Provisioning delle identità di un'organizzazione multi-tenant per Microsoft 365
Le funzionalità dell'organizzazione multi-tenant sono progettate per le organizzazioni che possiedono più tenant di Microsoft Entra e vogliono semplificare la collaborazione tra tenant all'interno dell'organizzazione in Microsoft 365. Si basa sul presupposto del provisioning reciproco degli utenti membri B2B tra i tenant dell'organizzazione multi-tenant.
Ricerca utenti in Microsoft 365
Ad esclusione dell'Accesso esterno a Teams e dei Canali condivisi di Teams, la ricerca utenti di Microsoft 365 è solitamente limitata al tenant locale. Nelle organizzazioni multi-tenant con maggiore necessità di collaborazione tra colleghi multi-tenant, è consigliabile effettuare il provisioning reciproco degli utenti dai tenant home ai tenant delle risorse dei colleghi collaboratori.
Nuovo Microsoft Teams
La nuova esperienza di Microsoft Teams migliora la ricerca utenti di Microsoft 365 e l'accesso esterno a Teams per un'esperienza di collaborazione omogenea. Per migliorare l'esperienza, è necessaria la rappresentazione dell'organizzazione multi-tenant in Microsoft Entra ID e la collaborazione degli utenti deve essere fornita come membri B2B. Per altre informazioni, vedere Annuncio di una collaborazione più semplice in Microsoft Teams per organizzazioni multi-tenant.
Collaborazione di set di utenti
La collaborazione in Microsoft 365 si basa sul presupposto del provisioning reciproco degli utenti membri B2B tra i tenant dell'organizzazione multi-tenant.
Ad esempio, Annie del tenant A, Bob e Barbara del tenant B e Charlie del tenant C vogliono collaborare. Concettualmente, questi quattro utenti rappresentano un set di utenti che collaborano di quattro identità interne in tre tenant.
Affinché la ricerca degli utenti abbia esito positivo, mentre l'ambito è limitato al tenant locale, l'intero set di utenti che collaborano deve essere rappresentato all'interno dell'ambito di ogni tenant dell'organizzazione multi-tenant A, B e C, sotto forma di identità interne o B2B.
A seconda delle esigenze dell'organizzazione, il set di utenti che collaborano può contenere un subset di dipendenti che collaborano o tutti i dipendenti.
Condivisione degli utenti
Uno dei modi più semplici per ottenere un set di utenti che collaborano in ogni tenant dell'organizzazione multi-tenant consiste nel definire il contributo dell'utente e sincronizzarlo in uscita. Gli amministratori tenant alla fine della ricezione devono accettare gli utenti condivisi in ingresso.
- Amministratore A contribuisce o condivide Annie
- Amministratore B contribuisce o condivide Bob e Barbara
- Amministratore C contribuisce o condivide Charles
L'interfaccia di amministrazione di Microsoft 365 facilita l'orchestrazione di un set di utenti di questo tipo tra tenant di organizzazioni multi-tenant. Per altre informazioni, vedere Sincronizzare gli utenti in organizzazioni multi-tenant in Microsoft 365
In alternativa, è possibile usare la configurazione a livello di coppia della sincronizzazione tra tenant in ingresso e in uscita per orchestrare tali set di utenti di confronto tra tenant multi-tenant. Per altre informazioni, vedere Panoramica della sincronizzazione tra tenant.
Utenti membri B2B
Per garantire un'esperienza di collaborazione trasparente nell'organizzazione multi-tenant in microsoft Teams, viene effettuato il provisioning delle identità B2B come utenti B2B di userType Membro.
| Metodo di sincronizzazione utente | Proprietà userType predefinita |
|---|---|
| Sincronizzare gli utenti in organizzazioni multi-tenant in Microsoft 365 | Member Rimane Guest, se l'identità B2B esiste già come Guest |
| Sincronizzazione tra tenant in Microsoft Entra ID | Member Rimane Guest, se l'identità B2B esiste già come Guest |
Dal punto di vista della sicurezza, è consigliabile controllare le autorizzazioni predefinite concesse agli utenti membri B2B. Per altre informazioni, vedere Confrontare le autorizzazioni predefinite di membri e guest.
Per modificare userType da Guest a Member (o viceversa), un amministratore tenant di origine può modificare i mapping degli attributi oppure un amministratore tenant di destinazione può modificare userType se la proprietà non viene sincronizzata in modo ricorrente.
Annullamento della condivisione degli utenti
Per annullare la condivisione degli utenti, effettuare il deprovisioning degli utenti usando le funzionalità di deprovisioning utente disponibili nella sincronizzazione tra tenant di Microsoft Entra. Per impostazione predefinita, quando un ambito di provisioning viene ridotto mentre è in esecuzione un processo di sincronizzazione, gli utenti vengono esclusi dall'ambito ed eliminati temporaneamente, a condizione che l'opzione Azioni oggetto di destinazione per l'eliminazione non sia disabilitata. Per altre informazioni, vedere Deprovisioning e Definire gli utenti inclusi nell'ambito per il provisioning.