Limitations des organisations multilocataires
Cet article décrit les limitations des fonctionnalités d’organisation multilocataire dans Microsoft Entra ID et Microsoft 365. Pour fournir vos commentaires sur la fonctionnalité d’organisation multi-locataire sur UserVoice, consultez Microsoft Entra UserVoice. Nous surveillons le service UserVoice de près pour améliorer le service.
Étendue
Les limitations décrites dans cet article ont l’étendue suivante.
| Étendue | Description |
|---|---|
| Dans l'étendue | - Limitations de l’administrateur Microsoft Entra liées aux organisations multilocataires pour prendre en charge des expériences de collaboration fluides dans le nouveau Microsoft Teams, avec des membres B2B approvisionnés réciproquement - Limitations de l’administrateur Microsoft Entra liées aux organisations multilocataires pour prendre en charge des expériences de collaboration fluides dans le nouveau Microsoft Viva Engage, avec des membres B2B provisionnés de manière centralisée |
| Étendue associée | - Limitations du centre d’administration Microsoft 365 liées aux organisations multilocataires - Expériences de recherche de personnes d’une organisation multilocataire Microsoft 365 - Limitations de la synchronisation inter-locataires liées à Microsoft 365 |
| Hors propos | - Synchronisation entre clients non liée à Microsoft 365 - Expériences des utilisateurs finaux dans le nouveau Teams - Expériences des utilisateurs finaux dans Viva Engage - Migration ou consolidation de tenants |
| Scénarios non pris en charge | - Organisations multilocataires entre locataires d’éducation impliquant des scénarios d’étudiants - Organisations multilocataires dans Microsoft 365 Government - Expérience de collaboration transparente entre les organisations multi-locataires dans la version classique de Teams - Libre-service pour les organisations multilocataires de plus de 100 locataires - Organisations multi-locataires dans Azure Government ou Microsoft Azure gérées par 21Vianet - Organisations multi-locataires multiclouds |
Créer ou rejoindre une organisation multilocataire à l’aide du centre d’administration Microsoft 365
Après avoir créé une organisation multilocataire dans le centre d’administration Microsoft 365, vous verrez que le centre d’administration Microsoft a créé des configurations de synchronisation entre locataires avec les noms
MTO_Sync_<TenantID>. Évitez de modifier le nom si vous souhaitez que le centre d’administration Microsoft 365 reconnaisse les configurations comme créées, puis gérées par lui-même.Les travaux de synchronisation créés avec Microsoft Entra ID ne s’affichent pas dans le centre d’administration Microsoft 365. Le centre d’administration Microsoft 365 indique un état de synchronisation sortante de Non configuré. Ce comportement est normal. Il n’existe aucun modèle pris en charge pour le centre d’administration Microsoft 365 pour prendre le contrôle des travaux de synchronisation entre locataires créés dans le centre d’administration Microsoft Entra.
Paramètres d’accès interlocataire
La synchronisation entre locataires Microsoft Entra ID ne prend pas en charge l’établissement d’une configuration de synchronisation entre locataires avant que le locataire en question n’autorise la synchronisation entrante dans ses paramètres d’accès entre locataires pour la synchronisation des identités.
Par conséquent, avant la création d’une organisation multilocataire, l’utilisation du modèle de paramètres d’accès entre locataires pour la synchronisation d’identité est encouragée, avec
userSyncInbounddéfini sur true.De même, avant la création d’une organisation multilocataire, l’utilisation du modèle de paramètres d’accès entre locataires pour les configurations de partenaires est encouragée, avec
automaticUserConsentSettings.inboundAllowedetautomaticUserConsentSettings.outboundAlloweddéfinis sur true.
Demandes d'adhésion
Plusieurs raisons peuvent expliquer l’échec d’une requête d’adhésion. Si le centre d’administration Microsoft 365 n’indique pas les raisons de l’échec d’une demande d’adhésion, essayez d’examiner la réponse à la demande d’adhésion en utilisant les API Microsoft Graph ou l’Afficheur Microsoft Graph.
Si vous avez suivi la bonne séquence pour créer une organisation multilocataire et que vous ajoutez un locataire à l’organisation multilocataire, mais que la demande d’adhésion du locataire ajouté continue d’échouer, envoyez une demande de support dans le centre d’administration Microsoft Entra ID ou Microsoft 365.
Options d’approvisionnement de vos utilisateurs membres externes
- Si vous utilisez déjà la synchronisation inter-locataires Microsoft Entra, pour diverses topologies multihubs multirayons, vous n’avez pas besoin d’utiliser la fonctionnalité de partage d’utilisateurs du centre d’administration Microsoft 365. Au lieu de cela, vous souhaiterez peut-être continuer à utiliser vos travaux de synchronisation entre clients Microsoft Entra existants.
- Si vous n’avez pas encore utilisé la synchronisation inter-locataires Microsoft Entra et que vous voulez établir une topologie d’ensemble d’utilisateurs collaboratifs où le même ensemble d’utilisateurs est partagé avec tous les locataires d’une organisation multilocataire, vous pouvez utiliser la fonctionnalité de partage d’utilisateurs du centre d’administration Microsoft 365.
- Si vous disposez déjà de votre propre moteur d’approvisionnement d’utilisateurs à grande échelle, vous pouvez utiliser les nouveaux avantages de l’organisation multilocataire tout en continuant à utiliser votre propre moteur pour gérer le cycle de vie de vos employés.
- Si vous devez créer des utilisateurs membres externes individuels dans un locataire hôte plutôt que de les créer via un moteur d’approvisionnement à partir d’un locataire source, consultez Comment créer, inviter et supprimer des utilisateurs.
Synchronisation entre locataires dans le centre d’administration Microsoft Entra
Pour les organisations d’entreprise avec des configurations d’identité complexes, nous vous recommandons d’utiliser la synchronisation entre locataires dans le centre d’administration Microsoft Entra.
Par défaut, les nouveaux utilisateurs B2B sont approvisionnés comme membres B2B, tandis que les invités B2B existants restent des invités B2B. Vous pouvez choisir de convertir des invités B2B en membres B2B en définissant Appliquer ce mappage sur Toujours.
Par défaut,
showInAddressListest synchronisé avec un locataire cible comme true. Vous pouvez ajuster ce mappage d’attributs en fonction des besoins de vos organisations.Le provisionnement à grande échelle des utilisateurs B2B peut entrer en conflit avec des objets de contact. La gestion ou la conversion d’objets de contact n’est actuellement pas prise en charge.
L’utilisation de la synchronisation entre locataires pour cibler des identités hybrides qui ont été converties en utilisateurs B2B n’est actuellement pas prise en charge.
Synchroniser les utilisateurs dans le centre d’administration Microsoft 365
Pour les organisations multilocataires plus petites, nous vous recommandons d’utiliser le centre d’administration Microsoft 365 pour synchroniser les utilisateurs en plusieurs locataires de votre organisation multilocataires.
Pour partager des utilisateurs, le centre d’administration Microsoft 365 crée plusieurs travaux de synchronisation entre locataires, un par locataire cible, en conservant la même étendue utilisateur pour tous les travaux.
Une fois que le centre d’administration Microsoft 365 a créé les travaux de synchronisation entre locataires, vous pouvez ajuster les mappages d’attributs dans le centre d’administration Microsoft Entra pour répondre aux besoins de votre organisation.
Invités B2B ou membres B2B gérés dans le locataire hôte
La promotion des invités B2B au statut de membres B2B représente une décision stratégique des organisations multi-locataires visant à considérer les membres B2B comme des utilisateurs de confiance de l’organisation. Passez en revue les autorisations par défaut pour les membres B2B.
Quand votre organisation déploie la fonctionnalité d’organisation multilocataire, y compris le provisionnement d’utilisateurs B2B dans des locataires d’organisation multilocataire, vous devez parfois provisionner certains utilisateurs en tant qu’invités B2B, tout en approvisionnant d’autres utilisateurs en tant que membres B2B.
Pour promouvoir les invités B2B en membres B2B, un administrateur de locataire hôte peut modifier le userType, en supposant que la propriété n’est pas synchronisée de manière périodique.
Invités B2B ou membres B2B gérés à l’aide de la synchronisation entre locataires
Si la synchronisation entre locataires est utilisée pour synchroniser périodiquement la propriété userType, un administrateur de locataire source peut modifier les mappages d’attributs.
Vous souhaiterez sans doute établir deux configurations de synchronisation entre clients Microsoft Entra dans le locataire source, l’une avec des mappages d’attributs userType configurés sur l’invité B2B, et l’autre avec des mappages d’attributs userType configurés sur le membre B2B, chacun avec Appliquer ce mappage défini sur Toujours.
En déplaçant un utilisateur d’une étendue de configuration vers l’autre, vous pouvez facilement contrôler qui sera un invité B2B ou un membre B2B dans le tenant cible. À l’aide de cette approche, vous pouvez également désactiver Actions d’objet cible pour la suppression.
Liste d’adresses globale gérée dans le locataire hôte
La propriété showInAddressList d’un utilisateur B2B peut être mise à jour avec des privilèges d’administrateur utilisateur dans Microsoft Graph Explorer ou Microsoft Graph PowerShell.
La mise à jour de la propriété showInAddressList sur l’objet utilisateur met également à jour les destinataires masqués du paramètre de listes d’adresses dans Microsoft Exchange Online.
Le paramètre masquer les destinataires des listes d’adresses, s’ils sont configurés pour différer de la propriété showInAddressList, est prioritaire dans la détermination de la visibilité de la liste d’adresses.
Si le paramètre masquer les destinataires n’est pas configurable dans le Centre d’administration Exchange en raison du type d’utilisateur Invité, il peut être configuré dans PowerShell à l’aide de la propriété HiddenFromAddressListsEnabled.
Pour plus d’informations, consultez Ajouter des invités à la liste d’adresses globale.
Liste d’adresses globale gérée à l’aide de la synchronisation entre locataires
- Si la synchronisation entre locataires est utilisée pour synchroniser la propriété, showInAddressList dans un locataire source peut être utilisé pour contrôler la visibilité de la liste d’adresses dans un locataire cible.
- En revanche, masquer le destinataire des listes d’adresses dans le locataire source ne peut pas être utilisé pour affecter la visibilité de la liste d’adresses dans un locataire cible.
Applications Microsoft
Dans les interfaces utilisateur SharePoint OneDrive, lors du partage d’un fichier avec des personnes de Fabrikam, les interfaces utilisateur actuelles peuvent être contre-intuitives, car les membres B2B de Fabrikam provenant de Contoso sont considérés comme des personnes de Fabrikam.
Dans le centre d’administration Microsoft 365, Microsoft Forms, Microsoft OneNote et Microsoft Planner, les utilisateurs membres B2B peuvent ne pas être pris en charge.
Dans Microsoft Power BI, la prise en charge des membres B2B est actuellement en préversion. Les utilisateurs invités B2B peuvent continuer à accéder aux tableaux de bord Power BI.
Dans Microsoft Power Apps, Microsoft Dynamics 365 et les charges de travail associées, les utilisateurs membres B2B peuvent avoir des fonctionnalités restreintes. Pour plus d'informations, consultez Inviter des utilisateurs avec la collaboration Microsoft Entra B2B.
Dans Microsoft Purview, les fonctionnalités d’organisation multilocataire ne sont pas encore prises en charge. En savoir plus sur les fonctionnalités existantes pour les utilisateurs externes et le contenu étiqueté et sur la collaboration externe à l’aide d’étiquettes de confidentialité.
Dans Microsoft Intune, les fonctionnalités d’organisation multilocataire ne sont pas encore prises en charge. En savoir plus sur les fonctionnalités existantes pour approuver les revendications d’appareil conformes provenant d’organisations externes.
Utilisateurs B2B ou membres B2B
Dans le cadre d’une organisation multilocataire, la réinitialisation de l’acceptation pour un utilisateur B2B déjà accepté est actuellement désactivée.
Le provisionnement à grande échelle des utilisateurs B2B peut entrer en conflit avec des objets de contact. La gestion ou la conversion d’objets de contact n’est actuellement pas prise en charge.
L’utilisation de la synchronisation entre locataires pour cibler les identités hybrides converties en utilisateurs B2B n’a pas été testée dans les conflits de source d’autorité et n’est pas prise en charge.
Les utilisateurs connectés peuvent lire les attributs de base d’une organisation multi-locataires et des locataires membres de l’organisation multi-locataires, sans se voir attribuer de rôle, tel que Lecteur de sécurité ou Lecteur global.
Déprovisionnement de la synchronisation inter-locataires
Par défaut, quand l’étendue de provisionnement est réduite pendant l’exécution d’un travail de synchronisation, les utilisateurs sortent de l’étendue et sont supprimés de manière réversible, sauf si l’option Actions d’objet cible à supprimer est désactivée. Si vous souhaitez en savoir plus, veuillez consulter les rubrique Déprovisionnement et Définir qui est concerné par l’approvisionnement.
Actuellement, SkipOutOfScopeDeletions fonctionne pour les travaux de provisionnement d’application, mais pas pour la synchronisation entre locataires. Pour éviter la suppression réversible d’utilisateurs retirés de l’étendue de la synchronisation entre clients, définissez Actions d’objet cible à supprimer sur désactivé.