Delen via

Veelvoorkomende overwegingen voor multitenant-gebruikersbeheer

  • Artikel

Dit artikel is de derde in een reeks artikelen die richtlijnen bieden voor het configureren en bieden van levenscyclusbeheer van gebruikers in Microsoft Entra multitenant-omgevingen. De volgende artikelen in de reeks bevatten meer informatie zoals beschreven.

  • Inleiding tot multitenant-gebruikersbeheer is de eerste in de reeks artikelen die richtlijnen bieden voor het configureren en bieden van levenscyclusbeheer van gebruikers in Microsoft Entra-omgevingen met meerdere tenants.
  • Scenario's voor multitenant gebruikersbeheer beschrijven drie scenario's waarvoor u functies voor multitenant gebruikersbeheer kunt gebruiken: door de eindgebruiker geïnitieerde, scripted en geautomatiseerd.
  • Algemene oplossingen voor multitenant-gebruikersbeheer wanneer één tenancy niet werkt voor uw scenario, biedt dit artikel richtlijnen voor deze uitdagingen: automatisch levenscyclusbeheer van gebruikers en resourcetoewijzing voor tenants, on-premises apps delen tussen tenants.

De richtlijnen helpen u bij het realiseren van een consistente status van levenscyclusbeheer van gebruikers. Levenscyclusbeheer omvat het inrichten, beheren en ongedaan maken van de inrichting van gebruikers in tenants met behulp van de beschikbare Azure-hulpprogramma's die Microsoft Entra B2B-samenwerking (B2B) en synchronisatie tussen tenants omvatten.

Synchronisatievereisten zijn uniek voor de specifieke behoeften van uw organisatie. Wanneer u een oplossing ontwerpt om te voldoen aan de vereisten van uw organisatie, helpen de volgende overwegingen in dit artikel u bij het identificeren van uw beste opties.

  • Synchronisatie tussen tenants
  • Mapobject
  • Voorwaardelijke toegang van Microsoft Entra
  • Extra toegangsbeheer
  • Office 365

Synchronisatie tussen tenants

Synchronisatie tussen tenants kan betrekking hebben op samenwerkings- en toegangsproblemen van multitenant-organisaties. In de volgende tabel ziet u veelvoorkomende gebruiksvoorbeelden voor synchronisatie. U kunt zowel synchronisatie tussen tenants als klantontwikkeling gebruiken om te voldoen aan use cases wanneer overwegingen relevant zijn voor meer dan één samenwerkingspatroon.

Use case Synchronisatie tussen tenants Aangepaste ontwikkeling
Beheer van de levenscyclus van gebruikers Vinkje Vinkje
Bestandsdeling en app-toegang Vinkje Vinkje
Ondersteuning voor synchronisatie van/naar onafhankelijke clouds Vinkje
Synchronisatie van resourcetenant beheren Vinkje
Objecten synchroniseren Vinkje
Synchronisatiebeheerkoppelingen Vinkje Vinkje
Bron van instantie op kenmerkniveau Vinkje
Microsoft Entra write-back naar Microsoft Windows Server Active Directory Vinkje

Overwegingen voor mapobjecten

Een externe gebruiker uitnodigen met UPN versus SMTP-adres

Microsoft Entra B2B verwacht dat de UPN (UserPrincipalName) van een gebruiker het primaire SMTP-adres (Simple Mail Transfer Protocol) is voor het verzenden van uitnodigingen. Wanneer de UPN van de gebruiker hetzelfde is als het primaire SMTP-adres, werkt B2B zoals verwacht. Als de UPN echter verschilt van het primaire SMTP-adres van de externe gebruiker, kan dit niet worden opgelost wanneer een gebruiker een uitnodiging accepteert. Dit probleem kan een uitdaging zijn als u de echte UPN van de gebruiker niet kent. U moet de UPN detecteren en gebruiken bij het verzenden van uitnodigingen voor B2B.

In de sectie Microsoft Exchange Online van dit artikel wordt uitgelegd hoe u de standaard primaire SMTP voor externe gebruikers kunt wijzigen. Deze techniek is handig als u alle e-mail en meldingen voor een externe e-mail wilt laten stromen naar het echte primaire SMTP-adres in plaats van de UPN. Het kan een vereiste zijn als de UPN niet kan worden gerouteerd voor de e-mailstroom.

UserType van een externe gebruiker converteren

Wanneer u de console gebruikt om handmatig een uitnodiging voor een extern gebruikersaccount te maken, wordt het gebruikersobject gemaakt met het type Gastgebruiker. Met andere technieken voor het maken van uitnodigingen kunt u het gebruikerstype instellen op iets anders dan een extern gastaccount. Wanneer u bijvoorbeeld de API gebruikt, kunt u configureren of het account een extern lidaccount of een extern gastaccount is.

Als u converteert van een externe gastgebruiker naar een gebruikersaccount van een extern lid, kunnen er problemen zijn met de manier waarop Exchange Online B2B-accounts verwerkt. U kunt geen accounts inschakelen die u hebt uitgenodigd als externe lidgebruikers. Als u een extern lidaccount per e-mail wilt inschakelen, gebruikt u de volgende beste aanpak.

  • Nodig de gebruikers voor meerdere organisaties uit als externe gastgebruikersaccounts.
  • De accounts weergeven in de GAL.
  • Stel het UserType in op Member.

Wanneer u deze methode gebruikt, worden de accounts weergegeven als MailUser-objecten in Exchange Online en in Office 365. Houd er ook rekening mee dat er een timing-uitdaging is. Zorg ervoor dat de gebruiker zichtbaar is in de gal door de eigenschap ShowInAddressList van microsoft Entra-gebruiker te controleren die overeenkomt met de eigenschap Exchange Online PowerShell HiddenFromAddressListsEnabled (die omgekeerd van elkaar zijn). De sectie Microsoft Exchange Online van dit artikel bevat meer informatie over het wijzigen van de zichtbaarheid.

Het is mogelijk om een lidgebruiker te converteren naar een gastgebruiker, wat handig is voor interne gebruikers die u wilt beperken tot machtigingen op gastniveau. Interne gastgebruikers zijn gebruikers die geen werknemers van uw organisatie zijn, maar voor wie u hun gebruikers en referenties beheert. Mogelijk kunt u voorkomen dat u licenties voor de interne gastgebruiker krijgt.

Problemen met het gebruik van e-mailcontactobjecten in plaats van externe gebruikers of leden

U kunt gebruikers van een andere tenant vertegenwoordigen met behulp van een traditionele GAL-synchronisatie. Als u een GAL-synchronisatie uitvoert in plaats van Microsoft Entra B2B-samenwerking te gebruiken, wordt er een e-mailcontactobject gemaakt.

  • E-mailcontactobject en een extern lid of een gastgebruiker met e-mail kunnen niet naast elkaar bestaan in dezelfde tenant met hetzelfde e-mailadres tegelijk.
  • Als er een e-mailcontactobject bestaat voor hetzelfde e-mailadres als de uitgenodigde externe gebruiker, wordt de externe gebruiker gemaakt, maar wordt er geen e-mail ingeschakeld.
  • Als de externe gebruiker met e-mail met dezelfde e-mail bestaat, genereert een poging om een e-mailcontactobject te maken een uitzondering tijdens het maken.

Belangrijk

Voor het gebruik van e-mailcontactpersonen is Active Directory Services (AD DS) of Exchange Online PowerShell vereist. Microsoft Graph biedt geen API-aanroep voor het beheren van contactpersonen.

In de volgende tabel ziet u de resultaten van objecten voor e-mailcontactpersoons en externe gebruikersstatussen.

Bestaande status Inrichtingsscenario Effectief resultaat
Geen B2B-lid uitnodigen Gebruiker die geen e-mail heeft ingeschakeld. Zie belangrijke opmerking.
Geen B2B-gast uitnodigen Externe gebruiker inschakelen via e-mail.
E-mailcontactobject bestaat B2B-lid uitnodigen Fout. Conflict met proxyadressen.
E-mailcontactobject bestaat B2B-gast uitnodigen Externe gebruiker met e-mailcontactpersoon en niet-e-mail ingeschakeld. Zie belangrijke opmerking.
Externe gastgebruiker met e-mail E-mailcontactobject maken Fout
Externe lidgebruiker met e-mail bestaat E-mailcontactpersoon maken Fout

Microsoft raadt aan microsoft Entra B2B-samenwerking te gebruiken (in plaats van traditionele GAL-synchronisatie) om het volgende te maken:

  • Externe gebruikers die u inschakelt om weer te geven in de GAL.
  • Externe lidgebruikers die standaard in de GAL worden weergegeven, maar die geen e-mail hebben.

U kunt ervoor kiezen om het e-mailcontactobject te gebruiken om gebruikers in de GAL weer te geven. Deze benadering integreert een GAL zonder andere machtigingen te verlenen, omdat e-mailcontactpersonen geen beveiligingsprincipaal zijn.

Volg deze aanbevolen methode om het doel te bereiken:

Een e-mailcontactobject kan niet worden geconverteerd naar een gebruikersobject. Daarom kunnen eigenschappen die zijn gekoppeld aan een e-mailcontactobject niet worden overgedragen (zoals groepslidmaatschappen en andere toegang tot resources). Het gebruik van een e-mailcontactobject om een gebruiker te vertegenwoordigen, heeft de volgende uitdagingen.

  • Office 365 Groepen. Ondersteuningsbeleid voor Office 365-groepen voor de typen gebruikers die lid mogen zijn van groepen en interactie hebben met inhoud die is gekoppeld aan groepen. Een groep kan bijvoorbeeld niet toestaan dat gastgebruikers deelnemen. Deze beleidsregels kunnen geen e-mailcontactobjecten beheren.
  • Microsoft Entra Selfservice groepsbeheer (SSGM). E-mailcontactobjecten komen niet in aanmerking voor leden in groepen met behulp van de functie SSGM. Mogelijk hebt u meer hulpmiddelen nodig voor het beheren van groepen met geadresseerden die worden weergegeven als contactpersonen in plaats van gebruikersobjecten.
  • Microsoft Entra ID-governance, toegangsbeoordelingen. U kunt de functie voor toegangsbeoordelingen gebruiken om het lidmaatschap van de Office 365-groep te controleren en te bevestigen. Toegangsbeoordelingen zijn gebaseerd op gebruikersobjecten. Leden die worden vertegenwoordigd door e-mailcontactobjecten, vallen buiten het bereik voor toegangsbeoordelingen.
  • Microsoft Entra ID-governance, Rechtenbeheer (EM). Wanneer u EM gebruikt om selfservicetoegangsaanvragen in te schakelen voor externe gebruikers in de EM-portal van het bedrijf, wordt er een gebruikersobject gemaakt op het moment van de aanvraag. Het biedt geen ondersteuning voor e-mailcontactobjecten.

Overwegingen voor voorwaardelijke toegang van Microsoft Entra

De status van de gebruiker, het apparaat of het netwerk in de thuistenant van de gebruiker wordt niet overgebracht naar de resourcetenant. Daarom voldoet een externe gebruiker mogelijk niet aan het beleid voor voorwaardelijke toegang dat gebruikmaakt van de volgende besturingselementen.

Indien toegestaan, kunt u dit gedrag overschrijven met CTAS (Cross-Tenant Access Settings) die voldoen aan meervoudige verificatie en apparaatcompatibiliteit van de thuistenant.

  • Meervoudige verificatie vereisen. Zonder CTAS geconfigureerd, moet een externe gebruiker zich registreren/reageren op meervoudige verificatie in de resourcetenant (zelfs als aan meervoudige verificatie is voldaan in de thuistenant). Dit scenario resulteert in meerdere meervoudige verificatieproblemen. Als ze hun controleprogramma's voor meervoudige verificatie opnieuw moeten instellen, zijn ze mogelijk niet op de hoogte van de meerdere controleregistraties voor meervoudige verificatie in tenants. Het gebrek aan bewustzijn kan vereisen dat de gebruiker contact moet opnemen met een beheerder in de basistenant, de resourcetenant of beide.
  • Vereisen dat het apparaat als compatibel wordt gemarkeerd. Zonder CTAS geconfigureerd, wordt de apparaat-id niet geregistreerd in de resourcetenant, zodat de externe gebruiker geen toegang heeft tot resources waarvoor dit besturingselement is vereist.
  • Vereisen dat een hybride apparaat is toegevoegd aan Microsoft Entra. Zonder CTAS geconfigureerd, wordt de apparaat-id niet geregistreerd in de resourcetenant (of on-premises Active Directory die is verbonden met de resourcetenant). Daarom heeft de externe gebruiker geen toegang tot resources waarvoor dit besturingselement is vereist.
  • Goedgekeurde client-app vereisen of app-beveiligingsbeleid vereisen. Zonder CTAS geconfigureerd kunnen externe gebruikers het intune MAM-beleid (Mobile Application Management) van de resourcetenant niet toepassen, omdat hiervoor ook apparaatregistratie is vereist. Het beleid voor voorwaardelijke toegang van de resourcetenant, met behulp van dit besturingselement, staat geen MAM-beveiliging voor thuistenant toe om aan het beleid te voldoen. Externe gebruikers uitsluiten van elk op MAM gebaseerd beleid voor voorwaardelijke toegang.

Houd bovendien rekening met de mogelijke gevolgen, terwijl u de volgende voorwaarden voor voorwaardelijke toegang kunt gebruiken.

  • Aanmeldingsrisico en gebruikersrisico. Gebruikersgedrag in hun thuistenant bepaalt gedeeltelijk het aanmeldingsrisico en gebruikersrisico. De thuistenant slaat de gegevens en risicoscore op. Als een tenantbeleid voor resources een externe gebruiker blokkeert, kan een beheerder van de resourcetenant mogelijk geen toegang inschakelen. Microsoft Entra ID Protection en B2B-gebruikers leggen uit hoe Microsoft Entra ID Protection gecompromitteerde referenties detecteert voor Microsoft Entra-gebruikers.
  • Locaties. De benoemde locatiedefinities in de resourcetenant bepalen het bereik van het beleid. Het bereik van het beleid evalueert geen vertrouwde locaties die worden beheerd in de thuistenant. Als uw organisatie vertrouwde locaties wil delen tussen tenants, definieert u de locaties in elke tenant waarin u de resources en het beleid voor voorwaardelijke toegang definieert.

Uw multitenant-omgeving beveiligen

Het beveiligen van een omgeving met meerdere tenants begint door ervoor te zorgen dat elke tenant voldoet aan de aanbevolen beveiligingsprocedures. Bekijk de beveiligingscontrolelijst en aanbevolen procedures voor hulp bij het beveiligen van uw tenant. Zorg ervoor dat deze aanbevolen procedures worden gevolgd en bekijk deze met alle tenants waarmee u nauw samenwerkt.

Beheerdersaccounts beveiligen en minimale bevoegdheden garanderen

Uw omgeving met meerdere tenants bewaken

  • Controleer op wijzigingen in toegangsbeleid voor meerdere tenants met behulp van de gebruikersinterface, API of Azure Monitor-integratie van auditlogboeken (voor proactieve waarschuwingen). De controlegebeurtenissen gebruiken de categorieën CrossTenantAccessSettings en CrossTenantIdentitySyncSettings. Door te controleren op controlegebeurtenissen onder deze categorieën, kunt u eventuele wijzigingen in beleid voor meerdere tenants in uw tenant identificeren en actie ondernemen. Wanneer u waarschuwingen maakt in Azure Monitor, kunt u een query maken, zoals de volgende om wijzigingen in beleid voor meerdere tenants te identificeren.
AuditLogs
| where Category contains "CrossTenant"
  • Controleer op alle nieuwe partners die zijn toegevoegd aan toegangsinstellingen voor meerdere tenants.
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
  • Controleer op wijzigingen in toegangsbeleid voor meerdere tenants, waardoor synchronisatie wordt toegestaan of niet ongedaan wordt gemaakt.
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
  • Bewaak toepassingstoegang in uw tenant met behulp van het activiteitendashboard voor meerdere tenants. Met bewaking kunt u zien wie toegang heeft tot resources in uw tenant en waar deze gebruikers vandaan komen.

Dynamische lidmaatschapsgroepen

Als uw organisatie de voorwaarde voor dynamische lidmaatschapsgroepen van alle gebruikers in uw bestaande beleid voor voorwaardelijke toegang gebruikt, is dit beleid van invloed op externe gebruikers omdat ze binnen het bereik van alle gebruikers vallen.

Standaard weigeren

  • Gebruikerstoewijzing vereisen voor toepassingen. Als voor een toepassing de gebruikerstoewijzing is vereist? eigenschap is ingesteld op Nee, hebben externe gebruikers toegang tot de toepassing. Toepassingsbeheerders moeten inzicht krijgen in de gevolgen van toegangsbeheer, met name als de toepassing gevoelige informatie bevat. Als u uw Microsoft Entra-app beperkt tot een set gebruikers in een Microsoft Entra-tenant , wordt uitgelegd hoe geregistreerde toepassingen in een tenant beschikbaar zijn voor alle gebruikers van de tenant die zich hebben geverifieerd. Deze instelling is standaard ingeschakeld.

Diepgaande verdediging

Voorwaardelijke toegang.

  • Toegangsbeheerbeleid definiëren om de toegang tot resources te beheren.
  • Ontwerp beleid voor voorwaardelijke toegang met externe gebruikers in gedachten.
  • Beleidsregels maken die specifiek zijn bedoeld voor externe gebruikers.
  • Maak toegewezen beleid voor voorwaardelijke toegang voor externe accounts. Als uw organisatie de voorwaarde voor dynamische lidmaatschapsgroepen van alle gebruikers in uw bestaande beleid voor voorwaardelijke toegang gebruikt, is dit beleid van invloed op externe gebruikers omdat ze binnen het bereik van alle gebruikers vallen.

Beperkte beheereenheden

Wanneer u beveiligingsgroepen gebruikt om te bepalen wie binnen het bereik is voor synchronisatie tussen tenants, kunt u beperken wie wijzigingen kan aanbrengen in de beveiligingsgroep. Minimaliseer het aantal eigenaren van de beveiligingsgroepen die zijn toegewezen aan de synchronisatietaak voor meerdere tenants en neem de groepen op in een beperkte beheereenheid. In dit scenario wordt het aantal personen beperkt dat groepsleden kan toevoegen of verwijderen en accounts in verschillende tenants kan inrichten.

Andere overwegingen voor toegangsbeheer

Voorwaarden

Microsoft Entra-gebruiksvoorwaarden bieden een eenvoudige methode die organisaties kunnen gebruiken om informatie aan eindgebruikers te presenteren. U kunt gebruiksvoorwaarden gebruiken om externe gebruikers te verplichten om gebruiksvoorwaarden goed te keuren voordat u toegang krijgt tot uw resources.

Licentieoverwegingen voor gastgebruikers met Functies van Microsoft Entra ID P1 of P2

Microsoft Entra Externe ID prijzen zijn gebaseerd op maandelijks actieve gebruikers (MAU). Het aantal actieve gebruikers is het aantal unieke gebruikers met verificatieactiviteit binnen een kalendermaand. Factureringsmodel voor Microsoft Entra Externe ID beschrijft hoe prijzen zijn gebaseerd op MAU.

Overwegingen voor Office 365

De volgende informatie heeft betrekking op Office 365 in de context van de scenario's van dit document. Gedetailleerde informatie is beschikbaar op Microsoft 365 intertenant samenwerking 365 intertenant samenwerking. In dit artikel worden opties beschreven, zoals het gebruik van een centrale locatie voor bestanden en gesprekken, het delen van agenda's, het gebruik van chatberichten, audio-/videogesprekken voor communicatie en het beveiligen van de toegang tot resources en toepassingen.

Microsoft Exchange Online

Exchange Online beperkt bepaalde functionaliteit voor externe gebruikers. U kunt de limieten verlagen door externe lidgebruikers te maken in plaats van externe gastgebruikers. Ondersteuning voor externe gebruikers heeft de volgende beperkingen.

  • U kunt een Exchange Online-licentie toewijzen aan een externe gebruiker. U kunt ze echter geen token uitgeven voor Exchange Online. De resultaten zijn dat ze geen toegang hebben tot de resource.
    • Externe gebruikers kunnen geen gedeelde of gedelegeerde Exchange Online-postvakken gebruiken in de resourcetenant.
    • U kunt een externe gebruiker toewijzen aan een gedeeld postvak, maar ze hebben geen toegang tot het postvak.
  • U moet externe gebruikers zichtbaar maken om ze op te nemen in de GAL. Ze zijn standaard verborgen.
    • Verborgen externe gebruikers worden gemaakt op het moment van uitnodigen. Het maken is onafhankelijk van of de gebruiker zijn uitnodiging heeft ingewisseld. Dus als alle externe gebruikers zichtbaar zijn, bevat de lijst gebruikersobjecten van externe gebruikers die geen uitnodiging hebben ingewisseld. Op basis van uw scenario wilt u mogelijk of niet dat de objecten worden vermeld.
    • Externe gebruikers kunnen zichtbaar zijn met Exchange Online PowerShell. U kunt de PowerShell-cmdlet Set-MailUser uitvoeren om de eigenschap HiddenFromAddressListsEnabled in te stellen op een waarde van $false.

Bijvoorbeeld:

Set-MailUser [ExternalUserUPN] -HiddenFromAddressListsEnabled:\$false\

Waarbij ExternalUserUPN de berekende UserPrincipalName is.

Bijvoorbeeld:

Set-MailUser externaluser1_contoso.com#EXT#@fabricam.onmicrosoft.com\ -HiddenFromAddressListsEnabled:\$false

Externe gebruikers worden mogelijk niet zichtbaar in de Microsoft 365-beheercentrum.

  • U kunt alleen updates instellen voor Exchange-specifieke eigenschappen (zoals PrimarySmtpAddress, ExternalEmailAddress, EmailAddresses en MailTip) met Exchange Online PowerShell. In het Exchange Online-beheercentrum kunt u de kenmerken niet wijzigen met behulp van de grafische gebruikersinterface (GUI).

Zoals in het voorbeeld wordt weergegeven, kunt u de PowerShell-cmdlet Set-MailUser gebruiken voor e-mailspecifieke eigenschappen. Er zijn gebruikerseigenschappen die u kunt wijzigen met de PowerShell-cmdlet Set-User . U kunt de meeste eigenschappen wijzigen met de Microsoft Graph-API's.

Een van de handigste functies van Set-MailUser is de mogelijkheid om de eigenschap EmailAddresses te bewerken. Dit kenmerk met meerdere waarden kan meerdere proxyadressen bevatten voor de externe gebruiker (zoals SMTP, X500, Session Initiation Protocol (SIP)). Een externe gebruiker heeft standaard het primaire SMTP-adres dat correleren met de UPN (UserPrincipalName ). Als u de primaire SMTP wilt wijzigen of SMTP-adressen wilt toevoegen, kunt u deze eigenschap instellen. U kunt het Exchange-beheercentrum niet gebruiken. u moet Exchange Online PowerShell gebruiken. Als u e-mailadressen voor een postvak in Exchange Online toevoegt of verwijdert, ziet u verschillende manieren om een eigenschap met meerdere waarden, zoals EmailAddresses, te wijzigen.

Microsoft SharePoint in Microsoft 365

SharePoint in Microsoft 365 heeft zijn eigen servicespecifieke machtigingen, afhankelijk van of de gebruiker (intern of extern) van het type lid of gast is in de Microsoft Entra-tenant. Microsoft 365 extern delen en Microsoft Entra B2B-samenwerking beschrijft hoe u integratie met SharePoint en OneDrive kunt inschakelen om bestanden, mappen, lijstitems, documentbibliotheken en sites te delen met personen buiten uw organisatie. Microsoft 365 doet dit tijdens het gebruik van Azure B2B voor verificatie en beheer.

Nadat u extern delen hebt ingeschakeld in SharePoint in Microsoft 365, is de mogelijkheid om te zoeken naar gastgebruikers in de SharePoint in Microsoft 365 personenkiezer standaard uitgeschakeld . Met deze instelling kunnen gastgebruikers niet worden gedetecteerd wanneer ze zijn verborgen in de Algemene adreslijst van Exchange Online. U kunt gastgebruikers in staat stellen om op twee manieren zichtbaar te worden (niet wederzijds exclusief):

  • U kunt de mogelijkheid inschakelen om op deze manieren te zoeken naar gastgebruikers:
    • Wijzig de instelling ShowPeoplePickerSuggestionsForGuestUsers op tenant- en siteverzamelingsniveau.
    • Stel de functie in met behulp van de Set-SPOTenant en Set-SPOSite SharePoint in Microsoft 365 PowerShell-cmdlets.
  • Gastgebruikers die zichtbaar zijn in de Exchange Online-algemene adreslijst, zijn ook zichtbaar in sharePoint in microsoft 365 personenkiezer. De accounts zijn zichtbaar, ongeacht de instelling voor ShowPeoplePickerSuggestionsForGuestUsers.

Microsoft Teams

Microsoft Teams heeft functies om de toegang te beperken en op basis van het gebruikerstype. Wijzigingen in het gebruikerstype kunnen van invloed zijn op toegang tot inhoud en functies die beschikbaar zijn. Microsoft Teams vereist dat gebruikers hun context wijzigen met behulp van het tenantwisselmechanisme van hun Teams-client wanneer ze buiten hun thuistenant in Teams werken.

Het schakelmechanisme voor tenants voor Microsoft Teams vereist mogelijk dat gebruikers handmatig de context van hun Teams-client wijzigen wanneer ze buiten hun thuistenant in Teams werken.

U kunt Teams-gebruikers van een ander extern domein inschakelen om vergaderingen te zoeken, te bellen, te chatten en in te stellen met uw gebruikers met Teams Federation. U kunt externe vergaderingen en chatten met personen en organisaties met behulp van Microsoft-identiteiten beschrijven hoe u gebruikers in uw organisatie kunt toestaan te chatten en te vergaderen met personen buiten de organisatie die Microsoft als id-provider gebruiken.

Licentieoverwegingen voor gastgebruikers in Teams

Wanneer u Azure B2B gebruikt met Office 365-workloads, zijn belangrijke overwegingen onder andere exemplaren waarin gastgebruikers (intern of extern) niet dezelfde ervaring hebben als leden.

  • Microsoft Groups. Als u gasten toevoegt aan Office 365-groepen, wordt beschreven hoe gasttoegang in Microsoft 365 Groepen u en uw team kunnen samenwerken met personen van buiten uw organisatie door hen toegang te geven tot groepsgesprekken, bestanden, agenda-uitnodigingen en het groepsnotitieblok.
  • Microsoft Teams. De mogelijkheden van teameigenaar, lid en gast in Teams beschrijven de ervaring van het gastaccount in Microsoft Teams. U kunt een volledige betrouwbaarheidservaring inSchakelen in Teams met behulp van externe gebruikers van leden.
    • Voor meerdere tenants in onze commerciële cloud hebben gebruikers die een licentie hebben in hun eigen tenant mogelijk toegang tot resources in een andere tenant binnen dezelfde juridische entiteit. U kunt toegang verlenen via de instelling voor externe leden zonder extra licentiekosten. Deze instelling is van toepassing op SharePoint en OneDrive voor Teams en Groepen.
    • Voor meerdere tenants in andere Microsoft-clouds en voor meerdere tenants in verschillende clouds zijn B2B-lidlicentiecontroles nog niet beschikbaar. Voor elk B2B-lid is een extra licentie vereist voor elk B2B-lid. Deze vereiste kan ook van invloed zijn op andere werkbelastingen, zoals Power BI.
    • Gebruik van B2B-leden voor tenants die geen deel uitmaken van dezelfde rechtspersoon, zijn onderworpen aan aanvullende licentievereisten.
  • Identiteitsbeheerfuncties. Rechtenbeheer en toegangsbeoordelingen vereisen mogelijk andere licenties voor externe gebruikers.
  • Andere producten. Producten zoals Dynamics Customer Relationship Management (CRM) vereisen mogelijk licenties in elke tenant waarin een gebruiker wordt weergegeven.

Volgende stappen

  • Inleiding tot multitenant-gebruikersbeheer is de eerste in de reeks artikelen die richtlijnen bieden voor het configureren en bieden van levenscyclusbeheer van gebruikers in Microsoft Entra-omgevingen met meerdere tenants.
  • Scenario's voor multitenant gebruikersbeheer beschrijven drie scenario's waarvoor u functies voor multitenant gebruikersbeheer kunt gebruiken: door de eindgebruiker geïnitieerde, scripted en geautomatiseerd.
  • Algemene oplossingen voor multitenant-gebruikersbeheer wanneer één tenancy niet werkt voor uw scenario, biedt dit artikel richtlijnen voor deze uitdagingen: automatisch levenscyclusbeheer van gebruikers en resourcetoewijzing voor tenants, on-premises apps delen tussen tenants.
  • Microsoft Collaboration Framework voor de Us Defense Industrial Base beschrijft kandidaat-referentiearchitecturen voor identiteit voor multitenant-organisaties (MTO). Dit scenario is specifiek van toepassing op die MPO's die een implementatie hebben in de Amerikaanse onafhankelijke cloud met Microsoft 365 US Government (GCC High) en Azure Government. Het gaat ook om externe samenwerking in sterk gereglementeerde omgevingen, inclusief organisaties die zich in commerciële of amerikaanse onafhankelijke cloud bevinden.