O que é a sincronização entre locatários?

A sincronização entre locatários automatiza a criação, a atualização e a exclusão de usuários da colaboração B2B do Microsoft Entra entre os locatários de uma organização. Permite que os usuários acessem aplicativos e colaborem entre locatários, permitindo que a organização evolua.

Estas são as principais metas da sincronização entre locatários:

  • Colaboração perfeita para uma organização multilocatário
  • Automatizar o gerenciamento do ciclo de vida dos usuários de colaboração B2B em uma organização multilocatário
  • Remover automaticamente as contas B2B quando um usuário sair da organização

Por que usar a sincronização entre locatários?

A sincronização entre locatários automatiza a criação, a atualização e a exclusão de usuários da colaboração B2B. Os usuários criados com sincronização entre locatários podem acessar aplicativos da Microsoft (como Teams e SharePoint) e outros aplicativos (como ServiceNow, Adobe e muito mais), independentemente do locatário com o qual os aplicativos são integrados. Esses usuários continuam se beneficiando dos recursos de segurança no Microsoft Entra ID, como o Acesso Condicional do Microsoft Entra e as configurações de acesso entre locatários, e podem ser controlados por meio de recursos como o gerenciamento de direitos do Microsoft Entra.

O diagrama a seguir mostra como você pode usar a sincronização entre locatários para permitir que os usuários acessem aplicativos entre locatários em sua organização.

Diagrama que mostra a sincronização de usuários para vários locatários.

Quem deve usar?

  • Organizações que possuem vários locatários do Microsoft Entra e desejam simplificar o acesso a aplicativos entre locatários dentro da organização.
  • No momento, a sincronização entre locatários não é adequada para uso entre limites organizacionais.

Benefícios

Com a sincronização entre locatários, você pode:

  • Crie automaticamente usuários de colaboração B2B em sua organização e forneça a eles o acesso aos aplicativos de que precisam, sem criar e manter scripts personalizados.
  • Aprimorar a experiência do usuário e garantir que eles possam acessar os recursos sem a necessidade de receber um email de convite e sem precisar aceitar uma solicitação de consentimento em cada locatário.
  • Atualizar automaticamente os usuários e removê-los quando saírem da organização.

Teams e Microsoft 365

Os usuários criados pela sincronização entre locatários terão a mesma experiência ao acessar o Microsoft Teams e outros serviços do Microsoft 365 que os usuários de colaboração B2B criados por meio de um convite manual. Se sua organização usa canais compartilhados, consulte o documento problemas conhecidos para obter mais detalhes. Com o tempo, o userType member será usado pelos vários serviços do Microsoft 365 para fornecer experiências diferenciadas do usuário final para usuários em uma organização com vários locatários.

Propriedades

Ao configurar a sincronização entre locatários, você define uma relação de confiança entre um locatário de origem e um de destino. A sincronização entre locatários tem as seguintes propriedades:

  • Baseada no mecanismo de provisionamento do Microsoft Entra.
  • É um processo de push do locatário de origem, não um processo de pull do locatário de destino.
  • Oferece suporte ao envio por push apenas dos membros internos do locatário de origem. Não é compatível com a sincronização de usuários externos do locatário de origem.
  • Os usuários no escopo para sincronização são configurados no locatário de origem.
  • O mapeamento de atributos é configurado no locatário de origem.
  • Os atributos de extensão são compatíveis.
  • Administradores de locatários de destino podem interromper uma sincronização a qualquer momento.

A tabela abaixo mostra as partes da sincronização entre locatários e em qual locatário elas estão configuradas.

Locatário Entre locatários
configurações de acesso
Resgate automático Configurações da sincronização
configuração
Usuários no escopo
Ícone do locatário de origem.
Locatário de origem
✔️ ✔️ ✔️
Ícone do locatário de destino.
Locatário de destino
✔️ ✔️

Configuração da sincronização entre locatários

A configuração da sincronização entre locatários é uma configuração organizacional somente de entrada para permitir que o administrador de um locatário de origem sincronize os usuários em um locatário de destino. Essa configuração é uma caixa de seleção com o nome Permitir que os usuários sincronizem com esse locatário especificada no locatário de destino. Ela não afeta convites B2B criados por meio de outros processos, como convite manual ou gerenciamento de direitos do Microsoft Entra.

Captura de tela que mostra a guia Sincronização entre locatários, com a caixa de seleção Permitir sincronização de usuários para este locatário.

Para definir essa configuração usando o Microsoft Graph, consulte a API Atualizar crossTenantIdentitySyncPolicyPartner. Para obter mais informações, consulte Configurar a sincronização entre locatários.

Configuração de resgate automático

A configuração de resgate automático é uma configuração de confiança organizacional de entrada e de saída para resgatar automaticamente convites para que os usuários não precisem aceitar o prompt de consentimento na primeira vez que acessarem o locatário de recurso/destino. Essa configuração é uma caixa de seleção com o seguinte nome:

  • Resgatar convites automaticamente com o locatário<locatário>

Captura de tela que mostra a caixa de seleção do Resgate automático de entrada.

Comparar configurações para cenários diferentes

A configuração de resgate automático se aplica à sincronização entre locatários, à colaboração B2B e à conexão direta de B2B nas seguintes situações:

  • Quando os usuários são criados em um locatário de destino usando a sincronização entre locatários.
  • Quando os usuários são adicionados a um locatário de recurso usando a colaboração B2B.
  • Quando os usuários acessam recursos em um locatário de recurso usando a conexão direta de B2B.

A tabela abaixo mostra como essa configuração se compara quando habilitada para esses cenários:

Item Sincronização entre locatários Colaboração B2B Conexão direta B2B
Configuração de resgate automático Obrigatório Opcional Opcional
Os usuários recebem um email de convite de colaboração B2B Não Não N/D
Os usuários precisam aceitar um prompt de consentimento Não Não Não
Os usuários recebem um email de notificação da colaboração B2B Não Sim N/D

Essa configuração não afeta as experiências de consentimento do aplicativo. Para obter mais informações, confira Experiência de consentimento para aplicativos no Microsoft Entra ID. Essa configuração não é compatível nas organizações em diferentes ambientes de nuvem da Microsoft, como Azure comercial e Azure Governamental.

A configuração de resgate automático suprimirá a solicitação de consentimento e o email de convite apenas se o locatário de origem/inicial (saída) e o locatário de recurso/destino (entrada) marcarem essa configuração.

Diagrama que mostra a configuração de resgate automático para saída e entrada.

A tabela a seguir mostra o comportamento da solicitação de consentimento para usuários do locatário de origem quando a configuração de resgate automático estiver marcada para diferentes combinações de configurações de acesso entre locatários.

Locatário de origem/inicial Locatário de recurso/destino Comportamento do prompt de consentimento
para usuários do locatário de origem
Saída Entrada
Ícone de marca de seleção. Ícone de marca de seleção. Suprimido
Ícone de marca de seleção. Ícone de marca de seleção desmarcada. Não suprimido
Ícone de marca de seleção desmarcada. Ícone de marca de seleção. Não suprimido
Ícone de marca de seleção desmarcada. Ícone de marca de seleção desmarcada. Não suprimido
Entrada Saída
Ícone de marca de seleção. Ícone de marca de seleção. Não suprimido
Ícone de marca de seleção. Ícone de marca de seleção desmarcada. Não suprimido
Ícone de marca de seleção desmarcada. Ícone de marca de seleção. Não suprimido
Ícone de marca de seleção desmarcada. Ícone de marca de seleção desmarcada. Não suprimido

Para definir essa configuração usando o Microsoft Graph, consulte a API Update crossTenantAccessPolicyConfigurationPartner. Para obter mais informações, consulte Configurar a sincronização entre locatários.

Como os usuários sabem a quais locatários pertencem?

Para a sincronização entre locatários, os usuários não recebem um email nem precisam aceitar uma solicitação de consentimento. Se os usuários quiserem ver a quais locatários pertencem, eles poderão abrir a página Minha Conta e selecionar Organizações. No Centro de administração do Microsoft Entra, os usuários podem abrir as respectivas Configurações do portal, exibir os Diretórios + assinaturas e alternar diretórios.

Para obter mais informações, incluindo informações sobre privacidade, consulte Sair de uma organização como um usuário externo.

Introdução

Aqui, temos as etapas básicas para começar a usar a sincronização entre locatários.

Etapa 1: definir como estruturar os locatários em sua organização

A sincronização entre locatários fornece uma solução flexível para habilitar a colaboração, mas cada organização é diferente. Por exemplo, você pode ter um locatário central, locatários satélites ou uma espécie de malha de locatários. A sincronização entre locatários é compatível com qualquer uma dessas topologias. Para obter mais informações, consulte Topologias da sincronização entre locatários.

Diagrama que mostra diferentes topologias de locatário.

Etapa 2: habilitar a sincronização entre locatários nos locatários de destino

No locatário de destino em que os usuários são criados, navegue até a página Configurações de acesso entre locatários. Aqui, você habilita a sincronização entre locatários e as configurações de resgate automático B2B selecionando as respectivas caixas de seleção. Para obter mais informações, consulte Configurar a sincronização entre locatários.

Diagrama que mostra a sincronização entre locatários habilitada no locatário de destino.

Etapa 3: habilitar a sincronização entre locatários nos locatários de origem

Em qualquer locatário de origem, navegue até a página Configurações de acesso entre locatários e habilite o recurso de resgate automático B2B. Em seguida, use a página Sincronização entre locatários para configurar um trabalho de sincronização entre locatários e especifique:

  • Quais usuários deseja sincronizar
  • Quais atributos deseja incluir
  • Todas as transformações

Para quem já usou o Microsoft Entra ID para provisionar identidades em um aplicativo SaaS, essa experiência será conhecido. Após configurar a sincronização, você pode começar a testar com alguns usuários e verificar se eles foram criados com todos os atributos necessários. Quando o teste for concluído, você poderá adicionar rapidamente mais usuários para sincronizar e distribuir em toda a organização. Para obter mais informações, consulte Configurar a sincronização entre locatários.

Diagrama que mostra um trabalho de sincronização entre locatários configurado no locatário de origem.

Requisitos de licença

No locatário de origem: o uso desse recurso exige as licenças P1 do Microsoft Entra ID. Cada usuário que é sincronizado com a sincronização entre locatários precisa ter uma licença P1 no locatário de origem/inicial. Para encontrar a licença certa para seus requisitos, confira Comparar os recursos do Microsoft Entra ID em disponibilidade geral.

No locatário de destino: a sincronização entre locatários depende do modelo de cobrança da ID externa do Microsoft Entra. Para entender o modelo de licenciamento de identidades externas, consulte Modelo de cobrança MAU para a ID externa do Microsoft Entra. Você também precisará de pelo menos uma licença Microsoft Entra ID P1 no locatário de destino para habilitar o resgate automático.

Perguntas frequentes

Nuvens

Em quais nuvens a sincronização entre locatários pode ser usada?

  • A sincronização entre locatários não é compatível com a nuvem comercial e com o Azure Governamental.
  • A sincronização entre locatários não é compatível com o Microsoft Azure operado pela nuvem da 21Vianet.
  • A sincronização é compatível somente entre dois locatários na mesma nuvem.
  • Atualmente, não há suporte para a sincronização entre nuvens (por exemplo, da nuvem pública para o Azure Governamental).

Usuários B2B existentes

A sincronização entre locatários gerenciará os usuários B2B existentes?

  • Sim. A sincronização entre locatários usa um atributo interno chamado alternativeSecurityIdentifier para corresponder exclusivamente a um usuário interno no locatário de origem com um usuário externo/B2B no locatário de destino. A sincronização entre locatários pode atualizar os usuários B2B existentes, garantindo que cada usuário tenha apenas uma conta.
  • A sincronização entre locatários não pode corresponder a um usuário interno no locatário de origem com um usuário interno no locatário de destino (tanto do tipo membro como tipo convidado).

Frequência de sincronização

Com que frequência a sincronização entre locatários é executada?

  • No momento, o intervalo de sincronização é fixo e tem início em intervalos de 40 minutos. A duração da sincronização varia conforme o número de usuários no escopo. O ciclo de sincronização inicial provavelmente levará significativamente mais tempo do que os ciclos de sincronização incrementais posteriores.

Escopo

Como controlar o que é sincronizado com o locatário de destino?

Se um usuário for removido do escopo de sincronização em um locatário de origem, a sincronização entre locatários o excluirá temporariamente no destino?

  • Sim. Se um usuário for removido do escopo de sincronização em um locatário de origem, a sincronização entre locatários o excluirá temporariamente no locatário de destino.

Tipos de objeto

Quais tipos de objeto podem ser sincronizados?

  • Usuários do Microsoft Entra podem ser sincronizados entre locatários. (Atualmente, não há suporte para grupos, dispositivos ou contatos).

Quais tipos de usuário podem ser sincronizados?

  • Membros internos podem ser sincronizados nos locatários de origem. Convidados internos não podem ser sincronizados nos locatários de origem.
  • Os usuários podem ser sincronizados para locatários de destino como membros externos (padrão) ou convidados externos.
  • Para obter mais informações sobre as definições de UserType, confira Propriedades de um usuário da colaboração B2B do Microsoft Entra.

Tenho usuários de colaboração B2B existentes. O que acontecerá com eles?

  • A sincronização entre locatários fará a correspondência do usuário e as atualizações necessárias nele, como atualizar o nome de exibição. Por padrão, o UserType não será atualizado de convidado para membro, mas você pode configurar isso nos mapeamentos de atributos.

Atributos

Quais atributos de usuário podem ser sincronizados?

  • A sincronização entre locatários sincronizará atributos comumente usados no objeto de usuário no Microsoft Entra ID, incluindo (mas não se limitando a) displayName, userPrincipalName e atributos de extensão do diretório.
  • A sincronização entre locatários é compatível com o provisionamento do atributo de gerente na nuvem comercial. A sincronização do gerenciador ainda não tem suporte na nuvem do governo dos EUA. O usuário e seu gerente devem estar no escopo da sincronização entre locatários para provisionar o atributo gerenciador.
    • Para configurações da sincronização entre locatários criadas antes de janeiro de 2024 com os mapeamentos de esquema/atributo padrão:
      • O atributo de gerente será adicionado automaticamente aos mapeamentos de atributos.
      • As atualizações do gerente serão aplicadas no ciclo incremental para usuários que estiverem passando por alterações (por exemplo, mudança de gerente). O mecanismo de sincronização não atualiza automaticamente todos os usuários existentes provisionados anteriormente.
      • Para atualizar o gerente nos usuários existentes que estiverem no escopo do provisionamento, você poderá usar o provisionamento sob demanda para usuários específicos ou fazer uma reinicialização para provisionar o gerente para todos os usuários.
    • Para configurações de sincronização entre locatários criadas antes de janeiro de 2024 com mapeamentos de esquema/atributo personalizados (por exemplo, você adicionou um atributo aos mapeamentos ou alterou os mapeamentos padrão):
      • Você precisa adicionar o atributo de gerente aos mapeamentos de atributos. Isso acionará uma reinicialização e atualizará todos os usuários que estiverem no escopo do provisionamento. Esse deve ser um mapeamento direto do atributo de gerente no locatário de origem para o gerente no locatário de destino.
    • Se o gerente de um usuário for removido no locatário de origem e nenhum novo gerente for atribuído no locatário de origem, o atributo de gerente não será atualizado no locatário de destino.

Quais atributos não podem ser sincronizados?

  • Atributos que incluem (mas não se limitam a) fotos, atributos de segurança personalizados e atributos de usuário fora do diretório não podem ser sincronizados pela sincronização entre locatários.

Posso controlar onde os atributos de usuário são gerenciados/obtidos?

  • A sincronização entre locatários não oferece controle direto sobre a fonte de autoridade. O usuário e seus atributos são considerados autoritativos no locatário de origem. Há fontes paralelas de fluxos de trabalho de autoridade que evoluirão a fonte dos controles de autoridade para os usuários até o nível do atributo, e um objeto de usuário na origem pode, em última análise, refletir várias fontes subjacentes. Para o processo de locatário para locatário, isso ainda é tratado como se os valores do locatário de origem fossem autoritativos para o processo de sincronização (mesmo que as partes se originem em outro lugar) no locatário de destino. Atualmente, não há suporte para reverter a fonte de autoridade do processo de sincronização.
  • A sincronização entre locatários é compatível apenas com a fonte de autoridade no nível do objeto. Isso significa que todos os atributos de um usuário devem vir da mesma origem, incluindo as credenciais. Não é possível reverter a origem da autoridade nem a direção da federação de um objeto sincronizado.

O que acontecerá se os atributos de um usuário sincronizado forem alterados no locatário de destino?

  • A sincronização entre locatários não consulta alterações no destino. Se nenhuma alteração for feita no usuário sincronizado no locatário de origem, as alterações ao atributo do usuário, feitas no locatário de destino, persistirão. No entanto, se forem feitas alterações no usuário no locatário de origem, no próximo ciclo de sincronização o usuário no locatário de destino será atualizado para corresponder ao usuário no locatário de origem.

O locatário de destino pode bloquear manualmente a entrada de um usuário do locatário de origem/inicial específico que esteja sincronizado?

  • Se nenhuma alteração for feita no usuário sincronizado no locatário de origem, a configuração do bloqueio de entrada no locatário de destino persistirá. Se for detectada uma alteração no usuário no locatário de origem, a sincronização entre locatários habilitará novamente esse usuário cuja entrada no locatário de destino foi bloqueada.

Estrutura

Posso sincronizar uma malha entre vários locatários?

  • A sincronização entre locatários é configurada como uma sincronização ponto a ponto de direção única, o que significa que a sincronização é configurada entre um locatário de origem e um de destino. Várias instâncias da sincronização entre locatários podem ser configuradas para sincronizar de uma só origem para vários destinos e de várias origens para um só destino. No entanto, apenas uma instância de sincronização pode existir entre uma origem e um destino.
  • A sincronização entre locatários sincroniza apenas usuários internos do locatário de origem/fonte, garantindo que você não acabe com um loop no qual um usuário é gravado de volta no mesmo locatário.
  • Várias topologias são compatíveis. Para obter mais informações, consulte Topologias da sincronização entre locatários.

Posso usar a sincronização entre locatários entre diferentes organizações (fora da minha organização multilocatária)?

  • Por motivos de privacidade, a sincronização entre locatários destina-se ao uso em uma organização. Recomendamos usar o gerenciamento de direitos para convidar usuários de colaboração B2B entre organizações.

A sincronização entre locatários pode ser usada para migrar usuários de um locatário para outro?

  • Não. A sincronização entre locatários não é uma ferramenta de migração, porque o locatário de origem é necessário para que os usuários sincronizados se autentiquem. Além disso, migrações de locatário exigiriam a migração de dados do usuário, como o SharePoint e o OneDrive.

Colaboração B2B

A sincronização entre locatários resolve alguma limitação da colaboração B2B atual?

  • Como a sincronização entre locatários é baseada na tecnologia de colaboração B2B existente, as limitações existentes se aplicam. Os exemplos incluem (sem limitação):

    Aplicativo ou serviço Limitações
    Power BI - O suporte para Membro UserType no Power BI está atualmente em versão prévia. Para obter mais informações, consulte Distribuir o conteúdo do Power BI para usuários convidados externos com o Microsoft Entra B2B.
    Área de Trabalho Virtual do Azure – Não há suporte para membro externo e convidado externo na Área de Trabalho Virtual do Azure.

Conexão direta B2B

Como a sincronização entre locatários está relacionada à conexão direta de B2B?

  • A conexão direta de B2B é a tecnologia de identidade subjacente necessária para canais compartilhados do Teams Connect.
  • Recomendamos a colaboração B2B para todos os outros cenários de acesso a aplicativos entre locatários, incluindo aplicativos Microsoft e não Microsoft.
  • A conexão direta de B2B e a sincronização entre locatários foram projetadas para coexistir, e você pode habilitá-las para ampla cobertura de cenários entre locatários.

Estamos tentando determinar até que ponto precisaremos utilizar a sincronização entre locatários em nossa organização multilocatário. Vocês planejam estender o suporte para conexão direta de B2B além do Teams Connect?

  • Não há nenhum plano para estender o suporte para conexão direta de B2B além dos canais compartilhados do Teams Connect.

Microsoft 365

A sincronização entre locatários aprimora a experiência do usuário de acesso ao aplicativo Microsoft 365 entre locatários?

  • A sincronização entre locatários utiliza um recurso que aprimora a experiência do usuário suprimindo o prompt de consentimento de B2B na primeira vez e o processo de resgate em cada locatário.
  • Usuários sincronizados terão as mesmas experiências do Microsoft 365 entre locatários disponíveis para qualquer outro usuário de colaboração B2B.

A sincronização entre locatários pode habilitar cenários de pesquisa de pessoas no Microsoft 365?

  • Sim, a sincronização entre locatários pode habilitar a pesquisa de pessoas no M365. Verifique se o atributo showInAddressList está definido como True nos usuários no locatário de destino. O atributo showInAddressList é definido como true por padrão nos mapeamentos de atributo de sincronização entre locatários.
  • A sincronização entre locatários cria usuários de colaboração B2B e não cria contatos.

Teams

A sincronização entre locatários aprimora as experiências atuais do Teams?

  • Usuários sincronizados terão as mesmas experiências do Microsoft 365 entre locatários disponíveis para qualquer outro usuário de colaboração B2B.

Integração

Quais opções de federação são compatíveis com usuários no locatário de destino de volta para o locatário de origem?

  • Para cada usuário interno no locatário de origem, a sincronização entre locatários cria um usuário externo federado (comumente usado em B2B) no destino. Compatível com a sincronização de usuários internos. Isso inclui usuários internos federados para outros sistemas de identidade usando a federação de domínio (como os Serviços de Federação do Active Directory (AD FS)). Não é compatível com a sincronização de usuários externos.

A sincronização entre locatários usa o SCIM (Sistema de Gerenciamento de Usuários entre Domínios)?

Desprovisionamento

A sincronização entre locatários é compatível com o desprovisionamento de usuários?

  • Sim, quando as ações abaixo ocorrerem no locatário de origem, o usuário será excluído temporariamente no locatário de destino.

    • Excluir o usuário no locatário de origem
    • Cancelar a atribuição do usuário da configuração de sincronização entre locatários
    • Remover o usuário de um grupo atribuído à configuração de sincronização entre locatários
    • Um atributo no usuário muda de forma que não atenda mais às condições de filtro de escopo definidas na configuração de sincronização entre locatários
  • Se o usuário for impedido de entrar no locatário de origem (accountEnabled = false), ele será impedido de entrar no destino. Isso não é uma exclusão, mas uma atualização para a propriedade accountEnabled.

  • Os usuários não são excluídos temporariamente do locatário de destino neste cenário:

    1. Adicione um usuário a um grupo e atribua-o à configuração de sincronização entre locatários no locatário de origem.
    2. Provisione o usuário sob demanda ou por meio do ciclo incremental.
    3. Atualize o status habilitado da conta para false no usuário no locatário de origem.
    4. Provisione o usuário sob demanda ou por meio do ciclo incremental. O status da conta habilitada é alterado para false no locatário de destino.
    5. Remova o usuário do grupo no locatário de origem.

A sincronização entre locatários é compatível com a restauração de usuários?

  • Se o usuário no locatário de origem for restaurado, reatribuído ao aplicativo, atender à condição de escopo novamente dentro de 30 dias após a exclusão temporária, ele será restaurado no locatário de destino.
  • Administradores de TI também podem restaurar manualmente o usuário diretamente no locatário de destino.

Como posso desprovisionar todos os usuários que estão atualmente no escopo da sincronização entre locatários?

  • Cancelar a atribuição de todos os usuários ou grupos da configuração de sincronização entre locatários. Isso forçará todos os usuários que não foram atribuídos, diretamente ou por meio de associação de grupo, a serem desprovisionados em ciclos de sincronização subsequentes. Observe que o locatário de destino precisará manter a política de entrada para sincronização habilitada até que o desprovisionamento seja concluído. Se o escopo estiver definido como Sincronizar todos os usuários e grupos, você também precisará alterá-lo para Sincronizar somente usuários e grupos atribuídos. Os usuários serão automaticamente excluídos temporariamente pela sincronização entre locatários. Os usuários serão automaticamente excluídos irreversivelmente após 30 dias ou você poderá optar por excluir os usuários diretamente no locatário de destino. Você pode optar por excluir irreversivelmente os usuários diretamente no locatário de destino ou aguardar 30 dias para que eles sejam excluídos automaticamente.

Se a relação de sincronização for encerrada, os usuários externos, gerenciados anteriormente pela sincronização entre locatários, serão excluídos no locatário de destino?

  • Não. Nenhuma alteração será feita em usuários externos gerenciados anteriormente pela sincronização entre locatários se a relação for encerrada (por exemplo, se a política de sincronização entre locatários for excluída).

Próximas etapas