Limitações em organizações multilocatárias
Este artigo descreve as limitações a ter em conta quando trabalha com a funcionalidade de organização multilocatária no Microsoft Entra ID e no Microsoft 365. Para fornecer comentários sobre a funcionalidade da organização multilocatária no UserVoice, consulte Microsoft Entra UserVoice. Observamos o UserVoice de perto para que possamos melhorar o serviço.
Âmbito
As limitações descritas neste artigo têm o seguinte escopo.
| Scope | Description |
|---|---|
| Em âmbito de aplicação | - Limitações de administrador do Microsoft Entra relacionadas a organizações multilocatárias para suportar experiências de colaboração perfeitas em novos Microsoft Teams, com membros B2B provisionados reciprocamente - Limitações do administrador do Microsoft Entra relacionadas a organizações multilocatárias para suportar experiências de colaboração perfeitas no Microsoft Viva Engage, com membros B2B provisionados centralmente |
| Âmbito conexo | - Limitações do centro de administração do Microsoft 365 relacionadas a organizações multilocatárias - Experiências de pesquisa de pessoas da organização multilocatária Microsoft 365 - Limitações de sincronização entre locatários relacionadas ao Microsoft 365 |
| Fora de âmbito | - Sincronização entre locatários não relacionada ao Microsoft 365 - Experiências do usuário final em novas equipes - Experiências do usuário final no Viva Engage - Migração ou consolidação de inquilinos |
| Cenários não suportados | - Organizações multilocatárias em inquilinos educacionais envolvendo cenários estudantis - Organizações multilocatárias no Microsoft 365 Government - Experiência de colaboração perfeita entre organizações multilocatárias no Teams clássico - Autosserviço para organizações multilocatárias maiores que 100 locatários - Organizações multilocatárias no Azure Government ou Microsoft Azure operadas pela 21Vianet - Organizações multilocatárias entre nuvens |
Criar ou ingressar em uma organização multilocatária usando o Centro de administração do Microsoft 365
Depois de criar uma organização multilocatária no centro de administração do Microsoft 365, você verá as configurações de sincronização entre locatários criadas pelo centro de administração da Microsoft com os nomes
MTO_Sync_<TenantID>. Abster-se de editar ou alterar o nome se quiser que o Centro de administração do Microsoft 365 reconheça as configurações como criadas e gerenciadas pelo Centro de administração do Microsoft 365.Os trabalhos de sincronização criados com o Microsoft Entra ID não aparecerão no centro de administração do Microsoft 365. O centro de administração do Microsoft 365 indicará um status de sincronização de saída de Não configurado. Este comportamento está previsto. Não há nenhum padrão suportado para o centro de administração do Microsoft 365 assumir o controle dos trabalhos de sincronização entre locatários criados no centro de administração do Microsoft Entra.
Definições de acesso entre inquilinos
A sincronização entre locatários no Microsoft Entra ID não oferece suporte ao estabelecimento de uma configuração de sincronização entre locatários antes que o locatário em questão permita a sincronização de entrada em suas configurações de acesso entre locatários para sincronização de identidade.
Portanto, antes da criação da organização multilocatário, o uso do modelo de configurações de acesso entre locatários para sincronização de identidade é incentivado, com
userSyncInbounddefinido como true.Da mesma forma, antes da criação da organização multilocatário, o uso do modelo de configurações de acesso entre locatários para configurações de parceiros é incentivado
automaticUserConsentSettings.inboundAllowedeautomaticUserConsentSettings.outboundAlloweddefinido como true.
Pedidos de adesão
Há várias razões pelas quais uma solicitação de associação pode falhar. Se o centro de administração do Microsoft 365 não indicar por que uma solicitação de associação não está sendo bem-sucedida, tente examinar a resposta da solicitação de associação usando as APIs do Microsoft Graph ou o Microsoft Graph Explorer.
Se você seguiu a sequência correta para criar uma organização multilocatária e adicionar um locatário à organização multilocatário, e a solicitação de associação do locatário adicionado continuar falhando, envie uma solicitação de suporte no centro de administração do Microsoft Entra ou do Microsoft 365.
Opções para provisionar seus usuários membros externos
- Se você já estiver usando a sincronização entre locatários do Microsoft Entra para várias topologias multi-hub multi-spoke, não precisará usar a funcionalidade de compartilhamento de usuários do centro de administração do Microsoft 365. Em vez disso, convém continuar usando seus trabalhos de sincronização interlocatários existentes do Microsoft Entra.
- Se você não tiver usado anteriormente a sincronização entre locatários do Microsoft Entra e pretender estabelecer uma topologia de conjunto de usuários colaboradores em que o mesmo conjunto de usuários seja compartilhado com todos os locatários da organização multilocatário, convém usar a funcionalidade de compartilhamento de usuários do centro de administração do Microsoft 365.
- Se você já tiver seu próprio mecanismo de provisionamento de usuários em escala, poderá utilizar os novos benefícios da organização multilocatária enquanto continua a usar seu próprio mecanismo para gerenciar o ciclo de vida de seus funcionários.
- Se você precisar criar usuários membros externos individuais em um locatário de host em vez de criá-los por meio de um mecanismo de provisionamento de um locatário de origem, consulte Como criar, convidar e excluir usuários.
Sincronização entre locatários no centro de administração do Microsoft Entra
Para organizações empresariais com configurações de identidade complexas, recomendamos que você use a sincronização entre locatários no centro de administração do Microsoft Entra.
Por padrão, os novos usuários B2B são provisionados como membros B2B, enquanto os hóspedes B2B existentes permanecem convidados B2B. Você pode optar por converter convidados B2B em membros B2B definindo Aplicar este mapeamento a Sempre.
Por padrão,
showInAddressListé sincronizado em um locatário de destino como true. Você pode ajustar esse mapeamento de atributos para corresponder às necessidades de suas organizações.O provisionamento em escala de usuários B2B pode colidir com objetos de contato. A manipulação ou conversão de objetos de contato não é suportada no momento.
Atualmente, não há suporte para o uso da sincronização entre locatários para direcionar identidades híbridas que foram convertidas em usuários B2B.
Sincronizar utilizadores no centro de administração do Microsoft 365
Para organizações multilocatárias menores, recomendamos o uso do Centro de administração do Microsoft 365 para sincronizar os usuários em vários locatários de sua organização multilocatário.
Para compartilhar usuários, o Centro de administração do Microsoft 365 cria vários trabalhos de sincronização entre locatários, um por locatário de destino, mantendo o mesmo escopo de usuário para todos os trabalhos.
Depois que o centro de administração do Microsoft 365 criou os trabalhos de sincronização entre locatários, você pode ajustar os mapeamentos de atributos no centro de administração do Microsoft Entra para corresponder às necessidades de suas organizações.
Convidados B2B ou membros B2B gerenciados no locatário anfitrião
A promoção de convidados B2B para membros B2B representa uma decisão estratégica das organizações multilocatárias de considerar os membros B2B como usuários confiáveis da organização. Revise as permissões padrão para membros B2B.
À medida que sua organização implementa a funcionalidade de organização multilocatário, incluindo o provisionamento de usuários B2B em locatários de organizações multilocatário, convém provisionar alguns usuários como convidados B2B, enquanto provisiona outros usuários como membros B2B.
Para promover convidados B2B a membros B2B, um administrador de locatário de host pode alterar o userType, supondo que a propriedade não esteja sincronizada repetidamente.
Convidados B2B ou membros B2B gerenciados usando sincronização entre locatários
Se a sincronização entre locatários for usada para sincronizar recorrentemente a propriedade userType , um administrador de locatário de origem poderá alterar os mapeamentos de atributo.
Talvez você queira estabelecer duas configurações de sincronização entre locatários do Microsoft Entra no locatário de origem, uma com mapeamentos de atributo userType configurados para convidado B2B e outra com mapeamentos de atributo userType configurados para membro B2B, cada um com Apply this mapping set to Always.
Ao mover um usuário do escopo de uma configuração para o outro, você pode facilmente controlar quem será um convidado B2B ou um membro B2B no locatário de destino. Usando essa abordagem, você também pode querer desabilitar as Ações de Objeto de Destino para Exclusão.
Lista de endereços global gerenciada no locatário do host
A propriedade showInAddressList de um usuário B2B pode ser atualizada com privilégios de Administrador de Usuário no Microsoft Graph Explorer ou no Microsoft Graph PowerShell.
A atualização da propriedade showInAddressList no objeto de usuário também atualizará a configuração ocultar destinatários das listas de endereços no Microsoft Exchange Online.
A configuração ocultar destinatários das listas de endereços , se configurada para diferir da propriedade showInAddressList , tem precedência na determinação da visibilidade da lista de endereços.
Se a configuração ocultar destinatários não for configurável no centro de administração do Exchange devido ao tipo de usuário Guest, ela poderá ser configurada no PowerShell usando a propriedade HiddenFromAddressListsEnabled .
Para obter mais informações, consulte Adicionar convidados à lista de endereços global.
Lista de endereços global gerenciada usando sincronização entre locatários
- Se a sincronização entre locatários for usada para sincronizar a propriedade, showInAddressList em um locatário de origem poderá ser usado para controlar a visibilidade da lista de endereços em um locatário de destino.
- Por outro lado, ocultar destinatário de listas de endereços no locatário de origem não pode ser usado para afetar a visibilidade da lista de endereços em um locatário de destino.
Aplicações Microsoft
Nas interfaces de usuário do OneDrive do SharePoint, ao compartilhar um arquivo com Pessoas na Fabrikam, as interfaces de usuário atuais podem ser contraintuitivas, porque os membros B2B na Fabrikam da Contoso contam para Pessoas na Fabrikam.
No Centro de administração do Microsoft 365, Microsoft Forms, Microsoft OneNote e Microsoft Planner, os usuários membros B2B podem não ser suportados.
No Microsoft Power BI, o suporte a membros B2B está atualmente em visualização. Os usuários convidados B2B podem continuar a acessar os painéis do Power BI.
No Microsoft Power Apps, no Microsoft Dynamics 365 e em cargas de trabalho relacionadas, os usuários membros B2B podem ter funcionalidade restrita. Para obter mais informações, consulte Convidar usuários com colaboração B2B do Microsoft Entra.
No Microsoft Purview, os recursos de organização multilocatária ainda não são suportados. Saiba mais sobre as funcionalidades existentes para usuários externos e conteúdo rotulado e sobre colaboração externa usando rótulos de sensibilidade.
No Microsoft Intune, os recursos de organização multilocatária ainda não são suportados. Saiba mais sobre as funcionalidades existentes para confiar em declarações de dispositivos compatíveis de organizações externas.
Usuários B2B ou membros B2B
Como parte de uma organização multilocatário, o resgate de redefinição para um usuário B2B já resgatado está desativado no momento.
O provisionamento em escala de usuários B2B pode colidir com objetos de contato. A manipulação ou conversão de objetos de contato não é suportada no momento.
O uso da sincronização entre locatários para direcionar identidades híbridas que foram convertidas em usuários B2B não foi testado na origem de conflitos de autoridade e não é suportado.
Os usuários conectados são capazes de ler atributos básicos de uma organização multilocatária e dos locatários membros da organização multilocatário, sem que lhes sejam atribuídas funções, como Leitor de Segurança ou Leitor Global.
Desprovisionamento de sincronização entre locatários
Por padrão, quando o escopo de provisionamento é reduzido enquanto um trabalho de sincronização está em execução, os usuários saem do escopo e são excluídos suavemente, a menos que as Ações de Objeto de Destino para Exclusão estejam desabilitadas. Para obter mais informações, consulte Desprovisionamento e definir quem está no escopo do provisionamento.
Atualmente, SkipOutOfScopeDeletions funciona para trabalhos de provisionamento de aplicativos, mas não para sincronização entre locatários. Para evitar a exclusão suave de usuários retirados do escopo da sincronização entre locatários, defina Target Object Actions for Delete como desabilitado.