Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
В этой статье описываются ограничения, которые нужно учитывать при работе с функциональностью мультитенантной организации в Microsoft Entra ID и Microsoft 365. Чтобы предоставить отзывы о функциях многотенантной организации в UserVoice, см. статью Microsoft Entra UserVoice. UserVoice внимательно отслеживается для улучшения службы.
Область
Ограничения, описанные в этой статье, имеют следующую область.
| Область | Описание |
|---|---|
| Область | — Ограничения ролей администратора Microsoft Entra, связанные с мультитенантными организациями, для поддержки бесшовного взаимодействия в новых Microsoft Teams с взаимно интегрированными участниками B2B. — Ограничения администратора Microsoft Entra, связанные с многопользовательскими организациями, для поддержки бесшовных совместных работ в Microsoft Viva Engage, с централизованно организованными участниками B2B. |
| Связанная область | — ограничения центра администрирования Microsoft 365, связанные с мультитенантными организациями — Поиск людей в Microsoft 365 для многотенантных организаций — ограничения синхронизации между клиентами, связанные с Microsoft 365 |
| Вне области | — синхронизация между клиентами, не связанная с Microsoft 365 — взаимодействие с конечными пользователями в Viva Engage — миграция арендатора или консолидация |
| Неподдерживаемые сценарии | — Организации с многопользовательской архитектурой в образовательных клиентах, которые включают сценарии учащихся. — Мультитенантные организации в Microsoft 365 для государственных учреждений — бесшовный опыт совместной работы между мультитенантными организациями в классической версии Teams — самообслуживание для мультитенантных организаций, превышающих 100 клиентов — Мультитенантные организации в Azure Government или Microsoft Azure, управляемые компанией 21Vianet — Мультитенантные организации доступны в облаках GCC, GCC-H и DOD. Однако в мультитенантных организациях могут быть только клиенты, находящиеся в одном облаке. Межоблачные мультитенантные организации не поддерживаются. |
Создайте или присоединитесь к мультитенантной организации в Центре администрирования Microsoft 365
После создания мультитенантной организации в Центре администрирования Microsoft 365 вы увидите, что Центр администрирования Microsoft создал конфигурации синхронизации между клиентами с именами
MTO_Sync_<TenantID>. Воздерживайтесь от редактирования или изменения имени, если вы хотите, чтобы Центр администрирования Microsoft 365 распознавал конфигурации как созданные и управляемые Центром администрирования Microsoft 365.Задания синхронизации, созданные с идентификатором Microsoft Entra, не отображаются в Центр администрирования Microsoft 365. Центр администрирования Microsoft 365 будет указывать Состояние исходящей синхронизации как не настроено. Это ожидаемое поведение. Не существует поддерживаемого шаблона в Центре администрирования Microsoft 365 для управления задачами синхронизации между клиентами, созданными в Центре администрирования Microsoft Entra.
Параметры доступа между клиентами
Синхронизация между арендаторами в Microsoft Entra ID не поддерживает настройку конфигурации синхронизации между арендаторами до того, как соответствующий арендатор разрешит входящую синхронизацию в настройках доступа между арендаторами для синхронизации удостоверений.
Поэтому до создания мультитенантной организации рекомендуется использовать шаблон параметров доступа между клиентами для синхронизации удостоверений с
userSyncInboundзаданным значением true.Аналогичным образом до создания мультитенантной организации рекомендуется
automaticUserConsentSettings.inboundAllowedиспользовать шаблон параметров доступа между клиентами для конфигураций партнеров иautomaticUserConsentSettings.outboundAllowedзадать значение true.
Запросы на присоединение
Существует несколько причин, по которым запрос на присоединение может не удаться. Если Центр администрирования Microsoft 365 не указывает, почему запрос на присоединение не выполнен, попробуйте проверить ответ запроса на присоединение с помощью API Microsoft Graph или Microsoft Graph Explorer.
Если вы выполнили правильную последовательность для создания мультитенантной организации и добавления клиента в мультитенантную организацию, а запрос на присоединение добавленного клиента продолжает завершаться сбоем, отправьте запрос на поддержку в Microsoft Entra или Центр администрирования Microsoft 365.
Варианты предоставления доступа внешним пользователям
- Если вы уже используете синхронизацию Microsoft Entra между разными арендаторами, для различных многохабовых многоуровневых топологий, вам не нужно использовать функцию общего использования пользователей в Центре администрирования Microsoft 365. Вместо этого может потребоваться продолжить использование существующих заданий синхронизации Microsoft Entra между клиентами.
- Если вы ранее не использовали синхронизацию Microsoft Entra между клиентами и планируете установить топологию совместного набора пользователей, где один и тот же набор пользователей предоставляется всем клиентам мультитенантной организации, может потребоваться использовать функциональность Центр администрирования Microsoft 365 совместного использования пользователей.
- Если у вас уже есть собственный масштабируемый механизм предоставления пользователей, вы можете воспользоваться преимуществами новой многопользовательской организации, продолжая использовать собственный механизм для управления жизненным циклом сотрудников.
- Если необходимо создать отдельных внешних пользователей-участников в клиенте узла, а не создавать их с помощью модуля подготовки из исходного клиента, см. статью "Создание, приглашение и удаление пользователей".
Синхронизация между клиентами в Центре администрирования Microsoft Entra
Для корпоративных организаций с сложными конфигурациями удостоверений используйте синхронизацию между клиентами в Центре администрирования Microsoft Entra.
По умолчанию новые пользователи B2B подготавливаются как члены B2B, а существующие гости B2B остаются гостями B2B. Вы можете преобразовать гостей B2B в участников B2B, установив Применить это сопоставление на Всегда.
По умолчанию
showInAddressListсинхронизируется с целевым клиентом как true. Вы можете изменить это сопоставление атрибутов в соответствии с потребностями вашей организации.Масштабируемая подготовка пользователей B2B может столкнуться с объектами контакта. Обработка или преобразование объектов контакта в настоящее время не поддерживается.
Использование межтенантной синхронизации для целевых гибридных удостоверений, преобразованных в пользователей B2B, в настоящее время не поддерживается.
Синхронизация пользователей в Центр администрирования Microsoft 365
Для небольших мультитенантных организаций рекомендуется использовать Центр администрирования Microsoft 365 для синхронизации пользователей с несколькими клиентами мультитенантной организации.
Чтобы совместно использовать пользователей, Центр администрирования Microsoft 365 создает несколько заданий синхронизации между клиентами, по одному на целевой клиент, сохраняя одинаковую область пользователя для всех заданий.
После того как Центр администрирования Microsoft 365 создаст кросс-арендные задания синхронизации, вы можете настроить сопоставления атрибутов в Центре администрирования Microsoft Entra в соответствии с потребностями вашей организации.
Управляемые в арендаторе гости B2B или члены B2B
Продвижение гостей B2B участникам B2B представляет стратегическое решение мультитенантных организаций рассматривать участников B2B как доверенных пользователей организации. Просмотрите разрешения по умолчанию для участников B2B.
Так как ваша организация развертывает функции мультитенантной организации, включая подготовку пользователей B2B в клиентах мультитенантной организации, может потребоваться подготовить некоторых пользователей в качестве гостей B2B, подготовив других пользователей в качестве участников B2B.
Чтобы повысить уровень гостей B2B до участников B2B, администратор клиента узла может изменить пользовательский тип, если свойство не выполняется повторяющейся синхронизации.
Гости B2B или члены B2B, управляемые с помощью межтенантной синхронизации
Если синхронизация между клиентами используется для повторяющейся синхронизации свойства userType, администратор исходного клиента может изменить сопоставления атрибутов.
Может потребоваться установить две кросс-клиентские конфигурации синхронизации в исходном клиенте Microsoft Entra, одна с сопоставлениями атрибутов userType, настроенными для B2B гостя, а другая с сопоставлениями атрибутов userType, настроенными для B2B участника, причем в каждой из них Apply this mapping установлено на Always.
Переместив пользователя из одной области конфигурации в другую, вы можете легко контролировать, кто будет гостем B2B или членом B2B в целевом клиенте. Шагом реализации данного подхода может также послужить отключение действий целевых объектов при удалении.
Глобальный список адресов, управляемый в хост-тенанте
Свойство showInAddressList пользователя B2B можно обновить с правами администратора пользователя в Microsoft Graph Explorer или Microsoft Graph PowerShell.
Обновление свойства showInAddressList в объекте пользователя также изменит настройку скрытия получателей из списков адресов в Microsoft Exchange Online.
Параметр скрытия получателей из списков адресов, если он настроен так, чтобы отличаться от свойства showInAddressList, имеет приоритет при определении видимости списка адресов.
Если параметр скрытия получателей не настраивается в Центре администрирования Exchange из-за типа пользователя Guest, его можно настроить в PowerShell с помощью свойства HiddenFromAddressListsEnabled.
Дополнительные сведения см. в разделе "Добавление гостей в глобальный список адресов".
Глобальный список адресов, управляемый с помощью синхронизации между клиентами
- Если синхронизация между клиентами используется для синхронизации свойства, showInAddressList в исходном клиенте можно использовать для управления видимостью списка адресов в целевом клиенте.
- С другой стороны, скрытие получателя в списках адресов в исходном клиенте нельзя использовать для изменения видимости в списках адресов в целевом клиенте.
Приложения Майкрософт
В пользовательских интерфейсах SharePoint OneDrive, при совместном использовании файла с людьми в Fabrikam, текущие пользовательские интерфейсы могут быть неочевидными, так как члены B2B в Fabrikam из Contoso включаются в число людей в Fabrikam.
В Центре администрирования Microsoft 365, Microsoft Forms, Microsoft OneNote и Microsoft Planner, пользователи-члены B2B могут не поддерживаться.
В Microsoft Power BI поддержка участников B2B в настоящее время находится в предварительной версии. Гостевые пользователи B2B могут продолжать получать доступ к панелям мониторинга Power BI.
В Microsoft Power Apps, Microsoft Dynamics 365 и связанных рабочих нагрузок пользователи-члены B2B могут иметь ограниченные функциональные возможности. Дополнительные сведения см. в статье "Пригласить пользователей с помощью Службы совместной работы Microsoft Entra B2B".
В Microsoft Purview возможности мультитенантной организации пока не поддерживаются. Дополнительные сведения см. в существующих функциях для внешних пользователей и помеченного содержимого ивнешней совместной работы с помощью меток конфиденциальности.
В Microsoft Intune возможности мультитенантной организации пока не поддерживаются. Дополнительные сведения см. в существующих функциональных возможностях для поддержки доверия утверждениям устройств из внешних организаций.
Пользователи B2B или члены B2B
В рамках мультитенантной организации сброс активации для уже использованного B2B-пользователя в настоящее время отключен.
Масштабируемая подготовка пользователей B2B может столкнуться с объектами контакта. Обработка или преобразование объектов контакта в настоящее время не поддерживается.
Использование синхронизации между клиентами для целевых гибридных удостоверений, преобразованных в пользователей B2B, не было проверено в источнике конфликтов центра и не поддерживается.
Пользователи, вошедшие в систему, могут читать базовые атрибуты мультитенантной организации и участников-мультитенантов организации без назначения ролей, таких как Читатель безопасности или Глобальный читатель.
Депровизирование межтенантной синхронизации
По умолчанию, когда область подготовки уменьшается во время выполнения задания синхронизации, пользователи выходят из области и удаляются обратимо, если действия целевого объекта для удаления не отключены. Дополнительные сведения см. в разделе "Отмена подготовки " и "Определение того, кто находится в области подготовки".
В настоящее время SkipOutOfScopeDeletions работает для заданий подготовки приложений, но не для синхронизации между клиентами. Чтобы избежать временного удаления пользователей, исключенных из области синхронизации между клиентами, установите отключение действия целевого объекта для удаления.