Limitações em organizações multilocatários
Esse artigo descreve as limitações que você deve conhecer ao trabalhar com a funcionalidade de organização multilocatário no Microsoft Entra ID e no Microsoft 365. Para fornecer comentários sobre a funcionalidade de organização multilocatário no UserVoice, confira UserVoice do Microsoft Entra. Nós observamos com atenção o UserVoice para aprimorar o serviço.
Escopo
As limitações descritas neste artigo têm o seguinte escopo.
| Escopo | Descrição |
|---|---|
| Dentro do escopo | – Limitações do administrador do Microsoft Entra relacionadas a organizações multilocatário para oferecer suporte a experiências de colaboração contínuas no novo Microsoft Teams, com membros B2B provisionados reciprocamente – Limitações do administrador do Microsoft Entra relacionadas a organizações multilocatário para oferecer suporte a experiências de colaboração contínuas no Microsoft Viva Engage, com membros B2B provisionados centralmente |
| Escopo relacionado | - Limitações do centro de administração do Microsoft 365 relacionadas a organizações multilocatários - Experiências de pesquisa de pessoas em organizações multilocatárias do Microsoft 365 - Limitações de sincronização entre locatários relacionadas ao Microsoft 365 |
| Fora do escopo | – Sincronização entre locatários não relacionada ao Microsoft 365 – Experiências do usuário final no novo Teams – Experiências do usuário final no Viva Engage – Migração ou consolidação de locatários |
| Cenários sem suporte | – Organizações multilocatário em locatários de educação que envolvem cenários de alunos – Planejar organizações multilocatário no Microsoft 365 Government – Experiência de colaboração perfeita entre organizações multilocatário no Teams clássico - Autoatendimento para organizações multilocatários com mais de 100 locatários – Organizações multilocatário no Azure Governamental ou no Microsoft Azure operado pela 21Vianet – Organizações multilocatário entre nuvens |
Criar ou ingressar em uma organização multilocatário usando o centro de administração do Microsoft 365
Depois de criar uma organização multilocatário no centro de administração do Microsoft 365, você verá que o centro de administração da Microsoft criou configurações de sincronização entre locatários com os nomes
MTO_Sync_<TenantID>. Evite editar ou alterar o nome se quiser que o centro de administração do Microsoft 365 reconheça as configurações criadas e gerenciadas pelo centro de administração do Microsoft 365.Os trabalhos de sincronização criados com o Microsoft Entra ID não aparecerão no centro de administração do Microsoft 365. O centro de administração do Microsoft 365 indicará um Status de sincronização de saída de Não configurado. Este comportamento é esperado. Não há um padrão compatível para que o centro de administração do Microsoft 365 assuma o controle de trabalhos de sincronização entre locatários criados no centro de administração do Microsoft Entra.
Configurações de acesso entre locatários
A sincronização entre locatários no Microsoft Entra ID não permite estabelecer uma configuração de sincronização entre locatários até que o respectivo locatário autorize a sincronização de entrada em suas configurações de acesso entre locatários para sincronização de identidade.
Portanto, antes da criação da organização multilocatário, o uso do modelo de configurações de acesso entre locatários para sincronização de identidade é incentivado, com
userSyncInbounddefinido como true.Da mesma forma, antes da criação da organização multilocatário, o uso do modelo de configurações de acesso entre locatários para configurações de parceiros é incentivado com
automaticUserConsentSettings.inboundAllowedeautomaticUserConsentSettings.outboundAlloweddefinidos como true.
Solicitações de adesão
Há vários motivos pelos quais uma solicitação de junção pode falhar. Se o centro de administração do Microsoft 365 não indicar por que uma solicitação de ingresso não está sendo bem-sucedida, tente examinar a resposta da solicitação de ingresso usando as APIs do Microsoft Graph ou o Microsoft Graph Explorer.
Se você seguiu a sequência correta para criar uma organização multilocatário e adicionar um locatário à organização multilocatário, e a solicitação de ingresso do locatário adicionado continuar falhando, envie uma solicitação de suporte no centro de administração do Microsoft Entra ou do Microsoft 365.
Opções para provisionar seus usuários membros externos
- Se você já estiver usando a sincronização entre locatários do Microsoft Entra, para várias topologias multi-hub multi-spoke, não será necessário usar a funcionalidade de compartilhamento de usuários do centro de administração do Microsoft 365. Em vez disso, é aconselhável continuar usando os atuais trabalhos de sincronização entre locatários do Microsoft Entra.
- Se você ainda não usou a sincronização entre locatários do Microsoft Entra e pretende estabelecer uma topologia de conjunto de usuários colaboradores onde o mesmo conjunto de usuários é compartilhado com todos os locatários da organização multilocatário, talvez você queira usar o centro de administração do Microsoft 365 compartilhar a funcionalidade dos usuários.
- Se você já tiver seu próprio mecanismo de provisionamento de usuário em escala, poderá utilizar os novos benefícios da organização multilocatário enquanto mantém o uso do seu próprio mecanismo para gerenciar o ciclo de vida de seus funcionários.
- Se você precisar criar usuários membros externos individuais em um locatário de host em vez de criá-los por meio de um mecanismo de provisionamento de um locatário de origem, consulte Como criar, convidar e excluir usuários.
Sincronização entre locatários no centro de administração do Microsoft Entra
Para organizações empresariais com configurações de identidade complexas, é recomendável usar a sincronização entre locatários no centro de administração do Microsoft Entra.
Por padrão, novos usuários B2B são provisionados como membros B2B, enquanto os convidados B2B existentes permanecem convidados B2B. Você pode optar por converter convidados B2B em membros B2B definindo Aplicar esse mapeamento como Sempre.
Por padrão,
showInAddressListé sincronizado em um locatário de destino como true. Você pode ajustar esse mapeamento de atributo para atender às necessidades de suas organizações.O provisionamento em escala de usuários B2B pode colidir com objetos de contato. Atualmente, não há suporte para a manipulação ou conversão de objetos de contato.
No momento, não há suporte para o uso da sincronização entre locatários para direcionar as identidades híbridas que foram convertidas em usuários B2B.
Sincronizar usuários no centro de administração do Microsoft 365
Para organizações multilocatário menores, é recomendável usar o centro de administração do Microsoft 365 para sincronizar usuários em vários locatários de sua organização multilocatário.
Para compartilhar usuários, o centro de administração do Microsoft 365 cria vários trabalhos de sincronização entre locatários, um por locatário de destino, mantendo o mesmo escopo de usuário para todos os trabalhos.
Depois que o centro de administração do Microsoft 365 criou os trabalhos de sincronização entre locatários, você pode ajustar mapeamentos de atributo no centro de administração do Microsoft Entra para atender às necessidades de suas organizações.
Convidados B2B ou membros B2B gerenciados no locatário do host
A promoção de convidados B2B para membros B2B representa uma decisão estratégica das organizações multilocatário de considerar membros B2B como usuários confiáveis da organização. Examine as permissões padrão para membros B2B.
À medida que sua organização implementa a funcionalidade de organização multilocatário, incluindo o provisionamento de usuários B2B entre locatários da organização multilocatário, talvez você queira provisionar alguns usuários como convidados B2B, enquanto provisiona outros usuários como membros B2B.
Para promover convidados B2B a membros B2B, um administrador de locatário de host pode alterar o userType, supondo que a propriedade não seja sincronizada de forma recorrente.
Convidados B2B ou membros B2B gerenciados usando a sincronização entre locatários
Se a sincronização entre locatários for usada para sincronizar a propriedade userType de forma recorrente, um administrador de locatário de origem poderá alterar os mapeamentos de atributo.
Talvez você queira estabelecer duas configurações de sincronização entre locatários do Microsoft Entra no locatário de origem, uma com mapeamentos de atributo userType configurados para convidado B2B e outra com mapeamentos de atributo userType configurados para membro B2B, cada uma com a opção Aplicar esse mapeamento definida como Sempre.
Ao mover um usuário do escopo de uma configuração para a outra, você pode controlar facilmente quem será um convidado B2B ou um membro B2B no locatário de destino. Usando essa abordagem, talvez você também queira desabilitar Ações de Objeto de Destino para Exclusão.
Lista de endereços global gerenciada no locatário do host
A propriedade showInAddressList de um usuário B2B pode ser atualizada com privilégios de Administrador de Usuário no Explorador do Microsoft Graph ou no Microsoft Graph PowerShell.
A atualização da propriedade showInAddressList no objeto de usuário também atualizará a configuração para ocultar destinatários em listas de endereços no Microsoft Exchange Online.
A configuração para ocultar destinatários em listas de endereços, se definida para ser diferente da propriedade showInAddressList, tem precedência na determinação da visibilidade da lista de endereços.
Se não for possível definir a configuração para ocultar destinatários no centro de administração do Exchange devido ao tipo de usuário Convidado, ela poderá ser definida no PowerShell usando a propriedade HiddenFromAddressListsEnabled.
Para obter mais informações, consulte Adicionar convidados à lista de endereços global.
Lista de endereços global gerenciada com a sincronização entre locatários
- Se a sincronização entre locatários for usada para sincronizar a propriedade, showInAddressList em um locatário de origem poderá ser usado para controlar a visibilidade da lista de endereços em um locatário de destino.
- Por outro lado, ocultar destinatário em listas de endereços no locatário de origem não pode ser usado para afetar a visibilidade da lista de endereços em um locatário de destino.
Aplicativos da Microsoft
Nas interfaces de usuário do OneDrive do SharePoint, ao compartilhar um arquivo com Pessoas na Fabrikam, as interfaces de usuário atuais podem ser contraintuitivas, pois os membros B2B na Fabrikam da Contoso contam como Pessoas na Fabrikam.
No centro de administração do Microsoft 365, Microsoft Forms, Microsoft OneNote e Microsoft Planner, os usuários membros B2B podem não ter suporte.
No Microsoft Power BI, o suporte a membro B2B está atualmente na versão prévia. Os usuários convidados B2B podem continuar acessando os painéis do Power BI.
No Microsoft Power Apps, Microsoft Dynamics 365 e cargas de trabalho relacionadas, os usuários membros B2B podem ter funcionalidade restrita. Para obter mais informações, veja Convidar usuários com a colaboração Microsoft Entra B2B.
No Microsoft Purview, ainda não há suporte para recursos da organização multilocatário. Saiba mais sobre as funcionalidades existentes para usuários externos e conteúdo rotulado e sobre a colaboração externa usando rótulos de confidencialidade.
No Microsoft Intune, ainda não há suporte para recursos da organização multilocatário. Saiba mais sobre as funcionalidades existentes para declarações de dispositivo compatíveis com a relação de confiança de organizações externas.
Usuários B2B ou membros B2B
Como parte de uma organização multilocatária, redefinir o resgate para um usuário B2B já resgatado está atualmente desabilitado.
O provisionamento em escala de usuários B2B pode colidir com objetos de contato. Atualmente, não há suporte para a manipulação ou conversão de objetos de contato.
O uso da sincronização entre locatários para direcionar identidades híbridas que foram convertidas em usuários B2B não foi testado em conflitos de origem de autoridade e não tem suporte.
Os usuários conectados podem fazer a leitura de atributos básicos de uma organização multilocatário e dos locatários membros da organização multilocatário, sem que lhes sejam atribuídas funções, como Leitor de Segurança ou Leitor Global.
Desprovisionamento de sincronização entre locatários
Por padrão, quando o escopo de provisionamento é reduzido enquanto um trabalho de sincronização está em execução, os usuários ficam fora do escopo e são excluídos de forma reversível, a menos que Ações de objeto de destino para exclusão estejam desabilitadas. Para obter mais informações, confira Desprovisionamento e Definir quem está no escopo do provisionamento.
No momento, SkipOutOfScopeDeletions funciona para trabalhos de provisionamento de aplicativos, mas não para sincronização entre locatários. Para evitar a exclusão temporária de usuários retirados do escopo da sincronização entre locatários, defina Ações de objeto de destino para exclusão como desabilitado.