你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
多租户组织的已知问题(预览版)
重要
多租户组织目前为预览版。 有关 beta 版本、预览版或其他尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅产品条款。
本文讨论跨 Azure AD 和 Microsoft 365 使用多租户组织功能时要注意的已知问题。 要对 UserVoice 上的多租户组织功能提供反馈,请参阅 Azure Active Directory (Azure AD) UserVoice。 我们将密切关注 UserVoice,以便改进该服务。
范围
本文所述的体验和问题的范围如下。
| 范围 | 说明 |
|---|---|
| 范围内 | - Azure AD 管理员体验和与多租户组织相关的问题,以支持新 Teams 中的无缝协作体验,以及相互预配的 B2B 成员 |
| 相关范围 | - Microsoft 365 管理中心与多租户组织相关的体验和问题 - Microsoft 365 多租户组织人员搜索体验和问题 - 与 Microsoft 365 相关的跨租户同步问题 |
| 超出范围 | - 与 Microsoft 365 无关的跨租户同步 - 新 Teams 中的最终用户体验 - Power BI 中的最终用户体验 - 租户迁移或合并 |
| 不支持的方案 | - 经典 Teams 中跨多租户组织无缝协作体验 - 适用于大于 5 个租户或每租户 100000 个内部用户的多租户组织的自助服务 - 使用 Azure AD 跨租户同步以外的预配或同步引擎 - Azure 政府或由世纪互联运营的 Microsoft Azure 中的多租户组织 - 跨云多租户组织 |
与多租户组织相关的问题
在创建多租户组织与加入多租户组织的任何租户之间至少需要 2 小时。
在提交多租户组织加入请求和相同加入请求之间最多需要 4 小时才能成功完成。
多租户组织功能的自助服务限制为最多 5 个租户和每租户 100000 个内部用户。 若要请求提高这些限制,请提交 Azure AD 或 Microsoft 365 管理中心支持请求。
在 Microsoft Graph API 中,5 个租户和每租户 100000 个内部用户的默认限制将仅在加入时强制执行。 在 Microsoft 365 管理中心中,默认限制在多租户组织创建时间和加入时强制执行。
可能有多种原因导致联接请求可能失败。 如果 Microsoft 365 管理中心未指示联接请求不成功的原因,请尝试使用 Microsoft Graph API 或 Microsoft Graph 资源管理器检查联接请求响应。
如果遵循了创建多租户组织、将租户添加到多租户组织的正确顺序,并且添加的租户的加入请求一直失败,请将支持请求提交到 Azure AD 或Microsoft 365 管理中心。
作为多租户组织的一部分,新邀请的 B2B 用户会收到一个其他用户属性,其中包括 B2B 用户的主租户标识符。 已兑换的 B2B 用户没有此其他用户属性。 目前,Microsoft 365 管理中心共享用户功能或 Azure AD 跨租户同步是填充此附加用户属性的唯一接受方法。
作为多租户组织的一部分,B2B 用户的重置兑换状态 当前不可用,且已禁用。
B2B 用户或 B2B 成员相关问题
将 B2B 来宾提升为 B2B 成员表示多租户组织将 B2B 成员视为组织受信任用户的战略决策。 查看 B2B 成员的 默认权限。
若要将 B2B 来宾提升为 B2B 成员,源租户管理员可以修改属性映射,或者如果属性未定期同步,目标租户管理员可以更改 userType。
在 SharePoint OneDrive 中,可能不会自动将 B2B 来宾提升为 B2B 成员。 如果 Azure AD 与 SharePoint OneDrive 之间存在用户类型不匹配,请尝试 Set-SPUser [-SyncFromAD]。
在 SharePoint OneDrive 用户界面中,当与 Fabrikam 中的人员共享文件时,当前用户界面可能违反直觉,因为来自 Contoso 的 Fabrikam 中的 B2B 成员计入了 Fabrikam 中的人员。
在 Microsoft Forms 中,B2B 成员用户可能无法访问表单。
在 Microsoft Power BI 中,B2B 成员用户除了具有未经测试的体验外,还可能需要分配许可证。 作为多租户组织的一部分,预期将为 B2B 成员提供 Power BI 预览版。
在 Microsoft Power Apps、Microsoft Dynamics 365 和其他工作负载中,B2B 成员用户可能需要分配许可证。 B2B 成员的体验未经测试。
用户同步问题
何时使用 Microsoft 365 管理中心共享用户:如果以前未使用过 Azure AD 跨租户同步,并且打算建立协作用户集拓扑,其中同一组用户共享给所有多租户组织租户,则可能需要使用 Microsoft 365 管理中心共享用户功能。
何时使用 Azure AD 跨租户同步:如果已在使用 Azure AD 跨租户同步,则对于各种多中心多辐射型拓扑,无需使用Microsoft 365 管理中心共享用户功能。 相反,你可能希望继续使用现有的 Azure AD 跨租户同步作业。
联系人对象:B2B 用户的大规模预配可能与联系人对象冲突。 目前不支持处理或转换联系人对象。
Microsoft 365 管理中心 / Azure AD:无论是使用Microsoft 365 管理中心共享用户功能还是 Azure AD 跨租户同步,以下各项都适用:
- 在标识平台中,这两种方法都表示为 Azure AD 跨租户同步作业。
- 可以调整属性映射以满足组织的需求。
- 默认情况下,新的 B2B 用户预配为 B2B 成员,而现有 B2B 来宾仍为 B2B 来宾。
- 可以通过将应用此映射设置为始终,选择将 B2B 来宾转换为 B2B 成员。
Microsoft 365 管理中心 / Azure AD:如果使用 Azure AD 跨租户同步来预配用户,而不是 Microsoft 365 管理中心共享用户功能,Microsoft 365 管理中心将指示出站同步状态为未配置。 这是预期的预览行为。 目前,Microsoft 365 管理中心仅显示 Microsoft 365 管理中心创建和管理的 Azure AD 跨租户同步作业的状态,不显示在 Azure AD 中创建和管理的 Azure AD 跨租户同步。
Microsoft 365 管理中心/Azure AD:如果在 Microsoft Entra 管理中心查看 Azure AD 跨租户同步,在将租户添加到 Microsoft 365 管理中心或加入多租户组织后,你将看到名为 MTO_Sync_<TenantID> 的跨租户同步配置。 如果希望 Microsoft 365 管理中心识别由 Microsoft 365 管理中心创建和管理的配置,请不要编辑或更改名称。
Microsoft 365 管理中心/Azure AD:Microsoft 365 管理中心没有建立或受支持的模式来控制预先存在的 Azure AD 跨租户同步配置和作业。
使用跨租户访问设置模板进行标识同步的优势:在相关租户允许跨租户访问设置中的入站同步之前,Azure AD 跨租户同步不支持建立跨租户同步配置。 因此,Microsoft 365 管理中心鼓励使用跨租户访问设置模板进行身份同步,并将
userSyncInbound设置为 "true"。颁发机构冲突的来源:使用 Azure AD 跨租户同步来面向已转换为 B2B 用户的混合标识,但尚未经过测试,也不受支持。
同步 B2B 来宾与 B2B 成员:随着你的组织推出多租户组织功能(包括跨多租户组织租户预配 B2B 用户),你可能希望将某些用户预配为 B2B 来宾,同时将其他用户预配为 B2B 成员。 为此,可能需要在源租户中建立两个 Azure AD 跨租户同步配置,一个将配置 userType 属性映射为 B2B 来宾,另一个将配置 userType 属性映射配置为 B2B 成员,每个配置都将 应用此映射 设置为 始终。 通过将用户从一个配置的范围移到另一个配置范围,可以轻松控制谁将成为目标租户中的 B2B 来宾或 B2B 成员。
跨租户同步取消预配:默认情况下,如果在同步作业运行期间减少了设置范围,则用户将脱离范围并被软删除,除非禁用了“删除的目标对象操作”。 有关详细信息,请参阅取消预配和定义预配范围内的人员。
跨租户同步取消预配:目前,SkipOutOfScopeDeletions 适用于应用程序预配作业,但不适用于 Azure AD 跨租户同步。 若要避免从跨租户同步范围外软删除用户,请将“删除的目标对象操作”设置为“已禁用”。