Governance und mandantenübergreifende Synchronisierung
Die mandantenübergreifende Synchronisierung ist eine flexible und einsatzbereite Lösung, um Konten bereitzustellen und die nahtlose Zusammenarbeit über Mandanten in einer Organisation hinweg zu erleichtern. Die mandantenübergreifende Synchronisierung verwaltet den Lebenszyklus der Benutzeridentität automatisch über Mandanten hinweg. Sie stellt Benutzer im Rahmen der Synchronisierung von Quellmandanten bereit, synchronisiert sie und hebt ihre Bereitstellung auf.
In diesem Artikel wird beschrieben, wie Microsoft Entra ID Governance-Kunden die mandantenübergreifende Synchronisierung verwenden können, um Identitäts- und Zugriffszyklen in Organisationen mit mehreren Mandanten zu verwalten.
Beispiel für die Bereitstellung
In diesem Beispiel ist Contoso eine Organisation mit mehreren Mandanten mit drei Microsoft Entra-Produktionsmandanten. Contoso stellt mandantenübergreifende Synchronisierung und Microsoft Entra ID Governance-Features bereit, um die folgenden Szenarien zu behandeln:
- Verwalten von Lebenszyklus von Mitarbeiteridentitäten über mehrere Mandanten hinweg
- Verwenden von Workflows zum Automatisieren von Lebenszyklusprozessen für Mitarbeiter, die aus anderen Mandanten stammen
- Zuweisen des Ressourcenzugriffs automatisch zu Mitarbeitern, die aus anderen Mandanten stammen
- Zulassen, dass Mitarbeiter den Zugriff auf Ressourcen in mehreren Mandanten anfordern
- Überprüfen des Zugriffs von synchronisierten Benutzern
Aus mandantenübergreifender Synchronisierungsperspektive sind Contoso Europe, Middle East und Africa (Contoso EMEA) und Contoso United States (Contoso US) Quellmandanten, und Contoso ist ein Zielmandant. Das folgende Diagramm veranschaulicht die Topologie.
Diese unterstützte Topologie für die mandantenübergreifende Synchronisierung ist eine von vielen in Microsoft Entra ID. Mandanten können ein Quellmandant, ein Zielmandant oder beides sein. In den folgenden Abschnitten erfahren Sie, wie mandantenübergreifende Synchronisierung und Microsoft Entra ID Governance-Features mehrere Szenarien behandeln.
Verwalten von Mitarbeiterlebenszyklus über Mandanten hinweg
Bei der mandantenübergreifenden Synchronisierung in Microsoft Entra ID wird das Erstellen, Aktualisieren und Löschen von B2B-Zusammenarbeitsbenutzern automatisiert.
Wenn Organisationen einen B2B-Benutzer für die Zusammenarbeit in einem Mandanten erstellen oder bereitstellen, hängt der Benutzerzugriff teilweise davon ab, wie die Organisation sie bereitgestellt hat: als Gast- oder Mitgliedsbenutzertyp. Berücksichtigen Sie bei der Auswahl des Benutzertyps die verschiedenen Eigenschaften eines Microsoft Entra B2B Collaboration-Benutzers. Der Benutzertyp "Mitglied" eignet sich, wenn Benutzer Teil der größeren Organisation mit mehreren Mandanten sind und Zugriff auf Ressourcen auf Mitgliederebene in den Organisationsmandanten benötigen. Microsoft Teams erfordert den Benutzertyp „Mitglied“ in mehrinstanzenfähigen Organisationen.
Standardmäßig enthält die mandantenübergreifende Synchronisierung häufig verwendete Attribute für das Benutzerobjekt in der Microsoft Entra-ID. Das folgende Diagramm veranschaulicht dieses Szenario.
Organisationen verwenden die Attribute, um dynamische Mitgliedergruppen zu erstellen und Zugriffspakete im Quell- und Zielmandanten zu erstellen. Einige Microsoft Entra-ID-Features weisen Benutzerattribute auf, z. B. die Bereichsdefinition des Lebenszyklus-Workflows.
Durch das Entfernen oder Aufheben der Bereitstellung eines B2B-Collaboration-Benutzers aus einem Mandanten wird automatisch der Zugriff auf Ressourcen in diesem Mandanten gestoppt. Diese Konfiguration ist relevant, wenn Mitarbeiter eine Organisation verlassen.
Automatisieren von Lebenszyklusprozessen mit Workflows
Microsoft Entra ID-Lebenszyklus-Workflows sind ein Identity Governance-Feature zum Verwalten von Microsoft Entra-Benutzern. Organisationen können Beitritts-, Wechsel- und Austrittsprozesse automatisieren.
Mit mandantenübergreifender Synchronisierung können Organisationen mit mehreren Mandanten Lebenszyklus-Workflows so konfigurieren, dass sie automatisch für verwaltete B2B-Collaboration-Benutzer ausgeführt werden. Konfigurieren Sie beispielsweise einen Benutzer-Onboarding-Workflow, der durch das createdDateTime Ereignisbenutzerattribut ausgelöst wird, um die Zuweisung von Zugriffspaketen für neue Benutzer der B2B-Collaboration anzufordern. Verwenden Sie Attribute wie userType und userPrincipalName, um Lebenszyklus-Workflows für Benutzer festzulegen, die in anderen Mandanten der Organisation untergebracht sind.
Steuern des synchronisierten Benutzerzugriffs mit Zugriffspaketen
Mehrmandantenfähige Organisationen können sicherstellen, dass B2B-Collaboration-Benutzer Zugriff auf freigegebene Ressourcen in einem Zielmandanten haben. Benutzer können bei Bedarf Zugriff anfordern. In den folgenden Szenarios erfahren Sie, wie die Identity-Governance-Funktion und die Berechtigungsverwaltungszugriffspakete den Ressourcenzugriff steuern.
Automatisches Zuweisen des Zugriffs in Zielmandanten an Mitarbeiter von Quellmandanten
Der Begriff "Geburtsrecht" bezieht sich auf die automatische Gewährung des Ressourcenzugriffs basierend auf einer oder mehreren Benutzereigenschaften. Um die Geburtenrechtezuweisung zu konfigurieren, erstellen Sie automatische Zuordnungsrichtlinien für Zugriffspakete in der Berechtigungsverwaltung, und konfigurieren Sie Ressourcenrollen, um freigegebenen Ressourcenzugriff zu gewähren.
Organisationen verwalten die mandantenübergreifende Synchronisierungskonfiguration im Quellmandanten. Daher können Organisationen die Ressourcenzugriffsverwaltung für synchronisierte B2B-Collaboration-Benutzer an andere Quellmandantenadministratoren delegieren:
- Im Quellmandanten konfigurieren Administratoren mandantenübergreifende Synchronisierungsattributzuordnungen für die Benutzer, die mandantenübergreifenden Ressourcenzugriff erfordern
- Im Zielmandanten verwenden Administratoren Attribute in automatischen Zuweisungsrichtlinien, um die Zugriffspaketmitgliedschaft für synchronisierte B2B-Collaboration-Benutzer zu ermitteln.
Um automatische Zuordnungsrichtlinien im Zielmandanten zu steuern, synchronisieren Sie Standardattributzuordnungen, z. B. Abteilungs- oder Zuordnungsverzeichniserweiterungen, im Quellmandanten.
Ermöglichen von Mitarbeitern des Quellmandanten, Zugriff auf freigegebene Zielmandantenressourcen anzufordern
Mit Identity Governance-Zugriffspaketrichtlinien können mehrmandantenfähige Organisationen B2B-Collaboration-Benutzern, die durch mandantenübergreifende Synchronisierung erstellt wurden, ermöglichen, den Zugriff auf freigegebene Ressourcen in einem Zielmandanten anzufordern. Dieser Prozess ist nützlich, wenn Mitarbeiter Just-In-Time (JIT) Zugriff auf eine Ressource benötigen, die ein anderer Mandant besitzt.
Überprüfen des synchronisierten Benutzerzugriffs
Mithilfe von Microsoft Entra ID-Zugriffsüberprüfungen können Unternehmen Gruppenmitgliedschaften, den Zugriff auf Unternehmensanwendungen sowie Rollenzuweisungen verwalten. Überprüfen Sie regelmäßig den Benutzerzugriff, um sicherzustellen, dass die richtigen Personen Zugriff haben.
Wenn die Konfiguration des Ressourcenzugriffs den Zugriff nicht automatisch zuweist, z. B. bei dynamischen Mitgliedergruppen oder Zugriffspaketen, konfigurieren Sie Zugriffsüberprüfungen so, dass die Ergebnisse nach Abschluss auf Ressourcen angewendet werden. In den folgenden Abschnitten wird beschrieben, wie mehrmandantenfähige Organisationen Zugriffsüberprüfungen für Benutzer über Mandanten hinweg in Quell- und Zielmandanten konfigurieren können.
Überprüfen des Quellmandantenbenutzerzugriffs
Mehrmandantenfähige Organisationen können interne Benutzer in Zugriffsüberprüfungen einschließen. Diese Aktion ermöglicht die erneute Zertifizierung in Quellmandanten, die Benutzer synchronisiert. Verwenden Sie diesen Ansatz zur regelmäßigen Überprüfung der Sicherheitsgruppen, die der mandantenübergreifenden Synchronisierung zugewiesen sind. Daher ist der fortlaufende B2B-Collaboration-Zugriff auf andere Mandanten im Home-Mandanten des Benutzers genehmigt.
Verwenden Sie Zugriffsüberprüfungen von Benutzern in Quellmandanten, um potenzielle Konflikte zwischen mandantenübergreifender Synchronisierung und Zugriffsüberprüfungen zu vermeiden, die abgelehnte Benutzer nach Abschluss entfernen.
Überprüfen des Zielmandantenbenutzerzugriffs
Organisationen können B2B-Collaboration-Benutzer in Zugriffsüberprüfungen einschließen, einschließlich benutzerübergreifender Synchronisierung in Zielmandanten. Diese Option ermöglicht die erneute Zertifizierung von Ressourcen in Zielmandanten. Obwohl Organisationen alle Benutzer bei Zugriffsüberprüfungen ansprechen können, können Gastbenutzer bei Bedarf auch explizit angesprochen werden.
Für Organisationen, die B2B Collaboration-Benutzer synchronisieren, empfiehlt Microsoft in der Regel nicht, verweigerte Gastbenutzer automatisch aus Zugriffsüberprüfungen zu entfernen. Die mandantenübergreifende Synchronisierung stellt die Benutzer neu vor, wenn sie sich im Synchronisierungsbereich befinden.