Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Visión general
La sincronización entre inquilinos automatiza la creación, actualización y eliminación de usuarios y grupos de colaboración de Microsoft Entra B2B entre inquilinos de una organización. Permite a los usuarios acceder a las aplicaciones y colaborar entre inquilinos, a la vez que permite el desarrollo de la organización.
Los objetivos principales de la sincronización entre inquilinos son:
- Colaboración perfecta para una organización multiinquilino
- Administración automatizada del ciclo de vida de los usuarios de colaboración B2B en una organización multiinquilino
- Eliminación automática de cuentas B2B cuando un usuario abandona la organización
Conveniencia de usar la sincronización entre inquilinos
La sincronización entre inquilinos automatiza la creación, actualización y eliminación de usuarios y grupos de colaboración B2B. Los usuarios creados a través de la sincronización entre inquilinos pueden acceder tanto a aplicaciones Microsoft (como Teams como SharePoint) como a aplicaciones que no Microsoft (como ServiceNow, Adobe y muchas más), independientemente del inquilino con el que se integren las aplicaciones.
Estos usuarios siguen beneficiándose de las funcionalidades de seguridad de Microsoft Entra ID, como Acceso condicional de Microsoft Entra y configuración de acceso entre inquilinos. Pueden ser gestionados mediante características como Microsoft Entra gestión de derechos.
En el diagrama siguiente se muestra cómo puede usar la sincronización entre inquilinos para permitir que los usuarios accedan a aplicaciones entre inquilinos de su organización.
¿Quién debe usar la sincronización entre inquilinos?
Las organizaciones que poseen varios inquilinos de Microsoft Entra y desean simplificar el acceso a aplicaciones entre inquilinos dentro de la organización pueden beneficiarse de la sincronización entre inquilinos.
La sincronización entre inquilinos se puede usar en todas las organizaciones, pero hacerlo podría introducir responsabilidades de cumplimiento adicionales. Los clientes son responsables de garantizar que su uso cumpla los requisitos normativos, de seguridad y privacidad aplicables, incluido el Reglamento general de protección de datos (RGPD) de la Unión Europea.
Microsoft no facilita la recopilación de consentimiento del usuario a través de la sincronización entre inquilinos. Los clientes deben evaluar si su escenario requiere consentimiento del usuario, minimización de datos u otras medidas de seguridad. Los clientes también deben consultar a sus equipos legales o de cumplimiento antes de activar la sincronización inter-organizacional o la sincronización entre unidades dentro de organizaciones.
Ventajas
Con la sincronización entre inquilinos, puedes:
- Cree automáticamente usuarios de colaboración B2B dentro de su organización y asígneles acceso a las aplicaciones que necesitan, sin crear y mantener scripts personalizados.
- Mejore la experiencia del usuario asegurándose de que los usuarios puedan acceder a los recursos sin recibir un correo electrónico de invitación y tener que aceptar un mensaje de consentimiento en cada inquilino.
- Los usuarios se actualizan automáticamente y se quitan cuando dejan la organización.
Teams y Microsoft 365
Los usuarios creados a través de la sincronización entre inquilinos tienen la misma experiencia al acceder a Microsoft Teams y otros servicios de Microsoft 365 que los usuarios de colaboración B2B creados a través de una invitación manual. Si su organización usa canales compartidos, consulte Problemas conocidos para el aprovisionamiento en Microsoft Entra ID para obtener más información. Con el tiempo, los distintos servicios de Microsoft 365 usarán el valor member de la propiedad userType para proporcionar experiencias diferenciadas para los usuarios de una organización de multitenencia.
Propiedades
Al configurar la sincronización entre inquilinos, se define una relación de confianza entre un inquilino de origen y uno de destino. La sincronización entre inquilinos tiene las propiedades siguientes:
- Se basa en el motor de aprovisionamiento de Microsoft Entra.
- Es un proceso push desde el tenant de origen, no un proceso pull desde el tenant de destino.
- Solo admite la transferencia de miembros internos desde el inquilino de origen. No admite la sincronización de usuarios externos desde el inquilino de origen.
- Los usuarios del ámbito de sincronización se configuran en el inquilino de origen.
- La asignación de atributos se configura en el inquilino de origen.
- Se admiten atributos de extensión.
- Los administradores de inquilinos de destino pueden detener una sincronización en cualquier momento.
En la tabla siguiente se muestran las partes de la sincronización entre inquilinos y el inquilino para el que están configurados.
| Inquilino | Entre inquilinos Configuración de acceso |
Canje automático | Configuración de sincronización configuración |
Usuarios en el ámbito |
|---|---|---|---|---|
Inquilino de origen |
✔️ | ✔️ | ✔️ | |
Inquilino de destino |
✔️ | ✔️ |
Configuración de sincronización entre inquilinos
La configuración de sincronización entre inquilinos es una configuración organizativa de solo entrada para permitir que el administrador de un inquilino de origen sincronice usuarios y grupos en un inquilino de destino. Estas opciones de configuración son casillas con los nombres Permitir la sincronización de usuarios en este inquilino y Permitir la sincronización de grupos en este inquilino que se especifican en el inquilino de destino. Esta configuración no afecta a las invitaciones B2B creadas a través de otros procesos, como invitaciónmanual o Microsoft Entra administración de derechos.
Para configurar estas opciones mediante Microsoft Graph, consulte la API Update crossTenantIdentitySyncPolicyPartner. Para obtener más información, vea Configuración de la sincronización entre inquilinos.
Configuración de canje automático
La configuración de rescate automático es un ajuste de confianza organizacional para entradas y salidas que permite rescatar automáticamente las invitaciones. Con esta configuración, los usuarios no tienen que aceptar el aviso de consentimiento la primera vez que acceden al recurso o al inquilino de destino. Esta configuración es una casilla de verificación con el nombre Canjear automáticamente las invitaciones con el inquilinonombre del inquilino.
¿Cómo funciona la configuración en varios escenarios?
La configuración de canje automático se aplica a la sincronización entre inquilinos, la colaboración B2B y la conexión directa B2B en las situaciones siguientes:
- Cuando se crean usuarios en un inquilino de destino mediante la sincronización entre inquilinos.
- Cuando se añaden usuarios a un tenant de recursos mediante la colaboración B2B.
- Cuando los usuarios acceden a recursos en un inquilino de recursos mediante la conexión directa B2B.
En la tabla siguiente se muestra cómo funciona esta configuración al habilitarla para estos escenarios.
| Artículo | Sincronización entre inquilinos | Colaboración B2B | Conexión directa B2B |
|---|---|---|---|
| Configuración de canje automático | Obligatorio | Opcional | Opcional |
| Los usuarios reciben un correo electrónico de invitación de colaboración B2B | No | No | No aplicable |
| Los usuarios deben aceptar un mensaje de consentimiento | No | No | No |
| Los usuarios reciben un correo electrónico de notificación de colaboración B2B | No | Sí | No aplicable |
Esta configuración no afecta a las experiencias de consentimiento de la aplicación. Para más información, consulte Experiencia de consentimiento para aplicaciones en Microsoft Entra ID.
Esta configuración es compatible con organizaciones en diferentes entornos en la nube de Microsoft, como Azure Commercial y Azure Government. Para obtener más información, vea Configuración de la sincronización entre inquilinos.
¿Cuándo se suprime el aviso de consentimiento?
La configuración de canje automático suprime el mensaje de consentimiento y el correo electrónico de invitación solo si selecciona esta configuración para el inquilino principal o de origen (saliente) y el inquilino de recurso/destino (entrante).
La siguiente tabla muestra el comportamiento de la solicitud de consentimiento para los usuarios del inquilino de origen cuando se selecciona la configuración de canje automático para diversas combinaciones de configuraciones de acceso entre inquilinos.
| Inquilino de inicio u origen | Inquilino de recurso o destino | Comportamiento de solicitud de consentimiento para usuarios de inquilinos de origen |
|---|---|---|
| Saliente | Entrante | |
|
|
Suprimida |
|
|
|
No suprimida |
|
|
|
No suprimida |
|
|
|
No suprimida |
| Entrante | Saliente | |
|
|
|
No suprimida |
|
|
|
No suprimida |
|
|
|
No suprimida |
|
|
|
No suprimida |
Para configurar esta configuración mediante Microsoft Graph, consulte la Update crossTenantAccessPolicyConfigurationPartner API. Para obtener más información, vea Configuración de la sincronización entre inquilinos.
¿Cómo saben los usuarios a qué inquilinos pertenecen?
Para la sincronización entre inquilinos, los usuarios no reciben un correo electrónico ni tienen que aceptar una solicitud de consentimiento. Si los usuarios quieren ver a qué inquilinos pertenecen, pueden abrir su página Mi cuenta y seleccionar Organizaciones. En el Centro de administración Microsoft Entra, los usuarios pueden abrir su configuración de portal, ver Directories + suscripciones y cambiar de directorio.
Para obtener más información, incluida la información de privacidad, vea Salir de una organización como usuario externo.
Pasos para empezar
Estos son los pasos básicos para empezar a usar la sincronización entre inquilinos.
Paso 1: Definir cómo estructurar los inquilinos de la organización
La sincronización entre inquilinos brinda una solución flexible para permitir la colaboración, pero cada organización es diferente. Por ejemplo, puede tener un inquilino central, inquilinos satélite o una malla de inquilinos. La sincronización entre inquilinos admite cualquiera de estas topologías. Para obtener más información, vea Topologías de la sincronización entre inquilinos.
Paso 2: Habilitar la sincronización entre inquilinos en el inquilino de destino
En el inquilino de destino donde se crean los usuarios, vaya al panel Configuración de acceso entre inquilinos. Aquí habilitará la sincronización entre inquilinos y la configuración de canje automático B2B mediante la activación de las casillas correspondientes. Para obtener más información, vea Configuración de la sincronización entre inquilinos.
Paso 3: Habilitar la sincronización entre inquilinos en el inquilino de origen
En cualquier inquilino de origen, vaya al panel Configuración de acceso entre inquilinos y habilite la función de canje automático B2B. A continuación, use el panel Sincronización entre inquilinos para configurar un trabajo de sincronización entre inquilinos y especificar:
- Qué usuarios desea sincronizar.
- Qué atributos desea incluir.
- Cualquier transformación.
Para cualquier persona que haya usado Microsoft Entra ID para aprovisionar identidades en una aplicación de software como servicio (SaaS, esta experiencia es familiar. Después de configurar la sincronización, puede empezar a probar con algunos usuarios y asegurarse de que se crean con todos los atributos que necesita. Al finalizar las pruebas, puede agregar rápidamente más usuarios para sincronizar y implementar en toda la organización. Para obtener más información, vea Configuración de la sincronización entre inquilinos.
Requisitos de licencia
En la tabla siguiente se enumeran las licencias necesarias, en función de su escenario.
| Escenario | Inquilino de origen | Inquilino de destino |
|---|---|---|
| Sincronización entre clientes para usuarios (dentro de la misma nube) | Licencias de Microsoft Entra ID P1 | No aplicable |
| Sincronización entre inquilinos para grupos (misma nube) | Gobierno de Microsoft Entra ID o licencias de Microsoft Entra Suite | No aplicable |
| Sincronización entre nubes | Gobierno de Microsoft Entra ID o licencias de Microsoft Entra Suite | No aplicable |
Source tenant: Cada usuario que esté sincronizado con la sincronización entre inquilinos debe tener una licencia de Microsoft Entra ID P1 en su inquilino principal o de origen. Cada usuario que esté sincronizado con la sincronización entre nubes debe tener una licencia de Gobierno de Microsoft Entra ID o Microsoft Entra Suite en su inquilino principal o de origen. Para obtener más información, consulte Planes y precios de Microsoft Entra y Aspectos básicos de las licencias de gobernanza de identificadores de Microsoft Entra.
Entidad destino: No se requieren licencias para la sincronización entre entidades o la sincronización entre nubes en la entidad destino. Sin embargo, en función de las características que use en el inquilino de destino, es posible que necesite licencias adicionales. Por ejemplo, los clientes que habilitaron la facturación de identificadores externos y que aprovisionan invitados externos pueden cobrarse según el modelo de facturación de Id. externa de Microsoft Entra.
Preguntas más frecuentes
Nubes
Dentro de la misma nube, ¿dónde puedo usar la sincronización entre inquilinos?
La sincronización entre inquilinos se admite en la nube comercial, Azure Government y 21Vianet.
| Fuente | Objetivo | Dominios de enlace del portal de Azure |
|---|---|---|
| Azure Commercial | Azure Commercial |
portal.azure.com -->portal.azure.com |
| Azure Government (servicio de nube de Microsoft para el gobierno) | Azure Government (servicio de nube de Microsoft para el gobierno) |
portal.azure.us -->portal.azure.us |
| 21Vianet (China) | 21Vianet (China) |
portal.azure.cn -->portal.azure.cn |
¿Se admite la sincronización entre nubes?
Sí, se admite la sincronización multicloud (como entre nube pública y Azure Government).
Para obtener información sobre la relación entre los entornos de nube de Azure y Microsoft 365 (GCC, GCC High), consulte Microsoft 365 integration.
¿Qué pares de nube se admiten para la sincronización entre nubes?
La sincronización entre nubes admite estos pares de nube:
| Fuente | Objetivo | Dominios de enlace del portal de Azure |
|---|---|---|
| Azure Commercial | Azure Government (servicio de nube de Microsoft para el gobierno) |
portal.azure.com -->portal.azure.us |
| Azure Government (servicio de nube de Microsoft para el gobierno) | Azure Commercial |
portal.azure.us -->portal.azure.com |
| Azure Commercial | Azure operado por 21Vianet (Azure en China) |
portal.azure.com -->portal.azure.cn |
¿Cuáles son las diferencias entre la sincronización entre inquilinos y la sincronización entre nubes?
La sincronización entre inquilinos y la sincronización entre nubes se crean a través de las mismas tecnologías y son fundamentalmente las mismas. La principal diferencia es que la sincronización se produce entre nubes en lugar de dentro de la misma nube.
¿La sincronización entre nubes tiene limitaciones?
La sincronización del manager atributo no se admite actualmente en la sincronización entre nubes.
Para conocer las limitaciones de las organizaciones multiinquilino, consulte Preguntas más frecuentes sobre organizaciones multiinquilino.
Para ver las limitaciones de Microsoft 365 con miembros externos, consulte Colaboración con invitados de otros entornos de nube de Microsoft 365.
Usuarios B2B existentes
¿La sincronización entre inquilinos puede administrar usuarios B2B existentes?
Sí. La sincronización entre inquilinos utiliza un atributo interno llamado alternativeSecurityIdentifier para vincular de manera única a un usuario interno en el inquilino de origen con un usuario externo o B2B en el inquilino de destino. La sincronización entre arrendatarios puede actualizar a los usuarios B2B existentes para asegurarse de que cada usuario tenga solo una cuenta.
La sincronización entre inquilinos no puede hacer coincidir a un usuario interno del inquilino de origen con un usuario interno del inquilino de destino (tanto de tipo member como de tipo guest).
Frecuencia de sincronización
¿Con qué frecuencia se ejecuta la sincronización entre inquilinos?
El intervalo de sincronización está fijado actualmente para que comience a intervalos de 40 minutos. La duración de la sincronización varía en función del número de usuarios que hay en el ámbito. Es probable que el ciclo de sincronización inicial tarde mucho más que los ciclos de sincronización incremental posteriores.
Ámbito
¿Cómo controlo lo que se sincroniza en el inquilino de destino?
En el inquilino de origen, puede controlar qué usuarios se aprovisionan mediante los filtros basados en la configuración o en los atributos. También puede controlar qué atributos del objeto de usuario se sincronizan. Para obtener más información, vea Asignación de ámbito a los usuarios o grupos que se van a aprovisionar con filtros de ámbito.
Si se elimina a un usuario del ámbito de sincronización en un inquilino de origen, ¿la sincronización entre inquilinos lo eliminará temporalmente en el inquilino de destino?
Sí.
Tipos de objeto
¿Qué tipos de objeto puedo sincronizar?
Puede sincronizar Microsoft Entra usuarios y grupos de seguridad entre inquilinos. Actualmente no se admiten dispositivos ni contactos.
¿Qué tipos de usuario puedo sincronizar?
Puede sincronizar miembros internos desde inquilinos de origen. No puede sincronizar invitados internos desde inquilinos de origen.
Puede sincronizar usuarios con los inquilinos de destino como miembros externos (por defecto) o como invitados externos.
Para obtener más información sobre las userType definiciones, consulte Descripción y administración de las propiedades de los usuarios invitados de B2B.
Tengo usuarios de colaboración B2B existentes. ¿Qué pasará con ellos?
La sincronización entre inquilinos identifica al usuario y realiza las actualizaciones necesarias, como la del nombre para mostrar. De forma predeterminada, userType no se actualiza de guest a member. Puede configurar esta propiedad en las asignaciones de atributos.
Atributos
¿Qué atributos de usuario puedo sincronizar?
La sincronización entre arrendatarios puede sincronizar atributos usados habitualmente en el objeto de usuario en Microsoft Entra ID, incluidos (pero no limitados a) displayName, userPrincipalName y atributos de extensión de directorio.
La sincronización entre inquilinos admite el aprovisionamiento del atributo manager en la nube comercial de Azure. La sincronización del administrador no se admite actualmente en la nube de la Administración Pública de EE. UU. Para que pueda asignar el atributo manager, tanto el usuario como su responsable deben estar incluidos en el ámbito de la sincronización entre inquilinos.
Para configuraciones de sincronización entre inquilinos creadas después de enero de 2024 con las asignaciones de atributos o esquema predeterminadas:
- El
manageratributo se agrega automáticamente a las asignaciones de atributos. - Las actualizaciones del administrador se aplican en el ciclo incremental para los usuarios que están realizando cambios (por ejemplo, un cambio de administrador). El motor de sincronización no actualiza automáticamente todos los usuarios existentes aprovisionados anteriormente.
- Para actualizar el administrador para los usuarios existentes que están en el ámbito de aprovisionamiento, puede usar el aprovisionamiento a petición para usuarios específicos o realizar un reinicio para aprovisionar el administrador para todos los usuarios.
Para las configuraciones de sincronización entre inquilinos creadas antes de enero de 2024 con asignaciones de atributos o esquemas personalizados (por ejemplo, ha agregado un atributo a las asignaciones o ha cambiado las asignaciones predeterminadas):
- Debe agregar el atributo
managera las asignaciones de atributos. Esta acción desencadena un reinicio y actualiza todos los usuarios que están en el ámbito del aprovisionamiento. Este proceso debe consistir en una asignación directa del atributomanagerdel inquilino de origen al atributomanagerdel inquilino de destino.
Si el administrador de un usuario se quita en el inquilino de origen y no se asigna ningún nuevo administrador en el inquilino de origen, el manager atributo no se actualiza en el inquilino de destino.
¿Qué atributos no puedo sincronizar?
No puede usar la sincronización entre inquilinos para sincronizar atributos como fotos, atributos de seguridad personalizados y atributos de usuario fuera del directorio.
¿Puedo controlar dónde se obtienen o administran los atributos de usuario?
La sincronización entre inquilinos no ofrece control directo sobre el origen de la autoridad. El usuario y sus atributos se consideran autoritativos en el inquilino de origen.
Existen flujos de trabajo paralelos de fuentes de autoridad que desarrollarán controles de fuente de autoridad para los usuarios hasta el nivel de los atributos. Un objeto de usuario en el origen podría reflejar en última instancia varios orígenes subyacentes. En el proceso de inquilino a inquilino, esta situación sigue tratándose como si los valores del inquilino de origen fueran los que prevalecen para el proceso de sincronización (incluso si algunas partes proceden de otros lugares) en el inquilino de destino. Actualmente, no hay compatibilidad para revertir el origen de autoridad del proceso de sincronización.
La sincronización entre inquilinos admite la fuente de autoridad solo a nivel de objeto. Todos los atributos de un usuario deben proceder del mismo origen, incluidas las credenciales. No es posible invertir el origen de autoridad ni la dirección de federación de un objeto sincronizado.
¿Qué ocurre si cambio los atributos de un usuario sincronizado en el inquilino de destino?
La sincronización entre inquilinos no consulta los cambios en el destino. Si no realiza ningún cambio en el usuario sincronizado en el inquilino de origen, los cambios de atributo de usuario realizados en el inquilino de destino persisten. Si realiza cambios en el usuario del inquilino de origen, durante el siguiente ciclo de sincronización, el usuario del inquilino de destino se actualiza para que coincida con el usuario del inquilino de origen.
¿Puede el cliente de destino bloquear manualmente el inicio de sesión de un usuario del cliente original o principal que esté sincronizado?
Si no realiza ningún cambio en el usuario sincronizado en el inquilino de origen, la configuración para bloquear el inicio de sesión en el inquilino de destino persiste. Si se detecta un cambio para el usuario en el inquilino de origen, la sincronización entre inquilinos vuelve a habilitar ese usuario que está bloqueado para iniciar sesión en el inquilino de destino.
Sincronización de grupos
¿Se admite la sincronización de grupos?
Sí, la sincronización entre inquilinos puede crear grupos de seguridad en el inquilino de destino.
Cuando se sincroniza un grupo, se sincronizan todos los miembros del grupo que están en el ámbito de la sincronización. Para obtener más información, vea Configuración de la sincronización entre inquilinos.
¿Qué ocurre si ya existe un grupo en el inquilino de destino?
Si existe un grupo en el inquilino de destino (creado fuera de la sincronización entre inquilinos), la sincronización entre inquilinos no la actualiza.
¿Qué tipos de grupo se admiten?
| Apoyo | Fuente | Objetivo |
|---|---|---|
| Soportado | Grupo de seguridad (estático y dinámico) Grupo de Microsoft 365 |
Grupo de seguridad (estático) |
| No soportado | Todos los demás tipos de grupo, como: - Grupos de seguridad habilitados para correo - Buzón compartido - Grupos de distribución dinámicos - Grupos de distribución |
Todos los demás tipos de grupo, como: - Grupos de Microsoft 365 - Grupos de seguridad habilitados para correo - Buzón compartido - Grupos de distribución dinámicos - Grupos de distribución |
¿Cuáles son las restricciones para sincronizar grupos?
Actualmente no se admite la creación de grupos como asignación de roles.
No se admiten los grupos anidados.
La sincronización entre inquilinos no crea grupos Microsoft 365, grupos de distribución, grupos de seguridad habilitados para correo o listas de distribución.
El ámbito de sincronización debe establecerse en Sincronizar solo los usuarios y grupos asignados. La opción Sincronizar todos los usuarios no se admite cuando está habilitada la sincronización de grupos.
No se admite la sincronización de grupos entre entornos en la nube, como Azure comerciales, Azure Government y Azure en China.
Los cambios en el grupo del inquilino de destino no se anulan automáticamente. Solo se anulan si se produce un cambio en el grupo del inquilino de origen.
Por ejemplo, si un grupo se sincroniza entre el inquilino A y el inquilino B y un administrador realiza un cambio en el grupo del inquilino B, ese cambio persiste en el inquilino B. El motor de sincronización no detecta el cambio realizado en el grupo en el inquilino de destino, por lo que no invalida el cambio.
Si se crea un grupo fuera de la sincronización entre inquilinos, no se incluye en la sincronización entre inquilinos.
Estructura
¿Puedo sincronizar una red entre varios inquilinos?
La sincronización cruzada entre inquilinos se configura como una sincronización entre iguales y unidireccional. Es decir, la sincronización se configura entre un inquilino de origen y un inquilino de destino. Puede configurar varias instancias de sincronización entre inquilinos para sincronizar desde una única fuente a varios destinos y desde varias fuentes a un único destino. Pero solo puede existir una instancia de sincronización entre un origen y un destino.
La sincronización entre entidades solo sincroniza a los usuarios que son internos de la entidad de origen. Esta limitación garantiza que no se produzca un bucle en el que un usuario se vuelva a escribir en el mismo inquilino.
Se admiten varias topologías. Para obtener más información, vea Topologías de la sincronización entre inquilinos.
¿Puedo utilizar la sincronización entre inquilinos entre organizaciones (fuera de mi organización multiinquilino)?
Por motivos de privacidad, la sincronización entre inquilinos está pensada para su uso dentro de una organización. Considere la posibilidad de usar la administración de derechos para invitar a usuarios de colaboración B2B entre organizaciones.
¿Puedo usar la sincronización entre inquilinos para migrar usuarios de un inquilino a otro?
No. La sincronización entre inquilinos no es una herramienta de migración porque el inquilino de origen se necesita para que los usuarios sincronizados se autentiquen. Además, las migraciones de inquilinos requerirían migrar datos de usuario, como SharePoint y datos de OneDrive.
Colaboración B2B
¿La sincronización entre inquilinos resuelve las limitaciones de colaboración B2B presentes?
Dado que la sincronización entre inquilinos se basa en la tecnología de colaboración B2B existente, se aplican limitaciones existentes. Algunos ejemplos son los siguientes:
| Aplicación o servicio | Limitaciones |
|---|---|
| Power BI | La compatibilidad con un valor UserType de Member en Power BI se encuentra actualmente en versión preliminar. Para obtener más información, consulte Distribuir contenido de Power BI a usuarios invitados externos con Microsoft Entra B2B. |
| Azure Virtual Desktop | Para ver las limitaciones, consulte Prerequisites para Azure Virtual Desktop. |
| Equipos de Microsoft | Para ver las limitaciones, consulte Collaborate con invitados de otros entornos de nube de Microsoft 365. |
Conexión directa B2B
¿Cómo se relaciona la sincronización entre inquilinos con la conexión directa B2B?
La conexión directa B2B es la tecnología de identidad subyacente necesaria para los canales compartidos de Teams Connect.
La conexión directa B2B y la sincronización entre inquilinos están diseñadas para coexistir. Puede habilitarlos ambos para obtener una amplia cobertura de escenarios entre inquilinos.
Se recomienda usar la colaboración B2B para todos los demás escenarios de acceso a aplicaciones entre inquilinos, incluidas las aplicaciones de Microsoft y las que no son de Microsoft.
Estoy intentando determinar la medida en que necesito usar la sincronización entre inquilinos en mi organización multiinquilino. ¿Tiene previsto ampliar la compatibilidad con la conexión directa B2B más allá de Teams Connect?
No hay planes para ampliar la compatibilidad con la conexión directa B2B más allá de los canales compartidos de Teams Connect.
Microsoft 365
¿Mejora la sincronización entre inquilinos cualquier experiencia de usuario de Microsoft 365 entre inquilinos para el acceso a aplicaciones?
La sincronización entre entidades utiliza una característica que mejora la experiencia del usuario al suprimir la solicitud inicial de consentimiento B2B y el proceso de redención en cada entidad.
Los usuarios sincronizados tienen las mismas experiencias inter-tenant de Microsoft 365 disponibles para cualquier otro usuario de colaboración B2B.
¿La sincronización entre inquilinos puede habilitar escenarios de búsqueda de personas en Microsoft 365?
Sí, la sincronización entre inquilinos puede habilitar la búsqueda de personas en Microsoft 365. Asegúrese de que el atributo showInAddressList está establecido en True para los usuarios de la entidad de destino. El atributo showInAddressList se establece en True de forma predeterminada en las asignaciones de atributos para la sincronización entre inquilinos.
La sincronización entre inquilinos crea usuarios de colaboración B2B y no crea contactos.
Equipos
¿Mejora la sincronización entre inquilinos alguna experiencia actual de Teams?
Los usuarios sincronizados tienen las mismas experiencias de Microsoft 365 entre inquilinos que están disponibles para cualquier otro usuario de colaboración B2B.
Integración
¿Qué opciones de federación se admiten para los usuarios del inquilino de destino de vuelta al inquilino de origen?
Para cada usuario interno del inquilino de origen, la sincronización entre inquilinos crea un usuario externo federado (que se usa normalmente en B2B) en el destino.
La sincronización entre inquilinos admite la sincronización de usuarios internos. Este soporte incluye usuarios internos que se federan con otros sistemas de identidad a través de la federación de dominio (por ejemplo, Servicios de federación de Active Directory (AD FS)). La sincronización entre inquilinos no admite la sincronización de usuarios externos.
¿La sincronización entre inquilinos usa SCIM?
No. Actualmente, Microsoft Entra ID admite un cliente de System for Cross-domain Identity Management (SCIM), pero no un servidor SCIM. Para obtener más información, consulte Sincronización de SCIM con Microsoft Entra ID.
Desaprovisionamiento
¿La sincronización entre inquilinos admite el desaprovisionamiento de usuarios?
Sí. Cuando se producen las siguientes acciones en el inquilino de origen, el usuario se elimina temporalmente en el inquilino de destino:
- Se elimina al usuario en el inquilino de origen.
- Desvincula al usuario de la configuración de sincronización entre inquilinos.
- Usted elimina al usuario de un grupo que está asignado a la configuración de sincronización entre inquilinos.
- Un atributo del usuario cambia de tal manera que ya no cumple las condiciones del filtro de ámbito definidas en la configuración de sincronización entre inquilinos.
Si el usuario está bloqueado para iniciar sesión en el inquilino de origen (accountEnabled = false), se le impide iniciar sesión en el destino. Esta acción no es una eliminación, sino una actualización de la accountEnabled propiedad .
Los usuarios no se eliminan de forma reversible de la instancia de destino en este escenario:
- Agregue un usuario a un grupo y asígnelo a la configuración de sincronización entre inquilinos en el inquilino de origen.
- Se aprovisiona al usuario bajo demanda o a través del ciclo incremental.
- Actualice el estado
accountEnabledafalsepara el usuario en el tenant de origen. - Se aprovisiona al usuario bajo demanda o a través del ciclo incremental. El estado
accountEnabledcambia afalseen el inquilino de destino. - Quite al usuario del grupo en el entorno de origen.
¿La sincronización entre inquilinos admite la restauración de usuarios?
Sí. Si el usuario del inquilino de origen se restaura, se le reasigna a la aplicación y vuelve a cumplir la condición de ámbito en los 30 días siguientes a la eliminación temporal, el usuario se restaura en el inquilino de destino.
Los administradores de TI también pueden restaurar manualmente el usuario directamente en el inquilino de destino.
¿Cómo puedo desaprovisionar todos los usuarios que están actualmente en el ámbito de la sincronización entre inquilinos?
Desasigne todos los usuarios y grupos de la configuración de sincronización entre inquilinos. Esta acción provoca que todos los usuarios que estaban sin asignar, ya sea directamente o a través de la pertenencia a un grupo, sean desaprovisionados en los ciclos de sincronización posteriores. El inquilino de destino debe mantener habilitada la directiva de entrada para la sincronización hasta que se complete la desasignación.
Si el ámbito se establece en Sincronizar todos los usuarios, debe cambiarlo a Sincronizar solo los usuarios y grupos asignados. La sincronización entre entidades elimina suavemente a los usuarios. Los usuarios se eliminan definitivamente de forma automática después de 30 días, o puede optar por eliminar definitivamente a los usuarios directamente del arrendatario de destino.
Si se rompe la relación de sincronización, ¿se eliminan los usuarios externos que fueron previamente gestionados por la sincronización entre entidades en la entidad de destino?
No. Si la relación está rota (por ejemplo, si se elimina la directiva de sincronización entre inquilinos), no se realizan cambios en los usuarios externos que ha administra previamente la sincronización entre inquilinos.