Condividi tramite


Considerazioni comuni per la gestione degli utenti multi-tenant

Questo articolo è il terzo di una serie di articoli che forniscono indicazioni per la configurazione e la gestione del ciclo di vita degli utenti negli ambienti multi-tenant di Microsoft Entra. Gli articoli seguenti della serie forniscono altre informazioni, come descritto.

  • Introduzione alla gestione degli utenti multi-tenant è il primo di una serie di articoli che forniscono materiale sussidiario per la configurazione e la gestione del ciclo di vita degli utenti negli ambienti multi-tenant di Microsoft Entra.
  • Scenari di gestione degli utenti multi-tenant descrive tre scenari per i quali è possibile usare le funzionalità di gestione degli utenti multi-tenant: avviato dall'utente finale, con script e automatizzato.
  • Soluzioni comuni per la gestione degli utenti multi-tenant quando la tenancy singola non funziona per lo scenario in uso: questo articolo fornisce materiale sussidiario relativo alle problematiche seguenti: gestione automatica del ciclo di vita degli utenti, allocazione delle risorse tra tenant e condivisione di app locali tra tenant.

Il materiale sussidiario aiuta a ottenere uno stato coerente della gestione del ciclo di vita degli utenti. La gestione del ciclo di vita include il provisioning, la gestione e il deprovisioning degli utenti tra tenant usando gli strumenti di Azure disponibili che includono la collaborazione B2B di Microsoft Entra e la sincronizzazione tra tenant.

I requisiti di sincronizzazione sono univoci per le esigenze specifiche dell'organizzazione. Quando si progetta una soluzione per soddisfare i requisiti dell'organizzazione, le considerazioni seguenti in questo articolo consentono di identificare le opzioni migliori.

  • Sincronizzazione tra tenant
  • Oggetto directory
  • Accesso condizionale Microsoft Entra
  • Controllo di accesso aggiuntivo
  • Office 365

Sincronizzazione tra tenant

La sincronizzazione tra tenant può risolvere i problemi di collaborazione e accesso delle organizzazioni multi-tenant. La tabella seguente illustra i casi d'uso comuni di sincronizzazione. È possibile usare sia la sincronizzazione tra tenant che lo sviluppo dei clienti per soddisfare i casi d'uso quando le considerazioni sono rilevanti per più di un modello di collaborazione.

Caso d'uso Sincronizzazione tra tenant Sviluppo personalizzato
Gestione del ciclo di vita degli utenti Icona del segno di spunta Icona del segno di spunta
Condivisione di file e accesso alle app Icona del segno di spunta Icona del segno di spunta
Supporto della sincronizzazione da e verso cloud sovrani Icona del segno di spunta
Controllare la sincronizzazione dal tenant delle risorse Icona del segno di spunta
Ogetti gruppo di sincronizzazione Icona del segno di spunta
Collegamenti Gestione sincronizzazione Icona del segno di spunta Icona del segno di spunta
Origine dell'autorità a livello di attributo Icona del segno di spunta
Writeback di Microsoft Entra in Microsoft Windows Server Active Directory Icona del segno di spunta

Considerazioni sull'oggetto directory

Invito di un utente esterno con UPN e indirizzo SMTP

Microsoft Entra B2B prevede che l'UPN (UserPrincipalName) di un utente sia l'indirizzo SMTP (Simple Mail Transfer Protocol) (Email) primario per l'invio di inviti. Quando l'UPN dell'utente corrisponde all'indirizzo SMTP primario, B2B funziona come previsto. Tuttavia, se l'UPN è diverso dall'indirizzo SMTP primario dell'utente esterno, potrebbe non riuscire a risolvere quando un utente accetta un invito. Questo problema potrebbe risultare complicato se non si conosce l'UPN reale dell'utente. È necessario individuare e usare l'UPN quando si inviano inviti per B2B.

La sezione Microsoft Exchange Online di questo articolo illustra come modificare l'SMTP primario predefinito per gli utenti esterni. Questa tecnica è utile se si desidera che tutti i messaggi di posta elettronica e le notifiche di un utente esterno vengano trasmessi all'indirizzo SMTP primario reale anziché all'UPN. Potrebbe trattarsi di un requisito se l'UPN non è in grado di instradare il flusso di posta.

Conversione dello UserType di un utente esterno

Quando si usa la console per creare manualmente un invito per un account utente esterno, viene creato l'oggetto utente con un tipo Utente guest. L'uso di altre tecniche per creare inviti consente di impostare il tipo di utente su un account diverso da un account guest esterno. Ad esempio, quando si usa l'API, è possibile configurare se l'account è un account membro esterno o un account guest esterno.

Se si esegue la conversione da un utente guest esterno a un account utente membro esterno, potrebbero verificarsi problemi con il modo in cui Exchange Online gestisce gli account B2B. Non è possibile abilitare gli account di posta elettronica invitati come utenti membri esterni. Per abilitare la posta elettronica di un account membro esterno, utilizzare l'approccio migliore seguente.

  • Invitare gli utenti tra organizzazioni come account Utente guest esterno.
  • Visualizzare gli account nell'Elenco indirizzi globale.
  • Impostare UserType su Membro.

Quando si usa questo approccio, gli account vengono visualizzati come oggetti MailUser in Exchange Online e in Office 365. Si noti anche che c'è una sfida di tempo. Assicurarsi che l'utente sia visibile nell'Elenco indirizzi globale controllando che la proprietà ShowInAddressList dell'utente Microsoft Entra sia allineata alla proprietà HiddenFromAddressListsEnabled di Exchange Online (che sono l'opposto l'una dall'altra). La sezione Microsoft Exchange Online di questo articolo fornisce ulteriori informazioni sulla modifica della visibilità.

È possibile convertire un utente membro in un utente guest, utile per gli utenti interni che si desidera limitare alle autorizzazioni a livello di guest. Gli utenti guest interni sono utenti che non sono dipendenti dell'organizzazione, ma per i quali si gestiscono gli utenti e le credenziali. Potrebbe consentire di evitare di concedere licenze all'utente guest interno.

Problemi relativi all'uso di oggetti contatto di posta invece di utenti o membri esterni

È possibile rappresentare gli utenti di un altro tenant usando una sincronizzazione dell'Elenco indirizzi globale tradizionale. Se si esegue una sincronizzazione Elenco indirizzi globale anziché usare Collaborazione B2B Microsoft Entra, viene creato un oggetto contatto di posta elettronica.

  • Un oggetto contatto di posta elettronica e un membro esterno abilitato alla posta elettronica o un utente guest non possono coesistere nello stesso tenant con lo stesso indirizzo di posta elettronica contemporaneamente.
  • Se esiste un oggetto contatto di posta per lo stesso indirizzo di posta elettronica dell'utente esterno invitato, crea l'utente esterno ma non è abilitato alla posta elettronica.
  • Se l'utente esterno abilitato alla posta elettronica esiste con la stessa posta elettronica, un tentativo di creare un oggetto contatto di posta genera un'eccezione al momento della creazione.

Importante

L'uso dei contatti di posta richiede Active Directory Services (AD DS) o PowerShell per Exchange Online. Microsoft Graph non fornisce una chiamata API per la gestione dei contatti.

Nella tabella seguente vengono visualizzati i risultati degli oggetti contatto di posta elettronica e degli stati utente esterni.

Stato esistente Scenario di provisioning Risultato effettivo
None Invita membro B2B Utente membro non abilitato alla posta elettronica. Vedere note importanti
None Invita guest B2B Abilitare l'utente esterno tramite posta elettronica.
L'oggetto contatto di posta esiste Invita membro B2B Errore. Conflitto di indirizzi proxy.
L'oggetto contatto di posta esiste Invita guest B2B Utente esterno abilitato per il contatto di posta elettronica e non posta elettronica. Vedere note importanti
Utente guest esterno abilitato alla posta elettronica Creare l'oggetto contatto di posta elettronica Error
Esiste un utente membro esterno abilitato alla posta elettronica Creare un contatto di posta elettronica Error

Microsoft consiglia di usare Collaborazione B2B Microsoft Entra (invece della sincronizzazione dell'Elenco indirizzi globale tradizionale) per creare:

  • Utenti esterni che possono essere visualizzati nell'Elenco indirizzi globale.
  • Utenti membri esterni visualizzati nell'Elenco indirizzi globale per impostazione predefinita, ma che non sono abilitati alla posta elettronica.

È possibile scegliere di utilizzare l'oggetto contatto di posta elettronica per visualizzare gli utenti nell'Elenco indirizzi globale. Questo approccio integra un Elenco indirizzi globale senza fornire altre autorizzazioni perché i contatti di posta elettronica non sono entità di sicurezza.

Seguire questo approccio consigliato per raggiungere l'obiettivo:

Un oggetto contatto di posta elettronica non può convertirsi in un oggetto utente. Di conseguenza, le proprietà associate a un oggetto contatto di posta elettronica non possono essere trasferite, ad esempio le appartenenze ai gruppi e l'accesso ad altre risorse. L'utilizzo di un oggetto contatto di posta elettronica per rappresentare un utente presenta le problematiche seguenti.

  • Gruppi di Office 365. I gruppi di Office 365 supportano di criteri che regolano i tipi di utenti autorizzati a essere membri di gruppi e interagiscono con il contenuto associato ai gruppi. Ad esempio, un gruppo potrebbe non consentire agli utenti guest di partecipare. Questi criteri non possono gestire gli oggetti contatto di posta elettronica.
  • Gestione gruppi self-service (SSGM) di Microsoft Entra. Gli oggetti contatto di posta elettronica non sono idonei per essere membri in gruppi usando la funzionalità SSGM. Potrebbero essere necessari più strumenti per gestire i gruppi con destinatari rappresentati come contatti anziché come oggetti utente.
  • Verifica di accesso di Microsoft Entra ID Governance. È possibile usare la funzionalità verifiche di accesso per verificare e attestare l'appartenenza al gruppo di Office 365. Le verifiche di accesso si basano sugli oggetti utente. I membri rappresentati dagli oggetti contatto di posta elettronica non rientrano nell'ambito delle verifiche di accesso.
  • Microsoft Entra ID Governance, Entitlement Management (EM). Quando si usa EM per abilitare le richieste di accesso self-service per gli utenti esterni nel portale EM dell'azienda, viene creato un oggetto utente al momento della richiesta. Non supporta gli oggetti contatto di posta elettronica.

Considerazioni sull'accesso condizionale di Microsoft Entra

Lo stato dell'utente, del dispositivo o della rete nel tenant principale dell'utente non vengono comunicati al tenant della risorsa. Pertanto, un utente esterno potrebbe non soddisfare i criteri di accesso condizionale che usano i controlli seguenti.

Se consentito, è possibile eseguire l'override di questo comportamento con le impostazioni di accesso tra tenant che rispettano l'autenticazione a più fattori e la conformità del dispositivo dal tenant principale.

  • Richiedere l'autenticazione a più fattori. Senza la configurazione di impostazioni di accesso tra tenant, un utente esterno deve registrarsi/rispondere all'autenticazione a più fattori anche nel tenant delle risorse (anche se l'autenticazione a più fattori è stata soddisfatta nel tenant principale). Questo scenario comporta più problemi di autenticazione a più fattori. Se devono reimpostare le prove di autenticazione a più fattori, potrebbero non essere consapevoli delle registrazioni di prova per l'autenticazione a più fattori tra i tenant. La mancanza di consapevolezza potrebbe richiedere all'utente di contattare un amministratore nel tenant principale, nel tenant delle risorse o in entrambi i casi.
  • Richiedi che i dispositivi siano contrassegnati come conformi. Senza impostazioni di accesso tra tenant configurate, l'identità del dispositivo non viene registrata nel tenant delle risorse, quindi l'utente esterno non può accedere alle risorse che richiedono questo controllo.
  • Richiedere un dispositivo aggiunto a Microsoft Entra ID ibrido. Senza impostazioni di accesso tra tenant configurate, l'identità del dispositivo non viene registrata nel tenant della risorsa (o Active Directory locale connessa al tenant delle risorse). Di conseguenza, l'utente esterno non può accedere alle risorse che richiedono questo controllo.
  • Richiedere l'app client approvata o Richiedere i criteri di protezione delle app. Senza impostazioni di accesso tra tenant configurate, gli utenti esterni non possono applicare il criterio di Mobile Application Management (MAM) del tenant delle risorse perché richiede anche la registrazione del dispositivo. I criteri di accesso condizionale del tenant delle risorse, usando questo controllo, non consentono la protezione MAM del tenant principale per soddisfare i criteri. Escludere utenti esterni da ogni criterio di accesso condizionale basato su MAM.

Inoltre, anche se è possibile usare le condizioni di accesso condizionale seguenti, tenere presente le possibili ramificazioni.

  • Rischio di accesso e rischio utente. Il comportamento degli utenti nel tenant principale determina, in parte, il rischio di accesso e il rischio utente. Il tenant principale archivia i dati e il punteggio di rischio. Se i criteri del tenant delle risorse bloccano un utente esterno, un amministratore tenant di risorse potrebbe non essere in grado di abilitare l'accesso. Microsoft Entra ID Protection e utenti B2B spiega in che modo Microsoft Entra ID rileva le credenziali compromesse per gli utenti di Microsoft Entra.
  • Località. Le definizioni di località denominate nel tenant delle risorse determinano l'ambito dei criteri. L'ambito dei criteri non valuta le posizioni attendibili gestite nel tenant principale. Se l'organizzazione vuole condividere posizioni attendibili tra i tenant, definire le posizioni in ogni tenant in cui si definiscono le risorse e i criteri di accesso condizionale.

Protezione dell'ambiente multi-tenant

La protezione di un ambiente multi-tenant inizia assicurandosi che ogni tenant rispetti le procedure consigliate per la sicurezza. Esaminare l'elenco di controllo di sicurezza e le procedure consigliate per avere indicazioni sulla protezione del tenant. Assicurarsi che queste procedure consigliate siano seguite e rivederle con tutti i tenant con cui si collabora a stretto contatto.

Proteggere gli account amministratore e garantire privilegi minimi

Monitoraggio dell'ambiente multi-tenant

  • Monitorare le modifiche ai criteri di accesso tra tenant usando l'interfaccia utente dei log di controllo,l'API o l'integrazione di Monitoraggio di Azure (per gli avvisi proattivi). Gli eventi di controllo usano le categorie "CrossTenantAccessSettings" e "CrossTenantIdentitySyncSettings". Monitorando gli eventi di controllo in queste categorie, è possibile identificare eventuali modifiche ai criteri di accesso tra tenant nel tenant e intervenire. Quando si creano avvisi in Monitoraggio di Azure, è possibile creare una query come quella seguente per identificare eventuali modifiche ai criteri di accesso tra tenant.
AuditLogs
| where Category contains "CrossTenant"
  • Monitorare i nuovi partner aggiunti alle impostazioni di accesso tra tenant.
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
  • Monitorare le modifiche apportate ai criteri di accesso tra tenant che consentono/non consentono la sincronizzazione.
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
  • Monitorare l'accesso alle applicazioni nel tenant usando il dashboard delle attività di accesso tra tenant. Il monitoraggio consente di vedere chi accede alle risorse nel tenant e da dove provengono gli utenti.

Gruppi di appartenenze dinamici

Se l'organizzazione usa la condizione di gruppo dinamico di tutti gli utenti nei criteri di accesso condizionale esistenti, questo criterio influisce sugli utenti esterni perché sono inclusi nell'ambito di tutti gli utenti.

Negare per impostazione predefinita

  • Richiedere l'assegnazione utente per le applicazioni Se un'applicazione ha la proprietà Assegnazione utente obbligatoria? Proprietà impostata su No, gli utenti esterni possono accedere all'applicazione. Gli amministratori delle applicazioni devono comprendere l'impatto del controllo di accesso, soprattutto se l'applicazione contiene informazioni riservate. Limitare l'app Microsoft Entra a un set di utenti in un tenant di Microsoft Entra spiega in che modo le applicazioni registrate in un tenant sono disponibili per tutti gli utenti del tenant che eseguono correttamente l'autenticazione. Questa impostazione è attiva per impostazione predefinita.

Misure di difesa avanzata

Accesso condizionale.

  • Definire i criteri di controllo di accesso per controllare l'accesso alle risorse.
  • Progettare criteri di accesso condizionale tenendo conto degli utenti esterni.
  • Creare criteri specifici per gli utenti esterni.
  • Creare criteri di accesso condizionale dedicati per gli account esterni. Se l'organizzazione usa la condizione di gruppo dinamico di tutti gli utenti nei criteri di accesso condizionale esistenti, questo criterio influisce sugli utenti esterni perché sono inclusi nell'ambito di tutti gli utenti.

Unità di gestione con restrizioni

Quando si usano i gruppi di sicurezza per controllare chi è nell'ambito per la sincronizzazione tra tenant, è necessario limitare chi può apportare modifiche al gruppo di sicurezza. Ridurre al minimo il numero di proprietari dei gruppi di sicurezza assegnati al processo di sincronizzazione tra tenant e includere i gruppi in un'unità di gestione con restrizioni. Questo scenario limiterà il numero di persone che possono aggiungere o rimuovere membri del gruppo e effettuare il provisioning degli account tra i tenant.

Altre considerazioni sul controllo di accesso

Condizioni

Condizioni per l'utilizzo di Microsoft Entra offre un sistema semplice che le organizzazioni possono usare per presentare le informazioni agli utenti finali. È possibile usare le condizioni per l'utilizzo per richiedere agli utenti esterni di approvarle prima di accedere alle risorse.

Considerazioni sulle licenze per gli utenti guest con funzionalità P1 o P2 di Microsoft Entra ID

I prezzi di Microsoft Entra per ID esterno si basano sugli utenti attivi mensili (MAU). Il numero di utenti attivi è il numero di utenti univoci con attività di autenticazione entro un mese di calendario. Il modello di fatturazione per Microsoft Entra ID esterno descrive il modo in cui i prezzi si basano su MAU.

Considerazioni su Office 365

Le informazioni seguenti illustrano Office 365 nel contesto degli scenari di questo documento. Informazioni dettagliate sono disponibili in Collaborazione tra tenant di Microsoft 365. Questo articolo descrive le opzioni che includono l'uso di una posizione centrale per file e conversazioni, la condivisione di calendari, l'uso di messaggistica istantanea, chiamate audio/video per la comunicazione e la protezione dell'accesso alle risorse e alle applicazioni.

Microsoft Exchange Online

Exchange Online limita determinate funzionalità per gli utenti esterni. È possibile ridurre i limiti creando utenti membri esterni anziché utenti guest esterni. Il supporto per gli utenti esterni presenta le limitazioni seguenti.

  • È possibile assegnare una licenza di Exchange Online a un utente esterno. Tuttavia, non è possibile rilasciargli un token per Exchange Online. Pertanto, non può accedere alla risorsa.
    • Gli utenti esterni non possono usare cassette postali di Exchange Online condivise o delegate nel tenant delle risorse.
    • È possibile assegnare un utente esterno a una cassetta postale condivisa, ma non può accedervi.
  • È necessario scoprire gli utenti esterni per includerli nell'Elenco indirizzi globale. Per impostazione predefinita, sono nascosti.
    • Gli utenti esterni nascosti vengono creati in fase di invito. La creazione è indipendente dal fatto che l'utente abbia riscattato l'invito. Pertanto, se tutti gli utenti esterni non vengono ignorati, l'elenco include oggetti utente di utenti esterni che non hanno riscattato un invito. In base allo scenario, è possibile che gli oggetti siano elencati o meno.
    • Gli utenti esterni potrebbero non essere ignorati usando PowerShell di Exchange Online. È possibile eseguire il cmdlet di PowerShell Set-MailUser per impostare la proprietà HiddenFromAddressListsEnabled su un valore di $false.

Ad esempio:

Set-MailUser [ExternalUserUPN] -HiddenFromAddressListsEnabled:\$false\

Dove ExternalUserUPN è l'elemento UserPrincipalName calcolato.

Ad esempio:

Set-MailUser externaluser1_contoso.com#EXT#@fabricam.onmicrosoft.com\ -HiddenFromAddressListsEnabled:\$false

Gli utenti esterni potrebbero non essere ignorati nell'interfaccia di amministrazione di Microsoft 365.

  • È possibile impostare gli aggiornamenti solo sulle proprietà specifiche di Exchange,ad esempio PrimarySmtpAddress, ExternalEmailAddress, EmailAddresses e MailTip, tramite PowerShell di Exchange Online. L'interfaccia di amministrazione di Exchange Online non consente di modificare gli attributi usando l'interfaccia utente grafica (GUI).

Come illustrato nell’esempio, è possibile usare il cmdlet di PowerShell Set-MailUser per le proprietà specifiche della posta elettronica. Esistono proprietà utente che è possibile modificare con il cmdlet di PowerShell Set-User. È possibile modificare la maggior parte delle proprietà con le API Graph di Microsoft.

Una delle funzionalità più utili di Set-MailUser è la possibilità di modificare la proprietà EmailAddresses. Questo attributo multivalore può contenere più indirizzi proxy per l'utente esterno, ad esempio SMTP, X500, Session Initiation Protocol (SIP). Per impostazione predefinita, un utente esterno ha l'indirizzo SMTP primario contrassegnato in relazione all'UPN (UserPrincipalName). Se si desidera modificare l'indirizzo SMTP primario o aggiungere indirizzi SMTP, è possibile impostare questa proprietà. Non è possibile usare l'interfaccia di amministrazione di Exchange; è necessario usare PowerShell per Exchange Online. Aggiungere o rimuovere indirizzi di posta elettronica per una cassetta postale in Exchange Online mostra diversi modi per modificare una proprietà multivalore, ad esempio EmailAddresses.

Microsoft SharePoint in Microsoft 365

SharePoint in Microsoft 365 dispone di autorizzazioni specifiche del servizio a seconda che l'utente (interno o esterno) sia di tipo membro o guest nel tenant di Microsoft Entra. Condivisione esterna di Microsoft 365 e Collaborazione B2B di Microsoft Entra descrive come è possibile abilitare l'integrazione con SharePoint e OneDrive per condividere file, cartelle, elenchi, raccolte documenti e siti con persone esterne all'organizzazione. Microsoft 365 esegue questa operazione durante l'uso di Azure B2B per l'autenticazione e la gestione.

Dopo aver abilitato la condivisione esterna di SharePoint in Microsoft 365, la possibilità di cercare gli utenti guest nella selezione utenti di SharePoint in Microsoft 365 è disattivata per impostazione predefinita. Questa impostazione impedisce agli utenti guest di essere individuabili quando sono nascosti dall'Elenco indirizzi globale di Exchange Online. È possibile consentire agli utenti guest di diventare visibili in due modi (non si escludono a vicenda):

  • È possibile abilitare la possibilità di cercare gli utenti guest in questi modi:
  • Gli utenti guest visibili nell'Elenco indirizzi globale di Exchange Online sono visibili anche nella selezione utenti di SharePoint in Microsoft 365. Gli account sono visibili indipendentemente dall'impostazione per ShowPeoplePickerSuggestionsForGuestUsers.

Microsoft Teams

Microsoft Teams include funzionalità per limitare l'accesso e in base al tipo di utente. Le modifiche apportate al tipo di utente possono influire sull'accesso al contenuto e sulle funzionalità disponibili. Microsoft Teams richiede agli utenti di modificare il contesto usando il meccanismo di cambio del tenant del client Teams quando si lavora in Teams all'esterno del tenant principale.

Il meccanismo di cambio del tenant per Microsoft Teams potrebbe richiedere agli utenti di cambiare manualmente il contesto del client Teams quando si lavora in Teams all'esterno del tenant principale.

È possibile abilitare gli utenti di Teams da un altro dominio esterno per trovare, chiamare, chattare e configurare riunioni con gli utenti con Federazione di Teams. Gestire riunioni esterne e chattare con persone e organizzazioni usando identità Microsoft descrive come consentire agli utenti dell'organizzazione di chattare e incontrare persone esterne all'organizzazione che usano Microsoft come provider di identità.

Considerazioni sulle licenze per gli utenti guest in Teams

Quando si usa Azure B2B con carichi di lavoro di Office 365, le considerazioni chiave includono istanze in cui gli utenti guest (interni o esterni) non hanno la stessa esperienza degli utenti membri.

  • Gruppi Microsoft. Aggiungere utenti guest ai gruppi di Office 365 descrive il modo in cui l'accesso guest nei gruppi di Microsoft 365 consente all'utente e al team di collaborare con persone esterne all'organizzazione concedendo l'accesso a conversazioni di gruppo, file, inviti al calendario e al blocco appunti del gruppo.
  • Microsoft Teams. Funzionalità di proprietario, membro e guest del team in Teams descrive l'esperienza dell'account guest in Microsoft Teams. È possibile abilitare un'esperienza di fedeltà completa in Teams usando utenti membri esterni.
    • Per più tenant nel cloud commerciale, gli utenti concessi in licenza nel tenant principale potrebbero accedere alle risorse in un altro tenant all'interno della stessa persona giuridica. È possibile concedere l'accesso usando l'impostazione membri esterni senza costi aggiuntivi per le licenze. Questa impostazione si applica a SharePoint e OneDrive for Teams e Gruppi.
    • Per più tenant in altri cloud Microsoft e per più tenant in cloud diversi, i controlli delle licenze dei membri B2B non sono ancora disponibili. L'utilizzo di un membro B2B con Teams richiede una licenza aggiuntiva per ogni membro di quel tipo. Questo requisito potrebbe influire anche su altri carichi di lavoro, ad esempio Power BI.
    • L'utilizzo dei membri B2B per i tenant che non fanno parte della stessa persona giuridica sono soggetti a requisiti di licenza aggiuntivi.
  • Funzionalità di Identity Governance. Entitlement Management e verifiche di accesso potrebbero richiedere altre licenze per gli utenti esterni.
  • Altri prodotti. I prodotti come Customer Relationship Management (CRM) di Dynamics potrebbero richiedere licenze in ogni tenant in cui un utente è rappresentato.

Passaggi successivi

  • Introduzione alla gestione degli utenti multi-tenant è il primo di una serie di articoli che forniscono materiale sussidiario per la configurazione e la gestione del ciclo di vita degli utenti negli ambienti multi-tenant di Microsoft Entra.
  • Scenari di gestione degli utenti multi-tenant descrive tre scenari per i quali è possibile usare le funzionalità di gestione degli utenti multi-tenant: avviato dall'utente finale, con script e automatizzato.
  • Soluzioni comuni per la gestione degli utenti multi-tenant quando la tenancy singola non funziona per lo scenario in uso: questo articolo fornisce materiale sussidiario relativo alle problematiche seguenti: gestione automatica del ciclo di vita degli utenti, allocazione delle risorse tra tenant e condivisione di app locali tra tenant.
  • Microsoft Collaboration Framework for the US Defense Industrial Base descrive le architetture di riferimento candidate per l'identità per supportare le organizzazioni multi-tenant (MTO). Questo scenario si applica in modo specifico alle MTO che dispongono di una distribuzione nel cloud sovrano degli Stati Uniti con Microsoft 365 US Government (GCC High) e Azure Government. Fa riferimento anche alla collaborazione esterna in ambienti altamente regolamentati, incluse le organizzazioni ospitate in Commercial o nel cloud sovrano degli Stati Uniti.