Provisioning delle identità di un'organizzazione multi-tenant per Microsoft 365
Le funzionalità dell'organizzazione multi-tenant sono progettate per le organizzazioni che possiedono più tenant di Microsoft Entra e vogliono semplificare la collaborazione tra tenant all'interno dell'organizzazione in Microsoft 365. Si basa sul presupposto del provisioning reciproco degli utenti membri B2B tra i tenant di organizzazioni multitenant.
Ricerca utenti in Microsoft 365
Ad esclusione dell'Accesso esterno a Teams e dei Canali condivisi di Teams, la ricerca utenti di Microsoft 365 è solitamente limitata al tenant locale. Nelle organizzazioni multi-tenant con maggior bisogno di collaborazione tra tenant, è consigliabile effettuare il provisioning reciproco degli utenti dai tenant di origine ai tenant delle risorse dei colleghi.
Nuovo Microsoft Teams
La nuova esperienza di Microsoft Teams migliora la ricerca utenti di Microsoft 365 e l'accesso esterno a Teams per un'esperienza di collaborazione omogenea. Affinché questa esperienza migliorata possa essere attivata, è necessaria la rappresentazione dell'organizzazione multitenant in Microsoft Entra ID e gli utenti collaboranti devono essere provisionati come membri B2B. Per altre informazioni, vedere Annuncio di una collaborazione più semplice in Microsoft Teams per organizzazioni multi-tenant.
Insieme di utenti collaboratori
La collaborazione in Microsoft 365 si basa sul presupposto del provisioning reciproco delle identità B2B tra i tenant di un'organizzazione multi-tenant.
Ad esempio, Annie del tenant A, Bob e Barbara del tenant B e Charlie del tenant C vogliono collaborare. Concettualmente, questi quattro utenti rappresentano un gruppo di utenti collaborativi con quattro identità interne distribuite su tre tenant.
Affinché la ricerca degli utenti abbia esito positivo, quando è delimitata dai confini del tenant locale, l'intero set di utenti che collaborano deve essere rappresentato all'interno dell'ambito di ogni tenant dell'organizzazione multi-tenant A, B e C, in forma di identità interne o B2B.
A seconda delle esigenze dell'organizzazione, il set di utenti che collabora può contenere un subset di dipendenti che collaborano o infine tutti i dipendenti.
Condivisione degli utenti
Uno dei modi più semplici per raggiungere un set di utenti che collaborano in ogni tenant dell'organizzazione multi-tenant è che ogni amministratore del tenant definisca il loro contributo e li sincronizzi verso l'esterno. Gli amministratori tenant nella parte ricevente devono accettare gli utenti condivisi entranti.
- Amministratore A contribuisce o condivide Annie
- Amministratore B contribuisce o condivide Bob e Barbara
- Amministratore C contribuisce o condivide Charles
L'interfaccia di amministrazione di Microsoft 365 facilita l'orchestrazione di un tale gruppo di utenti tra tenant di organizzazioni multitenant. Per altre informazioni, vedere Sincronizzare gli utenti in organizzazioni multi-tenant in Microsoft 365
In alternativa, è possibile usare la configurazione a coppie della sincronizzazione incrociata tra tenant in ingresso e in uscita per orchestrare tali insiemi di utenti coordinati tra gli tenant multi-tenant di un'organizzazione. Per ulteriori informazioni, vedere Che cos'è una sincronizzazione tra tenant.
Utenti membri B2B
Per garantire un'esperienza di collaborazione senza interruzioni in una organizzazione multi-tenant in Microsoft Teams, le identità B2B sono fornite come utenti B2B di Member userType.
| Metodo di sincronizzazione utente | Proprietà userType predefinita |
|---|---|
| Sincronizzare gli utenti in organizzazioni multi-tenant in Microsoft 365 |
Membro Rimane Ospite, se l'identità B2B esiste già come Ospite |
| Sincronizzazione tra tenant in Microsoft Entra ID |
Membro Rimane Ospite, se l'identità B2B esiste già come Ospite |
Dal punto di vista della sicurezza, è consigliabile controllare le autorizzazioni predefinite concesse agli utenti membri B2B. Per altre informazioni, vedere Confrontare le autorizzazioni predefinite di membri e guest.
Per modificare userType da Guest a Member (o viceversa), un amministratore tenant di origine può modificare i mapping degli attributi oppure un amministratore tenant di destinazione può modificare userType se la proprietà non viene sincronizzata in modo ricorrente.
Annullamento della condivisione con i propri utenti
Per annullare la condivisione degli utenti, effettuare il deprovisioning degli utenti usando le funzionalità di deprovisioning utente disponibili nella sincronizzazione tra tenant di Microsoft Entra. Per impostazione predefinita, quando un ambito di provisioning viene ridotto mentre è in esecuzione un processo di sincronizzazione, gli utenti vengono esclusi dall'ambito ed eliminati temporaneamente, a condizione che l'opzione Azioni oggetto di destinazione per l'eliminazione non sia disabilitata. Per ulteriori informazioni, vedere Deprovisioning e Definire chi è nell'ambito del provisioning.