Vanliga överväganden för hantering av flera klienter
Den här artikeln är den tredje i en serie artiklar som ger vägledning för att konfigurera och tillhandahålla användarlivscykelhantering i Microsoft Entra-miljöer med flera klientorganisationer. Följande artiklar i serien innehåller mer information enligt beskrivningen.
- Introduktionen till användarhantering med flera klientorganisationer är den första i serien med artiklar som ger vägledning för att konfigurera och tillhandahålla användarlivscykelhantering i Microsoft Entra-miljöer med flera klientorganisationer.
- Scenarier för hantering av flera klientanvändare beskriver tre scenarier där du kan använda funktioner för användarhantering med flera klientorganisationer: slutanvändarinitierade, skriptade och automatiserade.
- Vanliga lösningar för hantering av flera klienter när en enskild klientorganisation inte fungerar för ditt scenario. Den här artikeln innehåller vägledning för dessa utmaningar: automatisk hantering av användarlivscykel och resursallokering mellan klienter, delning av lokala appar mellan klientorganisationer.
Vägledningen hjälper dig att uppnå ett konsekvent tillstånd för användarlivscykelhantering. Livscykelhantering omfattar etablering, hantering och avetablering av användare mellan klienter med hjälp av tillgängliga Azure-verktyg som omfattar Microsoft Entra B2B-samarbete (B2B) och synkronisering mellan klientorganisationer.
Synkroniseringskraven är unika för organisationens specifika behov. När du utformar en lösning för att uppfylla organisationens krav hjälper följande överväganden i den här artikeln dig att identifiera dina bästa alternativ.
- Synkronisering mellan klientorganisationer
- Katalogobjekt
- Villkorsstyrd åtkomst för Microsoft Entra
- Ytterligare åtkomstkontroll
- Office 365
Synkronisering mellan klientorganisationer
Synkronisering mellan klientorganisationer kan hantera samarbets- och åtkomstutmaningar för organisationer med flera klienter. I följande tabell visas vanliga användningsfall för synkronisering. Du kan använda både synkronisering mellan klientorganisationer och kundutveckling för att uppfylla användningsfall när överväganden är relevanta för mer än ett samarbetsmönster.
| Användningsfall | Synkronisering mellan klientorganisationer | Anpassad utveckling |
|---|---|---|
| Användarlivscykelhantering |  |
|
| Fildelning och appåtkomst | |
|
| Stöd för synkronisering till/från nationella moln | |
|
| Kontrollera synkronisering från resursklientorganisation | |
|
| Synkronisera gruppobjekt | |
|
| Sync Manager-länkar | |
|
| Auktoritetskälla på attributnivå | |
|
| Microsoft Entra-tillbakaskrivning till Microsoft Windows Server Active Directory | |
Överväganden för katalogobjekt
Bjuda in en extern användare med UPN jämfört med SMTP-adress
Microsoft Entra B2B förväntar sig att en användares UserPrincipalName (UPN) är den primära SMTP-adressen (Simple Mail Transfer Protocol) (e-postadress) för att skicka inbjudningar. När användarens UPN är samma som deras primära SMTP-adress fungerar B2B som förväntat. Men om UPN skiljer sig från den externa användarens primära SMTP-adress kan det inte lösas när en användare accepterar en inbjudan. Det här problemet kan vara en utmaning om du inte känner till användarens verkliga UPN. Du måste identifiera och använda UPN när du skickar inbjudningar till B2B.
I avsnittet Microsoft Exchange Online i den här artikeln beskrivs hur du ändrar den primära STANDARD-SMTP:en för externa användare. Den här tekniken är användbar om du vill att alla e-postmeddelanden och meddelanden för en extern ska flöda till den verkliga primära SMTP-adressen i stället för UPN. Det kan vara ett krav om UPN inte kan dirigeras för e-postflödet.
Konvertera en extern användares UserType
När du använder konsolen för att manuellt skapa en inbjudan för ett externt användarkonto skapas användarobjektet med en gästanvändares typ. Med andra tekniker för att skapa inbjudningar kan du ange användartypen till något annat än ett externt gästkonto. När du till exempel använder API:et kan du konfigurera om kontot är ett externt medlemskonto eller ett externt gästkonto.
- Vissa av begränsningarna för gästfunktioner kan tas bort.
- Du kan konvertera gästkonton till medlemsanvändartyp.
Om du konverterar från en extern gästanvändare till ett externt medlemsanvändarkonto kan det uppstå problem med hur Exchange Online hanterar B2B-konton. Du kan inte e-postaktivera konton som du har bjudit in som externa medlemsanvändare. Använd följande metod för att e-postaktivera ett externt medlemskonto.
- Bjud in användare mellan organisationer som externa gästanvändarkonton.
- Visa kontona i GAL.
- Ange UserType till Medlem.
När du använder den här metoden visas kontona som MailUser-objekt i Exchange Online och i Office 365. Observera också att det finns en tidsutmaning. Kontrollera att användaren är synlig i GAL genom att kontrollera att både Microsoft Entra-användaren ShowInAddressList-egenskapen överensstämmer med egenskapen Exchange Online PowerShell HiddenFromAddressListsEnabled (som är omvända mot varandra). Avsnittet Microsoft Exchange Online i den här artikeln innehåller mer information om hur du ändrar synlighet.
Det går att konvertera en medlemsanvändare till en gästanvändare, vilket är användbart för interna användare som du vill begränsa till behörigheter på gästnivå. Interna gästanvändare är användare som inte är anställda i din organisation men som du hanterar sina användare och autentiseringsuppgifter för. Det kan göra att du kan undvika licensiering av den interna gästanvändaren.
Problem med att använda e-postkontaktobjekt i stället för externa användare eller medlemmar
Du kan representera användare från en annan klientorganisation med en traditionell GAL-synkronisering. Om du utför en GAL-synkronisering i stället för att använda Microsoft Entra B2B-samarbete skapar det ett kontaktobjekt för e-post.
- E-postkontaktobjekt och en e-postaktiverad extern medlem eller gästanvändare kan inte samexistera i samma klientorganisation med samma e-postadress samtidigt.
- Om det finns ett e-postkontaktobjekt för samma e-postadress som den inbjudna externa användaren skapas den externa användaren men är inte e-postaktiverad.
- Om den e-postaktiverade externa användaren finns med samma e-post utlöser ett försök att skapa ett e-postkontaktobjekt ett undantag när det skapas.
Viktig
Användning av e-postkontakter kräver Active Directory Services (AD DS) eller Exchange Online PowerShell. Microsoft Graph tillhandahåller inget API-anrop för att hantera kontakter.
I följande tabell visas resultatet av e-postkontaktobjekt och externa användartillstånd.
| Befintligt tillstånd | Etableringsscenario | Effektivt resultat |
|---|---|---|
| Ingen | Bjud in B2B-medlem | Icke-e-postaktiverad medlemsanvändare. Se viktig anmärkning. |
| Ingen | Bjud in B2B-gäst | E-postaktivera extern användare. |
| E-postkontaktobjekt finns | Bjud in B2B-medlem | Fel. Konflikt mellan proxyadresser. |
| E-postkontaktobjekt finns | Bjud in B2B-gäst | E-postkontakt och icke-e-postaktiverad extern användare. Se viktig anmärkning. |
| E-postaktiverad extern gästanvändare | Skapa e-postkontaktobjekt | Fel |
| E-postaktiverad extern medlemsanvändare finns | Skapa e-postkontakt | Fel |
Microsoft rekommenderar att du använder Microsoft Entra B2B-samarbete (i stället för traditionell GAL-synkronisering) för att skapa:
- Externa användare som du aktiverar för att visa i GAL.
- Externa medlemsanvändare som visas i GAL som standard men inte är e-postaktiverade.
Du kan välja att använda e-postkontaktobjektet för att visa användare i GAL. Den här metoden integrerar en GAL utan att ge andra behörigheter eftersom e-postkontakter inte är säkerhetsobjekt.
Följ den här rekommenderade metoden för att uppnå målet:
- Bjud in gästanvändare.
- Ta fram dem från GAL.
- Inaktivera dem genom att blockera dem från inloggning.
Ett e-postkontaktobjekt kan inte konverteras till ett användarobjekt. Därför kan egenskaper som är associerade med ett e-postkontaktobjekt inte överföras (till exempel gruppmedlemskap och annan resursåtkomst). Att använda ett e-postkontaktobjekt för att representera en användare medför följande utmaningar.
- Office 365-grupper. Office 365-grupper stöder principer som styr vilka typer av användare som tillåts vara medlemmar i grupper och interagera med innehåll som är associerat med grupper. En grupp kanske till exempel inte tillåter gästanvändare att ansluta. Dessa principer kan inte styra e-postkontaktobjekt.
- Microsoft Entra-grupphantering med självbetjäning (SSGM). E-postkontaktobjekt är inte berättigade att vara medlemmar i grupper med hjälp av SSGM-funktionen. Du kan behöva fler verktyg för att hantera grupper med mottagare som representeras som kontakter i stället för användarobjekt.
- Microsoft Entra ID-styrning, åtkomstgranskningar. Du kan använda funktionen åtkomstgranskning för att granska och intyga medlemskap i Office 365-gruppen. Åtkomstgranskningar baseras på användarobjekt. Medlemmar som representeras av e-postkontaktobjekt ligger utanför omfånget för åtkomstgranskningar.
- Microsoft Entra ID Governance, Entitlement Management (EM). När du använder EM för att aktivera begäranden om självbetjäningsåtkomst för externa användare i företagets EM-portal skapas ett användarobjekt vid tidpunkten för begäran. Den stöder inte e-postkontaktobjekt.
Överväganden för villkorsstyrd åtkomst i Microsoft Entra
Användarens, enhetens eller nätverkets tillstånd i användarens hemklientorganisation förmedlas inte till resursklientorganisationen. Därför kanske en extern användare inte uppfyller principer för villkorsstyrd åtkomst som använder följande kontroller.
Där det är tillåtet kan du åsidosätta det här beteendet med CTAS (Cross-Tenant Access Settings) som respekterar multifaktorautentisering och enhetsefterlevnad från hemklientorganisationen.
- Kräv multifaktorautentisering. Utan konfigurerad CTAS måste en extern användare registrera/svara på multifaktorautentisering i resursklientorganisationen (även om multifaktorautentiseringen uppfylldes i hemklientorganisationen). Det här scenariot resulterar i flera utmaningar med multifaktorautentisering. Om de behöver återställa sina bevis för multifaktorautentisering kanske de inte känner till flera bevisregistreringar för multifaktorautentisering mellan klienter. Bristen på medvetenhet kan kräva att användaren kontaktar en administratör i hemklientorganisationen, resursklientorganisationen eller båda.
- Kräv att enheten markeras som kompatibel. Utan konfigurerad CTAS registreras inte enhetsidentiteten i resursklientorganisationen, så den externa användaren kan inte komma åt resurser som kräver den här kontrollen.
- Kräv microsoft entra-hybrid ansluten enhet. Utan konfigurerad CTAS registreras inte enhetsidentiteten i resursklientorganisationen (eller lokal Active Directory ansluten till resursklientorganisationen). Därför kan den externa användaren inte komma åt resurser som kräver den här kontrollen.
- Kräv godkänd klientapp eller Kräv appskyddsprincip. Utan konfigurerad CTAS kan externa användare inte tillämpa resursklientorganisationens Intune-princip för hantering av mobilprogram (MAM) eftersom den också kräver enhetsregistrering. Principen för villkorlig åtkomst för resursklientorganisationen tillåter inte mam-skydd för hemklientorganisationen att uppfylla principen med hjälp av den här kontrollen. Undanta externa användare från varje MAM-baserad princip för villkorsstyrd åtkomst.
Även om du kan använda följande villkor för villkor för villkorsstyrd åtkomst bör du också vara medveten om de möjliga konsekvenserna.
- Inloggningsrisk och användarrisk. Användarbeteendet i hemklientorganisationen avgör delvis inloggningsrisken och användarrisken. Hemklientorganisationen lagrar data och riskpoäng. Om resursklientprinciper blockerar en extern användare kanske en resursklientadministratör inte kan aktivera åtkomst. Microsoft Entra ID Protection- och B2B-användare förklarar hur Microsoft Entra ID Protection identifierar komprometterade autentiseringsuppgifter för Microsoft Entra-användare.
- Platser. De namngivna platsdefinitionerna i resursklientorganisationen avgör omfånget för principen. Principens omfång utvärderar inte betrodda platser som hanteras i hemklientorganisationen. Om din organisation vill dela betrodda platser mellan klienter definierar du platserna i varje klientorganisation där du definierar resurserna och principerna för villkorsstyrd åtkomst.
Skydda din miljö för flera klientorganisationer
Att skydda en miljö med flera klienter börjar med att se till att varje klientorganisation följer bästa praxis för säkerhet. Gå igenom säkerhetschecklistan och metodtipsen för vägledning om hur du skyddar din klientorganisation. Se till att dessa metodtips följs och granska dem med alla klienter som du har ett nära samarbete med.
Skydda administratörskonton och garantera minsta möjliga behörighet
- Hitta och åtgärda luckor i stark autentiseringstäckning för dina administratörer
- Förbättra säkerheten med principen om lägsta behörighet för både användare och program. Granska de minst privilegierade rollerna efter uppgift i Microsoft Entra-ID.
- Minimera beständig administratörsåtkomst genom att aktivera Privileged Identity Management.
Övervaka din miljö för flera klientorganisationer
- Övervaka ändringar av åtkomstprinciper mellan klientorganisationer med hjälp av användargränssnittet, API:et för granskningsloggar eller Azure Monitor-integrering (för proaktiva aviseringar). Granskningshändelserna använder kategorierna "CrossTenantAccessSettings" och "CrossTenantIdentitySyncSettings". Genom att övervaka granskningshändelser under dessa kategorier kan du identifiera eventuella ändringar av klientorganisationsåtkomstprinciper i klientorganisationen och vidta åtgärder. När du skapar aviseringar i Azure Monitor kan du skapa en fråga, till exempel följande, för att identifiera eventuella ändringar av åtkomstprinciper mellan klientorganisationer.
AuditLogs
| where Category contains "CrossTenant"
- Övervaka för alla nya partner som har lagts till i inställningarna för åtkomst mellan klientorganisationer.
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
- Övervaka ändringar i principer för åtkomst mellan klientorganisationer som tillåter/inte tillåter synkronisering.
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
- Övervaka programåtkomst i klientorganisationen med hjälp av instrumentpanelen för åtkomst mellan klientorganisationer. Med övervakning kan du se vem som har åtkomst till resurser i din klientorganisation och var dessa användare kommer ifrån.
Dynamiska medlemskapsgrupper
Om din organisation använder villkoret för alla användares dynamiska medlemskapsgrupp i din befintliga princip för villkorsstyrd åtkomst påverkar den här principen externa användare eftersom de ingår i omfånget för alla användare.
Neka som standard
- Kräv användartilldelning för program. Om en app har den användartilldelning som krävs? egenskapen inställd på Nej, kan externa användare komma åt programmet. Programadministratörer måste förstå påverkan på åtkomstkontroll, särskilt om programmet innehåller känslig information. Om du begränsar din Microsoft Entra-app till en uppsättning användare i en Microsoft Entra-klientorganisation förklaras hur registrerade program i en klientorganisation är tillgängliga för alla användare av klientorganisationen som har autentiserats. Den här inställningen är aktiverad som standard.
Skydd på djupet
Villkorlig åtkomst.
- Definiera principer för åtkomstkontroll för att styra åtkomsten till resurser.
- Utforma principer för villkorlig åtkomst med externa användare i åtanke.
- Skapa principer specifikt för externa användare.
- Skapa dedikerade principer för villkorlig åtkomst för externa konton. Om din organisation använder villkoret för alla användares dynamiska medlemskapsgrupp i din befintliga princip för villkorsstyrd åtkomst påverkar den här principen externa användare eftersom de ingår i omfånget för alla användare.
Begränsade hanteringsenheter
När du använder säkerhetsgrupper för att styra vem som är i omfånget för synkronisering mellan klientorganisationer begränsar du vem som kan göra ändringar i säkerhetsgruppen. Minimera antalet ägare av de säkerhetsgrupper som tilldelats synkroniseringsjobbet mellan klientorganisationer och inkludera grupperna i en begränsad hanteringsenhet. Det här scenariot begränsar antalet personer som kan lägga till eller ta bort gruppmedlemmar och etablera konton mellan klientorganisationer.
Andra överväganden för åtkomstkontroll
Allmänna villkor
Användningsvillkoren för Microsoft Entra är en enkel metod som organisationer kan använda för att presentera information för slutanvändare. Du kan använda användningsvillkoren för att kräva att externa användare godkänner användningsvillkor innan de får åtkomst till dina resurser.
Licensieringsöverväganden för gästanvändare med Microsoft Entra ID P1- eller P2-funktioner
Prissättningen för externt ID för Microsoft Entra baseras på månatliga aktiva användare (MAU). Antalet aktiva användare är antalet unika användare med autentiseringsaktivitet inom en kalendermånad. Faktureringsmodellen för Microsoft Entra Externt ID beskriver hur prissättningen baseras på MAU.
Överväganden för Office 365
Följande information adresserar Office 365 i samband med det här dokumentets scenarier. Detaljerad information finns på Microsoft 365 intertenant collaboration 365 intertenant collaboration. Den här artikeln beskriver alternativ som omfattar att använda en central plats för filer och konversationer, dela kalendrar, använda snabbmeddelanden, ljud-/videosamtal för kommunikation och skydda åtkomsten till resurser och program.
Microsoft Exchange Online
Exchange Online begränsar vissa funktioner för externa användare. Du kan minska gränserna genom att skapa externa medlemsanvändare i stället för externa gästanvändare. Stöd för externa användare har följande begränsningar.
- Du kan tilldela en Exchange Online-licens till en extern användare. Du kan dock inte utfärda en token för Exchange Online till dem. Resultatet är att de inte kan komma åt resursen.
- Externa användare kan inte använda delade eller delegerade Exchange Online-postlådor i resursklientorganisationen.
- Du kan tilldela en extern användare till en delad postlåda, men de kan inte komma åt den.
- Du måste ta fram externa användare för att inkludera dem i GAL. Som standard är de dolda.
- Dolda externa användare skapas vid inbjudan. Skapandet är oberoende av om användaren löste in sin inbjudan. Så om alla externa användare är ohidden innehåller listan användarobjekt för externa användare som inte har löst in en inbjudan. Baserat på ditt scenario kanske du eller kanske inte vill att objekten ska visas.
- Externa användare kan vara ohörda med Hjälp av Exchange Online PowerShell. Du kan köra PowerShell-cmdleten Set-MailUser för att ange egenskapen HiddenFromAddressListsEnabled till värdet $false.
Till exempel:
Set-MailUser [ExternalUserUPN] -HiddenFromAddressListsEnabled:\$false\
Där ExternalUserUPN är det beräknade UserPrincipalName.
Till exempel:
Set-MailUser externaluser1_contoso.com#EXT#@fabricam.onmicrosoft.com\ -HiddenFromAddressListsEnabled:\$false
Externa användare kan vara upphämtade i Administrationscenter för Microsoft 365.
- Du kan bara ange uppdateringar till Exchange-specifika egenskaper (till exempel PrimarySmtpAddress, ExternalEmailAddress, EmailAddresses och MailTip) med Exchange Online PowerShell. Administrationscentret för Exchange Online tillåter inte att du ändrar attributen med hjälp av det grafiska användargränssnittet (GUI).
Som du ser i exemplet kan du använda PowerShell-cmdleten Set-MailUser för e-postspecifika egenskaper. Det finns användaregenskaper som du kan ändra med PowerShell-cmdleten Set-User . Du kan ändra de flesta egenskaper med Microsoft Graph-API:er.
En av de mest användbara funktionerna i Set-MailUser är möjligheten att manipulera egenskapen EmailAddresses . Det här flervärdesattributet kan innehålla flera proxyadresser för den externa användaren (till exempel SMTP, X500, Session Initiation Protocol (SIP)). Som standard har en extern användare den primära SMTP-adressen stämplad som korrelerar med UserPrincipalName (UPN). Om du vill ändra den primära SMTP:en eller lägga till SMTP-adresser kan du ange den här egenskapen. Du kan inte använda Administrationscenter för Exchange. du måste använda Exchange Online PowerShell. Lägg till eller ta bort e-postadresser för en postlåda i Exchange Online visar olika sätt att ändra en egenskap med flera värden, till exempel EmailAddresses.
Microsoft SharePoint i Microsoft 365
SharePoint i Microsoft 365 har egna tjänstspecifika behörigheter beroende på om användaren (intern eller extern) är av typen medlem eller gäst i Microsoft Entra-klientorganisationen. Microsoft 365 extern delning och Microsoft Entra B2B-samarbete beskriver hur du kan aktivera integrering med SharePoint och OneDrive för att dela filer, mappar, listobjekt, dokumentbibliotek och webbplatser med personer utanför organisationen. Microsoft 365 gör detta när du använder Azure B2B för autentisering och hantering.
När du har aktiverat extern delning i SharePoint i Microsoft 365 är möjligheten att söka efter gästanvändare i SharePoint i Microsoft 365-personväljaren AV som standard. Den här inställningen förhindrar att gästanvändare kan identifieras när de är dolda från Exchange Online GAL. Du kan göra så att gästanvändare blir synliga på två sätt (inte ömsesidigt uteslutande):
- Du kan aktivera möjligheten att söka efter gästanvändare på följande sätt:
- Ändra inställningen ShowPeoplePickerSuggestionsForGuestUsers på klient- och webbplatssamlingsnivå.
- Ange funktionen med hjälp av SharePoint-cmdletarna Set-SPOTenant och Set-SPOSite i Microsoft 365 PowerShell.
- Gästanvändare som visas i Exchange Online GAL visas också i SharePoint i Microsoft 365-personväljaren. Kontona visas oavsett inställningen för ShowPeoplePickerSuggestionsForGuestUsers.
Microsoft Teams
Microsoft Teams har funktioner för att begränsa åtkomsten och baserat på användartyp. Ändringar av användartyp kan påverka innehållsåtkomst och tillgängliga funktioner. Microsoft Teams kräver att användarna ändrar sin kontext med hjälp av klientväxelmekanismen för sin Teams-klient när de arbetar i Teams utanför sin hemklientorganisation.
Mekanismen för klientbyte för Microsoft Teams kan kräva att användare manuellt byter kontext för sin Teams-klient när de arbetar i Teams utanför sin hemklientorganisation.
Du kan göra det möjligt för Teams-användare från en annan hel extern domän att hitta, ringa, chatta och konfigurera möten med dina användare med Teams Federation. Hantera externa möten och chatta med personer och organisationer med hjälp av Microsoft-identiteter beskriver hur du kan tillåta användare i din organisation att chatta och träffa personer utanför organisationen som använder Microsoft som identitetsprovider.
Licensöverväganden för gästanvändare i Teams
När du använder Azure B2B med Office 365-arbetsbelastningar omfattar viktiga överväganden instanser där gästanvändare (interna eller externa) inte har samma upplevelse som medlemsanvändare.
- Microsoft-grupper. När du lägger till gäster i Office 365-grupper beskrivs hur gäståtkomst i Microsoft 365-grupper låter dig och ditt team samarbeta med personer utanför organisationen genom att ge dem åtkomst till gruppkonversationer, filer, kalenderinbjudningar och gruppanteckningsboken.
- Microsoft Teams. Teamägare, medlems- och gästfunktioner i Teams beskriver gästkontoupplevelsen i Microsoft Teams. Du kan aktivera en fullständig återgivningsupplevelse i Teams med hjälp av externa medlemsanvändare.
- För flera klienter i vårt kommersiella moln kan användare som är licensierade i sin hemklient komma åt resurser i en annan klientorganisation inom samma juridiska person. Du kan bevilja åtkomst med hjälp av inställningen externa medlemmar utan extra licensavgifter. Den här inställningen gäller för SharePoint och OneDrive för Teams och grupper.
- För flera klienter i andra Microsoft-moln och för flera klienter i olika moln är licenskontroller för B2B-medlemmar ännu inte tillgängliga. Användning av B2B-medlem med Teams kräver ytterligare en licens för varje B2B-medlem. Det här kravet kan också påverka andra arbetsbelastningar, till exempel Power BI.
- B2B-medlemsanvändning för klienter som inte ingår i samma juridiska enhet omfattas av ytterligare licenskrav.
- Funktioner för identitetsstyrning. Rättighetshantering och åtkomstgranskningar kan kräva andra licenser för externa användare.
- Andra produkter. Produkter som Dynamics customer relationship management (CRM) kan kräva licensiering i varje klientorganisation där en användare är representerad.
Nästa steg
- Introduktionen till användarhantering med flera klientorganisationer är den första i serien med artiklar som ger vägledning för att konfigurera och tillhandahålla användarlivscykelhantering i Microsoft Entra-miljöer med flera klientorganisationer.
- Scenarier för hantering av flera klientanvändare beskriver tre scenarier där du kan använda funktioner för användarhantering med flera klientorganisationer: slutanvändarinitierade, skriptade och automatiserade.
- Vanliga lösningar för hantering av flera klienter när en enskild klientorganisation inte fungerar för ditt scenario. Den här artikeln innehåller vägledning för dessa utmaningar: automatisk hantering av användarlivscykel och resursallokering mellan klienter, delning av lokala appar mellan klientorganisationer.
- Microsoft Collaboration Framework för US Defense Industrial Base beskriver kandidatreferensarkitekturer för identitet för att hantera multitenantorganisationer (MTO). Det här scenariot gäller specifikt för de MTU:er som har en distribution i US Sovereign Cloud med Microsoft 365 US Government (GCC High) och Azure Government. Den hanterar även externt samarbete i strikt reglerade miljöer, inklusive organisationer som finns i antingen Kommersiellt eller i US Sovereign Cloud.