Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive le limitazioni da tenere presenti quando si usa le funzionalità di un'organizzazione multi-tenant in Microsoft Entra ID e Microsoft 365. Per fornire commenti e suggerimenti sulle funzionalità dell'organizzazione multi-tenant su UserVoice, vedere Microsoft Entra UserVoice. È possibile osservare UserVoice da vicino in modo da poter contribuire al miglioramento del servizio.
Ambito
Di seguito è definito l'ambito delle limitazioni descritte in questo articolo.
| Ambito | Descrizione |
|---|---|
| Nell'ambito | - Limitazioni dell'amministratore di Microsoft Entra relative alle organizzazioni multi-tenant per supportare esperienze di collaborazione fluide nel nuovo Microsoft Teams, con membri B2B reciprocamente provisionati. - Limitazioni degli amministratori di Microsoft Entra nelle organizzazioni multi-tenant per supportare esperienze di collaborazione fluide in Microsoft Viva Engage, con membri B2B forniti centralmente. |
| Ambito correlato | - Limitazioni dell'interfaccia di amministrazione di Microsoft 365 correlate alle organizzazioni multi-tenant - Esperienze di ricerca utenti in un'organizzazione multi-tenant di Microsoft 365 - Limitazioni della sincronizzazione tra tenant correlate a Microsoft 365 |
| Fuori ambito | - Sincronizzazione tra tenant non legata a Microsoft 365 - Esperienze degli utenti finali in Viva Engage - Migrazione o consolidamento dei locatari |
| Scenari non supportati | - Organizzazioni multi-tenant tra tenant didattici che coinvolgono scenari di studenti - Organizzazioni multi-tenant in Microsoft 365 Government - Esperienza di collaborazione fluida tra organizzazioni multi-tenant in Teams classico - Funzionalità self-service per organizzazioni multitenant con più di 100 inquilini - Organizzazioni multi-tenant in Azure per enti pubblici o Microsoft Azure gestite da 21Vianet - Le organizzazioni multi-tenant sono disponibili nei cloud GCC, GCC-H e DOD. Tuttavia, i tenant delle organizzazioni multi-tenant possono avere solo tenant che si trovano nello stesso ambiente cloud. Le organizzazioni multi-cloud multi-tenant non sono supportate. |
Creare o partecipare a un'organizzazione multi-tenant usando l'interfaccia di amministrazione di Microsoft 365
Dopo aver creato un'organizzazione multi-tenant nel centro di amministrazione di Microsoft 365, vedrai che il centro di amministrazione Microsoft ha creato configurazioni di sincronizzazione tra tenant con i nomi
MTO_Sync_<TenantID>. Evitare di modificare o cambiare i nomi se si vuole che l'interfaccia di amministrazione di Microsoft 365 riconosca le configurazioni create e gestite dall'interfaccia di amministrazione di Microsoft 365.I processi di sincronizzazione creati con Microsoft Entra ID non verranno visualizzati nell'interfaccia di amministrazione di Microsoft 365. Nell'interfaccia di amministrazione di Microsoft 365, lo Stato di sincronizzazione in uscita sarà impostato su Non configurato. Si tratta di un comportamento previsto. Non esiste alcun modello supportato dall'interfaccia di amministrazione di Microsoft 365 per assumere il controllo dei processi di sincronizzazione tra tenant creati nell'interfaccia di amministrazione di Microsoft Entra.
Impostazioni di accesso tra tenant
La sincronizzazione tra tenant in Microsoft Entra ID non supporta la definizione di una configurazione di sincronizzazione tra tenant prima che il tenant in questione consenta la sincronizzazione in ingresso nelle impostazioni di accesso tra tenant per la sincronizzazione delle identità.
Pertanto, prima della creazione di un'organizzazione multi-tenant, è consigliabile usare il modello di impostazioni di accesso tra tenant per la sincronizzazione delle identità, con
userSyncInboundimpostato su true.Analogamente, prima della creazione di un'organizzazione multi-tenant, l'utilizzo del modello di impostazioni di accesso tra tenant per le configurazioni dei partner è consigliato con
automaticUserConsentSettings.inboundAllowede conautomaticUserConsentSettings.outboundAllowedimpostato su true.
Richieste di partecipazione
Esistono diversi motivi per cui una richiesta di partecipazione può avere esito negativo. Se l'interfaccia di amministrazione di Microsoft 365 non indica perché una richiesta di partecipazione ha esito negativo, provare a esaminare la risposta alla richiesta usando le API Microsoft Graph o Microsoft Graph Explorer.
Se è stata seguita la sequenza corretta per creare un'organizzazione multi-tenant e aggiungere un tenant all'organizzazione multi-tenant e la richiesta di partecipazione del tenant continua ad avere esito negativo, inviare una richiesta di supporto nell'interfaccia di amministrazione di Microsoft Entra o Microsoft 365.
Opzioni per gestire il provisioning degli utenti membri esterni
- Se si usa già la sincronizzazione tra tenant di Microsoft Entra per varie topologie multi-hub multi-spoke, non è necessario usare la funzionalità di condivisione utenti nel centro amministrativo di Microsoft 365. È invece possibile continuare a usare i processi di sincronizzazione tra tenant esistenti di Microsoft Entra.
- Se in precedenza non è stata usata la sincronizzazione tra tenant di Microsoft Entra e si intende stabilire una topologia di set di utenti che collabora in cui lo stesso set di utenti viene condiviso a tutti i tenant dell'organizzazione multi-tenant, è possibile usare la funzionalità di condivisione utenti dell'interfaccia di amministrazione di Microsoft 365.
- Se disponi già di un motore di provisioning utenti su larga scala, puoi sfruttare i vantaggi della nuova organizzazione multi-tenant continuando a utilizzare il tuo motore per gestire il ciclo di vita dei tuoi dipendenti.
- Se è necessario creare singoli utenti membri esterni in un tenant host anziché crearli tramite un motore di provisioning da un tenant di origine, vedere Come creare, invitare ed eliminare utenti.
Sincronizzazione tra tenant nell'interfaccia di amministrazione di Microsoft Entra
Per le organizzazioni aziendali con configurazioni di identità complesse, è consigliabile usare la sincronizzazione tra tenant nell'interfaccia di amministrazione di Microsoft Entra.
Per impostazione predefinita, viene effettuato il provisioning dei nuovi utenti B2B come membri B2B, mentre gli utenti guest B2B esistenti rimangono tali. È possibile scegliere di convertire gli ospiti B2B in membri B2B impostando Applica questo mapping su Sempre.
Per impostazione predefinita,
showInAddressListviene sincronizzato in un tenant di destinazione come true. È possibile modificare il mapping di questo attributo in base alle esigenze dell'organizzazione.L'approvvigionamento su larga scala degli utenti B2B potrebbe entrare in conflitto con gli oggetti contatto. La gestione o la conversione di oggetti contatto non è attualmente supportata.
L'uso della sincronizzazione tra tenant per indirizzare le identità ibride che sono state convertite in utenti B2B non è attualmente supportato.
Sincronizzare utenti nell'interfaccia di amministrazione di Microsoft 365
Nelle organizzazioni multi-tenant più piccole dimensioni, è consigliabile usare l'interfaccia di amministrazione di Microsoft 365 per sincronizzare gli utenti in più tenant dell'organizzazione multi-tenant.
Per condividere gli utenti, l'interfaccia di amministrazione di Microsoft 365 crea più processi di sincronizzazione tra tenant, uno per ogni tenant di destinazione, mantenendo lo stesso ambito utente in tutti i processi.
Dopo che l'interfaccia di amministrazione di Microsoft 365 ha creato i processi di sincronizzazione tra tenant, è possibile modificare i mapping degli attributi nell'interfaccia di amministrazione di Microsoft Entra in base alle esigenze delle organizzazioni.
Ospiti B2B o utenti B2B gestiti nel tenant ospitante
La promozione di utenti guest B2B a membri B2B rappresenta una decisione strategica da parte delle organizzazioni multi-tenant per considerare i membri B2B come utenti attendibili dell'organizzazione. Esaminare le autorizzazioni predefinite per i membri B2B.
Quando l'organizzazione implementa le funzionalità delle organizzazioni multi-tenant, come il provisioning di utenti B2B nei tenant dell'organizzazione multi-tenant, potrebbe essere necessario effettuare il provisioning di alcuni utenti come guest B2B e di altri come membri B2B.
Per promuovere ospiti B2B a membri B2B, un amministratore del tenant host può modificare il parametro userType, presupponendo che la proprietà non venga sincronizzata in modo ricorrente.
Ospiti B2B o membri B2B gestiti tramite la sincronizzazione tra tenant diversi
Se la sincronizzazione tra tenant viene usata per sincronizzare periodicamente la proprietà userType, un amministratore tenant di origine può modificare i mapping degli attributi.
È consigliabile stabilire due configurazioni di sincronizzazione tra tenant di Microsoft Entra nel tenant di origine: una con mappature di attributi userType configurate come B2B guest e un'altra come B2B member, ciascuna con l'opzione Applica questo mapping impostata su Sempre.
Spostando un utente da un ambito della configurazione a un altro, è possibile controllare facilmente chi sarà un guest B2B o un membro B2B nel tenant di destinazione. Utilizzando questo approccio, potresti anche voler disabilitare le azioni sull'oggetto di destinazione per l'eliminazione.
Elenco indirizzi globale gestito nel tenant host
La proprietà showInAddressList di un utente B2B può essere aggiornata con privilegi di amministratore utenti in Microsoft Graph Explorer o Microsoft Graph PowerShell.
L'aggiornamento della proprietà showInAddressList nell'oggetto utente aggiornerà anche l'impostazione per nascondere i destinatari dagli elenchi di indirizzi in Microsoft Exchange Online.
L'impostazione per nascondere i destinatari dagli elenchi di indirizzi, se configurata per essere diversa dalla proprietà showInAddressList, ha la precedenza quando si tratta di determinare la visibilità dell'elenco di indirizzi.
Se l'impostazione per nascondere i destinatari non è configurabile nell'interfaccia di amministrazione di Exchange a causa del tipo di utente Guest, può essere comunque configurata in PowerShell usando la proprietà HiddenFromAddressListsEnabled.
Per altre informazioni, vedere Aggiungere ospiti all'elenco indirizzi globale.
Elenco indirizzi globale gestito tramite la sincronizzazione tra tenant
- Se la sincronizzazione tra tenant viene usata per sincronizzare la proprietà, è possibile usare showInAddressList in un tenant di origine per controllare la visibilità dell'elenco di indirizzi in un tenant di destinazione.
- D'altra parte, non è possibile usare l'impostazione per nascondere il destinatario dagli elenchi di indirizzi nel tenant di origine per modificare la visibilità dell'elenco indirizzi in un tenant di destinazione.
Le app di Microsoft
Nelle interfacce utente di SharePoint OneDrive, quando si condivide un file con Persone in Fabrikam, le interfacce utente correnti possono risultare controintuitive, perché i membri B2B in Fabrikam provenienti da Contoso sono inclusi fra le Persone in Fabrikam.
Nell'interfaccia di amministrazione di Microsoft 365 e in Microsoft Forms, Microsoft OneNote e Microsoft Planner, gli utenti membri B2B potrebbero non essere supportati.
In Microsoft Power BI, il supporto dei membri B2B è attualmente in fase di anteprima. Gli utenti guest B2B possono continuare ad accedere ai dashboard di Power BI.
In Microsoft Power Apps, Microsoft Dynamics 365 e nei carichi di lavoro correlati, gli utenti membri B2B potrebbero avere funzionalità limitate. Per altre informazioni, vedere Invitare utenti con Collaborazione B2B di Microsoft Entra.
In Microsoft Purview, le funzionalità delle organizzazioni multi-tenant non sono ancora supportate. Altre informazioni sulle funzionalità esistenti per utenti esterni e contenuto etichettato e sulla collaborazione esterna usando etichette di riservatezza.
In Microsoft Intune, le funzionalità delle organizzazioni multi-tenant non sono ancora supportate. Altre informazioni sulle funzionalità esistenti per considerare attendibili attestazioni di dispositivi conformi provenienti da organizzazioni esterne.
Utenti B2B o membri B2B
Nell'ambito di un'organizzazione multi-tenant, non è possibile reimpostare lo stato di riscatto per un utente B2B già riscattato.
L'approvvigionamento su larga scala degli utenti B2B potrebbe entrare in conflitto con gli oggetti contatto. La gestione o la conversione di oggetti contatto non è attualmente supportata.
L'uso della sincronizzazione inter-tenant per indirizzare le identità ibride convertite in utenti B2B non è stato testato nei conflitti nella fonte dell'autorità e non è supportato.
Gli utenti connessi sono in grado di leggere gli attributi di base di un'organizzazione multi-tenant e dei suoi tenant membri, senza che vengano assegnati ruoli come Security Reader o Global Reader.
Deprovisioning della sincronizzazione tra tenant
Per impostazione predefinita, quando un ambito di provisioning viene ridotto mentre è in esecuzione un processo di sincronizzazione, gli utenti vengono esclusi dall'ambito ed eliminati temporaneamente, a condizione che l'opzione Azioni oggetto di destinazione per l'eliminazione non sia disabilitata. Per ulteriori informazioni, vedere Deprovisioning e definire chi è incluso nell'ambito del provisioning.
Attualmente, SkipOutOfScopeDeletions funziona per i processi di provisioning delle applicazioni, ma non per la sincronizzazione tra tenant. Per evitare l'eliminazione temporanea degli utenti esclusi dall'ambito della sincronizzazione tra tenant, disabilitare l'opzione Azioni oggetto di destinazione per l'eliminazione.