Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A sincronização entre locatários automatiza a criação, a atualização e a exclusão de usuários de colaboração B2B do Microsoft Entra nos locatários em uma organização. Ela permite que os usuários acessem aplicativos e colaborem entre locatários, permitindo que a organização evolua.
Estas são as principais metas da sincronização entre locatários:
- Colaboração perfeita para uma organização multilocatário
- Automatizar o gerenciamento do ciclo de vida dos usuários de colaboração B2B em uma organização multilocatário
- Remover automaticamente contas B2B quando um usuário sair da organização
Por que usar a sincronização entre locatários?
A sincronização entre locatários automatiza a criação, a atualização e a exclusão de usuários de colaboração B2B. Os usuários criados com sincronização entre locatários podem acessar aplicativos da Microsoft (como Teams e SharePoint) e outros aplicativos (como ServiceNow, Adobe e muito mais), independentemente do locatário com que os aplicativos são integrados. Esses usuários continuam se beneficiando dos recursos de segurança no Microsoft Entra ID, como o Acesso Condicional do Microsoft Entra e as configurações de acesso entre locatários, e podem ser regidos por meio de recursos como o gerenciamento de direitos do Microsoft Entra.
O diagrama a seguir mostra como você pode usar a sincronização entre locatários para permitir que os usuários acessem aplicativos entre locatários em sua organização.
Quem deve usar?
- Organizações que possuem vários locatários do Microsoft Entra e desejam simplificar o acesso a aplicativos entre locatários dentro da organização.
- A sincronização entre locatários pode ser usada entre organizações, mas isso pode introduzir responsabilidades adicionais de conformidade. Os clientes são responsáveis por garantir que seu uso esteja em conformidade com os requisitos de privacidade, segurança e regulamentação aplicáveis, incluindo o GDPR (Regulamento Geral de Proteção de Dados) da União Europeia. A Microsoft não facilita a coleta de consentimento do usuário por meio da sincronização entre locatários. Os clientes devem avaliar se seu cenário requer consentimento do usuário, minimização de dados ou outras proteções e consultar suas equipes legais ou de conformidade antes de habilitar a sincronização entre organizações ou a sincronização entre locatários entre organizações.
Benefícios
Com a sincronização entre locatários, você pode fazer o seguinte:
- Crie automaticamente usuários de colaboração B2B em sua organização e forneça a eles o acesso aos aplicativos de que precisam, sem criar e manter scripts personalizados.
- Aprimorar a experiência do usuário e garantir que eles possam acessar os recursos sem a necessidade de receber um email de convite e sem precisar aceitar um prompt de consentimento em cada locatário.
- Atualize automaticamente os usuários e remova-os quando saírem da organização.
Teams e Microsoft 365
Os usuários criados pela sincronização entre locatários terão a mesma experiência ao acessar o Microsoft Teams e outros serviços do Microsoft 365 que os usuários de colaboração B2B criados por meio de um convite manual. Se sua organização usar canais compartilhados, consulte o documento de problemas conhecidos para obter detalhes adicionais. Com o tempo, o userType member será usado pelos vários serviços do Microsoft 365 para fornecer experiências diferenciadas de usuário final para usuários em uma organização com vários locatários.
Propriedades
Ao configurar a sincronização entre locatários, você define uma relação de confiança entre um locatário de origem e um de destino. A sincronização entre locatários tem as seguintes propriedades:
- Baseada no mecanismo de provisionamento do Microsoft Entra.
- É um processo de transmissão do locatário de origem, não um processo de transferência do locatário de destino.
- Dá suporte ao envio por push apenas de membros internos do locatário de origem. Ela não dá suporte à sincronização de usuários externos do locatário de origem.
- Os usuários no escopo da sincronização são configurados no locatário de origem.
- O mapeamento de atributos é configurado no locatário de origem.
- Há suporte para atributos de extensão.
- Os administradores do locatário de destino podem interromper uma sincronização a qualquer momento.
A tabela a seguir mostra as partes da sincronização entre locatários e em qual locatário elas estão configuradas.
| Locatário | Entre locatários configurações de acesso |
Resgate automático | Configurações de sincronização configuração |
Usuários no escopo |
|---|---|---|---|---|
 Locatário de origem |
✔️ | ✔️ | ✔️ | |
 Locatário de destino |
✔️ | ✔️ |
Configuração de sincronização entre locatários
A configuração de sincronização entre locatários é uma configuração organizacional somente de entrada para permitir que o administrador de um locatário de origem sincronize usuários em um locatário de destino. Essa configuração é uma caixa de seleção com o nome Permitir que os usuários sincronizem com esse locatário especificada no locatário de destino. Ela não afeta convites B2B criados por meio de outros processos, como convite manual ou gerenciamento de direitos do Microsoft Entra.
Para definir essa configuração usando o Microsoft Graph, consulte a API Atualizar crossTenantIdentitySyncPolicyPartner. Para obter mais informações, consulte Configurar a sincronização entre locatários.
Configuração de resgate automático
A configuração de resgate automático é uma configuração de confiança organizacional de entrada e de saída para resgatar automaticamente convites para que os usuários não precisem aceitar o prompt de consentimento na primeira vez que acessarem o locatário de recurso/destino. Essa configuração é uma caixa de seleção com o seguinte nome:
- Resgatar automaticamente os convites com o locatário<locatário>
Comparar configurações para cenários diferentes
A configuração de resgate automático se aplica à sincronização entre locatários, à colaboração B2B e à conexão direta de B2B nas seguintes situações:
- Quando usuários são criados em um locatário de destino usando a sincronização entre locatários.
- Quando usuários são adicionados a um locatário de recurso usando a colaboração B2B.
- Quando os usuários acessam recursos em um locatário de recursos usando a conexão direta de B2B.
A seguinte tabela mostra como essa configuração se compara quando habilitada para esses cenários:
| Elemento | Sincronização entre locatários | Colaboração B2B | Conexão direta de B2B |
|---|---|---|---|
| Configuração de resgate automático | Obrigatório | Opcional | Opcional |
| Os usuários recebem um email de convite de colaboração B2B | Não | Não | Não aplicável |
| Os usuários precisam aceitar um prompt de consentimento | Não | Não | Não |
| Os usuários recebem um email de notificação de colaboração B2B | Não | Sim | Não aplicável |
Essa configuração não afeta experiências de consentimento do aplicativo. Para obter mais informações, confira Experiência de consentimento para aplicativos no Microsoft Entra ID. Essa configuração tem suporte para organizações em diferentes ambientes de nuvem da Microsoft, como comercial do Azure e Azure Governamental, mas está atualmente em versão prévia. Para obter mais informações, consulte Configurar a sincronização entre locatários.
Quando a solicitação de consentimento é suprimida?
A configuração de resgate automático suprimirá o prompt de consentimento e o email de convite apenas se o locatário de origem/inicial (saída) e o locatário de recurso/destino (entrada) marcarem essa configuração.
A tabela a seguir mostra o comportamento da solicitação de consentimento para usuários do locatário de origem quando a configuração de resgate automático está marcada para diferentes combinações de configurações de acesso entre locatários.
| Locatário de origem/inicial | Locatário de recurso/destino | Comportamento do prompt de consentimento para usuários do locatário de origem |
|---|---|---|
| Saída | Entrada | |
 |
|
Suprimido |
|
 |
Não suprimido |
|
|
Não suprimido |
|
|
Não suprimido |
| Entrada | Saída | |
|
|
Não suprimido |
|
|
Não suprimido |
|
|
Não suprimido |
|
|
Não suprimido |
Para definir essa configuração usando o Microsoft Graph, consulte a API Atualizar crossTenantAccessPolicyConfigurationPartner. Para obter mais informações, consulte Configurar a sincronização entre locatários.
Como os usuários sabem a quais locatários pertencem?
Para a sincronização entre locatários, os usuários não recebem um email nem precisam aceitar um prompt de consentimento. Se os usuários quiserem ver a quais locatários pertencem, eles poderão abrir a página Minha Conta e selecionar Organizações. No Centro de administração do Microsoft Entra, os usuários podem abrir as respectivas Configurações do portal, exibir seus Diretórios + assinaturas e alternar diretórios.
Para obter mais informações, incluindo informações sobre privacidade, consulte Sair de uma organização como um usuário externo.
Introdução
Aqui, temos as etapas básicas para começar a usar a sincronização entre locatários.
Etapa 1: defina como estruturar os locatários em sua organização
A sincronização entre locatários fornece uma solução flexível para habilitar a colaboração, mas cada organização é diferente. Por exemplo, você pode ter um locatário central, locatários satélite ou uma espécie de malha de locatários. A sincronização entre locatários dá suporte a qualquer uma dessas topologias. Para obter mais informações, consulte Topologias da sincronização entre locatários.
Etapa 2: Habilitar a sincronização entre locatários nos locatários de destino
No locatário de destino em que os usuários são criados, navegue até a página Configurações de acesso entre locatários. Nela, você habilita a sincronização entre locatários e as configurações de resgate automático B2B marcando as respectivas caixas de seleção. Para obter mais informações, consulte Configurar a sincronização entre locatários.
Etapa 3: Habilitar a sincronização entre locatários nos locatários de origem
Em qualquer locatário de origem, navegue até a página Configurações de acesso entre locatários e habilite o recurso de resgate automático B2B. Em seguida, use a página Sincronização entre locatários para configurar um trabalho de sincronização entre locatários e especifique:
- Quais usuários deseja sincronizar
- Quais atributos deseja incluir
- Qualquer transformação
Para quem já usou o Microsoft Entra ID para provisionar identidades em um aplicativo SaaS, essa experiência será familiar. Após configurar a sincronização, você pode começar a testar com alguns usuários e verificar se eles foram criados com todos os atributos necessários. Quando o teste for concluído, você poderá adicionar rapidamente mais usuários para sincronizar e distribuir em toda a organização. Para obter mais informações, consulte Configurar a sincronização entre locatários.
Requisitos de licença
A tabela a seguir lista as licenças necessárias, dependendo do seu cenário.
| Cenário | Locatário de origem | Locatário de destino |
|---|---|---|
| Sincronização entre locatários (mesma nuvem) | Licenças do Microsoft Entra ID P1 | Não aplicável |
| Sincronização entre nuvens | Licenças do Microsoft Entra ID Governance ou do Microsoft Entra Suite | Não aplicável |
Locatário de origem: cada usuário sincronizado com a sincronização entre locatários deve ter uma licença do Microsoft Entra ID P1 em seu locatário de origem/residência. Cada usuário sincronizado com a sincronização entre nuvens deve ter uma licença do Microsoft Entra ID Governance ou do Microsoft Entra Suite em seu locatário de origem/residência. Para obter mais informações, consulte os planos e preços do Microsoft Entra e os conceitos básicos de licenciamento de governança de ID do Microsoft Entra.
Locatário de destino: as licenças não são necessárias para sincronização entre locatários ou sincronização entre nuvens no locatário de destino. No entanto, dependendo dos recursos que você está usando no locatário de destino, talvez seja necessário licenciamento adicional para os recursos usados no locatário de destino. Por exemplo, os clientes que habilitaram a cobrança de ID externa e estão provisionando convidados externos podem ser cobrados de acordo com o modelo de cobrança da ID Externa do Microsoft Entra.
Perguntas frequentes
Nuvens
Na mesma nuvem, em quais nuvens a sincronização entre locatários pode ser usada?
A sincronização entre locatários é compatível com a nuvem comercial e o Azure Governamental.
A sincronização entre locatários não é compatível com a nuvem do Microsoft Azure operada pela 21Vianet.
Fonte Meta Domínios de link do portal do Azure Azure Commercial Azure Commercial portal.azure.com-->portal.azure.comAzure Governamental Azure Governamental portal.azure.us-->portal.azure.us
Há suporte para sincronização entre nuvens ?
- A sincronização inter-nuvens (como da nuvem pública para o Azure Government) está atualmente em prévia pública.
- Para obter informações sobre a relação entre os ambientes de Nuvem do Azure e o Microsoft 365 (GCC, GCCH), consulte a integração do Microsoft 365.
Quais pares de nuvem têm suporte para sincronização entre nuvens?
A sincronização entre nuvens dá suporte a esses pares de nuvem:
Fonte Meta Domínios de link do portal do Azure Azure Commercial Azure Governamental portal.azure.com-->portal.azure.usAzure Governamental Azure Commercial portal.azure.us-->portal.azure.comAzure Commercial Azure operado pela 21Vianet
(Azure na China)portal.azure.com-->portal.azure.cn
Quais são as diferenças entre a sincronização entre locatários e a sincronização entre nuvens?
- Sincronização entre locatários e sincronização entre nuvens são criadas usando as mesmas tecnologias e são fundamentalmente idênticas. A principal diferença é que a sincronização ocorre entre nuvens em vez de dentro da mesma nuvem.
Há limitações para sincronização entre nuvens?
- A sincronização do atributo gerenciador ainda não tem suporte na sincronização entre nuvens.
- Para limitações da organização multilocatária, consulte FAQ da organização multilocatária.
- Para limitações do Microsoft 365 com membros externos, consulte Colaborar com convidados de outros ambientes de nuvem do Microsoft 365.
Usuários B2B existentes
A sincronização entre locatários gerenciará os usuários B2B existentes?
- Sim. A sincronização entre locatários usa um atributo interno chamado alternativeSecurityIdentifier para corresponder exclusivamente a um usuário interno no locatário de origem com um usuário externo/B2B no locatário de destino. A sincronização entre locatários pode atualizar os usuários B2B existentes, garantindo que cada usuário tenha apenas uma conta.
- A sincronização entre locatários não consegue associar um usuário interno no locatário de origem com um usuário interno no locatário de destino (tanto tipo membro quanto tipo convidado).
Frequência de sincronização
Com que frequência a sincronização entre locatários é executada?
- No momento, o intervalo de sincronização é fixo e tem início em intervalos de 40 minutos. A duração da sincronização varia de acordo com o número de usuários no escopo. O ciclo de sincronização inicial provavelmente levará significativamente mais tempo do que os ciclos de sincronização incrementais posteriores.
Escopo
Como controlar o que é sincronizado no locatário de destino?
- No locatário de origem, você pode controlar quais usuários são provisionados com a configuração ou filtros baseados em atributos. Você também pode controlar quais atributos no objeto de usuário são sincronizados. Para obter mais informações, consulte Definindo o escopo de usuários ou grupos a serem provisionados com filtros de escopo.
Se um usuário for removido do escopo de sincronização em um locatário de origem, a sincronização entre locatários fará a exclusão reversível no destino?
- Sim. Se um usuário for removido do escopo de sincronização em um locatário de origem, a sincronização entre locatários fará a exclusão reversível no locatário de destino.
Tipos de objeto
Quais tipos de objeto podem ser sincronizados?
- Usuários do Microsoft Entra podem ser sincronizados entre locatários. (Atualmente, não há suporte para grupos, dispositivos e contatos.)
Quais tipos de usuário podem ser sincronizados?
- Os membros internos podem ser sincronizados de locatários de origem. Convidados internos não podem ser sincronizados de locatários de origem.
- Os usuários podem ser sincronizados com locatários de destino como membros externos (padrão) ou convidados externos.
- Para obter mais informações sobre as definições de UserType, confira Propriedades de um usuário de colaboração B2B do Microsoft Entra.
Tenho usuários de colaboração B2B existentes. O que acontecerá com eles?
- A sincronização entre locatários corresponderá ao usuário e fará as atualizações necessárias no usuário, como atualizar o nome de exibição. Por padrão, o UserType não será atualizado de convidado para membro, mas você pode configurar isso nos mapeamentos de atributos.
Atributos
Quais atributos de usuário podem ser sincronizados?
- A sincronização entre locatários sincronizará atributos comumente usados no objeto de usuário no Microsoft Entra ID, incluindo (mas não se limitando a) displayName, userPrincipalName e atributos de extensão de diretório.
- A sincronização entre locatários dá suporte ao provisionamento do atributo de gerente na nuvem comercial do Azure. A sincronização do gerenciador ainda não tem suporte na nuvem do governo dos EUA. Tanto o usuário quanto seu gerente devem estar no escopo da sincronização entre locatários para provisionar o atributo gerente.
- Para configurações de sincronização entre locatários criadas após janeiro de 2024 com o esquema/atributo padrão:
- O atributo de gerente será adicionado automaticamente aos mapeamentos de atributos.
- As atualizações do gerente serão aplicadas no ciclo incremental para usuários que estão passando por alterações (por exemplo, mudança de gerente). O mecanismo de sincronização não atualiza automaticamente todos os usuários existentes provisionados anteriormente.
- Para atualizar o gerente para usuários existentes que estão no escopo do provisionamento, você pode usar o provisionamento sob demanda para usuários específicos ou fazer uma reinicialização para provisionar o gerente para todos os usuários.
- Para configurações de sincronização entre locatários criadas antes de janeiro de 2024 com mapeamentos de esquema/atributo personalizados (por exemplo, você adicionou um atributo aos mapeamentos ou alterou os mapeamentos padrão):
- Você precisa adicionar o atributo de gerente aos mapeamentos de atributo. Isso acionará uma reinicialização e atualizará todos os usuários que estão no escopo do provisionamento. Esse deve ser um mapeamento direto do atributo de gerente no locatário de origem para o gerente no locatário de destino.
- Se o gerente de um usuário for removido no locatário de origem e nenhum novo gerente for atribuído no locatário de origem, o atributo gerenciador não será atualizado no locatário de destino.
- Para configurações de sincronização entre locatários criadas após janeiro de 2024 com o esquema/atributo padrão:
Quais atributos não podem ser sincronizados?
- Atributos que incluem (mas não se limitam a) fotos, atributos de segurança personalizados e atributos de usuário fora do diretório não podem ser sincronizados pela sincronização entre locatários.
Posso controlar onde os atributos de usuário são gerenciados/obtidos?
- A sincronização entre locatários não oferece controle direto sobre a fonte de autoridade. O usuário e seus atributos são considerados autoritativos no locatário de origem. Há fontes paralelas de fluxos de trabalho de autoridade que evoluirão a fonte de controles de autoridade para os usuários até o nível do atributo, e um objeto de usuário na origem pode, em última análise, refletir várias fontes subjacentes. Para o processo de locatário para locatário, isso ainda é tratado como valores do locatário de origem sendo autoritativos para o processo de sincronização (mesmo que partes realmente se originem em outro lugar) no locatário de destino. Atualmente, não há suporte para reverter a fonte de autoridade do processo de sincronização.
- A sincronização entre locatários dá suporte apenas à origem da autoridade no nível do objeto. Isso significa que todos os atributos de um usuário devem vir da mesma origem, incluindo as credenciais. Não é possível reverter a origem da autoridade nem a direção de federação de um objeto sincronizado.
O que acontecerá se os atributos de um usuário sincronizado forem alterados no locatário de destino?
- A sincronização entre locatários não consulta alterações no destino. Se nenhuma alteração for feita no usuário sincronizado no locatário de origem, alterações de atributo do usuário feitas no locatário de destino persistirão. No entanto, se forem feitas alterações no usuário no locatário de origem, no próximo ciclo de sincronização o usuário no locatário de destino será atualizado para corresponder ao usuário no locatário de origem.
O locatário de destino pode bloquear manualmente a entrada de um usuário específico do locatário de origem/base que está sincronizado?
- Se nenhuma alteração for feita no usuário sincronizado no locatário de origem, a configuração de bloqueio de entrada no locatário de destino persistirá. Se for detectada uma alteração no usuário no locatário de origem, a sincronização entre locatários habilitará novamente esse usuário cuja entrada no locatário de destino foi bloqueada.
Estrutura
Posso sincronizar um mesh entre vários locatários?
- A sincronização entre locatários é configurada como uma sincronização ponto a ponto de direção única, o que significa que a sincronização é configurada entre um locatário de origem e um de destino. Várias instâncias de sincronização entre locatários podem ser configuradas para sincronizar de uma única origem para vários destinos e de várias origens em um único destino. No entanto, apenas uma instância de sincronização pode existir entre uma origem e um destino.
- A sincronização entre locatários sincroniza apenas usuários internos ao locatário de origem/base, garantindo que você não acabe com um loop em que um usuário seja gravado de volta no mesmo locatário.
- Há suporte para várias topologias. Para obter mais informações, consulte Topologias da sincronização entre locatários.
Posso usar a sincronização entre locatários entre organizações (fora da minha organização multilocatário)?
- Por motivos de privacidade, a sincronização entre locatários destina-se ao uso dentro de uma organização. Recomendamos usar o gerenciamento de direitos para convidar usuários de colaboração B2B entre organizações.
A sincronização entre locatários pode ser usada para migrar usuários de um locatário para outro?
- Não. A sincronização entre locatários não é uma ferramenta de migração, porque o locatário de origem é necessário para que os usuários sincronizados se autentiquem. Além disso, migrações de locatário exigiriam a migração de dados do usuário, como o SharePoint e o OneDrive.
Colaboração B2B
A sincronização entre locatários resolve alguma limitação de colaboração B2B atual?
Como a sincronização entre locatários é baseada na tecnologia de colaboração B2B existente, as limitações existentes se aplicam. Os exemplos incluem (sem limitação):
Aplicativo ou serviço Limitações Power BI - O suporte para Membro UserType no Power BI está atualmente em versão prévia. Para obter mais informações, consulte Distribuir o conteúdo do Power BI para usuários convidados externos com o Microsoft Entra B2B. Área de Trabalho Virtual do Azure – Para ver limitações, consulte Pré-requisitos para a Área de Trabalho Virtual do Azure. Equipes da Microsoft - Para conferir as limitações, consulte Colaborar com convidados de outros ambientes de nuvem do Microsoft 365.
Conexão direta de B2B
Como a sincronização entre locatários está relacionada à conexão direta de B2B?
- A conexão direta de B2B é a tecnologia de identidade subjacente necessária para canais compartilhados do Teams Connect.
- Recomendamos a colaboração B2B para todos os outros cenários de acesso a aplicativos entre locatários, incluindo aplicativos Microsoft e não Microsoft.
- A conexão direta de B2B e a sincronização entre locatários foram projetadas para coexistir, e você pode habilitar ambas para ampla cobertura de cenários entre locatários.
Estamos tentando determinar até que ponto precisaremos usar a sincronização entre locatários na nossa organização multilocatário. Vocês planejam estender o suporte para conexão direta de B2B além do Teams Connect?
- Não há nenhum plano para estender o suporte para conexão direta de B2B além dos canais compartilhados do Teams Connect.
Microsoft 365
A sincronização entre locatários aprimora alguma experiência de acesso a aplicativos do Microsoft 365 entre locatários?
- A sincronização entre locatários utiliza um recurso que aprimora a experiência do usuário suprimindo o prompt de consentimento de B2B na primeira vez e o processo de resgate em cada locatário.
- Usuários sincronizados terão as mesmas experiências do Microsoft 365 entre locatários disponíveis para qualquer outro usuário de colaboração B2B.
A sincronização entre locatários pode habilitar cenários de pesquisa de pessoas no Microsoft 365?
- Sim, a sincronização entre locatários pode permitir que as pessoas pesquisem no Microsoft 365. Verifique se o atributo showInAddressList está definido como Verdadeiro nos usuários no locatário de destino. O atributo showInAddressList é definido como verdadeiro por padrão nos mapeamentos de atributos da sincronização entre locatários.
- A sincronização entre locatários cria usuários de colaboração B2B e não cria contatos.
Equipes
A sincronização entre locatários aprimora alguma experiência atual do Teams?
- Usuários sincronizados terão as mesmas experiências do Microsoft 365 entre locatários disponíveis para qualquer outro usuário de colaboração B2B.
Integração
Quais opções de federação têm suporte para usuários no locatário de destino de volta para o locatário de origem?
- Para cada usuário interno no locatário de origem, a sincronização entre locatários criará um usuário externo federado (comumente usado em B2B) no destino. Ela dá suporte à sincronização de usuários internos. Isso inclui usuários internos federados para outros sistemas de identidade usando a federação de domínio (como os Serviços de Federação do Active Directory (AD FS)). Ela não dá suporte à sincronização de usuários externos.
A sincronização entre locatários usa o Sistema de Gerenciamento de Identidade entre Domínios (SCIM)?
- Não. Atualmente, o Microsoft Entra ID dá suporte a um cliente SCIM, mas não a um servidor SCIM. Para obter mais informações, consulte Sincronização de SCIM com o Microsoft Entra ID.
Desprovisionamento
A sincronização entre locatários dá suporte ao desprovisionamento de usuários?
Sim, quando as ações abaixo ocorrerem no locatário de origem, o usuário será excluído temporariamente no locatário de destino.
- Excluir o usuário no locatário de origem
- Cancelar a atribuição do usuário da configuração de sincronização entre locatários
- Remover o usuário de um grupo atribuído à configuração de sincronização entre locatários
- Um atributo de um usuário muda de forma que ele não atende mais às condições de filtro de escopo definidas na configuração de sincronização entre locatários.
Se o usuário for impedido de entrar no locatário de origem (accountEnabled = false), ele será impedido de entrar no destino. Isso não é uma exclusão, mas uma atualização para a propriedade accountEnabled.
Os usuários não são excluídos suavemente do locatário de destino neste cenário:
- Adicione um usuário a um grupo e atribua-o à configuração de sincronização entre locatários no locatário de origem.
- Provisionar o usuário sob demanda ou por meio do ciclo incremental.
- Atualize o status de conta habilitada para falso no usuário no locatário de origem.
- Provisionar o usuário sob demanda ou por meio do ciclo incremental. O status de habilitação da conta é alterado para falso no locatário de destino.
- Remova o usuário do grupo no locatário de origem.
A sincronização entre locatários dá suporte à restauração de usuários?
- Se o usuário no locatário de origem for restaurado, reatribuído ao aplicativo e atender à condição de escopo novamente em até 30 dias após a exclusão reversível, ele será restaurado no locatário de destino.
- Administradores de TI também podem restaurar manualmente o usuário diretamente no locatário de destino.
Como posso desprovisionar todos os usuários que estão atualmente no escopo da sincronização entre locatários?
- Cancele a atribuição de todos os usuários ou grupos da configuração de sincronização entre locatários. Isso fará com que todos os usuários cuja atribuição foi cancelada, diretamente ou por meio de associação de grupo, sejam desprovisionados nos ciclos de sincronização subsequentes. Observe que o locatário de destino precisará manter a política de entrada para sincronização habilitada até que o desprovisionamento seja concluído. Se o escopo estiver definido como Sincronizar todos os usuários e grupos, você também precisará alterá-lo para Sincronizar somente usuários e grupos atribuídos. Os usuários serão excluídos automaticamente pela sincronização entre locatários. Os usuários serão excluídos automaticamente após 30 dias ou você poderá optar por excluir os usuários diretamente do locatário de destino. Você pode optar por excluir duramente os usuários diretamente no locatário de destino ou aguardar 30 dias para que os usuários sejam excluídos automaticamente.
Se a relação de sincronização for encerrada, usuários externos gerenciados anteriormente pela sincronização entre locatários serão excluídos no locatário de destino?
- Não. Nenhuma alteração será feita em usuários externos gerenciados anteriormente pela sincronização entre locatários se a relação for encerrada (por exemplo, se a política de sincronização entre locatários for excluída).