Partecipare o uscire da un'organizzazione multi-tenant in Microsoft 365

Per partecipare a un'organizzazione multi-tenant, un amministratore globale nell'organizzazione proprietaria deve prima aggiungere l'organizzazione all'organizzazione multi-tenant. Dopo averlo fatto, è possibile partecipare all'organizzazione multi-tenant. Per poter partecipare, è necessario l'ID tenant dell'organizzazione proprietaria.

Dopo l'aggiunta, è possibile lasciare un'organizzazione multi-tenant in qualsiasi momento.

Quando si entra a far parte di un'organizzazione multi-tenant esistente, le impostazioni seguenti vengono configurate in Microsoft Entra ID:

  • Viene aggiunta una configurazione di sincronizzazione tra tenant con il nome MTO_Sync_<TenantID>, ma non sono ancora stati creati processi di sincronizzazione. Se si dispone già di una configurazione di sincronizzazione tra tenant, rimane invariata.
  • Una relazione organizzativa viene aggiunta alle impostazioni di accesso tra tenant in base ai modelli di organizzazione multi-tenant per l'accesso tra tenant e la sincronizzazione delle identità. Se esiste già una relazione organizzativa, viene usata quella esistente.
  • Il modello di organizzazione multi-tenant per la sincronizzazione delle identità è impostato per consentire agli utenti di eseguire la sincronizzazione in questo tenant.
  • Il modello di organizzazione multi-tenant per l'accesso tra tenant verrà impostato per riscattare automaticamente gli inviti utente, in ingresso e in uscita.

Quando si lascia un'organizzazione multi-tenant, le impostazioni di accesso tra tenant e le configurazioni di sincronizzazione tra tenant in Microsoft Entra ID non sono interessate.

Partecipare a un'organizzazione multi-tenant esistente

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Per partecipare a un'organizzazione multi-tenant esistente in Microsoft 365:

  1. Accedere all'interfaccia di amministrazione di Microsoft 365 come amministratore globale.
  2. Espandere Impostazioni e selezionare Impostazioni organizzazione.
  3. Nella scheda Profilo organizzazione selezionare Collaborazione multi-tenant.
  4. Seleziona Inizia.
  5. Selezionare Partecipa a un'organizzazione multi-tenant esistente.
  6. Immettere l'ID tenant dell'organizzazione proprietaria.
  7. Selezionare le caselle di controllo Consenti agli utenti di eseguire la sincronizzazione in questo tenant dagli altri tenant dell'organizzazione multi-tenant e Elimina richieste di consenso per gli utenti dell'altro tenant quando accedono ad app e risorse nel tenant .
  8. Seleziona Avanti.
  9. Scegliere Fine.

L'aggiunta del tenant all'organizzazione multi-tenant può richiedere fino a quattro ore.

Nota

Se si verifica un errore durante l'aggiunta all'organizzazione multi-tenant, riprovare dopo due ore. Se l'errore si ripete, contattare il supporto tecnico Microsoft.

Il passaggio successivo dopo l'aggiunta all'organizzazione multi-tenant consiste nel sincronizzare gli utenti con gli altri tenant. Per informazioni dettagliate, vedere Sincronizzare gli utenti in organizzazioni multi-tenant in Microsoft 365.

Lasciare un'organizzazione multi-tenant

È possibile lasciare un'organizzazione multi-tenant purché il tenant non sia l'ultimo tenant proprietario nell'organizzazione multi-tenant. È anche possibile rimuovere altri tenant di membri.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Per rimuovere un tenant da un'organizzazione multi-tenant in Microsoft 365:

  1. Accedere all'interfaccia di amministrazione di Microsoft 365 come amministratore globale.
  2. Espandere Impostazioni e selezionare Impostazioni organizzazione.
  3. Nella scheda Profilo organizzazione selezionare Collaborazione multi-tenant.
  4. Selezionare la casella di controllo accanto al tenant da rimuovere.
  5. Selezionare Rimuovi tenant.
  6. Leggere i dettagli relativi alla rimozione del tenant nel pannello laterale e quindi selezionare Rimuovi tenant.

La rimozione di un tenant non modifica le configurazioni di sincronizzazione utente o le impostazioni di accesso tra tenant in Microsoft Entra ID. È consigliabile esaminare queste impostazioni e apportare gli aggiornamenti necessari dopo la rimozione del tenant.

Rimuovere utenti sincronizzati da altri tenant

Quando si rimuove un tenant da un'organizzazione multi-tenant, potrebbe essere necessario interrompere la sincronizzazione degli utenti tra tale tenant e i tenant che rimangono nell'organizzazione multi-tenant. Questa operazione può essere eseguita aggiornando la configurazione della sincronizzazione tra tenant in Microsoft Entra ID e rimuovendo i gruppi di sicurezza sincronizzati, quindi riavviando la sincronizzazione con zero utenti.

Le configurazioni di sincronizzazione tra tenant per le organizzazioni multi-tenant create nell'interfaccia di amministrazione di Microsoft 365 sono denominate MTO_Sync_<TenantID> nella sincronizzazione tra tenant di Microsoft Entra.

Per rimuovere gli utenti sincronizzati tra loro:

  • Per il tenant che lascia l'organizzazione multi-tenant, aggiornare le configurazioni di sincronizzazione per ogni tenant rimanente nell'organizzazione multi-tenant in cui si sincronizzano gli utenti.

  • Per ogni tenant rimanente nell'organizzazione multi-tenant, aggiornare la configurazione di sincronizzazione per il tenant in uscita.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Per rimuovere gli utenti da altri tenant in un'organizzazione multi-tenant:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come amministratore globale.
  2. Espandere Identità e quindi Identità esterne.
  3. Selezionare Sincronizzazione tra tenant.
  4. Selezionare Configurazioni.
  5. Selezionare il collegamento per la configurazione da aggiornare.
  6. Selezionare Utenti e gruppi
  7. Selezionare le caselle di controllo per i gruppi di sicurezza da rimuovere e quindi selezionare Rimuovi.
  8. Selezionare Panoramica.
  9. Selezionare Riavvia provisioning.

Dopo aver rimosso gli utenti dalle directory degli altri tenant, è possibile interrompere il provisioning per le configurazioni di sincronizzazione o eliminarli.

Arrestare la sincronizzazione utente e il riscatto automatico dell'invito

Dopo aver rimosso un tenant da un'organizzazione multi-tenant, è possibile interrompere la sincronizzazione utente e il riscatto automatico dell'invito con i tenant che rimangono nell'organizzazione multi-tenant.

Per impedire la sincronizzazione utente e il riscatto automatico dell'invito:

  • Per il tenant che lascia l'organizzazione multi-tenant, aggiornare le impostazioni di accesso tra tenant per ogni tenant rimanente nell'organizzazione multi-tenant.

  • Per ogni tenant rimanente nell'organizzazione multi-tenant, aggiornare le impostazioni di accesso tra tenant per il tenant in uscita.

Importante

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Per impedire la sincronizzazione utente e il riscatto automatico dell'invito:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come amministratore globale.
  2. Espandere Identità e quindi Identità esterne.
  3. Selezionare Impostazioni di accesso tra tenant.
  4. Nella scheda Impostazioni dell'organizzazione selezionare il collegamento per le impostazioni di accesso in ingresso per il tenant che si vuole aggiornare.
    1. Nella scheda Impostazioni attendibilità deselezionare la casella di controllo Riscatta automaticamente gli inviti con l'organizzazione> tenant<.
    2. Nella scheda Sincronizzazione tra tenant deselezionare la casella di controllo Consenti la sincronizzazione degli utenti in questo tenant .
    3. Selezionare Salva.
  5. Selezionare il collegamento per le impostazioni di accesso in uscita per il tenant da aggiornare.
    1. Nella scheda Impostazioni attendibilità deselezionare la casella di controllo Riscatta automaticamente gli inviti con l'organizzazione> tenant<.
    2. Selezionare Salva.

Per altre informazioni sulle impostazioni di accesso tra tenant, vedere Configurare le impostazioni di accesso tra tenant per la collaborazione B2B.

Configurare la sincronizzazione tra tenant

Panoramica: Accesso tra tenant con l'ID esterno di Microsoft Entra

Pianificare le organizzazioni multi-tenant in Microsoft 365

Configurare un'organizzazione multi-tenant in Microsoft 365

Sincronizzare gli utenti nelle organizzazioni multi-tenant in Microsoft 365