Topologie współpracy międzydzierżawczej
Organizacje często zarządzają wieloma dzierżawami z powodu fuzji i przejęć, wymagań regulacyjnych lub granic administracyjnych. Niezależnie od scenariusza firma Microsoft Entra oferuje elastyczne i gotowe do użycia rozwiązanie do aprowizowania kont w dzierżawach i ułatwia bezproblemową współpracę. Firma Microsoft Entra uwzględnia następujące trzy modele i może dostosować się do zmieniających się potrzeb organizacji.
- Model piasty i szprychy
- Siatka
- Dokładnie na czas
Model gwiazda-szprycha
Topologia piasty i szprych przedstawia dwa typowe wzorce:
Opcja 1 (centrum aplikacji): W tej opcji można zintegrować często używane aplikacje z centralną dzierżawą, do której użytkownicy z całej organizacji mogą uzyskiwać dostęp.
Opcja 2 (centrum użytkowników): Alternatywnie, opcja 2 centralizuje wszystkich użytkowników w jednym dzierżawcy i aprowizuje ich w dzierżawach zależnych, gdzie są zarządzane zasoby.
Przyjrzyjmy się kilku rzeczywistym scenariuszom i zobaczmy, jak są one zgodne z każdym z tych modeli.
Fuzje i przejęcia (centrum aplikacji)
Podczas fuzji i przejęć możliwość szybkiego włączenia współpracy ma kluczowe znaczenie, co pozwala firmom działać spójnie, podczas gdy podejmowane są złożone decyzje IT. Na przykład, gdy pracownicy nowo przejętej firmy potrzebują natychmiastowego dostępu do aplikacji, takich jak wewnętrzny system zgłoszeń serwisu helpdesk lub aplikacja do zarządzania świadczeniami, synchronizacja między dzierżawcami okazuje się nieoceniona. Ten proces synchronizacji umożliwia użytkownikom z przejętej firmy aprowizację w centrum aplikacji od pierwszego dnia, udzielając im dostępu do aplikacji SaaS, aplikacji lokalnych i innych zasobów w chmurze. W ramach dzierżawy docelowej administratorzy mogą skonfigurować pakiety dostępu w celu udzielenia ograniczonego czasu dostępu do dodatkowych aplikacji, takich jak Salesforce i Amazon Web Services, które zawierają dane krytyczne dla działania firmy. Na poniższym diagramie przedstawiono ostatnio pozyskanych najemców po lewej stronie, a ich użytkownicy są aprowizowani do dzierżawy firmy dominującej, co umożliwia użytkownikom dostęp do niezbędnych zasobów.
Oddzielne dzierżawy współpracy i zasobów (centrum użytkowników)
W miarę jak organizacje zwiększają wykorzystanie platformy Azure, często tworzą dedykowane dzierżawy do zarządzania kluczowymi zasobami tej platformy. Tymczasem polegają oni na głównym najemcy centrali do zarządzania użytkownikami. Ten model umożliwia administratorom w dzierżawie centrum ustanowienie centralnych zasad zabezpieczeń i ładu przy jednoczesnym przyznaniu zespołom deweloperów większej autonomii i elastyczności wdrażania wymaganych zasobów platformy Azure. Synchronizacja między dzierżawami obsługuje tę topologię, umożliwiając administratorom aprowizację podzbioru użytkowników w dzierżawach podrzędnych oraz zarządzanie cyklem życia tych użytkowników.
Siatka
Podczas gdy niektóre firmy scentralizują użytkowników w ramach jednej dzierżawy, inne mają bardziej zdecentralizowaną strukturę z aplikacjami, systemami KADR i domenami usługi Active Directory zintegrowanymi z każdą dzierżawą. Synchronizacja między dzierżawami zapewnia elastyczność w wyborze użytkowników, którzy są przypisani do każdej dzierżawy.
Współpraca w firmie portfelowej (partial-mesh)
W tym scenariuszu każdy najemca reprezentuje inną firmę w ramach tej samej organizacji nadrzędnej. Administratorzy w każdej dzierżawie wybierają grupę użytkowników do przeniesienia do dzierżawy docelowej. To rozwiązanie zapewnia elastyczność, aby każdy najemca mógł działać niezależnie, jednocześnie ułatwiając współpracę, gdy użytkownicy potrzebują dostępu do krytycznych zasobów.
Synchronizacja między dzierżawami jest jednym ze sposobów. Wewnętrzny użytkownik członkowski może być synchronizowany z wieloma dzierżawcami jako użytkownik zewnętrzny. Gdy topologia pokazuje synchronizację w obu kierunkach, jest to odrębny zbiór użytkowników w każdym kierunku, a każda strzałka stanowi osobną konfigurację.
Współpraca między jednostkami biznesowymi (pełna siatka)
W tym scenariuszu organizacja wyznaczyła różnych najemców dla każdej jednostki biznesowej. Jednostki biznesowe ściśle współpracują ze sobą, w szczególności przy użyciu usługi Microsoft Teams. W związku z tym każdy dzierżawca zdecydował się aprowizować wszystkich użytkowników w czterech dzierżawcach w organizacji. Gdy nowi użytkownicy dołączają do firmy lub opuszczają firmę, usługa aprowizacji zajmuje się tworzeniem i usuwaniem użytkowników. Organizacja skonfigurowała również organizację wielodostępną obejmującą wszystkich czterech najemców. Teraz, gdy użytkownicy muszą współpracować w usłudze Teams, mogą łatwo znaleźć użytkowników w całej firmie i rozpocząć rozmowy i spotkania z tymi użytkownikami.
Dokładnie na czas
Chociaż scenariusze omówione do tej pory obejmują współpracę w organizacji, istnieją przypadki, w których współpraca między organizacjami jest niezbędna. Może to być w kontekście wspólnych przedsięwzięć lub organizacji niezależnych podmiotów prawnych. Korzystając z połączonych organizacji i zarządzania upoważnieniami, można zdefiniować zasady uzyskiwania dostępu do zasobów w połączonych organizacjach i umożliwić użytkownikom żądanie dostępu do potrzebnych zasobów.
Wspólne przedsięwzięcia
Rozważmy firmy Contoso i Litware, oddzielne organizacje zaangażowane w wieloletnie joint venture. Muszą ściśle współpracować. Administratorzy w firmie Contoso mają zdefiniowane pakiety dostępu zawierające zasoby wymagane przez użytkowników aplikacji Litware. Gdy nowy pracownik aplikacji Litware potrzebuje dostępu do zasobów firmy Contoso, może zażądać dostępu do pakietu dostępu. Po zatwierdzeniu otrzymują niezbędne zasoby. Dostęp może być ograniczony czasowo i podlega okresowemu przeglądowi w celu zapewnienia zgodności z wymaganiami dotyczącymi ładu firmy Contoso.
Na poniższym diagramie pokazano, jak dwie organizacje mogą współpracować w odpowiednim czasie przy użyciu połączonych organizacji i zarządzania upoważnieniami.
Obsługiwane scenariusze
Synchronizacja międzydzierżawowa umożliwia importowanie użytkowników wewnętrznych w dzierżawie źródłowej oraz umożliwienie użytkownikom zewnętrznym dostępu w dzierżawie docelowej.
| Podstawowe poświadczenia dzierżawcy | Typ użytkownika najemcy źródłowego | Poświadczenia docelowego dzierżawcy | Typ użytkownika dzierżawy docelowej | Obsługiwany scenariusz? |
|---|---|---|---|---|
| Wewnętrzny | Członek | Zewnętrzne | Członek | Tak |
| Wewnętrzny | Członek | Zewnętrzne | Gość | Tak |
| Wewnętrzny | Gość | Zewnętrzne | Członek | Tak |
| Wewnętrzny | Gość | Zewnętrzne | Gość | Tak |
| Wewnętrzny | Członek | Wewnętrzny | Członek | Nie. |
| Wewnętrzny | Członek | Wewnętrzny | Gość | Nie. |
| Wewnętrzny | Gość | Wewnętrzny | Członek | Nie. |
| Wewnętrzny | Gość | Wewnętrzny | Gość | Nie. |
| Zewnętrzne | Członek | Zewnętrzne | Członek | Nie. |
| Zewnętrzne | Członek | Zewnętrzne | Gość | Nie. |
| Zewnętrzne | Gość | Zewnętrzne | Członek | Nie. |
| Zewnętrzne | Gość | Zewnętrzne | Gość | Nie. |