die intern für den Basis-/Quellmandanten sind, sodass sichergestellt ist, dass Sie nicht in einer Schleife enden können, in der eine benutzende Person in denselben Mandanten zurückgeschrieben wird.
- Mehrere Topologien werden unterstützt. Weitere Informationen finden Sie unter Topologien für die mandantenübergreifende Synchronisierung.
Kann ich die mandantenübergreifende Synchronisierung organisationsübergreifend (außerhalb meiner mehrinstanzenfähigen Organisation) verwenden?
- Aus Datenschutzgründen ist die mandantenübergreifende Synchronisierung für die Verwendung innerhalb einer Organisation vorgesehen. Es wird empfohlen, die Berechtigungsverwaltung zu verwenden, um B2B-Zusammenarbeitsbenutzer organisationsübergreifend einzuladen.
Kann die mandantenübergreifende Synchronisierung verwendet werden, um Benutzer von einem Mandanten zu einem anderen Mandanten zu migrieren?
- Nein. Die mandantenübergreifende Synchronisierung ist kein Migrationstool, da der Quellmandant für die Authentifizierung synchronisierter Benutzer erforderlich ist. Darüber hinaus erfordern Mandantenmigrationen die Migration von Benutzerdaten wie SharePoint und OneDrive.
B2B-Zusammenarbeit
Hebt die mandantenübergreifende Synchronisierung vorhandene Einschränkungen der B2B-Zusammenarbeit auf?
Da die mandantenübergreifende Synchronisierung auf einer vorhandenen B2B-Zusammenarbeitstechnologie basiert, finden vorhandene Einschränkungen Anwendung. Beispiele sind u. a.:
App oder Dienst Einschränkungen Power BI - Die Unterstützung für UserType-Member in Power BI befindet sich derzeit in der Vorschauphase. Weitere Informationen finden Sie unter Verteilen von Power BI-Inhalten an externe Gastbenutzer mit Microsoft Entra B2B. Azure Virtual Desktop – Einschränkungen finden Sie unter Voraussetzungen für Azure Virtual Desktop. Microsoft Teams – Einschränkungen finden Sie unter Zusammenarbeit mit Gästen aus anderen Microsoft 365-Cloudumgebungen.
Direkte B2B-Verbindung
In welcher Beziehung steht die mandantenübergreifende Synchronisierung zur direkten B2B-Verbindung?
- Die direkte B2B-Verbindung ist die zugrunde liegende Identitätstechnologie, die für Teams Connect freigegebene Kanäle erforderlich ist.
- Wir empfehlen die B2B-Zusammenarbeit für alle anderen mandantenübergreifenden Anwendungszugriffsszenarien, einschließlich Microsoft- und Nicht-Microsoft-Anwendungen.
- Die direkte B2B-Verbindung und die mandantenübergreifende Synchronisierung sind so konzipiert, dass sie nebeneinander bestehen können. Sie können beide aktivieren, um eine umfassende Abdeckung mandantenübergreifender Szenarien zu ermöglichen.
Wir versuchen, den Umfang zu ermitteln, in dem wir die mandantenübergreifende Synchronisierung in unserer mehrinstanzenfähigen Organisation nutzen müssen. Planen Sie, den Support für die direkte B2B-Verbindung über Teams Connect hinaus auszudehnen?
- Die Ausdehnung des Supports für direkte B2B-Verbindungen über für Teams Connect freigegebene Kanäle hinaus ist nicht geplant.
Microsoft 365
Verbessert die mandantenübergreifende Synchronisierung die Benutzerfreundlichkeit im Zusammenhang mit dem Zugriff auf mandantenübergreifende Microsoft 365-Apps?
- Die mandantenübergreifende Synchronisierung nutzt ein Feature, das die Benutzerfreundlichkeit verbessert, indem die erstmalige B2B-Einwilligungsaufforderung und der Einlösungsprozess in jedem Mandanten unterdrückt werden.
- Synchronisierte Benutzer können dieselben mandantenübergreifenden Microsoft 365-Funktionen nutzen, die jedem anderen Benutzer im Rahmen der B2B-Zusammenarbeit zur Verfügung stehen.
Kann die mandantenübergreifende Synchronisierung Suchszenarien für Personen in Microsoft 365 ermöglichen?
- Ja, die mandantenübergreifende Synchronisierung kann die Personensuche in Microsoft 365 aktivieren. Stellen Sie sicher, dass das Attribut showInAddressList bei Benutzern im Zielmandanten auf True gesetzt ist. Das showInAddressList-Attribut ist standardmäßig in den zuordnungsübergreifenden Synchronisierungsattributen auf WAHR festgelegt.
- Bei der mandantenübergreifenden Synchronisierung werden Benutzende für die B2B-Zusammenarbeit erstellt, keine Kontakte.
Mannschaften
Verbessert die mandantenübergreifende Synchronisierung aktuelle Erfahrungen mit Teams?
- Synchronisierte Benutzer können dieselben mandantenübergreifenden Microsoft 365-Funktionen nutzen, die jedem anderen Benutzer im Rahmen der B2B-Zusammenarbeit zur Verfügung stehen.
Einbindung
Welche Verbundoptionen werden für Benutzer im Zielmandanten zurück zum Quellmandanten unterstützt?
- Für jeden internen Benutzer im Quellmandanten erstellt die mandantenübergreifende Synchronisierung einen externen Verbundbenutzer (häufig in B2B verwendet) im Ziel. Es unterstützt die Synchronisierung interner Benutzer. Dies schließt interne Benutzer ein, die einen Verbund mit anderen Identitätssystemen über den Domänenverbund (z. B Active Directory-Verbunddienste (AD FS)) nutzen. Die Synchronisierung externer Benutzer wird nicht unterstützt.
Verwendet die mandantenübergreifende Synchronisierung das System für Cross-domain Identity Management (SCIM)?
- Nein. Derzeit unterstützt Microsoft Entra ID einen SCIM-Client, aber keinen SCIM-Server. Weitere Informationen finden Sie unter SCIM-Synchronisierung mit Microsoft Entra-ID.
Aufhebung der Bereitstellung
Unterstützt die mandantenübergreifende Synchronisierung das Aufheben der Bereitstellung von Benutzer*innen?
Ja, wenn die folgenden Aktionen im Quellmandanten auftreten, wird ein*e Benutzer*in im Zielmandanten vorläufig gelöscht.
- Löschen von Benutzenden im Quellmandanten
- Aufheben der Zuweisung von Benutzenden in der Konfiguration der mandantenübergreifenden Synchronisierung
- Entfernen von Benutzer*innen aus einer Gruppe, die der Konfiguration der mandantenübergreifenden Synchronisierung zugewiesen ist
- Ein Attribut beim Benutzer ändert sich so, dass es die Bedingungen des Scoping-Filters, die in der Mandantenübergreifenden Synchronisationskonfiguration definiert sind, nicht mehr erfüllt.
Wenn eine benutzende Person für die Anmeldung beim Quellmandanten (accountEnabled = FALSCH) blockiert ist, wird die Anmeldung beim Ziel blockiert. Dies ist kein Löschvorgang, sondern eine Aktualisierung des accountEnabled-Attributs.
Benutzer werden in diesem Szenario nicht aus dem Zielmandanten soft gelöscht:
- Fügen Sie einer Gruppe einen Benutzer hinzu, und weisen Sie ihn der mandantenübergreifenden Synchronisierungskonfiguration im Quellmandanten zu.
- Stellen Sie die benutzende Person bei Bedarf oder über den inkrementellen Zyklus bereit.
- Aktualisieren Sie den Status des kontoaktivierten Kontos auf "false" für den Benutzer im Quellmandanten.
- Stellen Sie die benutzende Person bei Bedarf oder über den inkrementellen Zyklus bereit. Der Status „Konto aktiviert“ wird im Zielmandanten auf „FALSCH“ geändert.
- Entfernen Sie die benutzende Person aus der Gruppe im Quellmandanten.
Unterstützt die mandantenübergreifende Synchronisierung das Wiederherstellen von Benutzer*innen?
- Wenn eine benutzende Person im Quellmandanten wiederhergestellt wird, der App neu zugewiesen wird, die Bereichsbedingung innerhalb von 30 Tagen nach dem vorläufigen Löschen wieder erfüllt, erfolgt die Wiederherstellung im Zielmandanten.
- IT-Administratoren können den Benutzer auch direkt im Zielmandanten manuell wiederherstellen.
Wie kann ich die Bereitstellung aller Benutzer*innen aufheben, die sich derzeit im Bereich der mandantenübergreifenden Synchronisierung befinden?
- Alle Benutzer oder Gruppen von der Mandantenübergreifenden Synchronisierungskonfiguration entfernen Dadurch wird die Bereitstellung aller Benutzer*innen, die nicht zugewiesen waren, entweder direkt oder über die Gruppenmitgliedschaft, in nachfolgenden Synchronisierungszyklen aufgehoben. Beachten Sie, dass der Zielmandant die eingehende Richtlinie für die Synchronisierung aktiviert lassen muss, bis die Deprovisionierung abgeschlossen ist. Wenn der Bereich auf Alle Benutzer*innen und Gruppen synchronisieren festgelegt ist, müssen Sie ihn auch in Nur zugewiesene Benutzer*innen und Gruppen synchronisieren ändern. Die Benutzenden werden automatisch durch mandantenübergreifende Synchronisierung vorläufig gelöscht. Die Benutzer*innen werden nach 30 Tagen automatisch endgültig gelöscht, oder Sie können die Benutzer*innen direkt im Zielmandanten endgültig löschen. Sie können die Benutzer*innen direkt im Zielmandanten endgültig löschen oder 30 Tage warten, bis die Benutzer*innen automatisch endgültig gelöscht werden.
Werden externe Benutzer, die zuvor durch mandantenübergreifende Synchronisierung verwaltet wurden, im Zielmandanten gelöscht, wenn die Synchronisierungsbeziehung getrennt wird?
- Nein. An den externen Benutzern, die zuvor durch mandantenübergreifende Synchronisierung verwaltet wurden, werden keine Änderungen vorgenommen, wenn die Beziehung getrennt wird (z. B. wenn die Richtlinie für die mandantenübergreifende Synchronisierung gelöscht wird).