Topologías para la colaboración entre inquilinos
Las organizaciones suelen encontrarse administrando varios inquilinos debido a fusiones y adquisiciones, requisitos normativos o bien límites administrativos. Independientemente de su situación, Microsoft Entra ofrece una solución flexible y lista para usar para el aprovisionamiento de cuentas entre inquilinos facilitando una colaboración sin problemas. Microsoft Entra admite los tres modelos siguientes y puede adaptarse a sus necesidades organizativas en constante evolución.
- En estrella tipo hub-and-spoke
- En malla
- Just-In-Time
En estrella tipo hub-and-spoke
La topología de hub and spoke presenta dos patrones comunes:
Opción 1 (centro de aplicaciones): en esta opción, se pueden integrar aplicaciones usadas habitualmente en un inquilino de hub central al que pueden acceder los usuarios de toda la organización.
Opción 2 (centro de usuarios): alternativamente, la opción 2 centraliza todos los usuarios de un solo inquilino y los aprovisiona en inquilinos de radio donde se administran los recursos.
Examinemos algunos escenarios reales y veamos cómo se alinean con cada uno de estos modelos.
Fusiones y adquisiciones (centro de aplicaciones)
Durante las fusiones y adquisiciones, la capacidad de habilitar rápidamente la colaboración es fundamental, lo que permite a las empresas funcionar de forma coherente mientras se toman decisiones complejas de TI. Por ejemplo, cuando los empleados de una empresa recién adquirida necesitan acceso inmediato a aplicaciones como el sistema interno de venta de vales del departamento de soporte técnico o la aplicación de beneficios, la sincronización entre inquilinos resulta inestimable. Este proceso de sincronización permite que los usuarios de la empresa adquirida se aprovisionen en el centro de aplicaciones desde el primer día, concediéndoles acceso a aplicaciones SaaS, aplicaciones locales y otros recursos en la nube. Dentro del inquilino de destino, los administradores pueden configurar paquetes de acceso para conceder acceso limitado de tiempo a aplicaciones adicionales, como Salesforce y Amazon Web Services, que contienen datos críticos para la empresa. En el diagrama siguiente se muestran los inquilinos adquiridos recientemente, a la izquierda, y sus usuarios siendo aprovisionados en el inquilino de la empresa principal, lo que concede a los usuarios acceso a los recursos necesarios.
Inquilinos de recursos y colaboración independientes (centro de usuarios)
A medida que las organizaciones escalan su uso de Azure, a menudo crean inquilinos dedicados para administrar recursos críticos de Azure. Mientras tanto, se basan en un inquilino de hub central para el aprovisionamiento de usuarios. Este modelo permite a los administradores del inquilino central establecer directivas de seguridad y gobernanza centrales, a la vez que concede a los equipos de desarrollo mayor autonomía y agilidad para implementar los recursos necesarios de Azure. La sincronización entre inquilinos admite esta topología al permitir que los administradores aprovisionen un subconjunto de usuarios en los inquilinos de radio y administren el ciclo de vida de esos usuarios.
En malla
Aunque algunas empresas centralizan a sus usuarios dentro de un único inquilino, otras tienen una estructura más descentralizada con aplicaciones, sistemas de RR. HH. y dominios de Active Directory integrados en cada inquilino. La sincronización entre inquilinos ofrece la flexibilidad de elegir qué usuarios se aprovisionan en cada inquilino.
Colaborar dentro de una empresa de cartera (malla parcial)
En este escenario, cada inquilino representa una empresa diferente dentro de la misma organización primaria. Los administradores de cada inquilino eligen un subconjunto de usuarios para aprovisionar en el inquilino de destino. Esta solución proporciona flexibilidad para que cada inquilino funcione de forma independiente, a la vez que facilita la colaboración cuando los usuarios necesitan acceso a recursos críticos.
La sincronización entre inquilinos es unidireccional. Los usuarios miembros internos se pueden sincronizar en varios inquilinos como usuarios externos. Cuando la topología muestra una sincronización bidireccional, hay un conjunto distinto de usuarios en cada dirección y cada flecha representa una configuración diferente.
Colaboración entre unidades de negocio (malla completa)
En este escenario, la organización ha designado inquilinos diferentes para cada unidad de negocio. Las unidades de negocio trabajan estrechamente juntas, en particular con Microsoft Teams. Como resultado, cada inquilino ha elegido aprovisionar todos los usuarios en los cuatro inquilinos de la organización. A medida que los nuevos usuarios se unen a la empresa o salen, el servicio de aprovisionamiento se encarga de crear y eliminar usuarios. La organización también ha configurado una organización multiinquilino que incluye los cuatro inquilinos. Ahora, cuando los usuarios necesitan colaborar en Teams, pueden encontrar fácilmente usuarios en toda la empresa e iniciar chats y reuniones con ellos.
Just-In-Time
Aunque los escenarios descritos hasta ahora cubren la colaboración dentro de una organización, hay casos en los que la colaboración entre organizaciones resulta fundamental. Esto podría estar en el contexto de sociedades mixtas u organizaciones de entidades jurídicas independientes. Al emplear organizaciones conectadas y la administración de derechos, es posible definir directivas para acceder a los recursos de las organizaciones conectadas y permitir que los usuarios soliciten acceso a los recursos que necesiten.
Empresas conjuntas
Considere Contoso y Litware, organizaciones independientes vinculadas a una sociedad mixta multianual. Necesitan colaborar estrechamente. Los administradores de Contoso han definido paquetes de acceso que contienen los recursos necesarios para los usuarios de Litware. Cuando un nuevo empleado de Litware necesita acceso a los recursos de Contoso, puede solicitar acceso al paquete de acceso. Tras la aprobación, se aprovisionan con los recursos necesarios. El acceso puede estar limitado por el tiempo y sujeto a una revisión periódica para garantizar el cumplimiento de los requisitos de gobernanza de Contoso.
En el diagrama siguiente se muestra cómo dos organizaciones pueden colaborar Just-In-Time mediante organizaciones conectadas y la administración de derechos.
Escenarios admitidos
La sincronización entre inquilinos admite la importación de usuarios internos en el inquilino de origen y el aprovisionamiento de usuarios externos en el inquilino de destino.
Credenciales de inquilino de origen | UserType de inquilino de origen | Credenciales de inquilino de destino | UserType de inquilino de destino | ¿Escenario admitido? |
---|---|---|---|---|
Interno | Miembro | Externo | Miembro | Sí |
Interno | Miembro | Externo | Invitado | Sí |
Interno | Invitado | Externo | Miembro | Sí |
Interno | Invitado | Externo | Invitado | Sí |
Interno | Miembro | Interno | Miembro | No |
Interno | Miembro | Interno | Invitado | No |
Interno | Invitado | Interno | Miembro | No |
Interno | Invitado | Interno | Invitado | No |
Externo | Miembro | Externo | Miembro | No |
Externo | Miembro | Externo | Invitado | No |
Externo | Invitado | Externo | Miembro | No |
Externo | Invitado | Externo | Invitado | No |