Condividi tramite

Sincronizzare gli utenti nelle organizzazioni multi-tenant in Microsoft 365

  • Articolo

Per consentire agli utenti del tenant di collaborare con quelli di altri tenant, è necessario sincronizzare gli utenti con gli altri tenant.

Esistono due modi per configurare la sincronizzazione degli utenti:

Entrambi i metodi usano la sincronizzazione tra tenant in Microsoft Entra ID.

Se si desidera sincronizzare gli stessi utenti con tutti gli altri tenant di un'organizzazione multi-tenant, è consigliabile condividere gli utenti nell'interfaccia di amministrazione di Microsoft 365. In questo modo vengono create automaticamente le configurazioni necessarie in Microsoft Entra ID.

Se si desidera sincronizzare utenti diversi con tenant diversi o sincronizzare gruppi Entra, è necessario configurare la sincronizzazione tra tenant direttamente in Microsoft Entra ID.

Sebbene sia possibile creare più configurazioni di sincronizzazione tra tenant per un singolo tenant esterno, è consigliabile usarle solo per semplificare l'amministrazione.

Se gli utenti membri B2B sono già sincronizzati con i tenant che fanno parte dell'MTO, tali utenti diventeranno immediatamente membri MTO al momento della formazione MTO.

Nota

Potrebbero essere richieste fino a 24 ore perché gli utenti sincronizzati siano disponibili nei servizi di Microsoft 365, ad esempio Teams e SharePoint.

Per altre informazioni sulla sincronizzazione tra tenant, vedere Che cos'è la sincronizzazione tra tenant?.

In caso di problemi con la sincronizzazione utente, controllare i log di provisioning nell'ID Microsoft Entra.

Sincronizzazione delle proprietà utente

Quando si configura la sincronizzazione utente con un altro tenant in un'organizzazione multi-tenant, vengono sincronizzate le proprietà utente seguenti:

Proprietà Proprietà
accountEnabled physicalDeliveryOfficeName
alternativeSecurityIds postalCode
città preferredLanguage
paese showInAddressList
reparto stato
displayName streetAddress
employeeId surname
givenName telephoneNumber
IsSoftDeleted userPrincipalName
jobTitle UserType (membro)
mailNickname direttore

È possibile modificare le proprietà sincronizzate dopo la configurazione della sincronizzazione. Per altre informazioni, vedere Configurare la sincronizzazione tra tenant.

Esperienza della scheda del profilo

La scheda del profilo è una funzionalità che consente agli utenti di visualizzare informazioni su un altro utente, ad esempio posta elettronica, numero di telefono e posizione dell'ufficio. È disponibile nella maggior parte delle app di Microsoft 365, ad esempio Teams, Outlook, SharePoint e Viva Engage. Gli utenti di organizzazioni multi-tenant possono visualizzare informazioni sugli utenti in altri tenant che fanno parte dell'organizzazione multi-tenant. Ciò che gli utenti possono vedere dipende dai dati sincronizzati tra i tenant. Si noti che alcune proprietà richiedono la visualizzazione di una configurazione aggiuntiva .

Il nuovo client desktop di Teams recupera alcuni dati direttamente dagli altri tenant dell'organizzazione multi-tenant per creare un'esperienza più completa. In un'organizzazione multi-tenant, quando un utente esamina la scheda del profilo per un utente in un altro tenant di Teams, il nome, le informazioni di contatto e le informazioni sul processo sono disponibili nelle chat 1:1 e nei canali condivisi senza la necessità di configurare la sincronizzazione delle proprietà. Queste proprietà vengono recuperate dall'accesso tra tenant di Microsoft Entra e dall'accesso esterno di Teams. Per visualizzare queste proprietà altrove in Teams, ad esempio canali, chat di gruppo e chat con account guest, è necessario includerle come parte della sincronizzazione degli utenti.

In un'organizzazione multi-tenant l'immagine del profilo è sempre disponibile e viene recuperata dal tenant principale dell'utente.

Per un'esperienza di scheda del profilo più coerente, tenere presente quanto segue:

Utenti sincronizzati con il tenant da altri tenant

Gli utenti sincronizzati con il tenant da altri tenant dell'organizzazione multi-tenant vengono sincronizzati come membri di Microsoft Entra anziché come guest.

Come membri, gli utenti di altri tenant hanno un'esperienza di collaborazione più semplice. Ciò include l'accesso ai file che usano utenti dell'organizzazione tramite collegamenti condivisibili. È consigliabile usare le etichette di riservatezza se è necessario limitare gli utenti che possono accedere a un file con un collegamento all'organizzazione .

Se alcuni utenti dell'altro tenant hanno già account guest nella directory, il processo di sincronizzazione non modifica il tipo di utente in membro per impostazione predefinita. È possibile modificare il tipo di utente di questi utenti in membro aggiornando le proprietà utente in Microsoft Entra ID o aggiornando i mapping di configurazione della sincronizzazione tra tenant in Microsoft Entra ID per supportare la conversione da guest a membro su larga scala.

Configurare la sincronizzazione utente iniziale per un'organizzazione multi-tenant

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Per sincronizzare le identità con altri tenant in un'organizzazione multi-tenant:

  1. Accedere all'interfaccia di amministrazione di Microsoft 365 come amministratore globale.
  2. Espandere Impostazioni e selezionare Impostazioni organizzazione.
  3. Nella scheda Profilo organizzazione selezionare Collaborazione multi-tenant.
  4. Selezionare Condividi utenti.
  5. Selezionare Selezionare gli utenti da condividere.
  6. Selezionare Salva.
  7. Selezionare per confermare.

In questo modo viene creata una configurazione di sincronizzazione tra tenant nell'ID Microsoft Entra per ogni tenant dell'organizzazione multi-tenant. Le configurazioni di sincronizzazione sono denominate MTO_Sync_<TenantID>.

Configurare la sincronizzazione utente con i tenant appena aggiunti

Se si aggiungono altri tenant all'organizzazione multi-tenant, è necessario configurare la sincronizzazione utente con tali tenant.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Per configurare la sincronizzazione degli utenti con i tenant appena aggiunti:

  1. Accedere all'interfaccia di amministrazione di Microsoft 365 come amministratore globale.
  2. Espandere Impostazioni e selezionare Impostazioni organizzazione.
  3. Nella scheda Profilo organizzazione selezionare Collaborazione multi-tenant.
  4. Selezionare Condividi utenti.
  5. Selezionare Condividi ambito utente corrente.
  6. Selezionare per confermare.

Modificare gli utenti sincronizzati con altri tenant

È possibile modificare gli utenti sincronizzati con altri tenant dell'organizzazione multi-tenant.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Per modificare gli utenti sincronizzati con altri tenant:

  1. Accedere all'interfaccia di amministrazione di Microsoft 365 come amministratore globale.
  2. Espandere Impostazioni e selezionare Impostazioni organizzazione.
  3. Nella scheda Profilo organizzazione selezionare Collaborazione multi-tenant.
  4. Selezionare Condividi utenti.
  5. Selezionare Modifica utenti condivisi.
  6. Aggiornare gli utenti da sincronizzare con altri tenant e quindi selezionare Salva.
  7. Selezionare per confermare.

Questa procedura aggiorna le configurazioni di sincronizzazione MTO_Sync_<TenantID> in Microsoft Entra ID per ogni tenant dell'organizzazione multi-tenant.

Configurare la condivisione del calendario per i tenant nell'MTO

La condivisione del calendario consente agli utenti di ogni tenant dell'organizzazione multi-tenant (MTO) di visualizzare informazioni sulla disponibilità del calendario disponibili (solo ora).

Nota

La condivisione del calendario tramite il portale di collaborazione multi-tenant non è attualmente disponibile in Microsoft 365 GCC, GCC High, DoD o Microsoft 365 China (gestito da 21Vianet).

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Per gestire la condivisione del calendario della disponibilità per i tenant nell'MTO:

  1. Accedere all'interfaccia di amministrazione di Microsoft 365 come amministratore globale.
  2. Espandere Impostazioni e selezionare Impostazioni organizzazione.
  3. Nella scheda Profilo organizzazione selezionare Collaborazione multi-tenant.
  4. Selezionare Gestisci impostazioni.
  5. Selezionare Modifica impostazioni calendario in Calendario.
  6. Selezionare i tenant per abilitare la condivisione del calendario della disponibilità.
  7. Selezionare Salva modifiche.

La funzionalità di condivisione del calendario per MTO usa le relazioni dell'organizzazione in Exchange Online. La relazione dell'organizzazione condividerà la disponibilità del calendario di tutti gli utenti e deve essere configurata anche dagli altri tenant nell'MTO per la condivisione delle informazioni sulla disponibilità.

Configurare le etichette utente MTO in Teams per i tenant nell'MTO

Gli amministratori del gruppo MTO possono ora configurare un'etichetta facoltativa per ogni tenant che verrà visualizzata insieme al nome visualizzato dell'utente sincronizzato MTO in Teams. Ciò consente agli utenti sincronizzati MTO di essere distinguibili all'interno dell'MTO nelle interazioni di Teams.

La scheda Persone di Teams mostra l'etichetta utente MTO

Fig 1: La scheda persone di Teams mostra l'etichetta utente MTO "US"

L'esperienza di ricerca di Teams mostra l'etichetta utente MTO

Figura 2: L'esperienza di ricerca di Teams mostra l'etichetta utente MTO "US"

Solo i proprietari di MTO possono gestire le etichette utente MTO. L'elaborazione delle modifiche alle etichette può richiedere del tempo e verrà applicata solo ai tenant attivi.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Per gestire le etichette utente MTO per i tenant nell'MTO:

  1. Accedere all'interfaccia di amministrazione di Microsoft 365 come amministratore globale.

  2. Espandere Impostazioni e selezionare Impostazioni organizzazione.

  3. Nella scheda Profilo organizzazione selezionare Collaborazione multi-tenant.

  4. Selezionare Gestisci impostazioni.

  5. Selezionare Modifica in Etichetta tenant.

  6. Selezionare una delle due opzioni:

    1. Nessuna etichetta.

    2. Usare il nome dell'organizzazione multi-tenant per tutti i tenant.

    3. Personalizzato (assegnare un'etichetta per ogni tenant, che non può essere vuoto).

  7. Selezionare Salva modifiche.

Suggerimenti per la risoluzione dei problemi per le organizzazioni multi-tenant

Problemi noti per il provisioning in Microsoft Entra ID

Pianificare le organizzazioni multi-tenant in Microsoft 365

Configurare un'organizzazione multi-tenant in Microsoft 365

Partecipare o uscire da un'organizzazione multi-tenant in Microsoft 365

Definizione dell'ambito di utenti o gruppi di cui eseguire il provisioning con filtri di ambito