Wprowadzenie do wielodostępnych funkcji zarządzania użytkownikami
Ten artykuł jest pierwszym z serii artykułów, które zawierają wskazówki dotyczące konfigurowania i zapewniania zarządzania cyklem życia użytkowników w środowiskach wielodostępnych firmy Microsoft. Poniższe artykuły z serii zawierają więcej informacji zgodnie z opisem.
- Scenariusze zarządzania użytkownikami wielodostępnym opisują trzy scenariusze , w których można używać funkcji zarządzania użytkownikami wielodostępnym: inicjowanych przez użytkownika końcowego, skryptów i zautomatyzowanych.
- Typowe zagadnienia dotyczące wielodostępnej funkcji zarządzania użytkownikami zawierają wskazówki dotyczące następujących zagadnień: synchronizacja między dzierżawami, obiekt katalogu, dostęp warunkowy firmy Microsoft Entra, dodatkowa kontrola dostępu i usługa Office 365.
- Typowe rozwiązania dotyczące wielodostępnego zarządzania użytkownikami , gdy pojedyncza dzierżawa nie działa w danym scenariuszu, ten artykuł zawiera wskazówki dotyczące następujących wyzwań: automatyczne zarządzanie cyklem życia użytkownika i alokacja zasobów w dzierżawach, udostępnianie aplikacji lokalnych między dzierżawami.
Wskazówki ułatwiają osiągnięcie spójnego stanu zarządzania cyklem życia użytkowników. Zarządzanie cyklem życia obejmuje aprowizowanie i anulowanie aprowizacji użytkowników w dzierżawach przy użyciu dostępnych narzędzi platformy Azure, które obejmują współpracę B2B firmy Microsoft (B2B) i synchronizację między dzierżawami.
Aprowizowanie użytkowników w jednej dzierżawie firmy Microsoft Entra zapewnia ujednolicony widok zasobów i pojedynczy zestaw zasad i mechanizmów kontroli. Takie podejście umożliwia spójne zarządzanie cyklem życia użytkowników.
Firma Microsoft zaleca jedną dzierżawę, jeśli jest to możliwe. Posiadanie wielu dzierżaw może spowodować unikatową współpracę między dzierżawami i wymagania dotyczące zarządzania. Gdy konsolidacja jednej dzierżawy firmy Microsoft Entra nie jest możliwa, wielodostępne organizacje mogą obejmować co najmniej dwie dzierżawy firmy Microsoft Entra z powodów, które obejmują następujące elementy.
- Fuzje
- Przejęcia
- Zbycie
- Współpraca w chmurach publicznych, suwerennych i regionalnych
- Struktury polityczne lub organizacyjne, które uniemożliwiają konsolidację jednej dzierżawy firmy Microsoft Entra
Microsoft Entra B2B collaboration
Firma Microsoft Entra B2B collaboration (B2B) umożliwia bezpieczne udostępnianie aplikacji i usług firmy użytkownikom zewnętrznym. Gdy użytkownicy mogą pochodzić z dowolnej organizacji, B2B pomaga zachować kontrolę nad dostępem do środowiska i danych IT.
Możesz użyć współpracy B2B, aby zapewnić dostęp zewnętrzny dla użytkowników organizacji w celu uzyskania dostępu do wielu zarządzanych dzierżaw. Tradycyjnie dostęp użytkowników zewnętrznych B2B może autoryzować dostęp do użytkowników, którymi nie zarządza Twoja organizacja. Dostęp użytkowników zewnętrznych może jednak zarządzać dostępem w wielu dzierżawach zarządzanych przez organizację.
Obszar pomyłek z funkcją współpracy firmy Microsoft Entra B2B otacza właściwości użytkownika-gościa B2B. Różnica między wewnętrznymi i zewnętrznymi kontami użytkowników a typami użytkowników-gościa przyczynia się do nieporozumień. Początkowo wszyscy użytkownicy wewnętrzni są użytkownikami członkowskimi z atrybutem UserType ustawionym na Element członkowski (użytkownicy będący członkami). Użytkownik wewnętrzny ma konto w identyfikatorze Entra firmy Microsoft, które jest autorytatywne i uwierzytelniane w dzierżawie, w której znajduje się użytkownik. Użytkownik członkowski jest licencjonowanym użytkownikiem z domyślnymi uprawnieniami na poziomie członka w dzierżawie. Traktuj użytkowników będących członkami jako pracowników organizacji.
Możesz zaprosić użytkownika wewnętrznego jednej dzierżawy do innej dzierżawy jako użytkownika zewnętrznego. Użytkownik zewnętrzny loguje się przy użyciu zewnętrznego konta Microsoft Entra, tożsamości społecznościowej lub innego zewnętrznego dostawcy tożsamości. Użytkownicy zewnętrzni uwierzytelniają się poza dzierżawą, do której zapraszasz użytkownika zewnętrznego. W pierwszej wersji B2B wszyscy użytkownicy zewnętrzni byli gośćmi UserType (gośćmi). Użytkownicy-goście mają ograniczone uprawnienia w dzierżawie. Na przykład użytkownicy-goście nie mogą wyliczać listy wszystkich użytkowników ani grup w katalogu dzierżawy.
W przypadku właściwości UserType dla użytkowników funkcja B2B obsługuje przerzucanie bitu z wewnętrznego na zewnętrzny i odwrotnie, co przyczynia się do pomyłek.
Możesz zmienić użytkownika wewnętrznego z użytkownika członkowskiego na użytkownika-gościa. Na przykład możesz mieć nielicencjonowanego wewnętrznego użytkownika-gościa z uprawnieniami na poziomie gościa w dzierżawie, co jest przydatne podczas podawania konta użytkownika i poświadczeń osobie, która nie jest pracownikiem organizacji.
Możesz zmienić użytkownika zewnętrznego z użytkownika-gościa na użytkownika członkowskiego, dając uprawnienia na poziomie członka do użytkownika zewnętrznego. Wprowadzenie tej zmiany jest przydatne w przypadku zarządzania wieloma dzierżawami w organizacji i konieczności nadania użytkownikowi uprawnień na poziomie członka we wszystkich dzierżawach. Taka potrzeba może wystąpić niezależnie od tego, czy użytkownik jest wewnętrzny, czy zewnętrzny w danej dzierżawie. Użytkownicy będący członkami mogą wymagać większej liczby licencji.
Większość dokumentacji B2B odnosi się do użytkownika zewnętrznego jako użytkownika-gościa. Łączy właściwość UserType w sposób, który zakłada, że wszyscy użytkownicy-goście są zewnętrzni. Gdy w dokumentacji jest wywoływany użytkownik-gość, zakłada się, że jest to zewnętrzny użytkownik-gość. W tym artykule specjalnie i celowo odwołuje się do użytkownika zewnętrznego i wewnętrznego, a użytkownika-gościa.
Synchronizacja między dzierżawami
Synchronizacja między dzierżawami umożliwia organizacjom wielodostępnym zapewnienie użytkownikom końcowym bezproblemowego dostępu i współpracy przy użyciu istniejących funkcji współpracy zewnętrznej B2B. Ta funkcja nie zezwala na synchronizację między dzierżawami w suwerennych chmurach firmy Microsoft (takich jak Microsoft 365 US Government GCC High, DOD lub Office 365 w Chinach). Zobacz Typowe zagadnienia dotyczące zarządzania użytkownikami wielodostępnymi, aby uzyskać pomoc dotyczącą zautomatyzowanych i niestandardowych scenariuszy synchronizacji między dzierżawami.
Zobacz Arvind Harinder omówiono możliwości synchronizacji między dzierżawami w identyfikatorze Entra firmy Microsoft (osadzonym poniżej).
Poniższe artykuły koncepcyjne i artykuły z instrukcjami zawierają informacje o współpracy firmy Microsoft Entra B2B i synchronizacji między dzierżawami.
Artykuły koncepcyjne
- Najlepsze rozwiązania B2B udostępniają zalecenia dotyczące zapewniania najładniejszego środowiska dla użytkowników i administratorów.
- Udostępnianie zewnętrzne B2B i Office 365 wyjaśnia podobieństwa i różnice między udostępnianiem zasobów za pośrednictwem usług B2B, Office 365 i SharePoint/OneDrive.
- Właściwości użytkownika współpracy firmy Microsoft Entra B2B opisują właściwości i stany obiektu użytkownika zewnętrznego w identyfikatorze Entra firmy Microsoft. Opis zawiera szczegóły przed i po wykupie zaproszenia.
- Dostęp warunkowy dla B2B opisuje sposób działania dostępu warunkowego i uwierzytelniania wieloskładnikowego dla użytkowników zewnętrznych.
- Ustawienia dostępu między dzierżawami zapewniają szczegółową kontrolę nad tym, jak zewnętrzne organizacje firmy Microsoft Entra współpracują z Tobą (dostęp przychodzący) i jak użytkownicy współpracują z zewnętrznymi organizacjami firmy Microsoft Entra (dostęp wychodzący).
- Omówienie synchronizacji między dzierżawami wyjaśnia, jak zautomatyzować tworzenie, aktualizowanie i usuwanie użytkowników współpracy firmy Microsoft Entra B2B między dzierżawami w organizacji.
Instrukcje
- Używanie programu PowerShell do zbiorczego zapraszania użytkowników współpracy B2B firmy Microsoft opisuje sposób wysyłania zaproszeń zbiorczych do użytkowników zewnętrznych za pomocą programu PowerShell.
- Wymuszenie uwierzytelniania wieloskładnikowego dla użytkowników-gości B2B wyjaśnia, jak można użyć zasad dostępu warunkowego i uwierzytelniania wieloskładnikowego w celu wymuszania poziomów uwierzytelniania dzierżawy, aplikacji lub poszczególnych użytkowników zewnętrznych.
- Uwierzytelnianie za pomocą jednorazowego kodu dostępu poczty e-mail opisuje sposób uwierzytelniania funkcji jednorazowego kodu dostępu poczty e-mail, gdy nie mogą uwierzytelniać się za pośrednictwem innych środków, takich jak Microsoft Entra ID, konto Microsoft lub federacja Google.
Terminologia
Poniższe terminy w zawartości firmy Microsoft odnoszą się do wielodostępności współpracy w usłudze Microsoft Entra ID.
- Dzierżawa zasobów: dzierżawa firmy Microsoft Entra zawierająca zasoby, które użytkownicy chcą udostępniać innym osobom.
- Dzierżawa główna: dzierżawa firmy Microsoft Entra zawierająca użytkowników, którzy wymagają dostępu do zasobów w dzierżawie zasobów.
- Użytkownik wewnętrzny: użytkownik wewnętrzny ma konto autorytatywne i uwierzytelnia się w dzierżawie, w której znajduje się użytkownik.
- Użytkownik zewnętrzny: użytkownik zewnętrzny ma zewnętrzne konto Microsoft Entra, tożsamość społecznościową lub innego zewnętrznego dostawcę tożsamości w celu zalogowania się. Użytkownik zewnętrzny uwierzytelnia się gdzieś poza dzierżawą, do której zaproszono użytkownika zewnętrznego.
- Użytkownik członkowski: wewnętrzny lub zewnętrzny użytkownik członkowski jest licencjonowanym użytkownikiem z domyślnymi uprawnieniami na poziomie członka w dzierżawie. Traktuj użytkowników będących członkami jako pracowników organizacji.
- Użytkownik-gość: wewnętrzny lub zewnętrzny użytkownik-gość ma ograniczone uprawnienia w dzierżawie. Użytkownicy-goście nie są pracownikami organizacji (takimi jak użytkownicy dla partnerów). Większość dokumentacji B2B odnosi się do gości B2B, które odnoszą się głównie do zewnętrznych kont użytkowników-gości.
- Zarządzanie cyklem życia użytkownika: proces aprowizacji, zarządzania i anulowania aprowizacji dostępu użytkowników do zasobów.
- Ujednolicona lista gal: każdy użytkownik w każdej dzierżawie może wyświetlać użytkowników z każdej organizacji na liście adresów globalnych (GAL).
Podejmowanie decyzji o tym, jak spełnić wymagania
Unikatowe wymagania organizacji wpływają na strategię zarządzania użytkownikami w różnych dzierżawach. Aby utworzyć skuteczną strategię, należy wziąć pod uwagę następujące wymagania.
- Liczba dzierżaw
- Typ organizacji
- Bieżące topologie
- Określone potrzeby synchronizacji użytkowników
Typowe wymagania
Organizacje początkowo koncentrują się na wymaganiach, których chcą użyć do natychmiastowej współpracy. Czasami nazywane wymaganiami pierwszego dnia koncentrują się na umożliwieniu użytkownikom końcowym bezproblemowego scalania bez przerywania możliwości generowania wartości. Podczas definiowania wymagań dotyczących pierwszego dnia i wymagań administracyjnych należy wziąć pod uwagę następujące wymagania i potrzeby.
Wymagania dotyczące komunikacji
- Ujednolicona globalna lista adresów: każdy użytkownik może zobaczyć wszystkich innych użytkowników w dzierżawie głównej.
- Informacje o wolnych/zajętych: umożliwia użytkownikom odnajdywanie dostępności nawzajem. Można to zrobić za pomocą relacji organizacji w usłudze Exchange Online.
- Czat i obecność: umożliwia użytkownikom określanie obecności innych osób i inicjowanie obsługi wiadomości błyskawicznych. Konfigurowanie za pośrednictwem dostępu zewnętrznego w usłudze Microsoft Teams.
- Zarezerwuj zasoby, takie jak sale konferencyjne: umożliwia użytkownikom zarezerwowanie sal konferencyjnych lub innych zasobów w całej organizacji. Rezerwacja sali konferencyjnej między dzierżawami nie jest obecnie dostępna w usłudze Exchange Online.
- Pojedyncza domena poczty e-mail: umożliwia wszystkim użytkownikom wysyłanie i odbieranie wiadomości e-mail z jednej domeny poczty e-mail (na przykład
users@contoso.com
). Wysyłanie wymaga rozwiązania do ponownego zapisywania adresu e-mail.
Wymagania dotyczące dostępu
- Dostęp do dokumentów: umożliwia użytkownikom udostępnianie dokumentów z programów SharePoint, OneDrive i Teams.
- Administracja: umożliwia administratorom zarządzanie konfiguracją subskrypcji i usług wdrożonych w wielu dzierżawach.
- Dostęp do aplikacji: zezwalaj użytkownikom końcowym na dostęp do aplikacji w całej organizacji.
- Logowanie jednokrotne: Umożliwianie użytkownikom uzyskiwania dostępu do zasobów w całej organizacji bez konieczności wprowadzania większej liczby poświadczeń.
Wzorce tworzenia konta
Mechanizmy firmy Microsoft do tworzenia cyklu życia kont użytkowników zewnętrznych i zarządzania nimi są zgodne z trzema typowymi wzorcami. Te wzorce ułatwiają definiowanie i implementowanie wymagań. Wybierz wzorzec, który najlepiej pasuje do danego scenariusza, a następnie skoncentruj się na szczegółach wzorca.
Mechanizm | opis | Najlepsze, kiedy |
---|---|---|
Zainicjowane przez użytkownika końcowego | Administratorzy dzierżawy zasobów delegować możliwość zapraszania użytkowników zewnętrznych do dzierżawy, aplikacji lub zasobu do użytkowników w dzierżawie zasobów. Możesz zaprosić użytkowników z dzierżawy głównej lub indywidualnie zarejestrować się. | Ujednolicona globalna lista adresów pierwszego dnia nie jest wymagana. |
Skryptów | Administratorzy dzierżawy zasobów wdrażają skryptowy proces ściągania , aby zautomatyzować odnajdywanie i aprowizowanie użytkowników zewnętrznych w celu obsługi scenariuszy udostępniania. | Niewielka liczba dzierżaw (takich jak dwie). |
Zautomatyzowane | Administratorzy dzierżawy zasobów używają systemu aprowizacji tożsamości w celu zautomatyzowania procesów aprowizacji i anulowania aprowizacji. | Potrzebna jest ujednolicona globalna lista adresów między dzierżawami. |
Następne kroki
- Scenariusze zarządzania użytkownikami wielodostępnym opisują trzy scenariusze , w których można używać funkcji zarządzania użytkownikami wielodostępnym: inicjowanych przez użytkownika końcowego, skryptów i zautomatyzowanych.
- Typowe zagadnienia dotyczące wielodostępnej funkcji zarządzania użytkownikami zawierają wskazówki dotyczące następujących zagadnień: synchronizacja między dzierżawami, obiekt katalogu, dostęp warunkowy firmy Microsoft Entra, dodatkowa kontrola dostępu i usługa Office 365.
- Typowe rozwiązania dotyczące wielodostępnego zarządzania użytkownikami , gdy pojedyncza dzierżawa nie działa w danym scenariuszu, ten artykuł zawiera wskazówki dotyczące następujących wyzwań: automatyczne zarządzanie cyklem życia użytkownika i alokacja zasobów w dzierżawach, udostępnianie aplikacji lokalnych między dzierżawami.
- Synchronizacja wielodostępna z usługi Active Directory opisuje różne topologie lokalne i microsoft Entra, które używają usługi Microsoft Entra Connect Sync jako kluczowego rozwiązania integracji.