Condividi tramite


Pianificare le organizzazioni multi-tenant in Microsoft 365

Nota

Le organizzazioni multi-tenant non sono disponibili in Microsoft 365 Cina (gestito da 21Vianet). Se l'organizzazione gestisce più tenant di Microsoft 365, è possibile configurare un'organizzazione multi-tenant in Microsoft 365 per facilitare la collaborazione e l'accesso alle risorse tra tenant. La creazione di un'organizzazione multi-tenant e la sincronizzazione degli utenti tra tenant offrono un'esperienza di collaborazione più semplice tra gli utenti in tenant diversi durante la ricerca reciproca, l'uso di Microsoft Teams e delle riunioni e la collaborazione ai file.

Il tenant che crea l'organizzazione multi-tenant è noto come proprietario , mentre gli altri tenant che si uniscono all'organizzazione multi-tenant sono noti come membri. Dopo che l'amministratore globale nel tenant proprietario crea l'organizzazione multi-tenant, può invitare i tenant dei membri. Un amministratore globale in ogni tenant membro può quindi partecipare all'organizzazione multi-tenant.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Mentre si configurano le organizzazioni multi-tenant di Microsoft 365 nell'interfaccia di amministrazione di Microsoft 365, gran parte dell'infrastruttura di supporto è nell'ID Microsoft Entra. Per informazioni dettagliate sul funzionamento delle organizzazioni multi-tenant in Microsoft Entra ID, vedere Che cos'è un'organizzazione multi-tenant in Microsoft Entra ID? e Topologies per la sincronizzazione tra tenant.

Sincronizzazione utente tra tenant

Le organizzazioni multi-tenant sincronizzano gli utenti tra i tenant usando gli utenti di Collaborazione B2B di Microsoft Entra. Agli utenti del tenant viene effettuato il provisioning negli altri tenant dell'organizzazione multi-tenant come utenti di collaborazione B2B, ma con un tipo di utente anziché guest. Vedere Quali sono le autorizzazioni utente predefinite in Microsoft Entra ID? per le differenze tra questi ruoli. Il tipo di utente membro è richiesto da Teams nelle organizzazioni multi-tenant.

È consigliabile iniziare con un piccolo set di utenti prima di eseguire l'implementazione nell'intera organizzazione. Quando si esegue l'implementazione completa, è consigliabile sincronizzare tutti gli utenti tra tutti i tenant dell'organizzazione multi-tenant per un'esperienza utente ottimale. Tuttavia, se necessario, è possibile sincronizzare un subset di utenti, inclusi utenti diversi con tenant diversi.

Quando si configura la sincronizzazione utente nell'interfaccia di amministrazione di Microsoft 365, gli stessi utenti vengono sincronizzati con tutti i tenant dell'organizzazione multi-tenant. La sincronizzazione di utenti diversi con tenant diversi deve essere configurata nell'ID Microsoft Entra.

Dopo aver configurato la sincronizzazione utente, è possibile modificare le impostazioni di sincronizzazione, incluso l'ambito utente e il mapping degli attributi, in Microsoft Entra ID. Sebbene sia possibile creare più configurazioni di sincronizzazione tra tenant per un singolo tenant esterno, è consigliabile usarne solo una per semplificare l'amministrazione. Per altre informazioni, vedere Configurare la sincronizzazione tra tenant.

Configurazioni di sincronizzazione tra tenant esistenti

Se si dispone di configurazioni di sincronizzazione tra tenant esistenti in Microsoft Entra ID, continuano a funzionare dopo aver configurato un'organizzazione multi-tenant in Microsoft 365. È possibile continuare a usare queste configurazioni per sincronizzare gli utenti per l'organizzazione multi-tenant di Microsoft 365. Si noti che l'interfaccia di amministrazione di Microsoft 365 non riconosce queste configurazioni e lo stato della sincronizzazione in uscita verrà visualizzato come non configurato.

Se gli utenti membri B2B sono già sincronizzati con i tenant che fanno parte dell'MTO, tali utenti diventeranno immediatamente membri MTO al momento della formazione MTO.

È possibile sincronizzare gli utenti tra i tenant usando l'interfaccia di amministrazione di Microsoft 365. Verranno create nuove configurazioni di sincronizzazione tra tenant in Microsoft Entra ID. Entrambe le configurazioni nuove e esistenti in precedenza verranno eseguite e sincronizzate gli utenti specificati.

È consigliabile avere una sola configurazione per sincronizzare gli utenti con un determinato tenant. Per sincronizzare gli stessi utenti con ogni tenant, configurare la sincronizzazione nell'interfaccia di amministrazione di Microsoft 365. Se si desidera sincronizzare utenti diversi con tenant diversi, configurare la sincronizzazione in Microsoft Entra ID.

Impostazioni di accesso tra tenant in Microsoft Entra ID

Quando si crea una nuova organizzazione multi-tenant o si partecipa a una organizzazione esistente, le altre organizzazioni nell'organizzazione multi-tenant vengono aggiunte alle impostazioni di accesso tra tenant di Microsoft Entra nel tenant.

Se si ha già una relazione organizzativa configurata in Microsoft Entra ID con un tenant che si sta aggiungendo a un'organizzazione multi-tenant, la configurazione esistente viene aggiornata come segue:

  • Le impostazioni di sincronizzazione tra tenant in ingresso vengono aggiornate per consentire agli utenti di eseguire la sincronizzazione nel tenant.
  • Le impostazioni di attendibilità in uscita vengono aggiornate in modo che gli utenti di questo tenant non devono accettare la richiesta di consenso la prima volta che accedono all'altro tenant usando la sincronizzazione tra tenant, la collaborazione B2B o la connessione diretta B2B (canali condivisi).

È consigliabile controllare le impostazioni di collaborazione B2B per le relazioni aziendali preesistenti per assicurarsi che gli utenti e le app appropriati siano consentiti.

Il nuovo client desktop di Microsoft Teams

Per un'esperienza ottimale nelle organizzazioni multi-tenant, gli utenti hanno bisogno del nuovo client desktop di Microsoft Teams. Con il nuovo client desktop di Teams, gli utenti possono:

  • Ricevere notifiche in tempo reale da tutti i tenant dell'organizzazione multi-tenant
  • Partecipare a chat, riunioni e chiamate in tutti i tenant senza passare da una chiamata o una riunione per cambiare tenant.
  • Impostarne lo stato per ogni account e organizzazione singolarmente.
  • La scheda profilo utente mostra il nome dell'organizzazione e l'indirizzo di posta elettronica

Per controllare quali utenti possono usare il nuovo client desktop di Teams, usare i criteri di aggiornamento di Teams. Per altre informazioni, vedere Distribuire i nuovi teams usando i criteri

Organizzazioni attendibili nell'accesso esterno

L'accesso esterno è necessario per le chat e le chiamate tra tenant. L'accesso esterno per gli utenti di Teams e Skype for Business nelle organizzazioni esterne deve essere configurato per ogni tenant dell'organizzazione multi-tenant e deve consentire i domini di tutti i tenant dell'organizzazione multi-tenant. Inoltre, tutti gli utenti sincronizzati tra i tenant devono essere abilitati per l'accesso esterno con gli utenti di Teams e Skype for Business nelle organizzazioni esterne. Per informazioni dettagliate, vedere Gestire riunioni esterne e chattare con persone e organizzazioni usando le identità Microsoft.

Canali condivisi nelle organizzazioni multi-tenant

L'uso di canali condivisi in Teams con altri tenant in un'organizzazione multi-tenant funziona come l'uso di canali condivisi con qualsiasi altra organizzazione esterna. Anche se la relazione organizzativa in Microsoft Entra ID è configurata come parte della configurazione dell'organizzazione multi-tenant, è comunque necessario abilitare i canali condivisi in Teams e configurare le impostazioni di connessione diretta B2B in Microsoft Entra ID. Per informazioni dettagliate, vedere Collaborare con partecipanti esterni in un canale condiviso.

Requisiti di licenza

L'uso della funzionalità dell'organizzazione multi-tenant richiede licenze Microsoft Entra ID P1 o superiori in tutti i tenant dell'organizzazione multi-tenant. Per altri dettagli, vedere Requisiti di licenza dell'organizzazione multi-tenant Entra. Se si prevede di usare la sincronizzazione tra tenant entra tramite l'interfaccia di amministrazione di Microsoft 365 o l'ID Microsoft Entra, vedere anche Requisiti di licenza per la sincronizzazione tra tenant di Entra.

Limitazioni per le organizzazioni multi-tenant in Microsoft 365

Di seguito sono riportate le limitazioni delle organizzazioni multi-tenant in Microsoft 365:

  • È supportato un massimo di 100 tenant nell'organizzazione multi-tenant.
  • Teams sul Web, Microsoft Teams Rooms (MTR) e VDI/AVD non sono supportati.
  • La possibilità di concedere o revocare l'autorizzazione per ricevere notifiche da altri tenant e passare da un tenant all'altro non è supportata nei dispositivi mobili.
  • Gli utenti dei collegamenti dell'organizzazione potrebbero non funzionare per gli utenti di un altro tenant se il loro account era stato originariamente un guest e in precedenza avevano eseguito l'accesso alle risorse di SharePoint.
  • La visualizzazione di un utente nella ricerca dopo la sincronizzazione potrebbe richiedere fino a sette giorni. Contattare il supporto tecnico Microsoft se gli utenti non sono ricercabili dopo sette giorni.
  • Il supporto per un UserType guest del membro in Power BI è attualmente in anteprima. Per altre informazioni, vedere Distribuire il contenuto di Power BI agli utenti guest esterni con Microsoft Entra B2B.

Per aggiungere più di 100 tenant, contattare il supporto tecnico Microsoft.

Per altre limitazioni, vedere Limitazioni nelle organizzazioni multi-tenant.

Configurare o partecipare a un'organizzazione multi-tenant

Per configurare una nuova organizzazione multi-tenant in cui il tenant è il proprietario, vedere Configurare un'organizzazione multi-tenant in Microsoft 365.

Per aggiungere un'organizzazione multi-tenant esistente come tenant membro, vedere Aggiungere o lasciare un'organizzazione multi-tenant in Microsoft 365.

Configurare la sincronizzazione tra tenant usando PowerShell o l'API Microsoft Graph

Sincronizzare gli utenti nelle organizzazioni multi-tenant in Microsoft 365