Freigeben über

Beitreten oder Verlassen einer mehrinstanzenfähigen Organisation in Microsoft 365

  • Artikel

Um einer mehrinstanzenfähigen Organisation beizutreten, muss ein globaler Administrator in der Besitzerorganisation zuerst Ihre Organisation der mehrinstanzenfähigen Organisation hinzufügen. Sobald sie dies getan haben, können Sie der mehrinstanzenfähigen Organisation beitreten. Sie benötigen die Mandanten-ID der Besitzerorganisation, um beitreten zu können.

Sobald Sie mitglied sind, können Sie eine mehrinstanzenfähige Organisation jederzeit verlassen.

Wenn Sie einer vorhandenen mehrinstanzenfähigen Organisation beitreten, werden die folgenden Einstellungen in Microsoft Entra ID konfiguriert:

  • Es wird eine mandantenübergreifende Synchronisierungskonfiguration mit dem Namen MTO_Sync_<TenantID> hinzugefügt, aber es wurden noch keine Synchronisierungsaufträge erstellt. (Wenn Sie bereits über eine mandantenübergreifende Synchronisierungskonfiguration verfügen, bleibt sie unverändert.)
  • Eine Organisationsbeziehung wird den mandantenübergreifenden Zugriffseinstellungen basierend auf den vorlagen für mehrinstanzenfähige Organisationen für mandantenübergreifenden Zugriff und Identitätssynchronisierung hinzugefügt. (Wenn bereits eine Organisationsbeziehung vorhanden ist, wird die vorhandene verwendet.)
  • Die mehrinstanzenfähige Organisationsvorlage für die Identitätssynchronisierung ist so festgelegt, dass Benutzer mit diesem Mandanten synchronisieren können.
  • Die mehrinstanzenfähige Organisationsvorlage für den mandantenübergreifenden Zugriff wird so festgelegt, dass Benutzereinladungen sowohl eingehend als auch ausgehend automatisch eingelöst werden.

Wenn Sie eine mehrinstanzenfähige Organisation verlassen, sind die mandantenübergreifenden Zugriffseinstellungen und mandantenübergreifenden Synchronisierungskonfigurationen in Microsoft Entra ID nicht betroffen.

Beitreten zu einer vorhandenen mehrinstanzenfähigen Organisation

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

So treten Sie einer vorhandenen mehrinstanzenfähigen Organisation in Microsoft 365 bei:

  1. Melden Sie sich beim Microsoft 365 Admin Center als globaler Administrator an.
  2. Erweitern Sie Einstellungen , und wählen Sie Organisationseinstellungen aus.
  3. Wählen Sie auf der Registerkarte Organisationsprofil die Option Mehrinstanzenfähige Zusammenarbeit aus.
  4. Wählen Sie Erste Schritte aus.
  5. Wählen Sie Beitreten zu einer vorhandenen mehrinstanzenfähigen Organisation aus.
  6. Geben Sie die Mandanten-ID der Besitzerorganisation ein.
  7. Aktivieren Sie die Kontrollkästchen Benutzern die Synchronisierung mit diesem Mandanten aus den anderen Mandanten in dieser mehrinstanzenfähigen Organisation erlauben und Zustimmungsaufforderungen für Benutzer aus dem anderen Mandanten unterdrücken, wenn sie auf Apps und Ressourcen in meinem Mandanten zugreifen .
  8. Wählen Sie Weiter aus.
  9. Wählen Sie Fertig aus.

Es kann bis zu vier Stunden dauern, bis Ihr Mandant der mehrinstanzenfähigen Organisation beigetreten ist.

Hinweis

Wenn beim Beitritt zur mehrinstanzenfähigen Organisation ein Fehler auftritt, versuchen Sie es nach zwei Stunden erneut. Wenn der Fehler erneut auftritt, wenden Sie sich an den Microsoft-Support.

Der nächste Schritt nach dem Beitritt zur mehrinstanzenfähigen Organisation besteht darin, Ihre Benutzer mit den anderen Mandanten zu synchronisieren. Weitere Informationen finden Sie unter Synchronisieren von Benutzern in mehrinstanzenfähigen Organisationen in Microsoft 365.

Verlassen einer mehrinstanzenfähigen Organisation

Sie können eine mehrinstanzenfähige Organisation verlassen, solange Ihr Mandant nicht der letzte Besitzermandant in der mehrinstanzenfähigen Organisation ist. Sie können auch andere Mitgliedsmandanten entfernen.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

So entfernen Sie einen Mandanten aus einer mehrinstanzenfähigen Organisation in Microsoft 365:

  1. Melden Sie sich beim Microsoft 365 Admin Center als globaler Administrator an.
  2. Erweitern Sie Einstellungen , und wählen Sie Organisationseinstellungen aus.
  3. Wählen Sie auf der Registerkarte Organisationsprofil die Option Mehrinstanzenfähige Zusammenarbeit aus.
  4. Aktivieren Sie das Kontrollkästchen neben dem Mandanten, den Sie entfernen möchten.
  5. Wählen Sie Mandant entfernen aus.
  6. Lesen Sie die Details zum Entfernen des Mandanten im Seitenbereich, und wählen Sie dann Mandant entfernen aus.

Durch das Entfernen eines Mandanten werden keine Benutzersynchronisierungskonfigurationen oder mandantenübergreifende Zugriffseinstellungen in Microsoft Entra ID geändert. Es wird empfohlen, diese Einstellungen zu überprüfen und alle erforderlichen Updates vorzunehmen, nachdem der Mandant entfernt wurde.

Entfernen synchronisierter Benutzer aus anderen Mandanten

Wenn Sie einen Mandanten aus einer mehrinstanzenfähigen Organisation entfernen, möchten Sie möglicherweise die Synchronisierung von Benutzern zwischen diesem Mandanten und den Mandanten beenden, die in der mehrinstanzenfähigen Organisation verbleiben. Dies kann durch Aktualisieren der mandantenübergreifenden Synchronisierungskonfiguration in Microsoft Entra ID und Entfernen der zu synchronisierenden Sicherheitsgruppen und anschließendes Neustarten der Synchronisierung mit null Benutzern erfolgen.

Mandantenübergreifende Synchronisierungskonfigurationen für mehrinstanzenfähige Organisationen, die im Microsoft 365 Admin Center erstellt wurden, werden in der mandantenübergreifenden Microsoft Entra-Synchronisierung MTO_Sync_<TenantID> genannt.

So entfernen Sie die kreuzsynchronen Benutzer:

  • Aktualisieren Sie für den Mandanten, der die mehrinstanzenfähige Organisation verlässt, die Synchronisierungskonfigurationen für jeden verbleibenden Mandanten in der mehrinstanzenfähigen Organisation, in der Sie Benutzer synchronisieren.

  • Aktualisieren Sie für jeden Mandanten, der in der mehrinstanzenfähigen Organisation verbleibt, die Synchronisierungskonfiguration für den Mandanten, der verlässt.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

So entfernen Sie Ihre Benutzer aus anderen Mandanten in einer mehrinstanzenfähigen Organisation:

  1. Melden Sie sich beim Microsoft Entra Admin Center als globaler Administrator an.
  2. Erweitern Sie Identität und dann Externe Identitäten.
  3. Wählen Sie mandantenübergreifende Synchronisierung aus.
  4. Wählen Sie Konfigurationen aus.
  5. Wählen Sie den Link für die Konfiguration aus, die Sie aktualisieren möchten.
  6. Auswählen von Benutzern und Gruppen
  7. Aktivieren Sie die Kontrollkästchen für die Sicherheitsgruppen, die Sie entfernen möchten, und wählen Sie dann Entfernen aus.
  8. Wählen Sie Übersicht aus.
  9. Wählen Sie Bereitstellung neu starten aus.

Nachdem die Benutzer aus den Verzeichnissen der anderen Mandanten entfernt wurden, können Sie die Bereitstellung für die Synchronisierungskonfigurationen beenden oder löschen.

Beenden der Benutzersynchronisierung und automatisches Einlösen von Einladungen

Nachdem Sie einen Mandanten aus einer mehrinstanzenfähigen Organisation entfernt haben, können Sie die Benutzersynchronisierung und das automatische Einlösen von Einladungen mit den Mandanten beenden, die in der mehrinstanzenfähigen Organisation verbleiben.

So verhindern Sie die Benutzersynchronisierung und die automatische Einlösung von Einladungen:

  • Aktualisieren Sie für den Mandanten, der die mehrinstanzenfähige Organisation verlässt, die Einstellungen für den mandantenübergreifenden Zugriff für jeden Mandanten, der in der mehrinstanzenfähigen Organisation verbleibt.

  • Aktualisieren Sie für jeden Mandanten, der in der mehrinstanzenfähigen Organisation verbleibt, die Einstellungen für den mandantenübergreifenden Zugriff für den Mandanten, der ausgibt.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

So verhindern Sie die Benutzersynchronisierung und die automatische Einlösung von Einladungen:

  1. Melden Sie sich beim Microsoft Entra Admin Center als globaler Administrator an.
  2. Erweitern Sie Identität und dann Externe Identitäten.
  3. Wählen Sie mandantenübergreifende Zugriffseinstellungen aus.
  4. Wählen Sie auf der Registerkarte Organisationseinstellungen den Link für die Einstellungen für eingehenden Zugriff für den Mandanten aus, den Sie aktualisieren möchten.
    1. Deaktivieren Sie auf der Registerkarte Vertrauenseinstellungen das Kontrollkästchen Einladungen automatisch mit der Mandantenorganisation <>einlösen.
    2. Deaktivieren Sie auf der Registerkarte Mandantenübergreifende Synchronisierung das Kontrollkästchen Synchronisierung mit diesem Mandanten zulassen .
    3. Klicken Sie auf Speichern.
  5. Wählen Sie den Link für die Einstellungen für ausgehenden Zugriff für den Mandanten aus, den Sie aktualisieren möchten.
    1. Deaktivieren Sie auf der Registerkarte Vertrauenseinstellungen das Kontrollkästchen Einladungen automatisch mit der Mandantenorganisation <>einlösen.
    2. Klicken Sie auf Speichern.

Weitere Informationen zu mandantenübergreifenden Zugriffseinstellungen finden Sie unter Konfigurieren mandantenübergreifender Zugriffseinstellungen für die B2B-Zusammenarbeit.

Konfigurieren der mandantenübergreifenden Synchronisierung

Übersicht: Mandantenübergreifender Zugriff mit externer Microsoft Entra-ID

Planen von mehrinstanzenfähigen Organisationen in Microsoft 365

Einrichten einer mehrinstanzenfähigen Organisation in Microsoft 365

Synchronisieren von Benutzern in mehrinstanzenfähigen Organisationen in Microsoft 365