Udostępnij za pośrednictwem


Topologie współpracy między dzierżawami

Organizacje często zarządzają wieloma dzierżawami z powodu fuzji i przejęć, wymagań regulacyjnych lub granic administracyjnych. Niezależnie od scenariusza firma Microsoft Entra oferuje elastyczne i gotowe do użycia rozwiązanie do aprowizowania kont w dzierżawach i ułatwia bezproblemową współpracę. Firma Microsoft Entra uwzględnia następujące trzy modele i może dostosować się do zmieniających się potrzeb organizacji.

  • Gwiazda
  • Siatka
  • Just in time

Gwiazda

Topologia piasty i szprych przedstawia dwa typowe wzorce:

  • Opcja 1 (centrum aplikacji): W tej opcji można zintegrować często używane aplikacje z centralną dzierżawą centrum, do której użytkownicy z całej organizacji mogą uzyskiwać dostęp.

  • Opcja 2 (centrum użytkowników): Alternatywnie opcja 2 centralizuje wszystkich użytkowników w jednej dzierżawie i aprowizuje je w dzierżawach szprych, w których są zarządzane zasoby.

Przyjrzyjmy się kilku rzeczywistym scenariuszom i zobaczmy, jak są one zgodne z każdym z tych modeli.

Fuzje i przejęcia (centrum aplikacji)

Podczas fuzji i przejęć możliwość szybkiego włączenia współpracy ma kluczowe znaczenie, co pozwala firmom działać spójnie, podczas gdy podejmowane są złożone decyzje IT. Na przykład gdy nowo nabyci pracownicy firmy potrzebują natychmiastowego dostępu do aplikacji, takich jak wewnętrzny system obsługi biletów pomocy technicznej lub aplikacja korzyści, synchronizacja między dzierżawami okazuje się nieoceniona. Ten proces synchronizacji umożliwia użytkownikom z przejętej firmy aprowizację w centrum aplikacji od pierwszego dnia, udzielając im dostępu do aplikacji SaaS, aplikacji lokalnych i innych zasobów w chmurze. W ramach dzierżawy docelowej administratorzy mogą skonfigurować pakiety dostępu w celu udzielenia ograniczonego czasu dostępu do dodatkowych aplikacji, takich jak Salesforce i Amazon Web Services, które zawierają dane krytyczne dla działania firmy. Na poniższym diagramie przedstawiono ostatnio pozyskane dzierżawy po lewej stronie, a ich użytkownicy są aprowizowani w dzierżawie firmy dominującej, co umożliwia użytkownikom dostęp do niezbędnych zasobów.

Diagram przedstawiający synchronizację wielu dzierżaw źródłowych z jedną dzierżawą docelową.

Oddzielne dzierżawy współpracy i zasobów (centrum użytkowników)

W miarę skalowania użycia platformy Azure organizacje często tworzą dedykowane dzierżawy do zarządzania krytycznymi zasobami platformy Azure. Tymczasem korzystają one z centralnej dzierżawy centrum na potrzeby aprowizacji użytkowników. Ten model umożliwia administratorom w dzierżawie centrum ustanowienie centralnych zasad zabezpieczeń i ładu przy jednoczesnym przyznaniu zespołom deweloperów większej autonomii i elastyczności wdrażania wymaganych zasobów platformy Azure. Synchronizacja między dzierżawami obsługuje tę topologię, umożliwiając administratorom aprowizowanie podzbioru użytkowników w dzierżawach szprych i zarządzanie cyklem życia tych użytkowników.

Diagram przedstawiający synchronizację dzierżawy źródłowej z wieloma dzierżawami docelowymi.

Siatka

Podczas gdy niektóre firmy scentralizują użytkowników w ramach jednej dzierżawy, inne mają bardziej zdecentralizowaną strukturę z aplikacjami, systemami KADR i domenami usługi Active Directory zintegrowanymi z każdą dzierżawą. Synchronizacja między dzierżawami zapewnia elastyczność wyboru użytkowników, którzy są aprowizowani w każdej dzierżawie.

Współpraca w firmie portfelowej (częściowa siatka)

W tym scenariuszu każda dzierżawa reprezentuje inną firmę w ramach tej samej organizacji nadrzędnej. Administratorzy w każdej dzierżawie wybierają podzbiór użytkowników do aprowizacji w dzierżawie docelowej. To rozwiązanie zapewnia elastyczność, aby każda dzierżawa działała niezależnie, ułatwiając współpracę, gdy użytkownicy potrzebują dostępu do krytycznych zasobów.

Diagram przedstawiający synchronizację topologii częściowej siatki z wieloma dzierżawami.

Synchronizacja między dzierżawami jest jednym ze sposobów. Wewnętrzny użytkownik członkowski może być synchronizowany z wieloma dzierżawami jako użytkownik zewnętrzny. Gdy topologia pokazuje synchronizację przechodzącą w obu kierunkach, jest to odrębny zestaw użytkowników w każdym kierunku, a każda strzałka jest oddzielną konfiguracją.

Współpraca między jednostkami biznesowymi (pełna siatka)

W tym scenariuszu organizacja wyznaczyła różne dzierżawy dla każdej jednostki biznesowej. Jednostki biznesowe ściśle współpracują ze sobą, w szczególności przy użyciu usługi Microsoft Teams. W związku z tym każda dzierżawa zdecydowała się aprowizować wszystkich użytkowników w czterech dzierżawach w organizacji. Gdy nowi użytkownicy dołączają do firmy lub opuszczają firmę, usługa aprowizacji zajmuje się tworzeniem i usuwaniem użytkowników. Organizacja skonfigurowała również wielodostępną organizację obejmującą wszystkie cztery dzierżawy. Teraz, gdy użytkownicy muszą współpracować w usłudze Teams, mogą łatwo znaleźć użytkowników w całej firmie i rozpocząć rozmowy i spotkania z tymi użytkownikami.

Diagram przedstawiający topologię ful-mesh synchronizowaną z wieloma dzierżawami.

Just in time

Chociaż scenariusze omówione do tej pory obejmują współpracę w organizacji, istnieją przypadki, w których współpraca między organizacjami jest niezbędna. Może to być w kontekście wspólnych przedsięwzięć lub organizacji niezależnych podmiotów prawnych. Korzystając z połączonych organizacji i zarządzania upoważnieniami, można zdefiniować zasady uzyskiwania dostępu do zasobów w połączonych organizacjach i umożliwić użytkownikom żądanie dostępu do potrzebnych zasobów.

Wspólne przedsięwzięcia

Rozważmy firmy Contoso i Litware, oddzielne organizacje zaangażowane w wieloletnie joint venture. Muszą ściśle współpracować. Administratorzy w firmie Contoso mają zdefiniowane pakiety dostępu zawierające zasoby wymagane przez użytkowników aplikacji Litware. Gdy nowy pracownik aplikacji Litware potrzebuje dostępu do zasobów firmy Contoso, może zażądać dostępu do pakietu dostępu. Po zatwierdzeniu są one aprowidowane przy użyciu niezbędnych zasobów. Dostęp może być ograniczony czasowo i podlega okresowemu przeglądowi w celu zapewnienia zgodności z wymaganiami dotyczącymi ładu firmy Contoso.

Na poniższym diagramie pokazano, jak dwie organizacje mogą współpracować w odpowiednim czasie przy użyciu połączonych organizacji i zarządzania upoważnieniami.

Diagram przedstawiający współpracę just in time przy użyciu połączonych organizacji i zarządzania upoważnieniami.

Obsługiwane scenariusze

Synchronizacja między dzierżawami obsługuje importowanie użytkowników wewnętrznych w dzierżawie źródłowej i aprowizowanie użytkowników zewnętrznych w dzierżawie docelowej.

Poświadczenia dzierżawy źródłowej Typ użytkownika dzierżawy źródłowej Poświadczenia dzierżawy docelowej Typ użytkownika dzierżawy docelowej Obsługiwany scenariusz?
Wewnętrzny Element członkowski Zewnętrzne Element członkowski Tak
Wewnętrzny Element członkowski Zewnętrzne Gość Tak
Wewnętrzny Gość Zewnętrzne Element członkowski Tak
Wewnętrzny Gość Zewnętrzne Gość Tak
Wewnętrzny Element członkowski Wewnętrzny Element członkowski Nie.
Wewnętrzny Element członkowski Wewnętrzny Gość Nie.
Wewnętrzny Gość Wewnętrzny Element członkowski Nie.
Wewnętrzny Gość Wewnętrzny Gość Nie.
Zewnętrzne Element członkowski Zewnętrzne Element członkowski Nie.
Zewnętrzne Element członkowski Zewnętrzne Gość Nie.
Zewnętrzne Gość Zewnętrzne Element członkowski Nie.
Zewnętrzne Gość Zewnętrzne Gość Nie.

Następne kroki