Běžná řešení pro správu víceklientských uživatelů

Tento článek je čtvrtým článkem v řadě článků, které poskytují pokyny pro konfiguraci a poskytování správy životního cyklu uživatelů v prostředích Microsoft Entra s více tenanty. Následující články v řadě obsahují další informace, jak je popsáno.

• Úvod ke správě víceklientských uživatelů je první v řadě.
• Scénáře správy víceklientských uživatelů popisují tři scénáře, pro které můžete používat funkce pro správu víceklientských uživatelů: koncové uživatelem iniciované, skriptované a automatizované.
• Běžné aspekty správy víceklientských uživatelů poskytují pokyny k těmto aspektům: synchronizace mezi tenanty, objekt adresáře, podmíněný přístup Microsoft Entra, další řízení přístupu a Office 365.

Pokyny vám pomůžou dosáhnout konzistentního stavu správy životního cyklu uživatelů. Správa životního cyklu zahrnuje zřizování, správu a rušení zřizování uživatelů napříč tenanty pomocí dostupných nástrojů Azure, které zahrnují spolupráci Microsoft Entra B2B (B2B) a synchronizaci mezi tenanty.

Microsoft doporučuje jednoho tenanta všude, kde je to možné. Pokud pro váš scénář nefunguje jedna tenantská architektura, projděte si následující řešení, která zákazníci Microsoftu úspěšně implementovali pro tyto výzvy:

• Automatická správa životního cyklu uživatelů a přidělování prostředků napříč tenanty
• Sdílení místních aplikací mezi tenanty

Automatická správa životního cyklu uživatelů a přidělování prostředků napříč tenanty

Zákazník získá konkurenta, se kterým dříve měl úzké obchodní vztahy. Organizace chtějí udržovat své firemní identity.

Aktuální stav

V současné době organizace vzájemně synchronizují uživatele jako objekty poštovních kontaktů, aby se zobrazovaly v adresářích jednotlivých uživatelů. Každý tenant prostředku povolil objekty poštovních kontaktů pro všechny uživatele v druhém tenantovi. V rámci tenantů není možný přístup k aplikacím.

Cíle

Zákazník má následující cíle.

• Každý uživatel se zobrazí v globálním adresáři každé organizace.
  • Změny životního cyklu uživatelského účtu v domovském tenantovi se automaticky projeví v globálním adresáři tenanta prostředku.
  • Změny atributů v domácích tenantech (například oddělení, název, adresa SMTP (Simple Mail Transfer Protocol) se automaticky projeví v globálním adresáři tenanta prostředků a domovském globálním adresáři.
• Uživatelé mají přístup k aplikacím a prostředkům v tenantovi prostředků.
• Uživatelé můžou samoobslužně obsluhovat žádosti o přístup k prostředkům.

Architektura řešení

Organizace používají architekturu typu point-to-point s synchronizačním modulem, jako je Microsoft Identity Manager (MIM). Následující diagram znázorňuje příklad architektury point-to-point pro toto řešení.

Název diagramu: Řešení architektury typu point-to-point Na levé straně pole označené jako Společnost A obsahuje interní uživatele a externí uživatele. Vpravo je pole s popiskem Company B (Společnost B) obsahuje interní uživatele a externí uživatele. Mezi společností A a společností B jsou interakce synchronizačního modulu od společnosti A do společnosti B a od společnosti B do společnosti A.

Každý správce tenanta provede následující kroky a vytvoří objekty uživatele.

1. Ujistěte se, že je jejich uživatelská databáze aktuální.
2. Nasazení a konfigurace MIM
   1. Adresovat existující objekty kontaktu.
   2. Vytvořte objekty uživatele externího člena pro interní uživatele jiného tenanta.
   3. Synchronizujte atributy objektu uživatele.
3. Nasaďte a nakonfigurujte přístupové balíčky správy nároků.
   1. Prostředky, které se mají sdílet.
   2. Zásady vypršení platnosti a kontroly přístupu

Sdílení místních aplikací mezi tenanty

Zákazník s více partnerskými organizacemi musí sdílet místní aplikace z jednoho z tenantů.

Aktuální stav

Partnerské organizace synchronizují externí uživatele v topologii sítě, což umožňuje přidělování prostředků cloudovým aplikacím napříč tenanty. Zákazník nabízí následující funkce.

• Sdílejte aplikace v Microsoft Entra ID.
• Automatizovaná správa životního cyklu uživatelů v tenantovi prostředků na domovském tenantovi (odrážející přidání, úpravy a odstranění)

Následující diagram znázorňuje tento scénář, kdy k místním aplikacím společnosti A přistupují jenom interní uživatelé v místních aplikacích společnosti A.

Název diagramu: Topologie sítě V levém horním rohu je pole označené společností A, které obsahuje interní uživatele a externí uživatele. V pravém horním rohu bude pole s označením Company B obsahovat interní uživatele a externí uživatele. V levém dolním rohu bude pole s popiskem Company C (Společnost C) obsahovat interní uživatele a externí uživatele. V pravém dolním rohu bude pole s popiskem Company D (Společnost D) obsahovat interní uživatele a externí uživatele. Mezi společností A a společností B a mezi společností C a společností D jsou interakce synchronizačního stroje mezi společnostmi vlevo a společnostmi vpravo.

Cíle

Spolu s aktuálními funkcemi chtějí nabídnout následující funkce.

• Poskytněte externím uživatelům přístup k místním prostředkům společnosti A.
• Aplikace s ověřováním SAML (Security Assertion Markup Language).
• Aplikace s integrovaným ověřováním systému Windows a protokolem Kerberos

Architektura řešení

Společnost A poskytuje jednotné přihlašování k místním aplikacím pro vlastní interní uživatele pomocí Aplikace Azure Proxy, jak je znázorněno v následujícím diagramu.

Název diagramu: Aplikace Azure řešení architektury proxy. V levém horním rohu je pole označené "https://sales.constoso.com' obsahuje ikonu zeměkoule, která představuje web. Pod ním skupina ikon představuje uživatele a jsou propojeny šipkou od uživatele k webu. V pravém horním rohu je cloudový obrazec s názvem Microsoft Entra ID označený ikonou proxy aplikací Service. Šipka připojí web ke cloudovému obrazci. V pravém dolním rohu je podnadpis DMZ označený jako místní podnadpis. Šipka spojí tvar cloudu s polem DMZ a rozdělí se na dvě ikony označené Připojení orem. Pod ikonou Připojení oru vlevo šipka ukazuje dolů a rozdělí se na ikony označené jako App 1 a App 2. Pod ikonou Připojení oru vpravo šipka ukazuje dolů na ikonu označenou jako App 3.

Správa v tenantovi A provedením následujících kroků umožníte externím uživatelům přístup ke stejným místním aplikacím.

1. Nakonfigurujte přístup k aplikacím SAML.
2. Nakonfigurujte přístup k jiným aplikacím.
3. Vytvořte místní uživatele prostřednictvím MIM nebo PowerShellu.

Následující články obsahují další informace o spolupráci B2B.

• Udělení přístupu uživatelůM B2B v Microsoft Entra ID k místním prostředkům popisuje, jak uživatelům B2B poskytnout přístup k místním aplikacím.
• Spolupráce Microsoft Entra B2B pro hybridní organizace popisuje, jak externím partnerům poskytnout přístup k aplikacím a prostředkům ve vaší organizaci.

Další kroky

• Úvod ke správě víceklientských uživatelů je první v řadě článků, které poskytují pokyny pro konfiguraci a poskytování správy životního cyklu uživatelů v prostředích Microsoft Entra s více tenanty.
• Scénáře správy víceklientských uživatelů popisují tři scénáře, pro které můžete používat funkce pro správu víceklientských uživatelů: koncové uživatelem iniciované, skriptované a automatizované.
• Běžné aspekty správy víceklientských uživatelů poskytují pokyny k těmto aspektům: synchronizace mezi tenanty, objekt adresáře, podmíněný přístup Microsoft Entra, další řízení přístupu a Office 365.