Was ist mandantenübergreifende Synchronisierung?
Die mandantenübergreifende Synchronisierung automatisiert die Erstellung, Aktualisierung und Löschung von Microsoft Entra B2B-Zusammenarbeit-Benutzer*innen über mehrere Mandanten in einer Organisation hinweg. Sie ermöglicht Benutzern den Zugriff auf Anwendungen und die mandantenübergreifende Zusammenarbeit, während die Organisation sich dennoch weiterentwickeln kann.
Hier sind die wichtigsten Ziele der mandantenübergreifenden Synchronisierung:
- Nahtlose Zusammenarbeit für eine Organisation mit mehreren Mandanten
- Automatisieren der Lebenszyklusverwaltung von B2B-Zusammenarbeitsbenutzern in einer Organisation mit mehreren Mandanten
- Automatisches Entfernen von B2B-Konten, wenn ein Benutzer die Organisation verlässt
Warum sollte die mandantenübergreifende Synchronisierung verwendet werden?
Bei der mandantenübergreifenden Synchronisierung wird das Erstellen, Aktualisieren und Löschen von B2B-Zusammenarbeitsbenutzern automatisiert. Benutzer, die per mandantenübergreifender Synchronisierung erstellt wurden, können sowohl auf Microsoft-Anwendungen (z. B. Teams und SharePoint) als auch auf Nicht-Microsoft-Anwendungen (z. B ServiceNow, Adobe und viele weitere) zugreifen, unabhängig davon, in welchen Mandanten die Apps integriert sind. Diese Benutzer*innen profitieren weiterhin von den Sicherheitsfunktionen in Microsoft Entra ID, z. B dem bedingten Microsoft Entra-Zugriff und den mandantenübergreifenden Zugriffseinstellungen, und können über Features wie die Microsoft Entra-Berechtigungsverwaltung gesteuert werden.
Das folgende Diagramm zeigt, wie Sie die mandantenübergreifende Synchronisierung verwenden können, um Benutzern in Ihrer Organisation den mandantenübergreifenden Zugriff auf Anwendungen zu ermöglichen.
Wer sollte sie verwenden?
- Organisationen, die mehrere Microsoft Entra-Mandanten besitzen und den mandantenübergreifenden Anwendungszugriff innerhalb der Organisation optimieren möchten.
- Die mandantenübergreifende Synchronisierung eignet sich derzeit nicht für die Verwendung über Organisationsgrenzen hinweg.
Vorteile
Mit der mandantenübergreifenden Synchronisierung können Sie Folgendes tun:
- B2B-Zusammenarbeitsbenutzer werden automatisch in Ihrer Organisation erstellt und erhalten Zugriff auf die benötigten Anwendungen, ohne dass Sie benutzerdefinierte Skripts erstellen und verwalten müssen.
- Sie verbessert die Benutzerfreundlichkeit und stellt sicher, dass Benutzer auf Ressourcen zugreifen können, ohne für jeden Mandanten eine Einladungs-E-Mail zu erhalten und eine Einwilligungsaufforderung akzeptieren zu müssen.
- Benutzer werden automatisch aktualisiert und bei Verlassen der Organisation entfernt.
Teams und Microsoft 365
Benutzer, die durch mandantenübergreifende Synchronisierung erstellt wurden, verfügen über die gleiche Erfahrung beim Zugriff auf Microsoft Teams und andere Microsoft 365-Dienste wie B2B-Zusammenarbeitsbenutzer, die über eine manuelle Einladung erstellt wurden. Wenn Ihr Organisation gemeinsam genutzte Kanäle verwendet, finden Sie weitere Informationen im Dokument zu bekannten Problemen. Im Laufe der Zeit wird der userType member
von den verschiedenen Microsoft 365-Diensten verwendet, um Benutzern in einer Organisation mit mehreren Mandanten differenzierte Endbenutzererfahrungen zu bieten.
Eigenschaften
Wenn Sie die mandantenübergreifende Synchronisierung konfigurieren, definieren Sie ein Vertrauensverhältnis zwischen einem Quellmandanten und einem Zielmandanten. Die mandantenübergreifende Synchronisierung verfügt über die folgenden Eigenschaften:
- Basierend auf der Microsoft Entra-Bereitstellungs-Engine.
- Ist ein Pushprozess vom Quellmandanten, kein Pullprozess vom Zielmandanten.
- Unterstützt nur das Pushen interner Mitglieder aus dem Quellmandanten. Die Synchronisierung externer Benutzer aus dem Quellmandanten wird nicht unterstützt.
- Benutzer im Bereich für die Synchronisierung werden im Quellmandanten konfiguriert.
- Die Attributzuordnung wird im Quellmandanten konfiguriert.
- Erweiterungsattribute werden unterstützt.
- Zielmandantenadministratoren können eine Synchronisierung jederzeit beenden.
Die folgende Tabelle enthält die Teilbereiche der mandantenübergreifenden Synchronisierung und den konfigurierten Mandanten.
Mandant | Mandantenübergreifend Zugriffseinstellungen |
Automatische Einlösung | Synchronisierungseinstellungen configuration |
Benutzer im Bereich |
---|---|---|---|---|
Quellmandant |
✔️ | ✔️ | ✔️ | |
Zielmandant |
✔️ | ✔️ |
Einstellung der mandantenübergreifenden Synchronisierung
Die Einstellung der mandantenübergreifenden Synchronisierung ist eine organisationsübergreifende Einstellung, die nur eingehende Nachrichten betrifft und mit der der Administrator eines Quellmandanten Benutzer mit einem Zielmandanten synchronisieren kann. Bei dieser Einstellung handelt es sich um ein Kontrollkästchen mit dem Namen Erlauben Sie Benutzern, sich mit diesem Mandanten zu synchronisieren im Zielmandanten. Diese Einstellung wirkt sich nicht auf B2B-Einladungen aus, die über andere Prozesse wie manuelle Einladungen oder die Microsoft Entra-Berechtigungsverwaltung erstellt wurden.
Informationen zum Konfigurieren dieser Einstellung mithilfe von Microsoft Graph finden Sie in der API Aktualisieren von crossTenantIdentitySyncPolicyPartner. Weitere Informationen finden Sie unter Konfigurieren von mandantenübergreifender Synchronisierung.
Einstellung für automatische Einlösung
Die Einstellung für die automatische Einlösung ist eine Einstellung für eingehende und ausgehende Organisationsvertrauensverhältnisse, mit der Einladungen automatisch eingelöst werden, sodass Benutzer beim ersten Zugriff auf den Ressourcen-/den Zielmandanten die Zustimmungsaufforderung nicht akzeptieren müssen. Diese Einstellung ist ein Kontrollkästchen mit dem folgenden Namen:
- Automatisches Einlösen von Einladungen mit dem Mandanten<Mandanten>
Vergleichen der Einstellung für verschiedene Szenarien
Die Einstellung für die automatische Einlösung gilt für die mandantenübergreifende Synchronisierung, B2B-Zusammenarbeit und die direkte B2B-Verbindung in den folgenden Situationen:
- Wenn Benutzer mithilfe der mandantenübergreifenden Synchronisierung in einem Zielmandanten erstellt werden.
- Wenn Benutzer mithilfe der B2B-Zusammenarbeit einem Ressourcenmandanten hinzugefügt werden.
- Wenn Benutzer mithilfe der direkten B2B-Verbindung auf Ressourcen in einem Ressourcenmandanten zugreifen.
In der folgenden Tabelle wird die Wirkung der aktivierten Einstellung für folgende Szenarien verglichen:
Artikel | Mandantenübergreifende Synchronisierung | B2B-Zusammenarbeit | Direkte B2B-Verbindung |
---|---|---|---|
Einstellung für automatische Einlösung | Erforderlich | Optional | Optional |
Benutzer erhalten eine Einladung per E-Mail zur B2B-Zusammenarbeit. | No | No | N/V |
Benutzer müssen eine Einwilligungsaufforderung akzeptieren. | No | No | No |
Benutzer erhalten eine Benachrichtigung-E-Mail zur B2B-Zusammenarbeit. | No | Ja | N/V |
Diese Einstellung wirkt sich nicht auf die Anwendungseinwilligung aus. Weitere Informationen finden Sie unter Einwilligungsfunktion für Anwendungen in Microsoft Entra ID. Diese Einstellung wird nicht für Organisationen in verschiedenen Microsoft-Cloudumgebungen unterstützt (z. B. Azure Commercial und Azure Government).
Wann wird die Einwilligungsaufforderung unterdrückt?
Die Einstellung für die automatische Einlösung unterdrückt die Einwilligungsaufforderung und die Einladungs-E-Mail nur, wenn sowohl der Basis-/Quellmandant (ausgehend) als auch der Ressourcen-/Zielmandant (eingehend) diese Einstellung überprüft.
Die folgende Tabelle zeigt das Einwilligungsaufforderungsverhalten für Quellmandantenbenutzer, wenn die Einstellung für die automatische Einlösung für verschiedene mandantenübergreifende Zugriffseinstellungskombinationen aktiviert wird:
Basis-/Quellmandant | Ressourcen-/Zielmandant | Einwilligungsaufforderungsverhalten für Quellmandantenbenutzer |
---|---|---|
Ausgehend | Eingehend | |
Unterdrückt | ||
Nicht unterdrückt | ||
Nicht unterdrückt | ||
Nicht unterdrückt | ||
Eingehend | Ausgehend | |
Nicht unterdrückt | ||
Nicht unterdrückt | ||
Nicht unterdrückt | ||
Nicht unterdrückt |
Informationen zum Konfigurieren dieser Einstellung mithilfe von Microsoft Graph finden Sie in der API crossTenantAccessPolicyConfigurationPartner aktualisieren. Weitere Informationen finden Sie unter Konfigurieren von mandantenübergreifender Synchronisierung.
Woher wissen Benutzer, zu welchen Mandanten sie gehören?
Bei der mandantenübergreifenden Synchronisierung erhalten Benutzer keine E-Mail oder müssen eine Einwilligungsaufforderung akzeptieren. Wenn Benutzer sehen möchten, zu welchen Mandanten sie gehören, können sie ihre Seite Mein Konto öffnen und Organisationen auswählen. Im Microsoft Entra Admin Center können Benutzer*innen ihre Portaleinstellungen öffnen, ihre Verzeichnisse + Abonnements anzeigen und in andere Verzeichnisse wechseln.
Weitere Informationen, einschließlich Datenschutzinformationen, finden Sie unter Verlassen einer Organisation als externer Benutzer.
Erste Schritte
Hier sind die grundlegenden Schritte, um mit der mandantenübergreifenden Synchronisierung zu beginnen.
Schritt 1: Definieren, wie die Mandanten in Ihrer Organisation strukturiert werden sollen
Die mandantenübergreifende Synchronisierung bietet eine flexible Lösung für die Zusammenarbeit, aber jede Organisation ist anders. Beispielsweise können Sie über einen zentralen Mandanten, Satellitenmandanten oder eine Art Mandantengitter verfügen. Die mandantenübergreifende Synchronisierung unterstützt jede dieser Topologien. Weitere Informationen finden Sie unter Topologien für die mandantenübergreifende Synchronisierung.
Schritt 2: Aktivieren der mandantenübergreifenden Synchronisierung in den Zielmandanten
Navigieren Sie im Zielmandanten, in dem Benutzer erstellt werden, zur Seite Mandantenübergreifende Zugriffseinstellungen. Hier aktivieren Sie die mandantenübergreifende Synchronisierung und die Einstellungen für die automatische B2B-Einlösung, indem Sie die entsprechenden Kontrollkästchen aktivieren. Weitere Informationen finden Sie unter Konfigurieren von mandantenübergreifender Synchronisierung.
Schritt 3: Aktivieren der mandantenübergreifenden Synchronisierung in den Quellmandanten
Navigieren Sie in einem beliebigen Quellmandanten zur Seite Mandantenübergreifende Zugriffseinstellungen, und aktivieren Sie die Funktion für die automatische B2B-Einlösung. Als Nächstes richten Sie auf der Seite Mandantenübergreifende Synchronisierung einen mandantenübergreifenden Synchronisierungsauftrag ein und geben Folgendes an:
- Welche Benutzer Sie synchronisieren möchten
- Welche Attribute Sie einschließen möchten
- Alle Transformationen
Allen Personen, die Microsoft Entra ID bereits zum Bereitstellen von Identitäten in einer SaaS-Anwendung verwendet haben, wird diese Funktion bekannt sein. Sobald Sie die Synchronisierung konfiguriert haben, können Sie mit einigen Benutzern mit dem Testen beginnen und sicherstellen, dass sie mit allen benötigten Attributen erstellt werden. Wenn die Tests abgeschlossen sind, können Sie schnell weitere Benutzer hinzufügen, um sie in Ihrer Organisation zu synchronisieren und ein Rollout durchzuführen. Weitere Informationen finden Sie unter Konfigurieren von mandantenübergreifender Synchronisierung.
Lizenzanforderungen
Im Quellmandanten gilt: Für die Verwendung dieses Features sind Microsoft Entra ID P1-Lizenzen erforderlich. Jeder Benutzer, der mit der mandantenübergreifenden Synchronisierung synchronisiert wird, muss über eine P1-Lizenz in seinem Basis-/Quellmandanten verfügen. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.
Im Zielmandanten gilt: Für die mandantenübergreifende Synchronisierung wird das Abrechnungsmodell für Microsoft Entra External ID verwendet. Informationen zum Lizenzierungsmodell für externe Identitäten finden Sie unter MAU-Abrechnungsmodell für Microsoft Entra External ID. Außerdem benötigen Sie mindestens eine Microsoft Entra ID P1-Lizenz im Zielmandanten, um die automatische Einlösung zu aktivieren.
Häufig gestellte Fragen
Clouds
In welchen Clouds kann die mandantenübergreifende Synchronisierung verwendet werden?
- Die mandantenübergreifende Synchronisierung wird in der kommerziellen Cloud und Azure Government unterstützt.
- Die mandantenübergreifende Synchronisierung wird in der Microsoft Azure operated by 21Vianet-Cloud nicht unterstützt.
- Die Synchronisierung wird nur zwischen zwei Mandanten in derselben Cloud unterstützt.
- Cloudübergreifend (wie z. B. öffentliche Cloud zu Azure Government) wird derzeit nicht unterstützt.
Vorhandene B2B-Benutzer
Verwaltet die mandantenübergreifende Synchronisierung vorhandene B2B-Benutzer?
- Ja. Die mandantenübergreifende Synchronisierung verwendet ein internes Attribut namens „alternativeSecurityIdentifier“, um einen internen Benutzer im Quellmandanten eindeutig mit einem externen bzw. B2B-Benutzer im Zielmandanten abzugleichen. Die mandantenübergreifende Synchronisierung kann vorhandene B2B-Benutzer aktualisieren, um sicherzustellen, dass jeder Benutzer nur über ein Konto verfügt.
- Die mandantenübergreifende Synchronisierung kann einen internen Benutzer im Quellmandanten nicht mit einem internen Benutzer im Zielmandanten abgleichen (sowohl vom Typ „Mitglied“ als auch vom Typ „Gast“).
Synchronisierungsfrequenz
Wie oft wird die mandantenübergreifende Synchronisierung ausgeführt?
- Das Synchronisierungsintervall ist derzeit so festgelegt, dass es in Intervallen von 40 Minuten beginnt. Die Synchronisierungsdauer variiert je nach Anzahl der Benutzer im Bereich. Der anfängliche Synchronisierungszyklus dauert wahrscheinlich deutlich länger als die folgenden inkrementellen Synchronisierungszyklen.
`Scope`
Wie steuere ich, was mit dem Zielmandanten synchronisiert wird?
- Im Quellmandanten können Sie steuern, welche Benutzer mit den Konfigurations- oder den attributbasierten Filtern bereitgestellt werden. Sie können auch steuern, welche Attribute in dem Benutzerobjekt synchronisiert werden. Weitere Informationen finden Sie unter Eingrenzen von Benutzern oder Gruppen für die Bereitstellung mit Bereichsfiltern.
Wird die mandantenübergreifende Synchronisierung im Ziel vorläufig gelöscht, wenn ein Benutzer aus dem Bereich der Synchronisierung in einem Quellmandanten entfernt wird?
- Ja. Die mandantenübergreifende Synchronisierung wird im Ziel vorläufig gelöscht, wenn ein Benutzer aus dem Bereich der Synchronisierung in einem Quellmandanten entfernt wird.
Objekttypen
Welche Objekttypen können synchronisiert werden?
- Microsoft Entra-Benutzer*innen können zwischen Mandanten synchronisiert werden. (Gruppen, Geräte und Kontakte werden derzeit nicht unterstützt.)
Welche Benutzertypen können synchronisiert werden?
- Interne Mitglieder können von Quellmandanten synchronisiert werden. Interne Gäste können nicht von Quellmandanten synchronisiert werden.
- Benutzer können als externe Mitglieder (Standard) oder externe Gäste zu Zielmandanten synchronisiert werden.
- Weitere Informationen zu UserType-Definitionen finden Sie unter Eigenschaften von Microsoft Entra B2B Collaboration-Benutzer*innen.
Ich habe bestehende B2B-Zusammenarbeitsbenutzer. Was geschieht mit ihnen?
- Die mandantenübergreifende Synchronisierung gleicht den Benutzer ab und führt alle erforderlichen Updates für den Benutzer durch, z. B. indem der Anzeigename aktualisiert wird. Standardmäßig wird der UserType nicht von Gast zu Mitglied aktualisiert. Sie können dies jedoch in den Attributzuordnungen konfigurieren.
Attribute
Welche Benutzerattribute können synchronisiert werden?
- Bei der mandantenübergreifenden Synchronisierung werden häufig verwendete Attribute für das Benutzerobjekt in Microsoft Entra ID synchronisiert, z. B. displayName, userPrincipalName und Verzeichniserweiterungsattribute.
- Die mandantenübergreifende Synchronisierung unterstützt die Bereitstellung des Manager-Attributs in der kommerziellen Cloud. Die Managersynchronisierung wird in der US Government-Cloud noch nicht unterstützt. Sowohl der Benutzer als auch sein Manager müssen für die mandantenübergreifende Synchronisierung berücksichtigt werden, um das Manager-Attribut bereitstellen zu können.
- Für mandantenübergreifende Synchronisierungskonfigurationen, die nach Januar 2024 mit den Standardschema / Attributzuordnungen erstellt wurden:
- Das Manager-Attribut wird automatisch den Attributzuordnungen hinzugefügt.
- Managerupdates gelten für den inkrementellen Zyklus für Benutzer, die Änderungen durchlaufen (z. B. Manageränderung). Das Synchronisierungsmodul aktualisiert nicht automatisch alle vorhandenen Benutzer, die zuvor bereitgestellt wurden.
- Um den Manager für vorhandene Benutzer zu aktualisieren, die für die Bereitstellung vorgesehen sind, können Sie die On-Demand-Bereitstellung für bestimmte Benutzer verwenden oder einen Neustart durchführen, um den Manager für alle Benutzer bereitzustellen.
- Für mandantenübergreifende Synchronisierungskonfigurationen, die vor Januar 2024 mit einem benutzerdefinierten Schema / Attributzuordnungen erstellt wurden (z. B.: Sie haben ein Attribut zu den Zuordnungen hinzugefügt oder die Standardzuordnungen geändert):
- Sie müssen das Manager-Attribut zu Ihren Attributzuordnungen hinzufügen. Dadurch wird ein Neustart ausgelöst und alle Benutzer aktualisiert, die für die Bereitstellung vorgesehen sind. Dies sollte eine direkte Zuordnung des Manager-Attributs im Quellmandanten zum Manager im Zielmandanten sein.
- Wenn der Vorgesetzte eines Benutzers im Quellmandanten entfernt wird und dem Quellmandanten kein neuer Manager zugewiesen wird, wird das Manager-Attribut nicht im Zielmandanten aktualisiert.
- Für mandantenübergreifende Synchronisierungskonfigurationen, die nach Januar 2024 mit den Standardschema / Attributzuordnungen erstellt wurden:
Welche Attribute können nicht synchronisiert werden?
- Attribute wie z. B. Fotos, benutzerdefinierte Sicherheitsattribute und Benutzerattribute außerhalb des Verzeichnisses können nicht durch mandantenübergreifende Synchronisierung synchronisiert werden.
Kann ich steuern, wo Benutzerattribute bezogen/verwaltet werden?
- Die mandantenübergreifende Synchronisierung bietet keine direkte Kontrolle über die Autoritätsquelle. Der Benutzer und seine Attribute werden beim Quellmandanten als autoritativ betrachtet. Es gibt parallele Quellen von Autoritätsworkstreams, die die Quelle der Autoritätssteuerelemente für Benutzer bis zur Attributebene weiterentwickeln, und ein Benutzerobjekt an der Quelle kann letztendlich mehrere zugrunde liegende Quellen widerspiegeln. Für den Mandanten-zu-Mandanten-Prozess wird dies weiterhin so behandelt, als wären die Werte des Quellmandanten für den Synchronisierungsprozess in den Zielmandanten maßgebend (auch wenn Teile tatsächlich von anderswoher stammen). Derzeit gibt es keine Unterstützung für das Umkehren der Autoritätsquelle des Synchronisierungsprozesses.
- Die mandantenübergreifende Synchronisierung unterstützt nur die Autoritätsquelle auf Objektebene. Das bedeutet, dass alle Attribute eines Benutzers aus derselben Quelle stammen müssen, einschließlich der Anmeldeinformationen. Es ist nicht möglich, die Autoritätsquelle oder die Verbundrichtung eines synchronisierten Objekts umzukehren.
Was geschieht, wenn Attribute für einen synchronisierten Benutzer im Zielmandanten geändert werden?
- Die mandantenübergreifende Synchronisierung fragt keine Änderungen im Ziel ab. Wenn keine Änderungen an dem synchronisierten Benutzer im Quellmandanten vorgenommen werden, werden die Änderungen des Benutzerattributes, die im Zielmandanten vorgenommen wurden, beibehalten. Wenn jedoch Änderungen am Benutzer im Quellmandanten vorgenommen werden, wird der Benutzer im Zielmandanten während des nächsten Synchronisierungszyklus so aktualisiert, dass er dem Benutzer im Quellmandanten entspricht.
Kann der Zielmandant die Anmeldung für einen bestimmten, synchronisierten Basis-/Quellmandantenbenutzer manuell blockieren?
- Wenn keine Änderungen an dem synchronisierten Benutzer im Quellmandanten vorgenommen werden, wird die Anmelde-Sperreinstellung im Zielmandanten beibehalten. Wenn eine Änderung für den Benutzer im Quellmandanten erkannt wird, aktiviert die mandantenübergreifende Synchronisierung den Benutzer, dessen Anmeldung im Zielmandanten blockiert wurde, erneut.
Struktur
Kann ich ein Mesh zwischen mehreren Mandanten synchronisieren?
- Die mandantenübergreifende Synchronisierung wird als Peer-to-Peer-Synchronisierung in eine Richtung konfiguriert, was bedeutet, dass die Synchronisierung zwischen einer Quell- und einem Zielmandanten konfiguriert wird. Mehrere Instanzen der mandantenübergreifenden Synchronisierung können für die Synchronisierung von einer einzelnen Quelle zu mehreren Zielen und von mehreren Quellen zu einem einzelnen Ziel konfiguriert werden. Zwischen einer Quelle und einem Ziel kann es jedoch nur eine Synchronisierungsinstanz geben.
- Die mandantenübergreifende Synchronisierung synchronisiert nur Benutzer, die intern für den Basis-/Quellmandanten sind, sodass sichergestellt ist, dass Sie nicht in einer Schleife enden können, in der ein Benutzer in denselben Mandanten zurückgeschrieben wird.
- Mehrere Topologien werden unterstützt. Weitere Informationen finden Sie unter Topologien für die mandantenübergreifende Synchronisierung.
Kann ich die mandantenübergreifende Synchronisierung organisationsübergreifend (außerhalb meiner mehrinstanzenfähigen Organisation) verwenden?
- Aus Datenschutzgründen ist die mandantenübergreifende Synchronisierung für die Verwendung innerhalb einer Organisation vorgesehen. Es wird empfohlen, die Berechtigungsverwaltung zu verwenden, um B2B-Zusammenarbeitsbenutzer organisationsübergreifend einzuladen.
Kann die mandantenübergreifende Synchronisierung verwendet werden, um Benutzer von einem Mandanten zu einem anderen Mandanten zu migrieren?
- Nein. Die mandantenübergreifende Synchronisierung ist kein Migrationstool, da der Quellmandant für die Authentifizierung synchronisierter Benutzer erforderlich ist. Darüber hinaus erfordern Mandantenmigrationen die Migration von Benutzerdaten wie SharePoint und OneDrive.
B2B-Zusammenarbeit
Hebt die mandantenübergreifende Synchronisierung vorhandene Einschränkungen der B2B-Zusammenarbeit auf?
Da die mandantenübergreifende Synchronisierung auf einer vorhandenen B2B-Zusammenarbeitstechnologie basiert, finden vorhandene Einschränkungen Anwendung. Beispiele sind u. a.:
App oder Dienst Begrenzungen Power BI - Die Unterstützung für UserType-Member in Power BI befindet sich derzeit in der Vorschauphase. Weitere Informationen finden Sie unter Verteilen von Power BI-Inhalten an externe Gastbenutzer mit Microsoft Entra B2B. Azure Virtual Desktop - Die Benutzertypen „Externes Mitglied“ und „Externer Gast“ werden in Azure Virtual Desktop nicht unterstützt.
Direkte B2B-Verbindung
In welcher Beziehung steht die mandantenübergreifende Synchronisierung zur direkten B2B-Verbindung?
- Die direkte B2B-Verbindung ist die zugrunde liegende Identitätstechnologie, die für Teams Connect freigegebene Kanäle erforderlich ist.
- Wir empfehlen die B2B-Zusammenarbeit für alle anderen mandantenübergreifenden Anwendungszugriffsszenarien, einschließlich Microsoft- und Nicht-Microsoft-Anwendungen.
- Die direkte B2B-Verbindung und die mandantenübergreifende Synchronisierung sind so konzipiert, dass sie nebeneinander bestehen können. Sie können beide aktivieren, um eine umfassende Abdeckung mandantenübergreifender Szenarien zu ermöglichen.
Wir versuchen, den Umfang zu ermitteln, in dem wir die mandantenübergreifende Synchronisierung in unserer mehrinstanzenfähigen Organisation nutzen müssen. Planen Sie, den Support für die direkte B2B-Verbindung über Teams Connect hinaus auszudehnen?
- Die Ausdehnung des Supports für direkte B2B-Verbindungen über für Teams Connect freigegebene Kanäle hinaus ist nicht geplant.
Microsoft 365
Verbessert die mandantenübergreifende Synchronisierung die Benutzerfreundlichkeit im Zusammenhang mit dem Zugriff auf mandantenübergreifende Microsoft 365-Apps?
- Die mandantenübergreifende Synchronisierung nutzt ein Feature, das die Benutzerfreundlichkeit verbessert, indem die erstmalige B2B-Einwilligungsaufforderung und der Einlösungsprozess in jedem Mandanten unterdrückt werden.
- Synchronisierte Benutzer können dieselben mandantenübergreifenden Microsoft 365-Funktionen nutzen, die jedem anderen Benutzer im Rahmen der B2B-Zusammenarbeit zur Verfügung stehen.
Kann die mandantenübergreifende Synchronisierung Personensuchszenarien in Microsoft 365 ermöglichen?
- Ja, die mandantenübergreifende Synchronisierung kann die Personensuche in M365 aktivieren. Stellen Sie sicher, dass das showInAddressList-Attribut für Benutzer im Zielmandanten auf True festgelegt ist. Das showInAddressList-Attribut ist standardmäßig in den zuordnungsübergreifenden Synchronisierungsattributen auf true festgelegt.
- Bei der mandantenübergreifenden Synchronisierung werden Benutzer für die B2B-Zusammenarbeit erstellt, keine Kontakte.
Teams
Verbessert die mandantenübergreifende Synchronisierung aktuelle Erfahrungen mit Teams?
- Synchronisierte Benutzer können dieselben mandantenübergreifenden Microsoft 365-Funktionen nutzen, die jedem anderen Benutzer im Rahmen der B2B-Zusammenarbeit zur Verfügung stehen.
Integration
Welche Verbundoptionen werden für Benutzer im Zielmandanten zurück zum Quellmandanten unterstützt?
- Für jeden internen Benutzer im Quellmandanten erstellt die mandantenübergreifende Synchronisierung einen externen Verbundbenutzer (häufig in B2B verwendet) im Ziel. Es unterstützt die Synchronisierung interner Benutzer. Dies schließt interne Benutzer ein, die einen Verbund mit anderen Identitätssystemen über den Domänenverbund (z. B Active Directory-Verbunddienste (AD FS)) nutzen. Die Synchronisierung externer Benutzer wird nicht unterstützt.
Verwendet die mandantenübergreifende Synchronisierung System for Cross-Domain Identity Management (SCIM)?
- Nein. Derzeit unterstützt Microsoft Entra ID einen SCIM-Client, aber keinen SCIM-Server. Weitere Informationen finden Sie unter SCIM-Synchronisierung mit Microsoft Entra ID.
Aufheben der Bereitstellung
Unterstützt die mandantenübergreifende Synchronisierung das Aufheben der Bereitstellung von Benutzer*innen?
Ja, wenn die folgenden Aktionen im Quellmandanten auftreten, wird ein*e Benutzer*in im Zielmandanten vorläufig gelöscht.
- Löschen von Benutzer*innen im Quellmandanten
- Aufheben der Zuweisung von Benutzer*innen in der Konfiguration der mandantenübergreifenden Synchronisierung
- Entfernen von Benutzer*innen aus einer Gruppe, die der Konfiguration der mandantenübergreifenden Synchronisierung zugewiesen ist
- Ein Attribut für eine*n Benutzer*in ändert sich so, dass die für die Konfiguration der mandantenübergreifenden Synchronisierung definierten Bereichsfilterbedingungen nicht mehr erfüllt sind.
Wenn ein*e Benutzer*in für die Anmeldung beim Quellmandanten (accountEnabled = false) blockiert ist, wird die Anmeldung beim Ziel blockiert. Hierbei handelt es sich nicht um eine Löschung, sondern um eine Aktualisierung der accountEnabled-Eigenschaft.
Benutzer werden in diesem Szenario nicht vorläufig aus dem Zielmandanten gelöscht:
- Fügen Sie einer Gruppe einen Benutzer hinzu, und weisen Sie ihn der mandantenübergreifenden Synchronisierungskonfiguration im Quellmandanten zu.
- Stellen Sie den Benutzer bei Bedarf oder über den inkrementellen Zyklus bereit.
- Aktualisieren Sie den Status des kontoaktivierten Kontos auf "false" für den Benutzer im Quellmandanten.
- Stellen Sie den Benutzer bei Bedarf oder über den inkrementellen Zyklus bereit. Der Status "Konto aktiviert" wird im Zielmandanten in "false" geändert.
- Entfernen Sie den Benutzer aus der Gruppe im Quellmandanten.
Unterstützt die mandantenübergreifende Synchronisierung das Wiederherstellen von Benutzer*innen?
- Wenn ein*e Benutzer*in im Quellmandanten wiederhergestellt wird, der App neu zugewiesen wird, die Bereichsbedingung innerhalb von 30 Tagen nach dem vorläufigen Löschen wieder erfüllt, erfolgt die Wiederherstellung im Zielmandanten.
- IT-Administratoren können den Benutzer auch direkt im Zielmandanten manuell wiederherstellen.
Wie kann ich die Bereitstellung aller Benutzer*innen aufheben, die sich derzeit im Bereich der mandantenübergreifenden Synchronisierung befinden?
- Heben Sie die Zuweisung aller Benutzer oder Gruppen in der Konfiguration der mandantenübergreifenden Synchronisierung auf. Dadurch wird die Bereitstellung aller Benutzer*innen, die nicht zugewiesen waren, entweder direkt oder über die Gruppenmitgliedschaft, in nachfolgenden Synchronisierungszyklen aufgehoben. Beachten Sie, dass der Zielmandant die Richtlinie für eingehenden Datenverkehr für die Synchronisierung aktiviert lassen muss, bis die Aufhebung der Bereitstellung abgeschlossen ist. Wenn der Bereich auf Alle Benutzer*innen und Gruppen synchronisieren festgelegt ist, müssen Sie ihn auch in Nur zugewiesene Benutzer*innen und Gruppen synchronisieren ändern. Die Benutzer*innen werden automatisch durch mandantenübergreifende Synchronisierung vorläufig gelöscht. Die Benutzer*innen werden nach 30 Tagen automatisch endgültig gelöscht, oder Sie können die Benutzer*innen direkt im Zielmandanten endgültig löschen. Sie können die Benutzer*innen direkt im Zielmandanten endgültig löschen oder 30 Tage warten, bis die Benutzer*innen automatisch endgültig gelöscht werden.
Werden externe Benutzer, die zuvor durch mandantenübergreifende Synchronisierung verwaltet wurden, im Zielmandanten gelöscht, wenn die Synchronisierungsbeziehung getrennt wird?
- Nein. An den externen Benutzern, die zuvor durch mandantenübergreifende Synchronisierung verwaltet wurden, werden keine Änderungen vorgenommen, wenn die Beziehung getrennt wird (z. B. wenn die Richtlinie für die mandantenübergreifende Synchronisierung gelöscht wird).