Topologien für die mandantenübergreifende Zusammenarbeit
Organisationen finden sich häufig selbst bei der Verwaltung mehrerer Mandanten aufgrund von Fusionen und Übernahmen, behördlichen Anforderungen oder administrativen Grenzen. Unabhängig von Ihrem Szenario bietet Microsoft Entra eine flexible und einsatzbereite Lösung für die Bereitstellung von Konten über Mandanten hinweg und erleichtert die nahtlose Zusammenarbeit. Microsoft Entra passt die folgenden drei Modelle an und kann sich an Ihre sich entwickelnden Organisationsanforderungen anpassen.
- Hub-and-Spoke-Modell
- Mesh
- Just-In-Time
Hub-and-Spoke-Modell
Die Hub- und Spoke-Topologie stellt zwei häufige Muster dar:
Option 1 (Anwendungshub): In dieser Option können Sie häufig verwendete Anwendungen in einen zentralen Hubmandanten integrieren, auf den Benutzer aus der gesamten Organisation zugreifen können.
Option 2 (Benutzerhub): Option 2 zentralisiert alternativ alle Ihre Benutzer in einem einzigen Mandanten und stellt sie in Spoke-Mandanten zur Bereitstellung vor, in denen Ressourcen verwaltet werden.
Lassen Sie uns einige reale Szenarien untersuchen und sehen, wie sie mit jedem dieser Modelle übereinstimmen.
Fusionen und Akquisitionen (Anwendungshub)
Bei Fusionen und Übernahmen ist die Fähigkeit, die Zusammenarbeit schnell zu ermöglichen, entscheidend, sodass Unternehmen zusammenarbeiten können, während komplexe IT-Entscheidungen getroffen werden. Wenn beispielsweise Mitarbeiter eines neu erworbenen Unternehmens sofortigen Zugriff auf Anwendungen wie das interne Helpdesk-Ticketingsystem oder die Leistungsanwendung benötigen, ist die mandantenübergreifende Synchronisierung von unschätzbarem Wert. Mit diesem Synchronisierungsprozess können Benutzer aus dem erworbenen Unternehmen vom ersten Tag an im Anwendungshub bereitgestellt werden, sodass sie Zugriff auf SaaS-Apps, lokale Anwendungen und andere Cloudressourcen erhalten. Innerhalb des Zielmandanten können Administratoren Zugriffspakete einrichten, um zeitlich begrenzten Zugriff auf zusätzliche Anwendungen wie Salesforce und Amazon Web Services zu gewähren, die geschäftskritische Daten enthalten. Das folgende Diagramm zeigt kürzlich erworbene Mandanten auf der linken Seite und deren Benutzer, die im Mandanten des Mutterunternehmens bereitgestellt werden, wodurch Benutzern Zugriff auf die erforderlichen Ressourcen gewährt wird.
Separate Zusammenarbeit und Ressourcenmandanten (Benutzerhub)
Wenn Organisationen ihre Nutzung von Azure skalieren, erstellen sie häufig dedizierte Mandanten für die Verwaltung kritischer Azure-Ressourcen. Unterdessen verlassen sie sich auf einen zentralen Hubmandanten für die Benutzerbereitstellung. Mit diesem Modell können Administratoren im Hubmandanten zentrale Sicherheits- und Governance-Richtlinien einrichten und Entwicklungsteams eine größere Autonomie und Flexibilität für die Bereitstellung erforderlicher Azure-Ressourcen gewähren. Die mandantenübergreifende Synchronisierung unterstützt diese Topologie, indem Administratoren eine Teilmenge von Benutzern in den Spoke-Mandanten bereitstellen und den Lebenszyklus dieser Benutzer verwalten können.
Mesh
Während einige Unternehmen ihre Benutzer in einem einzigen Mandanten zentralisieren, verfügen andere über eine dezentralere Struktur mit Anwendungen, HR-Systemen und Active Directory-Domänen, die in jeden Mandanten integriert sind. Die mandantenübergreifende Synchronisierung bietet die Flexibilität, auszuwählen, welche Benutzer in jedem Mandanten bereitgestellt werden.
Zusammenarbeit innerhalb eines Portfoliounternehmens (partielles Gittermodell)
In diesem Szenario stellt jeder Mandant ein anderes Unternehmen innerhalb derselben übergeordneten Organisation dar. Administratoren in jedem Mandanten wählen eine Teilmenge von Benutzern aus, die im Zielmandanten bereitgestellt werden sollen. Diese Lösung bietet jedem Mandanten die Flexibilität, unabhängig zu arbeiten, und erleichtert gleichzeitig die Zusammenarbeit, wenn Benutzer Zugang zu kritischen Ressourcen benötigen.
Die mandantenübergreifende Synchronisierung erfolgt unidirektional. Ein interner Mitgliedsbenutzer kann als externer Benutzer in mehrere Mandanten synchronisiert werden. Wenn die Topologie zeigt, dass eine Synchronisierung in beide Richtungen verläuft, handelt es sich um einen eigenen Satz von Benutzern in jede Richtung, und jeder Pfeil beschreibt eine separate Konfiguration.
Zusammenarbeit über Geschäftsbereiche hinweg (full-mesh)
In diesem Szenario hat die Organisation für jede Geschäftseinheit unterschiedliche Mandanten festgelegt. Die Geschäftseinheiten arbeiten eng zusammen, insbesondere unter Verwendung von Microsoft Teams. Daher hat sich jeder Mandant entschieden, alle Benutzer in den vier Mandanten in der Organisation bereitzustellen. Wenn neue Benutzer dem Unternehmen beitreten oder dieses verlassen, kümmert sich der Bereitstellungsdienst um das Erstellen und Löschen von Benutzern. Die Organisation hat auch eine mehrinstanzenfähige Organisation konfiguriert, die alle vier Mandanten enthält. Wenn Benutzer jetzt in Teams zusammenarbeiten müssen, können sie Benutzer im gesamten Unternehmen problemlos finden und Chats und Besprechungen mit diesen Benutzern starten.
Just-In-Time
Während die bisher erörterten Szenarien die Zusammenarbeit innerhalb einer Organisation abdecken, gibt es Fälle, in denen die organisationsübergreifende Zusammenarbeit von entscheidender Bedeutung ist. Dies könnte sich im Rahmen von Joint Ventures oder Organisationen unabhängiger juristischer Personen befinden. Durch die Verwendung von verbundenen Organisationen und der Berechtigungsverwaltung können Sie Richtlinien für den Zugriff auf Ressourcen in verbundenen Organisationen definieren und Benutzern ermöglichen, den Zugriff auf die benötigten Ressourcen anzufordern.
Joint Ventures
Betrachten Sie Contoso und Litware, separate Organisationen, die in einem mehrjährigen Joint Venture tätig sind. Sie müssen eng zusammenarbeiten. Administratoren bei Contoso haben Zugriffspakete definiert, welche die Ressourcen enthalten, die von Litware-Benutzern benötigt werden. Wenn ein neuer Litware-Mitarbeiter Zugriff auf die Ressourcen von Contoso benötigt, kann er Zugriff auf das Zugriffspaket anfordern. Nach Genehmigung werden sie mit den erforderlichen Ressourcen bereitgestellt. Der Zugriff kann zeitlich begrenzt sein und regelmäßig überprüft werden, um die Einhaltung der Governance-Anforderungen von Contoso sicherzustellen.
Das folgende Diagramm zeigt, wie zwei Organisationen just-in-time zusammenarbeiten können, indem verbundene Organisationen und Berechtigungsverwaltung verwendet werden.
Unterstützte Szenarios
Die mandantenübergreifende Synchronisierung unterstützt das Importieren interner Benutzer im Quellmandanten und die Bereitstellung externer Benutzer im Zielmandanten.
Quellmandantenanmeldeinformationen | Benutzertyp des Quellmandanten | Zielmandantenanmeldeinformationen | Zielmandantenbenutzertyp | Szenario unterstützt? |
---|---|---|---|---|
Intern | Member | Extern | Member | Ja |
Intern | Member | Extern | Gast | Ja |
Intern | Gast | Extern | Member | Ja |
Intern | Gast | Extern | Gast | Ja |
Intern | Member | Intern | Member | No |
Intern | Member | Intern | Gast | Nein |
Intern | Gast | Intern | Member | No |
Intern | Gast | Intern | Gast | No |
Extern | Member | Extern | Member | No |
Extern | Member | Extern | Gast | No |
Extern | Gast | Extern | Member | No |
Extern | Gast | Extern | Gast | No |