Gobernanza y sincronización entre inquilinos
La sincronización entre inquilinos es una solución flexible y lista para usar para aprovisionar cuentas y facilitar la colaboración sin problemas entre inquilinos de una organización. La sincronización entre inquilinos administra automáticamente el ciclo de vida de la identidad de usuario entre inquilinos. Aprovisiona, sincroniza y desaprovisiona usuarios en el ámbito de sincronización de los inquilinos de origen.
En este artículo se describe cómo Gobierno de Microsoft Entra ID los clientes pueden usar la sincronización entre inquilinos para administrar los ciclos de vida de identidad y acceso en organizaciones multiinquilino.
Ejemplo de implementación
En este ejemplo, Contoso es una organización multiinquilino con tres inquilinos de Microsoft Entra de producción. Contoso implementa la sincronización entre inquilinos y las características de Gobierno de Microsoft Entra ID para abordar los escenarios siguientes:
- Administración de los ciclos de vida de identidad de los empleados en varios inquilinos
- Uso de flujos de trabajo para automatizar los procesos de ciclo de vida de los empleados que se originan en otros inquilinos
- Asignar acceso a recursos automáticamente a los empleados que se originan en otros inquilinos
- Permitir que los empleados soliciten acceso a los recursos de varios inquilinos
- Revisión del acceso de los usuarios sincronizados
Desde una perspectiva de sincronización entre inquilinos, Contoso Europa, Oriente Medio y África (Contoso EMEA) y Contoso Estados Unidos (Contoso US) son inquilinos de origen y Contoso es un inquilino de destino. En el diagrama siguiente se muestra la topología.
Esta topología admitida para la sincronización entre inquilinos es una de las muchas de Microsoft Entra ID. Los inquilinos pueden ser un inquilino de origen, un inquilino de destino o ambos. En las secciones siguientes, obtenga información sobre cómo las características de sincronización entre inquilinos y Gobierno de Microsoft Entra ID abordan varios escenarios.
Administración de los ciclos de vida de los empleados entre inquilinos
Sincronización entre inquilinos en Microsoft Entra ID automatiza la creación, actualización y eliminación de usuarios de colaboración B2B.
Cuando las organizaciones crean, o aprovisionan, un usuario de colaboración B2B en un inquilino, el acceso de los usuarios depende en parte de cómo la organización los aprovisionó: Tipo de usuario invitado o miembro. Al seleccionar el tipo de usuario, ten en cuenta las distintas propiedades de un usuario de Colaboración B2B de Microsoft Entra. El tipo de usuario Miembro es adecuado si los usuarios forman parte de la organización multiinquilino más grande y necesitan acceso de nivel de miembro a los recursos de los inquilinos de la organización. Microsoft Teams requiere el tipo de usuario Miembro en organizaciones multiinquilino.
De forma predeterminada, la sincronización entre inquilinos incluye atributos usados habitualmente en el objeto de usuario en Microsoft Entra ID. El siguiente diagrama ilustra este escenario.
Las organizaciones usan los atributos para ayudar a crear grupos de pertenencia dinámica y paquetes de acceso en el inquilino de origen y de destino. Algunas características de Microsoft Entra ID tienen atributos de usuario para dirigirse, como el ámbito del usuario del flujo de trabajo del ciclo de vida.
Para quitar o desaprovisionar, un usuario de colaboración B2B de un inquilino detiene automáticamente el acceso a los recursos de ese inquilino. Esta configuración es relevante cuando los empleados abandonan una organización.
Automatización de procesos de ciclo de vida con flujos de trabajo
Los flujos de trabajo del ciclo de vida de Microsoft Entra ID son una característica de gobernanza de identidades para administrar usuarios de Microsoft Entra. Las organizaciones pueden automatizar los procesos de unión, mover y abandonar.
Con la sincronización entre inquilinos, las organizaciones multiinquilino pueden configurar flujos de trabajo de ciclo de vida para que se ejecuten automáticamente para los usuarios de colaboración B2B que administra. Por ejemplo, configura un flujo de trabajo de incorporación de usuarios, desencadenado por el atributo de usuario de evento createdDateTime, para solicitar la asignación de paquetes de acceso para los nuevos usuarios de colaboración B2B. Usa atributos como userType y userPrincipalName para definir el ámbito de los flujos de trabajo del ciclo de vida de los usuarios hospedados en otros inquilinos que posee la organización.
Controlar el acceso de usuario sincronizado con paquetes de acceso
Las organizaciones multiinquilino pueden garantizar que los usuarios de colaboración B2B tengan acceso a recursos compartidos en un inquilino de destino. Los usuarios pueden solicitar acceso, cuando sea necesario. En los escenarios siguientes, mira cómo la característica de gobernanza de identidades, administración de derechos y los paquetes de acceso rigen el acceso a los recursos.
Asignar automáticamente el acceso en los inquilinos de destino a los empleados de inquilinos de origen
El término asignación de derechos de nacimiento hace referencia a conceder automáticamente acceso a recursos en función de una o varias propiedades de usuario. Para configurar la asignación de derecho de nacimiento, crea directivas de asignación automática para paquetes de acceso en la administración de derechos y configura roles de recursos para conceder acceso a recursos compartidos.
Las organizaciones administran la configuración de sincronización entre inquilinos en el inquilino de origen. Por lo tanto, las organizaciones pueden delegar la administración del acceso a recursos a otros administradores de inquilinos de origen para usuarios de colaboración B2B sincronizados:
- En el inquilino de origen, los administradores configuran asignaciones de atributos de sincronización entre inquilinos para los usuarios que requieren acceso a recursos entre inquilinos
- En el inquilino de destino, los administradores usan atributos en directivas de asignación automática para determinar la pertenencia a paquetes de acceso para usuarios de colaboración B2B sincronizados
Para impulsar las directivas de asignación automática en el inquilino de destino, sincroniza las asignaciones de atributos predeterminadas, como las extensiones de directorio de departamento o mapa, en el inquilino de origen.
Permitir que los empleados del inquilino de origen soliciten acceso a los recursos compartidos de inquilino de destino
Con la gobernanza de identidades de directivas paquete de acceso, las organizaciones multiinquilino pueden permitir que los usuarios de colaboración B2B, creados por la sincronización entre inquilinos, soliciten acceso a recursos compartidos en un inquilino de destino. Este proceso es útil si los empleados necesitan acceso Just-In-Time (JIT) a un recurso que posee otro inquilino.
Revisión del acceso de usuario sincronizado
Las revisiones de acceso en Microsoft Entra ID permiten a las organizaciones administrar las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. Revisa periódicamente el acceso de los usuarios para asegurarse de que las personas adecuadas tienen acceso.
Cuando la configuración de acceso a recursos no asigne automáticamente el acceso, como con los grupos de pertenencia dinámica o paquetes de acceso, configura revisiones de acceso para aplicar los resultados a los recursos tras la finalización. En las secciones siguientes se describe cómo las organizaciones multiinquilino pueden configurar las revisiones de acceso para los usuarios en los inquilinos de origen y destino.
Revisión del acceso de usuario del inquilino de origen
Las organizaciones multiinquilino pueden incluir usuarios internos en las revisiones de acceso. Esta acción habilita la recertificación de acceso en los inquilinos de origen que sincronizan a los usuarios. Usa este enfoque para revisar periódicamente los grupos de seguridad asignados a la sincronización entre inquilinos. Por lo tanto, el acceso continuo de colaboración B2B a otros inquilinos tiene aprobación en el inquilino principal del usuario.
Usa las revisiones de acceso de los usuarios de los inquilinos de origen para evitar posibles conflictos entre la sincronización entre inquilinos y las revisiones de acceso que quitan a los usuarios denegados tras la finalización.
Revisión del acceso de usuario de inquilino de destino
Las organizaciones pueden incluir usuarios de colaboración B2B en revisiones de acceso, incluidos los usuarios aprovisionados por la sincronización entre inquilinos en los inquilinos de destino. Esta opción habilita la recertificación de acceso de los recursos en los inquilinos de destino. Aunque las organizaciones pueden dirigirse a todos los usuarios en las revisiones de acceso, los usuarios invitados pueden dirigirse explícitamente si es necesario.
En el caso de las organizaciones que sincronizan usuarios de colaboración B2B, normalmente Microsoft no recomienda quitar usuarios invitados denegados automáticamente de las revisiones de acceso. La sincronización entre inquilinos vuelve a aprovisionar a los usuarios si están en el ámbito de sincronización.