Compartilhar via


Topologias para colaboração entre locatários

As organizações geralmente se encontram gerenciando vários locatários devido a fusões e aquisições, requisitos regulatórios ou limites administrativos. Independentemente do cenário, o Microsoft Entra oferece uma solução flexível e pronta para uso para provisionar contas entre locatários e facilitar a colaboração perfeita. O Microsoft Entra acomoda os três modelos a seguir e pode se adaptar às suas necessidades organizacionais em evolução.

  • Hub e spoke
  • Mesh
  • Just-in-time

Hub e spoke

A topologia hub e spoke apresenta dois padrões comuns:

  • Opção 1 (hub de aplicativos): nesta opção, você pode integrar aplicativos comumente usados em um locatário do hub central que os usuários de toda a organização podem acessar.

  • Opção 2 (hub de usuário): como alternativa, a opção 2 centraliza todos os usuários em um único locatário e os provisiona em locatários spoke em que os recursos são gerenciados.

Vamos examinar alguns cenários reais e ver como eles se alinham com cada um desses modelos.

Fusões e aquisições (hub de aplicativos)

Durante fusões e aquisições, a capacidade de habilitar rapidamente a colaboração é crucial, permitindo que as empresas funcionem de forma coesa enquanto decisões complexas de TI estão sendo tomadas. Por exemplo, quando os funcionários de uma empresa recém-adquirida precisam de acesso imediato a aplicativos como o sistema de tíquete de suporte técnico interno ou o aplicativo de benefícios, a sincronização entre locatários se mostra inestimável. Esse processo de sincronização permite que os usuários da empresa adquirida sejam provisionados no hub de aplicativos desde o primeiro dia, concedendo-lhes acesso a aplicativos SaaS, aplicativos locais e outros recursos de nuvem. No locatário de destino, os administradores podem configurar pacotes de acesso para conceder acesso limitado a aplicativos adicionais, como Salesforce e Amazon Web Services, que contêm dados comercialmente críticos. O diagrama a seguir mostra locatários recém-adquiridos à esquerda e seus usuários sendo provisionados no locatário da empresa-mãe, o que concede aos usuários acesso aos recursos necessários.

Diagrama que mostra vários locatários de origem sincronizando com um locatário de destino.

Colaboração separada e locatários de recursos (hub de usuário)

À medida que as organizações dimensionam o uso do Azure, elas geralmente criam locatários dedicados para gerenciar recursos críticos do Azure. Enquanto isso, eles dependem de um locatário do hub central para provisionamento de usuário. Esse modelo capacita os administradores no locatário do hub a estabelecer políticas centrais de segurança e governança, concedendo às equipes de desenvolvimento maior autonomia e agilidade para implantar os recursos necessários do Azure. A sincronização entre locatários dá suporte a essa topologia, permitindo que os administradores provisionem um subconjunto de usuários nos locatários spoke e gerenciem o ciclo de vida desses usuários.

Diagrama que mostra um locatário de origem sincronizando com vários locatários de destino.

Mesh

Enquanto algumas empresas centralizam seus usuários em um único locatário, outras têm uma estrutura mais descentralizada com aplicativos, sistemas de RH e domínios do Active Directory integrados a cada locatário. A sincronização entre locatários oferece a flexibilidade para escolher quais usuários são provisionados em cada locatário.

Colaborar em uma empresa de portfólio (malha parcial)

Nesse cenário, cada locatário representa uma empresa diferente dentro da mesma organização pai. Os administradores em cada locatário escolhem um subconjunto de usuários para provisionar no locatário de destino. Essa solução fornece flexibilidade para cada locatário operar de forma independente, facilitando a colaboração quando os usuários precisam de acesso a recursos críticos.

Diagrama que mostra uma topologia de malha parcial sincronizando com vários locatários.

A sincronização entre locatários é unidirecional. Um usuário membro interno pode ser sincronizado em vários locatários como um usuário externo. Quando a topologia mostra uma sincronização indo em ambas as direções, trata-se de um conjunto distinto de usuários em cada direção e cada seta é uma configuração separada.

Colaborar entre unidades de negócios (malha completa)

Nesse cenário, a organização designou locatários diferentes para cada unidade de negócios. As unidades de negócios trabalham em conjunto, especificamente usando o Microsoft Teams. Como resultado, cada locatário optou por provisionar todos os usuários entre os quatro locatários da organização. À medida que novos usuários entram na empresa ou saem, o serviço de provisionamento cuida da criação e exclusão de usuários. A organização também configurou uma organização multilocatário que inclui todos os quatro locatários. Agora, quando os usuários precisam colaborar no Teams, eles podem encontrar facilmente usuários em toda a empresa e iniciar chats e reuniões com esses usuários.

Diagrama que mostra uma topologia de malha completa sincronizando com vários locatários.

Just-in-time

Embora os cenários discutidos até agora abrangem a colaboração dentro de uma organização, há casos em que a colaboração entre organizações é vital. Isso pode estar no contexto de joint ventures ou organizações de entidades jurídicas independentes. Ao empregar organizações conectadas e gerenciamento de direitos, você pode definir políticas para acessar recursos entre organizações conectadas e permitir que os usuários solicitem acesso aos recursos necessários.

Joint ventures

Considere a Contoso e a Litware, organizações separadas envolvidas em uma joint venture de vários anos. Elas precisam colaborar de perto. Os administradores da Contoso definiram pacotes de acesso que contêm os recursos exigidos pelos usuários do Litware. Quando um novo funcionário do Litware precisa de acesso aos recursos da Contoso, ele pode solicitar acesso ao pacote de acesso. Após a aprovação, eles são provisionados com os recursos necessários. O acesso pode ser limitado por tempo e sujeito à revisão periódica para garantir a conformidade com os requisitos de governança da Contoso.

O diagrama a seguir mostra como duas organizações podem colaborar just-in-time usando organizações conectadas e gerenciamento de direitos.

Diagrama que mosra a colaboração just-in-time usando organizações conectadas e gerenciamento de direitos.

Cenários com suporte

A sincronização entre locatários dá suporte à importação de usuários internos no locatário de origem e ao provisionamento de usuários externos no locatário de destino.

Credenciais do locatário de origem UserType do locatário de origem Credenciais do locatário de destino UserType do locatário de destino Cenário com suporte?
Interno Membro Externo Membro Sim
Interno Membro Externo Convidado Sim
Interno Convidado Externo Membro Sim
Interno Convidado Externo Convidado Sim
Interno Membro Interno Membro Não
Interno Membro Interno Convidado Não
Interno Convidado Interno Membro Não
Interno Convidado Interno Convidado Não
Externo Membro Externo Membro Não
Externo Membro Externo Convidado Não
Externo Convidado Externo Membro Não
Externo Convidado Externo Convidado Não

Próximas etapas