Batasan dalam organisasi multipenyewa
Artikel ini menjelaskan batasan yang perlu diperhatikan saat Anda bekerja dengan fungsionalitas organisasi multipenyewa di seluruh ID Microsoft Entra dan Microsoft 365. Untuk memberikan umpan balik tentang fungsionalitas organisasi multipenyewa di UserVoice, lihat UserVoice Microsoft Entra. Kami memperhatikan UserVoice dengan cermat sehingga kami dapat meningkatkan layanan.
Cakupan
Batasan yang dijelaskan dalam artikel ini memiliki cakupan berikut.
| Cakupan | Deskripsi |
|---|---|
| Dalam ruang lingkup | - Batasan administrator Microsoft Entra yang terkait dengan organisasi multipenyewa untuk mendukung pengalaman kolaborasi yang mulus di Microsoft Teams baru, dengan anggota B2B yang disediakan secara timbal balik - Batasan administrator Microsoft Entra yang terkait dengan organisasi multipenyewa untuk mendukung pengalaman kolaborasi yang mulus di Microsoft Viva Engage, dengan anggota B2B yang disediakan secara terpusat |
| Cakupan terkait | - pusat admin Microsoft 365 batasan yang terkait dengan organisasi multipenyewa - Pengalaman pencarian orang organisasi multipenyewa Microsoft 365 - Batasan sinkronisasi lintas penyewa yang terkait dengan Microsoft 365 |
| Di luar cakupan | - Sinkronisasi lintas penyewa yang tidak terkait dengan Microsoft 365 - Pengalaman pengguna akhir di Teams baru - Pengalaman pengguna akhir di Viva Engage - Migrasi atau konsolidasi penyewa |
| Skenario yang tidak didukung | - Organisasi multipenyewa di seluruh penyewa pendidikan yang melibatkan skenario siswa - Organisasi multipenyewa di Microsoft 365 Government - Pengalaman kolaborasi tanpa hambatan di seluruh organisasi multipenyewa di Teams klasik - Layanan mandiri untuk organisasi multipenyewa yang lebih besar dari 100 penyewa - Organisasi multipenyewa di Azure Government atau Microsoft Azure yang dioperasikan oleh 21Vianet - Organisasi multipenyewa lintas cloud |
Membuat atau bergabung dengan organisasi multipenyewa menggunakan pusat admin Microsoft 365
Setelah membuat organisasi multipenyewa di pusat admin Microsoft 365, Anda akan melihat pusat admin Microsoft membuat konfigurasi sinkronisasi lintas penyewa dengan nama
MTO_Sync_<TenantID>. Jangan mengedit atau mengubah nama jika Anda ingin pusat admin Microsoft 365 mengenali konfigurasi seperti yang dibuat dan dikelola oleh pusat admin Microsoft 365.Pekerjaan sinkronisasi yang dibuat dengan ID Microsoft Entra tidak akan muncul di pusat admin Microsoft 365. pusat admin Microsoft 365 akan menunjukkan Status sinkronisasi keluar Tidak dikonfigurasi. Ini adalah perilaku yang diharapkan. Tidak ada pola yang didukung bagi pusat admin Microsoft 365 untuk mengontrol pekerjaan sinkronisasi lintas penyewa yang dibuat di pusat admin Microsoft Entra.
Pengaturan akses lintas penyewa
Sinkronisasi lintas penyewa di MICROSOFT Entra ID tidak mendukung pembuatan konfigurasi sinkronisasi lintas penyewa sebelum penyewa yang bersangkutan memungkinkan sinkronisasi masuk di pengaturan akses lintas penyewa mereka untuk sinkronisasi identitas.
Oleh karena itu, sebelum pembuatan organisasi multipenyewa, penggunaan templat pengaturan akses lintas penyewa untuk sinkronisasi identitas didorong, dengan
userSyncInbounddiatur ke true.Demikian pula, sebelum pembuatan organisasi multipenyewa, penggunaan templat pengaturan akses lintas penyewa untuk konfigurasi mitra didorong dengan
automaticUserConsentSettings.inboundAlloweddanautomaticUserConsentSettings.outboundAlloweddiatur ke true.
Gabungkan permintaan
Ada beberapa alasan mengapa permintaan gabungan mungkin gagal. Jika pusat admin Microsoft 365 tidak menunjukkan mengapa permintaan gabungan tidak berhasil, coba periksa respons permintaan gabungan dengan menggunakan MICROSOFT Graph API atau Microsoft Graph Explorer.
Jika Anda mengikuti urutan yang benar untuk membuat organisasi multipenyewa dan menambahkan penyewa ke organisasi multipenyewa, dan permintaan gabungan penyewa yang ditambahkan terus gagal, kirimkan permintaan dukungan di Microsoft Entra atau pusat admin Microsoft 365.
Opsi untuk memprovisikan pengguna anggota eksternal Anda
- Jika Anda sudah menggunakan sinkronisasi lintas penyewa Microsoft Entra, untuk berbagai topologi multi-spoke multi-hub, Anda tidak perlu menggunakan fungsionalitas pengguna berbagi pusat admin Microsoft 365. Sebagai gantinya, Anda mungkin ingin terus menggunakan pekerjaan sinkronisasi lintas penyewa Microsoft Entra yang ada.
- Jika sebelumnya Anda belum menggunakan sinkronisasi lintas penyewa Microsoft Entra, dan Anda ingin membuat topologi kumpulan pengguna yang berkolaborasi di mana sekumpulan pengguna yang sama dibagikan ke semua penyewa organisasi multipenyewa, Anda mungkin ingin menggunakan fungsionalitas pengguna berbagi pusat admin Microsoft 365.
- Jika Anda sudah memiliki mesin provisi pengguna dalam skala besar, Anda dapat menggunakan manfaat organisasi multipenyewa baru sambil terus menggunakan mesin Anda sendiri untuk mengelola siklus hidup karyawan Anda.
- Jika Anda perlu membuat pengguna anggota eksternal individual di penyewa host daripada membuatnya melalui mesin provisi dari penyewa sumber, lihat Cara membuat, mengundang, dan menghapus pengguna.
Sinkronisasi lintas penyewa di pusat admin Microsoft Entra
Untuk organisasi perusahaan dengan konfigurasi identitas yang kompleks, kami sarankan Anda menggunakan sinkronisasi lintas penyewa di pusat admin Microsoft Entra.
Secara default, pengguna B2B baru disediakan sebagai anggota B2B, sementara tamu B2B yang ada tetap menjadi tamu B2B. Anda dapat memilih untuk mengonversi tamu B2B menjadi anggota B2B dengan mengatur Terapkan pemetaan ini ke Always.
Secara default,
showInAddressListdisinkronkan ke penyewa target sebagai true. Anda dapat menyesuaikan pemetaan atribut ini agar sesuai dengan kebutuhan organisasi Anda.Provisi pengguna B2B dalam skala besar mungkin bertabrakan dengan objek kontak. Penanganan atau konversi objek kontak saat ini tidak didukung.
Menggunakan sinkronisasi lintas penyewa untuk menargetkan identitas hibrid yang telah dikonversi ke pengguna B2B saat ini tidak didukung.
Menyinkronkan pengguna di pusat admin Microsoft 365
Untuk organisasi multipenyewa yang lebih kecil, sebaiknya gunakan pusat admin Microsoft 365 untuk menyinkronkan pengguna ke beberapa penyewa organisasi multipenyewa Anda.
Untuk berbagi pengguna, pusat admin Microsoft 365 membuat beberapa pekerjaan sinkronisasi lintas penyewa, satu per penyewa target, menjaga cakupan pengguna yang sama untuk semua pekerjaan.
Setelah pusat admin Microsoft 365 membuat pekerjaan sinkronisasi lintas penyewa, Anda mungkin menyesuaikan pemetaan atribut di pusat admin Microsoft Entra agar sesuai dengan kebutuhan organisasi Anda.
Tamu B2B atau anggota B2B yang dikelola di penyewa host
Promosi tamu B2B kepada anggota B2B mewakili keputusan strategis oleh organisasi multipenyewa untuk mempertimbangkan anggota B2B sebagai pengguna tepercaya organisasi. Tinjau izin default untuk anggota B2B.
Saat organisasi Anda meluncurkan fungsionalitas organisasi multipenyewa termasuk provisi pengguna B2B di seluruh penyewa organisasi multipenyewa, Anda mungkin ingin menyediakan beberapa pengguna sebagai tamu B2B, sambil menyediakan pengguna lain sebagai anggota B2B.
Untuk mempromosikan tamu B2B ke anggota B2B, administrator penyewa host dapat mengubah userType, dengan asumsi properti tidak disinkronkan secara berulang.
Tamu B2B atau anggota B2B yang dikelola menggunakan sinkronisasi lintas penyewa
Jika sinkronisasi lintas penyewa digunakan untuk menyinkronkan properti userType secara berulang, administrator penyewa sumber dapat mengubah pemetaan atribut.
Anda mungkin ingin membuat dua konfigurasi sinkronisasi lintas penyewa Microsoft Entra di penyewa sumber, satu dengan pemetaan atribut userType yang dikonfigurasi ke tamu B2B, dan satu lagi dengan pemetaan atribut userType yang dikonfigurasi ke anggota B2B, masing-masing dengan Terapkan pemetaan ini diatur ke Always.
Dengan memindahkan pengguna dari satu cakupan konfigurasi ke yang lain, Anda dapat dengan mudah mengontrol siapa yang akan menjadi tamu B2B atau anggota B2B di penyewa target. Dengan menggunakan pendekatan ini, Anda mungkin juga ingin menonaktifkan Tindakan Objek Target untuk Hapus.
Daftar alamat global yang dikelola di penyewa host
Properti showInAddressList pengguna B2B dapat diperbarui dengan hak istimewa Administrator Pengguna di Graph Explorer atau Microsoft Graph PowerShell.
Memperbarui properti showInAddressList pada objek pengguna juga akan memperbarui pengaturan sembunyikan penerima dari daftar alamat di Microsoft Exchange Online.
Pengaturan sembunyikan penerima dari daftar alamat, jika dikonfigurasi berbeda dari properti showInAddressList , lebih diutamakan dalam menentukan visibilitas daftar alamat.
Jika pengaturan sembunyikan penerima tidak dapat dikonfigurasi di pusat admin Exchange karena jenis pengguna Tamu, pengaturan tersebut dapat dikonfigurasi di PowerShell menggunakan properti HiddenFromAddressListsEnabled.
Untuk informasi selengkapnya, lihat Menambahkan tamu ke daftar alamat global.
Daftar alamat global dikelola menggunakan sinkronisasi lintas penyewa
- Jika sinkronisasi lintas penyewa digunakan untuk menyinkronkan properti, showInAddressList di penyewa sumber dapat digunakan untuk mengontrol visibilitas daftar alamat di penyewa target.
- Di sisi lain, sembunyikan penerima dari daftar alamat di penyewa sumber tidak dapat digunakan untuk memengaruhi visibilitas daftar alamat di penyewa target.
aplikasi Microsoft
Di antarmuka pengguna SharePoint OneDrive , saat berbagi file dengan People di Fabrikam, antarmuka pengguna saat ini mungkin berlawanan intuitif, karena anggota B2B di Fabrikam dari Contoso dihitung terhadap People in Fabrikam.
Di pusat admin Microsoft 365, Microsoft Forms, Microsoft OneNote, dan Microsoft Planner, pengguna anggota B2B mungkin tidak didukung.
Di Microsoft Power BI, dukungan anggota B2B saat ini dalam pratinjau. Pengguna tamu B2B dapat terus mengakses dasbor Power BI.
Di Microsoft Power Apps, Microsoft Dynamics 365, dan beban kerja terkait, pengguna anggota B2B mungkin memiliki fungsionalitas terbatas. Untuk informasi selengkapnya, lihat Mengundang pengguna dengan kolaborasi Microsoft Entra B2B.
Di Microsoft Purview, kemampuan organisasi multipenyewa belum didukung. Pelajari selengkapnya tentang fungsionalitas yang ada untuk pengguna eksternal dan konten berlabel dan tentang kolaborasi eksternal menggunakan label sensitivitas.
Di Microsoft Intune, kemampuan organisasi multipenyewa belum didukung. Pelajari selengkapnya tentang fungsionalitas yang ada untuk mempercayai klaim perangkat yang sesuai dari organisasi eksternal.
Pengguna B2B atau anggota B2B
Sebagai bagian dari organisasi multipenyewa, reset penukaran untuk pengguna B2B yang sudah ditukarkan saat ini dinonaktifkan.
Provisi pengguna B2B dalam skala besar mungkin bertabrakan dengan objek kontak. Penanganan atau konversi objek kontak saat ini tidak didukung.
Menggunakan sinkronisasi lintas penyewa untuk menargetkan identitas hibrid yang telah dikonversi ke pengguna B2B belum diuji dalam sumber konflik otoritas dan tidak didukung.
Pengguna yang masuk dapat membaca atribut dasar organisasi multipenyewa, dan dari penyewa anggota organisasi multipenyewa, tanpa diberi peran, seperti Pembaca Keamanan atau Pembaca Global.
Deprovisi sinkronisasi lintas penyewa
Secara default, saat cakupan provisi berkurang saat pekerjaan sinkronisasi berjalan, pengguna berada di luar cakupan dan dihapus sementara, kecuali Tindakan Objek Target untuk Penghapusan dinonaktifkan. Untuk informasi selengkapnya, lihat Mendeprovisi dan Menentukan siapa yang berada dalam cakupan provisi.
Saat ini, SkipOutOfScopeDeletions berfungsi untuk pekerjaan provisi aplikasi, tetapi tidak untuk sinkronisasi lintas penyewa. Untuk menghindari penghapusan sementara pengguna yang diambil dari cakupan sinkronisasi lintas penyewa, atur Tindakan Objek Target untuk Dihapus ke dinonaktifkan.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk