Che cos'è un'organizzazione multi-tenant in Microsoft Entra ID?
L'organizzazione multi-tenant è una funzionalità di Microsoft Entra ID e Microsoft 365 che consente di definire un limite per i tenant di Microsoft Entra di proprietà dell'organizzazione. Nella directory assume la forma di un gruppo di tenant che rappresenta l'organizzazione. Ogni coppia di tenant nel gruppo è governata dalle impostazioni di accesso tra tenant che è possibile usare per configurare collaborazione B2B.
Perché usare l'organizzazione multi-tenant?
Ecco gli obiettivi principali dell'organizzazione multi-tenant:
- Definire un limite per i tenant appartenenti all'organizzazione
- Collaborare tra i tenant in nuovi Microsoft Teams
- Collaborare tra i tenant in Microsoft Viva Engage
Chi dovrebbe usarlo?
Organizzazioni che possiedono più tenant di Microsoft Entra e vogliono semplificare la collaborazione tra tenant all'interno dell'organizzazione in Microsoft 365.
La funzionalità dell'organizzazione multi-tenant in Microsoft Teams si basa sul presupposto del provisioning reciproco degli utenti dei membri di collaborazione B2B nei tenant dell'organizzazione multi-tenant.
La funzionalità dell'organizzazione multi-tenant in Viva Engage si basa sul presupposto del provisioning centralizzato degli utenti membri di Collaborazione B2B in un tenant hub.
Di conseguenza, la funzionalità dell'organizzazione multi-tenant è la migliore distribuzione con l'uso di un motore di provisioning bulk per gli utenti di Collaborazione B2B, ad esempio con la sincronizzazione tra tenant.
Vantaggi
Ecco i principali vantaggi di un'organizzazione multi-tenant:
Distinguere gli utenti esterni all'organizzazione e all'esterno dell'organizzazione
In Microsoft Entra ID gli utenti esterni provenienti da un'organizzazione multi-tenant possono essere differenziati dagli utenti esterni provenienti dall'esterno dell'organizzazione multi-tenant. Questa differenziazione facilita l'applicazione di criteri diversi per gli utenti esterni all'interno dell'organizzazione e all'esterno dell'organizzazione.
Esperienza collaborativa migliorata in Microsoft Teams
Nel nuovo Microsoft Teams, gli utenti di organizzazioni multi-tenant possono aspettarsi un'esperienza collaborativa migliorata tra i tenant con chat, chiamate e notifiche di avvio delle riunioni da tutti i tenant connessi nell'organizzazione multi-tenant. Il cambio di tenant è più facile e veloce. Per altre informazioni, vedi:
Esperienza collaborativa migliorata in Viva Engage
Viva Engage per organizzazioni multi-tenant consente alle organizzazioni complesse e distribuite di comunicare come rete unificata. Da community, campagne ed eventi dell'organizzazione multi-tenant all'analisi, Viva Engage sblocca nuovi modi per consentire ai dipendenti e ai leader di connettersi, condividere e misurare la partecipazione nell'organizzazione multi-tenant. Per altre informazioni, vedi:
Chi sono gli utenti membri dell'organizzazione multi-tenant?
Quando si definisce un'organizzazione multi-tenant, gli utenti esterni (utenti di Collaborazione B2B) vengono segmentati nei modi seguenti in base alla proprietà userType:
- Membri esterni originati dall'interno di un'organizzazione multi-tenant
- Guest esterni che provengono dall'interno di un'organizzazione multi-tenant
- Membri esterni che provengono dall'esterno dell'organizzazione
- Guest esterni che provengono dall'esterno dell'organizzazione
Questa segmentazione di utenti esterni consente di distinguere meglio l'organizzazione dagli utenti esterni all'organizzazione in un'organizzazione multi-tenant.
I membri esterni che provengono dall'interno di un'organizzazione multi-tenant sono talvolta denominati utenti membri dell'organizzazione multi-tenant.
Le funzionalità di collaborazione multi-tenant in Microsoft 365 consentono di offrire un'esperienza di collaborazione trasparente attraverso i limiti del tenant quando si collabora con gli utenti membri dell'organizzazione multi-tenant.
Come funziona un'organizzazione multi-tenant?
La funzionalità dell'organizzazione multi-tenant consente di definire un limite per i tenant di Microsoft Entra di proprietà dell'organizzazione, facilitati da un flusso di invito e accettazione tra gli amministratori tenant. L'elenco seguente descrive il ciclo di vita di base di un'organizzazione multi-tenant.
Definire un'organizzazione multi-tenant
Un amministratore tenant definisce un'organizzazione multi-tenant come raggruppamento di tenant. Il raggruppamento dei tenant non è reciproco finché ogni tenant elencato non interviene per partecipare all'organizzazione multi-tenant. L'obiettivo è un accordo reciproco tra tutti i tenant elencati.
Partecipare a un'organizzazione multi-tenant
Gli amministratori tenant dei tenant elencati eseguano un'azione per partecipare all'organizzazione multi-tenant. Dopo l'aggiunta, la relazione tra organizzazioni multi-tenant è reciproca tra ogni tenant e ogni tenant che è stato aggiunto all'organizzazione multi-tenant.
Lasciare un'organizzazione multi-tenant
Gli amministratori tenant dei tenant elencati possono lasciare un'organizzazione multi-tenant in qualsiasi momento. Anche se un amministratore tenant che ha definito l'organizzazione multi-tenant può aggiungere e rimuovere tenant elencati che non controllano gli altri tenant.
Un'organizzazione multi-tenant viene stabilita come collaborazione di uguale. Ogni amministratore tenant rimane in controllo del tenant e la relativa appartenenza all'organizzazione multi-tenant.
Esempio di organizzazione multi-tenant
Il diagramma seguente illustra tre tenant A, B e C che formano un'organizzazione multi-tenant.
Tenant | Descrizione |
---|---|
A | Gli amministratori vedono un'organizzazione multi-tenant costituita da A, B, C. Vengono visualizzate anche le impostazioni di accesso tra tenant per B e C. |
G | Gli amministratori vedono un'organizzazione multi-tenant costituita da A, B, C. Vengono visualizzate anche le impostazioni di accesso tra tenant per A e C. |
A | Gli amministratori vedono un'organizzazione multi-tenant costituita da A, B, C. Vengono inoltre visualizzate le impostazioni di accesso tra tenant per A e B. |
Ruolo e stato del tenant
Per facilitare la gestione di un'organizzazione multi-tenant, qualsiasi tenant dell'organizzazione multi-tenant ha un ruolo e uno stato associati.
Ruolo tenant | Descrizione |
---|---|
Proprietario | Un tenant crea l'organizzazione multi-tenant. L'organizzazione multi-tenant che crea il tenant riceve il ruolo di proprietario. Il privilegio del tenant proprietario consiste nell'aggiungere tenant in uno stato in sospeso, nonché per rimuovere i tenant dall'organizzazione multi-tenant. Inoltre, un tenant proprietario può modificare il ruolo di altri tenant dell'organizzazione multi-tenant. |
Membro | Dopo l'aggiunta di tenant in sospeso all'organizzazione multi-tenant, i tenant in sospeso devono unirsi all'organizzazione multi-tenant per passare dallo stato in sospeso ad attivo. I tenant aggiunti iniziano in genere nel ruolo membro. Qualsiasi tenant membro ha il privilegio di lasciare l'organizzazione multi-tenant. |
Stato del tenant | Descrizione |
---|---|
In sospeso | Un tenant in sospeso deve ancora partecipare a un'organizzazione multi-tenant. Anche se elencato nella visualizzazione di un amministratore dell'organizzazione multi-tenant, un tenant in sospeso non fa ancora parte dell'organizzazione multi-tenant e, di conseguenza, è nascosto dalla visualizzazione di un utente finale di un'organizzazione multi-tenant. |
Attive | Dopo l'aggiunta di tenant in sospeso all'organizzazione multi-tenant, i tenant in sospeso devono unirsi all'organizzazione multi-tenant per passare dallo stato in sospeso ad attivo. I tenant aggiunti iniziano in genere nel ruolo membro. Qualsiasi tenant membro ha il privilegio di lasciare l'organizzazione multi-tenant. |
Impostazioni di accesso tra tenant
Gli amministratori che mantengono il controllo delle risorse sono un principio guida per la collaborazione tra organizzazioni multi-tenant. Le impostazioni di accesso tra tenant sono necessarie per ogni relazione tra tenant e tenant. Gli amministratori tenant configurano in modo esplicito, in base alle esigenze, i criteri seguenti:
Configurazioni partner di accesso tra tenant
Per altre informazioni, vedere Configurare le impostazioni di accesso tra tenant per la collaborazione B2B e il tipo di risorsa crossTenantAccessPolicyConfigurationPartner.
Sincronizzazione delle identità di accesso tra tenant
Per altre informazioni, vedere Configurare la sincronizzazione tra tenant e il tipo di risorsa crossTenantIdentitySyncPolicyPartner.
Modelli per le impostazioni di accesso tra tenant
Per semplificare la configurazione delle impostazioni di accesso tra tenant omogenee applicate ai tenant partner nell'organizzazione multi-tenant, l'amministratore di ogni tenant dell'organizzazione multi-tenant può configurare modelli facoltativi di impostazioni di accesso tra tenant dedicati all'organizzazione multi-tenant. Questi modelli possono essere usati per preconfigurare le impostazioni di accesso tra tenant applicate a qualsiasi tenant partner appena aggiunto all'organizzazione multi-tenant.
Vincoli
La funzionalità dell'organizzazione multi-tenant è stata progettata con i vincoli seguenti:
- Qualsiasi tenant specificato può creare o partecipare a una singola organizzazione multi-tenant.
- I tenant che si trovano in una relazione granulare con privilegi di amministratore delegato (GDAP) non possono creare o partecipare a un'organizzazione multi-tenant.
- Qualsiasi organizzazione multi-tenant deve avere almeno un tenant proprietario attivo.
- Ogni tenant attivo deve avere impostazioni di accesso tra tenant per tutti i tenant attivi.
- Qualsiasi tenant attivo può lasciare un'organizzazione multi-tenant rimuovendosi da essa.
- Un'organizzazione multi-tenant viene eliminata quando l'unico tenant attivo rimanente (proprietario) lascia.
Limiti
Conto risorse | Limite | Note |
---|---|---|
Numero massimo di tenant attivi, incluso il tenant proprietario | 100 | Il tenant proprietario può aggiungere più di 100 tenant in sospeso, ma non sarà in grado di partecipare all'organizzazione multi-tenant se viene superato il limite. Questo limite viene applicato al momento in cui un tenant in sospeso viene aggiunto a un'organizzazione multi-tenant. Questo limite è specifico per il numero di tenant in un'organizzazione multi-tenant. Ciò non si applica alla sincronizzazione tra tenant da sola. Per aumentare questo limite, inviare una richiesta di supporto in Microsoft Entra o interfaccia di amministrazione di Microsoft 365. |
Operazioni preliminari
Ecco i passaggi di base per iniziare a usare l'organizzazione multi-tenant.
Passaggio 1: Pianificare la distribuzione
Per altre informazioni, vedere Pianificare organizzazioni multi-tenant in Microsoft 365 e limitazioni nelle organizzazioni multi-tenant.
Passaggio 2: Creare l'organizzazione multi-tenant
Creare l'organizzazione multi-tenant usando interfaccia di amministrazione di Microsoft 365, Microsoft Graph PowerShell o l'API Microsoft Graph:
- Il primo tenant, presto proprietario, crea un'organizzazione multi-tenant.
- Il tenant proprietario aggiunge uno o più tenant di join.
Per altre informazioni sull'uso di interfaccia di amministrazione di Microsoft 365 per creare un'organizzazione multi-tenant, vedere Creare o partecipare a un'organizzazione multi-tenant usando il interfaccia di amministrazione di Microsoft 365.
Passaggio 3: Partecipare a un'organizzazione multi-tenant
Partecipare a un'organizzazione multi-tenant usando interfaccia di amministrazione di Microsoft 365 o Microsoft Graph PowerShell o l'API Microsoft Graph:
- I tenant del join inviano una richiesta di aggiunta per partecipare all'organizzazione multi-tenant del tenant proprietario.
- Per consentire l'elaborazione asincrona, attendere fino a 2 ore.
L'organizzazione multi-tenant è ora formata. Di conseguenza, tutti gli utenti membri esterni esistenti all'interno dell'organizzazione multi-tenant verranno ora riconosciuti come membri dell'organizzazione multi-tenant per una migliore collaborazione trasparente nei tenant attivi dell'organizzazione multi-tenant.
Per altre informazioni sull'uso di interfaccia di amministrazione di Microsoft 365 per partecipare all'organizzazione multi-tenant, vedere Creare o partecipare a un'organizzazione multi-tenant usando il interfaccia di amministrazione di Microsoft 365.
Passaggio 4: Effettuare il provisioning di utenti membri esterni
La collaborazione tra organizzazioni multi-tenant in Microsoft 365 si basa sul provisioning degli utenti membri di Collaborazione B2B. A seconda del caso d'uso, è possibile effettuare il provisioning degli utenti usando uno o più dei metodi seguenti:
- Sincronizzare gli utenti in organizzazioni multi-tenant in Microsoft 365
- Configurare la sincronizzazione tra tenant nell'interfaccia di amministrazione di Microsoft Entra
- Effettuare il provisioning di utenti membri esterni usando il motore di provisioning bulk preesistente
- Effettuare il provisioning di un singolo utente membro esterno usando l'interfaccia di amministrazione di Microsoft Entra
Per altre informazioni sul provisioning di utenti membri esterni, vedere Opzioni per effettuare il provisioning degli utenti membri esterni.
Passaggio 5: Completare i requisiti delle applicazioni di Microsoft 365
Le seguenti applicazioni di collaborazione dell'organizzazione multi-tenant possono avere requisiti aggiuntivi:
- Requisiti di Microsoft Teams per le organizzazioni multi-tenant
- Configurazione di Viva Engage per organizzazioni multi-tenant
Una volta completati i requisiti dell'applicazione Microsoft 365, i dipendenti potranno collaborare senza problemi all'interno dell'organizzazione di più tenant.
Requisiti di licenza
La funzionalità dell'organizzazione multi-tenant richiede licenze Microsoft Entra ID P1. Per ogni dipendente per ogni organizzazione multi-tenant è necessaria una sola licenza P1 di Microsoft Entra ID P1. Inoltre, è necessario avere almeno una licenza P1 dell'ID Entra Microsoft per tenant. Per trovare la licenza corretta per le proprie esigenze, consultare Confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.