Limitazioni nelle organizzazioni multi-tenant
Questo articolo descrive le limitazioni da tenere presenti quando si usa le funzionalità di un'organizzazione multi-tenant in Microsoft Entra ID e Microsoft 365. Per fornire commenti e suggerimenti sulle funzionalità dell'organizzazione multi-tenant in UserVoice, vedere Microsoft Entra UserVoice. È possibile osservare UserVoice da vicino in modo da poter contribuire al miglioramento del servizio.
Ambito
Di seguito è definito l'ambito delle limitazioni descritte in questo articolo.
| Ambito | Descrizione |
|---|---|
| Nell'ambito | - Limitazioni dell'amministratore di Microsoft Entra correlate alle organizzazioni multi-tenant per supportare esperienze di collaborazione ottimali nel nuovo Microsoft Teams, con membri B2B con provisioning reciproco - Limitazioni dell'amministratore di Microsoft Entra correlate alle organizzazioni multi-tenant per supportare esperienze di collaborazione ottimali in Microsoft Viva Engage, con membri B2B con provisioning centrale |
| Ambito correlato | - Limitazioni dell'interfaccia di amministrazione di Microsoft 365 correlate alle organizzazioni multi-tenant - Esperienze di ricerca utenti in un'organizzazione multi-tenant di Microsoft 365 - Limitazioni della sincronizzazione tra tenant correlate a Microsoft 365 |
| Fuori ambito | - Limitazioni della sincronizzazione tra tenant non correlate a Microsoft 365 - Esperienze degli utenti finali nel nuovo Team - Esperienze degli utenti finali in Viva Engage - Migrazione o consolidamento dei tenant |
| Scenari non supportati | - Organizzazioni multi-tenant tra tenant didattici che coinvolgono scenari di studenti - Organizzazioni multi-tenant in Microsoft 365 Government - Esperienza di collaborazione ottimale tra organizzazioni multi-tenant in Teams classico - Funzionalità self-service per le organizzazioni multi-tenant con più di 100 tenant - Organizzazioni multi-tenant in Azure per enti pubblici o Microsoft Azure gestite da 21Vianet - Organizzazioni multi-tenant tra cloud |
Creare o partecipare a un'organizzazione multi-tenant usando l'interfaccia di amministrazione di Microsoft 365
Dopo aver creato un'organizzazione multi-tenant nell'interfaccia di amministrazione di Microsoft 365, verrà visualizzata l'interfaccia di amministrazione Microsoft creata con configurazioni di sincronizzazione tra tenant con i nomi
MTO_Sync_<TenantID>. Evitare di modificare o cambiare i nomi se si vuole che l'interfaccia di amministrazione di Microsoft 365 riconosca le configurazioni create e gestite dall'interfaccia di amministrazione di Microsoft 365.I processi di sincronizzazione creati con Microsoft Entra ID non verranno visualizzati nell'interfaccia di amministrazione di Microsoft 365. Nell'interfaccia di amministrazione di Microsoft 365, lo Stato di sincronizzazione in uscita sarà impostato su Non configurato. Si tratta di un comportamento previsto. Non esiste alcun modello supportato dall'interfaccia di amministrazione di Microsoft 365 per assumere il controllo dei processi di sincronizzazione tra tenant creati nell'interfaccia di amministrazione di Microsoft Entra.
Impostazioni di accesso tra tenant
La sincronizzazione tra tenant in Microsoft Entra ID non supporta la definizione di una configurazione di sincronizzazione tra tenant prima che il tenant in questione consenta la sincronizzazione in ingresso nelle impostazioni di accesso tra tenant per la sincronizzazione delle identità.
Pertanto, prima della creazione di un'organizzazione multi-tenant, è consigliabile usare il modello di impostazioni di accesso tra tenant per la sincronizzazione delle identità, con
userSyncInboundimpostato su true.Analogamente, prima della creazione di un'organizzazione multi-tenant, l'utilizzo del modello di impostazioni di accesso tra tenant per le configurazioni dei partner è consigliato con
automaticUserConsentSettings.inboundAllowede conautomaticUserConsentSettings.outboundAllowedimpostato su true.
Richieste di partecipazione
Esistono diversi motivi per cui una richiesta di partecipazione può avere esito negativo. Se l'interfaccia di amministrazione di Microsoft 365 non indica perché una richiesta di partecipazione ha esito negativo, provare a esaminare la risposta alla richiesta usando le API Microsoft Graph o Microsoft Graph Explorer.
Se è stata seguita la sequenza corretta per creare un'organizzazione multi-tenant e aggiungere un tenant all'organizzazione multi-tenant e la richiesta di partecipazione del tenant continua ad avere esito negativo, inviare una richiesta di supporto nell'interfaccia di amministrazione di Microsoft Entra o Microsoft 365.
Opzioni per effettuare il provisioning di utenti membri esterni
- Se si usa già la sincronizzazione tra tenant di Microsoft Entra per varie topologie multi-hub multi-spoke, non è necessario usare la funzionalità di condivisione utenti dell'interfaccia di amministrazione di Microsoft 365. È invece possibile continuare a usare i processi di sincronizzazione tra tenant esistenti di Microsoft Entra.
- Se in precedenza non è stata usata la sincronizzazione tra tenant di Microsoft Entra e si intende stabilire una topologia di set di utenti che collabora in cui lo stesso set di utenti viene condiviso a tutti i tenant dell'organizzazione multi-tenant, è possibile usare la funzionalità di condivisione utenti dell'interfaccia di amministrazione di Microsoft 365.
- Se si dispone già di un motore di provisioning utenti su larga scala, è possibile usare i vantaggi della nuova organizzazione multi-tenant continuando a usare il proprio motore per gestire il ciclo di vita dei dipendenti.
- Se è necessario creare singoli utenti membri esterni in un tenant host anziché crearli tramite un motore di provisioning da un tenant di origine, vedere Come creare, invitare ed eliminare utenti.
Sincronizzazione tra tenant nell'interfaccia di amministrazione di Microsoft Entra
Per le organizzazioni aziendali con configurazioni di identità complesse, è consigliabile usare la sincronizzazione tra tenant nell'interfaccia di amministrazione di Microsoft Entra.
Per impostazione predefinita, viene effettuato il provisioning dei nuovi utenti B2B come membri B2B, mentre gli utenti guest B2B esistenti rimangono tali. È possibile scegliere di convertire gli utenti guest B2B in membri B2B impostando Applica questo mapping su Sempre.
Per impostazione predefinita,
showInAddressListviene sincronizzato in un tenant di destinazione come true. È possibile modificare il mapping di questo attributo in base alle esigenze dell'organizzazione.Il provisioning su larga scala degli utenti B2B potrebbe entrare in conflitto con gli oggetti Contatto. La gestione o la conversione di oggetti Contatto non è attualmente supportata.
L'uso della sincronizzazione tra tenant per identità ibride convertite in utenti B2B non è attualmente supportato.
Sincronizzare utenti nell'interfaccia di amministrazione di Microsoft 365
Nelle organizzazioni multi-tenant più piccole dimensioni, è consigliabile usare l'interfaccia di amministrazione di Microsoft 365 per sincronizzare gli utenti in più tenant dell'organizzazione multi-tenant.
Per condividere gli utenti, l'interfaccia di amministrazione di Microsoft 365 crea più processi di sincronizzazione tra tenant, uno per ogni tenant di destinazione, mantenendo lo stesso ambito utente in tutti i processi.
Dopo che l'interfaccia di amministrazione di Microsoft 365 ha creato i processi di sincronizzazione tra tenant, è possibile modificare i mapping degli attributi nell'interfaccia di amministrazione di Microsoft Entra in base alle esigenze delle organizzazioni.
Guest B2B o membri B2B gestiti nel tenant host
La promozione di utenti guest B2B a membri B2B rappresenta una decisione strategica da parte delle organizzazioni multi-tenant per considerare i membri B2B come utenti attendibili dell'organizzazione. Esaminare le autorizzazioni predefinite per i membri B2B.
Quando l'organizzazione implementa le funzionalità delle organizzazioni multi-tenant, come il provisioning di utenti B2B nei tenant dell'organizzazione multi-tenant, potrebbe essere necessario effettuare il provisioning di alcuni utenti come guest B2B e di altri come membri B2B.
Per promuovere utenti guest B2B a membri B2B, un amministratore del tenant host può modificare il parametro userType, presupponendo che la proprietà non venga sincronizzata in modo ricorrente.
Guest B2B o membri B2B gestiti tramite la sincronizzazione tra tenant
Se la sincronizzazione tra tenant viene usata per sincronizzare periodicamente la proprietà userType, un amministratore tenant di origine può modificare i mapping degli attributi.
È possibile stabilire due configurazioni di sincronizzazione tra tenant di Microsoft Entra nel tenant di origine, una con mapping di attributi userType configurati per il guest B2B e un'altra con mapping di attributi userType configurati per il membro B2B e in ognuna di esse l'opzione Applica questo mapping deve essere impostata su Sempre.
Spostando un utente da un ambito della configurazione a un altro, è possibile controllare facilmente chi sarà un guest B2B o un membro B2B nel tenant di destinazione. Usando questo approccio, è anche possibile disabilitare azioni oggetto di destinazione per l'eliminazione.
Elenco indirizzi globale gestito nel tenant host
La proprietà showInAddressList di un utente B2B può essere aggiornata con privilegi di amministratore utenti in Graph Explorer o Microsoft Graph PowerShell.
L'aggiornamento della proprietà showInAddressList nell'oggetto utente aggiornerà anche l'impostazione per nascondere i destinatari dagli elenchi di indirizzi in Microsoft Exchange Online.
L'impostazione per nascondere i destinatari dagli elenchi di indirizzi, se configurata per essere diversa dalla proprietà showInAddressList, ha la precedenza quando si tratta di determinare la visibilità dell'elenco di indirizzi.
Se l'impostazione per nascondere i destinatari non è configurabile nell'interfaccia di amministrazione di Exchange a causa del tipo di utente Guest, può essere comunque configurata in PowerShell usando la proprietà HiddenFromAddressListsEnabled.
Per altre informazioni, vedere Aggiungere guest all'elenco indirizzi globale.
Elenco indirizzi globale gestito tramite la sincronizzazione tra tenant
- Se la sincronizzazione tra tenant viene usata per sincronizzare la proprietà, è possibile usare showInAddressList in un tenant di origine per controllare la visibilità dell'elenco di indirizzi in un tenant di destinazione.
- D'altra parte, non è possibile usare l'impostazione per nascondere il destinatario dagli elenchi di indirizzi nel tenant di origine per modificare la visibilità dell'elenco indirizzi in un tenant di destinazione.
Le app di Microsoft
Nelle interfacce utente di SharePoint OneDrive, quando si condivide un file con Persone in Fabrikam, le interfacce utente correnti possono sembrare fuorvianti, poiché i membri B2B di Fabrikam appartenenti a Contoso rientrano nelle Persone in Fabrikam.
Nell'interfaccia di amministrazione di Microsoft 365 e in Microsoft Forms, Microsoft OneNote e Microsoft Planner, gli utenti membri B2B potrebbero non essere supportati.
In Microsoft Power BI, il supporto dei membri B2B è attualmente in fase di anteprima. Gli utenti guest B2B possono continuare ad accedere ai dashboard di Power BI.
In Microsoft Power Apps, Microsoft Dynamics 365 e nei carichi di lavoro correlati, gli utenti membri B2B potrebbero avere funzionalità limitate. Per altre informazioni, vedere Invitare utenti con Collaborazione B2B di Microsoft Entra.
In Microsoft Purview, le funzionalità delle organizzazioni multi-tenant non sono ancora supportate. Altre informazioni sulle funzionalità esistenti per utenti esterni e contenuto etichettato e sulla collaborazione esterna usando etichette di riservatezza.
In Microsoft Intune, le funzionalità delle organizzazioni multi-tenant non sono ancora supportate. Altre informazioni sulle funzionalità esistenti per considerare attendibili attestazioni di dispositivi conformi provenienti da organizzazioni esterne.
Utenti B2B o membri B2B
Nell'ambito di un'organizzazione multi-tenant, non è possibile reimpostare lo stato di riscatto per un utente B2B già riscattato.
Il provisioning su larga scala degli utenti B2B potrebbe entrare in conflitto con gli oggetti Contatto. La gestione o la conversione di oggetti Contatto non è attualmente supportata.
L'uso della sincronizzazione tra tenant per identità ibride convertite in utenti B2B non è stato ancora testato nei conflitti di origine dell'autorità e non è supportato.
Gli utenti connessi sono in grado di leggere gli attributi di base di un'organizzazione multi-tenant e dei tenant membri dell'organizzazione multi-tenant, senza essere assegnati ruoli, ad esempio Ruolo con autorizzazioni di lettura per la sicurezza o con autorizzazioni di lettura globali.
Deprovisioning della sincronizzazione tra tenant
Per impostazione predefinita, quando un ambito di provisioning viene ridotto mentre è in esecuzione un processo di sincronizzazione, gli utenti vengono esclusi dall'ambito ed eliminati temporaneamente, a condizione che l'opzione Azioni oggetto di destinazione per l'eliminazione non sia disabilitata. Per altre informazioni, vedere Deprovisioning e Definire gli utenti inclusi nell'ambito per il provisioning.
Attualmente, SkipOutOfScopeDeletions funziona per i processi di provisioning delle applicazioni, ma non per la sincronizzazione tra tenant. Per evitare l'eliminazione temporanea degli utenti esclusi dall'ambito della sincronizzazione tra tenant, disabilitare l'opzione Azioni oggetto di destinazione per l'eliminazione.