Sdílet prostřednictvím

Úvod ke správě víceklientských uživatelů

  • Článek

Tento článek je první v řadě článků, které poskytují pokyny pro konfiguraci a poskytování správy životního cyklu uživatelů v prostředích Microsoft Entra s více tenanty. Následující články v řadě obsahují další informace, jak je popsáno.

  • Scénáře správy víceklientských uživatelů popisují tři scénáře, pro které můžete používat funkce pro správu víceklientských uživatelů: koncové uživatelem iniciované, skriptované a automatizované.
  • Běžné aspekty správy víceklientských uživatelů poskytují pokyny k těmto aspektům: synchronizace mezi tenanty, objekt adresáře, podmíněný přístup Microsoft Entra, další řízení přístupu a Office 365.
  • Běžná řešení pro správu víceklientských uživatelů, když pro váš scénář nefunguje jedna tenantská architektura, tento článek obsahuje pokyny k těmto výzvám: automatická správa životního cyklu uživatelů a přidělování prostředků napříč tenanty a sdílení místních aplikací mezi tenanty.

Pokyny vám pomůžou dosáhnout konzistentního stavu správy životního cyklu uživatelů. Správa životního cyklu zahrnuje zřizování, správu a rušení zřizování uživatelů napříč tenanty pomocí dostupných nástrojů Azure, které zahrnují spolupráci Microsoft Entra B2B (B2B) a synchronizaci mezi tenanty.

Zřizování uživatelů do jednoho tenanta Microsoft Entra poskytuje jednotné zobrazení prostředků a jedinou sadu zásad a ovládacích prvků. Tento přístup umožňuje konzistentní správu životního cyklu uživatelů.

Microsoft doporučuje jednoho tenanta, pokud je to možné. Mít více tenantů může vést k jedinečným požadavkům na spolupráci a správu napříč tenanty. Pokud sloučení s jedním tenantem Microsoft Entra není možné, mohou víceklientských organizací zahrnovat dva nebo více tenantů Microsoft Entra z následujících důvodů.

  • Spojení
  • Akvizice
  • Divestitures
  • Spolupráce mezi veřejnými, suverénními a regionálními cloudy
  • Politické nebo organizační struktury, které zakazují konsolidaci jednoho tenanta Microsoft Entra

Spolupráce Microsoft Entra B2B

Spolupráce B2B (Microsoft Entra B2B) umožňuje bezpečně sdílet aplikace a služby vaší společnosti s externími uživateli. Když uživatelé můžou pocházet z jakékoli organizace, B2B vám pomůže udržet kontrolu nad přístupem k vašemu IT prostředí a datům.

Pomocí spolupráce B2B můžete uživatelům vaší organizace poskytnout externí přístup pro přístup k více tenantům, které spravujete. Přístup externího uživatele B2B tradičně umožňuje autorizovat přístup k uživatelům, které vaše vlastní organizace nespravuje. Přístup externích uživatelů ale může spravovat napříč více tenanty, které spravuje vaše organizace.

Oblast nejasnosti při spolupráci Microsoft Entra B2B obklopuje vlastnosti uživatele typu host B2B. Rozdíl mezi interními a externími uživatelskými účty a členy a typy uživatelů typu host přispívá k nejasnostem. Zpočátku jsou všichni interní uživatelé členy s atributem UserType nastaveným na Člen (uživatelé členů). Interní uživatel má ve vašem ID Microsoft Entra účet, který je autoritativní a ověřuje se v tenantovi, ve kterém se nachází uživatel. Člen je licencovaný uživatel s výchozími oprávněními na úrovni člena v tenantovi. Zacházejte s uživateli členů jako se zaměstnanci vaší organizace.

Můžete pozvat interního uživatele jednoho tenanta do jiného tenanta jako externího uživatele. Externí uživatel se přihlásí pomocí externího účtu Microsoft Entra, sociální identity nebo jiného externího zprostředkovatele identity. Externí uživatelé se ověřují mimo tenanta, ke kterému pozvete externího uživatele. V první verzi B2B byli všichni externí uživatelé typu UserType Guest (uživatelé typu host). Uživatelé typu host mají v tenantovi omezená oprávnění . Například uživatelé typu host nemohou vytvořit výčet seznamu všech uživatelů ani skupin v adresáři tenanta.

U vlastnosti UserType u uživatelů B2B podporuje překlopení bitu z interního na externí a naopak, což přispívá k nejasnostem.

Můžete změnit interního uživatele z člena na uživatele typu host. Můžete mít například nelicencovaný interní uživatel typu host s oprávněními na úrovni hosta v tenantovi, což je užitečné, když zadáte uživatelský účet a přihlašovací údaje osobě, která není zaměstnancem vaší organizace.

Můžete změnit externího uživatele z uživatele typu host na člena a udělit externímu uživateli oprávnění na úrovni člena. Provedení této změny je užitečné, když spravujete více tenantů pro vaši organizaci a potřebujete uživateli udělit oprávnění na úrovni člena napříč všemi tenanty. K této potřebě může dojít bez ohledu na to, jestli je uživatel v libovolném tenantovi interní nebo externí. Členové uživatelé můžou vyžadovat více licencí.

Většina dokumentace pro B2B odkazuje na externího uživatele jako uživatele typu host. Nafoukne vlastnost UserType způsobem, který předpokládá, že všichni uživatelé typu host jsou externí. Když dokumentace volá uživatele typu host, předpokládá se, že se jedná o externího uživatele typu host. Tento článek se konkrétně a úmyslně týká externího a interního a člena uživatele a uživatele typu host.

Synchronizace mezi tenanty

Synchronizace mezi tenanty umožňuje víceklientských organizacím poskytovat koncovým uživatelům bezproblémový přístup a možnosti spolupráce s využitím stávajících možností externí spolupráce B2B. Tato funkce neumožňuje synchronizaci mezi tenanty napříč suverénními cloudy Microsoftu (například Microsoft 365 US Government GCC High, DOD nebo Office 365 v Číně). Informace o běžných aspektech správy víceklientských uživatelů najdete v nápovědě k automatizovaným a vlastním scénářům synchronizace mezi tenanty.

Podívejte se, jak Arvind Harinder mluví o možnosti synchronizace mezi tenanty v Microsoft Entra ID (vložené níže).

Následující koncepční články a postupy poskytují informace o spolupráci Microsoft Entra B2B a synchronizaci mezi tenanty.

Koncepční články

  • Osvědčené postupy B2B nabízejí doporučení pro zajištění nejhladšího prostředí pro uživatele a správce.
  • Externí sdílení B2B a Office 365 vysvětluje podobnosti a rozdíly mezi sdílením prostředků prostřednictvím B2B, Office 365 a SharePointu nebo OneDrivu.
  • Vlastnosti uživatele spolupráce Microsoft Entra B2B popisuje vlastnosti a stavy externího objektu uživatele v Microsoft Entra ID. Popis obsahuje podrobnosti před a po uplatnění pozvánky.
  • Podmíněný přístup pro B2B popisuje, jak podmíněný přístup a vícefaktorové ověřování fungují pro externí uživatele.
  • Nastavení přístupu mezi tenanty poskytuje podrobnou kontrolu nad tím, jak s vámi externí organizace Microsoft Entra spolupracují (příchozí přístup) a jak vaši uživatelé spolupracují s externími organizacemi Microsoft Entra (odchozí přístup).
  • Přehled synchronizace mezi tenanty vysvětluje, jak automatizovat vytváření, aktualizaci a odstraňování uživatelů spolupráce Microsoft Entra B2B napříč tenanty v organizaci.

Články s návody

Terminologie

Následující výrazy v obsahu společnosti Microsoft odkazují na spolupráci s více tenanty v Microsoft Entra ID.

  • Tenant prostředku: Tenant Microsoft Entra obsahující prostředky, které uživatelé chtějí sdílet s ostatními.
  • Domácí tenant: Tenant Microsoft Entra obsahující uživatele, kteří vyžadují přístup k prostředkům v tenantovi prostředků.
  • Interní uživatel: Interní uživatel má účet, který je autoritativní a ověřuje se v tenantovi, ve kterém se uživatel nachází.
  • Externí uživatel: Externí uživatel má externí účet Microsoft Entra, sociální identitu nebo jiného externího zprostředkovatele identity pro přihlášení. Externí uživatel se ověřuje někde mimo tenanta, ke kterému jste externího uživatele pozvali.
  • Uživatel člena: Interní nebo externí uživatel je licencovaný uživatel s výchozími oprávněními na úrovni člena v tenantovi. Zacházejte s uživateli členů jako se zaměstnanci vaší organizace.
  • Uživatel typu host: Interní nebo externí uživatel typu host má v tenantovi omezená oprávnění. Uživatelé typu host nejsou zaměstnanci vaší organizace (například uživatelé pro partnery). Většina dokumentace B2B se týká hostů B2B, která se primárně týká externích uživatelských účtů typu host.
  • Správa životního cyklu uživatelů: Proces zřizování, správy a rušení přístupu uživatelů k prostředkům.
  • Sjednocený globální adresář: Každý uživatel v každém tenantovi může zobrazit uživatele z každé organizace v globálním adresáři (GAL).

Rozhodování o tom, jak splnit vaše požadavky

Jedinečné požadavky vaší organizace ovlivňují vaši strategii pro správu uživatelů napříč tenanty. Pokud chcete vytvořit efektivní strategii, zvažte následující požadavky.

  • Počet tenantů
  • Typ organizace
  • Aktuální topologie
  • Konkrétní potřeby synchronizace uživatelů

Běžné požadavky

Organizace se zpočátku zaměřují na požadavky, které chtějí zavést pro okamžitou spolupráci. Někdy se označují jako požadavky typu Den jedna , zaměřují se na to, aby koncoví uživatelé mohli hladce sloučit, aniž by přerušili schopnost generovat hodnotu. Při definování požadavků na den 1 a správu zvažte zahrnutí následujících požadavků a potřeb.

Požadavky na komunikaci

  • Sjednocený globální adresář: Každý uživatel uvidí všechny ostatní uživatele v globálním adresáři ve svém domovském tenantovi.
  • Informace o volném čase: Umožňuje uživatelům zjistit jejich dostupnost. Můžete to udělat s relacemi organizace v Exchangi Online.
  • Chat a stav: Umožňuje uživatelům určit přítomnost ostatních uživatelů a zahájit rychlé zprávy. Konfigurace prostřednictvím externího přístupu v Microsoft Teams
  • Rezervovat zdroje, jako jsou zasedací místnosti: Umožňuje uživatelům rezervovat konferenční místnosti nebo jiné prostředky v celé organizaci. Rezervace konferenční místnosti mezi tenanty není v současné době dostupná v Exchangi Online.
  • Jedna e-mailová doména: Umožňuje všem uživatelům odesílat a přijímat poštu z jedné e-mailové domény (například users@contoso.com). Odesílání vyžaduje řešení pro přepsání e-mailové adresy.

Požadavky na přístup

  • Přístup k dokumentům: Umožňuje uživatelům sdílet dokumenty ze SharePointu, OneDrivu a Teams.
  • Správa: Umožňuje správcům spravovat konfiguraci předplatných a služeb nasazených napříč více tenanty.
  • Přístup k aplikacím: Umožňuje koncovým uživatelům přístup k aplikacím v celé organizaci.
  • Jednotné přihlašování: Povolte uživatelům přístup k prostředkům v celé organizaci, aniž by museli zadávat další přihlašovací údaje.

Vzory pro vytvoření účtu

Mechanismy Microsoftu pro vytváření a správu životního cyklu externích uživatelských účtů se řídí třemi běžnými vzory. Tyto vzory můžete použít k definování a implementaci vašich požadavků. Zvolte vzor, který nejlépe odpovídá vašemu scénáři, a pak se zaměřte na podrobnosti vzoru.

Mechanismus Popis Nejlepší, když
Koncový uživatel iniciovaný uživatelem Správci tenanta prostředků delegují možnost pozvat externí uživatele do tenanta, aplikace nebo prostředku na uživatele v rámci tenanta prostředku. Uživatele můžete pozvat z domovského tenanta nebo se můžou zaregistrovat jednotlivě. Unified Global Address List on Day One not required.
Scénář Správci tenanta prostředků nasadí skriptovaný proces vyžádání obsahu , který automatizuje zjišťování a zřizování externích uživatelů za účelem podpory scénářů sdílení. Malý počet tenantů (například dva).
Automatizováno Správci tenanta prostředků používají systém zřizování identit k automatizaci procesů zřizování a rušení zřizování. Potřebujete jednotný globální adresář napříč tenanty.

Další kroky

  • Scénáře správy víceklientských uživatelů popisují tři scénáře, pro které můžete používat funkce pro správu víceklientských uživatelů: koncové uživatelem iniciované, skriptované a automatizované.
  • Běžné aspekty správy víceklientských uživatelů poskytují pokyny k těmto aspektům: synchronizace mezi tenanty, objekt adresáře, podmíněný přístup Microsoft Entra, další řízení přístupu a Office 365.
  • Běžná řešení pro správu víceklientských uživatelů, když pro váš scénář nefunguje jedna tenantská architektura, tento článek obsahuje pokyny k těmto výzvám: automatická správa životního cyklu uživatelů a přidělování prostředků napříč tenanty a sdílení místních aplikací mezi tenanty.
  • Víceklientová synchronizace ze služby Active Directory popisuje různé místní topologie a topologie Microsoft Entra, které jako klíčové řešení integrace používají Microsoft Entra Connect Sync.