Einschränkungen in mehrmandantenfähigen Organisationen
In diesem Artikel werden Einschränkungen erläutert, die beim Arbeiten mit Funktionen für mehrmandantenfähigen Organisationen in Microsoft Entra ID und Microsoft 365 beachtet werden sollten. Wenn Sie in UserVoice Feedback zu den Funktionen für mehrmandantenfähige Organisationen geben möchten, finden Sie weitere Informationen unter Microsoft Entra UserVoice. Wir beobachten UserVoice genau, damit wir den Dienst verbessern können.
Bereich
Die in diesem Artikel beschriebenen Einschränkungen weisen den folgenden Bereich auf.
| Bereich | Beschreibung |
|---|---|
| Inbegriffen | – Microsoft Entra-Administratoreinschränkungen im Zusammenhang mit mehrmandantenfähigen Organisationen zur Unterstützung einer nahtlosen Zusammenarbeit in neuen Microsoft Teams mit wechselseitig bereitgestellten B2B-Mitgliedern – Microsoft Entra-Administratoreinschränkungen im Zusammenhang mit mehrmandantenfähigen Organisationen zur Unterstützung einer nahtlosen Zusammenarbeit in Microsoft Viva Engage mit zentral bereitgestellten B2B-Mitgliedern |
| Zugehöriger Bereich | – Microsoft 365 Admin Center: Einschränkungen im Zusammenhang mit mehrmandantenfähigen Organisationen – Microsoft 365: Erfahrungen mit der Personensuche in mehrmandantenfähigen Organisationen – Mandantenübergreifende Synchronisierungseinschränkungen im Zusammenhang mit Microsoft 365 |
| Nicht betreffende Organisationen | – Mandantenübergreifende Synchronisierung ohne Bezug zu Microsoft 365 – Endbenutzererfahrungen im neuen Teams – Endbenutzererfahrungen in Viva Engage – Mandantenmigration oder -konsolidierung |
| Nicht unterstützte Szenarien | – Mehrmandantenfähige Organisationen in Bildungsmandanten mit Schüler-/Studentenszenarien – Mehrmandantenfähige Organisationen in Microsoft 365 Government – Nahtlose Zusammenarbeit in mehrmandantenfähigen Organisationen im klassischen Teams – Self-Service für mehrmandantenfähige Organisationen, die größer als 100 Mandanten sind – Mehrmandantenfähige Organisationen in Azure Government oder Microsoft Azure, betrieben von 21Vianet – Cloudübergreifende mehrmandantenfähige Organisationen |
Erstellen oder Beitreten einer mehrmandantenfähigen Organisation über das Microsoft 365-Admin Center
Nachdem Sie eine mehrmandantenfähige Organisation im Microsoft 365 Admin Center erstellt haben, sehen Sie, dass Microsoft Admin Center mandantenübergreifende Synchronisierungskonfigurationen mit folgenden Namen erstellt hat:
MTO_Sync_<TenantID>. Sie dürfen den Namen nicht bearbeiten oder ändern, wenn Microsoft 365 Admin Center die Konfiguration als von Microsoft 365 Admin Center erstellt und verwaltet erkennen soll.Synchronisierungsaufträge, die mit Microsoft Entra ID erstellt wurden, werden nicht im Microsoft 365 Admin Center angezeigt. Das Microsoft 365 Admin Center gibt als ausgehenden Synchronisierungsstatus den Wert Nicht konfiguriert an. Dieses Verhalten wird erwartet. Es gibt kein unterstütztes Muster, nach dem Microsoft 365 Admin Center die Kontrolle über mandantenübergreifende Synchronisierungsaufträge übernehmen könnte, die in Microsoft Entra Admin Center erstellt wurden.
Mandantenübergreifende Zugriffseinstellungen
Die mandantenübergreifende Synchronisierung in Microsoft Entra ID unterstützt die Einrichtung einer mandantenübergreifenden Synchronisierungskonfiguration erst, nachdem der betreffende Mandant die eingehende Synchronisierung in seinen Einstellungen für den mandantenübergreifenden Zugriff für die Identitätssynchronisierung zugelassen hat.
Daher wird vor dem Erstellen einer mehrmandantenfähigen Organisation die Verwendung der Vorlage für mandantenübergreifende Zugriffseinstellungen für die Identitätssynchronisierung empfohlen, wobei
userSyncInboundauf „true“ festgelegt ist.Genauso wird vor dem Erstellen einer mehrmandantenfähigen Organisation die Verwendung der Vorlage für mandantenübergreifende Zugriffseinstellungen für Partnerkonfigurationen empfohlen, wobei
automaticUserConsentSettings.inboundAllowedundautomaticUserConsentSettings.outboundAllowedauf „true“ festgelegt sind.
Beitrittsanforderungen
Es gibt mehrere Gründe, warum eine Beitrittsanforderung fehlschlagen kann. Wenn das Microsoft 365 Admin Center nicht angibt, warum eine Beitrittsanforderung nicht erfolgreich ist, überprüfen Sie die Antwort der Beitrittsanforderung mit den Microsoft Graph-APIs oder mit Microsoft Graph Explorer.
Wenn Sie die richtigen Schritte zum Erstellen einer mehrmandantenfähigen Organisation und dem Hinzufügen eines Mandanten zur mehrmandantenfähigen Organisation ausgeführt haben und die Beitrittsanforderung des hinzugefügten Mandanten weiterhin fehlschlägt, senden Sie eine Supportanfrage an das Microsoft Entra ID- oder Microsoft 365-Admin Center.
Optionen für die Bereitstellung Ihrer externen Mitgliedsbenutzer
- Wenn Sie bereits die mandantenübergreifende Microsoft Entra-Synchronisierung für verschiedene Multi-Hub-Multi-Spoke-Topologienverwenden, müssen Sie die Benutzerfunktionalität nicht mit dem Microsoft 365 Admin Center teilen. Stattdessen sollten Sie weiterhin Ihre vorhandenen mandantenübergreifenden Microsoft Entra-Synchronisierungsaufträge nutzen.
- Wenn Sie die mandantenübergreifende Microsoft Entra-Synchronisierung noch nicht verwendet haben und eine Topologie für eine zusammenarbeitende Benutzergruppe einrichten möchten, in der dieselbe Benutzergruppe für alle Mandanten der mehrmandantenfähigen Organisation freigegeben wird, können Sie die Microsoft 365 Admin Center-Funktion zur Benutzerfreigabe verwenden.
- Wenn Sie bereits über ein eigenes großes Benutzerbereitstellungsmodul verfügen, können Sie die Vorteile der neuen mehrmandantenfähigen Organisation nutzen, während Sie weiterhin Ihr eigenes Modul verwenden, um den Lebenszyklus Ihrer Mitarbeiter zu verwalten.
- Wenn Sie einzelne externe Mitgliederbenutzer in einem Hostmandanten erstellen müssen, anstatt sie über ein Bereitstellungsmodul aus einem Quellmandanten zu erstellen, finden Sie weitere Informationen unter Erstellen, Einladen und Löschen von Benutzern und Benutzerinnen.
Mandantenübergreifende Synchronisierung in Microsoft Entra Admin Center
Für Unternehmen mit komplexen Identitätskonfigurationen empfehlen wir die Verwendung der mandantenübergreifenden Synchronisierung im Microsoft Entra Admin Center.
Standardmäßig werden neue B2B-Benutzer*innen als B2B-Mitglieder bereitgestellt, während vorhandene B2B-Gäste B2B-Gäste bleiben. Sie können B2B-Gäste in B2B-Mitglieder konvertieren, indem Sie Diese Zuordnung anwenden auf Immer festlegen.
Standardmäßig wird
showInAddressListmit einem Zielmandanten als „true“ synchronisiert. Sie können diese Attributzuordnung an die Anforderungen Ihrer Organisation anpassen.Die skalierte Bereitstellung von B2B-Benutzern kann mit Kontaktobjekten kollidieren. Die Verarbeitung oder Konvertierung von Kontaktobjekten wird derzeit nicht unterstützt.
Die Verwendung der mandantenübergreifenden Synchronisierung für Hybrididentitäten, die in B2B-Benutzer konvertiert wurden, wird derzeit nicht unterstützt.
Synchronisieren von Benutzern im Microsoft 365 Admin Center
Für kleinere mehrmandantenfähige Organisationen empfehlen wir die Verwendung des Microsoft 365 Admin Centers, um Benutzer in mehrere Mandanten Ihrer mehrmandantenfähigen Organisation zu synchronisieren.
Um Benutzer freizugeben, erstellt das Microsoft 365 Admin Center mehrere mandantenübergreifende Synchronisierungsaufträge, einen pro Zielmandanten, wobei derselbe Benutzerbereich für alle Aufträge beibehalten wird.
Nachdem das Microsoft 365 Admin Center die mandantenübergreifenden Synchronisierungsaufträge erstellt hat, können Sie Attributzuordnungen im Microsoft Entra Admin Center an die Anforderungen Ihrer Organisation anpassen.
Im Hostmandanten verwaltete B2B-Gäste oder B2B-Mitglieder
Die Höherstufung von B2B-Gästen zu B2B-Mitgliedern stellt die strategische Entscheidung von mehrmandantenfähigen Organisationen dar, B2B-Mitglieder als vertrauenswürdige Benutzer der Organisation zu betrachten. Überprüfen Sie die Standardberechtigungen für B2B-Mitglieder.
Wenn Ihre Organisation die Funktionalität der mehrmandantenfähigen Organisation einführt, einschließlich der Bereitstellung von B2B-Benutzern in mehrmandantenfähigen Organisationen, sollten Sie einige Benutzer als B2B-Gäste und andere als B2B-Mitglieder bereitstellen.
Um B2B-Gäste zu B2B-Mitgliedern hochzustufen, kann ein Hostmandantenadministrator den userType ändern, vorausgesetzt, die Eigenschaft wird nicht wiederholt synchronisiert.
Über die mandantenübergreifende Synchronisierung verwaltete B2B-Gäste oder B2B-Mitglieder
Wenn die mandantenübergreifende Synchronisierung verwendet wird, um die userType-Eigenschaft wiederholt zu synchronisieren, kann ein Quellmandantenadministrator die Attributzuordnungen ändern.
Sie sollten zwei mandantenübergreifende Microsoft Entra-Synchronisierungskonfigurationen im Quellmandanten einrichten: eine mit userType-Attributzuordnungen, die für B2B-Gäste konfiguriert sind, und eine andere mit userType-Attributzuordnungen, die für B2B-Mitglieder konfiguriert sind, wobei jeweils Diese Zuordnung anwenden auf Immer festgelegt wird.
Indem Sie Benutzer*innen vom Bereich einer Konfiguration in den Bereich der anderen verschieben, können Sie ganz einfach steuern, wer im Zielmandanten B2B-Gast oder B2B-Mitglied sein wird. Wenn Sie diesen Ansatz verwenden, sollten Sie auch Zielobjektaktionen für Löschen deaktivieren.
Im Hostmandanten verwaltete globale Adressliste
Die showInAddressList-Eigenschaft eines B2B-Benutzers kann mit Benutzeradministrator-Berechtigungen in Microsoft Graph Explorer oder Microsoft Graph PowerShell aktualisiert werden.
Durch das Aktualisieren der showInAddressList-Eigenschaft für das Benutzerobjekt wird auch die Einstellung zum Ausblenden von Empfängern aus Adresslisten in Microsoft Exchange Online aktualisiert.
Wenn sie so konfiguriert ist, dass sie sich von der showInAddressList-Eigenschaft unterscheidet, hat die Einstellung Empfänger aus Adresslisten ausblenden Vorrang bei der Ermittlung der Sichtbarkeit der Adressliste.
Wenn die Einstellung Empfänger ausblenden im Exchange Admin Center aufgrund des Benutzertyps „Gast“ nicht konfiguriert werden kann, kann sie in PowerShell mithilfe der HiddenFromAddressListsEnabled-Eigenschaft konfiguriert werden.
Weitere Informationen finden Sie unter Hinzufügen von Gästen zur globalen Adressliste.
Über die mandantenübergreifende Synchronisierung verwaltete globale Adressliste
- Wenn die mandantenübergreifende Synchronisierung verwendet wird, um die Eigenschaft zu synchronisieren, kann showInAddressList- in einem Quellmandaten verwendet werden, um die Sichtbarkeit der Adresslisten in einem Zielmandanten zu steuern.
- Andererseits kann Empfänger aus Adresslisten ausblenden, im Quellmandanten nicht verwendet werden, um die Sichtbarkeit der Adressliste in einem Zielmandanten zu beeinflussen.
Microsoft-Apps
In SharePoint OneDrive-Benutzeroberflächen sind die aktuellen Benutzeroberflächenangaben beim Freigeben einer Datei für Personen in Fabrikam möglicherweise kontraintuitiv, da B2B-Mitglieder in Fabrikam von Contoso zu Personen in Fabrikam zählen.
Im Microsoft 365 Admin Center, Microsoft Forms, Microsoft OneNote und Microsoft Planner werden B2B-Mitgliederbenutzer möglicherweise nicht unterstützt.
In Microsoft Power BI befindet sich die Unterstützung von B2B-Mitgliedern derzeit in der Vorschau. B2B-Gastbenutzer können weiterhin auf Power BI-Dashboards zugreifen.
In Microsoft Power Apps, Microsoft Dynamics 365 und verwandten Workloads haben B2B-Mitgliedsbenutzer möglicherweise eingeschränkte Funktionen. Weitere Informationen finden Sie unter Einladen von Benutzern mit Microsoft Entra B2B-Zusammenarbeit.
In Microsoft Purview werden die Funktionen für mehrmandantenfähige Organisationen noch nicht unterstützt. Erfahren Sie mehr über vorhandene Funktionen für externe Benutzer und bezeichnete Inhalte und über die externe Zusammenarbeit mithilfe von Vertraulichkeitsbezeichnungen.
In Microsoft Intune werden die Funktionen für mehrmandantenfähige Organisationen noch nicht unterstützt. Erfahren Sie mehr über vorhandene Funktionen, um vertrauenswürdigen Geräteansprüchen von externen Organisationen zu vertrauen.
B2B-Benutzer oder B2B-Mitglieder
Im Rahmen einer Mehrinstanzenorganisation ist die Zurücksetzung der Einlösung für einen bereits eingelösten B2B-Benutzer derzeit deaktiviert.
Die skalierte Bereitstellung von B2B-Benutzern kann mit Kontaktobjekten kollidieren. Die Verarbeitung oder Konvertierung von Kontaktobjekten wird derzeit nicht unterstützt.
Die Verwendung der mandantenübergreifenden Synchronisierung für Zielhybrididentitäten, die in B2B-Benutzer konvertiert wurden, wurde nicht auf Autoritätsquellenkonflikte getestet und wird nicht unterstützt.
Angemeldete Benutzer:innen können grundlegende Attribute einer Mehrmandanten-Organisation und der Mitgliedsmandanten der Mehrmandanten-Organisation lesen, ohne dass ihnen Rollen wie Sicherheitsleseberechtigter oder Globaler Leser zugewiesen zu werden.
Rückgängigmachen der mandantenübergreifenden Synchronisierung
Wenn der Bereitstellungsbereich während der Ausführung eines Synchronisierungsauftrags reduziert wird, verlassen Benutzer*innen standardmäßig aus dem Bereich und werden vorläufig gelöscht, es sei denn, Zielobjektaktionen für das Löschen sind deaktiviert. Weitere Informationen finden Sie unter Aufheben der Bereitstellung und Definieren, wer sich im Bereich für die Bereitstellung befindet .
Derzeit funktioniert SkipOutOfScopeDeletions für Anwendungsbereitstellungsaufträge, aber nicht für die mandantenübergreifende Synchronisierung. Um das vorläufige Löschen von Benutzer*innen zu vermeiden, die aus dem Bereich der mandantenübergreifenden Synchronisierung entfernt wurden, deaktivieren Sie Zielobjektaktionen für Löschen.