Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Synchronizacja między dzierżawcami automatyzuje tworzenie, aktualizowanie i usuwanie użytkowników współpracy Microsoft Entra B2B między dzierżawami w organizacji. Umożliwia użytkownikom uzyskiwanie dostępu do aplikacji i współpracę między dzierżawami, a jednocześnie umożliwia rozwijanie organizacji.
Oto podstawowe cele synchronizacji pomiędzy dzierżawcami:
- Bezproblemowa współpraca w organizacji wielodostępnej
- Automatyzowanie zarządzania cyklem życia użytkowników współpracy B2B w organizacji wielodostępnej
- Automatyczne usuwanie kont B2B po opuszczeniu organizacji przez użytkownika
Dlaczego warto używać synchronizacji między dzierżawami?
Synchronizacja międzypodmiotowa automatyzuje tworzenie, aktualizowanie i usuwanie użytkowników współpracy B2B. Użytkownicy utworzoni za pomocą synchronizacji między dzierżawami mogą uzyskiwać dostęp do aplikacji firmy Microsoft (takich jak Teams i SharePoint) oraz aplikacji innych niż Microsoft (takich jak ServiceNow, Adobe i wiele innych), niezależnie od tego, z którą dzierżawą są zintegrowane aplikacje. Ci użytkownicy nadal korzystają z funkcji zabezpieczeń w usłudze Microsoft Entra ID, takich jak Microsoft Entra Conditional Access oraz ustawienia dostępu między dzierżawami, i mogą być zarządzani za pomocą funkcji, takich jak zarządzanie upoważnieniami Microsoft Entra.
Na poniższym diagramie pokazano, jak można używać synchronizacji między dzierżawami, aby umożliwić użytkownikom dostęp do aplikacji w różnych dzierżawach w organizacji.
Kto powinien używać?
- Organizacje, które są właścicielami wielu dzierżaw Microsoft Entra i chcą usprawnić dostęp do aplikacji między dzierżawami w ramach organizacji.
- Synchronizacja między dzierżawcami może być używana w organizacjach, ale może to wprowadzić dodatkowe obowiązki w zakresie zgodności. Klienci są odpowiedzialni za zapewnienie, że ich użycie jest zgodne z odpowiednimi wymaganiami dotyczącymi prywatności, bezpieczeństwa i przepisów prawnych, w tym ogólnego rozporządzenia o ochronie danych (RODO) Unii Europejskiej. Firma Microsoft nie ułatwia zbierania zgody użytkownika poprzez synchronizację między dzierżawami. Klienci powinni ocenić, czy ich scenariusz wymaga zgody użytkownika, minimalizacji danych lub innych zabezpieczeń. Przed włączeniem synchronizacji między organizacjami lub dzierżawami, należy skonsultować się z zespołami prawnymi lub odpowiedzialnymi za zgodność.
Świadczenia
Dzięki synchronizacji między dzierżawcami możesz wykonać następujące czynności:
- Automatycznie twórz użytkowników współpracy B2B w organizacji i udostępniaj im dostęp do potrzebnych aplikacji bez tworzenia i obsługi skryptów niestandardowych.
- Ulepsz doświadczenie użytkownika i upewnij się, że użytkownicy mogą uzyskiwać dostęp do zasobów bez otrzymywania wiadomości e-mail z zaproszeniem i konieczności zaakceptowania promptu zgody w każdej dzierżawie.
- Automatycznie aktualizuj użytkowników i usuwaj ich po opuszczeniu organizacji.
Teams i Microsoft 365
Użytkownicy utworzeni przez synchronizację między dzierżawami będą mieli takie samo doświadczenie podczas uzyskiwania dostępu do usługi Microsoft Teams i innych usług Microsoft 365, jak użytkownicy współpracy B2B utworzeni za pośrednictwem ręcznego zaproszenia. Jeśli organizacja korzysta z udostępnionych kanałów, zapoznaj się ze znanymi problemami , aby uzyskać dodatkowe informacje. Z biegiem czasu member typ użytkownika będzie używany przez różne usługi platformy Microsoft 365 w celu zapewnienia zróżnicowanych środowisk użytkownika końcowego dla użytkowników w organizacji wielodziedziczeniowej.
Właściwości
Podczas konfigurowania synchronizacji między dzierżawami definiujesz relację zaufania między dzierżawą źródłową a dzierżawą docelową. Synchronizacja między dzierżawami ma następujące właściwości:
- Na podstawie silnika aprowizacji Microsoft Entra.
- Jest to proces wypychania z dzierżawy źródłowej, a nie proces ściągania z dzierżawy docelowej.
- Obsługuje wypychanie tylko członków wewnętrznych z dzierżawy źródłowej. Nie obsługuje synchronizowania użytkowników zewnętrznych z dzierżawcy źródła.
- Użytkownicy, którzy mają być synchronizowani, są skonfigurowani w dzierżawie źródłowej.
- Mapowanie atrybutów jest skonfigurowane w instancji źródłowej.
- Atrybuty rozszerzenia są obsługiwane.
- Administratorzy dzierżawy docelowej mogą w dowolnym momencie zatrzymać synchronizację.
W poniższej tabeli przedstawiono części synchronizacji między dzierżawcami oraz dzierżawców, dla których zostały skonfigurowane.
| Najemca | Międzynajemcowy ustawienia dostępu |
Automatyczny wykup | Ustawienia synchronizacji konfiguracja |
Użytkownicy objęci zakresem |
|---|---|---|---|---|
Jednostka źródłowa |
✔️ | ✔️ | ✔️ | |
Najemca docelowy |
✔️ | ✔️ |
Ustawienie synchronizacji między dzierżawami
Ustawienie synchronizacji między dzierżawami jest ustawieniem organizacyjnym tylko dla ruchu przychodzącego, aby umożliwić administratorowi dzierżawy źródłowej synchronizowanie użytkowników z dzierżawą docelową. To ustawienie to pole wyboru o nazwie Zezwalaj użytkownikom na synchronizację z tą dzierżawą, które jest określone w dzierżawie docelowej. To ustawienie nie ma wpływu na zaproszenia B2B utworzone za pośrednictwem innych procesów, takich jak ręczne zaproszenie lub zarządzanie upoważnieniami firmy Microsoft Entra.
Aby skonfigurować to ustawienie przy użyciu Microsoft Graph, zobacz API Update crossTenantIdentitySyncPolicyPartner. Aby uzyskać więcej informacji, zobacz Konfigurowanie synchronizacji między dzierżawami.
Ustawienie automatycznego wykupu
Ustawienie automatycznego realizacji jest ustawieniem zaufania organizacji dla ruchu przychodzącego i wychodzącego, aby automatycznie zrealizować zaproszenia, dzięki czemu użytkownicy nie muszą akceptować monitu o wyrażenie zgody przy pierwszym uzyskiwaniu dostępu do dzierżawy zasobu/celu. To ustawienie jest polem wyboru o następującej nazwie:
- Automatyczne realizowanie zaproszeń dla dzierżawcy<>
Porównanie ustawień dla różnych scenariuszy
Ustawienie automatycznego wykupu dotyczy synchronizacji między najemcami, współpracy B2B i bezpośredniego połączenia B2B w następujących sytuacjach:
- Po utworzeniu użytkowników w dzierżawie docelowej przy użyciu synchronizacji między dzierżawami.
- Gdy użytkownicy są dodawani do dzierżawcy zasobów przy użyciu współpracy B2B.
- Gdy użytkownicy uzyskują dostęp do zasobów w dzierżawie zasobów przy użyciu bezpośredniego połączenia B2B.
W poniższej tabeli pokazano, jak to ustawienie jest porównywane w przypadku włączenia dla tych scenariuszy:
| Przedmiot | Synchronizacja między jednostkami dzierżawy | Współpraca B2B | bezpośrednia komunikacja B2B |
|---|---|---|---|
| Ustawienie automatycznego wykupu | Wymagane | Opcjonalnie | Opcjonalnie |
| Użytkownicy otrzymują wiadomość e-mail z zaproszeniem do współpracy B2B | Nie | Nie | Nie dotyczy |
| Użytkownicy muszą zaakceptować monit o wyrażenie zgody | Nie | Nie | Nie |
| Użytkownicy otrzymują wiadomość e-mail z powiadomieniem o współpracy B2B | Nie | Tak | Nie dotyczy |
To ustawienie nie ma wpływu na doświadczenia zgody aplikacji. Aby uzyskać więcej informacji, zobacz Środowisko wyrażania zgody dla aplikacji w usłudze Microsoft Entra ID. To ustawienie jest obsługiwane w przypadku organizacji w różnych środowiskach chmury firmy Microsoft, takich jak platforma Azure komercyjna i platforma Azure Government. Aby uzyskać więcej informacji, zobacz Konfigurowanie synchronizacji między dzierżawami.
Kiedy monit o wyrażenie zgody jest pomijany?
Ustawienie automatycznego wykupu spowoduje pominięcie monitu o wyrażenie zgody i wiadomości e-mail z zaproszeniem tylko wtedy, gdy to ustawienie jest zaznaczone zarówno w dzierżawie domowej/źródłowej (wychodzącej), jak i w dzierżawie zasobów/docelowej (przychodzącej).
W poniższej tabeli przedstawiono zachowanie monitu o wyrażenie zgody dla użytkowników dzierżaw źródłowych, gdy ustawienie automatycznego zatwierdzania jest sprawdzane w różnych kombinacjach ustawień dostępu między dzierżawami.
| Najemca główny/źródłowy | Zasoby/tenant docelowy | Zachowanie komunikatu o wyrażenie zgody dla użytkowników dzierżawy źródłowej |
|---|---|---|
| Wychodzące | Przychodzące | |
|
|
Pomijane |
|
|
|
Nie stłumiono |
|
|
|
Nie stłumiono |
|
|
|
Nie stłumiono |
| Przychodzące | Wychodzące | |
|
|
|
Nie stłumiono |
|
|
|
Nie stłumiono |
|
|
|
Nie stłumiono |
|
|
|
Nie stłumiono |
Aby skonfigurować to ustawienie przy użyciu usługi Microsoft Graph, zapoznaj się z Update crossTenantAccessPolicyConfigurationPartner API. Aby uzyskać więcej informacji, zobacz Konfigurowanie synchronizacji między dzierżawami.
Skąd użytkownicy wiedzą, do jakich najemców należą?
W przypadku synchronizacji między dzierżawami użytkownicy nie otrzymują wiadomości e-mail ani nie muszą akceptować monitu o zgodę. Jeśli użytkownicy chcą zobaczyć, do jakich dzierżawców należą, mogą otworzyć stronę Moje konto i wybrać pozycję Organizacje. W centrum administracyjnym firmy Microsoft Entra użytkownicy mogą otwierać ustawienia portalu, wyświetlać katalogi i subskrypcje oraz przełączać katalogi.
Aby uzyskać więcej informacji, w tym informacje o ochronie prywatności, zobacz Leave an organization as an external user (Opuszczanie organizacji jako użytkownik zewnętrzny).
Wprowadzenie
Poniżej przedstawiono podstawowe kroki umożliwiające rozpoczęcie korzystania z synchronizacji między dzierżawami.
Krok 1. Definiowanie struktury dzierżaw w organizacji
Synchronizacja międzydzierżawcza zapewnia elastyczne rozwiązanie umożliwiające współpracę, ale każda organizacja jest inna. Na przykład możesz mieć dzierżawę centralną, dzierżawę satelitarną lub rodzaj siatki dzierżaw. Synchronizacja między dzierżawami obsługuje dowolną z tych topologii. Aby uzyskać więcej informacji, zobacz Topologie synchronizacji między dzierżawami.
Krok 2: Włącz synchronizację między dzierżawami w dzierżawach docelowych
W docelowej dzierżawie, w której są utworzeni użytkownicy, przejdź do Ustawienia dostępu między dzierżawami. Tutaj włączysz synchronizację między środowiskami i ustawienia automatycznego odkupienia B2B, zaznaczając odpowiednie pola wyboru. Aby uzyskać więcej informacji, zobacz Konfigurowanie synchronizacji między dzierżawami.
Krok 3: Włącz synchronizację między dzierżawami w dzierżawach źródłowych
W dowolnej dzierżawie źródłowej przejdź do strony ustawień dostępu między dzierżawami i włącz funkcję automatycznego wykorzystania B2B. Następnie użyj strony Synchronizację między dzierżawami, aby skonfigurować zadanie synchronizacji między dzierżawami i określić:
- Którzy użytkownicy, których chcesz zsynchronizować
- Jakie atrybuty chcesz uwzględnić
- Wszelkie przekształcenia
Dla każdego, kto użył Microsoft Entra ID do przydzielania tożsamości w aplikacji SaaS, to środowisko będzie znane. Po skonfigurowaniu synchronizacji możesz rozpocząć testowanie z kilkoma użytkownikami i upewnić się, że są one tworzone przy użyciu wszystkich potrzebnych atrybutów. Po zakończeniu testowania możesz szybko dodać dodatkowych użytkowników, aby synchronizować i wdrażać w całej organizacji. Aby uzyskać więcej informacji, zobacz Konfigurowanie synchronizacji między dzierżawami.
Wymagania dotyczące licencji
W poniższej tabeli wymieniono wymagane licencje w zależności od scenariusza.
| Scenariusz | Jednostka źródłowa | Najemca docelowy |
|---|---|---|
| Synchronizacja między klientami (w obrębie tej samej chmury) | licencje Microsoft Entra ID P1 | Nie dotyczy |
| Synchronizacja między chmurami | Licencje pakietu Microsoft Entra ID Governance lub Microsoft Entra Suite | Nie dotyczy |
Dzierżawa źródłowa: Każdy użytkownik synchronizowany między-dzierżawowo musi posiadać licencję Microsoft Entra ID P1 w swojej macierzystej/źródłowej dzierżawie. Każdy użytkownik, który jest synchronizowany z synchronizacją między chmurami, musi mieć licencję Microsoft Entra ID Governance lub Microsoft Entra Suite w swojej dzierżawie macierzystej/źródłowej. Aby uzyskać więcej informacji, zobacz Microsoft Entra plans and pricing and Microsoft Entra ID Governance licensing fundamentals (Podstawy licencjonowania usługi Microsoft Entra ID Governance).
Dzierżawa docelowa: Licencje nie są wymagane do synchronizacji między najemcami ani między chmurami w docelowej dzierżawie. Jednak w zależności od funkcji używanych w dzierżawie docelowej może być konieczne dodatkowe licencjonowanie dla tych funkcji używanych w dzierżawie docelowej. Na przykład klienci, którzy włączyli rozliczenia za pomocą Identyfikatora Zewnętrznego i aprowizują gości zewnętrznych, mogą być obciążani opłatami zgodnie z modelem rozliczeniowym Microsoft Entra External ID.
Często zadawane pytania
Chmury
W jakich chmurach w ramach tej samej chmury można używać synchronizacji między dzierżawcami?
Synchronizacja między dzierżawcami jest obsługiwana w chmurze komercyjnej i w usłudze Azure Government.
Synchronizacja między dzierżawami nie jest obsługiwana na platformie Microsoft Azure, którą obsługuje 21Vianet.
Źródło Cel Domeny linków do witryny Azure Portal Komercyjna platforma Azure Komercyjna platforma Azure portal.azure.com-->portal.azure.comAzure Government Azure Government portal.azure.us-->portal.azure.us21Vianet (Chiny) 21Vianet (Chiny) portal.azure.cn-->portal.azure.cn
Czy jest obsługiwana synchronizacja między chmurami ?
- Tak, synchronizacja między chmurami (na przykład chmura publiczna w usłudze Azure Government) jest obsługiwana.
- Aby uzyskać informacje na temat relacji między środowiskami chmury Azure a Microsoft 365 (GCC, GCCH), zobacz integrację z Microsoft 365.
Jakie pary w chmurze są obsługiwane w przypadku synchronizacji między chmurami?
Synchronizacja między chmurami obsługuje te pary chmur:
Źródło Cel Domeny linków do witryny Azure Portal Komercyjna platforma Azure Azure Government portal.azure.com-->portal.azure.usAzure Government Komercyjna platforma Azure portal.azure.us-->portal.azure.comKomercyjna platforma Azure Platforma Azure obsługiwana przez firmę 21Vianet
Azure w Chinachportal.azure.com-->portal.azure.cn
Jakie są różnice między synchronizacją między najemcami a synchronizacją między chmurami?
- Synchronizacja między tenantami i synchronizacja między chmurami są realizowane przy użyciu tych samych technologii i są zasadniczo takie same. Podstawową różnicą jest to, że synchronizacja odbywa się w chmurach zamiast w tej samej chmurze.
Czy istnieją ograniczenia dotyczące synchronizacji między chmurami?
- Synchronizacja atrybutu menedżera nie jest jeszcze obsługiwana w synchronizacji między chmurami.
- Aby uzyskać informacje o ograniczeniach organizacji wielodostępnych, zobacz FAQ organizacji wielodostępnych.
- Aby uzyskać informacje o ograniczeniach w Microsoft 365 dotyczących członków zewnętrznych, zobacz Współpraca z gośćmi z innych środowisk chmurowych Microsoft 365.
Istniejący użytkownicy B2B
Czy synchronizacja między dzierżawami będzie obsługiwać istniejących użytkowników B2B?
- Tak. Synchronizacja między dzierżawami wykorzystuje wewnętrzny atrybut o nazwie alternativeSecurityIdentifier, aby jednoznacznie dopasować użytkownika wewnętrznego w dzierżawie źródłowej z użytkownikiem zewnętrznym lub B2B w dzierżawie docelowej. Synchronizacja między dzierżawcami może zaktualizować użytkowników B2B już istniejących, zapewnia, że każdy użytkownik ma tylko jedno konto.
- Synchronizacja między dzierżawcami nie może dopasować użytkownika wewnętrznego w dzierżawie źródłowej do użytkownika wewnętrznego w dzierżawie docelowej (dotyczy to zarówno typów: członka, jak i gościa).
Częstotliwość synchronizacji
Jak często działa synchronizacja między dzierżawami?
- Interwał synchronizacji jest obecnie ustalony na 40 minut. Czas trwania synchronizacji różni się w zależności od liczby użytkowników w grupie docelowej. Początkowy cykl synchronizacji może trwać znacznie dłużej niż następujące cykle synchronizacji przyrostowej.
Scope
Jak mogę kontrolować, co jest synchronizowane do dzierżawcy docelowego?
- W najemcy źródłowym możesz kontrolować, którzy użytkownicy są udostępniani za pomocą filtrów konfiguracyjnych lub filtrów opartych na atrybutach. Można również kontrolować, jakie atrybuty obiektu użytkownika są synchronizowane. Aby uzyskać więcej informacji, zobacz Określanie zakresu użytkowników lub grup do aprowizacji przy użyciu filtrów zakresu.
Jeśli użytkownik zostanie usunięty z zakresu synchronizacji w dzierżawie źródłowej, czy synchronizacja między dzierżawami spowoduje ich miękkie usunięcie w dzierżawie docelowej?
- Tak. Jeśli użytkownik zostanie usunięty z zakresu synchronizacji w dzierżawie źródłowej, niezaktualizowana synchronizacja między dzierżawami spowoduje ich tymczasowe usunięcie w dzierżawie docelowej.
Typy obiektów
Jakie typy obiektów można zsynchronizować?
- Użytkownicy Entra firmy Microsoft mogą być synchronizowani między różnymi dzierżawami. (Grupy, urządzenia i kontakty nie są obecnie obsługiwane).
Jakie typy użytkowników można synchronizować?
- Członkowie wewnętrzni mogą być synchronizowani z tenantów źródłowych. Wewnętrzni uczestnicy nie mogą być synchronizowani z tenantów źródłowych.
- Użytkownicy mogą być synchronizowani z docelowymi dzierżawcami jako zewnętrzni członkowie (domyślnie) lub zewnętrzni goście.
- Aby uzyskać więcej informacji na temat definicji UserType, zobacz Właściwości użytkownika współpracy firmy Microsoft Entra B2B.
Mam istniejących użytkowników współpracy B2B. Co się z nimi stanie?
- Synchronizacja między dzierżawami dopasuje użytkownika i przeprowadzi wszelkie niezbędne aktualizacje użytkownika, takie jak aktualizacja nazwy wyświetlanej. Domyślnie typ użytkownika nie zostanie zaktualizowany z gościa na członka, ale można to skonfigurować w konfiguracji atrybutów.
Atrybuty
Jakie atrybuty użytkownika można zsynchronizować?
- Synchronizacja między dzierżawami synchronizuje powszechnie używane atrybuty obiektu użytkownika w identyfikatorze Entra firmy Microsoft, w tym (ale nie tylko) displayName, userPrincipalName i atrybuty rozszerzenia katalogu.
- Synchronizacja między dzierżawcami obsługuje konfigurację atrybutu menedżera w komercyjnej chmurze Azure. Synchronizacja menedżera nie jest jeszcze obsługiwana w chmurze dla instytucji rządowych USA. Zarówno użytkownik, jak i menedżer muszą należeć do zakresu synchronizacji między dzierżawami, aby skonfigurować atrybut menedżera.
- W przypadku konfiguracji synchronizacji między dzierżawami utworzonych po styczniu 2024 r. z domyślnym schematem/mapowaniami atrybutów:
- Atrybut menedżera zostanie automatycznie dodany do mapowań atrybutów.
- Aktualizacje menedżera będą stosowane w cyklu przyrostowym dla użytkowników, którzy przechodzą zmiany (np. zmiana menedżera). Aparat synchronizacji nie aktualizuje automatycznie wszystkich istniejących użytkowników, którzy zostali wcześniej zaaprowizowani.
- Aby zaktualizować menedżera dla istniejących użytkowników, którzy mają zakres aprowizacji, można użyć aprowizacji na żądanie dla określonych użytkowników lub wykonać ponowne uruchomienie, aby aprowizować menedżera dla wszystkich użytkowników.
- W przypadku konfiguracji synchronizacji między dzierżawami utworzonych przed styczniem 2024 r. za pomocą niestandardowych mapowań schematu/atrybutu (np. dodano atrybut do mapowań lub zmieniono domyślne mapowania):
- Należy dodać atrybut menedżera do mapowań atrybutów. Spowoduje to ponowne uruchomienie i zaktualizowanie wszystkich użytkowników, którzy są objęci wdrażaniem. To powinno być bezpośrednie mapowanie atrybutu kierownika w kliencie źródłowym do kierownika w kliencie docelowym.
- Jeśli menedżer użytkownika zostanie usunięty w dzierżawie źródłowej i nie przypisano nowego menedżera w dzierżawie źródłowej, atrybut menedżera nie zostanie zaktualizowany w dzierżawie docelowej.
- W przypadku konfiguracji synchronizacji między dzierżawami utworzonych po styczniu 2024 r. z domyślnym schematem/mapowaniami atrybutów:
Jakich atrybutów nie można zsynchronizować?
- Atrybuty takie jak (ale nie ograniczając się do) zdjęcia, niestandardowe atrybuty zabezpieczeń i atrybuty użytkownika poza katalogiem nie mogą być zsynchronizowane przez synchronizację między dzierżawami.
Czy mogę kontrolować, gdzie atrybuty użytkownika są źródłowe/zarządzane?
- Synchronizacja między dzierżawami nie zapewnia bezpośredniej kontroli nad źródłem autorytetu. Użytkownik i jego atrybuty są uznawane za autorytatywne w dzierżawie źródłowej. Istnieją równoległe źródła strumieni pracy autorytetów, które rozwijają mechanizmy kontroli autorytetu dla użytkowników aż do poziomu atrybutu, a obiekt użytkownika w źródle może ostatecznie odzwierciedlać wiele podstawowych źródeł. W przypadku procesu między dzierżawcami nadal uważa się, że wartości dzierżawy źródłowej są rozstrzygające dla procesu synchronizacji (nawet jeśli elementy rzeczywiście pochodzą z innych miejsc) do dzierżawy docelowej. Obecnie nie ma wsparcia dla odwrócenia źródła autorytetu procesu synchronizacji.
- Synchronizacja międzudzierżawowa obsługuje tylko źródło autorytetu na poziomie obiektu. Oznacza to, że wszystkie atrybuty użytkownika muszą pochodzić z tego samego źródła, w tym poświadczeń. Nie można odwrócić źródła autorytetu ani kierunku federacji zsynchronizowanego obiektu.
Co się stanie, jeśli atrybuty zsynchronizowanego użytkownika zostaną zmienione w dzierżawie docelowej?
- Synchronizacja między dzierżawami nie wysyła zapytań dotyczących zmian w obiekcie docelowym. Jeśli dla zsynchronizowanego użytkownika w dzierżawie źródłowej nie zostaną wprowadzone żadne zmiany, zmiany w atrybutach użytkownika wprowadzone w dzierżawie docelowej pozostaną zachowane. Jeśli jednak zmiany zostaną wprowadzone dla użytkownika w dzierżawie źródłowej, podczas następnego cyklu synchronizacji użytkownik w dzierżawie docelowej zostanie zaktualizowany tak, aby był zgodny z użytkownikiem w dzierżawie źródłowej.
Czy dzierżawa docelowa może ręcznie zablokować logowanie dla określonego użytkownika dzierżawy macierzystej/źródłowej, który jest synchronizowany?
- Jeśli nie zostaną wprowadzone żadne zmiany w zsynchronizowanym użytkowniku w dzierżawie źródłowej, ustawienie blokowania logowania w dzierżawie docelowej będzie utrzymywane. Jeśli zostanie wykryta zmiana dla użytkownika w dzierżawie źródłowej, synchronizacja między dzierżawami ponownie umożliwi logowanie tego użytkownika w dzierżawie docelowej, który został zablokowany.
Struktura
Czy mogę zsynchronizować siatkę między wieloma lokatorami?
- Synchronizacja między dzierżawami jest skonfigurowana jako synchronizacja jednokierunkowa typu peer-to-peer, co oznacza, że synchronizacja jest skonfigurowana między jednym źródłem a jednym docelowym dzierżawcą. Wiele wystąpień synchronizacji między dzierżawami można skonfigurować do synchronizacji z jednego źródła do wielu obiektów docelowych i z wielu źródeł do jednego miejsca docelowego. Jednak tylko jedno wystąpienie synchronizacji może istnieć między źródłem a obiektem docelowym.
- Synchronizacja między dzierżawami synchronizuje tylko użytkowników wewnętrznych z dzierżawą główną/źródłową, dzięki czemu nie można utworzyć pętli, w której użytkownik jest zapisywany z powrotem w tej samej dzierżawie.
- Obsługiwane są wiele topologii. Aby uzyskać więcej informacji, zobacz Topologie synchronizacji między dzierżawami.
Czy mogę używać synchronizacji między dzierżawami w różnych organizacjach (poza moją organizacją wielodostępną)?
- Ze względów prywatności synchronizacja między dzierżawcami jest przeznaczona wyłącznie do użytku wewnątrz organizacji. Zalecamy używanie zarządzania upoważnieniami do zapraszania użytkowników współpracy B2B w organizacjach.
Czy synchronizacja między dzierżawami może służyć do migrowania użytkowników z jednej dzierżawy do innej dzierżawy?
- Nr Synchronizacja między dzierżawami nie jest narzędziem migracji, ponieważ dzierżawa źródłowa jest niezbędna do procesu uwierzytelniania zsynchronizowanych użytkowników. Ponadto migracje instancji będą wymagały migracji danych użytkowników, takich jak SharePoint i OneDrive.
Współpraca B2B
Czy synchronizacja między dzierżawcami rozwiązuje obecne ograniczenia współpracy B2B?
Ponieważ synchronizacja między dzierżawcami bazuje na istniejącej technologii współpracy B2B, mają zastosowanie dotychczasowe ograniczenia. Przykłady obejmują (ale nie są ograniczone do):
Aplikacja lub usługa Ograniczenia Power BI — Obsługa członka typu użytkownika UserType w usłudze Power BI jest obecnie dostępna w wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz Dystrybucja zawartości usługi Power BI do zewnętrznych użytkowników-gości za pomocą usługi Microsoft Entra B2B. Azure Virtual Desktop — Aby uzyskać informacje o ograniczeniach, zobacz Wymagania wstępne dotyczące usługi Azure Virtual Desktop. Microsoft Teams — Aby uzyskać informacje o ograniczeniach, zobacz Współpraca z gośćmi z innych środowisk chmury platformy Microsoft 365.
bezpośrednia komunikacja B2B
Jak synchronizacja między dzierżawcami jest powiązana z bezpośrednim połączeniem B2B?
- Bezpośrednie połączenie B2B to podstawowa technologia tożsamości wymagana dla kanałów udostępnionych Teams Connect.
- Zalecamy współpracę B2B we wszystkich pozostałych scenariuszach dostępu do aplikacji w ramach różnych najemców, zarówno w przypadku aplikacji Microsoft, jak i aplikacji innych dostawców.
- Bezpośrednie łączenie B2B i synchronizacja między dzierżawami są zaprojektowane do współistnienia, a oba te rozwiązania można jednocześnie włączyć, aby objąć szeroki zakres scenariuszy między dzierżawami.
Staramy się określić zakres, w jakim będziemy musieli korzystać z synchronizacji między dzierżawami w naszej organizacji multidzierżawowej. Czy planujesz rozszerzyć wsparcie dla bezpośrednich połączeń B2B poza Teams Connect?
- Nie ma planu rozszerzenia obsługi połączeń bezpośrednich B2B poza udostępnione kanały Teams Connect.
Microsoft 365
Czy synchronizacja między dzierżawami poprawia doświadczenia użytkowników z dostępem do aplikacji Microsoft 365 w różnych dzierżawach?
- Synchronizacja między dzierżawami wykorzystuje funkcję, która poprawia doświadczenie użytkownika, tłumiąc pierwszy monit o wyrażenie zgody B2B i proces realizacji w każdej dzierżawie.
- Zsynchronizowani użytkownicy będą mieć te same środowiska między dzierżawami platformy Microsoft 365 dostępne dla dowolnego innego użytkownika współpracy B2B.
Czy synchronizacja między dzierżawami umożliwia scenariusze wyszukiwania osób na platformie Microsoft 365?
- Tak, synchronizacja między dzierżawami umożliwia wyszukiwanie osób na platformie Microsoft 365. Upewnij się, że atrybut showInAddressList ma wartość True dla użytkowników w dzierżawcy docelowym. Atrybut showInAddressList jest domyślnie ustawiony na wartość true w mapowaniach atrybutów synchronizacji między dzierżawcami.
- Synchronizacja między dzierżawami tworzy użytkowników współpracy B2B i nie tworzy kontaktów.
Zespoły
Czy synchronizacja między dzierżawami zwiększa bieżące doświadczenia w Teams?
- Zsynchronizowani użytkownicy będą mieć te same środowiska między dzierżawami platformy Microsoft 365 dostępne dla dowolnego innego użytkownika współpracy B2B.
Integracja
Jakie opcje federacji są obsługiwane dla użytkowników w dzierżawie docelowej z powrotem do dzierżawy źródłowej?
- Dla każdego użytkownika wewnętrznego w dzierżawie źródłowej synchronizacja między dzierżawami tworzy federacyjnego użytkownika zewnętrznego (często używanego w usłudze B2B) w obiekcie docelowym. Obsługuje synchronizowanie użytkowników wewnętrznych. Obejmuje to wewnętrznych użytkowników zintegrowanych z innymi systemami tożsamości za pomocą federacji domen (takich jak Usługi federacji Active Directory). Nie obsługuje synchronizowania użytkowników zewnętrznych.
Czy synchronizacja między dzierżawami używa systemu do zarządzania tożsamościami między domenami (SCIM)?
- Nr Obecnie identyfikator Entra firmy Microsoft obsługuje klienta SCIM, ale nie serwera SCIM. Aby uzyskać więcej informacji, zobacz Synchronizacja SCIM z identyfikatorem Entra firmy Microsoft.
Anulowanie aprowizacji
Czy synchronizacja między dzierżawami obsługuje deaprowizację użytkowników?
Tak, gdy w dzierżawie źródłowej wystąpią poniższe akcje, użytkownik zostanie usunięty nietrwale w dzierżawie docelowej.
- Usuń użytkownika w dzierżawie źródłowej
- Odpięcie użytkownika od konfiguracji synchronizacji między dzierżawami
- Usuń użytkownika z grupy przypisanej do konfiguracji synchronizacji między dzierżawami
- Atrybut użytkownika zmienia się w taki sposób, że nie spełnia już warunków filtra zakresu zdefiniowanych w konfiguracji synchronizacji między dzierżawami.
Jeśli użytkownik nie może zalogować się w dzierżawie źródłowej (accountEnabled = false), nie będzie mógł zalogować się w lokalizacji docelowej. Nie jest to usunięcie, lecz aktualizacja właściwości accountEnabled.
Użytkownicy nie są usuwani nietrwale z dzierżawy docelowej w tym scenariuszu:
- Dodaj użytkownika do grupy i przypisz ją do konfiguracji synchronizacji między dzierżawami w dzierżawie źródłowej.
- Aprowizuj użytkownika na żądanie lub za pomocą cyklu przyrostowego.
- Zaktualizuj stan włączonego konta na wartość false dla użytkownika w dzierżawie źródłowej.
- Aprowizuj użytkownika na żądanie lub za pomocą cyklu przyrostowego. Status włączenia konta został zmieniony na nieaktywny w docelowym najemcy.
- Usuń użytkownika z grupy w dzierżawie źródłowej.
Czy synchronizacja między dzierżawami obsługuje przywracanie użytkowników?
- Jeśli użytkownik w dzierżawie źródłowej zostanie przywrócony, ponownie przydzielony do aplikacji i ponownie spełni warunek określania zakresu w ciągu 30 dni od tymczasowego usunięcia, zostanie przywrócony w dzierżawie docelowej.
- Administratorzy systemów IT mogą również ręcznie przywrócić użytkownika bezpośrednio w docelowym tenantcie.
Jak mogę zdeprowizować wszystkich użytkowników, którzy są obecnie w zakresie synchronizacji między dzierżawami?
- Cofnij przypisanie wszystkich użytkowników lub grup z konfiguracji synchronizacji między dzierżawami. Spowoduje to usunięcie aprowizacji wszystkich użytkowników, którzy zostali odwołani z przypisania, bezpośrednio lub poprzez członkostwo w grupie, w kolejnych cyklach synchronizacji. Należy pamiętać, że docelowy najemca musi zachować politykę ruchu przychodzącego włączoną na potrzeby synchronizacji, aż do momentu zakończenia dezaktywacji. Jeśli zakres jest ustawiony na Synchronizuj wszystkich użytkowników i grupy, należy również zmienić go na Synchronizuj tylko przypisanych użytkowników i grupy. Użytkownicy zostaną automatycznie usunięci nietrwale przez synchronizację między dzierżawami. Użytkownicy zostaną automatycznie usunięci po upływie 30 dni lub możesz definitywnie usunąć użytkowników bezpośrednio z dzierżawy docelowej. Możesz zdecydować się na trwałe usunięcie użytkowników bezpośrednio w dzierżawie docelowej lub poczekać 30 dni, aż użytkownicy zostaną automatycznie trwale usunięci.
Jeśli relacja synchronizacji została zerwana, czy wcześniej zarządzani przez synchronizację między dzierżawami użytkownicy zewnętrzni są usunięci w dzierżawie docelowej?
- Nr W przypadku zerwania relacji nie są wprowadzane żadne zmiany dla użytkowników zewnętrznych zarządzanych wcześniej przez synchronizację między dzierżawami (na przykład w przypadku usunięcia zasad synchronizacji między dzierżawami).