Configurare un'organizzazione multi-tenant usando PowerShell o l'API Microsoft Graph

Questo articolo descrive i passaggi principali per configurare un'organizzazione multi-tenant usando Microsoft Graph PowerShell o l'API Microsoft Graph. Questo articolo usa un tenant proprietario di esempio denominato Cairo e due tenant membri denominati Berlin e Athens.

Se invece si vuole usare l'interfaccia di amministrazione di Microsoft 365 per configurare un'organizzazione multi-tenant, vedere Configurare un'organizzazione multi-tenant in Microsoft 365 e Partecipare o lasciare un'organizzazione multi-tenant in Microsoft 365. Per informazioni su come configurare Microsoft Teams per l'organizzazione multi-tenant, vedere Nuovo client desktop di Microsoft Teams.

Diagramma che mostra un'organizzazione multi-tenant con un tenant proprietario e due tenant membri.

Prerequisiti

Icona per il tenant proprietario.
Tenant proprietario

Icona per il tenant membro.
Tenant membro

Passaggio 1: Accedere al tenant proprietario

Icona per il tenant proprietario.
Tenant proprietario

  1. Avviare PowerShell.

  2. Se necessario, installare Microsoft Graph PowerShell SDK.

  3. Ottenere l'ID tenant dei tenant proprietario e membro e inizializzare le variabili.

    $OwnerTenantId = "<OwnerTenantId>"
    $MemberTenantIdB = "<MemberTenantIdB>"
    $MemberTenantIdA = "<MemberTenantIdA>"
    
  4. Usare il comando Connect-MgGraph per accedere al tenant proprietario e fornire il consenso alle autorizzazioni necessarie elencate di seguito.

    • MultiTenantOrganization.ReadWrite.All
    • Policy.Read.All
    • Policy.ReadWrite.CrossTenantAccess
    • Application.ReadWrite.All
    • Directory.ReadWrite.All
    Connect-MgGraph -TenantId $OwnerTenantId -Scopes "MultiTenantOrganization.ReadWrite.All","Policy.Read.All","Policy.ReadWrite.CrossTenantAccess","Application.ReadWrite.All","Directory.ReadWrite.All"
    

Passaggio 2: Creare un'organizzazione multi-tenant

Icona per il tenant proprietario.
Tenant proprietario

  1. Nel tenant proprietario usare il comando Update-MgBetaTenantRelationshipMultiTenantOrganization per creare l'organizzazione multi-tenant. L'operazione può richiedere alcuni minuti.

    Update-MgBetaTenantRelationshipMultiTenantOrganization -DisplayName "Cairo"
    
  2. Prima di procedere, usare il comando Get-MgBetaTenantRelationshipMultiTenantOrganization per verificare che l'operazione sia stata completata.

    Get-MgBetaTenantRelationshipMultiTenantOrganization | Format-List
    
    CreatedDateTime      : 1/8/2024 7:47:45 PM
    Description          :
    DisplayName          : Cairo
    Id                   : <MtoIdC>
    JoinRequest          : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationJoinRequestRecord
    State                : active
    Tenants              :
    AdditionalProperties : {[@odata.context, https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/$entity]}
    

Passaggio 3: Aggiungere tenant

Icona per il tenant proprietario.
Tenant proprietario

  1. Nel tenant proprietario usare il comando New-MgBetaTenantRelationshipMultiTenantOrganizationTenant per aggiungere tenant all'organizzazione multi-tenant.

    New-MgBetaTenantRelationshipMultiTenantOrganizationTenant -TenantID $MemberTenantIdB -DisplayName "Berlin" | Format-List
    
    New-MgBetaTenantRelationshipMultiTenantOrganizationTenant -TenantID $MemberTenantIdA -DisplayName "Athens" | Format-List
    
  2. Prima di procedere, usare il comando Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant per verificare che l'operazione sia stata completata.

    Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant | Format-List
    
    AddedByTenantId      : <OwnerTenantId>
    AddedDateTime        : 1/8/2024 7:47:45 PM
    DeletedDateTime      :
    DisplayName          : Cairo
    Id                   : <MtoIdC>
    JoinedDateTime       :
    Role                 : owner
    State                : active
    TenantId             : <OwnerTenantId>
    TransitionDetails    : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails
    AdditionalProperties : {[multiTenantOrgLabelType, none]}
    
    AddedByTenantId      : <OwnerTenantId>
    AddedDateTime        : 1/8/2024 8:05:25 PM
    DeletedDateTime      :
    DisplayName          : Berlin
    Id                   : <MtoIdB>
    JoinedDateTime       :
    Role                 : member
    State                : pending
    TenantId             : <MemberTenantIdB>
    TransitionDetails    : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails
    AdditionalProperties : {[multiTenantOrgLabelType, none]}
    
    AddedByTenantId      : <OwnerTenantId>
    AddedDateTime        : 1/8/2024 8:08:47 PM
    DeletedDateTime      :
    DisplayName          : Athens
    Id                   : <MtoIdA>
    JoinedDateTime       :
    Role                 : member
    State                : pending
    TenantId             : <MemberTenantIdA>
    TransitionDetails    : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails
    AdditionalProperties : {[multiTenantOrgLabelType, none]}
    

Passaggio 4: (Facoltativo) Modificare il ruolo di un tenant

Icona per il tenant proprietario.
Tenant proprietario

Per impostazione predefinita, i tenant aggiunti all'organizzazione multi-tenant sono tenant membri. Facoltativamente, è possibile modificarli in tenant proprietari, che consentono di aggiungere altri tenant all'organizzazione multi-tenant. È anche possibile modificare un tenant proprietario in un tenant membro.

  1. Nel tenant proprietario usare il comando Update-MgBetaTenantRelationshipMultiTenantOrganizationTenant per modificare un tenant membro in un tenant proprietario.

    Update-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId $MemberTenantIdB -Role "Owner" | Format-List
    
  2. Prima di procedere, usare il comando Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant per verificare la modifica.

    Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId $MemberTenantIdB | Format-List
    
    AddedByTenantId      : <OwnerTenantId>
    AddedDateTime        : 1/8/2024 8:05:25 PM
    DeletedDateTime      :
    DisplayName          : Berlin
    Id                   : <MtoIdB>
    JoinedDateTime       :
    Role                 : owner
    State                : pending
    TenantId             : <MemberTenantIdB>
    TransitionDetails    : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails
    AdditionalProperties : {[@odata.context, https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/tenants/$entity],
                           [multiTenantOrgLabelType, none]}
    

Passaggio 5: (Facoltativo) Rimuovere un tenant membro

Icona per il tenant proprietario.
Tenant proprietario

È possibile rimuovere qualsiasi tenant membro, incluso il proprio. Non è invece possibile rimuovere tenant proprietari. Inoltre, non è possibile rimuovere il tenant dell'autore originale, anche se è stato modificato da proprietario a membro.

  1. Nel tenant proprietario usare il comando Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant per rimuovere un tenant membro. Il completamento dell'operazione richiede alcuni minuti.

    Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId <MemberTenantIdD>
    
  2. Prima di procedere, usare il comando Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant per verificare la modifica.

    Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId <MemberTenantIdD>
    

    Dopo il completamento del comando di rimozione, l'output dovrebbe essere simile al seguente. Si tratta di un messaggio di errore previsto. Indica che il tenant è stato rimosso dall'organizzazione multi-tenant.

    Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant_Get: Unable to read the company information from the directory.
    
    Status: 404 (NotFound)
    ErrorCode: Directory_ObjectNotFound
    Date: 2024-01-08T20:35:11
    
    ...
    

Passaggio 6: Accedere a un tenant proprietario

Icona per il tenant membro.
Tenant membro

Il tenant Cairo ha creato un'organizzazione multi-tenant e ha aggiunto i tenant Berlin e Athens. Con questa procedura si accederà al tenant Berlino e lo si aggiungerà all'organizzazione multi-tenant creata da Cairo.

  1. Avviare PowerShell.

  2. Usare il comando Connect-MgGraph per accedere al tenant membro e fornire il consenso alle autorizzazioni necessarie elencate di seguito.

    • MultiTenantOrganization.ReadWrite.All
    • Policy.Read.All
    • Policy.ReadWrite.CrossTenantAccess
    • Application.ReadWrite.All
    • Directory.ReadWrite.All
    Connect-MgGraph -TenantId $MemberTenantIdB -Scopes "MultiTenantOrganization.ReadWrite.All","Policy.Read.All","Policy.ReadWrite.CrossTenantAccess","Application.ReadWrite.All","Directory.ReadWrite.All"
    

Passaggio 7: Partecipare all'organizzazione multi-tenant

Icona per il tenant membro.
Tenant membro

  1. Nel tenant membro usare il comando Update-MgBetaTenantRelationshipMultiTenantOrganizationJoinRequest per partecipare all'organizzazione multi-tenant.

    Update-MgBetaTenantRelationshipMultiTenantOrganizationJoinRequest -AddedByTenantId $OwnerTenantId | Format-List
    
  2. Usare il comando Get-MgBetaTenantRelationshipMultiTenantOrganizationJoinRequest per verificare la partecipazione.

    Get-MgBetaTenantRelationshipMultiTenantOrganizationJoinRequest | Format-List
    
    AddedByTenantId      : <OwnerTenantId>
    Id                   : <MtoJoinRequestIdB>
    MemberState          : active
    Role                 : member
    TransitionDetails    : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationJoinRequestTransitionDetails
    AdditionalProperties : {[@odata.context, https://graph.microsoft.com/beta/$metadata#tenantRelationships/multiTenantOrganization/joinRequest/$entity]}
    
  3. Usare il comando Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant per verificare l'organizzazione multi-tenant, in cui dovrebbe essere riflessa l'operazione di partecipazione.

    Get-MgBetaTenantRelationshipMultiTenantOrganizationTenant | Format-List
    
    AddedByTenantId      : <OwnerTenantId>
    AddedDateTime        : 1/8/2024 8:05:25 PM
    DeletedDateTime      :
    DisplayName          : Berlin
    Id                   : <MtoJoinRequestIdB>
    JoinedDateTime       : 1/8/2024 9:53:55 PM
    Role                 : member
    State                : active
    TenantId             : <MemberTenantIdB>
    TransitionDetails    : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails
    AdditionalProperties : {[multiTenantOrgLabelType, none]}
    
    AddedByTenantId      : <OwnerTenantId>
    AddedDateTime        : 1/8/2024 7:47:45 PM
    DeletedDateTime      :
    DisplayName          : Cairo
    Id                   : <Id>
    JoinedDateTime       :
    Role                 : owner
    State                : active
    TenantId             : <OwnerTenantId>
    TransitionDetails    : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphMultiTenantOrganizationMemberTransitionDetails
    AdditionalProperties : {[multiTenantOrgLabelType, none]}
    
  4. Per consentire l'elaborazione asincrona, il completamento dell'operazione di partecipazione a un'organizzazione multi-tenant potrebbe richiedere fino a 2 ore.

Passaggio 8: (Facoltativo) Lasciare l'organizzazione multi-tenant

Icona per il tenant membro.
Tenant membro

È possibile lasciare un'organizzazione multi-tenant a cui si parecipa. Il processo di rimozione del proprio tenant dall'organizzazione multi-tenant è identico al processo di rimozione di un altro tenant dall'organizzazione multi-tenant.

Se il proprio tenant è l'unico proprietario dell'organizzazione multi-tenant, è necessario designare un nuovo tenant come proprietario dell'organizzazione multi-tenant. Per la procedura, vedere Passaggio 4: (Facoltativo) Modificare il ruolo di un tenant.

Passaggio 9: (Facoltativo) Eliminare l'organizzazione multi-tenant

Icona per il tenant proprietario.
Tenant proprietario

Per eliminare un'organizzazione multi-tenant, è necessario rimuoverne tutti i tenant. Il processo di rimozione del tenant del proprietario finale è identico al processo di rimozione di tutti gli altri tenant membri.

  • Nel tenant proprietario finale usare il comando Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant per rimuovere il tenant. Il completamento dell'operazione richiede alcuni minuti.

    Remove-MgBetaTenantRelationshipMultiTenantOrganizationTenant -MultiTenantOrganizationMemberId $OwnerTenantId
    

Passaggi successivi