Freigeben über

Beitreten oder Verlassen einer mehrinstanzenfähigen organization in Microsoft 365

Um einem mehrinstanzenfähigen organization beizutreten, muss ein globaler Administrator in der Besitzer-organization zuerst Ihre organization dem mehrinstanzenfähigen organization hinzufügen. Danach können Sie dem mehrinstanzenfähigen organization beitreten. Sie benötigen die Mandanten-ID des Besitzers organization, um beitreten zu können.

Nachdem Sie beigetreten sind, können Sie jederzeit eine mehrinstanzenfähige organization verlassen.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Wenn Sie einem vorhandenen mehrinstanzenfähigen organization beitreten, werden die folgenden Einstellungen in Microsoft Entra ID konfiguriert:

  • Es wird eine mandantenübergreifende Synchronisierungskonfiguration mit dem Namen MTO_Sync_<TenantID> hinzugefügt, aber es wurden noch keine Synchronisierungsaufträge erstellt. (Wenn Sie bereits über eine mandantenübergreifende Synchronisierungskonfiguration verfügen, bleibt sie unverändert.)
  • Eine organization Beziehung wird den mandantenübergreifenden Zugriffseinstellungen basierend auf den mehrinstanzenfähigen organization Vorlagen für mandantenübergreifenden Zugriff und Identitätssynchronisierung hinzugefügt. (Wenn bereits eine Organisationsbeziehung vorhanden ist, wird die vorhandene verwendet.)
  • Die mehrinstanzenfähige organization Vorlage für die Identitätssynchronisierung ist so festgelegt, dass Benutzer mit diesem Mandanten synchronisieren können.
  • Die mehrinstanzenfähige Organisationsvorlage für den mandantenübergreifenden Zugriff wird so festgelegt, dass Benutzereinladungen sowohl eingehend als auch ausgehend automatisch eingelöst werden.

Wenn Sie eine mehrinstanzenfähige organization verlassen, sind die mandantenübergreifenden Zugriffseinstellungen und mandantenübergreifenden Synchronisierungskonfigurationen in Microsoft Entra ID nicht betroffen.

Einbinden einer vorhandenen mehrinstanzenfähigen organization

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

So schließen Sie sich einer vorhandenen mehrinstanzenfähigen organization in Microsoft 365 an:

  1. Melden Sie sich beim Microsoft 365 Admin Center als globaler Administrator an.
  2. Erweitern Sie Einstellungen , und wählen Sie Organisationseinstellungen aus.
  3. Wählen Sie auf der Registerkarte Organisationsprofil die Option Mehrinstanzenfähige Zusammenarbeit aus.
  4. Wählen Sie Erste Schritte aus.
  5. Wählen Sie Vorhandenen mehrinstanzenfähigen organization beitreten aus.
  6. Geben Sie die Mandanten-ID des Besitzers organization ein.
  7. Aktivieren Sie die Kontrollkästchen Benutzern die Synchronisierung mit diesem Mandanten von den anderen Mandanten in diesem mehrinstanzenfähigen organization erlauben und Zustimmungsaufforderungen für Benutzer aus dem anderen Mandanten unterdrücken, wenn sie auf Apps und Ressourcen in meinem Mandanten zugreifen.
  8. Wählen Sie Weiter aus.
  9. Wählen Sie Fertig aus.

Es kann bis zu vier Stunden dauern, bis Ihr Mandant mit dem mehrinstanzenfähigen organization verbunden ist.

Hinweis

Wenn beim Beitreten zum mehrinstanzenfähigen organization ein Fehler auftritt, versuchen Sie es nach zwei Stunden erneut. Wenn der Fehler erneut auftritt, wenden Sie sich an den Microsoft-Support.

Der nächste Schritt nach dem Beitritt zum mehrinstanzenfähigen organization besteht darin, Ihre Benutzer mit den anderen Mandanten zu synchronisieren. Weitere Informationen finden Sie unter Synchronisieren von Benutzern in mehrinstanzenfähigen Organisationen in Microsoft 365.

Belassen Sie eine mehrinstanzenfähige organization

Sie können eine mehrinstanzenfähige organization belassen, solange Ihr Mandant nicht der letzte Besitzermandant im mehrinstanzenfähigen organization ist. Sie können auch andere Mitgliedsmandanten entfernen.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

So entfernen Sie einen Mandanten aus einem mehrinstanzenfähigen organization in Microsoft 365:

  1. Melden Sie sich beim Microsoft 365 Admin Center als globaler Administrator an.
  2. Erweitern Sie Einstellungen , und wählen Sie Organisationseinstellungen aus.
  3. Wählen Sie auf der Registerkarte Organisationsprofil die Option Mehrinstanzenfähige Zusammenarbeit aus.
  4. Aktivieren Sie das Kontrollkästchen neben dem Mandanten, den Sie entfernen möchten.
  5. Wählen Sie Mandant entfernen aus.
  6. Lesen Sie die Details zum Entfernen des Mandanten im Seitenbereich, und wählen Sie dann Mandant entfernen aus.

Durch das Entfernen eines Mandanten werden keine Benutzersynchronisierungskonfigurationen oder mandantenübergreifende Zugriffseinstellungen in Microsoft Entra ID geändert. Es wird empfohlen, diese Einstellungen zu überprüfen und alle erforderlichen Updates vorzunehmen, nachdem der Mandant entfernt wurde.

Entfernen synchronisierter Benutzer aus anderen Mandanten

Wenn Sie einen Mandanten aus einem mehrinstanzenfähigen organization entfernen, sollten Sie die Synchronisierung von Benutzern zwischen diesem Mandanten und den Mandanten beenden, die im mehrinstanzenfähigen organization verbleiben. Dies kann durch Aktualisieren der mandantenübergreifenden Synchronisierungskonfiguration in Microsoft Entra ID, Entfernen der zu synchronisierenden Sicherheitsgruppen und anschließendes Neustarten der Synchronisierung mit null Benutzern erfolgen.

Mandantenübergreifende Synchronisierungskonfigurationen für mehrinstanzenfähige Organisationen, die im Microsoft 365 Admin Center erstellt wurden, werden in Microsoft Entra mandantenübergreifenden Synchronisierung MTO_Sync_<TenantID> benannt.

So entfernen Sie die kreuzsynchronen Benutzer:

  • Aktualisieren Sie für den Mandanten, der die mehrinstanzenfähige organization verlässt, die Synchronisierungskonfigurationen für jeden verbleibenden Mandanten im mehrinstanzenfähigen organization, in dem Sie Benutzer synchronisieren.

  • Aktualisieren Sie für jeden Mandanten, der im mehrinstanzenfähigen organization verbleibt, die Synchronisierungskonfiguration für den Mandanten, der verlässt.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

So entfernen Sie Ihre Benutzer aus anderen Mandanten in einem mehrinstanzenfähigen organization

  1. Melden Sie sich beim Microsoft Entra Admin Center als globaler Admin an.
  2. Erweitern Sie Identität und dann Externe Identitäten.
  3. Wählen Sie mandantenübergreifende Synchronisierung aus.
  4. Wählen Sie Konfigurationen aus.
  5. Wählen Sie den Link für die Konfiguration aus, die Sie aktualisieren möchten.
  6. Wählen Sie Benutzer und Gruppen aus.
  7. Aktivieren Sie die Kontrollkästchen für die Sicherheitsgruppen, die Sie entfernen möchten, und wählen Sie dann Entfernen aus.
  8. Wählen Sie Übersicht aus.
  9. Wählen Sie Bereitstellung neu starten aus.

Nachdem die Benutzer aus den Verzeichnissen der anderen Mandanten entfernt wurden, können Sie die Bereitstellung für die Synchronisierungskonfigurationen beenden oder löschen.

Beenden der Benutzersynchronisierung und automatisches Einlösen von Einladungen

Nachdem Sie einen Mandanten aus einem mehrinstanzenfähigen organization entfernt haben, können Sie die Benutzersynchronisierung und automatische Einlösung von Einladungen mit den Mandanten beenden, die im mehrinstanzenfähigen organization verbleiben.

So verhindern Sie die Benutzersynchronisierung und die automatische Einlösung von Einladungen:

  • Aktualisieren Sie für den Mandanten, der die mehrinstanzenfähige organization verlässt, die einstellungen für den mandantenübergreifenden Zugriff für jeden Mandanten, der im mehrinstanzenfähigen organization verbleibt.

  • Aktualisieren Sie für jeden Mandanten, der im mehrinstanzenfähigen organization verbleibt, die einstellungen für den mandantenübergreifenden Zugriff für den Mandanten, der verlässt.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

So verhindern Sie die Benutzersynchronisierung und die automatische Einlösung von Einladungen:

  1. Melden Sie sich beim Microsoft Entra Admin Center als globaler Admin an.
  2. Erweitern Sie Identität und dann Externe Identitäten.
  3. Wählen Sie mandantenübergreifende Zugriffseinstellungen aus.
  4. Wählen Sie auf der Registerkarte Organisationseinstellungen den Link für die Einstellungen für eingehenden Zugriff für den Mandanten aus, den Sie aktualisieren möchten.
    1. Deaktivieren Sie auf der Registerkarte Vertrauenseinstellungen das Kontrollkästchen Einladungen automatisch mit dem Mandanten <organization> einlösen.
    2. Deaktivieren Sie auf der Registerkarte Mandantenübergreifende Synchronisierung das Kontrollkästchen Synchronisierung mit diesem Mandanten zulassen .
    3. Klicken Sie auf Speichern.
  5. Wählen Sie den Link für die Einstellungen für ausgehenden Zugriff für den Mandanten aus, den Sie aktualisieren möchten.
    1. Deaktivieren Sie auf der Registerkarte Vertrauenseinstellungen das Kontrollkästchen Einladungen automatisch mit dem Mandanten <organization> einlösen.
    2. Klicken Sie auf Speichern.

Weitere Informationen zu mandantenübergreifenden Zugriffseinstellungen finden Sie unter Konfigurieren mandantenübergreifender Zugriffseinstellungen für die B2B-Zusammenarbeit.

Konfigurieren der mandantenübergreifenden Synchronisierung

Übersicht: Mandantenübergreifender Zugriff mit Microsoft Entra External ID

Planen von mehrinstanzenfähigen Organisationen in Microsoft 365

Einrichten einer mehrinstanzenfähigen Organisation in Microsoft 365

Synchronisieren von Benutzern in mehrinstanzenfähigen Organisationen in Microsoft 365

  • Last updated on