Topologie współpracy między dzierżawami
Organizacje często zarządzają wieloma dzierżawami z powodu fuzji i przejęć, wymagań regulacyjnych lub granic administracyjnych. Niezależnie od scenariusza firma Microsoft Entra oferuje elastyczne i gotowe do użycia rozwiązanie do aprowizowania kont w dzierżawach i ułatwia bezproblemową współpracę. Firma Microsoft Entra uwzględnia następujące trzy modele i może dostosować się do zmieniających się potrzeb organizacji.
- Gwiazda
- Siatka
- Just in time
Gwiazda
Topologia piasty i szprych przedstawia dwa typowe wzorce:
Opcja 1 (centrum aplikacji): W tej opcji można zintegrować często używane aplikacje z centralną dzierżawą centrum, do której użytkownicy z całej organizacji mogą uzyskiwać dostęp.
Opcja 2 (centrum użytkowników): Alternatywnie opcja 2 centralizuje wszystkich użytkowników w jednej dzierżawie i aprowizuje je w dzierżawach szprych, w których są zarządzane zasoby.
Przyjrzyjmy się kilku rzeczywistym scenariuszom i zobaczmy, jak są one zgodne z każdym z tych modeli.
Fuzje i przejęcia (centrum aplikacji)
Podczas fuzji i przejęć możliwość szybkiego włączenia współpracy ma kluczowe znaczenie, co pozwala firmom działać spójnie, podczas gdy podejmowane są złożone decyzje IT. Na przykład gdy nowo nabyci pracownicy firmy potrzebują natychmiastowego dostępu do aplikacji, takich jak wewnętrzny system obsługi biletów pomocy technicznej lub aplikacja korzyści, synchronizacja między dzierżawami okazuje się nieoceniona. Ten proces synchronizacji umożliwia użytkownikom z przejętej firmy aprowizację w centrum aplikacji od pierwszego dnia, udzielając im dostępu do aplikacji SaaS, aplikacji lokalnych i innych zasobów w chmurze. W ramach dzierżawy docelowej administratorzy mogą skonfigurować pakiety dostępu w celu udzielenia ograniczonego czasu dostępu do dodatkowych aplikacji, takich jak Salesforce i Amazon Web Services, które zawierają dane krytyczne dla działania firmy. Na poniższym diagramie przedstawiono ostatnio pozyskane dzierżawy po lewej stronie, a ich użytkownicy są aprowizowani w dzierżawie firmy dominującej, co umożliwia użytkownikom dostęp do niezbędnych zasobów.
Oddzielne dzierżawy współpracy i zasobów (centrum użytkowników)
W miarę skalowania użycia platformy Azure organizacje często tworzą dedykowane dzierżawy do zarządzania krytycznymi zasobami platformy Azure. Tymczasem korzystają one z centralnej dzierżawy centrum na potrzeby aprowizacji użytkowników. Ten model umożliwia administratorom w dzierżawie centrum ustanowienie centralnych zasad zabezpieczeń i ładu przy jednoczesnym przyznaniu zespołom deweloperów większej autonomii i elastyczności wdrażania wymaganych zasobów platformy Azure. Synchronizacja między dzierżawami obsługuje tę topologię, umożliwiając administratorom aprowizowanie podzbioru użytkowników w dzierżawach szprych i zarządzanie cyklem życia tych użytkowników.
Siatka
Podczas gdy niektóre firmy scentralizują użytkowników w ramach jednej dzierżawy, inne mają bardziej zdecentralizowaną strukturę z aplikacjami, systemami KADR i domenami usługi Active Directory zintegrowanymi z każdą dzierżawą. Synchronizacja między dzierżawami zapewnia elastyczność wyboru użytkowników, którzy są aprowizowani w każdej dzierżawie.
Współpraca w firmie portfelowej (częściowa siatka)
W tym scenariuszu każda dzierżawa reprezentuje inną firmę w ramach tej samej organizacji nadrzędnej. Administratorzy w każdej dzierżawie wybierają podzbiór użytkowników do aprowizacji w dzierżawie docelowej. To rozwiązanie zapewnia elastyczność, aby każda dzierżawa działała niezależnie, ułatwiając współpracę, gdy użytkownicy potrzebują dostępu do krytycznych zasobów.
Synchronizacja między dzierżawami jest jednym ze sposobów. Wewnętrzny użytkownik członkowski może być synchronizowany z wieloma dzierżawami jako użytkownik zewnętrzny. Gdy topologia pokazuje synchronizację przechodzącą w obu kierunkach, jest to odrębny zestaw użytkowników w każdym kierunku, a każda strzałka jest oddzielną konfiguracją.
Współpraca między jednostkami biznesowymi (pełna siatka)
W tym scenariuszu organizacja wyznaczyła różne dzierżawy dla każdej jednostki biznesowej. Jednostki biznesowe ściśle współpracują ze sobą, w szczególności przy użyciu usługi Microsoft Teams. W związku z tym każda dzierżawa zdecydowała się aprowizować wszystkich użytkowników w czterech dzierżawach w organizacji. Gdy nowi użytkownicy dołączają do firmy lub opuszczają firmę, usługa aprowizacji zajmuje się tworzeniem i usuwaniem użytkowników. Organizacja skonfigurowała również wielodostępną organizację obejmującą wszystkie cztery dzierżawy. Teraz, gdy użytkownicy muszą współpracować w usłudze Teams, mogą łatwo znaleźć użytkowników w całej firmie i rozpocząć rozmowy i spotkania z tymi użytkownikami.
Just in time
Chociaż scenariusze omówione do tej pory obejmują współpracę w organizacji, istnieją przypadki, w których współpraca między organizacjami jest niezbędna. Może to być w kontekście wspólnych przedsięwzięć lub organizacji niezależnych podmiotów prawnych. Korzystając z połączonych organizacji i zarządzania upoważnieniami, można zdefiniować zasady uzyskiwania dostępu do zasobów w połączonych organizacjach i umożliwić użytkownikom żądanie dostępu do potrzebnych zasobów.
Wspólne przedsięwzięcia
Rozważmy firmy Contoso i Litware, oddzielne organizacje zaangażowane w wieloletnie joint venture. Muszą ściśle współpracować. Administratorzy w firmie Contoso mają zdefiniowane pakiety dostępu zawierające zasoby wymagane przez użytkowników aplikacji Litware. Gdy nowy pracownik aplikacji Litware potrzebuje dostępu do zasobów firmy Contoso, może zażądać dostępu do pakietu dostępu. Po zatwierdzeniu są one aprowidowane przy użyciu niezbędnych zasobów. Dostęp może być ograniczony czasowo i podlega okresowemu przeglądowi w celu zapewnienia zgodności z wymaganiami dotyczącymi ładu firmy Contoso.
Na poniższym diagramie pokazano, jak dwie organizacje mogą współpracować w odpowiednim czasie przy użyciu połączonych organizacji i zarządzania upoważnieniami.
Obsługiwane scenariusze
Synchronizacja między dzierżawami obsługuje importowanie użytkowników wewnętrznych w dzierżawie źródłowej i aprowizowanie użytkowników zewnętrznych w dzierżawie docelowej.
Poświadczenia dzierżawy źródłowej | Typ użytkownika dzierżawy źródłowej | Poświadczenia dzierżawy docelowej | Typ użytkownika dzierżawy docelowej | Obsługiwany scenariusz? |
---|---|---|---|---|
Wewnętrzny | Element członkowski | Zewnętrzne | Element członkowski | Tak |
Wewnętrzny | Element członkowski | Zewnętrzne | Gość | Tak |
Wewnętrzny | Gość | Zewnętrzne | Element członkowski | Tak |
Wewnętrzny | Gość | Zewnętrzne | Gość | Tak |
Wewnętrzny | Element członkowski | Wewnętrzny | Element członkowski | Nie. |
Wewnętrzny | Element członkowski | Wewnętrzny | Gość | Nie. |
Wewnętrzny | Gość | Wewnętrzny | Element członkowski | Nie. |
Wewnętrzny | Gość | Wewnętrzny | Gość | Nie. |
Zewnętrzne | Element członkowski | Zewnętrzne | Element członkowski | Nie. |
Zewnętrzne | Element członkowski | Zewnętrzne | Gość | Nie. |
Zewnętrzne | Gość | Zewnętrzne | Element członkowski | Nie. |
Zewnętrzne | Gość | Zewnętrzne | Gość | Nie. |